Interstage シングル・サインオンでは、クライアントと認証サーバ間にSSLアクセラレータを設置することにより、クライアント証明書の認証やSSL通信を高速化することができます。
また、認証サーバとリポジトリサーバ間、またはクライアントと業務サーバ間にSSLアクセラレータを設置することにより、SSL通信を高速化することも可能です。
クライアントと認証サーバ間にSSLアクセラレータを設置する場合は、認証サーバにSSLアクセラレータと連携するために必要な定義を行ってください。
認証サーバとリポジトリサーバ間にSSLアクセラレータを設置する場合は、認証サーバ、およびリポジトリサーバの設定は不要です。また、クライアントと業務サーバ間にSSLアクセラレータを設置する場合は、業務サーバの設定は不要です。
クライアントと認証サーバ間にSSLアクセラレータを設置する場合はSSLアクセラレータに、以下の設定を行ってください。
Interstage シングル・サインオンの運用で使用する利用者の認証方式に応じて、以下のように設定してください。設定方法については、各SSLアクセラレータのマニュアルを参照してください。
認証方式 | 設定内容 |
パスワード認証 | クライアント認証をしないように設定してください。(注) |
証明書認証 | クライアント認証をするように設定してください。(注) |
パスワード認証かつ証明書認証 | |
パスワード認証または証明書認証 | クライアント証明書の提出は要求するが、認証は行わないように設定してください。 |
注)クライアント証明書の提出は要求するが、認証は行わない設定も可能です。
認証方式が“証明書認証”、“パスワード認証または証明書認証”、または“パスワード認証かつ証明書認証”の場合は、認証サーバにクライアントから送信された証明書を通知するHTTPヘッダを設定してください。設定方法については、各SSLアクセラレータのマニュアルを参照してください。
なお、設定したHTTPヘッダは、認証サーバのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[証明書認証の動作]の[ユーザ証明書を獲得するHTTPヘッダ名]に必ず設定してください。
Interstage管理コンソールの定義詳細についてはInterstage管理コンソールのヘルプを参照してください。
動作確認済みである以下のSSLアクセラレータを使用する場合に、上記以外に必要となる設定を示します。
SSLアクセラレータ | 追加設定 |
IPCOM EX2000LB | ありません。 |
IPCOM 300 | ありません。 |
SSL Accelerator 7117 | SSL通信時のハンドシェーク処理をキャッシュしない設定にしてください。設定方法については、SSL Accelerator 7117のマニュアルを参照してください。 |
使用する証明書の有効期限が切れている場合、SSLアクセラレータに使用する製品によっては、Webブラウザに「500 Internal Server Error」が通知される場合があります。新しい証明書を入手しブラウザに登録してください。
認証サーバで証明書の有効性確認を行うよう設定してください。
クライアント認証をしない、またはクライアント認証をするように設定したSSLアクセラレータと連携する場合、利用者の認証方式を混在させることはできません。利用者の認証方式を統一してください。
クライアント認証をするように設定したSSLアクセラレータと連携する場合、認証要求時に必ず証明書を選択する必要があります。証明書の送信をキャンセルした場合、SSLアクセラレータにて通信処理が切断され、以下に示す画面を表示して要求したリソースへのアクセスがキャンセルされます。
