Interstage シングル・サインオンでは認証、および認可に必要となる情報をSSOリポジトリで一元管理します。ここでは、SSOリポジトリの作成にあたり、事前に設計しておく事項について説明します。
SSOリポジトリに登録する情報の設計
SSOリポジトリには、ロール定義、ユーザ情報、保護リソースの3つの情報が登録されます。認証基盤を新規に構築する場合は、ロール定義とユーザ情報を設計する必要があります。
ロール定義
ロール定義はInterstage シングル・サインオンでの認可に必須となる情報です。組織構成や利用者の所属などをもとに設計します。詳細については、“ロール定義”を参照してください。
ユーザ情報
Interstage シングル・サインオンを利用する利用者の情報です。利用者ごとにユーザID/パスワード、関連付けるロール定義などを設計します。詳細については、“1.4.6 ユーザ情報”を参照してください。
ロール定義とユーザ情報を設計する際は、不正なSSOリポジトリデータが作成されないよう十分注意してください。
設計時に注意すべき項目についてまとめたSSOリポジトリデータチェックシート(Excelファイル)を提供しています。ロール定義とユーザ情報を設計する際に以下の格納先より取り出して使用してください。
SSO_Data_Chk.xls
マニュアルCDの“ApplicationServer\tuning”フォルダ
なお、ロール定義とユーザ情報は、SSOリポジトリ作成後に、SSOリポジトリに登録します。保護リソースについては、業務システムの追加時に設計、登録します。
登録先エントリの設計
SSOリポジトリにロール定義、ユーザ情報、および保護リソースを登録するには、それぞれの情報を登録する登録先エントリを設計しておく必要があります。
登録先エントリは、SSOリポジトリを作成する際に定義します。
以下に、登録先エントリの例を示します。
管理情報 | 登録先エントリ |
ロール定義 | ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com |
ユーザ情報 | ou=User,ou=interstage,o=fujitsu,dc=com |
保護リソース | ou=Resource,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com |
SSOリポジトリを作成する際に、[公開ディレクトリ]に初期値を設定した場合は、上記例に示す登録先エントリが作成されます。また、Interstage シングル・サインオンで提供しているロール定義、ユーザ情報の登録用のサンプルは上記例の登録先エントリで作成してあります。
SSOリポジトリの設計例
以下の登録先に役職/所属で分類した3つのロールと、そのうちの2つのロールを含んだ1つロールセットを登録する設計例です。
ロール定義登録先:ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com
役職/所属 | ロール/ロールセット名 | ロールセットに含まれるロール名 |
全社員 | all | employee、executives |
幹部社員 | executives | - |
一般従業員 | employee | - |
総務部 | administration | - |
以下の登録先に2人の利用者の情報を登録する設計例です。
ユーザ情報登録先:ou=User,ou=interstage,o=fujitsu,dc=com
項目 | ユーザ情報 | |
富士通太郎 | 富士通花子 | |
認証方式 | 証明書認証 | 証明書認証 |
ユーザID | tarou | hanako |
パスワード | 00123401 | 00123402 |
証明書認証時に利用者を特定する情報 | tarou@jp.sso.com | hanako@jp.sso.com |
ロール名/ロールセット名 | executives | employee、administration |
再認証の間隔 | 60分 | 60分 |
有効期間開始日時 | 2004年01月01日00時00分00秒 | 2004年01月01日00時00分00秒 |
有効期間満了日時 | 2004年12月31日00時00分00秒 | 2004年12月31日00時00分00秒 |
以下の登録先エントリに、上記ロール定義およびユーザ情報を登録する設計例です。
ロール定義登録先:ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com
ユーザ情報登録先:ou=User,ou=interstage,o=fujitsu,dc=com
