ユーザプログラムを使用して、SSOリポジトリにユーザ情報、およびロール定義を登録します。ユーザプログラムについては、“2.2.2 ユーザプログラムの準備”を参照してください。
また、コマンドを使用してデータベース(源泉データ)からSSOリポジトリへユーザ情報を移入することもできます。コマンドを使用したユーザ情報の移入については、“2.3.2.1 データベースからSSOリポジトリへのユーザ情報の移入”を参照してください。
Interstage シングル・サインオンのロール定義、およびユーザ情報のエントリ属性については、“2.3.2.4 ロール定義のエントリ”、および“2.3.2.5 ユーザ情報のエントリ”を参照してください。
CSVデータファイルやLDIFファイルを使用してSSOリポジトリにユーザ情報、およびロール定義を登録することもできます。
詳細については、“2.3.2.2 CSVデータファイルを使用する場合”、“2.3.2.3 LDIFファイルを使用する場合”を参照してください。
データベース(源泉データ)からSSOリポジトリへのユーザ情報の移入を行うには、ssoimportumコマンドを使用します。
使用可能なデータベースについては、“システム設計ガイド”の“ソフトウェア条件”-“SSOリポジトリへユーザ情報の移入が可能なデータベース”を参照してください。
源泉データからSSOリポジトリへユーザ情報を移入するには、事前にSSOリポジトリを作成しておく必要があります。SSOリポジトリの作成方法については、“2.3.1 SSOリポジトリの作成”を参照してください。
本項では、データベースに作成する一時的なテーブル、または表を「仮想テーブル」と呼びます。
源泉データの情報を公開するには、仮想テーブルを作成します。源泉データからユーザ情報をSSOリポジトリへ登録する際に、登録するユーザ情報を抽出するため、接続する源泉データのテーブル名、およびカラム名を動作情報ファイルに記述します。動作情報ファイルは、ssoimportumコマンドのパラメタで指定します。
なお、非公開情報などが含まれる場合には、セキュリティの観点から公開するユーザ情報で仮想テーブルを作成して接続させるようにします。これにより、実テーブルを公開することなくユーザ情報の抽出を行うことができます。
データベース(源泉データ)からSSOリポジトリへユーザ情報を移入する手順を以下に示します。
環境変数CLASSPATHの設定
動作情報ファイルの作成
ssoimportumコマンドの実行
(1)環境変数CLASSPATHの設定
データベースへの接続にはJDBCを使用します。接続するデータベースのJDBCドライバを準備する必要があります。
ssoimportumコマンドを使用する前に使用するJDBCドライバを環境変数CLASSPATHに追加してください。
以下の条件で接続する場合の設定例を示します。
接続データベース Symfoware V6.0L10
JDBCドライバの格納先 C:\temp\fjsymjdbc2.jar
C:\>set CLASSPATH=%CLASSPATH%;C:\temp\fjsymjdbc2.jar |
以下の条件で接続する場合の設定例を示します。
接続データベース Oracle8i
JDBCドライバの格納先 C:\temp\classes12.zipおよびC:\temp\nls_charset12.zip
C:\>set CLASSPATH=%CLASSPATH%;C:\temp\classes12.zip;C:\temp\nls_charset12.zip |
以下の条件で接続する場合の設定例を示します。
接続データベース Symfoware 6.0
JDBCドライバの格納先 /tmp/fjsymjdbc2.jar
# CLASSPATH=/tmp/fjsymjdbc2.jar:$CLASSPATH |
以下の条件で接続する場合の設定例を示します。
接続データベース Oracle8i
JDBCドライバの格納先 /tmp/classes12.zipおよび/tmp/nls_charset12.zip
# CLASSPATH=/tmp/classes12.zip:/tmp/nls_charset12.zip:$CLASSPATH |
以下の条件で接続する場合の設定例を示します。
接続データベース Symfoware 6.0
JDBCドライバの格納先 /tmp/fjsymjdbc2.jar
# CLASSPATH=/tmp/fjsymjdbc2.jar:$CLASSPATH |
以下の条件で接続する場合の設定例を示します。
接続データベース Oracle9i
使用するJDK/JRE 5.0
JDBCドライバの格納先 /tmp/ojdbc5.jarおよび/tmp/nls_charset12.zip
# CLASSPATH=/tmp/ojdbc5.jar:/tmp/nls_charset12.zip:$CLASSPATH |
(2)動作情報ファイルの作成
ユーザ情報の抽出に必要な設定を記述した動作情報ファイルを作成します。
動作情報ファイルの作成については“リファレンスマニュアル(コマンド編)”の“シングル・サインオン運用コマンド”-“ssoimportum”を参照してください。
(3)ssoimportumコマンドの実行
(2)で作成した動作情報ファイルを指定してssoimportumコマンドを実行し、ユーザ情報の抽出、およびSSOリポジトリへのユーザ情報の移入を行います。
ssoimportumコマンドについては“リファレンスマニュアル(コマンド編)”の“シングル・サインオン運用コマンド”を参照してください。
システム導入時などに、人事データベースで管理している大量のユーザ情報をSSOリポジトリに追加する場合は、人事データベースから抽出したCSVデータファイルを使用して、一括してSSOリポジトリにエントリを追加することができます。また、運用開始後の人事異動や新人社員の入社などにより、ユーザ情報の定期的な更新や追加が必要な場合は、更新が必要な差分情報だけ抽出したCSVデータファイルを使用して、SSOリポジトリに追加することができます。
Interstage シングル・サインオンが提供するサンプルのCSVデータファイルを例に、CSVデータファイルを使用したユーザ情報、およびロール定義の登録方法について説明します。
CSVデータファイルを使用してエントリを登録する手順を以下に示します。CSV形式については、“ディレクトリサービス運用ガイド”を参照してください。
CSVデータファイルからのロールの登録はirepaddroleコマンド、ユーザ情報の登録はirepmodifyentコマンドを実行することにより行います。コマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“ディレクトリサービス運用コマンド”を参照してください。
なお、CSVデータファイルを使用して、情報の削除、および更新も行うことができます。情報の削除、および更新方法については、“ディレクトリサービス運用ガイド”を参照してください。
CSVファイルにはパスワードが含まれます。CSVファイルを使用する際にはパスワードアタックへの対策を考慮し、取り扱いには十分注意してください。
パスワードアタックへの対策については、“セキュリティシステム運用ガイド”の“セキュリティ侵害の脅威”-“Interstage シングル・サインオン”-“セキュリティ対策”を参照してください。
CSVデータファイルを使用してエントリを追加する手順を以下に示します。
人事データベースからのCSV形式のデータの抽出
ルールファイルの作成
ロール定義移入コマンドの実行
ユーザ情報移入コマンドの実行
Interstage シングル・サインオンが提供しているサンプルファイルを以下に示します。
sample_add.csv
・sample_rule_euc.xml
EUCコードで記述されています。
・sample_rule_sjis.xml
シフトJISコードで記述されています。
・sample_rule_utf8.xml
UTF-8コードで記述されています。
C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\csv
/opt/FJSVssosv/sample/Japanese/csv
(1)人事データベースからのCSV形式のデータの抽出
データベースの機能を利用して、人事データベースからユーザ情報をCSV形式のデータで抽出します。ユーザ情報として以下の情報をデータベースから取り出します。
列 | 項目 |
1列目 | 姓名 |
2列目 | 姓 |
3列目 | 名 |
4列目 | ユーザID |
5列目 | パスワード |
6列目 | 従業員番号 |
7列目 | メールアドレス |
8列目 | ロール名 |
上記データに対応したCSV形式のデータは以下のようになります。
Fujitsu Tarou,Fujitsu,Tarou,tarou,tarou,100001,tarou@jp.fujitsu.com,Admin Fujitsu Hanako,Fujitsu,Hanako,hanako,hanako,100002,hanako@jp.fujitsu.com,Admin Fujitsu Jirou,Fujitsu,Jirou,jirou,jirou,100003,jirou@jp.fujitsu.com,Leader Fujitsu Junko,Fujitsu,Junko,junko,junko,100004,junko@jp.fujitsu.com,Leader Fujitsu Saburou,Fujitsu,Saburou,saburou,saburou,100005,saburou@jp.fujitsu.com,General Fujitsu Kyouko,Fujitsu,Kyouko,kyouko,kyouko,100006,kyouko@jp.fujitsu.com,General |
(2) ルールファイルの作成
CSV形式のデータをSSOリポジトリに登録するためには、CSV形式のデータとSSOリポジトリの情報を関連付ける必要があります。両者を関連付けるためにルールファイルを作成し、マッピングルールを設定します。マッピングルールの詳細については“ディレクトリサービス運用ガイド”を参照してください。
なお、Interstage シングル・サインオンの運用環境に合わせて変更できるエントリ属性については、“2.3.2.4 ロール定義のエントリ”、および“2.3.2.5 ユーザ情報のエントリ”を参照してください。
■CSV形式とユーザ情報のエントリの属性との関連付け
CSV形式のデータとユーザエントリの属性を以下のように関連付けてSSOリポジトリに登録します。
列 | 項目 | ユーザ情報のエントリの属性 |
1列目 | 姓名 | cn |
2列目 | 姓 | sn |
3列目 | 名 | givenName |
4列目 | ユーザID | uid |
5列目 | パスワード | userPassword |
6列目 | 従業員番号 | employeeNumber |
7列目 | メールアドレス | |
8列目 | ロール名 | ssoRoleName |
■CSV形式のデータ
CSV形式のデータは0列目にSSOリポジトリに対する操作を設定します。
ADD,Fujitsu Tarou,Fujitsu,Tarou,tarou,tarou,100001,tarou@jp.fujitsu.com,Admin ADD,Fujitsu Hanako,Fujitsu,Hanako,hanako,hanako,100002,hanako@jp.fujitsu.com,Admin ADD,Fujitsu Jirou,Fujitsu,Jirou,jirou,jirou,100003,jirou@jp.fujitsu.com,Leader ADD,Fujitsu Junko,Fujitsu,Junko,junko,junko,100004,junko@jp.fujitsu.com,Leader ADD,Fujitsu Saburou,Fujitsu,Saburou,saburou,saburou,100005,saburou@jp.fujitsu.com,General ADD,Fujitsu Kyouko,Fujitsu,Kyouko,kyouko,kyouko,100006,kyouko@jp.fujitsu.com,General |
■ルールファイル
上記のCSV形式のデータとユーザ情報のエントリ属性を関連付けするルールファイルは以下のようになります。このルールファイルの例では、次の設定をしています。
sso rule
ou=User,ou=interstage,o=fujitsu,dc=com
uid
ADD(追加)
cn、sn、givenName、uid、userPassword、employeeNumber、mail、ssoRoleName
ssoAuthType、ssoCredentialTTL、ssoNotBefore
<?xml version="1.0" encoding="UTF-8" ?> <!-- 修正禁止↓ --> <!DOCTYPE Csv2Directory [ <!ELEMENT Rule (name, baseDn, midDn?, Rdn+, DnChange?, objectClass+, attributeSeparator?, unique*, CSV, fixed?)> <!ELEMENT CSV (ldapop?, Attribute)> <!ELEMENT ldapop (op?, ldapadd?, ldapdelete?, ldapmodify?)> <!ELEMENT name (#PCDATA)> <!ELEMENT baseDn (#PCDATA)> <!ELEMENT Rdn (#PCDATA)> <!ELEMENT objectClass (#PCDATA)> <!ELEMENT attributeSeparator (#PCDATA)> <!ELEMENT op (#PCDATA)> <!ELEMENT ldapadd (#PCDATA)> <!ELEMENT ldapdelete (#PCDATA)> <!ELEMENT ldapmodify (#PCDATA)> ]> <!-- 修正禁止↑ --> <Csv2Directory> <Rule>
<name>sso rule</name>
<!-- baseDn を定義します(必須) -->
<baseDn>ou=User,ou=interstage,o=fujitsu,dc=com</baseDn><!-- baseDn の前に追加するものを定義します(任意) -->
<!-- SSO の場合不要
<midDn>ou=8,ou=9,ou=10</midDn>
--><!-- RDN を定義します(必須:複数可能:重複不可) -->
<!-- 番号か属性名のいずれかで、一意になるものをいれてください -->
<Rdn>cn</Rdn><!-- DN の変更を移動とみなすか(任意) -->
<!-- みなす場合 1 を指定してください -->
<DnChange>1</DnChange><!-- objectClass を定義します -->
<objectClass>top</objectClass>
<objectClass>person</objectClass>
<objectClass>organizationalPerson</objectClass>
<objectClass>inetOrgPerson</objectClass>
<objectClass>ssoUser</objectClass><!-- 属性値が複数のCSV項目から作成する場合の区切りの文字(任意) -->
<!-- 指定しない場合は空白1文字です。 -->
<!-- 空白文字は指定できません。-->
<attributeSeparator>-</attributeSeparator><!-- baseDnの下で、重複を許可しない属性を指定してください -->
<!-- 番号か属性名のいずれかで、一意になるものをいれてください -->
<!-- (任意:複数可能:重複不可)-->
<unique>uid</unique> <CSV>
<!-- CSVの何番目の項目が、処理(追加、削除、変更)を示すか(任意) -->
<ldapop>
<op>0</op>
<ldapadd>ADD</ldapadd>
<ldapdelete>DEL</ldapdelete>
<ldapmodify>MOD</ldapmodify>
<ldapmove>MOV</ldapmove>
</ldapop><!-- CSVの各項目とディレクトリの属性の対応づけ(任意) -->
<Attribute>
<cn>1</cn><!-- 固定値で設定するものを定義します(任意) -->
<fixed>
<ssoAuthType>basicAuthOrCertAuth</ssoAuthType> |
(3)ロール定義移入コマンドの実行
リポジトリサーバを構築するマシンで、Interstage ディレクトリサービスが提供しているirepaddroleコマンドを実行し、マッピングルールに従いエントリデータを追加します。
irepaddroleコマンド実行後は、エントリ情報の取り出しなどを行い、エントリデータが正しく追加されているか確認してください。エントリの操作方法については “ディレクトリサービス運用ガイド”の“エントリの管理”を参照してください。
管理者用DN、およびBindパスワードには、Interstage管理コンソールを使用して、[システム] > [サービス] > [リポジトリ]からSSOリポジトリを作成した時に設定した管理者用DN、および管理者用DNのパスワードを指定してください。以下の例では、SSOリポジトリのポート番号に389、管理者用DNに“cn=manager,ou=interstage,o=fujitsu,dc=com”を指定しています。
管理者用DN “cn=manager,ou=interstage,o=fujitsu,dc=com”
ルールファイル C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\csv\sample_rule_utf8.xml
csvファイル C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\csv\sample_add.csv
ロール定義登録先 ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com
Bindパスワードの入力を促されたら、管理者用DNのパスワードを入力してください。入力したパスワードは表示されません。
C:\>irepaddrole -h localhost -p 389 -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -r C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\csv\sample_rule_utf8.xml -i C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\csv\sample_add.csv -b "ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com" |
管理者用DN、およびBindパスワードには、Interstage管理コンソールを使用して、[システム] > [サービス] > [リポジトリ]からSSOリポジトリを作成した時に設定した管理者用DN、および管理者用DNのパスワードを指定してください。以下の例では、SSOリポジトリのポート番号に389、管理者用DNに“cn=manager,ou=interstage,o=fujitsu,dc=com”を指定しています。
管理者用DN “cn=manager,ou=interstage,o=fujitsu,dc=com”
ルールファイル /opt/FJSVssosv/sample/Japanese/csv/sample_rule_utf8.xml
csvファイル /opt/FJSVssosv/sample/Japanese/csv/sample_add.csv
ロール定義登録先 ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com
Bindパスワードの入力を促されたら、管理者用DNのパスワードを入力してください。入力したパスワードは表示されません。
# irepaddrole -h localhost -p 389 -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -r /opt/FJSVssosv/sample/Japanese/csv/sample_rule_utf8.xml -i /opt/FJSVssosv/sample/Japanese/csv/sample_add.csv -b "ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com" |
管理者用DNのパスワードについては、パスワードアタックへの対策を考慮し、取り扱いには十分注意してください。
パスワードアタックへの対策については、“セキュリティシステム運用ガイド”の“セキュリティ侵害の脅威”-“Interstage シングル・サインオン”-“セキュリティ対策”を参照してください。
(4)ユーザ情報移入コマンドの実行
リポジトリサーバを構築するマシンで、Interstage ディレクトリサービスが提供しているirepmodifyentコマンドを実行し、マッピングルールに従いエントリデータを追加します。
irepmodifyentコマンド実行後は、エントリ情報の取り出しなどを行い、エントリデータが正しく追加されているか確認してください。エントリの操作方法については “ディレクトリサービス運用ガイド”の“エントリの管理”を参照してください。
管理者用DN、およびBindパスワードには、Interstage管理コンソールを使用して、[システム] > [サービス] > [リポジトリ]からSSOリポジトリを作成した時に設定した管理者用DN、および管理者用DNのパスワードを指定してください。以下の例では、SSOリポジトリのポート番号に389、管理者用DNに“cn=manager,ou=interstage,o=fujitsu,dc=com”を指定しています。
管理者用DN “cn=manager,ou=interstage,o=fujitsu,dc=com”
ルールファイル C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\csv\sample_rule_utf8.xml
csvファイル C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\csv\sample_add.csv
Bindパスワードの入力を促されたら、管理者用DNのパスワードを入力してください。入力したパスワードは表示されません。
C:\>irepmodifyent -h localhost -p 389 -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -r C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\csv\sample_rule_utf8.xml -i C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\csv\sample_add.csv |
管理者用DN、およびBindパスワードには、Interstage管理コンソールを使用して、[システム] > [サービス] > [リポジトリ]からSSOリポジトリを作成した時に設定した管理者用DN、および管理者用DNのパスワードを指定してください。以下の例では、SSOリポジトリのポート番号に389、管理者用DNに“cn=manager,ou=interstage,o=fujitsu,dc=com”を指定しています。
管理者用DN “cn=manager,ou=interstage,o=fujitsu,dc=com”
ルールファイル /opt/FJSVssosv/sample/Japanese/csv/sample_rule_utf8.xml
csvファイル /opt/FJSVssosv/sample/Japanese/csv/sample_add.csv
Bindパスワードの入力を促されたら、管理者用DNのパスワードを入力してください。入力したパスワードは表示されません。
# irepmodifyent -h localhost -p 389 -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -r /opt/FJSVssosv/sample/Japanese/csv/sample_rule_utf8.xml -i /opt/FJSVssosv/sample/Japanese/csv/sample_add.csv |
管理者用DNのパスワードについては、パスワードアタックへの対策を考慮し、取り扱いには十分注意してください。
パスワードアタックへの対策については、“セキュリティシステム運用ガイド”の“セキュリティ侵害の脅威”-“Interstage シングル・サインオン”-“セキュリティ対策”を参照してください。
Interstage シングル・サインオンが提供するサンプルのLDIFファイルを例に、ユーザ情報、およびロール定義の登録方法について説明します。LDIFファイルを使用してエントリを登録する手順を以下に示します。LDIFファイルを使用しての登録はldapmodifyコマンドを実行することにより行います。
LDIFファイルの詳細については、“ディレクトリサービス運用ガイド”を参照してください。また、ldapmodifyコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“ディレクトリサービス運用コマンド”を参照してください。
なお、LDIFファイルを使用して、情報の削除、および更新も行うことができます。情報の削除、および更新方法については、“ディレクトリサービス運用ガイド”を参照してください。
LDIFファイルの作成
ldapmodifyコマンドの実行
(1)LDIFファイルの作成
LDIFファイルに、SSOリポジトリに登録するロール定義、およびユーザ情報を設定します。サンプルのLDIFファイルに設定されているロール定義、およびユーザ情報を参考に、必要に応じて修正してください。
ロール定義、およびユーザ情報のエントリ属性については、“2.3.2.4 ロール定義のエントリ”、および“2.3.2.5 ユーザ情報のエントリ”を参照してください。
なお、LDIFファイルの作成時は、以下の点に注意してください。
LDIFファイルの先頭に空白行を挿入しないようにしてください。空白行がある場合は、LDIFファイル内のすべてのエントリが登録されません。
各エントリ情報の間に空白行を1行挿入し、エントリ情報を区分してください。2行以上の空白行が続く場合は、以降のエントリは登録されません。
SSOリポジトリ作成時に、[公開ディレクトリ]の初期値を変更した場合は、サンプルのLDIFファイルの太字部分を[公開ディレクトリ]に設定したディレクトリに変更してください。
サンプルLDIFファイルのファイル名と格納先を以下に示します。
sample.ldif
C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\ldif
/opt/FJSVssosv/sample/Japanese/ldif
# # # Interstage Single Sign-on # # Repository(Directory) Entry sample LDIF # # #****************************************************** # # Role definition # #****************************************************** # Entry: Role: Admin dn: cn=Admin,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com <- ロール名“Admin”の登録先 objectClass: ssoRole <- 必須オブジェクトクラス objectClass: top <- 必須オブジェクトクラス cn: Admin <- ロール名 # Entry: Role: Leader dn: cn=Leader,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com <- ロール名“Leader”の登録先 objectClass: ssoRole <- 必須オブジェクトクラス objectClass: top <- 必須オブジェクトクラス cn: Leader <- ロール名 # Entry: Role: General dn: cn=General,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com <- ロール名“General”の登録先 objectClass: ssoRole <- 必須オブジェクトクラス objectClass: top <- 必須オブジェクトクラス cn: General <- ロール名 # Entry: RoleSet: AdminSet dn: cn=AdminSet,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com <- ロールセット名“AdminSet”の登録先 ssoRoleName: Admin <- ロールセットに設定するロール objectClass: ssoRoleSet <- 必須オブジェクトクラス objectClass: top <- 必須オブジェクトクラス cn: AdminSet <- ロールセット名 # Entry: RoleSet: LeaderSet dn: cn=LeaderSet,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com <- ロールセット名“LeaderSet”の登録先 ssoRoleName: AdminSet <- ロールセットに設定するロールセット ssoRoleName: Leader <- ロールセットに設定するロール objectClass: ssoRoleSet <- 必須オブジェクトクラス objectClass: top <- 必須オブジェクトクラス cn: LeaderSet <- ロールセット名 # Entry: RoleSet: GeneralSet dn: cn=GeneralSet,ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com <- ロールセット名“GeneralSet”の登録先 ssoRoleName: LeaderSet <- ロールセットに設定するロールセット ssoRoleName: General <- ロールセットに設定するロール objectClass: ssoRoleSet <- 必須オブジェクトクラス objectClass: top <- 必須オブジェクトクラス cn: GeneralSet <- ロールセット名 #****************************************************** # # User definition # #****************************************************** # Entry: User: tarou dn: cn=Fujitsu Tarou,ou=User,ou=interstage,o=fujitsu,dc=com <- 利用者“Fujitsu Tarou”の登録先 objectClass: top <- 必須オブジェクトクラス objectClass: person <- 必須オブジェクトクラス objectClass: organizationalPerson <- 必須オブジェクトクラス objectClass: inetOrgPerson <- 必須オブジェクトクラス objectClass: ssoUser <- 必須オブジェクトクラス uid: tarou <- パスワード認証時のユーザID userPassword: tarou <- パスワード認証時のパスワード mail: tarou@jp.fujitsu.com <- メールアドレス employeeNumber: 100001 <- 従業員番号 ssoRoleName: Admin <- ロール名 ssoAuthType: basicAuthOrCertAuth <- 認証方式 ssoCredentialTTL: 60 <- 再認証までの間隔 ssoNotBefore: 20010101090000+0900 <- 利用開始時間 sn: Fujitsu <- 姓 cn: Fujitsu Tarou <- 姓名 # Entry: User: hanako dn: cn=Fujitsu Hanako,ou=User,ou=interstage,o=fujitsu,dc=com <- 利用者“Fujitsu hanako”の登録先 objectClass: top <- 必須オブジェクトクラス objectClass: person <- 必須オブジェクトクラス objectClass: organizationalPerson <- 必須オブジェクトクラス objectClass: inetOrgPerson <- 必須オブジェクトクラス objectClass: ssoUser <- 必須オブジェクトクラス uid: hanako <- パスワード認証時のユーザID userPassword: hanako <- パスワード認証時のパスワード mail: hanako@jp.fujitsu.com <- メールアドレス employeeNumber: 100002 <- 従業員番号 ssoRoleName: Admin <- ロール名 ssoAuthType: basicAuthOrCertAuth <- 認証方式 ssoCredentialTTL: 60 <- 再認証までの間隔 ssoNotBefore: 20010101090000+0900 <- 利用開始時間 sn: Fujitsu <- 姓 cn: Fujitsu Hanako <- 姓名 # Entry: User: jirou dn: cn=Fujitsu Jirou,ou=User,ou=interstage,o=fujitsu,dc=com <- 利用者“Fujitsu jirou”の登録先 objectClass: top <- 必須オブジェクトクラス objectClass: person <- 必須オブジェクトクラス objectClass: organizationalPerson <- 必須オブジェクトクラス objectClass: inetOrgPerson <- 必須オブジェクトクラス objectClass: ssoUser <- 必須オブジェクトクラス uid: jirou <- パスワード認証時のユーザID userPassword: jirou <- パスワード認証時のパスワード mail: jirou@jp.fujitsu.com <- メールアドレス employeeNumber: 100003 <- 従業員番号 ssoRoleName: Leader <- ロール名 ssoAuthType: basicAuth <- 認証方式 ssoCredentialTTL: 60 <- 再認証までの間隔 ssoNotBefore: 20010101090000+0900 <- 利用開始時間 sn: Fujitsu <- 姓 cn: Fujitsu Jirou <- 姓名 # Entry: User: junko dn: cn=Fujitsu Junko,ou=User,ou=interstage,o=fujitsu,dc=com <- 利用者“Fujitsu junko”の登録先 objectClass: top <- 必須オブジェクトクラス objectClass: person <- 必須オブジェクトクラス objectClass: organizationalPerson <- 必須オブジェクトクラス objectClass: inetOrgPerson <- 必須オブジェクトクラス objectClass: ssoUser <- 必須オブジェクトクラス uid: junko <- パスワード認証時のユーザID userPassword: junko <- パスワード認証時のパスワード mail: junko@jp.fujitsu.com <- メールアドレス employeeNumber: 100004 <- 従業員番号 ssoRoleName: Leader <- ロール名 ssoAuthType: basicAuth <- 認証方式 ssoCredentialTTL: 60 <- 再認証までの間隔 ssoNotBefore: 20010101090000+0900 <- 利用開始時間 sn: Fujitsu <- 姓 cn: Fujitsu Junko <- 姓名 # Entry: User: saburou dn: cn=Fujitsu Saburou,ou=User,ou=interstage,o=fujitsu,dc=com <- 利用者“Fujitsu saburou”の登録先 objectClass: top <- 必須オブジェクトクラス objectClass: person <- 必須オブジェクトクラス objectClass: organizationalPerson <- 必須オブジェクトクラス objectClass: inetOrgPerson <- 必須オブジェクトクラス objectClass: ssoUser <- 必須オブジェクトクラス uid: saburou <- パスワード認証時のユーザID userPassword: saburou <- パスワード認証時のパスワード mail: saburou@jp.fujitsu.com <- メールアドレス employeeNumber: 100005 <- 従業員番号 ssoRoleName: General <- ロール名 ssoAuthType: basicAuthAndCertAuth <- 認証方式 ssoCredentialTTL: 60 <- 再認証までの間隔 ssoNotBefore: 20020101090000+0900 <- 利用開始時間 sn: Fujitsu <- 姓 cn: Fujitsu Saburou <- 姓名 # Entry: User: kyouko dn: cn=Fujitsu Kyouko,ou=User,ou=interstage,o=fujitsu,dc=com <- 利用者“Fujitsu Kyouko”の登録先 objectClass: top <- 必須オブジェクトクラス objectClass: person <- 必須オブジェクトクラス objectClass: organizationalPerson <- 必須オブジェクトクラス objectClass: inetOrgPerson <- 必須オブジェクトクラス objectClass: ssoUser <- 必須オブジェクトクラス uid: kyouko <- パスワード認証時のユーザID userPassword: kyouko <- パスワード認証時のパスワード mail: kyouko@jp.fujitsu.com <- メールアドレス employeeNumber: 100006 <- 従業員番号 ssoRoleName: General <- ロール名 ssoAuthType: CertAuth <- 認証方式 ssoCredentialTTL: 60 <- 再認証までの間隔 ssoNotBefore: 20020101090000+0900 <- 利用開始時間 ssoNotAfter: 20021201085959+0900 <- 利用終了時間 sn: Fujitsu <- 姓 cn: Fujitsu Kyouko <- 姓名 |
(2) ldapmodifyコマンドの実行
作成したLDIFファイルを指定してldapmodifyコマンドを実行し、SSOリポジトリにユーザ情報、ロール定義を登録します。
ldapmodifyコマンド実行後は、エントリ情報の取り出しなどを行い、ユーザ情報、ロール定義が正しく登録されているか確認してください。エントリの操作方法については “ディレクトリサービス運用ガイド”の“エントリの管理”を参照してください。
管理者用DN、およびパスワードには、Interstage管理コンソールを使用して、[システム] > [サービス] > [リポジトリ]からSSOリポジトリを作成した時に設定した管理者用DN、および管理者用DNのパスワードを指定してください。以下の例では、SSOリポジトリのポート番号に389、管理者用DNに“cn=manager,ou=interstage,o=fujitsu,dc=com”を指定して、SSOリポジトリを作成したリポジトリサーバで行っています。
LDIFファイル C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\ldif\sample.ldif
ロール定義登録先 ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com
ユーザ情報登録先 ou=User,ou=interstage,o=fujitsu,dc=com
管理者用DN cn=manager,ou=interstage,o=fujitsu,dc=com
パスワードの入力を促されたら、管理者用DNのパスワードを入力してください。入力したパスワードは表示されません。
C:\> C:\Interstage\bin\ldapmodify -p 389 -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -W -a -f C:\Interstage\F3FMsso\ssoatcsv\sample\Japanese\ldif\sample.ldif |
管理者用DN、およびパスワードには、Interstage管理コンソールを使用して、[システム] > [サービス] > [リポジトリ]からSSOリポジトリを作成した時に設定した管理者用DN、および管理者用DNのパスワードを指定してください。以下の例では、SSOリポジトリのポート番号に389、管理者用DNに“cn=manager,ou=interstage,o=fujitsu,dc=com”を指定して、SSOリポジトリを作成したリポジトリサーバで行っています
LDIFファイル /opt/FJSVssosv/sample/Japanese/ldif/sample.ldif
ロール定義登録先 ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com
ユーザ情報登録先 ou=User,ou=interstage,o=fujitsu,dc=com
管理者用DN cn=manager,ou=interstage,o=fujitsu,dc=com
パスワードの入力を促されたら、管理者用DNのパスワードを入力してください。入力したパスワードは表示されません。
# /opt/FJSVirepc/bin/ldapmodify -p 389 -D "cn=manager,ou=interstage,o=fujitsu,dc=com" -W -a -f /opt/FJSVssosv/sample/Japanese/ldif/sample.ldif |
管理者用DNのパスワードについては、パスワードアタックへの対策を考慮し、取り扱いには十分注意してください。
パスワードアタックへの対策については、“セキュリティシステム運用ガイド”の“セキュリティ侵害の脅威”-“Interstage シングル・サインオン”-“セキュリティ対策”を参照してください。
ロール定義をSSOリポジトリに登録する際のエントリについて説明します。ここで設定したロール名、およびロールセット名はユーザ情報、および保護リソースに設定します。
各属性は運用に応じて以下のように設定してください。各属性のサイズはSSOリポジトリに依存するため、設定可能なサイズで設定できない場合があります。また、ロール名、およびロールセット名は一意に設定してください。
《ロール》
ロールをSSOリポジトリに登録する際のエントリについて説明します。
オブジェクトクラス
SSOリポジトリに登録されるロールは、以下のオブジェクトクラスで管理されます。ロールをSSOリポジトリに登録する際には以下のオブジェクトクラスを必ず設定してください。
オブジェクトクラス | 説明 |
top | 基本LDAPオブジェクトクラス |
ssoRole | SSOロール情報 |
属性
ロール名を上記オブジェクトクラスの属性として設定します。
ロールオブジェクトクラス | 属性名 | 日本語名 |
ssoRole | cn | 名前 |
ssoAuthType | 認証方式 | |
ssoSessionInfo | Interstage シングル・サインオンで使用する情報(注) |
注)ユーザ情報を登録するディレクトリサービスにActive Directoryを使用し、かつシングル・サインオンの拡張スキーマを使用しない場合に設定が必要です。
ロール名を設定します。
ここで設定したロール名をユーザ情報、およびロールセットのエントリの「ssoRoleName」属性に設定します。
・英数字
・日本語
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、ハイフン(-)、イコール(=)、アスタリスク(*)、スラッシュ(/)、縦線(|)、アンダースコア(_)、シングルクォーテーション(')、コロン(:)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
512バイト
Admin
・本属性は複数設定しないでください。
・6.2 環境変数によるユーザ情報の通知の設定場合は、英数字と記号だけを設定してください。
・設定した値は、大文字・小文字の区別をしません。
・ロール名、またはロールセット名に同じ名前の定義を行えません。
今版では使用しません。
・本属性は設定、および変更しないでください。
Active Directoryのロール/ロールセットに使用する属性の値を設定します。
・英数字
・日本語
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、円マーク(\)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、小なり(<)、大なり(>)、プラス(+)、ハイフン(-)、イコール(=)、アスタリスク(*)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォーテーション(')、コロン(:)、セミコロン(;)、カンマ(,)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
512バイト
05:CN=第一営業部,CN=Users,DC=ad,DC=local
・設定した値は、大文字・小文字の区別をしません。
ロールの例
《ロールセット》
ロールセットをSSOリポジトリに登録する際のエントリについて説明します。
オブジェクトクラス
SSOリポジトリに登録されるロールセットは、以下のオブジェクトクラスで管理されます。ロールセットをSSOリポジトリに登録する際には以下のオブジェクトクラスを必ず設定してください。
オブジェクトクラス | 説明 |
top | 基本LDAPオブジェクトクラス |
ssoRoleSet | SSOロールセット情報 |
属性
ロールセット名、およびロールセットに設定するロールを上記オブジェクトクラスの属性として設定します。
ロールセットオブジェクトクラス | 属性名 | 日本語名 |
ssoRoleSet | cn | 名前 |
ssoRoleName | ロール名 | |
ssoSessionInfo | Interstage シングル・サインオンで使用する情報(注) |
注)ユーザ情報を登録するディレクトリサービスにActive Directoryを使用し、かつシングル・サインオンの拡張スキーマを使用しない場合に設定が必要です。
ロールセット名を設定します。
ここで設定したロールセット名をユーザ情報、およびロールセットのエントリの「ssoRoleName」属性に設定します。
・英数字
・日本語
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、ハイフン(-)、イコール(=)、アスタリスク(*)、スラッシュ(/)、縦線(|)、アンダースコア(_)、シングルクォーテーション(')、コロン(:)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
512バイト
AdminSet
・本属性を複数設定しないでください。
・設定した値は、大文字・小文字の区別をしません。
・ロール名、またはロールセット名に同じ名前の定義を行えません。
ロールセットに含めるロール、またはロールセットを設定します。
ロール、またはロールセットを複数設定する場合は、「ssoRoleName」属性を複数設定します。
本属性は必ず設定してください。
・英数字
・日本語
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、円マーク(\)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、小なり(<)、大なり(>)、プラス(+)、ハイフン(-)、イコール(=)、アスタリスク(*)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォーテーション(')、コロン(:)、セミコロン(;)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
512バイト
Admin
・設定した値は、大文字・小文字の区別をしません。
・重複するロールやロールセットは無効です。
・存在しないロールやロールセットは設定しないでください。
・定義がループしてしまうロールセットを設定した場合は、ループとなる部分は無効となります。
Active Directoryのロール/ロールセットに使用する属性の値を設定します。
・英数字
・日本語
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、円マーク(\)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、小なり(<)、大なり(>)、プラス(+)、ハイフン(-)、イコール(=)、アスタリスク(*)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォーテーション(')、コロン(:)、セミコロン(;)、カンマ(,)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
512バイト
05:CN=第一営業部,CN=Users,DC=ad,DC=local
・設定した値は、大文字・小文字の区別をしません。
ロールセットの例
定義がループとなり無効とみなすロールセットの例
ロールセット“LeaderSet”は、ロール“Leader”とロールセット“AdminSet”を1つで表しますが、ロールセット“AdminSet”はロール“Admin”とロールセット“LeaderSet”を1つで表そうとするため、ロールセット“AdminSet”に設定したロールセット“LeaderSet”がループとなります。この場合、ロールセット“AdminSet”が表していたロールセット“LeaderSet”は無効となり、最終的に、ロールセット“LeaderSet”は、ロール“Leader”とロール“Admin”を1つで表したロールセットとみなします。
ユーザ情報をSSOリポジトリに登録する際のエントリについて説明します。
ユーザ情報のエントリの定義には、人を対象とした一般的な定義と、プリンタなどのネットワークデバイスを対象とした特殊な定義があります。各定義のエントリに設定できる各属性は運用に応じて以下のように設定してください。
なお、各属性のサイズはSSOリポジトリに依存するため、設定可能なサイズで設定できない場合があります。
| 一般的な定義 | 特殊な定義 |
必ず設定が必要な属性 |
|
|
パスワード認証を行う場合に必ず設定が必要な属性 |
|
|
証明書認証を行う場合に必ず設定が必要な属性(注) |
|
|
運用に応じて設定が必要な属性 |
|
|
設定不要な属性 |
|
|
注)証明書中の所有者名の情報から利用者を一意に特定する属性にcnを使用しない場合は、いずれかを必ず設定してください。
統合Windows認証を行う場合は、Active Directoryに登録されているユーザログオン名を設定する任意の属性を追加してください。詳細については、“付録F Active Directoryと連携するための設定”を参照してください。
オブジェクトクラス
SSOリポジトリに登録される利用者は、以下のオブジェクトクラスで管理されます。ユーザ情報をSSOリポジトリに登録する際には以下のオブジェクトクラスで構成されるように設定してください。
【一般的な定義の場合】
ユーザ情報オブジェクトクラス | 説明 |
top | 基本LDAPオブジェクトクラス |
person | ユーザ情報 |
organizationalPerson | |
inetOrgPerson | |
ssoUser | SSOの利用ユーザ情報 |
【特殊な定義の場合】
ユーザ情報オブジェクトクラス | 説明 |
top | 基本LDAPオブジェクトクラス |
device | プリンタなどのネットワークデバイスの情報 |
uidObject | ユーザID情報(注) |
ssoUser | SSOの利用ユーザ情報 |
注)セションの管理を行う場合、またはパスワード認証を行う場合に設定が必要です。
属性
利用者のユーザIDやパスワード、認証方式などは上記オブジェクトクラスの属性として設定します。Interstage シングル・サインオンで使用する属性は以下です。
【一般的な定義の場合】
ユーザ情報オブジェクトクラス | 属性名 | 日本語名 |
person | cn | 名前 |
sn | 姓、またはラストネーム | |
userPassword | パスワード | |
organizationalPerson | SSOの運用で使用する属性はありません。 | - |
inetOrgPerson | uid | ユーザID |
employeeNumber | 従業員番号 | |
電子メールアドレス | ||
ssoUser | ssoRoleName | ロール名、またはロールセット名 |
ssoAuthType | 認証方式 | |
ssoCredentialTTL | 再認証の間隔 | |
ssoUserStatus | ユーザステータス | |
ssoNotBefore | 有効期間開始日時 | |
ssoNotAfter | 有効期間満了日時 | |
ssoFailureCount | ユーザ名/パスワードによる認証失敗回数 | |
ssoLockTimeStamp | ロックアウト時間 | |
ssoSessionInfo | SSOセション情報 | |
dnQualifier | DN修飾子 |
【特殊な定義の場合】
ユーザ情報オブジェクトクラス | 属性名 | 日本語名 |
device | cn | 名前 |
serialNumber | シリアル番号 | |
uidObject | uid | ユーザID |
ssoUser | ssoRoleName | ロール名、またはロールセット名 |
ssoAuthType | 認証方式 | |
ssoCredentialTTL | 再認証の間隔 | |
ssoUserStatus | ユーザステータス | |
ssoNotBefore | 有効期間開始日時 | |
ssoNotAfter | 有効期間満了日時 | |
ssoFailureCount | ユーザ名/パスワードによる認証失敗回数 | |
ssoLockTimeStamp | ロックアウト時間 | |
ssoSessionInfo | SSOセション情報 |
名前として姓名を設定します。利用者のエントリを特定する名前です。
必ず設定してください。
証明書認証による運用において名前で利用者を特定する場合は、必ず一意の名前を設定してください。
・英数字
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、ハイフン(-)、イコール(=)、スラッシュ(/)、縦線(|)、アンダースコア(_)、シングルクォーテーション(')、コロン(:)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
Fujitsu Tarou
・設定した値は、大文字・小文字の区別をしません。
・本属性に連続してスペース( )を設定しないでください。
姓、またはラストネームを設定します。personオブジェクトクラスの必須属性です。
一般的な定義の場合は、必ず設定してください。
・英数字
・日本語
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、ハイフン(-)、イコール(=)、スラッシュ(/)、縦線(|)、アンダースコア(_)、シングルクォーテーション(')、コロン(:)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
Fujitsu
設定した値は、大文字・小文字の区別をしません。
利用者がパスワード認証に使用するパスワードを設定してください。
・英数字
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、円マーク(\)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、小なり(<)、大なり(>)、プラス(+)、ハイフン(-)、イコール(=)、アスタリスク(*)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォーテーション(')、コロン(:)、セミコロン(;)、カンマ(,)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
Tarou1234
・設定した値は、大文字・小文字の区別をします。
・本属性に設定可能な文字以外を設定した場合には、利用者の認証に失敗します。
・本属性を複数設定しないでください。複数設定した場合は、利用者の認証が正しく行われない場合があります。
利用者がパスワード認証に使用するユーザIDを設定してください。
必ず一意のIDを設定してください。
・英数字
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、円マーク(\)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、プラス(+)、ハイフン(-)、イコール(=)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォーテーション(')、セミコロン(;)、カンマ(,)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
256バイト (セションの管理を行う場合)
tarou
・設定した値は、大文字・小文字の区別をしません。
・本属性に連続してスペース( )を設定しないでください。
・本属性に設定可能な文字以外を設定した場合には、利用者の認証に失敗します。
・本属性を複数設定しないでください。複数設定した場合は、利用者の認証が正しく行われません。
従業員番号など、利用者に割り当てられている番号を設定します。
証明書認証による運用において従業員番号で利用者を特定する場合は必ず一意の番号を設定してください。
・英数字
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、円マーク(\)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、プラス(+)、ハイフン(-)、イコール(=)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォーテーション(')、コロン(:)、セミコロン(;)、カンマ(,)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
000001
・設定した値は、大文字・小文字の区別をしません。
・本属性に連続してスペース( )を設定しないでください。
電子メールアドレスを設定します。
証明書認証による運用において電子メールアドレスで利用者を特定する場合は必ず一意のアドレスを設定してください。
・英数字
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、円マーク(\)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、プラス(+)、ハイフン(-)、イコール(=)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォーテーション(')、コロン(:)、セミコロン(;)、カンマ(,)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
tarou@jp.fujitsu.com
・設定した値は、大文字・小文字の区別をしません。
・本属性に連続してスペース( )を設定しないでください。
シリアル番号を設定します。
証明書認証による運用においてシリアル番号で利用者を特定する場合は必ず一意の番号を設定してください。
・英数字
・スペース( )、シングルクォーテーション(')、左括弧(()、右括弧())、プラス(+)、カンマ(,)、ハイフン(-)、ピリオド(.)、スラッシュ(/)、コロン(:)、イコール(=)、クエスチョンマーク(?)
1234-1234-AB
・設定した値は、大文字・小文字の区別をしません。
・本属性に連続してスペース( )を設定しないでください。
利用者が属するロール名、またはロールセット名を設定します。
複数設定する場合は、「ssoRoleName」属性を複数設定してください。
・英数字
・日本語
・スペース( )、エクスクラメーション(!)、クエスチョンマーク(?)、アットマーク(@)、円マーク(\)、シャープ(#)、ドルマーク($)、パーセント(%)、アンパサンド(&)、左括弧(()、右括弧())、左中括弧({)、右中括弧(})、左角括弧([)、右角括弧(])、小なり(<)、大なり(>)、プラス(+)、ハイフン(-)、イコール(=)、アスタリスク(*)、スラッシュ(/)、縦線(|)、アンダースコア(_)、ダブルクォーテーション(")、シングルクォーテーション(')、コロン(:)、セミコロン(;)、ピリオド(.)、カレット(^)、バッククォート(`)、チルダ(~)
512バイト
Admin
本属性に、ロール定義に登録されていないロールやロールセット(削除されたため存在しなくなった場合も含む)が設定された場合、本属性は無視されます。また、本属性の設定が無視された結果、利用者の属するロールが1つもなかった場合、その利用者はInterstage シングル・サインオンで保護されるサイトにアクセスできなくなります。
利用者の認証方式を設定します。
省略した場合は、“basicAuthOrCertAuth”とみなします。
basicAuth:パスワード認証
certAuth:証明書認証
basicAuthAndCertAuth:パスワード認証かつ証明書認証
basicAuthOrCertAuth:パスワード認証または証明書認証
・basicAuth
・certAuth
・basicAuthAndCertAuth
・basicAuthOrCertAuth
basicAuthOrCertAuth
設定した値は、大文字・小文字の区別をしません。
証明書認証が許可されていないセションの管理を行うシステムで“certAuth”を設定した場合、利用者の認証に失敗します。“certAuth”を設定する場合は、セションの管理を行うシステムで証明書認証を行うための設定が必要です。証明書認証を行うための設定については、“付録I セションの管理を行うシステムで証明書認証を行うための設定”を参照してください。
再認証の間隔を[分単位]で設定します。
“0”、および“30”~“1440”の範囲で設定してください。
“0”を設定した場合、セションの管理を行う場合は“1440”とみなし、セションの管理を行わない場合は再認証を行いません。
・数字
60
“30”未満を設定した場合は“30”分に、“1440”を超える値を設定した場合は“1440”分(24時間)とみなします。
利用者のアカウントのロック状態が以下の値で設定されます。
good:ロックされていない
locked:ロックされている
good
・ロック状態の解除はInterstage管理コンソールの[利用者のロック解除]設定で行います。ロック状態の解除方法については“4.5.7 ロックアウトの解除”を参照してください。
・ユーザプログラムで本属性を操作することで、利用者をロックすることができます。利用者をロックするユーザプログラムについては“B.7 利用者をロックする”を参照してください。
利用者のシングル・サインオンを利用開始する日時を設定します。
設定した日時以前に利用者がシングル・サインオンを利用した場合には認証に失敗します。
日本時間を設定する場合は、“YYYYMMDDHHMMSS+0900”という形式で設定してください。グリニッジ標準時で設定する場合は“YYYYMMDDHHMMSSZ”という形式で設定してください。省略した場合は、即時にシングル・サインオンを利用できます。
なお、本属性はサマータイムに対応しています。
YYYY:年(西暦4桁)
MM :月(2桁)
DD :日(2桁)
HH :時(24時間制2桁)
MM :分(2桁)
SS :秒(2桁)
・数字
20030101000000+0900
・「ssoNotBefore」と「ssoNotAfter」には別の日時を設定してください。同じ日時を設定した場合には、利用者の認証に失敗します。
・「ssoNotBefore」は「ssoNotAfter」よりも早い日時を設定してください。「ssoNotBefore」に設定した日時よりも「ssoNotAfter」に設定した日時の方が早い場合には、利用者の認証に失敗します。
・「ssoNotBefore」と「ssoNotAfter」には、日本時間で設定する場合やグリニッジ標準時で設定する場合に関係なく“20000101000000”から“20371231235959”の間の日時を設定してください。範囲外の日時を設定した場合は、利用者の認証に失敗します。
・ユーザ情報を登録するディレクトリサービスにActive Directoryを使用し、Active Directoryにシングル・サインオンのスキーマを拡張する場合、日本時間を設定する時は“YYYYMMDDHHMMSS.0+0900”、グリニッジ標準時で設定する時は“YYYYMMDDHHMMSS.0Z”という形式で設定してください。
利用者のシングル・サインオンを利用終了する日時を設定します。
設定した日時以降に利用者がシングル・サインオンを利用した場合には認証に失敗します。
日本時間を設定する場合は、“YYYYMMDDHHMMSS+0900”という形式で設定してください。グリニッジ標準時で設定する場合は“YYYYMMDDHHMMSSZ”という形式で設定してください。省略した場合は、無期限でシングル・サインオンの利用が可能となります。
なお、本属性はサマータイムに対応しています。
YYYY:年(西暦4桁)
MM :月(2桁)
DD :日(2桁)
HH :時(24時間制2桁)
MM :分(2桁)
SS :秒(2桁)
・数字
20030102000000+0900
・「ssoNotBefore」と「ssoNotAfter」には別の日時を設定してください。同じ日時を設定した場合には、利用者の認証に失敗します。
・「ssoNotBefore」は「ssoNotAfter」よりも早い日時を設定してください。「ssoNotBefore」に設定した日時よりも「ssoNotAfter」に設定した日時の方が早い場合には、利用者の認証に失敗します。
・「ssoNotBefore」と「ssoNotAfter」には、日本の時刻で設定する場合やグリニッジ標準時で設定する場合に関係なく“20000101000000”から“20371231235959”の間の日時を設定してください。範囲外の日時を設定した場合は、利用者の認証に失敗します。
・ユーザ情報を登録するディレクトリサービスにActive Directoryを使用し、Active Directoryにシングル・サインオンのスキーマを拡張する場合、日本時間を設定する時は“YYYYMMDDHHMMSS.0+0900”、グリニッジ標準時で設定する時は“YYYYMMDDHHMMSS.0Z”という形式で設定してください。
利用者がユーザ名/パスワードによる認証に失敗した回数です。
正しいユーザ名/パスワードを指定して認証に成功すると0にリセットされます。この値はリポジトリサーバにより設定されます。
本属性は設定、および変更しないでください。
リポジトリサーバにより利用者がロックされた日時がグリニッジ標準時(YYYYMMDDHHMMSSZ)で設定されます。
・ユーザプログラムで本属性を操作することで、利用者をロックすることができます。利用者をロックするユーザプログラムについては“B.7 利用者をロックする”を参照してください。
・ユーザプログラムで値を設定する場合には、“YYYYMMDDHHMMSSZ”、または“YYYYMMDDHHMMSS+XXXX”という形式で設定してください。また、日本の時刻で設定する場合やグリニッジ標準時で設定する場合に関係なく“20000101000000”から“20371231235959”の間の日時を設定してください。範囲外の日時を設定した場合は、利用者の認証に失敗します。
セションの管理を行う際に必要な内部情報が、リポジトリサーバにより設定されます。
本属性は設定、および変更しないでください。
DN修飾子を設定します。
証明書認証による運用においてDN修飾子で利用者を特定する場合は必ず一意の番号を設定してください。
・英数字
・スペース( )、シングルクォーテーション(')、左括弧(()、右括弧())、プラス(+)、カンマ(,)、ハイフン(-)、ピリオド(.)、スラッシュ(/)、コロン(:)、イコール(=)、クエスチョンマーク(?)
・設定した値は、大文字・小文字の区別をしません。
・本属性に連続してスペース( )を設定しないでください。
