認証サーバ間連携を行うシステムにおけるセションの管理について説明します。
利用者のセションは、認証サーバ間連携を行う場合も、認証してからサインオフするまでを1つのセションとして管理されます。
認証サーバ間連携を行うInterstage シングル・サインオンシステム全体で1つのセションを監視しますが、自シングル・サインオンシステムと相手シングル・サインオンシステムでは、セションの監視方法が異なります。
以下に、セションの監視方法と、セションの管理機能の動作について、自シングル・サインオンシステム利用者の場合を例に説明します。
セションの監視方法
自シングル・サインオンシステム
利用者のセションの状態をリアルタイムに監視します。
相手シングル・サインオンシステム
自シングル・サインオンシステムに利用者のセションの状態を問い合わせ、一定時間キャッシュすることで監視します。
詳細な監視の流れを以下に示します。
利用者からアクセスを受け付けた場合、利用者のセションがキャッシュされているか確認します。
利用者のセションがキャッシュされている場合は、その利用者のセションが有効かどうか、セションの状態を確認します。
利用者のセションがキャッシュされていない場合は、自シングル・サインオンシステムに問い合わせ、セションの状態を確認します。
利用者のセションが有効な場合、自シングル・サインオンシステムで設定されているキャッシュ時間(注)の間、セションの状態をキャッシュして監視します。
注)セションのキャッシュ時間については、認証サーバのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[認証サーバ間連携サービス詳細設定[表示]]をクリックし、[自シングル・サインオンシステムの情報]の[セションのキャッシュ時間]で設定します。
セションの管理機能の動作
利用者は、利用したどのInterstage シングル・サインオンシステムにおいても、サインオフを実施することができます。利用したいずれか一つのInterstage シングル・サインオンシステムにおいてサインオフを実施することで、利用したすべてのInterstage シングル・サインオンシステムからサインオフできます。
自シングル・サインオンシステム利用者が、各システムにおいて強制サインオンした場合、すでにサインオンしている利用者のセションの状態は、以下のように各システムにおいて異なります。
自シングル・サインオンシステム
自動的に無効となります。
相手シングル・サインオンシステム
キャッシュ時間が経過した後に無効になります。
なお、自シングル・サインオンシステムに設定されている[強制サインオン]の設定は、自シングル・サインオンシステム利用者に対してだけ有効となります。
以下の点に注意して実施してください。
利用者がアクセスしたすべてのInterstage シングル・サインオンシステムで強制サインオフを実施してください。
複数のInterstage シングル・サインオンシステムにて強制サインオフを実施する必要がある場合は、利用者が認証を行ったシングル・サインオンシステムから順に、強制サインオフを実施してください。
利用者が認証を行ったシングル・サインオンシステムが、自シングル・サインオンシステムか、相手シングル・サインオンシステムかによって、強制サインオフの実施手順が異なります。強制サインオフの実施手順については、“7.3.3 強制サインオフ”を参照してください。
利用者のアイドル状態は、認証サーバ間連携を行っているInterstage シングル・サインオンシステム全体で監視します。アイドル監視時間は、利用者が認証を行うシステムに設定したシングル・サインオンシステムのリポジトリサーバに設定されている[アイドル監視時間]が有効となります。利用者がアクセスする業務システムが属するシングル・サインオンシステムのリポジトリサーバの設定には依存しません。
認証サーバ間連携を行っているシングル・サインオンシステム全体に対して、再認証の間隔に設定した時間が経過した後、再認証が求められます。
自シングル・サインオンシステム利用者は、自シングル・サインオンシステムに設定されている再認証の間隔によって再認証が求められます。
利用したどのInterstage シングル・サインオンシステムでも、前回サインオン日時の確認を行うことができます。
セションの管理を行わないシステムでは、セションの監視方法、およびセションの管理機能の動作が異なります。詳細については、“使用上の注意”の“注意事項”-“Interstage シングル・サインオンの注意事項”-“認証サーバ間連携に関する注意事項”を参照してください。