Interstage シングル・サインオンで管理する利用者のユーザIDやパスワード、認証方式などの情報を定義します。
なお、ユーザ情報の定義には、人を対象とした一般的な定義と、プリンタなどのネットワークデバイスを対象とした特殊な定義があります。
【一般的な定義の場合】
ユーザ情報オブジェクトクラス | 説明 |
top | 基本LDAPオブジェクトクラス |
person | ユーザ情報 |
inetOrgPerson | |
organizationalPerson | |
ssoUser | SSOの利用ユーザ情報 |
属性名 | 日本語名 | 説明 | 登録例 |
cn | 名前 | 姓名を設定します。(注1)(注2) | Fujitsu Tarou |
sn | 姓 | 姓を設定します。 | Fujitsu |
uid | ユーザID | 利用者を特定するユーザIDであり、パスワード認証に使用するユーザIDを設定します。(注1)(注2)(注3) | tarou |
userPassword | パスワード | パスワード認証に使用するパスワードを設定します。(注4) | Taroupasswd |
その他認証に必要な情報 ※運用に応じて設定を行います。 | |||
employeeNumber | 従業員番号 | 社員番号など、利用者に割り当てられている番号を設定します。(注1)(注2) | 000001 |
電子メールアドレス | 電子メールアドレスを設定します。(注1) (注2) | tarou@jp.fujitsu.com | |
dnQualifier | DN修飾子 | DN修飾子を設定します。(注1)(注2) | 000001 |
【特殊な定義の場合】
ユーザ情報オブジェクトクラス | 説明 |
top | 基本LDAPオブジェクトクラス |
device | プリンタなどのネットワークデバイスの情報 |
uidObject | ユーザID情報 |
ssoUser | SSOの利用ユーザ情報 |
属性名 | 日本語名 | 説明 | 登録例 |
cn | 名前 | デバイス名を設定します。(注1)(注2) | Device10000 |
uid | ユーザID | 利用者を特定するユーザIDであり、パスワード認証に使用するユーザIDを設定します。(注1)(注2)(注3) | 1234-1234-AB |
serialNumber | シリアル番号 | シリアル番号を設定します。(注1)(注2) | 1234-1234-AB |
【一般的な定義、および特殊な定義共通】
属性名 | 日本語名 | 説明 | 登録例 |
その他認証に必要な情報 ※運用に応じて設定を行います。 | |||
ssoRoleName | ロール名 | 利用者が属するロール名、またはロールセット名を設定します。(注1)(注5) | Admin |
ssoAuthType | 認証方式 | 利用者の認証方式を以下の値で設定します。(注1) | basicAuthOrCertAuth |
ssoCredentialTTL | 再認証の間隔 | 利用者を再認証するまでの間隔を以下の範囲で[分単位]で設定します。 | 60 |
ssoUserStatus | ユーザステータス | 利用者がロックされているかをリポジトリサーバが設定します。(注7)(注11) | good |
ssoNotBefore | 有効期間開始日時 | 利用者のシングル・サインオン運用を開始する日時を以下の範囲で設定します。(注8)(注9) | 20030101000000+0900 |
ssoNotAfter | 有効期間満了日時 | 利用者のシングル・サインオン運用を終了する日時を以下の範囲で設定します。(注8)(注9) | 20030102000000+0900 |
ssoFailureCount | ユーザ名/パスワードによる認証失敗回数 | 利用者が誤ったパスワードを指定してパスワード認証に失敗した回数です。正しいパスワードを指定して認証に成功すると0にリセットされます。この値はリポジトリサーバが設定します。(注10) | 0 |
ssoLockTimeStamp | ロックアウト時間 | 利用者がロックされた日時をグリニッジ標準時(YYYYMMDDHHMMSSZ)でリポジトリサーバが設定します。(注11)(注12) | 20020101090000Z |
ssoSessionInfo | SSOセション情報 | セションの管理を行う際に必要な内部情報をリポジトリサーバが設定します。(注10) | 00:20020101090000Z |
注1)設定した値は、大文字・小文字の区別をしません。
注2)本属性には、連続してスペース( )を設定しないでください。
注3)本属性には、英数字、およびコロン(:)を除く記号が使用できます。これら以外を設定した場合には、利用者の認証に失敗します。また、本属性を複数設定しないでください。複数設定した場合は、利用者の認証に失敗します。
注4)本属性には、英数字、および記号が設定できます。これら以外を設定した場合には、利用者の認証に失敗します。また本属性を複数設定しないでください。複数設定した場合は、利用者の認証に失敗する場合があります。
注5)本属性に、ロール定義に登録されていないロールやロールセット(削除されたため存在しなくなった場合も含む)を設定した場合、本属性は無視されます。また、本属性の設定が無視された結果、利用者の属するロールが1つもなかった場合、その利用者はInterstage シングル・サインオンで保護されるサイトにアクセスできなくなります。
注6)証明書認証が許可されていないセションの管理を行うシステムの場合は、本属性に“certAuth”を設定しないでください。設定した場合は、利用者の認証に失敗します。“certAuth”を設定する場合は、セションの管理を行うシステムで証明書認証を行うための設定が必要です。証明書認証を行うための設定については、“付録I セションの管理を行うシステムで証明書認証を行うための設定”を参照してください。
注7)ロック状態の解除は、リポジトリサーバのInterstage管理コンソールの[利用者のロック解除]設定で行います。
注8)「ssoNotBefore」と「ssoNotAfter」には別の日時を設定し、「ssoNotBefore」は「ssoNotAfter」よりも早い日時を設定してください。また、範囲内の日時を設定してください。正しく設定されていない場合には、利用者の認証に失敗します。
注9)本属性はサマータイムに対応しています。
注10)本属性は設定、および変更しないでください。
注11)本属性をユーザプログラムから操作することにより、利用者を強制的にロックすることができます。
注12)ユーザプログラムで値を設定する場合には、“YYYYMMDDHHMMSSZ”、または“YYYYMMDDHHMMSS+XXXX”という形式で設定してください。また、日本の時刻で設定する場合やグリニッジ標準時で設定する場合に関係なく“20000101000000”から“20371231235959”の間の日時を設定してください。範囲外の日時を設定した場合は、利用者の認証に失敗します。
注13)ユーザ情報を登録するディレクトリサービスにActive Directoryを使用し、Active Directoryにシングル・サインオンのスキーマを拡張する場合、日本時間を設定する時は“YYYYMMDDHHMMSS.0+0900”、グリニッジ標準時で設定する時は“YYYYMMDDHHMMSS.0Z”という形式で設定してください。
注14)Interstage Application Server V9.0以前から移行した環境の場合は、以下の計算式より算出します。リポジトリサーバ(更新系)が複数台設置されている場合は、各リポジトリサーバ(更新系)の中で最も長いサイズを指定してください。
256 + ((512 + (リポジトリサーバ(更新系)のローカルホスト名(FQDN)の長さ)) ÷ 3 × 4)
