ここでは、保護リソースの情報を認証サーバに設定するために必要な環境定義について説明します。
業務システムの保護リソース以外からの認証要求を抑止する場合は、SSOリポジトリに登録した業務システムのサイト定義、および保護パスの情報を認証サーバの環境定義ファイルに設定する必要があります。
認証サーバの環境定義ファイルを更新する場合は、以下の手順に従って行ってください。
認証サーバを停止します。
認証サーバの環境定義ファイルを更新します。
認証サーバを起動します。
認証サーバの起動、および停止手順については、“4.1.2 認証サーバの起動”、または“4.2.2 認証サーバの停止”を参照してください。
業務システムの保護リソース以外からの認証要求を抑止するための環境定義については、環境定義ファイルの直接編集でのみ設定が可能です。通常のシングル・サインオンシステムの各サーバの環境定義と同様に、Interstage管理コンソールを使用して設定することはできません。
セションの管理を行う場合は、本設定を行う必要はありません。
環境定義ファイルを設定する際の注意
各環境定義ファイルを設定する場合は、以下の点に注意してください。
環境定義ファイルの設定ミスなどによるエラーメッセージは、システムのログに記録されます。この際、システムのログに同一のメッセージが重複して記録される場合があります。
環境定義ファイル内の各項目は、“定義名=設定値”の形式で、行の先頭から設定してください。また、“=”の前後には空白を入れずに設定してください。
複数行での設定が可能な項目以外を複数の行で設定した場合は、ファイルの先頭行からみて最初に出現する行の設定が有効となり、2回目以降に出現する行の設定は無視されます。
環境定義ファイル内の各項目には、余分な空白を入れずに正確に設定してください。
例えば、“定義名=123 ”(123の後に空白)や、“定義名= NO”(NOの前に空白)といった設定は、正しくありません。このように設定された場合は、省略されたものとみなして動作します。
環境定義ファイルに存在しない(不当な)項目名が設定された場合は、無視されます。
一度に複数の値が設定可能な項目については、カンマ“,”で区切って続けて設定してください。
“#”で始まる行は、コメント行とみなします。
以下に、環境定義ファイルの設定例(設定に誤りがある例)を示します。
repository-port=□389 <-□は半角空白 |
1行目の、“repository-port”には、“=”の後に空白が入っているため、“ 389”が設定されたものとみなします。
2行目には、先頭に“#”をつけているため、コメント行とみなします。
3行目と4行目の、“repository-user-search-base”のように、同じ定義名による設定が複数存在する場合は、先頭からみて、最初に出現する行(3行目)に設定した値が有効となり、それ以降の設定は無効となります。
5行目の、“accesslog-save-all-log”の定義名を間違えて、“accesslog-save-all”と設定した場合は、設定されていないものとみなします。項目の設定が省略可能な項目については省略値で動作し、必須の項目についてはエラーとなります。
6行目の、“repository-role-search-base”には空白が設定されています。このような場合は、項目の設定自体が無効となります。項目の設定が省略可能な項目については省略値で動作し、必須の項目についてはエラーとなります。
認証サーバの環境定義ファイルの更新
認証サーバに格納されている環境定義ファイルに、SSOリポジトリに登録した業務システムのサイト定義、および保護パスの情報を定義します。
以下の表に示す各設定項目を、テキストエディタなどを使用して設定してください。
以下の表に示す設定項目以外は編集しないでください。設定項目以外を編集した場合、認証サーバが正しく動作しなくなる場合があります。
ssoatcag.conf
C:\Interstage\F3FMsso\ssoatcag\conf
/etc/opt/FJSVssoac/conf
項目 | 定義名 | 設定内容 | 省略可否 |
保護リソース以外からの認証要求の抑止 | reject-incorrect-protection-resource-url | 業務システムの保護リソース以外からの認証要求を抑止するかどうかを設定します。 フォーム認証で運用し、利用者が直接認証基盤のURLにアクセスして認証する場合は、認証要求の抑止は行いません。 | 省略可 |
認証要求を受け付ける保護リソースのURL | protection-resource-url | 業務システムの保護リソース以外からの認証要求を抑止する場合において、認証要求を受け付ける保護リソースのURLを設定します。 上記のURL形式については、以下に注意して設定してください。 英数字、または記号のみを使用してください。ただし、以下の記号は使用できません。 漢字などのマルチバイト文字(MBCS)は使用しないでください。 2048バイト以内の文字列を指定してください。 設定するURL形式にはクエリ文字列は含めないでください。 保護リソースのURLの設定例) 設定された保護リソースのURLの末尾が“/”の場合はディレクトリとして扱い、設定値と認証要求時に提示されたURLが前方一致した場合にのみ、認証要求を受け付ける保護リソースに該当したとみなします。 保護リソースのURLを複数設定する場合は、1行に1つの保護リソースのURLを設定し、複数の行に繰り返して設定してください。 設定例) “reject-incorrect-protection-resource-url”が“YES”の場合に本項目を省略した場合は、認証サーバ起動時にシステムのログにsso02008のエラーメッセージを出力し、認証サーバを停止します。 | 省略可 |
以下に、定義ファイルの設定例を示します。
保護リソース以外からの認証要求を抑止し、認証要求を受け付ける保護リソースのURLに以下を設定している例です。
保護リソースのURL : https://bus.example.com:443/protect/
: https://bus.example.com:443/bussystem/
reject-incorrect-protection-resource-url=YES |
定義項目“protection-resource-url”の設定値について
認証サーバの定義項目“protection-resource-url”には、SSOリポジトリに登録したすべての保護リソース情報を正しく設定してください。設定値がSSOリポジトリに登録した保護リソース情報と同等でない場合、保護リソース以外からの認証要求の抑止が正しく行われません。
Interstage Security DirectorのInterstage シングル・サインオン連携機能を使用する場合
Interstage Security Directorが提供するInterstage シングル・サインオン連携機能を使用する場合、認証サーバの定義項目“protection-resource-url”には、以下のURL形式で設定してください。
<URL形式>
[プロトコルスキーム][ホスト名][:ポート番号][パス]
[プロトコルスキーム]:
Interstage Security Directorのクライアント間の通信方法に合わせて、以下のように設定します。
・Interstage Security Directorとクライアント間がHTTP通信の場合
“http://”を設定します。
・Interstage Security Directorとクライアント間がSSL通信の場合
“https://”を設定します。
[ホスト名]:
認証サーバへ送信するPROXYサーバの自サーバ名を設定します。
Interstage Security Directorの以下に指定したサーバ名を設定してください。
・Interstage シングル・サインオン認証サーバ設定の“PROXYの自サーバ名”
[:ポート番号]:
PROXYサーバがクライアントからの要求を受け付けるポート番号を設定します。
Interstage Security Directorの以下に指定したポート番号を設定してください。
・PROXYサーバ環境設定の基本設定の“ポート番号”
[パス]:
“/”を設定してください。
Interstage Security Directorの設定については、Interstage Security Directorのマニュアルの、“HTTPアプリケーションゲートウェイ機能説明書(統合環境設定編)”-“Interstage シングル・サインオン連携機能”を参照してください。
保護リソース情報の追加、変更、または削除
SSOリポジトリ上の保護リソース情報の追加、変更、または削除を行った場合、認証サーバの定義項目“protection-resource-url”を編集し、認証サーバを再起動してください。
また、実際に保護リソースにアクセスを行い、定義通りに正しく動作しているか確認するよう業務サーバ管理者に依頼してください。