ページの先頭行へ戻る
 Teamware Collaboration Suite V2.0グループウェア機能管理者ガイド
第12章 Webサービスの管理 > 12.12 Interstage Application Serverを利用したシングルサインオン > 12.12.1 Interstage SSOの設定
前次

12.12.1 Interstage SSOの設定

Interstage SSOに参加するためには、以下の作業が必要です。

  1. SSO管理者とユーザアカウントのマッピング方法を合意する。

  2. SSO管理者からサービスIDファイルを入手する。

  3. 初期化ファイル(http.ini)を編集する。

SSO管理者とユーザアカウントのマッピング方法を合意する

Interstage SSOは、クッキーを使ってサーバ間でユーザの認証情報を受け渡すことにより、シングルサインオンを実現します。

TeamWARE Office は、クッキーで渡される認証情報に含まれる情報を使ってTeamWARE Officeのユーザアカウントのログイン名を構成することで、TeamWARE Officeのユーザアカウントを特定します。認証情報内のどの情報を使ってTeamWARE Officeのログイン名を構成するのかについて、事前にSSO管理者と合意してください。認証情報内の情報を使って、TeamWARE Officeのログイン名を構成する規則の設定については、"12.12.2 ユーザアカウントのマッピングルールの設定"を参照してください。

SSO管理者からサービスIDファイルを入手する

クッキーに含まれる認証情報は"サービスID"と呼ばれる鍵を使って暗号化されています。サービスIDは、Interstage Application Serverの業務サーバで提供するサービスごとに、SSO管理者によって決められます。

サービスIDやブラウザがクッキーを送信するドメインを格納したファイルを"サービスIDファイル"と呼びます。Interstage SSOに参加するためには、SSO管理者から、TeamWARE Office用のサービスIDファイル("ドメインの単位で共通のサービスIDファイル")を入手し、TeamWARE Officeサーバのインストールフォルダ配下にコピーしてください。

サービスIDファイルに格納されている情報は、セキュリティ上、非常に重要です。厳重に管理するためにサービスIDファイルには以下のような権限を設定してください。

初期化ファイル(http.ini)を編集する

初期化ファイルの以下のセクションで、Interstage SSOの設定を行います。

[SSO]セクション
[SSO]セクションの設定例
[SSO]
UseSSO = 1
SSOHostURL = http://certifysv.xxxxx.fujitsu.com:4432/ssoatcag
SSOServiceIDFilePath = d:/teamware/server/domain.sid
SSOMapKey = LOGON_NAME
SSOMapFormat = %employeeNumber
SSOCredentialIPCheck = 1
[SSO]セクションの説明

  • UseSSOキー
    シングルサインオンを行うかどうかを指定します。

    標準値は"0"です。

    0:シングルサインオンを行いません。
    1: シングルサインオンを行います。

  • SSOHostURLキー
    連携しているInterstage Application Serverの認証サーバのURLを、SSO管理者に確認し、指定します。URLには、IPv6のIPアドレスは指定できません。

  • SSOServiceIDFilePathキー
    TeamWARE Officeのディレクトリサーバ上にコピーしたサービスIDファイルの絶対パス名を指定します。

  • SSOMapKey = LOGON_NAME
    TeamWARE Officeのユーザアカウントを特定するための、TeamWARE Office側の属性を指定します。LOGON_NAMEだけが指定できます。

    LOGON_NAMEは、ログイン名でユーザアカウントを特定することを意味します。

    本キーは省略することができます。

  • SSOMapFormatキー
    [SSOMapKey]のキー値で指定された属性を、Interstage Application Serverでのユーザアカウントの属性を使って、どのように組み立てるかを指定します。

    標準値は、"%uid"です。

    詳細は、"12.12.2 ユーザアカウントのマッピングルールの設定"を参照してください。

  • SSOCredentialIPCheck キー
    認証を受けた時のクライアントのIPアドレスと、その認証情報を使った現在の要求元のIPアドレスが一致していることを検査するかどうかを指定します。

    標準値は"1"です。

    0: IPアドレスの一致は検査されません。
    1: IPアドレスの一致が要求ごとに検査されます。

    プロキシ経由のアクセスなどで、認証時の要求元IPアドレスと、要求時の IPアドレスが異なる可能性がある場合は、"0"を指定してください。

[Security]セクション
[Security]セクションの設定例
[Security]
CookieName = fj-is-sso-credential
UseCookieLogin = 1
CookiePath = /
[Security]セクションの説明

  • CookieName = fj-is-sso-credential
    認証に使用するクッキーの名前を指定します。
    本キーを指定する場合は、必ず、"fj-is-sso-credential"を指定してください。
    省略した場合は、CookieNameキーの値として"fj-is-sso-credential"が使用されます。

  • UseCookieLogin
    認証にクッキーの値を使用するかどうかを指定します。
    必ず"1"を指定してください。

  • CookiePath
    CookiePathキーについては、"12.3.7 [Security]セクション"を参照してください。

注意

CookieDomainキーは無視されます。ブラウザがクッキーを送信するドメインとして、サービスIDファイルで定義されたドメインが使用されます。

[HTTPHeader]セクション
[HTTPHeader]セクションの設定例
[HTTPHeader]
MaxURILen = 4096
[HTTPHeader]セクションの説明

  • MaxURILen = 4096
    Webサービスが扱うことができるURLの長さをバイトで指定します。
    Interstage SSOをご利用の場合には、4096を指定してください。
    本キーについての詳細は、"12.3.14 [HTTPHeader]セクション"を参照してください。

前次
Copyright 2013 FUJITSU LIMITED