他社連携時、SPとして動作するInterstage シングル・サインオンシステムにおけるセションの管理は、以下の点を除き、認証サーバ間連携時と同じです。

• セションのキャッシュ時間には、認証時、IdP側から通知されるアサーションに含まれる“セションが終了する時間”を使用します。(注1)(注2)

• IdP側から“セションが終了する時間”が通知されない場合、セションの状態をキャッシュする時間は5分間となります。

  認証サーバ間連携時のセションの管理については、“7.1.5 セションの管理”を参照してください。
  また、他社シングル・サインオンシステムにおける“セションが終了する時間”については、他社製品のドキュメントを参照してください。

  以降で、セションの管理機能の動作の詳細について説明します。

注1)“セションが終了する時間”は、AuthnStatement要素のSessionNotOnOrAfter属性の値を指します。
注2)認証サーバのInterstage管理コンソールにおいて、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定] > [認証サーバ間連携サービス詳細設定[表示]] > [自シングル・サインオンシステムの情報]の[セションのキャッシュ時間]で設定している値は無効です。

  サインオン時の認証は、IdPである他社シングル・サインオンシステムで行います。SPとなるInterstage シングル・サインオンシステムで認証は行いません。

  サインオフは、認証サーバ間連携時のサインオフと同じです。認証サーバ間連携時のサインオフについては、“サインオフ”を参照してください。

  強制サインオンの機能は、IdPである他社シングル・サインオンシステムに依存し、IdP側の強制サインオンの機能の有無に応じて以下のように動作します。(注)

• 強制サインオンの機能がIdP側にある場合

  認証サーバ間連携における相手シングル・サインオンシステムの強制サインオンの機能と同じです。認証サーバ間連携時の強制サインオンの機能については、“強制サインオン”を参照してください。

• 強制サインオンの機能がIdP側にない場合

  強制サインオンは行われません。

  他社シングル・サインオンシステムの強制サインオンの機能の有無については、他社製品のドキュメントを参照してください。

注)リポジトリサーバのInterstage管理コンソールにおいて、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定] > [セション管理詳細設定[表示]] > [サインオン]の[強制サインオン]は無効となります。

  他社連携時の強制サインオフの機能は、IdP側の他社シングル・サインオンシステムに依存し、IdP側の強制サインオフの機能の有無に応じて以下のように動作します。

• 強制サインオフの機能がIdP側にある場合

  すでにサインオンしているSP側の利用者のセションは、IdP側で強制サインオフを実施した後、最大でセションのキャッシュ時間経過後に無効になります。

• 強制サインオフの機能がIdP側にない場合

  強制サインオフは行われません。

  他社シングル・サインオンシステムの強制サインオフの機能の有無については、他社製品のドキュメントを参照してください。

  他社連携時のアイドル監視の機能は、IdP側の他社シングル・サインオンシステムに依存し、IdP側のアイドル監視の機能の有無、およびセションのキャッシュ時間に応じて以下のように動作します。

• アイドル監視の機能がIdP側にある場合

  • セションのキャッシュ時間が、IdP側のアイドル監視時間より短い場合

    利用者のアイドル状態は、連携を行っているInterstage シングル・サインオンシステム、および他社シングル・サインオンシステム全体で監視します。アイドル監視時間は、他社シングル・サインオンシステムが提供しているアイドル監視の機能に設定されている値となります。

  • セションのキャッシュ時間が、IdP側のアイドル監視時間より長い場合

    すでにサインオンしている利用者のSP側のセションは、IdP側でアイドル監視時間が超過し、タイムアウトが発生した後、最大でセションのキャッシュ時間経過後に無効になります。

• アイドル監視の機能がIdP側にない場合

  アイドル監視は行われません。

  他社シングル・サインオンシステムにおけるアイドル監視の機能の有無については、他社製品のドキュメントを参照してください。

  他社連携時の再認証の機能は、IdP側の他社シングル・サインオンシステムに依存し、IdP側の再認証の機能の有無に応じて以下のように動作します。(注)

• 再認証の機能がIdP側にある場合

  認証サーバ間連携時の再認証の機能と同じです。認証サーバ間連携時の再認証の機能については、“再認証”を参照してください。
  ただし、他社シングル・サインオンシステムで設定されている再認証時間で再認証を行うには、認証サーバ間連携の定義を変更する必要があります。具体的な変更方法については、“付録H 他社連携における再認証時間の設定”を参照してください。認証サーバ間連携の定義を変更しなかった場合、30分が設定されたとみなします。
  また、IdPの再認証時間と異なる値を設定した場合、IdP側で再認証時間が超過した後、最大でセションのキャッシュ時間経過後に再認証が発生します。

• 再認証の機能がIdP側にない場合

  再認証は行われません。

  他社シングル・サインオンシステムにおける再認証の機能の有無については、他社製品のドキュメントを参照してください。

注)認証サーバのInterstage管理コンソールにおいて、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定] > [詳細設定[表示]] > [認証後の操作]の[再認証の間隔]で設定している値は無効です。

  他社連携利用時は、前回サインオン日時の確認はできません。前回サインオン日時を確認するURLにアクセスすると、“nothing”と表示されます。