Interstage シングル・サインオンでは、以下の設定を行うことにより、利用者が離席した場合に発生する、第三者による不正利用の脅威を低減することができます。

• アイドル監視
  シングル・サインオンシステムに一定時間アクセスしていない利用者を、自動的にサインオフした状態にし、再認証を求めるようにすることができます。

• 再認証の間隔
  利用者がシングル・サインオンシステムにサインオンしてから一定時間が過ぎた場合に、再認証を求めるようにすることができます。

  セションの管理を行う場合は、アイドル監視と再認証の間隔を合わせて設定することで、より安全な運用を行うことができます。
  なお、セションの管理を行わない場合は、再認証の間隔のみ使用することができます。

  Interstage シングル・サインオンでは、利用者がシングル・サインオンシステムにサインオンした直後からのアイドル状態を監視しており、サインオンした状態のままあらかじめ設定したアイドル監視時間の間アクセスしなかった場合は、利用者の認証を自動的に無効にすることができます。
  複数のWebブラウザからシングル・サインオンシステムにアクセスした場合は、Webブラウザごとにアイドル状態が監視されます。

  アイドル監視時間を超過しタイムアウトが発生した後にシングル・サインオンシステムにアクセスした場合は、再認証を行うことで、タイムアウトが発生するまでアクセスしていた業務サーバコンテンツの使用を再開することができます。

  アイドル監視の動作概要を以下に示します。

(1) シングル・サインオンシステムにサインオンします。
    この時点から、アイドル状態が監視されます。
(2) 業務サーバAのコンテンツにアクセスします。
    アイドル監視時間の範囲内に、業務サーバAのコンテンツにアクセスしたため、タイムアウトは発生しません。この時点から、新たにアイドル状態が監視されます。
(3) 業務サーバBのコンテンツにアクセスします。
    アイドル監視時間の範囲内に、業務サーバBのコンテンツにアクセスしたため、タイムアウトは発生しません。この時点から、新たにアイドル状態が監視されます。
(4) 業務サーバAのコンテンツにアクセスします。
    アイドル監視時間の範囲内に、業務サーバAのコンテンツにアクセスしたため、タイムアウトは発生しません。この時点から、新たにアイドル状態が監視されます。
(5) 業務サーバBのコンテンツにアクセスします。
    アイドル監視時間を超過し、タイムアウトが発生しているため、利用者のWebブラウザには、セションが無効であるメッセージが表示され、再認証をうながします。

  アイドル監視時間を設定する場合は、リポジトリサーバ(更新系)のInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブの[セション管理詳細設定[表示]]をクリックし、[アイドル監視]の[アイドル監視時間]を設定します。

  Interstage シングル・サインオンでは、シングル・サインオンシステムへのアクセスに関係なく、利用者がサインオンしてから再認証の間隔に設定した時間が過ぎると、再認証を求めるようにすることができます。
  再認証の間隔は、IPアドレスごとに監視されるため、異なるクライアントから接続した場合は、再認証の間隔に関係なく、再度認証が要求されます。
  再認証を行うことで、再認証が発生するまでアクセスしていた業務サーバコンテンツの使用を再開することができます。

  再認証の間隔は、以下のように、利用者ごと、またはシングル・サインオンシステムごとに設定することができます。

• 利用者ごとに再認証の間隔を設定する場合
  SSOリポジトリに登録するユーザ情報の“ssoCredentialTTL”(再認証の間隔)を設定します。

• シングル・サインオンシステムごとに再認証の間隔を設定する場合
  Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[認証後の動作]の[再認証の間隔]を設定します。

  SSOリポジトリのユーザ情報の詳細については、“2.3.2.4 ユーザ情報のエントリ”を参照してください。

  Interstage管理コンソールの定義の詳細については、Interstage管理コンソールのヘルプを参照してください。

• 利用者ごと、およびシングル・サインオンシステムごとに再認証の間隔を設定した場合は、利用者ごとの再認証の間隔が優先されます。

• 認証方式に“証明書認証”を使用している場合、または“パスワード認証または証明書認証”で証明書認証が成立した場合には、再認証時にクライアント(Webブラウザ)からWebサーバに対して自動的に証明書が提示されます。このため、利用者には、再認証を要求する画面が表示されません。なお、“認証サーバを複数のマシンに、リポジトリサーバを1台のマシンに構築する場合”や“認証サーバとリポジトリサーバをそれぞれ複数のマシンに構築する場合”には、“証明書認証”、または“パスワード認証または証明書認証”を使用している場合であっても、利用者に再認証を要求する画面が表示されることがあります。

• 再認証の間隔に設定した値より、SSOリポジトリに登録されているユーザ情報の有効期間の残り時間が短い場合は、SSOリポジトリに登録されているユーザ情報の有効期間が優先されます。
  ユーザ情報の有効期間については、“利用者の有効期間”を参照してください。

• セションの管理を行わないシステムにおいては、第三者による不正利用の脅威を低減するため、利用者ごとの再認証の間隔、およびシングル・サインオンシステムごとの再認証の間隔には、“0”(再認証を行わない)を設定しないことを強く推奨します。

  セションの管理を行う場合、アイドル監視と再認証の間隔を合わせて設定することで、利用者が離席した場合にアイドル監視時間内に発生する第三者による不正利用の脅威を低減し、より安全に運用することができます。

アイドル監視時間と再認証の間隔を設定する際の注意

  不当なタイムアウトを発生させないために、以下の式が成り立つよう考慮して設定してください。
    T1 + T2 < T3 < T4 < T5

• アイドル監視時間(T3)
  業務サーバコンテンツへの1回のアクセスに要する時間T1(利用者が業務サーバのコンテンツにアクセスしてから、応答が返ってくるまでの時間)と、利用者が業務サーバコンテンツにアクセスしてから、次に業務サーバコンテンツにアクセスするまでの平均時間T2を考慮し、この2種類の時間の合計時間よりも“アイドル監視時間”が長くなるように設定します。

• 再認証の間隔(T4)
  アイドル監視によるタイムアウトが発生する前に“再認証の間隔”によって再認証が発生しないように、“アイドル監視時間”よりも“再認証の間隔”が長くなるように設定します。

• 業務サーバコンテンツのタイムアウト監視時間(T5)
  業務サーバコンテンツにタイムアウトの監視時間が設定されている場合は、業務サーバコンテンツのタイムアウトの監視時間が、“アイドル監視時間”、および“再認証の間隔”よりも長くなるように設定してください。

  アイドル監視時間と再認証の間隔を組み合わせた設定、および動作例について説明します。

  アイドル監視時間(T3)を15分、再認証の間隔(T4)を30分に設定した場合。

  (3)の時点で業務サーバコンテンツへアクセスした場合は、再認証の間隔で設定した時間(T4:30分) は超過していないが、アイドル監視時間で設定した時間(T3:15分)は超過しているため、アイドル監視による再認証が発生します。

  (5)の時点で業務サーバコンテンツへアクセスした場合は、アイドル監視時間で設定した時間(T3:15分)は超過していないため、タイムアウトは発生しませんが、再認証の間隔で設定した時間(T4:30分)は超過しているため、再認証の間隔による再認証が発生します。

  (4)の時点で業務サーバのコンテンツへアクセスした場合は、アイドル監視時間(T3)と再認証の間隔(T4)の両方の設定時間を超過しているため、再認証の間隔による再認証が発生します。