シングル・サインオンによる Web アプリケーションの保護

シングル・サインオンにより、ユーザーは単一のユーザー ID およびパスワードを使用して、複数のアプリケーションおよび複数のプラットフォームにアクセスできます。例えば、ユーザーを一度だけ認証すればよいようにシングル・サインオンを使用して構成されている、保護された WebFacing アプリケーションを統合できます。ただし、これに関係しているシステムは、それぞれ別々のユーザー ID を必要とするので、注意してください。さらに、シングル・サインオンが使用可能になっている WebFacing ポートレット・アプリケーションの場合は、ポータル・サーバーですでに認証が行われていれば、認証を必要としません。

ご使用のアプリケーションに対してシングル・サインオンを使用したい場合は、以下のタスクを実行する必要があります。

これらのタスクを実行するには、System i™ ナビゲーターをクライアント PC にインストールする必要があります。以下のタスクでは System i ナビゲーターが使用されます。System i ナビゲーターは、System i サーバーからインストールできる System i Access for Windows® とともにパッケージされています。必ず、TCP/IP を含むすべてのネットワーク・コンポーネントをインストールしてください。

それぞれの主要コンポーネントがシングル・サインオンでどのように使用されるかについて、次に説明します。
Lightweight Directory Access Protocol (LDAP)
EIM 構成は LDAP に保管されます。WebSphere® Application Server も LDAP を使用して Web ユーザーの認証を行えます。上記のタスクでは、WebSphere Application Server が LDAP を使用して認証を行うものとします。
エンタープライズ ID マッピング (EIM)
WebSphere Application Server が認証のために使用する ID を、i5/OS® サーバー上のアプリケーションの呼び出しに使用するプロファイルにマップするには、EIM が必要です。EIM 構成では、これらの ID 間のアソシエーションが作成されます。WebSphere Application Server の使用する ID はソースで、i5/OS プロファイルはターゲットです。
EIM 用に構成された Web アプリケーション
WebFacing アプリケーションは、EIM が生成するトークンを認証に使用するように構成する必要があります。これにより、アプリケーションのユーザーは、LDAP ID を WAS への認証に使用することができ、EIM がこの ID (ソース) をターゲット i5/OS サーバーの ID (ターゲット) にマップすることができます。

次の図は、2 つのシステム上のソース・ユーザー ID とターゲット・ユーザー ID 間のアソシエーションを説明したものです。システム A では、システム B 上のアプリケーションを呼び出すために、ユーザーは WebSphere Application Server によって johnday として認証されます。システム B では、i5/OS 上のアプリケーションを実行するために使用されるプロファイルは jsd1 です。2 つの ID のマッピングに使用される EIM ID は John Day です。シングル・サインオンの構成を行いながら、次の図を参照してください。

シングル・サインオンと WebFacing ポートレット・プロジェクト

ポータル・サーバーで実行されている WebFacing アプリケーションでシングル・サインオンを使用するには、以下のことを行う必要があります。
  • ポータル・サーバーを保護。
  • 提供された ID トークン・リソース (eimIdTokenRA.rar) を WebSphere Application Server 実稼働環境で構成。
  • EIM を使用するように認証オプションを設定。
「LDAP による Application Server および WebSphere Portal の保護」ウィザード・ページでポータル・サーバーを保護します。ID トークン・リソースの構成、EIM を使用する WebFacing アプリケーションの構成、および EIM 構成については、EIM の構成に関する情報を参照してください。ID トークン・リソースの構成には、WebSphere 管理コンソール (「リソース」 > 「リソース・アダプター」の下) を使用する必要があります。
注: i5/OS Portal Server を使用している場合は、「WebSphere Portal の作成」ウィザードに、ID トークン・リソースを構成する追加ページがあります。ユーザーがポータルにサインオンすると、WebFacing アプリケーションを開始するために、提供されたユーザー ID が、そのユーザー ID から i5/OS 上で使用するユーザー ID へのマッピングに使用されます。 したがって、このユーザー ID を適切な i5/OS ユーザー・プロファイルにマップするには、EIM 構成にマッピングがなければなりません。