WebSphere Application Server Network Deployment, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

シングル・サインオン

シングル・サインオン (SSO) のサポートにより、Web ユーザーは、 HTML、JavaServer Pages (JSP) ファイル、サーブレット、エンタープライズ Bean などの WebSphere Application Server リソース、 および Lotus Domino データベース内の文書などの Lotus Domino リソースの両方にアクセスする場合、 または複数の WebSphere ドメイン内のリソースにアクセスする場合に、 認証を一度で済ませることができます。

複数のノードおよびセルに分散されているアプリケーション・サーバーは、Lightweight Third Party Authentication (LTPA) プロトコルを使用することによって、安全に通信を行うことができます。 LTPA は、 分散環境と複数アプリケーション・サーバーおよびマシンの環境を対象としています。 LTPA は、分散環境のセキュリティーを暗号化によりサポートすることができます。 このサポートにより、LTPA は、 認証関連のデータを暗号化し、デジタル署名して安全に伝送し、 後で署名を暗号化解除して検査することができます。

また、LTPA では SSO 機能も提供されます。 SSO では、ユーザーは、 ドメイン・ネーム・システム (DNS) ドメインで一度だけ認証を受けるだけで、 プロンプトが出されることもなく、 WebSphere Application Server の他のセルにあるリソースにアクセスすることができます。 Web ユーザーは、 WebSphere Application Server または Lotus Domino Server への認証を一度で済ませることができます。 この認証を実現するには、 認証情報を共用するように WebSphere Application Server と Lotus Domino Server を構成します。

再度ログオンしなくても、Web ユーザーは、 SSO が使用可能である同じ DNS ドメイン内の他の WebSphere Application Server または Lotus Domino Server にアクセスできます。 WebSphere Application Server に対して SSO を構成して、WebSphere Application Server 間で SSO を使用可能にできます。 WebSphere Application Server と Lotus Domino Server の間で SSO を使用可能にするには、 WebSphere Application Server と Lotus Domino の両方で SSO を構成しなければなりません。

前提条件およびその他の条件

WebSphere Application Server 間または WebSphere Application Server と Lotus Domino Server の間で SSO のサポートを利用するには、 アプリケーションが、以下の前提条件および条件を満たしていなければなりません。
  • すべてのサーバーが、同じ DNS ドメインの一部として構成されている。 DNS ドメインの各システムにあるレルム名は大/小文字が区別され、完全に一致している必要があります。例えば、DNS ドメインが mycompany.com として指定されている場合、 mycompany.com ドメインの一部であるホスト上 (a.mycompany.comb.mycompany.com など) の任意の Lotus Domino Server または WebSphere Application Server で SSO は有効となります。
  • すべてのサーバーが、同じユーザー・レジストリーを共用している。

    このレジストリーは、 サポートされている Lightweight Directory Access Protocol (LDAP) ディレクトリー・サーバーでも、 あるいは、2 つの WebSphere Application Server 間で SSO が構成されている場合は、 カスタム・ユーザー・レジストリーでもかまいません。

    Lotus Domino Server では、 カスタム・レジストリーをサポートしていませんが、Lotus Domino がサポートするレジストリーを、 WebSphere Application Server 内でカスタム・レジストリーとして使用できます。

    LDAP アクセス用に構成された Lotus Domino ディレクトリー、またはその他の LDAP ディレクトリーを、 ユーザー・レジストリーに使用することができます。LDAP ディレクトリー製品は、WebSphere Application Server によってサポートされていなければなりません。 サポートされている製品には、Lotus Domino Server および Lightweight Directory Access Protocol (LDAP) サーバー (IBM Tivoli Directory Server など) があります。LDAP サーバーまたはカスタム・レジストリーのどちらを使用するように選択したかを問わず、SSO 構成は同じです。 異なるのは、レジストリーの構成です。

  • すべてのユーザーを、単一の LDAP ディレクトリー内で定義している。 複数の Lotus Domino ディレクトリー・アシスタンス文書の使用による、複数ディレクトリーへのアクセスもサポートされていません。
  • ブラウザーで、HTTP Cookies が使用可能になっている。これは、サーバーによって生成される認証情報が、Cookie によってブラウザーに移送されるためです。 Cookie は、ユーザーの認証情報を他のサーバーに伝搬するために使用されます。 これにより、ユーザーは、別のサーバーに対する要求ごとに認証情報を入力することを免除されます。
  • Lotus Domino Server の場合
    • Lotus Domino リリース 5.0.6a 以降の iSeries 400 版および Lotus Domino リリース 5.0.5 以降のその他プラットフォーム版がサポートされています。
    • Lotus Domino Server を SSO 用に構成するために Lotus Notes クライアント リリース 5.0.5 以降が必要です。
    • 認証情報が、複数の Lotus Domino ドメイン全体で共用できる。
  • WebSphere Application Server の場合
    • WebSphere Application Server バージョン 3.5 以降のすべてのプラットフォーム版がサポートされています。
    • WebSphere Application Server によってサポートされているすべての HTTP Web サーバーが使用できます。
    • 認証情報を、製品の複数の管理可能ドメイン全体で共用することができます。
    • 基本メカニズムおよびフォーム・ログイン・メカニズムを使用する基本認証 (ユーザー ID とパスワード) がサポートされています。
    • デフォルトでは、 WebSphere Application Server は大/小文字を区別して許可のための比較を行います。 この比較は、Lotus Domino で認証されるユーザーが、 WebSphere Application Server 許可表内のエントリー (基本識別名を含む) と完全に一致することを意味します。 許可の際に大/小文字の区別を考慮しない場合は、 LDAP ユーザー・レジストリー設定で、「大文字小文字を区別しない」プロパティーを使用可能にしてください。



サブトピック
グローバル・シングル・サインオン・プリンシパル・マッピング
関連タスク
Web ユーザー認証を最小化するためのシングル・サインオンのインプリメント
Tivoli Access Manager または WebSEAL を使用したシングル・サインオン機能の構成
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:13:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.nd.doc/info/ae/ae/csec_sso.html