WebSphere Application Server Network Deployment, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

トラスト・アソシエーション・インターセプター ++ を使用したシングル・サインオンの構成

このタスクを実行して、 トラスト・アソシエーション・インターセプター ++ を使用したシングル・サインオンを使用可能にします。 以下のステップでは、トラスト・アソシエーションの セットアップとインターセプター・プロパティーの作成を行います。

始める前に

最初にセキュリティーをセットアップする際は、以下のステップが必要です。 LTPA がアクティブな認証メカニズムであることを確認します。
  1. WebSphere Application Server コンソールから、「セキュリティー」>「グローバル・セキュリティー 」とクリックします。
  2. アクティブな認証メカニズム」フィールドを 「Lightweight Third Party Authentication (LTPA)」に設定します。 変更を保管します。

「認証メカニズムおよび有効期限」パネルで 「SWAM の使用 - サーバー間の認証済み通信なし」オプションを選択すると、 Simple WebSphere Authentication Mechanism (SWAM) を使用することができますが、 シングル・サインオン (SSO) には構成された認証メカニズムとして LTPA が必要です。

シングル・サインオンのトラスト・アソシエーションを確立するには、 以下のステップを実行します。

プロシージャー

  1. WebSphere Application Server 管理コンソールから、「セキュリティー」 >「グローバル・セキュリティー」とクリックします。
  2. 「認証」の下で、 「認証メカニズム」>「LTPA」とクリックします。
  3. 「追加プロパティー」の下の「トラスト・アソシエーション」をクリックします。
  4. Enable Trust Association」をクリックします。
  5. Interceptors」をクリックします。
  6. com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus」をクリックし、 WebSEAL インターセプターを使用します。 これは、ユーザーに提供されている 2 つの WebSEAL インターセプターの 1 つです。 このインターセプターの使用を選択するには、次のステップの説明に従ってプロパティーを指定します。 提供される他のインターセプターは、 com.ibm.ws.security.web.WebSealTrustAssociationInterceptor です。
    重要: com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus インターセプターのプロパティーのみを指定した場合でも、WebSphere Application Server は、これらの両インターセプターを初期化しようとします。 結果として、メッセージ AWXRB0008E および SECJ0384E が初期化時に表示され、 選択しなかったインターセプターが初期化に失敗したことを示します。 これは正常な処理で、選択したインターセプターの初期化には影響しません。 メッセージ AWXRB0008E および SECJ0384E が表示されないようにするためには、 初期化を開始する前に、使用しないインターセプターを削除します。 環境が変わった場合は、後からそのインターセプターを戻すことができます。
  7. カスタム・プロパティー」をクリックします。
  8. 新規」をクリックしてプロパティー名と値のペアを入力します。 以下のパラメーターが設定されていることを確認します。
    表 1. カスタム・プロパティー
    オプション 説明
    com.ibm.websphere.security.
    webseal.checkViaHeader
    TAI を構成すると、要求のトラストを妥当性検査するときに via ヘッダーを無視することができます。 via ヘッダーのホストがトラステッドになる必要のない場合、このプロパティーを false に設定します。 false に設定すると、トラステッド・ホスト名およびホスト・ポートのプロパティーを設定する必要はなくなります。via ヘッダーが false である場合、確認する必須プロパティーは、 com.ibm.websphere.security.webseal.loginId のみです。

    check via ヘッダー・プロパティーのデフォルト値は false です。 Tivoli Access Manager Plug-in for Web Servers を使用している場合は、 このプロパティーは false に設定します。

    注: via ヘッダーは、要求が通過するサーバー名を記録する標準 HTTP ヘッダーの一部です。
    com.ibm.websphere.security.
    webseal.loginId
    WebSEAL トラステッド・ユーザーは、Tivoli Access Manager におけるトラステッド・ユーザー・アカウントの作成 で作成されます。 ユーザー名の形式はショート・ネーム表記です。このプロパティーは必須です。これが WebSphere Application Server で設定されていない場合、TAI の初期化が失敗します。
    com.ibm.websphere.security.
    webseal.id
    要求に存在するヘッダーのコンマ区切りのリスト。 すべての構成されたヘッダーが要求に存在しないと、トラストを確立できません。ID プロパティーのデフォルト値は iv-creds です。WebSphere Application Server で設定される他の値はすべて、iv-creds とともに、コンマで区切ってリストに追加されます。
    com.ibm.websphere.security.
    webseal.hostnames
    Tivoli Access Manager Plug-in for Web Servers を使用している場合は、このプロパティーを設定しないでください。 このプロパティーは、要求ヘッダーにあると予想される、信頼できるホスト名 (大/小文字を区別) を指定します。 リストされていないホストから受信する要求は、信頼されない可能性があります。 checkViaHeader プロパティーが設定されていない、または false に設定されている場合、 トラステッド・ホスト名プロパティーは影響しません。 checkViaHeader プロパティーが true に設定され、トラステッド・ホスト名プロパティーが設定されていない場合、 TAI の初期化に失敗します。
    com.ibm.websphere.security.
    webseal.ports
    Tivoli Access Manager Plug-in for Web Servers を使用している場合は、このプロパティーを設定しないでください。 このプロパティーは、トラステッド・ホスト・ポートのコンマ区切りのリストです。 リストされていないポートからの着信要求は、信頼されない可能性があります。 checkViaHeader プロパティーが設定されていない、または false に設定されている場合、このプロパティーには影響しません。 WebSphere Application Server で checkViaHeader プロパティーが true に設定され、トラステッド・ホスト・ポート・プロパティーが設定されていない場合、 TAI の初期化が失敗します。
    com.ibm.websphere.security.
    webseal.viaDepth
    信頼性を確認する via ヘッダーのソース・ホスト数を指定する正整数。 デフォルトでは、via ヘッダーのすべてのホストが確認され、 信頼されていないホストがあると、トラストは確立されません。 via ヘッダー内のホストの一部だけが信頼される必要がある場合、 via depth プロパティーが使用されます。 この設定は、信頼される必要があるホストの数を示します。

    例えば、以下のヘッダーについて考えてみます。

    Via: HTTP/1.1 webseal1:7002, 1.1 webseal2:7001

    viaDepth プロパティーが 設定されていないか、2 または 0 に設定されているとき、以前の via ヘッダーを伴う要求を受け取った場合には、 webseal1:7002 および webseal2:7001 の両方が信頼される必要があります。 次の構成が適用されます。

    com.ibm.websphere.security.webseal.hostnames = webseal1,webseal2
    com.ibm.websphere.security.webseal.ports = 7002,7001

    via depth プロパティーが 1 に設定されていて、前の要求を受け取った場合、 via ヘッダーの最後のホストのみが信頼される必要があります。 次の構成が適用されます。

    com.ibm.websphere.security.webseal.hostnames = webseal2 
    com.ibm.websphere.security.webseal.ports = 7001
    

    viaDepth プロパティーは、デフォルトで 0 に設定されています。 つまり、via ヘッダーのすべてのホストについて信頼できるかどうかが確認されます。

    com.ibm.websphere.security.
    webseal.ssoPwdExpiry
    トラストが要求のために確立されると、シングル・サインオン・ユーザー・パスワードが キャッシュされ、TAI はすべての要求について Tivoli Access Manager でシングル・サインオン・ユーザーを 再認証する必要がなくなります。 シングル・サインオン・パスワードの有効期限プロパティーを必要な時間 (秒) に設定することによって、キャッシュ・タイムアウト期間を変更することができます。 パスワード有効期限プロパティーが 0 に設定されていると、キャッシュされるパスワードは期限切れになりません。パスワード有効期限プロパティーのデフォルト値は 600 です。
    com.ibm.websphere.security.
    webseal.ignoreProxy
    このプロパティーを使用して、トラステッド・ホストとしてプロキシーを無視するよう TAI に通知することができます。 true に設定された場合、ホストがプロキシーであるかどうかを確認するために、 via ヘッダーのホスト・エントリーのコメント・フィールドが確認されます。 via ヘッダーで、プロキシーであるというコメントをすべてのプロキシーが挿入するわけではないということに注意する必要があります。 ignoreProxy プロパティーのデフォルト値は false です。 checkViaHeader プロパティーが false に設定されている場合、ignoreProxy プロパティーは、トラストの確立に影響しません。
    com.ibm.websphere.security.
    webseal.configURL

    TAI が要求のトラストを確立する場合、 アプリケーション・サーバー上の Java 仮想マシンに対して SvrSslCfg を実行し、 プロパティー・ファイルが作成されている必要があります。 このプロパティー・ファイルがデフォルトの URL file://java.home/PdPerm.properties にない場合、 このプロパティー・ファイルの正しい URL を構成 URL プロパティーで設定する必要があります。 このプロパティーが設定されておらず、SvrSslCfg 生成済みプロパティー・ファイルが デフォルトのロケーションにない場合、TAI の初期化が失敗します。 構成 URL プロパティーのデフォルト値は file://${WAS_INSTALL_ROOT}/java/jre/PdPerm.properties です。

  9. OK」をクリックします。
  10. 構成を保管して、ログアウトします。
  11. WebSphere Application Server を再始動します。



関連概念
トラスト・アソシエーション
関連タスク
サード・パーティー HTTP リバース・プロキシー・サーバーの統合
Tivoli Access Manager または WebSEAL を使用したシングル・サインオン機能の構成
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:13:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.nd.doc/info/ae/ae/tsec_ssowsstep4TAIplusplus.html