WebSphere Application Server for z/OS, Version 6.0.x   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化

Web ユーザー認証を最小化するためのシングル・サインオンのインプリメント

シングル・サインオン (SSO) のサポートによって、 複数の WebSphere Application Server の Web リソースにアクセスする際に Web ユーザーが認証を受ける回数は、1 回でよくなります。Web アプリケーションの フォーム・ログイン・メカニズムでは、SSO が使用可能になっている必要があります。このトピックを使用して、シングル・サインオンの最初の構成を行います。

始める前に

SSO がサポートされるのは、 認証メカニズムが Lightweight Third Party Authentication (LTPA) の場合です。

SSO が使用可能になっていると、LTPA トークンを含む Cookie が作成され、HTTP 応答に挿入されます。ユーザーが、 同じドメイン・ネーム・サービス (DNS) のドメイン内の他の WebSphere Application Server プロセスで、別の Web リソースにアクセスする際に、その Cookie が要求とともに送信されます。次に LTPA トークンが Cookie から抽出され、検証されます。 要求が WebSphere Application Server の異なるセル間でのものであれば、SSO が機能するには、そのセル間で LTPA 鍵とユーザー・レジストリーが共用されていなければなりません。SSO ドメインの各システムにあるレルム名は大/小文字が区別され、完全に一致している必要があります。

Lightweight Directory Access Protocol (LDAP) の場合、レルム名は LDAP サーバーの host:port レルム名です。 LTPA 認証メカニズムでは、 Web アプリケーションの認証メソッドがフォーム・ログインである場合、 SSO が使用可能になっている必要があります。

シングル・サインオンは LTPA のサブセットであるため、詳しくは、LTPA (Lightweight Third Party Authentication) を一読されることをお勧めします。

セキュリティー属性伝搬を使用可能にする場合、 次の Cookie が応答に追加されます。
LtpaToken
LtpaToken は、以前のリリースの WebSphere Application Server との相互運用のために使用されます。 このトークンには、認証一致属性のみが含まれています。
LtpaToken2
LtpaToken2 にはより強い暗号化が含まれており、これによって、複数の属性をトークンに追加することができます。 このトークンには、認証 ID および追加情報が含まれています。この追加情報には例えば、 固有性を判別する際に ID 以外のものも検討する際、 サブジェクトを検索するためのオリジナルのログイン・サーバーや固有のキャッシュ・キーに接触するために使用する属性などがあります。
詳しくは、セキュリティー属性の伝搬 を参照してください。
注: LtpaToken は、 WebSphere Application Server バージョン 5.1.0.2 より前のリリース用に生成されます。LtpaToken2 は、 WebSphere Application Server バージョン 5.1.0.2 以降用に生成されます。
トークン・タイプ 目的 指定方法
LtpaToken のみ このトークン・タイプは、 WebSphere Application Server バージョン 5.1 およびそれ以前のリリースに存在したのと同じ SSO の振る舞いに使用されます。 また、このトークン・タイプには、これらの以前のリリースとの相互協調性があります。 管理コンソールの「SSO configuration」パネルにある 「Web インバウンド・セキュリティー属性の伝搬」オプションを使用不可にします。 このパネルにアクセスするには、以下のステップを実行します。
  1. セキュリティー」>「グローバル・セキュリティー」をクリックします。
  2. 「認証」の下で、「認証メカニズム」>「LTPA」とクリックします。
  3. 「追加プロパティー」の下の「シングル・サインオン (SSO)」をクリックします。
LtpaToken2 のみ このトークン・タイプは、Web インバウンド・セキュリティー属性伝搬に使用され、 AES、CBC、PKCS5 埋め込み暗号化強度 (128 ビットの鍵サイズ) を使用します。 ただし、このトークン・タイプは WebSphere Application Server バージョン 5.1.1 より前のリリースとの相互協調性はありません。 このトークン・タイプでは、 トークンに指定される複数の属性をサポートします。ほとんどの場合、オリジナルのログイン・サーバーと接触するための情報が含まれます。 管理コンソール内の「SSO configuration」パネルで、「Web インバウンド・セキュリティー属性伝搬」 オプションを使用可能にします。管理コンソール内の「SSO configuration」パネルで、 「インターオペラビリティー・モード」オプションを使用不可にします。 このパネルにアクセスするには、以下のステップを実行します。
  1. セキュリティー」>「グローバル・セキュリティー」をクリックします。
  2. 「認証」の下で、「認証メカニズム」>「LTPA」とクリックします。
  3. 「追加プロパティー」の下の「シングル・サインオン (SSO)」をクリックします。
LtpaToken および LtpaToken2 これらのトークンは共に、前の 2 つのオプションの両方をサポートします。 このトークン・タイプは、LtpaToken が存在するため、WebSphere Application Server バージョン 5.1.1 より前のリリースと相互運用が可能です。 LtpaToken2 が存在するため、セキュリティー属性伝搬機能は使用可能にされています。 管理コンソール内の「SSO configuration」パネルで、「Web インバウンド・セキュリティー属性伝搬」 オプションを使用可能にします。管理コンソール内の「SSO configuration」パネルで、「インターオペラビリティー・モード 」オプションを使用可能にします。 このパネルにアクセスするには、以下のステップを実行します。
  1. セキュリティー」>「グローバル・セキュリティー」をクリックします。
  2. 「認証」の下で、「認証メカニズム」>「LTPA」とクリックします。
  3. 「追加プロパティー」の下の「シングル・サインオン (SSO)」をクリックします。

このタスクについて

最初に SSO を構成するには、以下のステップが必要です。

プロシージャー

  1. 管理コンソールを開きます。

    Web ブラウザーに http://localhost:port_number/ibm/console と入力し、管理コンソールにアクセスします。

    ポート 9060 は、管理コンソールにアクセスするためのデフォルト・ポート番号です。ただし、 インストールの際に、別のポート番号を指定することもできます。適切なポート番号を使用してください。

  2. セキュリティー」>「グローバル・セキュリティー」をクリックします。
  3. 「認証」の下で、「認証メカニズム」>「LTPA」とクリックします。
  4. 「追加プロパティー」の下の「シングル・サインオン (SSO)」をクリックします。
  5. SSO が使用不可の場合は、「使用可能」オプションをクリックします。 使用可能」オプションをクリックした後、必ず以降のステップを実行して セキュリティーを使用可能にしてください。
  6. すべての要求が HTTPS を使用すると予想される場合は、「SSL を必要とする」をクリックします。
  7. SSO が有効な「ドメイン・ネーム」フィールドに完全修飾ドメイン・ネームを入力します。 ドメイン・ネームを指定する場合は、完全修飾されている必要があります。ドメイン・ネームが完全修飾されていない場合は、 WebSphere Application Server は LtpaToken Cookie にドメイン・ネームの値を設定せず、 SSO は Cookie を作成したサーバーにのみ有効になります。

    複数のドメインを指定する場合は、セミコロン (;)、スペース ( )、コンマ (,)、またはパイプ (|) などの区切り文字を使用することができます。 WebSphere Application Server は左から右の順番で指定されたドメインを検索します。 各ドメインは、最初の一致が見つかるまで、HTTP 要求のホスト名と比較されます。 例えば、ibm.com; austin.ibm.com を指定し、最初の一致項目が ibm.com ドメインで見つかった場合、 WebSphere Application Server は austin.ibm.com ドメインにおける一致項目の検索を継続しません。 ただし、一致項目が ibm.com または austin.ibm.com domains のいずれでも見つからなかった場合、WebSphere Application Server は LtpaToken cookie にドメインを設定しません。

    以下の値のいずれかを使用して「ドメイン・ネーム」フィールドを構成することができます。

    ドメイン・ネームの値のタイプ 目的
    ブランク   ドメインは設定されません。これにより、ブラウザーがドメインを必要なホスト名に設定します。 サインオンはその単一のホストでのみ有効となります。
    単一ドメイン・ネーム austin.ibm.com 構成済みドメイン内のホストへの要求の場合、サインオンはそのドメイン内のすべてのホストに対して有効です。それ以外の場合は、要求のホスト名に対してのみ有効です。
    UseDomainFromURL UseDomainFromURL 構成済みドメイン内のホストへの要求の場合、サインオンはそのドメイン内のすべてのホストに対して有効です。それ以外の場合は、要求のホスト名に対してのみ有効です。
    複数のドメイン・ネーム austin.ibm.com;raleigh.ibm.com サインオンは、要求のホスト名を持つドメイン内のすべてのホストに対して有効です。
    複数のドメイン・ネームおよび UseDomainFromURL
    • austin.ibm.com;raleigh.ibm.com; UseDomainFromURL
    サインオンは、要求のホスト名を持つドメイン内のすべてのホストに対して有効です。
    UseDomainFromURL を指定する場合は、WebSphere Application Server は SSO ドメイン・ネームの値を、要求を行うホストのドメインに設定します。 例えば、HTTP 要求が server1.raleigh.ibm.com から来る場合、 WebSphere Application Server は SSO ドメイン・ネームの値を raleigh.ibm.com に設定します。
    ヒント:UseDomainFromURL では、大/小文字は区別されません。usedomainfromurl と入力して、この値を使用することができます。

    詳しくは、 シングル・サインオン設定 を参照してください。

  8. オプション: WebSphere Application Server バージョン 5.1.1 以降の SSO 接続が、 前のバージョンのアプリケーション・サーバーと相互運用できるようにサポートする場合、 「インターオペラビリティー・モード」オプションを使用可能にします。 このオプションは、応答に旧スタイルの LtpaToken トークンを設定するため、 このトークン・タイプでのみ動作する他のサーバーに送信することができます。 ただし、このオプションは、 「Web インバウンド・セキュリティー属性の伝搬」オプションが使用可能になっている場合にのみ適用されます。 この場合、LtpaToken と LtpaToken2 トークンの両方が応答に追加されます。 それ以外の場合、LtpaToken2 トークンのみが応答に追加されます。 「Web インバウンド・セキュリティー属性の伝搬 」オプションが使用不可になっている場合、LtpaToken トークンのみが応答に追加されます。
  9. オプション: 特定のフロントエンド・サーバーでログイン中に追加された情報を、 他のフロントエンド・サーバーに伝搬する場合、「Web インバウンド・セキュリティー属性伝搬」オプションを使用可能にします。 SSO トークンには機密属性は含まれていませんが、 シリアライズされた情報を検索するためにオリジナルのログイン・サーバーに接触する必要がある場合のために、 そのサーバーが存在する場所を認識しています。 また、両方のフロントエンド・サーバーが同じ DRS 複製ドメインで構成されている場合、 DynaCache でシリアライズされた情報を検索するために、キャッシュ・ルックアップ値が含まれています。 詳しくは、セキュリティー属性の伝搬 を参照してください。
    重要: 次の記述が当てはまる場合、 パフォーマンス上の理由から、「Web インバウンド・セキュリティー属性の伝搬」オプションを使用不可にすることをお勧めします。
    • ログイン中にサブジェクトに追加される、別のフロントエンド・サーバーでは取得できない特定の情報を持たない。
    • WSSecurityHelper アプリケーション・プログラミング・インターフェース (API) を使用して、カスタム属性を PropagationToken トークンに追加していない。
    サブジェクトのカスタム情報が欠落している場合は、 「Web インバウンド・セキュリティー属性の伝搬」オプションを再度使 用可能にして、情報が他のフロントエンド・アプリケーション・サーバーに正しく伝搬されているか確認します。 SSO を使用不可にするが、代わりにトラスト・アソシエーション・インターセプターを使用する場合、 別のフロントエンド・サーバーで生成された同じサブジェクトを検索するには、 「Web インバウンド・セキュリティー属性伝搬」オプションを使用可能にする必要がある場合があります。
  10. OK」をクリックします。

次の作業

変更を有効にするには、すべての製品デプロイメント・マネージャー、ノード、 およびサーバーを、保管、停止、および再始動してください。




サブトピック
Tivoli Access Manager または WebSEAL を使用したシングル・サインオン機能の構成
関連概念
Web コンポーネント・セキュリティー
LTPA (Lightweight Third Party Authentication)
セキュリティー属性の伝搬
関連タスク
すべてのアプリケーション・サーバーのセキュリティーの使用可能化
Lightweight Third Party Authentication メカニズムの構成
ユーザーの認証
関連資料
シングル・サインオン構成のトラブルシューティングのヒント
セキュリティー: 学習用リソース
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 10:52:11 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/tsec_msso.html