WebSphere Application Server Version 6.1 Feature Pack for Web Services   
             オペレーティング・システム: AIX , HP-UX, i5/OS, Linux, Solaris, Windows, Windows Vista, z/OS

             目次と検索結果のパーソナライズ化

トラスト・アソシエーション・インターセプター ++ を使用したシングル・サインオンの構成

このタスクを実行して、 トラスト・アソシエーション・インターセプター ++ を使用したシングル・サインオンを使用可能にします。 以下のステップでは、トラスト・アソシエーションの セットアップとインターセプター・プロパティーの作成を行います。

始める前に

「認証メカニズムおよび有効期限」パネルで 「SWAM の使用 - サーバー間の認証済み通信なし」オプションを選択すると、 Simple WebSphere Authentication Mechanism (SWAM) を使用することができますが、 シングル・サインオン (SSO) には構成された認証メカニズムとして LTPA が必要です。

Lightweight Third Party Authentication (LTPA) は WebSphere Application Server のデフォルトの認証メカニズムです。 「セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護 」>「認証メカニズムおよび有効期限」とクリックして、 シングル・サインオン (SSO) を構成する前に、LTPA を構成できます。

シングル・サインオンのトラスト・アソシエーションを確立するには、 以下のステップを実行します。

プロシージャー

  1. WebSphere Application Server の管理コンソールで、 「セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」と クリックします。
  2. 「Web security」の下の「トラスト・アソシエーション」をクリックします。
  3. Enable Trust Association」をクリックします。
  4. Interceptors」をクリックします。
  5. com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus」をクリックし、 WebSEAL インターセプターを使用します。 これは、ユーザーに提供されている 2 つの WebSEAL インターセプターの 1 つです。 このインターセプターの使用を選択するには、次のステップの説明に従ってプロパティーを指定します。 提供される他のインターセプターは、 com.ibm.ws.security.web.WebSealTrustAssociationInterceptor です。
    重要: com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus インターセプターのプロパティーのみを指定した場合でも、WebSphere Application Server は、これらの両インターセプターを初期化しようとします。 結果として、メッセージ AWXRB0008E および SECJ0384E が初期化時に表示され、 選択しなかったインターセプターが初期化に失敗したことを示します。 これは正常な処理で、選択したインターセプターの初期化には影響しません。 メッセージ AWXRB0008E および SECJ0384E が表示されないようにするためには、 初期化を開始する前に、使用しないインターセプターを削除します。 環境が変わった場合は、後からそのインターセプターを戻すことができます。
  6. カスタム・プロパティー」をクリックします。
  7. 新規」をクリックしてプロパティー名と値のペアを入力します。 以下のパラメーターが設定されていることを確認します。
    表 1. カスタム・プロパティー
    オプション 説明
    com.ibm.websphere.security.
    webseal.checkViaHeader
    TAI を構成すると、要求のトラストを妥当性検査するときに via ヘッダーを無視することができます。 via ヘッダーのホストがトラステッドになる必要のない場合、このプロパティーを false に設定します。 false に設定すると、トラステッド・ホスト名およびホスト・ポートのプロパティーを設定する必要はなくなります。via ヘッダーが false である場合、確認する必須プロパティーは、 com.ibm.websphere.security.webseal.loginId のみです。

    check via ヘッダー・プロパティーのデフォルト値は false です。 Tivoli Access Manager Plug-in for Web Servers を使用している場合は、 このプロパティーは false に設定します。

    注: via ヘッダーは、要求が通過するサーバー名を記録する標準 HTTP ヘッダーの一部です。
    com.ibm.websphere.security.
    webseal.loginId
    WebSEAL トラステッド・ユーザーは、Tivoli Access Manager におけるトラステッド・ユーザー・アカウントの作成 で作成されます。 ユーザー名の形式はショート・ネーム表記です。このプロパティーは必須です。これが WebSphere Application Server で設定されていない場合、TAI の初期化が失敗します。
    com.ibm.websphere.security.
    webseal.id
    要求に存在するヘッダーのコンマ区切りのリスト。 すべての構成されたヘッダーが要求に存在しないと、トラストを確立できません。ID プロパティーのデフォルト値は iv-creds です。WebSphere Application Server で設定される他の値はすべて、iv-creds とともに、コンマで区切ってリストに追加されます。
    com.ibm.websphere.security.
    webseal.hostnames
    Tivoli Access Manager Plug-in for Web Servers を使用している場合は、このプロパティーを設定しないでください。 このプロパティーは、要求ヘッダーにあると予想される、信頼できるホスト名 (大/小文字を区別) を指定します。 リストされていないホストから受信する要求は、信頼されない可能性があります。 checkViaHeader プロパティーが設定されていない、または false に設定されている場合、 トラステッド・ホスト名プロパティーは影響しません。 checkViaHeader プロパティーが true に設定され、トラステッド・ホスト名プロパティーが設定されていない場合、 TAI の初期化に失敗します。
    com.ibm.websphere.security.
    webseal.ports
    Tivoli Access Manager Plug-in for Web Servers を使用している場合は、このプロパティーを設定しないでください。 このプロパティーは、トラステッド・ホスト・ポートのコンマ区切りのリストです。 リストされていないポートからの着信要求は、信頼されない可能性があります。 checkViaHeader プロパティーが設定されていない、または false に設定されている場合、このプロパティーには影響しません。 WebSphere Application Server で checkViaHeader プロパティーが true に設定され、トラステッド・ホスト・ポート・プロパティーが設定されていない場合、 TAI の初期化が失敗します。
    com.ibm.websphere.security.
    webseal.viaDepth
    信頼性を確認する via ヘッダーのソース・ホスト数を指定する正整数。 デフォルトでは、via ヘッダーのすべてのホストが確認され、 信頼されていないホストがあると、トラストは確立されません。 via ヘッダー内のホストの一部だけが信頼される必要がある場合、 via depth プロパティーが使用されます。 この設定は、信頼される必要があるホストの数を示します。

    例えば、以下のヘッダーについて考えてみます。

    Via: HTTP/1.1 webseal1:7002, 1.1 webseal2:7001

    viaDepth プロパティーが 設定されていないか、2 または 0 に設定されているとき、以前の via ヘッダーを伴う要求を受け取った場合には、 webseal1:7002 および webseal2:7001 の両方が信頼される必要があります。 次の構成が適用されます。

    com.ibm.websphere.security.webseal.hostnames = webseal1,webseal2
    com.ibm.websphere.security.webseal.ports = 7002,7001

    via depth プロパティーが 1 に設定されていて、前の要求を受け取った場合、 via ヘッダーの最後のホストのみが信頼される必要があります。 次の構成が適用されます。

    com.ibm.websphere.security.webseal.hostnames = webseal2 
    com.ibm.websphere.security.webseal.ports = 7001
    

    viaDepth プロパティーは、デフォルトで 0 に設定されています。 つまり、via ヘッダーのすべてのホストについて信頼できるかどうかが確認されます。

    com.ibm.websphere.security.
    webseal.ssoPwdExpiry
    トラストが要求のために確立されると、シングル・サインオン・ユーザー・パスワードが キャッシュされ、TAI はすべての要求について Tivoli Access Manager でシングル・サインオン・ユーザーを 再認証する必要がなくなります。 シングル・サインオン・パスワードの有効期限プロパティーを必要な時間 (秒) に設定することによって、キャッシュ・タイムアウト期間を変更することができます。 パスワード有効期限プロパティーが 0 に設定されていると、キャッシュされるパスワードは期限切れになりません。パスワード有効期限プロパティーのデフォルト値は 600 です。
    com.ibm.websphere.security.
    webseal.ignoreProxy
    このプロパティーを使用して、トラステッド・ホストとしてプロキシーを無視するよう TAI に通知することができます。 true に設定された場合、ホストがプロキシーであるかどうかを確認するために、 via ヘッダーのホスト・エントリーのコメント・フィールドが確認されます。 via ヘッダーで、プロキシーであるというコメントをすべてのプロキシーが挿入するわけではないということに注意する必要があります。 ignoreProxy プロパティーのデフォルト値は false です。 checkViaHeader プロパティーが false に設定されている場合、ignoreProxy プロパティーは、トラストの確立に影響しません。
    com.ibm.websphere.security.
    webseal.configURL

    [AIX HP-UX Linux Solaris Windows] [z/OS] TAI が要求のトラストを確立する場合、 アプリケーション・サーバー上の Java 仮想マシンに対して SvrSslCfg を実行し、 プロパティー・ファイルが作成されている必要があります。 このプロパティー・ファイルがデフォルトの URL file://java.home/PdPerm.properties にない場合、 このプロパティー・ファイルの正しい URL を構成 URL プロパティーで設定する必要があります。 このプロパティーが設定されておらず、SvrSslCfg 生成済みプロパティー・ファイルが デフォルトのロケーションにない場合、TAI の初期化が失敗します。 構成 URL プロパティーのデフォルト値は file://${WAS_INSTALL_ROOT}/java/jre/PdPerm.properties です。

    [i5/OS] このプロパティーを、${USER_INSTALL_ROOT}/etc/pd/PolicyDirector/PDPerm.properties に設定します。 TAI が要求のトラストを確立する場合、 セル内の各ノードに PDPerm.properties ファイルが存在する必要があります。 また、このプロパティー・ファイルの正しい URL を構成 URL プロパティーで設定する必要があります。 このプロパティーが設定されていないか、または PDPerm.properties ファイルが指定された ロケーションにない場合、TAI の初期化が失敗します。 PDPerm.properties ファイルは、ノードの Tivoli Access Manager 構成の一部です。 Tivoli Access Manager 構成を作成するには、 pdjrtecfg スクリプトを実行してから、セル内の各ノードに対して svrsslcfg スクリプトを実行します。 PDPerm.properties ファイルが ${USER_INSTALL_ROOT}/etc/pd/PolicyDirector/ ディレクトリーに作成されます。

  8. OK」をクリックします。
  9. 構成を保管して、ログアウトします。
  10. WebSphere Application Server を再始動します。



関連概念
トラスト・アソシエーション
関連タスク
サード・パーティー HTTP リバース・プロキシー・サーバーの統合
Tivoli Access Manager または WebSEAL を使用したシングル・サインオン機能の構成
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 4:10:06 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.wsfep.multiplatform.doc/info/ae/ae/tsec_ssowsstep4TAIplusplus.html