シングル・サインオン設定

このページを使用して、シングル・サインオン (SSO) の構成値を設定します。

この管理コンソール・ページを表示するには、以下のステップを実行します。
  1. 「セキュリティー」 > 「グローバル・セキュリティー」とクリックします。
  2. 「認証」の下で、「Web および SIP セキュリティー」 > 「シングル・サインオン (SSO)」とクリックします。

このリリースでは、シングル・サインオン設定ページに 「クロスサイト・スクリプティング・アタックを防御するため、セキュリティー Cookie を HTTPOnly に設定する」チェック・ボックスが 追加されました。HttpOnly 属性は、ブラウザー属性であり、クライアント・サイド・アプリケーション (Java™ スクリプトなど) が Cookie にアクセスできないようにして、クロスサイト・スクリプティングのぜい弱性から保護するために作成されました。この属性で、LTPA および WASReqURL Cookie に HTTPOnly フィールドを 組み込むように指定します。

使用可能

シングル・サインオン機能を使用可能にすることを指定します。

Java EE FormLogin スタイルのログイン・ページ (管理コンソールなど) を使用する Web アプリケーションでは、 シングル・サインオン (SSO) を使用可能にする必要があります。SSO を使用不可にするのは、LTPA SSO タイプの Cookie が不要である特定の拡張構成の場合のみにしてください。

通知
データ型: ブール
デフォルト: 使用可能
範囲: 使用可能または使用不可

SSL が必須

要求が HTTPS Secure Sockets Layer (SSL) 接続で送信されている場合にのみ、シングル・サインオン機能が使用可能に なるよう指定します。このプロパティーが使用可能に設定されると、セキュリティーは自動的に有効になります。

通知
データ型: ブール
デフォルト: 使用不可
範囲: 使用可能または使用不可

ドメイン・ネーム

シングル・サインオンを行うすべてのホストに、ドメイン名 (.ibm.com など) を指定します。

アプリケーション・サーバーは、最初のピリオド以降のすべての情報を、 左から右へ、ドメイン・ネームとして使用します。このフィールドが定義されていない場合、Web ブラウザーは Web アプリケーションが実行されているホスト名をデフォルトのドメイン・ネームとして使用します。 また、その場合、シングル・サインオンは、そのアプリケーション・サーバー・ホスト名に制限され、 ドメイン内のその他のアプリケーション・サーバー・ホスト名では機能しません。

セミコロン (;)、スペース ( )、コンマ (,)、またはパイプ (|) で区切られた複数のドメインを指定することができます。 各ドメインは、最初の一致が見つかるまで、HTTP 要求のホスト名と比較されます。 例えば、ibm.com;austin.ibm.com を指定して、ibm.com ドメインで最初の一致が検出されると、 アプリケーション・サーバーは austin.ibm.com ドメインとの突き合わせを行いません。しかし、 ibm.com または austin.ibm.com のいずれでも一致が見つからなかった場合、アプリケーション・サーバーは、 LtpaToken Cookie にはドメインを設定しません。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble):
  • セッション・マネージャー は、セキュア・ランダム生成プログラムを使用してセッション ID を生成します。セッション ID は、 setCookie メソッドで Cookie が作成されるときに Cookie に 書き込まれます。セッション・マネージャーは LtpaToken を Cookie に設定しません。
  • 「ドメイン・ネーム」フィールドに複数のドメイン・ネームを使用することで、必ずしも、単一セッション中に異なるドメイン・ネームを使用できるようにするわけではありません。 例えば、「ドメイン・ネーム」に値 ibm.com;lotus.com が含まれている場合、 www.ibm.com または www.lotus.com で、SSO ログインが成功した場合のみサーバーにアクセスできますが、両方ではできません。 これは、LTPA Cookie を送信するかどうかをブラウザーが制御するためです。
gotcha

UseDomainFromURL を指定すると、アプリケーション・サーバー は、SSO ドメイン・ネームの値を、Web アドレスで使用されるホストのドメインに設定します。 例えば、HTTP 要求が server1.raleigh.ibm.com から来る場合、 アプリケーション・サーバーは、SSO ドメイン・ネームの値を raleigh.ibm.com に設定します。

ヒント: UseDomainFromURL 値では、大文字と小文字の区別はありません。usedomainfromurl と入力して、この値を使用することができます。
通知
データ型: ストリング

インターオペラビリティー・モード

バックレベルのサーバーをサポートするために 相互運用 Cookie がブラウザーに送信されることを指定します。

WebSphere Application Server バージョン 6 以降では、セキュリティー属性の伝搬機能を使用するのに、 新規の Cookie フォーマットが必要です。インターオペラビリティー・モード・フラグが使用可能な場合、サーバーは 最大 2 つのシングル・サインオン (SSO) Cookie をブラウザーに送信して戻すことができます。場合によっては、 サーバーは相互運用 SSO Cookie のみを送信します。

Web インバウンド・セキュリティー属性の伝搬

Web インバウンド・セキュリティー属性の伝搬が使用可能な場合、 セキュリティー属性はフロントエンド・アプリケーション・サーバーに伝搬されます。このオプションを使用不可にすると、 シングル・サインオン (SSO) トークンが、ユーザー・レジストリーからのログインと、サブジェクトの再作成のために使用されます。

アプリケーション・サーバーがクラスターのメンバーであり、 クラスターがデータ複製サービス (DRS) ドメインで構成されている場合、 伝搬が行われます。 DRS が構成されていない場合、SSO トークンに発信元のサーバー情報が含まれます。

この情報により、受信サーバーは、MBean 呼び出しを使用して発信元サーバーに連絡を取り、 オリジナルのシリアライズされたセキュリティー属性を取得することができます。

クロスサイト・スクリプティング・アタックを防御するため、セキュリティー Cookie を HTTPOnly に設定する

HttpOnly 属性は、ブラウザー属性であり、 クライアント・サイド・アプリケーション (Java スクリプトなど) が Cookie にアクセスできないようにして、 クロスサイト・スクリプティングのぜい弱性から保護するために作成されました。この属性で、LTPA および WASReqURL Cookie に HTTPOnly フィールドを 組み込むように指定します。

セッション Cookie については、サーバー、アプリケーション、および Web モジュールのセッション設定を参照してください。

通知
データ型: ブール
デフォルト: 使用可能
範囲: 使用可能または使用不可

LTPA V2 Cookie 名

このフィールドを使用して、新規カスタム・プロパティー com.ibm.websphere.security.customLTPACookieName および com.ibm.websphere.security.customSSOCookieName を設定します。

com.ibm.websphere.security.customLTPACookieName カスタム・プロパティーは、Lightweight Third Party Authentication (LTPA) トークンに使用される Cookie の名前をカスタマイズするために使用されます。

com.ibm.websphere.security.customSSOCookieName カスタム・プロパティーは、Lightweight Third Party Authentication Version 2 (LTPA2) トークンに使用される Cookie の名前をカスタマイズするために使用されます。

各プロパティーについて詳しくは、『セキュリティー・カスタム・プロパティー』のトピックを参照してください。


トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_sso
ファイル名:usec_sso.html