トラスト・アソシエーション・インターセプター ++ を使用したシングル・サインオンの構成

このタスクを実行して、 トラスト・アソシエーション・インターセプター ++ を使用したシングル・サインオンを使用可能にします。 以下のステップでは、トラスト・アソシエーションの セットアップとインターセプター・プロパティーの作成を行います。

始める前に

「認証メカニズムおよび有効期限」パネルで 「SWAM の使用 - サーバー間の認証済み通信なし」オプションを選択すると、 Simple WebSphere® Authentication Mechanism (SWAM) を使用することができますが、 シングル・サインオン (SSO) には、構成された認証メカニズムとして LTPA が必要です。

Lightweight Third Party Authentication (LTPA) は WebSphere Application Server のデフォルトの認証メカニズムです。 シングル・サインオン (SSO) を構成する前に LTPA を構成には、「セキュリティー」 > 「グローバル・セキュリティー」 > 「認証メカニズムおよび有効期限」をクリックします。

シングル・サインオンのトラスト・アソシエーションを確立するには、 以下のステップを実行します。

手順

  1. WebSphere Application Server の管理コンソールで、「セキュリティー」「グローバル・セキュリティー」とクリックします。
  2. 「Web security」の下の「トラスト・アソシエーション」をクリックします。
  3. 「トラスト・アソシエーションを使用可能にする」をクリックします。
  4. 「インターセプター」をクリックします。
  5. com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus」をクリックし、 WebSEAL インターセプターを使用します。 これは、ユーザーに提供されている 2 つの WebSEAL インターセプターの 1 つです。 このインターセプターの使用を選択するには、次のステップの説明に従ってプロパティーを指定します。
    重要: com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus インターセプターのプロパティーのみを指定した場合でも、WebSphere Application Server は、これらの両インターセプターを初期化しようとします。 結果として、メッセージ AWXRB0008E および SECJ0384E が初期化時に表示され、 選択しなかったインターセプターが初期化に失敗したことを示します。 これは正常な処理で、選択したインターセプターの初期化には影響しません。 メッセージ AWXRB0008E および SECJ0384E が表示されないようにするために、 初期化を開始する前に使用しないインターセプターを削除できます。 環境が変わった場合は、後からそのインターセプターを戻すことができます。
  6. カスタム・プロパティー」をクリックします。
  7. 新規」をクリックしてプロパティー名と値のペアを入力します。 以下のパラメーターが設定されていることを確認します。
    表 1. カスタム・プロパティー.

    次の表では、TAI カスタム・プロパティーについて説明します。

    オプション 説明
    com.ibm.websphere.security.
    webseal.checkViaHeader
    TAI を構成すると、要求のトラストを妥当性検査するときに via ヘッダーを無視することができます。 via ヘッダーのホストがトラステッドになる必要のない場合、このプロパティーを false に設定します。 false に設定すると、トラステッド・ホスト名およびホスト・ポートのプロパティーを設定する必要はなくなります。via ヘッダーが false である場合、確認する必須プロパティーは、 com.ibm.websphere.security.webseal.loginId のみです。

    check via ヘッダー・プロパティーのデフォルト値は false です。 Web サーバー用の Tivoli® Access Manager プラグインを使用している場合は、 このプロパティーは false に設定します。

    注: via ヘッダーは、要求が通過するサーバー名を記録する標準 HTTP ヘッダーの一部です。
    com.ibm.websphere.security.
    webseal.loginId
    WebSEAL トラステッド・ユーザーは、Tivoli Access Manager におけるトラステッド・ユーザー・アカウントの作成で作成されます。 ユーザー名のフォーマットはショート・ネーム表記です。このプロパティーは必須です。このプロパティーが WebSphere Application Server で設定されていない場合、TAI の初期化が失敗します。
    com.ibm.websphere.security.
    webseal.id
    要求に存在するヘッダーのコンマ区切りのリスト。 すべての構成されたヘッダーが要求に存在しないと、トラストを確立できません。ID プロパティーのデフォルト値は iv-creds です。WebSphere Application Server で設定される他の値はすべて、iv-creds とともに、コンマで区切ってリストに追加されます。
    com.ibm.websphere.security.
    webseal.hostnames
    Web サーバー用の Tivoli Access Manager プラグインを使用している場合は、このプロパティーを設定しないでください。このプロパティーは、要求ヘッダーにあると予想される、信頼できるホスト名 (大/小文字を区別) を指定します。 リストされていないホストから受信する要求は、信頼されない可能性があります。 checkViaHeader プロパティーが設定されていない、または false に設定されている場合、 トラステッド・ホスト名プロパティーは影響しません。 checkViaHeader プロパティーが true に設定され、トラステッド・ホスト名プロパティーが設定されていない場合、 TAI の初期化に失敗します。
    com.ibm.websphere.security.
    webseal.ports
    Web サーバー用の Tivoli Access Manager プラグインを使用している場合は、このプロパティーを設定しないでください。このプロパティーは、トラステッド・ホスト・ポートのコンマ区切りのリストです。 リストされていないポートからの着信要求は、信頼されない可能性があります。 checkViaHeader プロパティーが設定されていない、または false に設定されている場合、このプロパティーには影響しません。 WebSphere Application Server で checkViaHeader プロパティーが true に設定され、トラステッド・ホスト・ポート・プロパティーが設定されていない場合、 TAI の初期化が失敗します。
    com.ibm.websphere.security.
    webseal.viaDepth
    信頼性を確認する via ヘッダーのソース・ホスト数を指定する正整数。 デフォルトでは、via ヘッダーのすべてのホストが確認され、 信頼されていないホストがあると、トラストは確立されません。 via ヘッダー内のホストの一部だけが信頼される必要がある場合、 via depth プロパティーが使用されます。 この設定は、ヘッダーの右端から順に指定されている、信頼される必要があるホストの数を示します。

    例えば、以下のヘッダーについて考えてみます。

    Via: HTTP/1.1 webseal1:7002, 1.1 webseal2:7001

    viaDepth プロパティーが 設定されていないか、2 または 0 に設定されているとき、以前の via ヘッダーを伴う要求を受け取った場合には、 webseal1:7002 および webseal2:7001 の両方が信頼される必要があります。 次の構成が適用されます。

    com.ibm.websphere.security.webseal.hostnames = webseal1,webseal2
    com.ibm.websphere.security.webseal.ports = 7002,7001

    via depth プロパティーが 1 に設定されていて、前の要求を受け取った場合、 via ヘッダーの最後のホストのみが信頼される必要があります。 次の構成が適用されます。

    com.ibm.websphere.security.webseal.hostnames = webseal2 
    com.ibm.websphere.security.webseal.ports = 7001

    viaDepth プロパティーは、デフォルトで 0 に設定されています。 つまり、via ヘッダーのすべてのホストについて信頼できるかどうかが確認されます。

    com.ibm.websphere.security.
    webseal.ssoPwdExpiry
    トラストが要求のために確立されると、シングル・サインオン・ユーザー・パスワードが キャッシュされ、TAI はすべての要求について Tivoli Access Manager でシングル・サインオン・ユーザーを 再認証する必要がなくなります。 シングル・サインオン・パスワードの有効期限プロパティーを必要な時間 (秒) に設定することによって、キャッシュ・タイムアウト期間を変更することができます。 パスワード有効期限プロパティーが 0 に設定されていると、キャッシュされるパスワードは期限切れになりません。パスワード有効期限プロパティーのデフォルト値は 600 です。
    com.ibm.websphere.security.
    webseal.ignoreProxy
    このプロパティーを使用して、トラステッド・ホストとしてプロキシーを無視するよう TAI に通知することができます。 true に設定された場合、ホストがプロキシーであるかどうかを確認するために、 via ヘッダーのホスト・エントリーのコメント・フィールドが確認されます。 via ヘッダーで、プロキシーであるというコメントをすべてのプロキシーが挿入するわけではないということに注意する必要があります。 ignoreProxy プロパティーのデフォルト値は false です。 checkViaHeader プロパティーが false に設定されている場合、ignoreProxy プロパティーは、トラストの確立に影響しません。
    com.ibm.websphere.security.
    webseal.configURL

    [AIX Solaris HP-UX Linux Windows][z/OS]TAI が要求のトラストを確立する場合、 アプリケーション・サーバー上の Java™ 仮想マシンに対して SvrSslCfg を実行し、 プロパティー・ファイルが作成されている必要があります。 このプロパティー・ファイルがデフォルトの URL file://java.home/PdPerm.properties にない場合、 このプロパティー・ファイルの正しい URL を構成 URL プロパティーで設定する必要があります。 このプロパティーが設定されておらず、SvrSslCfg 生成済みプロパティー・ファイルが デフォルトのロケーションにない場合、TAI の初期化が失敗します。 構成 URL プロパティーのデフォルト値は file://$WAS_HOME/java/jre/PdPerm.properties です。

    [IBM i]このプロパティーを、profile_root/etc/pd/PolicyDirector/PDPerm.properties に設定します。 TAI が要求のトラストを確立する場合、 セル内の各ノードに PDPerm.properties ファイルが存在する必要があります。 また、このプロパティー・ファイルの正しい URL を構成 URL プロパティーで設定する必要があります。 このプロパティーが設定されていないか、または PDPerm.properties ファイルが指定された ロケーションにない場合、TAI の初期化が失敗します。 PDPerm.properties ファイルは、ノードの Tivoli Access Manager 構成の一部です。Tivoli Access Manager 構成を作成するには、 pdjrtecfg スクリプトを実行してから、セル内の各ノードに対して svrsslcfg スクリプトを実行します。 PDPerm.properties ファイルは、profile_root/etc/pd/PolicyDirector/ ディレクトリーに作成されます。

  8. OK」をクリックします。
  9. 構成を保存して、ログアウトします。
  10. WebSphere Application Server を再始動します。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_ssowsstep4TAIplusplus
ファイル名:tsec_ssowsstep4TAIplusplus.html