Web ユーザー認証を最小化するためのシングル・サインオンの実装

シングル・サインオン (SSO) のサポートによって、複数の WebSphere® Application Server の Web リソースにアクセスする際に Web ユーザーが認証を受ける回数は、1 回でよくなります。Web アプリケーションの フォーム・ログイン・メカニズムでは、SSO が使用可能になっている必要があります。このトピックを使用して、シングル・サインオンの最初の構成を行います。

始める前に

[AIX Solaris HP-UX Linux Windows][IBM i]SSO がサポートされるのは、 認証メカニズムが Lightweight Third Party Authentication (LTPA) の場合だけです。

[z/OS]SSO がサポートされるのは、 認証メカニズムが Lightweight Third Party Authentication (LTPA) の場合です。

SSO が使用可能になっていると、LTPA トークンを含む Cookie が作成され、HTTP 応答に挿入されます。ユーザーが、 同じドメイン・ネーム・サービス (DNS) のドメイン内の他の WebSphere Application Server プロセスで、別の Web リソースにアクセスする際に、その Cookie が要求とともに送信されます。次に LTPA トークンが Cookie から抽出され、検証されます。要求が WebSphere Application Server の異なるセル相互間で出されたのものであれば、SSO が機能するには、それらのセル相互間で LTPA 鍵とユーザー・レジストリーを共有する必要があります。SSO ドメインの各システムにあるレルム名は大/小文字が区別され、完全に一致している必要があります。

[Windows]ローカル OS の場合、 ドメインが使用されている場合はレルム名はドメイン・ネームです。 ドメインが使用されていない場合は、レルム名はマシン名です。

[Linux][AIX HP-UX Solaris][IBM i]レルム名は、ホスト名と同じです。

Lightweight Directory Access Protocol (LDAP) の場合、レルム名は LDAP サーバーの host:port レルム名です。 LTPA 認証メカニズムでは、 Web アプリケーションの認証メソッドがフォーム・ログインである場合、 SSO が使用可能になっている必要があります。

シングル・サインオンは LTPA のサブセットであるため、詳しくは、LTPA (Lightweight Third Party Authentication)を一読されることをお勧めします。

セキュリティー属性伝搬を使用可能にする場合は、 常に次の Cookie が応答に追加されます。
LtpaToken2
LtpaToken2 にはより強い暗号化が含まれており、これによって、複数の属性をトークンに追加することができます。 このトークンには、認証 ID および追加情報が含まれています。この追加情報には例えば、 固有性を判別する際に ID 以外のものも検討する際、 サブジェクトを検索するためのオリジナルのログイン・サーバーや固有のキャッシュ・キーに接触するために使用する属性などがあります。
注: インターオペラビリティー・フラグが有効になっている場合、オプションで以下の Cookie が追加されます。
LtpaToken
LtpaToken は、以前のリリースの WebSphere Application Server との相互運用のために使用されます。このトークンには、認証一致属性のみが含まれています。
[z/OS]注: LtpaToken は、WebSphere Application Server バージョン 5.1.0.2 より前のリリース用に生成されます。LtpaToken2 は、WebSphere Application Server バージョン 5.1.0.2 以降用に生成されます。
[AIX Solaris HP-UX Linux Windows][IBM i]注: LtpaToken は、WebSphere Application Server バージョン 5.1.1 より前のリリース用に生成されます。LtpaToken2 は、WebSphere Application Server バージョン 5.1.1 以降用に生成されます。
表 1. LTPA トークン・タイプ. 以下の表は、LTPA トークン・タイプを説明したものです。
トークン・タイプ 目的 指定方法
LtpaToken2 のみ これはデフォルトのトークン・タイプです。 AES-CBC-PKCS5 の埋め込み暗号化強度 (128 ビットの鍵サイズ) を使用します。このトークンは、WebSphere Application Server バージョン 6.02 よりも前のバージョンで使用されていた古い LtpaToken よりも強力です。これは、古いリリースとのインターオペラビリティーが不要である場合に推奨されるオプションです。 管理コンソール内の「SSO configuration」パネルで、 「インターオペラビリティー・モード」オプションを使用不可にします。 このパネルにアクセスするには、以下のステップを実行します。
  1. セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「Web セキュリティー」の下の「シングル・サインオン (SSO)」をクリックします。
LtpaToken および LtpaToken2 WebSphere Application Server バージョン 5.1.1 より前のリリースとの相互運用で使用します。古い LtpaToken Cookie は、新しい LtpaToken2 Cookie とともに存在します。LTPA 鍵が正しく共有されている場合、このオプションを使用して WebSphere の任意のバージョンと相互運用できます。 管理コンソール内の「SSO configuration」パネルで、「インターオペラビリティー・モード」オプションを使用可能にします。 このパネルにアクセスするには、以下のステップを実行します。
  1. セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「Web セキュリティー」の下の「シングル・サインオン (SSO)」をクリックします。

このタスクについて

最初に SSO を構成するには、以下のステップが必要です。

手順

  1. 管理コンソールを開きます。

    [AIX Solaris HP-UX Linux Windows][z/OS]Web ブラウザーに http://localhost:port_number/ibm/console と入力し、管理コンソールにアクセスします。

    [IBM i]Web ブラウザーに http://server_name:port_number/ibm/console と入力し、管理コンソールにアクセスします。

    ポート 9060 は、管理コンソールにアクセスするためのデフォルト・ポート番号です。ただし、 インストールの際に、別のポート番号を指定することもできます。適切なポート番号を使用してください。

  2. セキュリティー」>「グローバル・セキュリティー」とクリックします。
  3. 「Web セキュリティー」の下の「シングル・サインオン (SSO)」をクリックします。
  4. SSO が使用不可の場合は、「使用可能」オプションをクリックします。使用可能」オプションをクリックした後、必ず以降のステップを実行して セキュリティーを使用可能にしてください。
  5. すべての要求が HTTPS を使用すると予想される場合は、「SSL を必要とする」をクリックします。
  6. SSO が有効な「ドメイン・ネーム」フィールドに完全修飾ドメイン・ネームを入力します。 ドメイン・ネームを指定する場合は、完全修飾されている必要があります。ドメイン・ネームが完全修飾されていない場合、WebSphere Application Server は LtpaToken Cookie にドメイン・ネームの値を設定せず、SSO は Cookie を作成したサーバーでのみ有効になります。

    複数のドメインを指定する場合は、セミコロン (;)、スペース ( )、コンマ (,)、またはパイプ (|) などの区切り文字を使用することができます。 WebSphere Application Server は左から右の順番で、指定されたドメインを検索します。各ドメインは、最初の一致が見つかるまで、HTTP 要求のホスト名と比較されます。 例えば、ibm.com®; austin.ibm.com を指定し、最初の一致項目が ibm.com ドメインで見つかった場合、WebSphere Application Server は austin.ibm.com ドメインにおける一致項目の検索を続行しません。ただし、一致項目が ibm.com または austin.ibm.com domains のいずれでも見つからなかった場合、WebSphere Application Server は LtpaToken cookie にドメインを設定しません。

    表 2. 「ドメイン・ネーム」フィールドを構成する値.

    以下の表に、「ドメイン・ネーム」フィールドを構成する値を示します。

    ドメイン・ネームの値のタイプ 目的
    ブランク   ドメインは設定されません。これにより、ブラウザーがドメインを必要なホスト名に設定します。 サインオンはその単一のホストでのみ有効となります。
    単一ドメイン・ネーム austin.ibm.com 構成済みドメイン内のホストへの要求の場合、サインオンはそのドメイン内のすべてのホストに対して有効です。それ以外の場合は、要求のホスト名に対してのみ有効です。
    UseDomainFromURL UseDomainFromURL 構成済みドメイン内のホストへの要求の場合、サインオンはそのドメイン内のすべてのホストに対して有効です。それ以外の場合は、要求のホスト名に対してのみ有効です。
    複数のドメイン・ネーム austin.ibm.com;raleigh.ibm.com サインオンは、要求のホスト名を持つドメイン内のすべてのホストに対して有効です。
    重要: クロスドメイン SSO はサポートされません。例えば、DNS ドメインが異なる chicago.xxx.comcleveland.yyy.com の場合などです。
    複数のドメイン・ネームおよび UseDomainFromURL austin.ibm.com;raleigh.ibm.com; UseDomainFromURL サインオンは、要求のホスト名を持つドメイン内のすべてのホストに対して有効です。
    重要: クロスドメイン SSO はサポートされません。例えば、DNS ドメインが異なる chicago.xxx.comcleveland.yyy.com の場合などです。
    UseDomainFromURL を指定する場合、WebSphere Application Server は、要求を行うホストのドメインに SSO ドメイン・ネームの値を設定します。例えば、HTTP 要求が server1.raleigh.ibm.com から出された場合、WebSphere Application Server は、raleigh.ibm.com に SSO ドメイン・ネームの値を設定します。
    ヒント:UseDomainFromURL では、大/小文字は区別されません。usedomainfromurl と入力して、この値を使用することができます。

    詳しくは、シングル・サインオン設定を参照してください。

  7. オプション: WebSphere Application Server バージョン 5.1.1 以降の SSO 接続が、前のバージョンのアプリケーション・サーバーと相互運用できるようにサポートする場合、「インターオペラビリティー・モード」オプションを使用可能にします。

    このオプションは、応答に旧スタイルの LtpaToken トークンを設定するため、 このトークン・タイプでのみ動作する他のサーバーに送信することができます。 それ以外の場合、LtpaToken2 トークンのみが応答に追加されます。

    パフォーマンスを考慮する必要がある場合で、バージョン 6.1 以降のサーバーにのみ接続しており、 LtpaToken に依存する製品を実行していない場合は、インターオペラビリティー・モードを有効にしないでください。インターオペラビリティー・モードが有効になっていない場合、LtpaToken は応答で返されません。

  8. オプション: 特定のフロントエンド・サーバーでログイン中に追加された情報を、 他のフロントエンド・サーバーに伝搬する場合、「Web インバウンド・セキュリティー属性伝搬」オプションを使用可能にします。 SSO トークンには機密属性は含まれていませんが、 シリアライズされた情報を検索するためにオリジナルのログイン・サーバーに接触する必要がある場合のために、 そのサーバーが存在する場所を認識しています。 また、両方のフロントエンド・サーバーが同じ DRS 複製ドメインで構成されている場合、 DynaCache でシリアライズされた情報を検索するために、キャッシュ検索値が含まれています。詳しくは、セキュリティー属性の伝搬を参照してください。
    重要: 次の記述が当てはまる場合、 パフォーマンス上の理由から、「Web インバウンド・セキュリティー属性の伝搬」オプションを使用不可にすることをお勧めします。
    • ログイン中にサブジェクトに追加される、別のフロントエンド・サーバーでは取得できない特定の情報を持たない。
    • WSSecurityHelper アプリケーション・プログラミング・インターフェース (API) を使用して、カスタム属性を PropagationToken トークンに追加していない。
    サブジェクトのカスタム情報が欠落している場合は、 「Web インバウンド・セキュリティー属性の伝搬」オプションを再度使 用可能にして、情報が他のフロントエンド・アプリケーション・サーバーに正しく伝搬されているかを確認します。
    以下の 2 つのカスタム・プロパティーは、セキュリティー属性の伝搬が使用可能になっている場合、パフォーマンスの向上に役立つことがあります。
    • com.ibm.CSI.propagateFirstCallerOnly

      このプロパティーのデフォルト値は true です。このカスタム・プロパティーが true に設定されている場合、スレッド上に留まっている伝搬トークン内の最初の呼び出し元は、セキュリティー属性の伝搬が有効になっているときにログに記録されます。このプロパティーが false に設定されている場合は、呼び出し元切り替えのすべてがログに記録され、パフォーマンスに影響を与える可能性があります。

    • com.ibm.CSI.disablePropagationCallerList

      このカスタム・プロパティーが true に設定されている場合、 伝搬トークン内の呼び出し元またはホスト・リストを追加する機能が完全に使用不可になります。 この機能は、伝搬トークンの呼び出し元またはホスト・リストが環境内で不要である場合に有益です。

  9. OK」をクリックします。

次のタスク

変更を有効にするには、すべての製品デプロイメント・マネージャー、ノード、 およびサーバーを、保存、停止、および再始動してください。


トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_msso
ファイル名:tsec_msso.html