シングル・サインオン設定
このページを使用して、シングル・サインオン (SSO) の構成値を設定します。
- とクリックします。
- 「認証」の下で、 とクリックします。
このリリースでは、シングル・サインオン設定ページに 「クロスサイト・スクリプティング・アタックを防御するため、セキュリティー Cookie を HTTPOnly に設定する」チェック・ボックスが 追加されました。HttpOnly 属性は、ブラウザー属性であり、クライアント・サイド・アプリケーション (Java™ スクリプトなど) が Cookie にアクセスできないようにして、クロスサイト・スクリプティングのぜい弱性から保護するために作成されました。この属性で、LTPA および WASReqURL Cookie に HTTPOnly フィールドを 組み込むように指定します。
使用可能
シングル・サインオン機能を使用可能にすることを指定します。
Java EE FormLogin スタイルのログイン・ページ (管理コンソールなど) を使用する Web アプリケーションでは、 シングル・サインオン (SSO) を使用可能にする必要があります。SSO を使用不可にするのは、LTPA SSO タイプの Cookie が不要である特定の拡張構成の場合のみにしてください。
通知 | 値 |
---|---|
データ型: | ブール |
デフォルト: | 使用可能 |
範囲: | 使用可能または使用不可 |
SSL が必須
要求が HTTPS Secure Sockets Layer (SSL) 接続で送信されている場合にのみ、シングル・サインオン機能が使用可能に なるよう指定します。このプロパティーが使用可能に設定されると、セキュリティーは自動的に有効になります。
通知 | 値 |
---|---|
データ型: | ブール |
デフォルト: | 使用不可 |
範囲: | 使用可能または使用不可 |
ドメイン・ネーム
シングル・サインオンを行うすべてのホストに、ドメイン名 (.ibm.com など) を指定します。
アプリケーション・サーバーは、最初のピリオド以降のすべての情報を、 左から右へ、ドメイン・ネームとして使用します。このフィールドが定義されていない場合、Web ブラウザーは Web アプリケーションが実行されているホスト名をデフォルトのドメイン・ネームとして使用します。 また、その場合、シングル・サインオンは、そのアプリケーション・サーバー・ホスト名に制限され、 ドメイン内のその他のアプリケーション・サーバー・ホスト名では機能しません。
セミコロン (;)、スペース ( )、コンマ (,)、またはパイプ (|) で区切られた複数のドメインを指定することができます。 各ドメインは、最初の一致が見つかるまで、HTTP 要求のホスト名と比較されます。 例えば、ibm.com;austin.ibm.com を指定して、ibm.com ドメインで最初の一致が検出されると、 アプリケーション・サーバーは austin.ibm.com ドメインとの突き合わせを行いません。しかし、 ibm.com または austin.ibm.com のいずれでも一致が見つからなかった場合、アプリケーション・サーバーは、 LtpaToken Cookie にはドメインを設定しません。

- セッション・マネージャー は、セキュア・ランダム生成プログラムを使用してセッション ID を生成します。セッション ID は、 setCookie メソッドで Cookie が作成されるときに Cookie に 書き込まれます。セッション・マネージャーは LtpaToken を Cookie に設定しません。
- 「ドメイン・ネーム」フィールドに複数のドメイン・ネームを使用することで、必ずしも、単一セッション中に異なるドメイン・ネームを使用できるようにするわけではありません。 例えば、「ドメイン・ネーム」に値 ibm.com;lotus.com が含まれている場合、 www.ibm.com または www.lotus.com で、SSO ログインが成功した場合のみサーバーにアクセスできますが、両方ではできません。 これは、LTPA Cookie を送信するかどうかをブラウザーが制御するためです。
UseDomainFromURL を指定すると、アプリケーション・サーバー は、SSO ドメイン・ネームの値を、Web アドレスで使用されるホストのドメインに設定します。 例えば、HTTP 要求が server1.raleigh.ibm.com から来る場合、 アプリケーション・サーバーは、SSO ドメイン・ネームの値を raleigh.ibm.com に設定します。
通知 | 値 |
---|---|
データ型: | ストリング |
インターオペラビリティー・モード
バックレベルのサーバーをサポートするために 相互運用 Cookie がブラウザーに送信されることを指定します。
WebSphere Application Server バージョン 6 以降では、セキュリティー属性の伝搬機能を使用するのに、 新規の Cookie フォーマットが必要です。インターオペラビリティー・モード・フラグが使用可能な場合、サーバーは 最大 2 つのシングル・サインオン (SSO) Cookie をブラウザーに送信して戻すことができます。場合によっては、 サーバーは相互運用 SSO Cookie のみを送信します。
Web インバウンド・セキュリティー属性の伝搬
Web インバウンド・セキュリティー属性の伝搬が使用可能な場合、 セキュリティー属性はフロントエンド・アプリケーション・サーバーに伝搬されます。このオプションを使用不可にすると、 シングル・サインオン (SSO) トークンが、ユーザー・レジストリーからのログインと、サブジェクトの再作成のために使用されます。
アプリケーション・サーバーがクラスターのメンバーであり、 クラスターがデータ複製サービス (DRS) ドメインで構成されている場合、 伝搬が行われます。 DRS が構成されていない場合、SSO トークンに発信元のサーバー情報が含まれます。
この情報により、受信サーバーは、MBean 呼び出しを使用して発信元サーバーに連絡を取り、 オリジナルのシリアライズされたセキュリティー属性を取得することができます。
クロスサイト・スクリプティング・アタックを防御するため、セキュリティー Cookie を HTTPOnly に設定する
HttpOnly 属性は、ブラウザー属性であり、 クライアント・サイド・アプリケーション (Java スクリプトなど) が Cookie にアクセスできないようにして、 クロスサイト・スクリプティングのぜい弱性から保護するために作成されました。この属性で、LTPA および WASReqURL Cookie に HTTPOnly フィールドを 組み込むように指定します。
セッション Cookie については、サーバー、アプリケーション、および Web モジュールのセッション設定を参照してください。
通知 | 値 |
---|---|
データ型: | ブール |
デフォルト: | 使用可能 |
範囲: | 使用可能または使用不可 |
LTPA V2 Cookie 名
このフィールドを使用して、新規カスタム・プロパティー com.ibm.websphere.security.customLTPACookieName および com.ibm.websphere.security.customSSOCookieName を設定します。
com.ibm.websphere.security.customLTPACookieName カスタム・プロパティーは、Lightweight Third Party Authentication (LTPA) トークンに使用される Cookie の名前をカスタマイズするために使用されます。
com.ibm.websphere.security.customSSOCookieName カスタム・プロパティーは、Lightweight Third Party Authentication Version 2 (LTPA2) トークンに使用される Cookie の名前をカスタマイズするために使用されます。
各プロパティーについて詳しくは、『セキュリティー・カスタム・プロパティー』のトピックを参照してください。