SPNEGO Web 認証を使用した HTTP 要求のシングル・サインオンの作成

WebSphere® Application Server の Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) Web 認証を使用して HTTP 要求のシングル・サインオンを作成するには、個別の、しかし互いに関連のあるいくつかの機能を実行する必要があります。これを完了すると、HTTP ユーザーは、Microsoft ドメイン・コントローラーにデスクトップで一度ログインおよび認証するだけで、WebSphere Application Server からの自動認証を受けられるようになります。

始める前に

注:

WebSphere Application Server バージョン 6.1 では、Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) を使用して、保護されたリソースへの HTTP 要求を安全にネゴシエーションし、認証する、トラスト・アソシエーション・インターセプター (TAI) が導入されています。 この機能は、WebSphere Application Server バージョン 7.0 では非推奨でした。代わりに SPNEGO Web 認証が導入され、以下の機能拡張が提供されるようになりました。

  • 管理コンソールを使用することにより、WebSphere Application Server のサーバー側で SPNEGO Web 認証およびフィルターを構成して使用可能にすることができます。
  • SPNEGO の動的再ロードを、 WebSphere Application Server サーバーを 停止および再始動しなくても実行できます。
  • SPNEGO Web 認証に失敗した場合は、アプリケーション・ログイン・メソッドへのフォールバックが行われます。

SPNEGO TAI または SPNEGO Web 認証のいずれかを使用可能にすることはできますが、両方を使用可能にすることはできません。

SPNEGO Web 認証の内容と、それがこのバージョンの WebSphere Application Server でどのようにサポートされるかについて理解を深めるには、SPNEGO Web 認証を使用した HTTP 要求のシングル・サインオンを参照してください。

このタスクを開始する前に、次のチェックリストを確認してください。

  • [Windows]Active Directory ドメイン・コントローラーおよび関連する Kerberos 鍵配布センター (KDC) が稼働している Microsoft Windows Server。
  • [Windows]IETF RFC 2478 で定義されている SPNEGO 認証メカニズムをサポートする Microsoft Windows のドメイン・メンバー (クライアント)。例えば、ブラウザーまたは Microsoft .NET クライアント。Microsoft Internet Explorer バージョン 5.5 以降 および Mozilla Firefox バージョン 1.0 は、このようなクライアントの条件を満たしています。
    重要: 稼働中のドメイン・コントローラーと、そのドメイン内に少なくとも 1 つのクライアント・マシンがあること。 ドメイン・コントローラーからの直接の SPNEGO の使用は、サポートされていません。
  • ドメイン・メンバーに、そのドメインにログオンできるユーザーが含まれていること。具体的には、以下を含む Microsoft Windows Active Directory ドメインが機能している必要があります。
    • ドメイン・コントローラー
    • クライアント・ワークステーション
    • クライアント・ワークステーションにログインできるユーザー
  • WebSphere Application Server が稼働し、アプリケーション・セキュリティーが有効になっているサーバー・プラットフォーム。
  • Active Directory 上のユーザーが、WebSphere Application Server 固有の 認証メカニズムを使用して WebSphere Application Server 保護リソースにアクセスできること。
  • ドメイン・コントローラーと WebSphere Application Server のホストの地方時が 同じになっていること。
  • クライアント、Microsoft Active Directory、および WebSphere Application Server のクロックが 5 分以内に同期されていること。
  • クライアント・ブラウザーの SPNEGO が有効になっていること。これは、クライアント・アプリケーション・マシンで実行します (詳しくは、手順 4『クライアント・アプリケーション・マシンでクライアント・アプリケーションを構成する』を参照)。

このタスクについて

このマシン調整の目的は、ユーザーが 再び認証を受けなくても WebSphere Application Server リソースに正常にアクセスできるようにすること、 すなわち Microsoft Windows デスクトップのシングル・サインオン機能を 有効にすることです。

この環境のメンバーを、 Microsoft Windows シングル・サインオンを設定するように構成するには、次の 3 種類のマシンでそれぞれ固有のアクティビティーを実行する必要があります。
  • Active Directory ドメイン・コントローラーおよび関連する Kerberos 鍵配布センター (KDC) が稼働している Microsoft Windows Server。
  • ブラウザーや Microsoft .NET クライアントなどの、Microsoft Windows ドメイン・メンバー (クライアント・アプリケーション)。
  • WebSphere Application Server が稼働しているサーバー・プラットフォーム。

SPNEGO Web 認証を使用して HTTP 要求のシングル・サインオンを作成するには、引き続き以下のステップを実行します。

手順

  1. Microsoft ドメイン・コントローラー・マシンで Kerberos サービス・プリンシパル (SPN) とキータブ・ファイルを作成します。
    1. WebSphere® Application Server で Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) Web 認証を使用する HTTP 要求のシングル・サインオンを作成するには、ドメイン・コントローラー・マシンを構成する必要があります。Active Directory ドメイン・コントローラーおよび関連する Kerberos Key Distribution Center (KDC) で動作する Microsoft Windows Server を構成します。詳しくは、 SPNEGO の記事を使用してHTTP 要求用のシングル・サインオンを作成するためのドメイン・コントローラー・マシンの構成に関する記事を参照してください。
  2. Kerberos 構成ファイルを作成します。
    1. Java™ Generic Security Service (JGSS) および KRB5 の IBM® 実装では、各ノードまたは Java 仮想マシン (JVM) に Kerberos 構成ファイル (krb5.conf または krb5.ini) が必要です。 このリリースの WebSphere Application Server では、すべてのアプリケーション・サーバーがこの構成ファイルにアクセスできるよう、このファイルを config/cells/<cell_name> ディレクトリーに配置する必要があります。 Kerberos 構成ファイルがない場合は、wsadmin コマンドを使用してファイルを作成します。 詳しくは、『Kerberos 構成ファイルの作成』の項目を参照してください。
  3. WebSphere Application Server マシンで管理コンソールを使用して SPNEGO Web 認証を構成および使用可能化します。
    1. WebSphere Application Server マシンで管理コンソールを使用することにより、アプリケーション・サーバーの Web オーセンティケーターとして Simple and Protected GSS-API Negotiation (SPNEGO) を使用可能化および構成することができます。 詳しくは、『管理コンソールを使用した SPNEGO Web 認証の使用可能化および構成』を参照してください。
  4. クライアント・アプリケーション・マシンでクライアント・アプリケーションを構成します。
    1. クライアント・サイド・アプリケーションは、SPNEGO トークンの生成を担当します。 この構成プロセスを開始するには、SPNEGO 認証を使用するように Web ブラウザーを 構成します。 詳しくは、『SPNEGO を使用するためのクライアント・ブラウザーの構成』を参照してください。
  5. HTTP 要求に対する J2EE、.NET、Java、Web サービスの各クライアント用 SPNEGO トークンを作成します (オプション)。
    1. ご使用のアプリケーション用に Simple and Protected GSS-API Negotiation (SPNEGO) トークンを作成し、このトークンを HTTP ヘッダーに挿入して、WebSphere Application Server に対する認証を行うことができます。 詳しくは、『HTTP 要求に対する J2EE、.NET、Java、Web サービスの各クライアント用 SPNEGO トークンの作成』を参照してください。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_SPNEGO_overview
ファイル名:tsec_SPNEGO_overview.html