SPNEGO Web 認証を使用した HTTP 要求のシングル・サインオンの作成
WebSphere® Application Server の Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) Web 認証を使用して HTTP 要求のシングル・サインオンを作成するには、個別の、しかし互いに関連のあるいくつかの機能を実行する必要があります。これを完了すると、HTTP ユーザーは、Microsoft ドメイン・コントローラーにデスクトップで一度ログインおよび認証するだけで、WebSphere Application Server からの自動認証を受けられるようになります。
始める前に
WebSphere Application Server バージョン 6.1 では、Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) を使用して、保護されたリソースへの HTTP 要求を安全にネゴシエーションし、認証する、トラスト・アソシエーション・インターセプター (TAI) が導入されています。 この機能は、WebSphere Application Server バージョン 7.0 では非推奨でした。代わりに SPNEGO Web 認証が導入され、以下の機能拡張が提供されるようになりました。
- 管理コンソールを使用することにより、WebSphere Application Server のサーバー側で SPNEGO Web 認証およびフィルターを構成して使用可能にすることができます。
- SPNEGO の動的再ロードを、 WebSphere Application Server サーバーを 停止および再始動しなくても実行できます。
- SPNEGO Web 認証に失敗した場合は、アプリケーション・ログイン・メソッドへのフォールバックが行われます。
SPNEGO TAI または SPNEGO Web 認証のいずれかを使用可能にすることはできますが、両方を使用可能にすることはできません。
SPNEGO Web 認証の内容と、それがこのバージョンの WebSphere Application Server でどのようにサポートされるかについて理解を深めるには、SPNEGO Web 認証を使用した HTTP 要求のシングル・サインオンを参照してください。
このタスクを開始する前に、次のチェックリストを確認してください。
Active Directory ドメイン・コントローラーおよび関連する Kerberos 鍵配布センター (KDC) が稼働している Microsoft Windows Server。
IETF RFC 2478 で定義されている SPNEGO 認証メカニズムをサポートする Microsoft Windows のドメイン・メンバー (クライアント)。例えば、ブラウザーまたは Microsoft .NET クライアント。Microsoft Internet Explorer バージョン 5.5 以降 および Mozilla Firefox バージョン 1.0 は、このようなクライアントの条件を満たしています。
重要: 稼働中のドメイン・コントローラーと、そのドメイン内に少なくとも 1 つのクライアント・マシンがあること。 ドメイン・コントローラーからの直接の SPNEGO の使用は、サポートされていません。- ドメイン・メンバーに、そのドメインにログオンできるユーザーが含まれていること。具体的には、以下を含む Microsoft Windows Active Directory ドメインが機能している必要があります。
- ドメイン・コントローラー
- クライアント・ワークステーション
- クライアント・ワークステーションにログインできるユーザー
- WebSphere Application Server が稼働し、アプリケーション・セキュリティーが有効になっているサーバー・プラットフォーム。
- Active Directory 上のユーザーが、WebSphere Application Server 固有の 認証メカニズムを使用して WebSphere Application Server 保護リソースにアクセスできること。
- ドメイン・コントローラーと WebSphere Application Server のホストの地方時が 同じになっていること。
- クライアント、Microsoft Active Directory、および WebSphere Application Server のクロックが 5 分以内に同期されていること。
- クライアント・ブラウザーの SPNEGO が有効になっていること。これは、クライアント・アプリケーション・マシンで実行します (詳しくは、手順 4『クライアント・アプリケーション・マシンでクライアント・アプリケーションを構成する』を参照)。
このタスクについて
このマシン調整の目的は、ユーザーが 再び認証を受けなくても WebSphere Application Server リソースに正常にアクセスできるようにすること、 すなわち Microsoft Windows デスクトップのシングル・サインオン機能を 有効にすることです。
- Active Directory ドメイン・コントローラーおよび関連する Kerberos 鍵配布センター (KDC) が稼働している Microsoft Windows Server。
- ブラウザーや Microsoft .NET クライアントなどの、Microsoft Windows ドメイン・メンバー (クライアント・アプリケーション)。
- WebSphere Application Server が稼働しているサーバー・プラットフォーム。
SPNEGO Web 認証を使用して HTTP 要求のシングル・サインオンを作成するには、引き続き以下のステップを実行します。