Sun Java System Access Manager 7 2005Q4 管理ガイド

一意のポリシーエージェントアイデンティティーの作成

デフォルトでは、信頼できる環境で複数のポリシーエージェントを作成するときは、ポリシーエージェントに同一の UID およびパスワードが含まれます。UID およびパスワードが共有されるため、Access Manager はエージェントを区別できません。そのため、セッション Cookie が横取りされる可能性があります。

この弱点は、認証、承認、およびユーザーに関するプロファイル情報がアイデンティティープロバイダによって、サードパーティーまたは企業内の未承認のグループによって開発されたアプリケーションまたはサービスプロバイダに提供される場合に存在するようになることがあります。考えられるセキュリティー上の問題を次に示します。

Procedure一意のポリシーエージェントアイデンティティーを作成する

手順
  1. Access Manager 管理コンソールを使用して、エージェントごとにエントリを作成します。

  2. エージェントの作成時に入力したパスワードに次のコマンドを実行します。このコマンドは、エージェントがインストールされているホストで起動してください。

    AccessManager-base/SUNWam/agents/bin/crypt_util agent123

    次の出力が得られます。

    WnmKUCg/y3l404ivWY6HPQ==

  3. 新しい値を反映するように AMAgent.properties を変更し、エージェントを再起動します。例:

    # The username and password to use for the Application 
    authentication module.
    
    com.sun.am.policy.am.username = agent123
    com.sun.am.policy.am.password = WnmKUCg/y3l404ivWY6HPQ==
    
    # Cross-Domain Single Sign On URL
    # Is CDSSO enabled.
    com.sun.am.policy.agents.cdsso-enabled=true
    
    # This is the URL the user will be redirected to after successful login
    # in a CDSSO Scenario.
    com.sun.am.policy.agents.cdcservletURL = http://server.example.com:port
    /amserver/cdcservlet
  4. 新しい値を反映するように、Access Manager がインストールされている AMConfig.properties を変更し、Access Manager を再起動します。例:

    com.sun.identity.enableUniqueSSOTokenCookie=true
    com.sun.identity.authentication.uniqueCookieName=sunIdentityServerAuthNServer
     
    com.sun.identity.authentication.uniqueCookieDomain=.example.com
  5. Access Manager コンソールで、「設定」、「プラットフォーム」の順に選択します。

  6. 「Cookie ドメイン」リストで、次のように Cookie ドメイン名を変更します。

    1. デフォルトの iplanet.com ドメインを選択し、「消去」をクリックします。

    2. Access Manager インストールのホスト名を入力し、「追加」をクリックします。

      例: server.example.com

      次に示すように 2 つの Cookie がブラウザに設定されます。

      • iPlanetDirectoryPro – server.example.com (ホスト名)

      • sunIdentityServerAuthNServer – example.com (ホスト名)