Sun Java System Communications Express 6 2005Q4 管理ガイド

Access Manager シングルサインオンの設定

この節では、Access Manager シングルサインオンを使用して互いに通信するように、Communications Express と Messenger Express を設定する方法について説明します。

スキーマモデルとして Sun Java System LDAP Schema, v.2 を採用した場合、有効なユーザーセッションを取得するためには、Communications Express で Access Manager を有効にし、Access Manager のシングルサインオンメカニズムを使用する必要があります。

Communication Express のユーザーが Access Manager シングルサインオンを使用して、Messenger Express によって描画されるメールモジュールにアクセスできるようにするには、msg-svr_install_root/sbin/configutil にある configutil ツールを使用して、Messenger Express 固有のパラメータを変更する必要があります。インストーラでは Messenger Express 固有のパラメータが設定されないため、インストール後に、これらのパラメータを明示的に設定することが重要です。configutil ツールの使用の詳細については、『Sun Java System Messaging Server 管理ガイド』の第 4 章「一般的なメッセージング機能の設定」を参照してください。

Access Manager シングルサインオンを設定する場合、Communications Express と Access Manager は、同じ Web コンテナインスタンスまたは異なる Web コンテナインスタンスに SSL モードと非 SSL モードのどちらでも配備できます。Access Manager と Communications Express を異なる Web コンテナインスタンスに配備する場合は、Communications Express が配備されているシステム上に Access Manager Remote SDK を設定する必要があります。次に示すのは、Access Manager と Communications Express を異なる Web コンテナインスタンスに SSL モードと非 SSL モードの両方で配備する場合の各配備シナリオです。

ProcedureCommunications Express で Access Manager によるシングルサインオンを有効にする

手順
  1. uwc-deployed-path/WEB-INF/config/uwcauth.properties ファイルを開きます。

  2. 次に示す、uwcauth.properties ファイル内の Communications Express パラメータを変更して、Access Manager SSO を有効にします。

    パラメータ 

    目的 

    uwcauth.identity.enabled

    Access Manager が有効かどうかを指定します。 

    最初、この値は設定プログラムで設定されます。 

    Access Manager を有効にするには、この属性を true に設定します。

    Access Manager を無効にするには、この属性を false に設定します。

    uwcauth.identity.login.url

    Access Manager のログイン URL のパラメータを指定します。 

    たとえば、uwcauth.identity.login.url=http://siroe.example.com:85/amserver/UI/login

    uwcauth.identity.cookiename 

    Access Manager で使用する Cookie 名を指定します。 

    uwcauth.identity.cookiename の値は、Access Manager 設定プログラムで指定した値に対応していなければなりません。

    Access Manager で使用されるデフォルトの Cookie 名は、iPlanetDirectoryPro です。

    uwcauth.identity.binddn 

    amAdmin の完全な DN を指定します。 

    たとえば、 

    uid=amAdmin, ou=People, o=siroe.example.com, o=example.com

    注: uwcauth.identity.binddn および uwcauth.identity.bindcred の値は、Access Manager のインストール時に入力した値に対応していなければなりません。

    たとえば、uwcauth.identity.binddn=uid=amAdmin, ou=People, o=siroe.example.com, o=example.comuwcauth.identity.bindcred=password など

    uwcauth.identity.bindcred 

    amadmin のパスワードを指定します。 

    uwcauth.http.port 

    Communications Express が非 SSL ポート上に設定された場合の、Communications Express が待機するポート番号を指定します。 

    デフォルトのポート番号は 80 です。

    uwcauth.https.port 

    Communications Express が SSL ポート上に設定された場合の、Communications Express が待機する https ポート番号を指定します。 

    デフォルトの https ポート番号は 443 です。

    identitysso.singlesignoff 

    シングルサインオフの状態を指定します。 

    この値が true に設定されていると、ログアウトによって Access Manager セッションは完全に無効になり、この Access Manager セッションに参加しているすべてのアプリケーションがサインアウトされます。

    この値が false に設定されていると、Communications Express セッションだけが無効になり、ユーザーは identitysso.portalurl に設定されている URL に移動されます。

    デフォルトの状態は true です。

    identitysso.portalurl 

    Communications Express がリダイレクトされる URL を指定します。 

    Access Manager が有効になっていて、シングルサインオフが false に設定されていると、Communications Express は identitysso.portalurl に割り当てられた URL にリダイレクトされます。

    デフォルトでは、Communications Express は http://www.sun.com にリダイレクトされます。

  3. Access Manager シングルサインオン用に Communications Express を設定する場合は、パラメータ uwcauth.messagingsso.enable の値を false に設定します。

    これで、Communications Express は Access Manager のシングルサインオンメカニズムを使用して、有効なユーザーセッションを取得できるようになります。

ProcedureAccess Manager と Communications Express を同じ Web コンテナインスタンスに配備する

手順
  1. IS-SDK-BASEDIR/lib/AMConfig.properties ファイルを開きます。

    IS-SDK-BASEDIR の例に、/opt/SUNWam/lib があります。

  2. 次のプロパティーが AMConfig.properties ファイルに設定されていることを確認します。

    com.iplanet.am.jssproxy.trustAllServerCerts=true

    AMConfig.propertiesIS-SDK-BASEDIR/lib にあります。

    たとえば、/opt/SUNWam/lib などです。

  3. Web コンテナをを再起動して、変更内容を有効にします。

    これで、同じ Web コンテナインスタンスに SSL モードで配備された Access Manager と Communications Express は、Access Manager のシングルサインオンメカニズムを使用して、有効なユーザーセッションを取得できるようになります。

ProcedureAccess Manager と Communications Express を異なる Web コンテナインスタンスに配備する

手順
  1. IS-INSTALL-DIR/bin に移動します。

  2. Access Manager の IS-INSTALL-DIR/bin/amsamplesilent ファイルをコピーします。

    cp amsamplesilent amsamplesilent.uwc

  3. 前の手順で作成された amsamplesilent のコピーを編集します。

    配備の詳細に対応するようにパラメータを設定します。

    Access Manager SDK を Sun Java System Web Server や Sun Java System Application Server などの Web コンテナに配備している場合は、DEPLOY_LEVEL 値を 4 に設定します。つまり、「コンテナ設定のみの SDK」のオプションを選択します。

  4. AM_ENC_PWD に、Access Manager のインストール時に使用したパスワード暗号鍵の値を設定します。

    この暗号鍵は、次のファイルにあるパラメータ am.encryption.pwd に格納されています。

    ${IS_INSTALL_DIR}/lib/AMConfig.properties

  5. NEW_INSTANCEtrue に設定します。

  6. Access Manager SDK を Sun Java System Web Server に配備している場合は、WEB_CONTAINERWS6 に設定します。

    Access Manager SDK を Sun Java System Application Server に配備している場合は、WEB_CONTAINERAS7 または AS8 に設定します。

  7. amsamplesilent ファイルのその他のパラメータの詳細と、Access Manager Remote SDKのパラメータを設定する方法については、『Sun Java System Identity Server 管理ガイド』の第 1 章「Identity Server 2004Q2 設定スクリプト」を参照してください。

  8. Web コンテナで Access Manager SDK を設定します。

    Access Manager で使用されている Directory Server が動作していることを確認してください。

  9. Access Manager SDK を配備する Web コンテナインスタンスを起動します。

  10. IS-INSTALL-DIR/bin にディレクトリを変更します。

  11. 次のコマンドを実行します。

    ./amconfig -s amsamplesilent.uwc

  12. Web コンテナインスタンスを再起動して、設定を有効にします。

    これで、異なる Web インスタンスに SSL モードおよび非 SSL モードで配備された Access Manager と Communications Express は、Access Manager のシングルサインオンメカニズムを使用して、有効なユーザーセッションを取得できるようになります。


    注 –

    Communications Express を配備したあとで Access Manager を有効または無効にする手順については、「Communications Express のチューニング」を参照してください。


ProcedureMessenger Express で Access Manager によるシングルサインオンを有効にする

手順
  1. configutil ツールを実行します。

    msg-svr_install_root /sbin/configutil

    Messenger Express を MEM として配備している場合は、次に示す Messaging Server のパラメータの値が、バックエンドの Messaging Server コンポーネント mshttpd とフロントエンドの MEM で同じであることを確認してください。

    • local.webmail.sso.uwclogouturl

      • local.webmail.sso.uwchome

      • local.webmail.sso.uwcenabled

      • local.webmail.sso.uwcport

      • local.webmail.sso.singlesignoff

      • local.webmail.sso.uwccontexturi

      • local.webmail.sso.amcookiename

      • local.webmail.sso.amnamingurl

  2. 次に示す Messenger Express パラメータを設定して、Communication Express のユーザーが Access Manager シングルサインオンを使用して Messenger Express にアクセスできるようにします。

    パラメータ 

    目的 

    local.webmail.sso.amnamingurl

    Access Manager の SSO を有効にします。 

    このパラメータは、Access Manager がネーミングサービスを実行する URL を指すようにします。 

    configutil -o local.webmail.sso.amnamingurl -v http://siroe.example.com:85/amserver/namingservice

    local.webmail.sso.uwcenabled

    Communications Express から Messenger Express にアクセスできるようにします。 

    アクセスを無効にするには、このパラメータを 0 に設定します。 

    local.webmail.sso.uwclogouturl

    Messenger Express が Communications Express セッションを無効にするために使用する URL を指定します。 

    Messenger Express で local.webmail.sso.uwclogouturl を明示的に設定している場合は、この値がログアウトに使用されます。それ以外の場合、Messenger Express は、要求ヘッダー内の http ホストに基づいてログアウト URL を作成します。

    例 

    http://siroe.example.com:85/base/UWCmain?op=logout 

    Communications Express が /uwc のように、/ の直下に配備されていない場合、このパラメータの値は次のようになります。

    http://siroe.example.com:85/uwc/base/UWCmain?op=logout

    local.webmail.sso.uwcport

    Communications Express のポートを指定します。 

    たとえば、85 

    local.webmail.sso.uwccontexturi 

    Communications Express が配備される URI パスを指定します。 

    このパラメータは、Communications Express が / の下に配備されていない場合だけ指定します。

    たとえば、Communications Express が /uwc に配備されている場合は、local.webmail.sso.uwccontexturi=uwc となります。

    local.webmail.sso.amcookiename 

    Access Manager セッション Cookie 名を指定します。 

    uwcauth.properties ファイルで、uwcauth.identity.cookiename の値が local.webmail.sso.amcookiename の値に設定されていることを確認してください。

    たとえば、iPlanetDirectoryPro

    local.webmail.sso.uwchome 

    ホームリンクへのアクセスに必要な URL を指定します。 

    Messenger Express 固有のパラメータが設定されると、Communications Express のユーザーは Access Manager シングルサインオンを使用して Messenger Express にアクセスできます。