Sun Java System サーバー用の Access Manager SSO
この節では、Access Manager を使用する SSO について説明します。この章には、次の節があります。
SSO の制限事項と注意事項
-
Messenger Express セッションは、Access Manager セッションが有効な場合に限り有効です。ユーザーが Access Manager からログアウトした場合、Web メールセッションは自動的に終了します (シングルサインオフ)。
-
同時に実行される SSO アプリケーションは、同一 DNS ドメインに存在する必要があります。(cookie ドメインとも呼ばれる)。
-
SSO アプリケーションには、Access Manager の確認 URL (ネーミングサービス) へのアクセス権が与えられている必要があります。
-
ブラウザには cookie が必要です。
Messaging Server を設定して SSO をサポートする
Messaging Server SSO は、4 つの configutil パラメータによってサポートされます。4 つのパラメータのうち、Messaging Server で SSO を有効にするには、local.webmail.sso.amnamingurl の 1 つのみが必要とされます。SSO を有効にするには、このパラメータを、Access Manager がネーミングサービスを実行している URL に設定します。通常、この URL は http://server/amserver/namingservice となります。次に例を示します。
configutil -o local.webmail.sso.amnamingurl -v
http://sca-walnut:88/amserver/namingservice
|
注 – Access Manager SSO は、古い SSO メカニズムを有効にする local.webmail.sso.enable を確認しません。local.webmail.sso.enable は off のままにしておくか、解除してください。これ以外の設定では、古い SSO メカニズムに必要とされる存在しない設定パラメータについての警告メッセージが記録されます。
表 6–3 で示されている SSO の設定パラメータは configutil コマンドを使用して変更できます。
表 6–1 Access Manager のシングルサインオンパラメータ
パラメータ
|
説明
|
local.webmail.sso.amnamingurl
|
Access Manager がネーミングサービスを実行する URL です。Access Manager を使用するシングルサインオンに必須の変数です。通常、この URL は http://server/amserver/namingservice です。
デフォルト: 設定なし。
|
local.webmail.sso.amcookiename
|
Access Manager の cookie 名です。デフォルトでは、Access Manager のセッションハンドルは iPlanetDirectoryPro という cookie に保存されます。Access Manager が別の cookie 名を使用するように設定されている場合は、その名前を Messaging Server のこのパラメータに設定する必要があります。これによって、Messaging Server でシングルサインオンを処理する場合の検索対象を指定できます。IS がデフォルト設定の場合は、デフォルト値はそのままにしておく必要があります。
デフォルト: iPlanetDirectoryPro
|
local.webmail.sso.amloglevel
|
AMSDK ログレベルです。Messaging Server で使用される SSO ライブラリには、Messaging Server とは別の独自のロギングメカニズムがあります。SSO ライブラリのメッセージは、msg_svr_base/log の下にある http_sso と呼ばれるファイルに記録されます。デフォルトでは、info 以上のメッセージのみが記録されますが、ログレベルを 1 〜 5 の値 (1 = errors、2 = warnings、3 = info、4 = debug、5 = maxdebug) に設定することで、ログレベルを上げることは可能です。ライブラリでのメッセージの重要性の概念は Messaging Server と異なること、また、レベルを debug に設定すると無意味なデータが大量に記録されることに注意してください。さらに、http_sso ログファイルは、共通の Messaging Server ログコードで管理されないこと、クリーンアップされたりロールオーバーされたりすることがないことにも注意してください。デフォルトよりも高いログレベルに設定した場合は、システム管理者の責任でクリーンアップを行います。
デフォルト: 3
|
local.webmail.sso.singlesignoff
|
Messaging Server から Access Manager へのシングルサインオフです。Access Manager は中央の認証オーソリティーであるため、シングルサインオフは常に Access Manager から Messaging Server の順で有効になります。このオプションを使用すると、サイトで Web メールの logout ボタンによって Access Manager からもユーザーを (カスタマイズ作業を保存して) ログアウトするかどうか設定できます。デフォルトでは、このオプションは有効になっています。このオプションを無効にした場合、デフォルトの Web メールクライアントからログアウトしたユーザーは自動的に再度ログインされます。ログアウトはルートドキュメントを参照し、ルートドキュメントは Access Manager cookie が存在していてそれが有効である限り受信箱画面を参照するためです。したがって、このオプションを無効に設定したサイトでは、Web メールのログアウト時に発生するアクションをカスタマイズする必要があります。
デフォルト: はい
|
SSO のトラブルシューティング
SSO に関して問題がある場合は、まず Web メールのログファイル msg_svr_base/log/http でエラーをチェックする必要があります。ログレベルを上げると作業がしやすくなります (configutil -o logfile.http.loglevel -v debug)。これで解決しない場合は、msg_svr_base/log/http_sso の amsdk メッセージをチェックしてから、amsdk ログレベルを上げてください (configutil -o local.webmail.sso.amloglevel -v 5)。サーバーを再起動しないとログレベルの変更が反映されないことに注意してください。
SSO の問題が解決しない場合は、Access Manager と Messaging Server の両方について、完全修飾ホスト名をログイン時に使用していることを確認してください。cookie は同一ドメインのサーバー間でのみ共有され、ブラウザはローカルサーバー名に使われるドメインを認識していないため、ブラウザで完全修飾ホスト名を使用しないと SSO は機能しません。