第 5 章 シングルサインオンの実装
シングルサインオンを使用すると、エンドユーザーは 1 回認証を受ければ、もう一度認証を受けなくても複数のアプリケーションを使用できます。たとえば、シングルサインオンがカレンダアプリケーションやメールアプリケーションで有効になっている場合、もう一度認証を受けなくても Communications Express にログインしてそのカレンダアプリケーションやメールアプリケーションを使用することができます。Communications Express では、次の種類のシングルサインオンを実行できます。
-
Access Manager シングルサインオン: Communications Express で Access Manager が有効になっていると、シングルサインオンが実行されます。この場合、Messenger Express と Communications Express は Access Manager シングルサインオンを使用して互いに通信します。
-
Messaging シングルサインオン: Access Manager が存在しない場合、Messenger Express と Communications Express は、Messaging シングルサインオンを使用して互いに通信します。
この章には、次の節があります。
Access Manager シングルサインオンの設定
この節では、Access Manager シングルサインオンを使用して互いに通信するように、Communications Express と Messenger Express を設定する方法について説明します。
スキーマモデルとして Sun Java System LDAP Schema, v.2 を採用した場合、有効なユーザーセッションを取得するためには、Communications Express で Access Manager を有効にし、Access Manager のシングルサインオンメカニズムを使用する必要があります。
Communication Express のユーザーが Access Manager シングルサインオンを使用して、Messenger Express によって描画されるメールモジュールにアクセスできるようにするには、msg-svr_install_root/sbin/configutil にある configutil ツールを使用して、Messenger Express 固有のパラメータを変更する必要があります。インストーラでは Messenger Express 固有のパラメータが設定されないため、インストール後に、これらのパラメータを明示的に設定することが重要です。configutil ツールの使用の詳細については、『Sun Java System Messaging Server 管理ガイド』の第 4 章「一般的なメッセージング機能の設定」を参照してください。
Access Manager シングルサインオンを設定する場合、Communications Express と Access Manager は、同じ Web コンテナインスタンスまたは異なる Web コンテナインスタンスに SSL モードと非 SSL モードのどちらでも配備できます。Access Manager と Communications Express を異なる Web コンテナインスタンスに配備する場合は、Communications Express が配備されているシステム上に Access Manager Remote SDK を設定する必要があります。次に示すのは、Access Manager と Communications Express を異なる Web コンテナインスタンスに SSL モードと非 SSL モードの両方で配備する場合の各配備シナリオです。
-
Access Manager と Communications Express を異なる Web コンテナインスタンスに非 SSL モードで配備する場合
-
Access Manager と Communications Express を異なる Web コンテナインスタンスに SSL モードで配備する場合
-
Access Manager は SSL モードで、Communications Express は非 SSL モードで、異なる Web コンテナインスタンスに配備する場合
-
Access Manager と Communications Express を同じシステム上で動作している異なる Web コンテナインスタンスに非 SSL モードで配備する場合
-
Access Manager と Communications Express を同じシステム上で動作している異なる Web コンテナインスタンスに SSL モードで配備する場合
Communications Express で Access Manager によるシングルサインオンを有効にする
手順
-
uwc-deployed-path/WEB-INF/config/uwcauth.properties ファイルを開きます。
-
次に示す、uwcauth.properties ファイル内の Communications Express パラメータを変更して、Access Manager SSO を有効にします。
パラメータ
目的
Access Manager が有効かどうかを指定します。
最初、この値は設定プログラムで設定されます。
Access Manager を有効にするには、この属性を true に設定します。
Access Manager を無効にするには、この属性を false に設定します。
Access Manager のログイン URL のパラメータを指定します。
たとえば、uwcauth.identity.login.url=http://siroe.example.com:85/amserver/UI/login
uwcauth.identity.cookiename
Access Manager で使用する Cookie 名を指定します。
uwcauth.identity.cookiename の値は、Access Manager 設定プログラムで指定した値に対応していなければなりません。
Access Manager で使用されるデフォルトの Cookie 名は、iPlanetDirectoryPro です。
uwcauth.identity.binddn
amAdmin の完全な DN を指定します。
たとえば、
uid=amAdmin, ou=People, o=siroe.example.com, o=example.com
注: uwcauth.identity.binddn および uwcauth.identity.bindcred の値は、Access Manager のインストール時に入力した値に対応していなければなりません。
たとえば、uwcauth.identity.binddn=uid=amAdmin, ou=People, o=siroe.example.com, o=example.com、 uwcauth.identity.bindcred=password など
uwcauth.identity.bindcred
amadmin のパスワードを指定します。
uwcauth.http.port
Communications Express が非 SSL ポート上に設定された場合の、Communications Express が待機するポート番号を指定します。
デフォルトのポート番号は 80 です。
uwcauth.https.port
Communications Express が SSL ポート上に設定された場合の、Communications Express が待機する https ポート番号を指定します。
デフォルトの https ポート番号は 443 です。
identitysso.singlesignoff
シングルサインオフの状態を指定します。
この値が true に設定されていると、ログアウトによって Access Manager セッションは完全に無効になり、この Access Manager セッションに参加しているすべてのアプリケーションがサインアウトされます。
この値が false に設定されていると、Communications Express セッションだけが無効になり、ユーザーは identitysso.portalurl に設定されている URL に移動されます。
デフォルトの状態は true です。
identitysso.portalurl
Communications Express がリダイレクトされる URL を指定します。
Access Manager が有効になっていて、シングルサインオフが false に設定されていると、Communications Express は identitysso.portalurl に割り当てられた URL にリダイレクトされます。
デフォルトでは、Communications Express は http://www.sun.com にリダイレクトされます。
-
Access Manager シングルサインオン用に Communications Express を設定する場合は、パラメータ uwcauth.messagingsso.enable の値を false に設定します。
これで、Communications Express は Access Manager のシングルサインオンメカニズムを使用して、有効なユーザーセッションを取得できるようになります。
Access Manager と Communications Express を同じ Web コンテナインスタンスに配備する
手順
-
IS-SDK-BASEDIR/lib/AMConfig.properties ファイルを開きます。
IS-SDK-BASEDIR の例に、/opt/SUNWam/lib があります。
-
次のプロパティーが AMConfig.properties ファイルに設定されていることを確認します。
com.iplanet.am.jssproxy.trustAllServerCerts=true
AMConfig.properties は IS-SDK-BASEDIR/lib にあります。
たとえば、/opt/SUNWam/lib などです。
-
Web コンテナをを再起動して、変更内容を有効にします。
これで、同じ Web コンテナインスタンスに SSL モードで配備された Access Manager と Communications Express は、Access Manager のシングルサインオンメカニズムを使用して、有効なユーザーセッションを取得できるようになります。
Access Manager と Communications Express を異なる Web コンテナインスタンスに配備する
手順
-
IS-INSTALL-DIR/bin に移動します。
-
Access Manager の IS-INSTALL-DIR/bin/amsamplesilent ファイルをコピーします。
cp amsamplesilent amsamplesilent.uwc
-
前の手順で作成された amsamplesilent のコピーを編集します。
配備の詳細に対応するようにパラメータを設定します。
Access Manager SDK を Sun Java System Web Server や Sun Java System Application Server などの Web コンテナに配備している場合は、DEPLOY_LEVEL 値を 4 に設定します。つまり、「コンテナ設定のみの SDK」のオプションを選択します。
-
AM_ENC_PWD に、Access Manager のインストール時に使用したパスワード暗号鍵の値を設定します。
この暗号鍵は、次のファイルにあるパラメータ am.encryption.pwd に格納されています。
${IS_INSTALL_DIR}/lib/AMConfig.properties
-
NEW_INSTANCE を true に設定します。
-
Access Manager SDK を Sun Java System Web Server に配備している場合は、WEB_CONTAINER を WS6 に設定します。
Access Manager SDK を Sun Java System Application Server に配備している場合は、WEB_CONTAINER を AS7 または AS8 に設定します。
-
amsamplesilent ファイルのその他のパラメータの詳細と、Access Manager Remote SDKのパラメータを設定する方法については、『Sun Java System Identity Server 管理ガイド』の第 1 章「Identity Server 2004Q2 設定スクリプト」を参照してください。
-
Web コンテナで Access Manager SDK を設定します。
Access Manager で使用されている Directory Server が動作していることを確認してください。
-
Access Manager SDK を配備する Web コンテナインスタンスを起動します。
-
IS-INSTALL-DIR/bin にディレクトリを変更します。
-
次のコマンドを実行します。
./amconfig -s amsamplesilent.uwc
-
Web コンテナインスタンスを再起動して、設定を有効にします。
これで、異なる Web インスタンスに SSL モードおよび非 SSL モードで配備された Access Manager と Communications Express は、Access Manager のシングルサインオンメカニズムを使用して、有効なユーザーセッションを取得できるようになります。
注 –Communications Express を配備したあとで Access Manager を有効または無効にする手順については、「Communications Express のチューニング」を参照してください。
Messenger Express で Access Manager によるシングルサインオンを有効にする
手順
-
configutil ツールを実行します。
msg-svr_install_root /sbin/configutil
Messenger Express を MEM として配備している場合は、次に示す Messaging Server のパラメータの値が、バックエンドの Messaging Server コンポーネント mshttpd とフロントエンドの MEM で同じであることを確認してください。
-
次に示す Messenger Express パラメータを設定して、Communication Express のユーザーが Access Manager シングルサインオンを使用して Messenger Express にアクセスできるようにします。
パラメータ
目的
Access Manager の SSO を有効にします。
このパラメータは、Access Manager がネーミングサービスを実行する URL を指すようにします。
例
configutil -o local.webmail.sso.amnamingurl -v http://siroe.example.com:85/amserver/namingservice
Communications Express から Messenger Express にアクセスできるようにします。
アクセスを無効にするには、このパラメータを 0 に設定します。
Messenger Express が Communications Express セッションを無効にするために使用する URL を指定します。
Messenger Express で local.webmail.sso.uwclogouturl を明示的に設定している場合は、この値がログアウトに使用されます。それ以外の場合、Messenger Express は、要求ヘッダー内の http ホストに基づいてログアウト URL を作成します。
例
http://siroe.example.com:85/base/UWCmain?op=logout
Communications Express が /uwc のように、/ の直下に配備されていない場合、このパラメータの値は次のようになります。
http://siroe.example.com:85/uwc/base/UWCmain?op=logout
Communications Express のポートを指定します。
たとえば、85
local.webmail.sso.uwccontexturi
Communications Express が配備される URI パスを指定します。
このパラメータは、Communications Express が / の下に配備されていない場合だけ指定します。
たとえば、Communications Express が /uwc に配備されている場合は、local.webmail.sso.uwccontexturi=uwc となります。
local.webmail.sso.amcookiename
Access Manager セッション Cookie 名を指定します。
uwcauth.properties ファイルで、uwcauth.identity.cookiename の値が local.webmail.sso.amcookiename の値に設定されていることを確認してください。
たとえば、iPlanetDirectoryPro
local.webmail.sso.uwchome
ホームリンクへのアクセスに必要な URL を指定します。
Messenger Express 固有のパラメータが設定されると、Communications Express のユーザーは Access Manager シングルサインオンを使用して Messenger Express にアクセスできます。
Messaging シングルサインオンの設定
この節では、Communications Express で Messaging シングルサインオンを設定する方法について説明します。スキーマモデルとして Sun Java System LDAP Schema, v.1 の採用を選択した場合は、Communications Express で Messaging SSO を有効にすることによって、認証に Messaging シングルサインオンメカニズムを使用する必要があります。
Communications Express を設定するとき、設定ウィザードでは SSO 関連の必須パラメータは何も設定されません。あとで説明する方法で、必要なパラメータを手動で設定する必要があります。また、Messaging SSO では仮想ドメインはサポートされておらず、さらに、Messaging SSO が有効になっている場合は Messenger Express を SSL モードで実行することはできません。
Messenger Express を MEM として配備している場合は、次に示す Messaging Server のパラメータの値がバックエンドとフロントエンドで同じであることを確認してください。
-
local.webmail.sso.id
-
local.webmail.sso.uwclogouturl
-
local.webmail.sso.uwchome
-
local.webmail.sso.ims.verifyurl
-
local.webmail.sso.prefix
-
local.sso.uwc.verifyurl
-
local.webmail.sso.cookiedomain
-
local.webmail.sso.enable
-
local.webmail.sso.uwcenabled
-
local.webmail.sso.uwcport
-
local.webmail.sso.singlesignoff
-
local.webmail.sso.uwccontexturi
Messaging SSO を使用して Communications Express を有効にする
手順
-
uwc-deployed-path/WEB-INF/config/uwcauth.properties ファイルを開きます。
-
uwcauth.properties ファイル内の、次のメール固有のパラメータを変更して、Communications Express から Messenger Express にアクセスできるようにします。
パラメータ
目的
他の信頼されるアプリケーションが SSO 用に生成した Cookie を検索するために使用されるプレフィックスを指定します。
このプレフィックスは、シングルサインオン中に他の信頼されるアプリケーションによって生成された Cookie を探すために使用されます。
配備に Messaging SSO を使用する場合、この属性には、Messaging Server の設定中に設定した local.webmail.sso.prefix の値を割り当てます。
デフォルト値は iPlanetDirectoryPro です。
Communications Express のアプリケーション ID を指定します。
デフォルト値は uwc です。
シングルサインオン Cookie の一部として保存されたドメイン名を指定します。
Messaging シングルサインオン機能を有効または無効にします。
このパラメータを true に設定するとシングルサインオンが有効になり、false に設定するとシングルサインオンが無効になります。
また、Access Manager シングルサインオン用に Communications Express を設定する場合は、uwcauth.messagingsso.enable が false に設定されていることも確認してください。
デフォルト値は true です。
シングルサインオン Cookie を保存する URI パスを指定します。
デフォルト値は / です。
messagingsso.xxx.url
SSO Cookie を検査するために使用する URL を指定します。
xxx の値は、サーバーのアプリケーション ID で置き換えてください。
たとえば、アプリケーション ID が “msg60” である Messaging Server で SSO を有効にする場合は、次の設定パラメータを追加する必要があります。
mesagingsso.msg60.url=http://servername/VerifySSO?
ここで示す xxx の値は、Messenger Express で local.webmail.sso.id に割り当てた値と同一でなければなりません。
デフォルト値は http://servername/VerifySSO? です。
messagingsso.uwc.url
Communications Express が /uwc のように、/ の直下に配備されていない場合、このパラメータの値は次のようになります。
http://servername:85/uwc/VerifySSO?
messagingsso.appid
Messaging Server のアプリケーション ID を指定します。
messagingsso.appid の値は、Messaging Server の設定中に設定された local.webmail.sso.id と同じでなければなりません。
デフォルト値は ims です。
messagingsso.ipsecurity
セッションアクセスログイン IP アドレスを制限するかどうかを指定します。
この値が true に設定されていると、ユーザーがログインしたとき、サーバーはそのユーザーがログインに使用した IP アドレスを記憶します。その後、Messaging Server で SSO を確立しているときにそのユーザーに発行するセッション Cookie の使用を、その IP アドレスだけに許可します。
この値が false に設定されていると、Communications Express はこの IP アドレスの確認を実行せず、アクセスをセッションに制限します。
デフォルト値は true です。
uwc-deployed-path/WEB-INF/config/uwcauth.properties ファイルでパラメータが設定されると、Communications Express のユーザーは、認証に Messaging シングルサインオンメカニズムを使用して Messenger Express にアクセスできます。
Messaging SSO を使用して Messenger Express を有効にする
手順
-
configutil ツールを実行します。
msg-svr_install_root/sbin/configutil
-
configutil ツールを使用して、次に示すメール固有のパラメータを設定します。
パラメータ
目的
Communications Express が /uwc のように、/ の真下に配備されていない場合、このパラメータのデフォルト値は次のようになります。
http://siroe.example.com:85/uwc/VerifySSO?
local.webmail.sso.id
他のアプリケーションから Messenger Express を識別するために使用する値を指定します。
このパラメータの文字列値は、Messenger Express HTTP サーバーが SSO Cookie の Cookie ドメイン値を設定するために使用します。
この値は、ピリオド (.) で始まる必要があります。たとえば、完全修飾ホスト名がsiroe.example.com の場合は “.example.com” とします。
このパラメータに指定した値が uwcauth.cookiedomain に入力した値と同じであることを確認してください。
たとえば、.example.com
Messaging シングルサインオン機能を有効または無効にします。
Messaging シングルサインオン機能を無効にするには、この値を 0 に設定します。
他の信頼されるアプリケーションが SSO 用に生成した Cookie を検索するために使用されるプレフィックスを指定します。
この値が、uwcauth.appprefix に入力した値に対応していることを確認してください。
この値が 1 に設定されていると、ユーザーがログアウトしたとき、サーバーは local.webmail.sso.apprefix の値と一致する、そのユーザーのすべてのシングルサインオン Cookie を削除します。
この値が 0 に設定されていると、サーバーは、そのシングルサインオンユーザー Cookie だけを削除します。
Communications Express からの Messenger Express アクセスを有効または無効にします。
Communications Express からの Messenger Express アクセスを有効にするには、1 に設定します。
Communications Express からの Messenger Express アクセスを無効にするには、0 に設定します。
Messenger Express が Communications Express セッションを無効にするために使用する URL を指定します。
Messenger Express で local.webmail.sso.uwclogouturl を明示的に設定している場合は、この値がログアウトに使用されます。それ以外の場合、Messenger Express は、要求ヘッダー内の http ホストに基づいてログアウト URL を作成します。
たとえば、http://siroe.example.com:85/base/UWCMain?op=logout
Communications Express が /uwc のように、/ の真下に配備されていない場合、このパラメータのデフォルト値は次のようになります。
http://siroe.example.com:85/uwc/base/UWCMain?op=logout
Communications Express のポートを指定します。
たとえば、85
local.webmail.sso.uwccontexturi
Communications Express が配備されるパスを指定します。
このパラメータは、Communications Express が / の下に配備されていない場合だけ指定します。たとえば、Communications Express が /uwc に配備されている場合は、local.webmail.sso.uwccontexturi=uwc となります。
たとえば、uwc
local.webmail.sso.uwchome
ホームリンクへのアクセスに必要な URL を指定します。
たとえば、http://www.sun.com
local.webmail.sso.ims.verifyurl
SSO Cookie を検査するために使用する URL を指定します。
たとえば、http://siroe.example.com/VerifySSO?
ここでは、WebMail がポート 80 に配備されていると仮定しています。
これで、Communications Express のユーザーは、認証に Messaging シングルサインオンメカニズムを使用して Messenger Express にアクセスできます。
- © 2010, Oracle Corporation and/or its affiliates