Sun Java ロゴ     前へ      目次      索引      次へ     

Sun ロゴ
Sun Java System Calendar Server 6 2005Q1 管理ガイド 

第 9 章
シングルサインオンの設定

この章では、シングルサインオン (SSO) の設定方法を説明します。

シングルサインオン (SSO) を利用することで、ユーザーは認証を一度受けるだけで、信頼できる複数のアプリケーションを追加認証なしで使用できます。Calendar Server と Messaging Server を含め、Sun Java System コミュニケーションサーバーは次の方法で SSO を実装できます。

Access Manager による SSO の設定

Calendar Server および Messaging Server を含む Sun Java Enterprise System サーバーは、Sun Java System Access Manager (リリース 6.1 (リリース 6 2003Q4) 以降) を使用して SSO を実装できます。

Access Manager は、Sun Java Enterprise System サーバーの SSO ゲートウェイとして機能します。ユーザーは Access Manager にログインすると、その他の Sun Java Enterprise System サーバーで SSO が適切に設定されていれば、それらのサーバーにもアクセスできます。

Calendar Server で SSO を利用するには、次の手順を実行します。

  1. Access Manager と Directory Server がインストールされ、設定されていることを確認します。これらの製品のインストールと設定については、『Sun Java Enterprise System 2005Q1 インストールガイド』を参照してください。
  2. 表 9-1 に示すパラメータを設定して Calendar Server 用の SSO を設定し、変更が適用されるように Calendar Server を再起動します。パラメータを設定するときは、必要に応じてコメント記号 (!) を外します。

    3. 注: local.calendar.sso.amnamingurl パラメータを設定するときは、Access Manager の完全修飾名を指定する必要があります。

  3. Messaging Server で SSO を利用するための設定については、『Sun Java System Messaging Server 6 2005Q1 管理ガイド』を参照してください。
  4. ユーザーは、Directory Server の LDAP ユーザー名とパスワードを使用して Access Manager にログインします。(Calendar Server や Messaging Server など、これ以外のサーバーにログインしたユーザーは SSO を利用できず、他の Sun Java Enterprise System サーバーにアクセスできません。
  5. ログインが完了すると、ユーザーは適切な URL を指定して Calendar Express 経由で Calendar Server にアクセスできます。サーバーに SSO が適切に設定されていれば、Messaging Server など、その他の Sun Java Enterprise System サーバーにもアクセスできます。

    6. 表 9-1 Access Manager を使用して SSO を設定するための Calendar Server 設定パラメータ 

    パラメータ

    説明

    local.calendar.sso.amnamingurl

    Access Manager の SSO ネーミングサービスの URL を指定します。

    デフォルトは、http://AccessManager:port/amserver/namingservice です。

    ここで、AccessManager は Access Manager の完全修飾名、port は Access Manager のポート番号 です。

    local.calendar.sso.amcookiename

    Access Manager の SSO cookie 名を指定します。

    デフォルトは iPlanetDirectoryPro です。

    local.calendar.sso.amloglevel

    Access Manager SSO のログレベルを指定します。範囲は 1 (非出力) から 5 (詳細) です。デフォルトは 3 です。

    local.calendar.sso.logname

    Access Manager の SSO API ログファイル名を指定します。

    デフォルトは am_sso.log です。

    local.calendar.sso.singlesignoff

    Calendar Server から Access Manager へのシングルサインオフを有効 ("yes") または無効 ("no") にします。

    有効にした場合、ユーザーが Calendar Server からログアウトすると、そのユーザーは Access Manager からもログアウトされます。また、そのユーザーが Access Manager 経由で開始したすべてのセッション (Messaging Server の webmail セッションなど) も切断されます。

    Access Manager は認証ゲートウェイであるため、Access Manager から Calendar Server へのシングルサインオフは、常に有効になっています。

    デフォルトは "yes" です。

Access Manager を利用した SSO に関する注意事項

Communications サーバーの信頼できるサークルテクノロジを利用した SSO の設定

Communications サーバーの信頼できるサークルテクノロジを利用して (つまり Access Manager を使用せずに) SSO を設定する場合は、次の点に注意してください。

表 9-2 は、Communications サーバーの信頼できるサークルテクノロジによって SSO を設定する場合の Calendar Server 設定パラメータを示しています。

表 9-2 Communications サーバーの信頼できるサークルテクノロジを利用して SSO を設定する場合の Calendar Server 設定パラメータ 

パラメータ

説明

sso.enable = "1"

SSO を有効にするには、このパラメータを 1 に設定します (デフォルト)。"0" に設定すると SSO は無効になります。

sso.appid = "ics50"

このパラメータには、Calendar Server の特定のインストールを指定する一意のアプリケーション ID を指定します。信頼できるアプリケーションには、それぞれ一意のアプリケーション ID が付与されています。デフォルトは "ics50" です。

sso.appprefix = "ssogrp1"

このパラメータには、SSO cookie のフォーマットに使用される接頭辞の値を指定します。Calendar Server は、この接頭辞を持つ SSO cookie だけを認識するため、信頼できるすべてのアプリケーションがこれと同じ値を使用する必要があります。デフォルトは "ssogrp1" です。

sso.cookiedomain = ".sesta.com"

このパラメータにより、ブラウザは指定ドメイン内のサーバーだけに cookie を送信します。この値は、ピリオド (.) から開始する必要があります。

sso.singlesignoff = "true"

"true" (デフォルト) に設定すると、sso.apprefix で設定された値と一致する接頭辞値を持つクライアント側のすべての SSO cookie がクライアントのログアウト時にクリアされます。

sso.userdomain = "sesta.com"

このパラメータには、ユーザーの SSO 認証の一部として使用されるドメインを設定します。

sso.appid.url = "verifyurl"

次に例を示します。

sso.ics50.url = "http://sesta.com:8883/VerifySSO?"

sso.msg50.url = "http://sesta.com:8882/VerifySSO?"

このパラメータには、Calendar Server 設定のピア SSO ホストの確認 URL 値を設定します。信頼できるピア SSO ホストごとに 1 つのパラメータが必要となります。パラメータには次の要素が含まれます。

  • アプリケーション ID (appid)。対象となる各 SSO cookie のそれぞれのピア SSO ホストを識別する
  • 確認 URL (verifyurl)。ホスト URL、ホストポート番号、VerifySSO?(最後の ? を含む) から構成されます。

この例では、Calendar Server のアプリケーション ID は ics50、ホスト URL は sesta.com、ポートは 8883 です。

Messenger Express のアプリケーション ID は msg50、ホスト URL は sesta.com、ポートは 8882 です。

表 9-3 は、Communications サーバーの信頼できるサークルテクノロジによって SSO を設定する場合の Messaging Server 設定パラメータを示しています。

表 9-3 Communications サーバーの信頼できるサークルテクノロジを利用して SSO を設定する場合の Messaging Server 設定パラメータ 

パラメータ

説明

local.webmail.sso.enable = 1

SSO を有効にするには、パラメータにゼロ以外の値を設定する必要があります。

local.webmail.sso.prefix = ssogrp1

このパラメータには、HTTP サーバーが設定する SSO cookie のフォーマットに使用される接頭辞を指定します。

local.webmail.sso.id = msg50

このパラメータには、Messaging Server の一意のアプリケーション ID (msg50) を指定します。

信頼できるそれぞれのアプリケーションは、一意のアプリケーション ID を持ちます。

local.webmail.sso.cookiedomain = sesta.com

このパラメータには、HTTP サーバーが設定するすべての SSO cookie の cookie ドメイン値を指定します。

local.webmail.sso.singlesignoff = 1

ゼロ以外の値に設定すると、local.webmail.sso.prefix で設定された値と一致する接頭辞値を持つクライアント側のすべての SSO cookie がクライアントのログアウト時にクリアされます。

local.sso.appid.url = "verifyurl"

次に例を示します。

local.sso.ics50.verifyurl = http://sesta.com:8883/VerifySSO?

local.sso.msg50.verifyurl = http://sesta.com:8882/VerifySSO?

このパラメータには、Messaging Server 設定の ピア SSO ホストの確認 URL 値を設定します。信頼できるピア SSO ホストごとに 1 つのパラメータが必要となります。パラメータには次の要素が含まれます。

  • アプリケーション ID (appid)。対象となる各 SSO cookie のそれぞれのピア SSO ホストを識別する
  • 確認 URL (verifyurl)。ホスト URL、ホストポート番号、VerifySSO?(最後の ? を含む) から構成される

この例では、Messaging Server のアプリケーション ID は msg50、ホスト URL は sesta.com、ポートは 8882 です。

Calendar Server のアプリケーション ID は ics50、ホスト URL は sesta.com、ポートは 8883 です。

 

Messaging Server の SSO の設定については、『Sun Java System Messaging Server 6 2005Q1 管理ガイド』を参照してください。



前へ      目次      索引      次へ     

Part No: 819-1476.   Copyright 2005 Sun Microsystems, Inc. All rights reserved.