|
| |
| Sun Java System Portal Server Secure Remote Access 6 管理ガイド 2004Q2 | |
第 1 章
Portal Server Secure Remote Access についてこの章では、Sun Java System Portal Server Secure Remote Access (従来の Sun ONETM Portal Server, Secure Remote Access) 製品について、および Sun Java System Portal Server (Portal Server) ソフトウェアと Sun Java System Portal Server Secure Remote Access (SRA) コンポーネントの関係について説明します。
この章で説明する内容は次のとおりです。
SRA ソフトウェアの概要SRA ソフトウェアは、リモートユーザーがインターネットを通じて社内のネットワークおよびサービスに安全にアクセスできる環境を提供します。また、従業員、ビジネスパートナー、一般ユーザーなど、あなたの会社のインターネットポータルを使用する誰もがコンテンツやアプリケーション、データに安全にアクセスできるようになります。
リモートデバイスからポータルコンテンツおよびサービスにアクセスする場合、SRA ソフトウェアはブラウザによるセキュアリモートアクセスを提供します。これは、クライアントソフトウェアを使用せず、Java テクノロジに対応したブラウザを使用するデバイスであればアクセス可能な、コスト効果の高い安全なソリューションです。Portal Server に統合すると、アクセス権のあるコンテンツおよびサービスに対して暗号化された安全なアクセスが保証されます。
SRA ソフトウェアは、安全性の高いリモートアクセスポータルを提供する企業を対象に設計されています。このようなポータルは、イントラネットリソースのセキュリティ、保護、およびプライバシーに重点が置かれています。SRA のアーキテクチャは、このようなタイプのポータルに非常に適しています。SRA ソフトウェアを使用すると、リソースをインターネットに公開しなくても、インターネットを使用してイントラネットリソースに安全にアクセスできます。
すべてのイントラネット URL、ファイルシステム、アプリケーションへの単一のセキュアアクセスポイントとして機能するのは、非武装ゾーン (DeMilitarized Zone、DMZ) に常駐するゲートウェイです。その他のセッション、認証、および標準のポータルデスクトップなどの SRA 以外のサービスはすべて、保護されたイントラネットの DMZ の背後で実行されます。クライアントのブラウザからゲートウェイへの通信は、HTTPS を使って暗号化されます。ゲートウェイからサーバーおよびイントラネットリソースへの通信には HTTP か HTTPS が使用されます。
SRA ソフトウェア は、2 つのメソッドを使用します。
Netlet と NetFile アプレットは、サポートファイルがゲートウェイまたは Portal Server に存在すればクライアントのマシンにダウンロードされます。
Portal Server は、次の 2 つのモードで動作します。
オープンモード
オープンモードの場合、Portal Server のインストール時に SRA ソフトウェアはインストールされません。このモードでの HTTPS 通信は可能ですが、セキュアリモートアクセスは使用できません。つまり、セキュリティ保護されたリモートファイルシステムとアプリケーションにはアクセスできません。
オープンポータルとセキュアポータルの主な違いは、オープンポータルを通じて提供されるサービスは、通常は保護されたイントラネット内ではなく非武装ゾーン (DMZ) 内に存在する点にあります。DMZ は一般のインターネットと私的なイントラネットの間に存在する保護付きの小規模ネットワークで、通常は両端のファイアウォールで境界が定められます。
ポータルに機密情報が含まれていない場合 (公開情報の配布や無償アプリケーションへのアクセス許可)、大量のアクセス要求への応答は、セキュアモードに比べて速くなります。
図 1-1 は、オープンモードの Portal Server を示しています。この例では、Portal Server はファイアウォールの背後にある単一のサーバーにインストールされています。複数のクライアントが単一のファイアウォールを経由して、インターネット上の Portal Server にアクセスしています。
図 1-1 オープンモードの Portal Server
セキュアモード
セキュアモードは、必要とされるイントラネットファイルシステムとアプリケーションへのセキュリティ保護されたリモートアクセスを可能にします。
ゲートウェイは非武装ゾーン (DMZ) に常駐します。ゲートウェイはすべてのイントラネット URL とアプリケーションへの単一のセキュアアクセスポイントとして機能し、ファイアウォールに開かれるポートの数は減ります。その他のセッション、認証、および標準のポータルデスクトップなどの Portal Server サービスはすべて、保護されたイントラネットの DMZ の背後で実行されます。クライアントブラウザからゲートウェイへの通信は、SSL (Secure Socket Layer) を使った HTTP を使って暗号化されます。ゲートウェイからサーバーおよびイントラネットリソースへの通信には HTTP か HTTPS が使用されます。
図 1-2 は、Portal Server と SRA ソフトウェアを示しています。SSL はクライアントとゲートウェイの接続をインターネット上で暗号化するために使用されます。また SSL はゲートウェイとサーバー間の接続の暗号化にも使用されます。イントラネットとインターネット間にゲートウェイが存在することで、クライアントと Portal Server 間のパスの安全性が強化されます。
図 1-2 セキュアモードの Portal Server (SRA ソフトウェア を使用)
サーバーとゲートウェイを追加して、サイトを拡張することができます。SRA ソフトウェアは、業務上の要求に応じてさまざまな形で構成できます。
SRA サービスSRA ソフトウェアの主要なコンポーネントは次のとおりです。
ゲートウェイ
SRA のゲートウェイは、インターネットから送信されるリモートユーザーセッションと企業イントラネットの間のインタフェースおよびセキュリティバリアとして機能します。ゲートウェイはリモートユーザーとの単一のインタフェースを通じて、内部 Web サーバーとアプリケーションサーバーのコンテンツを安全に提供します。
Web サーバーは、クライアントとゲートウェイの間の通信に HTML、JavaScript、XML などの Web ベースのリソースを使用します。リライタは、Web コンテンツを使用できるようにするためのゲートウェイコンポーネントです。
アプリケーションサーバーは、クライアントとゲートウェイの間の通信に telnet や FTP などのバイナリプロトコルを使用します。ゲートウェイに常駐する Netlet は、この目的で使用されます。詳細については、第 2 章「ゲートウェイ」を参照してください。
リライタ
リライタは、エンドユーザーのイントラネット参照を可能にし、またそのページ上のリンクや URL へのリンクが正しく参照されるようにします。リライタは Web ブラウザのロケーションフィールドにゲートウェイ URL を追加して、コンテンツ要求をゲートウェイを通じてリダイレクトします。詳細については、第 3 章「プロキシレットとリライタ」を参照してください。
NetFile
NetFile はファイルシステムとディレクトリのリモートアクセスおよびリモート操作を可能にする、ファイルマネージャアプリケーションです。NetFile には Java ベースのユーザーインタフェース、NetFile JavaTM が含まれます。これは、Java1 と Java2 で使用できます。詳細については、第 4 章「NetFile」を参照してください。
Netlet
Netlet は一般的なアプリケーション、または企業独自のアプリケーションをリモートデスクトップで安全に、効率的に実行できるようにします。サイトに Netlet を実装すると、Telnet や SMTP などの共通の TCP/IP サービスや、pcANYWHERE または Lotus Notes などの HTTP ベースのアプリケーションを安全に実行できます。詳細については、第 5 章「Netlet」を参照してください。
プロキシレット
プロキシレットは、クライアントマシン上で稼動する動的なプロキシサーバーです。プロキシレットは、URL をゲートウェイにリダイレクトします。クライアントマシン上のプロキシレットは、この機能を実現するために、ブラウザのプロキシ設定を読み込んでから、ローカルプロキシサーバー (プロキシレット) をポイントするように変更します。
SRA 製品の管理SRA ソフトウェアには、次の 2 つのインタフェースがあります。
管理作業の大半は、Sun Java System Identity Server 管理コンソールを通じて行います。管理コンソールにはローカルにアクセスできます。また、Web ブラウザからのリモートアクセスも可能です。ただし、ファイルの修正などの管理作業には UNIX コマンド行インタフェースを使用します。
SRA の属性の設定SRA に関連する属性は、組織、ロール、ユーザーのレベルで設定できます。ただし、次の例外が適用されます。
- 競合の解決レベルは、ユーザーレベルでは設定できません。これは、「サービス設定」タブでも設定できません。「競合解決の設定」を参照してください。
- MIME タイプ設定ファイルの場所は、組織レベルだけで設定可能です。「MIME タイプ設定ファイルの場所の指定」を参照してください。
組織レベルで設定した値は、その組織に属するすべてのロールとユーザーにも継承されます。ユーザーレベルで設定された値は、組織レベルまたはロールレベルで設定された値よりも優先されます。
ほとんどの属性は、Identity Server の「Identity Server」タブまたは「サービス設定」タブで設定できます。このサービス設定レベルの属性は、テンプレートとして機能します。組織またはユーザーが新規に作成されると、デフォルトでこれらの値を継承します。
属性の値は「サービス設定」タブで変更できます。新しい値は、組織を新たに追加した場合にだけ、適用されます。「サービス設定」タブでの属性値の変更は、既存の組織またはユーザーに影響しません。詳細については、『Identity Server 管理ガイド』を参照してください。
SRA の属性は、Identity Server 管理コンソールの「SRA 設定」の下にある次のサービスを使用して設定します。
- アクセスリスト
特定の URL へのアクセスを許可または制限し、シングルサインオン機能を管理する場合に使用します。詳細は、第 8 章「URL アクセス制御の設定」を参照してください。
- ゲートウェイ
プロキシ管理、Cookie 管理、ロギング、リライタ管理、暗号化などのゲートウェイに関連したすべての属性を設定する場合に使用します。詳細は、第 9 章「ゲートウェイの設定」を参照してください。
- NetFile
共通のホスト、MIME タイプ、異なる種類のホストへのアクセスなど、NetFile 関連のすべての属性を設定する場合に使用します。詳細は、第 10 章「NetFile の設定」を参照してください。
- Netlet
Netlet ルール、必須ルールへのアクセス、組織およびホスト、デフォルトアルゴリズムなどの Netlet に関連したすべての属性を設定する場合に使用します。詳細は、第 11 章「Netlet の設定」を参照してください。
- プロキシレット
「プロキシレットアプレットのバインド IP」アドレスやポート番号など、プロキシレットに関連する属性を設定する場合に使用します。詳細は、第 12 章「プロキシレットの設定」を参照してください。
警告
ゲートウェイの実行中に行われた属性変更は、ゲートウェイに通知されません。
更新された (ゲートウェイまたはその他のサービスに属する) プロファイル属性をゲートウェイで確実に使用するようにするには、ゲートウェイを再起動します。「認証連鎖の使用」を参照してください。
競合解決の設定競合の解決レベルを設定する手順
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下で、適切なサービス (アクセスリスト、NetFile、Netlet) の隣の矢印をクリックします。
- 「競合の解決レベル」ドロップダウンリストから適切なレベルを選択します。
- NetFile の上または下で「保存」をクリックし、変更内容を記録します。
サポートされるアプリケーションSRA ソフトウェア は、次のアプリケーションをサポートします。
OWA ページに必要なルールセットは、exchange_2000sp3_owa_ruleset という名前でインストールされます。OWA のケーススタディについては、「Outlook Web Access 用のルールセット」を参照してください。
