この章では、シングルサインオン (SSO) の設定方法を説明します。
シングルサインオン (SSO) を利用することで、ユーザーは認証を一度受けるだけで、信頼できる複数のアプリケーションを追加認証なしで使用できます。
Calendar Server と Messaging Server を含め、Sun Java System コミュニケーションサーバーは次の方法で SSO を実装できます。
Calendar Server および Messaging Server を含む Sun Java Enterprise System サーバーは、Sun Java System Access Manager (リリース 6 2003Q4 以降) を使用して SSO を実装できます。
Access Manager は、Sun Java Enterprise System サーバーの SSO ゲートウェイとして機能します。ユーザーは Access Manager にログインすると、その他の Sun Java Enterprise System サーバーで SSO が適切に設定されていれば、それらのサーバーにもアクセスできます。
Access Manager と Directory Server がインストールされ、設定されていることを確認します。これらの製品のインストールと設定については、『Sun Java Enterprise System 5 インストールガイド (UNIX 版)』を参照してください。
Calendar Server サービスの停止後、「8.1 Access Manager による SSO の設定」で示すパラメータを設定して Calendar Server の SSO を設定します。値を有効にするには、Calendar Server サービスを再起動する必要があります。
local.calendar.sso.amnamingurl パラメータを設定すると、Access Manager ソフトウェアがインストールされている場所に対して完全修飾ホスト名を使用する必要があります。
Messaging Server で SSO を利用するための設定については、『Sun Java System Messaging Server 6.3 管理ガイド』を参照してください。
ユーザーは、Directory Server の LDAP ユーザー名とパスワードを使用して Access Manager にログインします。Calendar Server や Messaging Server など、これ以外のサーバーにログインしたユーザーは SSO を利用できず、他の Sun Java Enterprise System サーバーにアクセスできません。
ログインが完了すると、ユーザーは適切な URL を指定して Communications Express 経由で Calendar Server にアクセスできます。サーバーに SSO が適切に設定されていれば、Messaging Server など、その他の Communications Suite サーバーにもアクセスできます。
パラメータ |
説明 |
---|---|
local.calendar.sso.amnamingurl |
Access Manager の SSO ネーミングサービスの URL を指定します。 デフォルトは、 http://AccessManager:port/amserver/namingservice ここで、AccessManager は Access Manager の完全修飾名、port は Access Manager のポート番号です。 |
local.calendar.sso.amcookiename |
Access Manager の SSO cookie 名を指定します。 デフォルトは "iPlanetDirectoryPro" です。 |
local.calendar.sso.amloglevel |
Access Manager SSO のログレベルを指定します。範囲は 1 (非出力) から 5 (詳細) です。デフォルトは “3“ です。 |
local.calendar.sso.logname |
Access Manager の SSO API ログファイル名を指定します。 デフォルトは次のとおりです。am_sso.log |
local.calendar.sso.singlesignoff |
Calendar Server から Access Manager へのシングルサインオフを有効 (“yes“) または無効 (“no“) にします。 有効にした場合、ユーザーが Calendar Server からログアウトすると、そのユーザーは Access Manager からもログアウトされます。また、そのユーザーが Access Manager 経由で開始したすべてのセッション (Messaging Server の Webmail セッションなど) も切断されます。 Access Manager は認証ゲートウェイであるため、Access Manager から Calendar Server へのシングルサインオフは、常に有効になっています。 デフォルトは “yes“ です。 |
ics.conf ファイルを変更する最善の方法とは、パラメータとその新しい値をファイルの末尾に追加することです。システムはファイル全体を読み取り、パラメータに対して最後に見つかった値を使用します。
この節では、Access Manager でシングルサインオン (SSO) を使用するうえで考慮すべきいくつかの事項について説明します。
次に、それらの考慮事項を示します。
カレンダセッションが有効なのは、Access Manager のセッションが有効である期間に限られます。ユーザーが Access Manager からログアウトすると、そのユーザーのカレンダセッションは自動的に閉じます (シングルサインオフ)。
SSO アプリケーションは、同じドメインに存在する必要があります。
SSO アプリケーションは、Access Manager の検証 URL (ネーミングサービス) にアクセスできる必要があります。
ブラウザは、Cookie をサポートしている必要があります。
Sun Java System Portal Server ゲートウェイを使用している場合は、次の Calendar Server パラメータを設定します。
service.http.ipsecurity="no"
render.xslonclient.enable="no"
Communications サーバーの信頼できるサークルテクノロジを利用して (つまり Access Manager を使用せずに) SSO を設定する場合は、次の点に注意してください。
信頼できるアプリケーションのそれぞれで SSO を設定する必要があります。
ブラウザのキャッシュに default.html ページが含まれている場合、SSO は正しく機能しません。SSO を使用する前に、ブラウザで default.html ページを再度読み込んでください。たとえば、Netscape Navigator であれば、Shift キーを押しながら更新ボタンをクリックします。
SSO は、「修飾されていない」URL でのみ機能します。たとえば、http://servername
次の表は、Communications サーバーの信頼できるサークルテクノロジによって SSO を設定する場合の Calendar Server 構成パラメータを示しています。
表 8–1 Communications サーバーの信頼できるサークルテクノロジを利用して SSO を設定する場合の Calendar Server 構成パラメータ
次の表は、Communications サーバーの信頼できるサークルテクノロジによって SSO を設定する場合の Messaging Server 構成パラメータを示しています。
表 8–2 Communications サーバーの信頼できるサークルテクノロジを利用して SSO を設定する場合の Messaging Server 構成パラメータ
Messaging Server で SSO を設定する方法については、『Sun Java System Messaging Server 6.3 管理ガイド』を参照してください。