test

Sun Java System Calendar Server 6.3 管理ガイド

第 8 章 Calendar Server 6.3 システムのシングルサインオンの設定

この章では、シングルサインオン (SSO) の設定方法を説明します。

シングルサインオン (SSO) を利用することで、ユーザーは認証を一度受けるだけで、信頼できる複数のアプリケーションを追加認証なしで使用できます。

Calendar Server と Messaging Server を含め、Sun Java System コミュニケーションサーバーは次の方法で SSO を実装できます。

8.1 Access Manager による SSO の設定

Calendar Server および Messaging Server を含む Sun Java Enterprise System サーバーは、Sun Java System Access Manager (リリース 6 2003Q4 以降) を使用して SSO を実装できます。

Access Manager は、Sun Java Enterprise System サーバーの SSO ゲートウェイとして機能します。ユーザーは Access Manager にログインすると、その他の Sun Java Enterprise System サーバーで SSO が適切に設定されていれば、それらのサーバーにもアクセスできます。

ProcedureCalendar Server で SSO を使用するには

  1. Access Manager と Directory Server がインストールされ、設定されていることを確認します。これらの製品のインストールと設定については、『Sun Java Enterprise System 5 インストールガイド (UNIX 版)』を参照してください。

  2. Calendar Server サービスの停止後、「8.1 Access Manager による SSO の設定」で示すパラメータを設定して Calendar Server の SSO を設定します。値を有効にするには、Calendar Server サービスを再起動する必要があります。

    注 –

    local.calendar.sso.amnamingurl パラメータを設定すると、Access Manager ソフトウェアがインストールされている場所に対して完全修飾ホスト名を使用する必要があります。

  3. Messaging Server で SSO を利用するための設定については、『Sun Java System Messaging Server 6.3 管理ガイド』を参照してください。

  4. ユーザーは、Directory Server の LDAP ユーザー名とパスワードを使用して Access Manager にログインします。Calendar Server や Messaging Server など、これ以外のサーバーにログインしたユーザーは SSO を利用できず、他の Sun Java Enterprise System サーバーにアクセスできません。

  5. ログインが完了すると、ユーザーは適切な URL を指定して Communications Express 経由で Calendar Server にアクセスできます。サーバーに SSO が適切に設定されていれば、Messaging Server など、その他の Communications Suite サーバーにもアクセスできます。

    パラメータ 

    説明 

    local.calendar.sso.amnamingurl

    Access Manager の SSO ネーミングサービスの URL を指定します。 

    デフォルトは、 

    http://AccessManager:port/amserver/namingservice

    ここで、AccessManager は Access Manager の完全修飾名port は Access Manager のポート番号です。

    local.calendar.sso.amcookiename

    Access Manager の SSO cookie 名を指定します。 

    デフォルトは "iPlanetDirectoryPro" です。

    local.calendar.sso.amloglevel

    Access Manager SSO のログレベルを指定します。範囲は 1 (非出力) から 5 (詳細) です。デフォルトは “3“ です。 

    local.calendar.sso.logname

    Access Manager の SSO API ログファイル名を指定します。 

    デフォルトは次のとおりです。am_sso.log

    local.calendar.sso.singlesignoff

    Calendar Server から Access Manager へのシングルサインオフを有効 (“yes“) または無効 (“no“) にします。 

    有効にした場合、ユーザーが Calendar Server からログアウトすると、そのユーザーは Access Manager からもログアウトされます。また、そのユーザーが Access Manager 経由で開始したすべてのセッション (Messaging Server の Webmail セッションなど) も切断されます。 

    Access Manager は認証ゲートウェイであるため、Access Manager から Calendar Server へのシングルサインオフは、常に有効になっています。 

    デフォルトは “yes“ です。 

    ヒント –

    ics.conf ファイルを変更する最善の方法とは、パラメータとその新しい値をファイルの末尾に追加することです。システムはファイル全体を読み取り、パラメータに対して最後に見つかった値を使用します。

8.1.1 Access Manager を利用したシングルサインオンに関する注意事項

この節では、Access Manager でシングルサインオン (SSO) を使用するうえで考慮すべきいくつかの事項について説明します。

次に、それらの考慮事項を示します。

8.1.2 Communications サーバーの信頼できるサークルテクノロジを利用した SSO の設定

Communications サーバーの信頼できるサークルテクノロジを利用して (つまり Access Manager を使用せずに) SSO を設定する場合は、次の点に注意してください。

次の表は、Communications サーバーの信頼できるサークルテクノロジによって SSO を設定する場合の Calendar Server 構成パラメータを示しています。

表 8–1 Communications サーバーの信頼できるサークルテクノロジを利用して SSO を設定する場合の Calendar Server 構成パラメータ

パラメータ 

説明 

sso.enable

SSO を有効にするには、このパラメータを 1 (デフォルト) に設定する必要があります。"0" に設定すると SSO は無効になります。 

sso.appid

このパラメータには、Calendar Server の特定のインストールを指定する一意のアプリケーション ID を指定します。信頼できるそれぞれのアプリケーションは、一意のアプリケーション ID を持ちます。デフォルトは次のとおりです。"ics50"

sso.appprefix

このパラメータには、SSO cookie のフォーマットに使用される接頭辞の値を指定します。Calendar Server は、この接頭辞を持つ SSO cookie だけを認識するため、信頼できるすべてのアプリケーションがこれと同じ値を使用する必要があります。デフォルトは次のとおりです。"ssogrp1"

sso.cookiedomain

このパラメータにより、ブラウザは指定ドメイン内のサーバーだけに cookie を送信します。この値は、ピリオド (.) で始まる必要があります。 

sso.singlesignoff

"true" (デフォルト) に設定すると、sso.appprefix で設定された値と一致する接頭辞値を持つクライアント側のすべての SSO cookie がクライアントのログアウト時にクリアされます。

sso.userdomain

このパラメータには、ユーザーの SSO 認証の一部として使用されるドメインを設定します。 

sso.appid.url = "verifyurl"

このパラメータには、Calendar Server 設定のピア SSO ホストの確認 URL 値を設定します。信頼できるピア SSO ホストごとに 1 つのパラメータが必要となります。 

このパラメータは、次の要素によって構成されています。

  • アプリケーション ID (appid)。対象となる各 SSO cookie のそれぞれのピア SSO ホストを識別する

  • 確認 URL (verifyurl)。ホスト URL、ホストポート番号、および VerifySSO? (最後の ? を含む) から構成される

    この例では、Calendar Server のアプリケーション ID は ics50、ホスト URL は sesta.com、ポートは 8883 です。

    Messenger Express のアプリケーション ID は msg50、ホスト URL は sesta.com、ポートは 8882 です。

次に例を示します。 

sso.ics50.url=
  "http://sesta.com:8883
  /VerifySSO?"
sso.msg50.url=
  "http://sesta.com:8882
  /VerifySSO?"

次の表は、Communications サーバーの信頼できるサークルテクノロジによって SSO を設定する場合の Messaging Server 構成パラメータを示しています。

表 8–2 Communications サーバーの信頼できるサークルテクノロジを利用して SSO を設定する場合の Messaging Server 構成パラメータ

パラメータ 

説明 

local.webmail.sso.enable

SSO を有効にするには、パラメータにゼロ以外の値を設定する必要があります。 

local.webmail.sso.prefix

このパラメータには、HTTP サーバーが設定する SSO cookie のフォーマットに使用される接頭辞を指定します。次に例を示します。ssogrp1

local.webmail.sso.id

このパラメータには、Messaging Server の一意のアプリケーション ID (たとえば、msg50) を指定します。

信頼できるそれぞれのアプリケーションは、一意のアプリケーション ID を持ちます。 

local.webmail.sso.cookiedomain

このパラメータには、HTTP サーバーが設定するすべての SSO cookie の cookie ドメイン値を指定します。 

local.webmail.sso.singlesignoff

ゼロ以外の値に設定すると、local.webmail.sso.prefix で設定された値と一致する接頭辞値を持つクライアント側のすべての SSO cookie がクライアントのログアウト時にクリアされます。

local.sso.appid.url= verifyurl

このパラメータには、Messaging Server 設定の ピア SSO ホストの確認 URL 値を設定します。信頼できるピア SSO ホストごとに 1 つのパラメータが必要となります。 

パラメータには次の要素が含まれます。

  • アプリケーション ID (appid)。対象となる各 SSO cookie のそれぞれのピア SSO ホストを識別する

  • 確認 URL (verifyurl)。ホスト URL、ホストポート番号、および VerifySSO? (最後の ? を含む) から構成される

    次に例を示します。

    local.sso.ics50.verifyurl=

    http://sesta.com:8883/VerifySSO?

    この例では、Calendar Server のアプリケーション ID は ics50、ホスト URL は sesta.com、ポートは 8883 です。

    local.sso.msg50.verifyurl=

    http://sesta.com:8882/VerifySSO?

    この例では、Messaging Server のアプリケーション ID は msg50、ホスト URL は sesta.com、ポートは 8882 です。

Messaging Server で SSO を設定する方法については、『Sun Java System Messaging Server 6.3 管理ガイド』を参照してください。