Sun Java System Communications Express 6.3 管理ガイド

Access Manager シングルサインオンの設定

この節では、Access Manager シングルサインオンを使用して互いに通信するように、Communications Express と Messenger Express を設定する方法について説明します。

スキーマモデルとして Sun Java System LDAP Schema, v.2 を採用した場合、有効なユーザーセッションを取得するためには、Communications Express で Access Manager を有効にし、Access Manager のシングルサインオンメカニズムを使用する必要があります。

Communications Express のユーザーが Access Manager シングルサインオンを使用して、Messenger Express によって描画されるメールモジュールにアクセスできるようにするには、msg-svr_install_root/sbin/configutil にある configutil ツールを使用して、Messenger Express 固有のパラメータを変更する必要があります。インストーラでは Messenger Express 固有のパラメータが設定されないため、インストール後に、これらのパラメータを明示的に設定することが重要です。configutil ツールの使用方法の詳細については、『Sun Java System Messaging Server 管理ガイド』の第 4 章「一般的なメッセージング機能の設定」を参照してください。

Access Manager シングルサインオンを設定する場合、Communications Express と Access Manager は、同じ Web コンテナインスタンスまたは異なる Web コンテナインスタンスに SSL モードと非 SSL モードのどちらでも配備できます。Access Manager と Communications Express を異なる Web コンテナインスタンスに配備する場合は、Communications Express が配備されているシステム上に Access Manager Remote SDK を設定する必要があります。次に示すのは、Access Manager とCommunications Express を異なる Web コンテナインスタンスに、SSL モードと非 SSL モードの両方で配備する場合のさまざまな配備シナリオのリストです。

Access Manager と Communications Express を異なる Web コンテナインスタンスに非 SSL モードで配備する場合
Access Manager と Communications Express を異なる Web コンテナインスタンスに SSL モードで配備する場合
Access Manager は SSL モードで、Communications Express は非 SSL モードで、異なる Web コンテナインスタンスに配備する場合
Access Manager と Communications Express を同じシステム上で動作している異なる Web コンテナインスタンスに非 SSL モードで配備する場合
Access Manager と Communications Express を同じシステム上で動作している異なる Web コンテナインスタンスに SSL モードで配備する場合

Communications Express で Access Manager によるシングルサインオンを有効にするプロパティーの設定

uwc-deployed-path/WEB-INF/config/uwcauth.properties ファイルを開きます。

次の uwcauth.properties ファイル内の Communications Express パラメータを変更して、Access Manager のシングルサインオンを有効にします。

パラメータ	目的
`uwcauth.identity`. `enabled`	Access Manager が有効かどうかを指定します。最初、この値は設定ウィザードで設定されます。 Access Manager を有効にするには、この属性を `true` に設定します。 Access Manager を無効にするには、この属性を `false` に設定します。
`uwcauth.identity.cookiename`	Access Manager で使用する Cookie 名を指定します。 `uwcauth.identity.cookiename` の値は、Access Manager 設定プログラムで指定した値に対応していなければなりません。 Access Manager で使用されるデフォルトの Cookie 名は、`iPlanetDirectoryPro` です。
`uwcauth.identity.binddn`	`amadmin` の完全な DN を指定します。次に例を示します。 `uid=amAdmin, ou=People, o=siroe.example.com,` `o=example.com` 注意: `uwcauth.identity.binddn` および `uwcauth.identity.bindcred` の値は、Access Manager のインストール時に入力した値に対応していなければなりません。たとえば、`uwcauth.identity.binddn=uid=amAdmin, ou=People,` `o=siroe.example.com, o=example.com`、`uwcauth.identity.bindcred=password` など
`uwcauth.identity.bindcred`	`amadmin` のパスワードを指定します。
`uwcauth.http.port`	Communications Express が非 SSL ポート上に設定された場合に Communications Express が待機するポート番号を指定します。デフォルトのポート番号は `80` です。
`uwcauth.https.port`	Communications Express が SSL ポート上に設定された場合に Communications Express が待機するポート番号を指定します。デフォルトの HTTPS ポート番号は `443` です。
`identitysso.singlesignoff`	シングルサインオフの状態を指定します。この値が `true` に設定されていると、ログアウトによって Access Manager セッションは完全に無効になり、この Access Manager セッションに参加しているすべてのアプリケーションがサインアウトされます。この値が `false` に設定されていると、Communications Express セッションだけが無効になり、ユーザーは `identitysso.portalurl` に設定されている URL に移動されます。デフォルトの状態は `true` です。
`identitysso.portalurl`	Communications Express のリダイレクト先の URL を指定します。 Access Manager が有効になっていて、シングルサインオフが `false` に設定されていると、Communications Express は `identitysso.portalurl` に割り当てられた URL にリダイレクトされます。デフォルトでは、Communications Express は `http://www.sun.com` にリダイレクトされます。

Access Manager シングルサインオン用に Communications Express を設定する場合は、パラメータ uwcauth.messagingsso.enable の値を false に設定します。

これで、Communications Express は Access Manager のシングルサインオンメカニズムを使用して、有効なユーザーセッションを取得できるようになります。

Access Manager と Communications Express を同じ Web コンテナインスタンスに配備する

IS-SDK-BASEDIR/lib/AMConfig.properties ファイルを開きます。

次のプロパティーが AMConfig.properties ファイルに設定されていることを確認します。

com.iplanet.am.jssproxy.trustAllServerCerts=true

AMConfig.properties is present in IS-SDK-BASEDIR/lib.

Web コンテナをを再起動して、変更内容を有効にします。

これで、同じ Web コンテナインスタンスに SSL モードで配備された Access Manager と Communications Express は、Access Manager のシングルサインオンメカニズムを使用して、有効なユーザーセッションを取得できるようになります。

Access Manager と Communications Express を異なる Web コンテナインスタンスに配備する

IS-INSTALL-DIR / bin にディレクトリを変更します。

Access Manager の IS-INSTALL-DIR / bin/amsamplesilent ファイルをコピーします。

$ cp amsamplesilent amsamplesilent.uwc

前の手順で作成された amsamplesilent のコピーを編集します。

次の手順で説明するように、配備の詳細に対応するようにパラメータを設定します。

Access Manager SDK を Sun Java System Web Server や Sun Java System Application Server などの Web コンテナに配備している場合は、DEPLOY_LEVEL 値を 4 に設定します。つまり、「コンテナ設定を含む SDK のみ」のオプションを選択します。

AM_ENC_PWD に、Access Manager のインストール時に使用したパスワード暗号鍵の値を設定します。

この暗号鍵は、次のファイルにあるパラメータ am.encryption.pwd に格納されています。

IS-INSTALL-DIR/lib/AMConfig.properties

NEW_INSTANCE を true に設定します。

Access Manager SDK を Sun Java System Web Server に配備している場合は、WEB_CONTAINER を WS6 に設定します。

Access Manager SDK を Sun Java System Application Server に配備している場合は、WEB_CONTAINER を AS7 または AS8 に設定します。

amsamplesilent ファイルのその他のパラメータの詳細と、Access Manager Remote SDKのパラメータを設定する方法については、『Sun Java System Identity Server 管理ガイド』の第 1 章「Identity Server 2004Q2 設定スクリプト」を参照してください。

Web コンテナで Access Manager SDK を設定します。

Access Manager で使用されている Directory Server が動作していることを確認してください。

Access Manager SDK を配備する Web コンテナインスタンスを起動します。

IS-INSTALL-DIR/bin にディレクトリを変更します。

次のコマンドを入力します。

./amconfig -s amsamplesilent.uwc

Web コンテナインスタンスを再起動して、設定を有効にします。

これで、異なる Web インスタンスに SSL モードおよび非 SSL モードで配備された Access Manager と Communications Express は、Access Manager のシングルサインオンメカニズムを使用して、有効なユーザーセッションを取得できるようになります。

Communications Express の配備後に Access Manager を有効または無効にする手順については、「Communications Express のサーバー応答の圧縮」を参照してください。

Messenger Express で Access Manager によるシングルサインオンを有効にする

Messaging Server で提供されている configutil コマンドを使用して、Messaging Express 関連のパラメータを編集します。

次に示す Messenger Express パラメータを設定して、Communications Express のユーザーが Access Manager シングルサインオンを使用して Messenger Express にアクセスできるようにします。

パラメータ	目的
`local.webmail.sso.amnamingurl`	Access Manager からシングルサインオンを有効にします。このパラメータは、Access Manager がネーミングサービスの実行に使用する URL を指すようにしてください。次に例を示します。 `configutil -o local.webmail.sso.amnamingurl -v http://siroe.example.com:85/amserver/namingservice`
`local.webmail.sso.uwcenabled`	Communications Express が Messenger Express にアクセスできるようになります。アクセスを無効にするには、このパラメータを `0` に設定します。
`local.webmail.sso.uwclogouturl`	Messenger Express が Communications Express セッションを無効にするために使用する URL を指定します。 Messenger Express で `local.webmail.sso.uwclogouturl` を明示的に設定している場合は、この値がログアウトに使用されます。それ以外の場合、Messenger Express は、要求ヘッダー内の HTTP ホストに基づいてログアウト URL を作成します。次に例を示します。 `http://siroe.example.com:85/base/UWCmain?op=logout` Communications Express が /`uwc` のように、`/` の直下に配備されていない場合、このパラメータの値は次のようになります。 `http://siroe.example.com:85/uwc/base/UWCmain?op=logout`
`local.webmail.sso.uwcport`	Communications Express のポートを指定します。たとえば、85
`local.webmail.sso.uwccontexturi`	Communications Express が配備される URI パスを指定します。このパラメータは、Communications Express が `/` の下に配備されていない場合だけ指定します。たとえば、Communications Express が `/uwc` に配備されている場合は、URI パスは `local.webmail.sso.uwccontexturi=uwc` となります。
`local.webmail.sso.amcookiename`	Access Manager セッション Cookie 名を指定します。 `uwcauth.properties` ファイルで、`uwcauth.identity.cookiename` の値が `local.webmail.sso.amcookiename` の値に設定されていることを確認してください。たとえば、`iPlanetDirectoryPro`
`local.webmail.sso.uwchome`	ホームリンクへのアクセスに必要な URL を指定します。

Messenger Express 固有のパラメータが設定されると、Communications Express のユーザーは Access Manager シングルサインオンを使用して Messenger Express にアクセスできます。

Messenger Express を MEM として配備している場合は、次に示す Messaging Server のパラメータの値が、バックエンドの Messaging Server コンポーネント mshttpd とフロントエンドの MEM で同じであることを確認してください。

local.service.http.proxy。このパラメータの値には、1 を設定するようにしてください。
local.service.http.proxy.admin。このパラメータの値には、フロントエンドの Messaging Server の管理者ユーザー ID を設定するようにしてください。
local.service.http.proxy.admin. <hostname-of-backend-server>。このパラメータの値には、バックエンドの Messaging Server の管理者ユーザー ID を設定するようにしてください。
local.service.http.proxy.adminpass。このパラメータの値には、フロントエンドの Messaging Server の管理者パスワードを設定するようにしてください。
local.service.http.proxy.adminpass. <hostname-of-backend-server>。このパラメータの値には、バックエンドの Messaging Server の管理者パスワードを設定するようにしてください。

変更を有効にするためには、上記の値を設定したあとに Messaging Server と Web コンテナを再起動します。