Access Manager による SSO の設定
Calendar Server および Messaging Server を含む Sun Java Enterprise System サーバーは、Sun Java System Access Manager (リリース 6 2003Q4 以降) を使用して SSO を実装できます。
Access Manager は、Sun Java Enterprise System サーバーの SSO ゲートウェイとして機能します。ユーザーは Access Manager にログインすると、その他の Sun Java Enterprise System サーバーで SSO が適切に設定されていれば、それらのサーバーにもアクセスできます。
Calendar Server で SSO を使用するには
手順
-
Access Manager と Directory Server がインストールされ、設定されていることを確認します。これらの製品のインストールと設定については、『Sun Java Enterprise System 2005Q4 Installation Guide for UNIX』を参照してください。
-
「Access Manager による SSO の設定」に示すパラメータを設定して Calendar Server 用に SSO を設定し、Calendar Server を再起動して値を有効にします。パラメータを設定するときは、必要に応じてコメント記号 (!) を外します。
注 –
local.calendar.sso.amnamingurl パラメータを設定するときは、Access Manager の完全修飾名を指定する必要があります。
-
Messaging Server で SSO を利用するための設定については、『Sun Java System Messaging Server 6 2005Q4 Administration Guide』を参照してください。
-
ユーザーは、Directory Server の LDAP ユーザー名とパスワードを使用して Access Manager にログインします。Calendar Server や Messaging Server など、これ以外のサーバーにログインしたユーザーは SSO を利用できず、ほかの Sun Java Enterprise System サーバーにアクセスできません。
-
ログインが完了すると、ユーザーは適切な URL を指定して Communications Express 経由で Calendar Server にアクセスできます。サーバーに SSO が適切に設定されていれば、Messaging Server など、その他の Sun Java Enterprise System サーバーにもアクセスできます。
パラメータ
|
説明
|
local.calendar.sso.amnamingurl
|
Access Manager の SSO ネーミングサービスの URL を指定します。
デフォルトは、
"http://AccessManager:port/amserver/namingservice" です。
ここで、AccessManager は Access Manager の完全修飾名、port は Access Manager のポート番号です。
|
local.calendar.sso.amcookiename
|
Access Manager の SSO cookie 名を指定します。
デフォルトは "iPlanetDirectoryPro" です。
|
local.calendar.sso.amloglevel
|
Access Manager SSO のログレベルを指定します。範囲は、1 (非出力) から 5 (詳細) です。デフォルトは “3“ です。
|
local.calendar.sso.logname
|
Access Manager の SSO API ログファイル名を指定します。
デフォルトは “am_sso.log” です。
|
local.calendar.sso.singlesignoff
|
Calendar Server から Access Manager へのシングルサインオフを有効 (“yes“) または無効 (“no“) にします。
有効にした場合、ユーザーが Calendar Server からログアウトすると、そのユーザーは Access Manager からもログアウトされます。また、そのユーザーが Access Manager 経由で開始したすべてのセッション (Messaging Server の Webmail セッションなど) も切断されます。
Access Manager は認証ゲートウェイであるため、Access Manager から Calendar Server へのシングルサインオフは、常に有効になっています。
デフォルトは “yes“ です。
|
Access Manager を利用した SSO に関する注意事項
-
カレンダセッションが有効なのは、Access Manager のセッションが有効である期間に限られます。ユーザーが Access Manager からログアウトすると、そのユーザーのカレンダセッションは自動的に閉じます (シングルサインオフ)。
-
SSO アプリケーションは、同じドメインに存在する必要があります。
-
SSO アプリケーションは、Access Manager の検証 URL (ネーミングサービス) にアクセスできる必要があります。
-
ブラウザは、Cookie をサポートしている必要があります。
-
Sun Java System Portal Server ゲートウェイを使用している場合は、次の Calendar Server パラメータを設定します。
Communications サーバーの信頼できるサークルテクノロジを利用した SSO の設定
Communications サーバーの信頼できるサークルテクノロジを利用して (つまり Access Manager を使用せずに) SSO を設定する場合は、次の点に注意してください。
-
信頼できるアプリケーションのそれぞれで SSO を設定する必要があります。
-
ブラウザのキャッシュに default.html ページが含まれている場合、SSO は正しく機能しません。SSO を使用する前に、ブラウザで default.html ページを再度読み込んでください。たとえば、Netscape Navigator であれば、Shift キーを押しながら更新ボタンをクリックします。
-
SSO は、「修飾されていない」URL でのみ機能します。たとえば、http://servername であれば SSO は機能します。
次の表は、Communications サーバーの信頼できるサークルテクノロジによって SSO を設定する場合の Calendar Server 設定パラメータを示しています。
表 9–1 Communications サーバーの信頼できるサークルテクノロジを利用して SSO を設定する場合の Calendar Server 設定パラメータ
パラメータ
|
説明
|
sso.enable
|
SSO を有効にするには、このパラメータを 1 (デフォルト) に設定する必要があります。"0" に設定すると SSO は無効になります。
|
sso.appid
|
このパラメータには、Calendar Server の特定のインストールを指定する一意のアプリケーション ID を指定します。信頼できるそれぞれのアプリケーションは、一意のアプリケーション ID を持ちます。デフォルトは "ics50" です。
|
sso.appprefix
|
このパラメータには、SSO cookie のフォーマットに使用される接頭辞の値を指定します。Calendar Server は、この接頭辞を持つ SSO cookie だけを認識するため、信頼できるすべてのアプリケーションがこれと同じ値を使用する必要があります。デフォルトは "ssogrp1" です。
|
sso.cookiedomain
|
このパラメータにより、ブラウザは指定ドメイン内のサーバーだけに cookie を送信します。この値は、ピリオド (.) から開始する必要があります。
|
sso.singlesignoff
|
“true” (デフォルト) に設定すると、sso.apprefix で設定された値と一致する接頭辞値を持つクライアント側のすべての SSO cookie がクライアントのログアウト時にクリアされます。
|
sso.userdomain
|
このパラメータには、ユーザーの SSO 認証の一部として使用されるドメインを設定します。
|
sso.appid.url = "verifyurl"
|
このパラメータには、Calendar Server 設定のピア SSO ホストの確認 URL 値を設定します。信頼できるピア SSO ホストごとに 1 つのパラメータが必要となります。パラメータには次の要素が含まれます。
-
アプリケーション ID (appid)。対象となる各 SSO cookie のそれぞれのピア SSO ホストを識別する
-
確認 URL (verifyurl)。ホスト URL、ホストポート番号、および VerifySSO? (最後の ? を含む) から構成される
この例では、Calendar Server のアプリケーション ID は ics50、ホスト URL は sesta.com、ポートは 8883 です。
Messenger Express のアプリケーション ID は msg50、ホスト URL は sesta.com、ポートは 8882 です。
次に例を示します。
sso.ics50.url=
"http://sesta.com:8883
/VerifySSO?"
sso.msg50.url=
"http://sesta.com:8882
/VerifySSO?"
|
次の表は、Communications サーバーの信頼できるサークルテクノロジによって SSO を設定する場合の Messaging Server 設定パラメータを示しています。
表 9–2 Communications サーバーの信頼できるサークルテクノロジを利用して SSO を設定する場合の Messaging Server 設定パラメータ
パラメータ
|
説明
|
local.webmail.sso.enable
|
SSO を有効にするには、パラメータにゼロ以外の値を設定する必要があります。
|
local.webmail.sso.prefix
|
このパラメータには、HTTP サーバーが設定する SSO cookie のフォーマットに使用される接頭辞を指定します。次に例を示します。ssogrp1
|
local.webmail.sso.id
|
このパラメータには、Messaging Server の一意のアプリケーション ID (たとえば、msg50) を指定します。
信頼できるそれぞれのアプリケーションは、一意のアプリケーション ID を持ちます。
|
local.webmail.sso.cookiedomain
|
このパラメータには、HTTP サーバーが設定するすべての SSO cookie の cookie ドメイン値を指定します。
|
local.webmail.sso.singlesignoff
|
ゼロ以外の値に設定すると、local.webmail.sso.prefix で設定された値と一致する接頭辞値を持つクライアント側のすべての SSO cookie がクライアントのログアウト時にクリアされます。
|
local.sso.appid.url= verifyurl
|
このパラメータには、Messaging Server 設定の ピア SSO ホストの確認 URL 値を設定します。信頼できるピア SSO ホストごとに 1 つのパラメータが必要となります。パラメータには次の要素が含まれます。
-
アプリケーション ID (appid)。対象となる各 SSO cookie のそれぞれのピア SSO ホストを識別する
-
確認 URL (verifyurl)。ホスト URL、ホストポート番号、および VerifySSO? (最後の ? を含む) から構成される
次に例を示します。
local.sso.ics50.verifyurl=
http://sesta.com:8883/VerifySSO?
この例では、Calendar Server のアプリケーション ID は ics50、ホスト URL は sesta.com、ポートは 8883 です。
local.sso.msg50.verifyurl=
http://sesta.com:8882/VerifySSO?
この例では、Messaging Server のアプリケーション ID は msg50、ホスト URL は sesta.com、ポートは 8882 です。
|
Messaging Server で SSO を設定する方法については、『Sun Java System Messaging Server 6 2005Q4 Administration Guide』を参照してください。