Sun Java System Calendar Server 6 2005Q4 管理ガイド

Access Manager による SSO の設定

Calendar Server および Messaging Server を含む Sun Java Enterprise System サーバーは、Sun Java System Access Manager (リリース 6 2003Q4 以降) を使用して SSO を実装できます。

Access Manager は、Sun Java Enterprise System サーバーの SSO ゲートウェイとして機能します。ユーザーは Access Manager にログインすると、その他の Sun Java Enterprise System サーバーで SSO が適切に設定されていれば、それらのサーバーにもアクセスできます。

ProcedureCalendar Server で SSO を使用するには

手順
  1. Access Manager と Directory Server がインストールされ、設定されていることを確認します。これらの製品のインストールと設定については、『Sun Java Enterprise System 2005Q4 Installation Guide for UNIX』を参照してください。

  2. 「Access Manager による SSO の設定」に示すパラメータを設定して Calendar Server 用に SSO を設定し、Calendar Server を再起動して値を有効にします。パラメータを設定するときは、必要に応じてコメント記号 (!) を外します。


    注 –

    local.calendar.sso.amnamingurl パラメータを設定するときは、Access Manager の完全修飾名を指定する必要があります。


  3. Messaging Server で SSO を利用するための設定については、『Sun Java System Messaging Server 6 2005Q4 Administration Guide』を参照してください。

  4. ユーザーは、Directory Server の LDAP ユーザー名とパスワードを使用して Access Manager にログインします。Calendar Server や Messaging Server など、これ以外のサーバーにログインしたユーザーは SSO を利用できず、ほかの Sun Java Enterprise System サーバーにアクセスできません。

  5. ログインが完了すると、ユーザーは適切な URL を指定して Communications Express 経由で Calendar Server にアクセスできます。サーバーに SSO が適切に設定されていれば、Messaging Server など、その他の Sun Java Enterprise System サーバーにもアクセスできます。

    パラメータ 

    説明 

    local.calendar.sso.amnamingurl 

    Access Manager の SSO ネーミングサービスの URL を指定します。 

    デフォルトは、 

    "http://AccessManager:port/amserver/namingservice" です。

    ここで、AccessManager は Access Manager の完全修飾名port は Access Manager のポート番号です。

    local.calendar.sso.amcookiename 

    Access Manager の SSO cookie 名を指定します。 

    デフォルトは "iPlanetDirectoryPro" です。

    local.calendar.sso.amloglevel 

    Access Manager SSO のログレベルを指定します。範囲は、1 (非出力) から 5 (詳細) です。デフォルトは “3“ です。 

    local.calendar.sso.logname 

    Access Manager の SSO API ログファイル名を指定します。 

    デフォルトは “am_sso.log” です。

    local.calendar.sso.singlesignoff 

    Calendar Server から Access Manager へのシングルサインオフを有効 (“yes“) または無効 (“no“) にします。 

    有効にした場合、ユーザーが Calendar Server からログアウトすると、そのユーザーは Access Manager からもログアウトされます。また、そのユーザーが Access Manager 経由で開始したすべてのセッション (Messaging Server の Webmail セッションなど) も切断されます。 

    Access Manager は認証ゲートウェイであるため、Access Manager から Calendar Server へのシングルサインオフは、常に有効になっています。 

    デフォルトは “yes“ です。 

Access Manager を利用した SSO に関する注意事項

Communications サーバーの信頼できるサークルテクノロジを利用した SSO の設定

Communications サーバーの信頼できるサークルテクノロジを利用して (つまり Access Manager を使用せずに) SSO を設定する場合は、次の点に注意してください。

次の表は、Communications サーバーの信頼できるサークルテクノロジによって SSO を設定する場合の Calendar Server 設定パラメータを示しています。

表 9–1 Communications サーバーの信頼できるサークルテクノロジを利用して SSO を設定する場合の Calendar Server 設定パラメータ

パラメータ 

説明 

sso.enable

SSO を有効にするには、このパラメータを 1 (デフォルト) に設定する必要があります。"0" に設定すると SSO は無効になります。 

sso.appid

このパラメータには、Calendar Server の特定のインストールを指定する一意のアプリケーション ID を指定します。信頼できるそれぞれのアプリケーションは、一意のアプリケーション ID を持ちます。デフォルトは "ics50" です。

sso.appprefix

このパラメータには、SSO cookie のフォーマットに使用される接頭辞の値を指定します。Calendar Server は、この接頭辞を持つ SSO cookie だけを認識するため、信頼できるすべてのアプリケーションがこれと同じ値を使用する必要があります。デフォルトは "ssogrp1" です。

sso.cookiedomain

このパラメータにより、ブラウザは指定ドメイン内のサーバーだけに cookie を送信します。この値は、ピリオド (.) から開始する必要があります。 

sso.singlesignoff

“true” (デフォルト) に設定すると、sso.apprefix で設定された値と一致する接頭辞値を持つクライアント側のすべての SSO cookie がクライアントのログアウト時にクリアされます。

sso.userdomain

このパラメータには、ユーザーの SSO 認証の一部として使用されるドメインを設定します。 

sso.appid.url = "verifyurl"

このパラメータには、Calendar Server 設定のピア SSO ホストの確認 URL 値を設定します。信頼できるピア SSO ホストごとに 1 つのパラメータが必要となります。パラメータには次の要素が含まれます。 

  • アプリケーション ID (appid)。対象となる各 SSO cookie のそれぞれのピア SSO ホストを識別する

  • 確認 URL (verifyurl)。ホスト URL、ホストポート番号、および VerifySSO? (最後の ? を含む) から構成される

    この例では、Calendar Server のアプリケーション ID は ics50、ホスト URL は sesta.com、ポートは 8883 です。

    Messenger Express のアプリケーション ID は msg50、ホスト URL は sesta.com、ポートは 8882 です。

次に例を示します。 

sso.ics50.url=
  "http://sesta.com:8883
  /VerifySSO?"
sso.msg50.url=
  "http://sesta.com:8882
  /VerifySSO?" 

次の表は、Communications サーバーの信頼できるサークルテクノロジによって SSO を設定する場合の Messaging Server 設定パラメータを示しています。

表 9–2 Communications サーバーの信頼できるサークルテクノロジを利用して SSO を設定する場合の Messaging Server 設定パラメータ

パラメータ 

説明 

local.webmail.sso.enable

SSO を有効にするには、パラメータにゼロ以外の値を設定する必要があります。 

local.webmail.sso.prefix

このパラメータには、HTTP サーバーが設定する SSO cookie のフォーマットに使用される接頭辞を指定します。次に例を示します。ssogrp1

local.webmail.sso.id

このパラメータには、Messaging Server の一意のアプリケーション ID (たとえば、msg50) を指定します。

信頼できるそれぞれのアプリケーションは、一意のアプリケーション ID を持ちます。 

local.webmail.sso.cookiedomain

このパラメータには、HTTP サーバーが設定するすべての SSO cookie の cookie ドメイン値を指定します。 

local.webmail.sso.singlesignoff

ゼロ以外の値に設定すると、local.webmail.sso.prefix で設定された値と一致する接頭辞値を持つクライアント側のすべての SSO cookie がクライアントのログアウト時にクリアされます。

local.sso.appid.url= verifyurl

このパラメータには、Messaging Server 設定の ピア SSO ホストの確認 URL 値を設定します。信頼できるピア SSO ホストごとに 1 つのパラメータが必要となります。パラメータには次の要素が含まれます。 

  • アプリケーション ID (appid)。対象となる各 SSO cookie のそれぞれのピア SSO ホストを識別する

  • 確認 URL (verifyurl)。ホスト URL、ホストポート番号、および VerifySSO? (最後の ? を含む) から構成される

    次に例を示します。

    local.sso.ics50.verifyurl=

    http://sesta.com:8883/VerifySSO?

    この例では、Calendar Server のアプリケーション ID は ics50、ホスト URL は sesta.com、ポートは 8883 です。

    local.sso.msg50.verifyurl=

    http://sesta.com:8882/VerifySSO?

    この例では、Messaging Server のアプリケーション ID は msg50、ホスト URL は sesta.com、ポートは 8882 です。

Messaging Server で SSO を設定する方法については、『Sun Java System Messaging Server 6 2005Q4 Administration Guide』を参照してください。