HTTP のセキュリティーについて
Messaging Server は、ユーザー ID とパスワード認証、クライアント証明書認証、および Access Manager をサポートしています。ただし、クライアントとサーバー間におけるネットワーク接続の処理方法は、この 2 つのプロトコルでいくつか異なります。
POP、IMAP、または SMTP クライアントが Messaging Server にログインすると、接続が確立され、セッションが開始されます。この接続は、セッションの間中、すなわちログインからログアウトまで維持されます。新しい接続を確立する場合は、クライアントが再びサーバーで認証される必要があります。
HTTP クライアントが Messaging Server にログインする場合は、サーバーからクライアントに固有のセッション ID が与えられます。クライアントは、このセッション ID を使って、セッション中に複数の接続を確立できます。HTTP クライアントは接続するたびに再認証を行う必要はありません。ただし、セッションが切断された場合やクライアントが新しいセッションを確率する必要がある場合だけは、クライアントが、再び認証を行う必要があります。指定した時間にわたり HTTP セッションのアイドル状態が続くと、サーバーは自動的に HTTP セッションを切断し、クライアントがログアウトされます。デフォルトの時間は 2 時間です。
HTTP セッションのセキュリティーを向上させるには、次の方法を使用します。
-
セッション ID が、特定の IP アドレスにバインドされる。
-
各セッション ID に、タイムアウト値が関連付けられる。指定時間にわたりセッション ID が使用されないと、そのセッション ID は無効になる。
-
使用中のすべてのセッション ID のデータベースをサーバーが管理する。このため、クライアントは ID を偽造できない。
-
セッション ID は、cookie ファイルではなく URL 内に保管される。
設定パラメータを指定して接続のパフォーマンスを向上させる方法については、第 5 章「POP、IMAP、および HTTP サービスの設定」を参照してください。
Access Manager の詳細については、第 6 章「シングルサインオン (SSO) の有効化」を参照してください。
- © 2010, Oracle Corporation and/or its affiliates