Messaging Server を設定して SSO をサポートする
Messaging Server SSO は、4 つの configutil パラメータによってサポートされます。4 つのパラメータのうち、Messaging Server で SSO を有効にするには、local.webmail.sso.amnamingurl の 1 つのみが必要とされます。SSO を有効にするには、このパラメータを、Access Manager がネーミングサービスを実行している URL に設定します。通常、この URL は http://server/amserver/namingservice となります。次に例を示します。
configutil -o local.webmail.sso.amnamingurl -v
http://sca-walnut:88/amserver/namingservice
|
注 – Access Manager SSO は、古い SSO メカニズムを有効にする local.webmail.sso.enable を確認しません。local.webmail.sso.enable は off のままにしておくか、解除してください。これ以外の設定では、古い SSO メカニズムに必要とされる存在しない設定パラメータについての警告メッセージが記録されます。
表 6–3 で示されている SSO の設定パラメータは configutil コマンドを使用して変更できます。
表 6–1 Access Manager のシングルサインオンパラメータ
パラメータ
|
説明
|
local.webmail.sso.amnamingurl
|
Access Manager がネーミングサービスを実行する URL です。Access Manager を使用するシングルサインオンに必須の変数です。通常、この URL は http://server/amserver/namingservice です。
デフォルト: 設定なし。
|
local.webmail.sso.amcookiename
|
Access Manager の cookie 名です。デフォルトでは、Access Manager のセッションハンドルは iPlanetDirectoryPro という cookie に保存されます。Access Manager が別の cookie 名を使用するように設定されている場合は、その名前を Messaging Server のこのパラメータに設定する必要があります。これによって、Messaging Server でシングルサインオンを処理する場合の検索対象を指定できます。IS がデフォルト設定の場合は、デフォルト値はそのままにしておく必要があります。
デフォルト: iPlanetDirectoryPro
|
local.webmail.sso.amloglevel
|
AMSDK ログレベルです。Messaging Server で使用される SSO ライブラリには、Messaging Server とは別の独自のロギングメカニズムがあります。SSO ライブラリのメッセージは、msg_svr_base/log の下にある http_sso と呼ばれるファイルに記録されます。デフォルトでは、info 以上のメッセージのみが記録されますが、ログレベルを 1 〜 5 の値 (1 = errors、2 = warnings、3 = info、4 = debug、5 = maxdebug) に設定することで、ログレベルを上げることは可能です。ライブラリでのメッセージの重要性の概念は Messaging Server と異なること、また、レベルを debug に設定すると無意味なデータが大量に記録されることに注意してください。さらに、http_sso ログファイルは、共通の Messaging Server ログコードで管理されないこと、クリーンアップされたりロールオーバーされたりすることがないことにも注意してください。デフォルトよりも高いログレベルに設定した場合は、システム管理者の責任でクリーンアップを行います。
デフォルト: 3
|
local.webmail.sso.singlesignoff
|
Messaging Server から Access Manager へのシングルサインオフです。Access Manager は中央の認証オーソリティーであるため、シングルサインオフは常に Access Manager から Messaging Server の順で有効になります。このオプションを使用すると、サイトで Web メールの logout ボタンによって Access Manager からもユーザーを (カスタマイズ作業を保存して) ログアウトするかどうか設定できます。デフォルトでは、このオプションは有効になっています。このオプションを無効にした場合、デフォルトの Web メールクライアントからログアウトしたユーザーは自動的に再度ログインされます。ログアウトはルートドキュメントを参照し、ルートドキュメントは Access Manager cookie が存在していてそれが有効である限り受信箱画面を参照するためです。したがって、このオプションを無効に設定したサイトでは、Web メールのログアウト時に発生するアクションをカスタマイズする必要があります。
デフォルト: はい
|