Access Manager のポリシー機能とシングルサインオン (SSO) を使用するように Instant Messaging を配備することができます。Access Manager を使用する Instant Messaging アーキテクチャーは、「Instant Messaging の基本アーキテクチャー」と同じ機能を提供します。この機能を利用するには、「Instant Messaging の基本アーキテクチャー」に記載されたコンポーネントのほかに、Access Manager もインストールする必要があります。さらに、Instant Messaging サーバーホスト上に Access Manager SDK をインストールする必要があります。
このアーキテクチャーの場合、Instant Messaging はユーザーの検索にディレクトリを使用しますが、ユーザーの認証または承認には使用しません。ユーザーの認証と承認は Access Manager 側で行われます。
Access Manager で SSO を使用する場合、Access Manager と Instant Messaging が同じ Web コンテナを使用するように構成する必要があります。
図 23–5 は、Access Manager を使用する Instant Messaging アーキテクチャーを示しています。
この例では、次のように動作します。
ユーザーエントリは LDAP サーバーに保持されます。
Web サーバー (または Web サーバーが組み込まれたアプリケーションサーバー) は、ブラウザ経由でクライアントに Instant Messaging リソースをダウンロードします。リソースは、基本的にはクライアントです。
クライアントは常にマルチプレクサ経由で接続します。
Access Manager が提供する Instant Messaging 関連サービスには、在席確認サービスとインスタントメッセージングサービスがあります。
Instant Messaging 配備で ID ベースのサービスを管理する Access Manager 管理インタフェースには、Web サーバーを使用してアクセスすることができます。Access Manager の Web サーバーは、Instant Messaging リソースのサーバーと同じであってもかまいません。詳細については、Access Manager のマニュアルを参照してください。
Access Manager SDK は、Instant Messaging サーバーが Access Manager との通信時に使用する API を提供します。
図 23–6 は、シングルサインオン環境において、コンポーネント Portal Server および Access Manager と連携する Instant Messaging ソフトウェアによって使用される認証プロセスを示したものです。図 23–2 と同様に、この図も認証要求のフローを示しています。このプロセスの各段階の説明は、図の後に記載しています。
シングルサインオン環境において、この配備の Instant Messaging サーバーの認証プロセスは、次のように機能します。
ユーザーは、Web ブラウザに適切な URL を入力し、Access Manager にログインします。
Access Manager ソフトウェアはエンドユーザーを認証し、セッショントークンを返します。
シングルサインオンが機能するには、セッショントークンが必要です。このトークンはアプレットパラメータとして提供され、認証プロセス全体で使用されます。セッショントークンがある限り、資格の再入力はエンドユーザーに求められません。
エンドユーザーはブラウザから Instant Messenger アプレットにアクセスし、クライアントを呼び出すメソッドを選択します。
Java Web Start または Java プラグインは、適切な Instant Messenger リソースファイルをダウンロードし、Instant Messenger を起動します。
Instant Messenger は、セッショントークンを使用して Instant Messaging サーバーへの認証を要求します。
Instant Messaging サーバーは、セッショントークンの検証を Access Manager に求めます。セッションが有効であれば、Instant Messenger はエンドユーザーの連絡先リストを表示し、エンドユーザーはチャット、アラート、ポーリングなどの Instant Messenger サービスを利用できるようになります。
Instant Messaging サーバーは、連絡先リストやその登録情報などのエンドユーザー情報を取得または設定するときに、LDAP に直接照会する必要があります。