| Sun ONE Portal Server, Secure Remote Access 6.2 管理者ガイド |
第 1 章
Sun ONE Portal Server, Secure Remote Access についてこの章では、SunTM ONE Portal Server, Secure Remote Access 製品について、および SunTM ONE Portal Server 製品と Secure Remote Access コンポーネントの関係について説明します。また、Secure Remote Access の管理と設定に関する情報も記載されています。
この章で説明する内容は次のとおりです。
Secure Remote Access の概要Secure Remote Access は、リモートユーザーがインターネットを通じて社内のネットワークおよびサービスに安全にアクセスできる環境を提供します。また、従業員、ビジネスパートナー、一般ユーザーなど、あなたの会社のインターネットポータルを使用する誰もがコンテンツやアプリケーション、データに安全にアクセスできるようになります。
リモートデバイスからポータルコンテンツおよびサービスにアクセスする場合、Secure Remote Access はブラウザによるセキュアリモートアクセスを提供します。これは、クライアントソフトウェアを使用せず、Java テクノロジに対応したブラウザを使用するデバイスであればアクセス可能な、コスト効果の高い安全なソリューションです。SunTM ONE を Sun ONE Portal Server ソフトウェアに統合すると、アクセス権のあるコンテンツおよびサービスに対して暗号化された安全なアクセスが保証されます。
Secure Remote Access は、安全性の高いリモートアクセスポータルを提供する企業を対象に設計されています。このようなポータルは、イントラネットリソースのセキュリティ、保護、およびプライバシーに重点が置かれています。Secure Remote Access のアーキテクチャは、このようなタイプのポータルに非常に適しています。イントラネットリソースにはインターネットを通じてアクセスしますが、Secure Remote Access のゲートウェイ、NetFile、Netlet コンポーネントによりリソースをインターネットに露出させることなく安全にアクセスできます。
すべてのイントラネット URL、ファイルシステム、アプリケーションへの単一のセキュアアクセスポイントとして機能するのは、非武装ゾーン (DeMilitarized Zone、DMZ) に常駐するゲートウェイです。その他のセッション、認証、およびポータルデスクトップなどの Secure Remote Access 以外のサービスはすべて、保護されたイントラネットの DMZ の背後で実行されます。クライアントのブラウザからゲートウェイへの通信は、HTTPS を使って暗号化されます。ゲートウェイからサーバーおよびイントラネットリソースへの通信には HTTP か HTTPS が使用されます。
Secure Remote Access は、2 つのメソッドを使用します。
Netlet と NetFile アプレットは、サポートファイルがゲートウェイまたは Portal Server に存在すればクライアントのマシンにダウンロードされます。
Portal Server は、次の 2 つのモードで動作します。
オープンモード
オープンモードの場合、Portal Server のインストール時に Secure Remote Access はインストールされません。このモードでの HTTPS 通信は可能ですが、セキュアリモートアクセスは使用できません。つまり、セキュリティ保護されたリモートファイルシステムとアプリケーションにはアクセスできません。
オープンポータルとセキュアポータルの主な違いは、オープンポータルを通じて提供されるサービスは、通常は保護されたイントラネット内ではなく非武装ゾーン (DMZ) 内に存在する点にあります。DMZ は一般のインターネットと私的なイントラネットの間に存在する保護付きの小規模ネットワークで、通常は両端のファイアウォールで境界が定められます。
ポータルに機密情報が含まれていない場合 (公開情報の配布や無償アプリケーションへのアクセス許可)、大量のアクセス要求への応答は、セキュアモードに比べて速くなります。
図 1-1 は、オープンモードの Portal Server を示しています。この例では、Portal Server はファイアウォールの背後にある単一のサーバーにインストールされています。複数のクライアントが単一のファイアウォールを経由して、インターネット上の Portal Server にアクセスしています。
図 1-1 オープンモードの Portal Server
セキュアモード
セキュアモードは、必要とされるイントラネットファイルシステムとアプリケーションへのセキュリティ保護されたリモートアクセスを可能にします。
ゲートウェイは非武装ゾーン (DMZ) に常駐します。ゲートウェイはすべてのイントラネット URL とアプリケーションへの単一のセキュアアクセスポイントとして機能し、ファイアウォールに開かれるポートの数は減ります。その他のセッション、認証、およびポータルデスクトップなどの Portal Server サービスはすべて、保護されたイントラネットの DMZ の背後で実行されます。クライアントブラウザからゲートウェイへの通信は、SSL (Secure Socket Layer) を使った HTTP を使って暗号化されます。ゲートウェイからサーバーおよびイントラネットリソースへの通信には HTTP か HTTPS が使用されます。
図 1-2 は、Portal Server と Secure Remote Access を示しています。SSL はクライアントと Portal Server ゲートウェイの接続をインターネット上で暗号化するために使用されます。また SSL はゲートウェイとサーバー間の接続の暗号化にも使用されます。イントラネットとインターネット間にゲートウェイが存在することで、クライアントと Portal Server 間のパスの安全性が強化されます。
図 1-2 セキュアモードの Portal Server (Secure Remote Access を使用)
サーバーとゲートウェイを追加して、サイトを拡張することができます。Secure Remote Access のコンポーネントは、業務上の要求に応じてさまざまな形で構成できます。
Secure Remote Access のコンポーネントSecure Remote Access の主要なコンポーネントは次のとおりです。
ゲートウェイ
Secure Remote Access のゲートウェイは、インターネットから送信されるリモートユーザーセッションと企業イントラネットの間のインタフェースおよびセキュリティバリアとして機能します。ゲートウェイはリモートユーザーとの単一のインタフェースを通じて、内部 Web サーバーとアプリケーションサーバーのコンテンツを安全に提供します。
Web サーバーは、クライアントとゲートウェイの間の通信に HTML、JavaScript、XML などの Web ベースのリソースを使用します。リライタは、Web コンテンツを使用できるようにするためのゲートウェイコンポーネントです。
アプリケーションサーバーは、クライアントとゲートウェイの間の通信に telnet や FTP などのバイナリプロトコルを使用します。ゲートウェイに常駐する Netlet は、この目的で使用されます。詳細については、第 2 章「ゲートウェイ」を参照してください。
リライタ
リライタは、エンドユーザーのイントラネット参照を可能にし、またそのページ上のリンクや URL へのリンクが正しく参照されるようにします。リライタは Web ブラウザのロケーションフィールドにゲートウェイ URL を追加して、コンテンツ要求をゲートウェイを通じてリダイレクトします。詳細については、第 3 章「リライタ」を参照してください。
NetFile
NetFile はファイルシステムとディレクトリのリモートアクセスおよびリモート操作を可能にする、ファイルマネージャアプリケーションです。NetFile には Java ベースのユーザーインタフェース、NetFile JavaTM が含まれます。これは、Java1 と Java2 で使用できます。詳細については、第 4 章「NetFile」を参照してください。
Netlet
Netlet は一般的なアプリケーション、または企業独自のアプリケーションをリモートデスクトップで安全に、効率的に実行できるようにします。サイトに Netlet を実装すると、Telnet や SMTP などの共通の TCP/IP サービスや、pcANYWHERE または Lotus Notes などの HTTP ベースのアプリケーションを安全に実行できます。詳細については、第 5 章「Netlet」を参照してください。
Secure Remote Access の管理Secure Remote Access には、次の 2 つのインタフェースがあります。
管理作業の大半は、SunTM ONE Identity Server 管理コンソールを通じて行います。管理コンソールにはローカルにアクセスできます。また、Web ブラウザからのリモートアクセスも可能です。ただし、ファイルの修正などの管理作業には UNX コマンド行インタフェースを使用します。
Secure Remote Access の属性の設定Secure Remote Access に関連する属性は、組織、ロール、ユーザーのレベルで設定できます。ただし、次の例外が適用されます。
- 競合の解決レベルは、ユーザーレベルでは設定できません。これは、「サービス設定」タブでも設定できません。「競合解決の設定」を参照してください。
- MIME タイプ設定ファイルの場所は、組織レベルだけで設定可能です。「MIME タイプ設定ファイルの場所の指定」を参照してください。
組織レベルで設定した値は、その組織に属するすべてのロールとユーザーにも継承されます。ユーザーレベルで設定された値は、組織レベルまたはロールレベルで設定された値よりも優先されます。
ほとんどの属性は、Identity Server の「Identity Server」タブまたは「サービス設定」タブで設定できます。このサービス設定レベルの属性は、テンプレートとして機能します。組織またはユーザーが新規に作成されると、デフォルトでこれらの値を継承します。
属性の値は「サービス設定」タブで変更できます。新しい値は、組織を新たに追加した場合にだけ、適用されます。「サービス設定」タブでの属性値の変更は、既存の組織またはユーザーに影響しません。詳細については、『Sun ONE Identity Server 管理ガイド』を参照してください。
Secure Remote Access の属性は、Identity Server 管理コンソールの「SRA 設定」の下にある次のサービスを使用して設定します。
- アクセスリスト
特定の URL へのアクセスを許可または制限し、シングルサインオン機能を管理する場合に使用します。詳細は、第 8 章「URL アクセス制御の設定」を参照してください。
- ゲートウェイ
プロキシ管理、Cookie 管理、ロギング、リライタ管理、暗号化などのゲートウェイに関連したすべての属性を設定する場合に使用します。詳細は、第 9 章「ゲートウェイの設定」を参照してください。
- NetFile
共通のホスト、MIME タイプ、異なる種類のホストへのアクセスなど、NetFile 関連のすべての属性を設定する場合に使用します。詳細は、第 10 章「NetFile の設定」を参照してください。
- Netlet
Netlet ルール、必須ルールへのアクセス、組織およびホスト、デフォルトアルゴリズムなどの Netlet に関連したすべての属性を設定する場合に使用します。詳細は、第 11 章「Netlet の設定」を参照してください。
警告
ゲートウェイの実行中に行われた属性変更は、ゲートウェイに通知されま せん。
更新された (ゲートウェイまたはその他のサービスに属する) プロファイ ル属性をゲートウェイで確実に使用するようにするには、ゲートウェイを 再起動します。「認証連鎖の使用」を参照してください。
競合解決の設定競合の解決レベルを設定する手順
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下で、適切なサービス (アクセスリスト、NetFile、Netlet) の隣の矢印をクリックします。
- 「競合の解決レベル」ドロップダウンリストから適切なレベルを選択します。
- NetFile の上または下で「保存」をクリックし、変更内容を記録します。
サポートされるアプリケーションSecure Remote Access は、次のアプリケーションをサポートします。
OWA ページに必要なルールセットは、exchange_2000sp3_owa_ruleset という名前でインストールされます。OWA のケーススタディについては、「Outlook Web Access 用のルールセット」を参照してください。
