この章では、次の内容について説明します。
連携管理により、ユーザーが 1 つのネットワーク ID を持つように、ユーザーはユーザーのローカル ID を収集できます。連携管理ではネットワーク ID を使用して、ユーザーによる 1 つのサービスプロバイダサイトへのログインを許可し、ID を再認証することなく、ほかのサービスプロバイダサイトへのアクセスを許可します。これをシングルサインオンと呼びます。
Portal Server では、連携管理をオープンモードとセキュリティー保護されたモードに設定できます。連携管理をオープンモードに設定する方法については、『Portal Server 管理ガイド』を参照してください。Portal Server Secure Remote Access サーバーを使用してセキュリティー保護されたモードで連携管理を設定する前に、これがオープンモードで機能することを確認します。ユーザーが同じブラウザで連携管理をオープンモードとセキュリティー保護されたモードの両方で使用できるようにするには、ブラウザから Cookie とキャッシュをクリアーする必要があります。
連携管理の詳細については、『Access Manager Federation Management Guide』を参照してください。
ユーザーは、最初のサービスプロバイダに対して認証を行います。サービスプロバイダは、Web ベースのサービスを提供する営利、または非営利の組織です。この広範な分類には、インターネットポータル、小売、運輸、金融、エンターテイメント、図書館、大学、政府などの機関が含まれます。
サービスプロバイダは、Cookie を使用してユーザーのセッション情報をクライアントブラウザに格納します。また、Cookie にはユーザーの ID プロバイダも含まれます。
ID プロバイダは、認証サービスの提供に特化したサービスプロバイダです。詳細認証の管理サービスとして、識別情報を維持、管理します。ID プロバイダが行う認証は、そのプロバイダと関連するすべてのサービスプロバイダで尊重されます。
ユーザーが、ID プロバイダと関連しないサービスにアクセスしようとすると、ID プロバイダはそのサービスプロバイダに Cookie を転送します。次に、このサービスプロバイダは、Cookie 内で呼び出される ID プロバイダにアクセスします。
ただし、異なる DNS ドメインの間で Cookie を読み取ることはできません。このため、サービスプロバイダを適切な ID プロバイダにリダイレクトし、そのユーザーのシングルサインオンを実現するために、共通ドメイン Cookie サービスが使用されます。
連携リソース (サービスプロバイダ、ID プロバイダ、共通ドメイン Cookie サービス (Common Domain Cookie Service、CDCS)) は、それぞれが常駐するゲートウェイプロファイルベースで設定されます。ここでは、次の 3 つの例の設定方法について説明します。
すべてのリソースが企業イントラネット上に存在する場合
すべてのリソースが企業イントラネット上に存在しない場合、または ID プロバイダがインターネット上に存在する場合
すべてのリソースが企業イントラネット上に存在しない場合、または、サービスプロバイダがインターネット上のサードパーティーで、ID プロバイダがゲートウェイによって保護されている場合
この設定では、サービスプロバイダ、ID プロバイダ、共通ドメイン Cookie サービス (CDCS) が同一の企業イントラネットに配備され、ID プロバイダはインターネット DNS (Domain Name Server) に公開されていません。CDCS の使用はオプションです。
この設定では、ゲートウェイは Portal Server であるサービスプロバイダをポイントします。この設定は、Portal Server の複数のインスタンスで有効です。
Portal Server 管理コンソールに管理者としてログインします。
「Secure Remote Access」タブを選択し、属性を変更する適切なゲートウェイプロファイルを選択します。
「ゲートウェイプロファイルを編集」ページが表示されます。
「コア」タブを選択します。
「Cookie 管理を有効」チェックボックスにチェックマークを付けて、Cookie 管理を有効化します。
「セキュリティー」タブを選択します。
「非認証 URL」リストに含まれる /amserver や /portal/dt などの相対 URL を使用するには、「Portal Server」フィールドに Portal Server 名を入力します。次に例を示します。
http:// idp-host:port/amserver/js
http:// idp-host:port/amserver/UI/Login
http://idp-host:port /amserver/css
http://idp-host:port /amserver/SingleSignOnService
http://idp-host:port/amserver/UI/blank
http://idp-host:port /amserver/postLogin
http:// idp-host:port/amserver/login_images
「Portal Server」フィールドに、Portal Server 名を入力します。たとえば、/amserver と入力します。
「保存」をクリックします。
「セキュリティー」タブを選択します。
「非認証 URL」リストに、連携リソースを追加します。次に例を示します。
/amserver/config/federation
/amserver/IntersiteTransferService
/amserver/AssertionConsumerservice
/amserver/fed_images
/amserver/preLogin
/portal/dt
「追加」をクリックします。
「保存」をクリックします。
「非認証 URL」リストに含まれる URL への到達にプロキシが必要な場合は、「配備」タブを選択します。
「ドメインとサブドメインのプロキシ」フィールドに、適切な Web プロキシを入力します。
「追加」をクリックします。
「保存」をクリックします。
端末ウィンドウから、次のコマンドを指定してゲートウェイを再起動します。
./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>
この設定では、ID プロバイダと共通ドメイン Cookie プロバイダ (CDCP) は企業イントラネットに配備されていません。または、ID プロバイダがインターネット上のサードパーティープロバイダとして存在します。
この設定では、ゲートウェイは Portal Server であるサービスプロバイダをポイントします。この設定は、Portal Server の複数のインスタンスで有効です。
Portal Server 管理コンソールに管理者としてログインします。
「Secure Remote Access」タブを選択し、属性を変更する適切なゲートウェイプロファイルを選択します。
「コア」タブを選択します。
「Cookie 管理を有効」チェックボックスにチェックマークを付けて、Cookie 管理を有効化します。
「非認証 URL」リストに含まれる /amserver や /portal/dt などの相対 URL を使用するには、「Portal Server」フィールドにサービスプロバイダの Portal Server 名を入力します。
http://idp-host:port/amserver/js
http://idp-host:port /amserver/UI/Login
http://idp-host:port /amserver/css
http:// idp-host:port/amserver/SingleSignOnService
http://idp-host:port /amserver/UI/blank
http://idp-host:port /amserver/postLogin
http:// idp-host:port/amserver/login_images
「保存」をクリックします。
「セキュリティー」タブをクリックします。
「非認証 URL」リストに、連携リソースを追加します。次に例を示します。
/amserver/config/federation
/amserver/IntersiteTransferService
/amserver/AssertionConsumerservice
/amserver/fed_images
/amserver/preLogin
/portal/dt
「追加」をクリックします。
「保存」をクリックします。
「非認証 URL」リストに含まれる URL への到達にプロキシが必要な場合は、「配備」タブを選択します。
「ドメインとサブドメインのプロキシ」フィールドに、Web プロキシに関する情報を入力します。
「追加」をクリックします。
「保存」をクリックします。
端末ウィンドウから、次のコマンドを指定してゲートウェイを再起動します。
./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>
この設定では、ID プロバイダと共通ドメイン Cookie プロバイダ (CDCP) は企業イントラネットに配備されていません。または、サービスプロバイダがインターネット上のサードパーティープロバイダとして存在し、ID プロバイダはゲートウェイによって保護されています。
この設定では、ゲートウェイは Portal Server である ID プロバイダをポイントします。
この設定は、Portal Server の複数のインスタンスで有効です。インターネット上でこのような設定が行われることはほとんどありませんが、一部の企業ネットワークではイントラネット内でこのような設定を行なっています。この設定では、ID プロバイダはファイアウォールによって保護されたサブネットに常駐し、サービスプロバイダには企業ネットワーク内から直接アクセスできます。
Portal Server 管理コンソールに管理者としてログインします。
「Secure Remote Access」タブを選択し、属性を変更する適切なゲートウェイプロファイルを選択します。
「コア」タブを選択します。
「Cookie 管理を有効」チェックボックスにチェックマークを付けて、Cookie 管理を有効化します。
「非認証 URL」リストに含まれる /amserver や /portal/dt などの相対 URL を使用するには、「Portal Server」フィールドにサービスプロバイダの Portal Server 名を入力します。
http://idp-host:port/amserver/js
http://idp-host:port /amserver/UI/Login
http://idp-host:port /amserver/css
http:// idp-host:port/amserver/SingleSignOnService
http://idp-host:port /amserver/UI/blank
http://idp-host:port /amserver/postLogin
http:// idp-host:port/amserver/login_images
「保存」をクリックします。
「セキュリティー」タブを選択します。
「非認証 URL」リストに、連携リソースを追加します。次に例を示します。
/amserver/config/federation
/amserver/IntersiteTransferService
/amserver/AssertionConsumerservice
/amserver/fed_images
/amserver/preLogin
/portal/dt
「追加」をクリックします。
「保存」をクリックします。
「非認証 URL」リストに含まれる URL への到達にプロキシが必要な場合は、「配備」タブを選択します。
「ドメインとサブドメインのプロキシ」フィールドに、Web プロキシに関する情報を入力します。
「追加」をクリックします。
「保存」をクリックします。
端末ウィンドウから、次のコマンドを指定してゲートウェイを再起動します。
./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>