22.13 認証時における長いURLの処理

長いURLの処理は、両方の資格証明コレクタ(ECCまたはDCC)に適用され、デフォルトの操作になります。

22.13.1 長いURLと認証処理について

認証には、ユーザーのリクエストを一元化されたコンポーネントにリダイレクトする操作が含まれます。このコンポーネント(資格証明コレクタと呼びます)が、認証を実行します。ユーザーをポリシー強制点(OAMエージェント)から資格証明コレクタにリダイレクトするメカニズムは、HTTP上のフロント・チャネル・プロトコル専用です。このプロトコルは、現時点では、リクエストのコンテキストと、問合せ文字列に対する認証レスポンスを提供します。リクエストされたページのURLが大きい場合、コンテキスト全体が大きくなり、ブラウザで許容されているサイズを超えてしまうことがあります。これに対応するのが長いURLの処理機能です。

デフォルトでは、リソースWebgateが、フロント・チャネル・プロトコル・メッセージのサイズをチェックし、コーディングされている制限値より大きくないかどうか判断します。長いURLの処理機能が明示的に有効になっている場合、この制限は無視され、影響は発生しません。

資格証明コレクタは、次の場合、フロント・チャネル・レスポンス・ペイロードをHTTP POSTデータとして送信するかどうか決定します。

• 着信リクエストにより、エージェントがHTTP POSTまたはREDIRECTのレスポンス・タイプを処理できることが示されている。

• 資格証明コレクタがペイロードを常にHTTP POSTデータとして送信するように構成されている。

• 資格証明コレクタがペイロードを常に問合せ文字列として送信するように構成されている。

明示的な構成がされていない場合、そしてペイロード・サイズが事前定義済制限を超えている場合、ペイロードはHTTP POSTデータとして送信されます。ペイロード・サイズが事前定義済の制限を下回っている場合は、問合せ文字列で送信されます。

ノート:

アプリケーションPOSTデータも保持される場合、影響はありません。

表22-33に、ECCとDCC両方での長いURLの処理機能を説明します。

表22-33 ECCとDCC: 長いURLの処理

ECCでの長いURLの処理	DCCでの長いURLの処理
ECCはすべてのOAM Webゲートと互換性があります。	ECCと同じです。
該当なし	長いURLの処理は、DCCContextCookieの最大許容サイズに制限されます。 DCCは、明示的な長いURLの処理には対応しません。 フォーム上のフロント・チャネル・ペイロードを保持することはできません。

22.13.2 長いURLの処理のための構成要件

次に、長いURLの処理をサポートする認証スキームを示します。

• FORMチャレンジ・メソッド(即時使用可能ログイン・ページでサポート)

• WNA

• Basic

• Basic+Sessionless

• X509

• TAPを使用したOIF、OIM,、OAAM統合

表22-34に、認証時に長いURLの処理用に必要とされるパラメータと構成内容の概要を示します。表22-34で示すすべての要件は、指定された認証スキームで、エンドツーエンドでサポートされます。

表22-34 長いURLの処理に必要なパラメータ

パラメータ	説明
ChallengeRedirectMethod	これは、埋込み資格証明コレクタ(ECC)と外部資格証明コレクタ(DCC)の両方に対して、POSTデータ保持のための認証スキーム・チャレンジ・パラメータ(またはユーザー定義Webgateパラメータ)として構成します。 ノート: まず、このパラメータを含む認証スキーム、次に、このユーザー定義パラメータを提供するWebgateが参照されます。そうでない場合、デフォルト動作はDynamicです。 値: GET|POST|DYNAMIC 各値のときの動作: POST: WebgateはPOSTデータをencqueryとして送信し、資格証明コレクタはPOSTデータをencreplyとして送信します。 GET: Webgateはencqueryを問合せ文字列として送信し、encreplyを問合せ文字列として待機します。 DYNAMIC: デフォルトの動作。encquery/encreplyの長さに基づきます。Webgate/資格証明コレクタは、データを問合せ文字列またはPOSTデータのいずれかで送信します。コード・デフォルト最大長は2000文字です。 関連項目: 「認証POSTデータ・ハンドリングの構成」 表15-2
ChallengeRedirectMaxMessageBytes	obrareq.cgiおよびobrar.cgiとして受信するメッセージ・データのサイズを制限するためにこのユーザー定義Webgateパラメータを構成します。メッセージ・データは、問合せ文字列長(存在する場合)で構成されます。また、POSTデータが存在する場合は、POSTデータ長で構成されます。メッセージ長がこの制限を超える場合、メッセージは処理されることなく、ブラウザには既存メッセージが表示されます。イベントは通常どおり記録されます。 デフォルト: 8192バイト ノート: obrareq.cgiは、Webgateから資格証明コレクタ(OAMサーバーまたはDCC)にリダイレクトされる問合せ文字列の形式での認証リクエストです。 obrar.cgiは、資格証明コレクタ(OAMサーバーまたはDCC)からWebgateにリダイレクトされる認証レスポンス文字列です。 関連項目: 「認証POSTデータ・ハンドリングの構成」 表15-2
serverRequestCacheType ECCのみ	このOAMパラメータは、埋込み資格証明コレクタ(ECC)によってリクエスト・コンテキストを記録するために使用されるメカニズムを定義します。 $DOMAIN_HOME/config/fmwconfig/oam-config.xml内のこのOAMサーバー・パラメータは、リクエスト・コンテキストを記憶するために使用されるメカニズムを示します。可能な値は、FORM、COOKIEまたはCACHEです。 デフォルト: COOKIE POSTデータの保持、長いURLの処理およびフォームベース認証スキームでは、FORMであることが必要です。 関連項目: この表内のTempStateMode 「認証POSTデータ・ハンドリングの構成」

長いURLの処理機能は、デフォルトで有効になっています。Webgate/資格証明コレクタは、データを問合せ文字列またはPOSTデータのいずれかで送信します。obrareq.cgiおよびbrar.cgiとともに送信されるquerystringパラメータの長さは最大2000文字です。