WebSphere Application Server - Express, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

トラスト・アソシエーション・インターセプターを使用したシングル・サインオンの構成

このタスクは、トラスト・アソシエーション・インターセプターを使用した シングル・サインオンを使用可能にするために実行します。以下のステップでは、トラスト・アソシエーションの セットアップとインターセプター・プロパティーの作成を行います。

始める前に

Lightweight Third Party Authentication (LTPA) は WebSphere Application Server のデフォルトの認証メカニズムです。 ただし、WebSealTrustAssociationInterceptor を構成する前に LTPA を構成しなければならない場合があります。 LTPA は、すべてのトラスト・アソシエーション・インターセプターに必要な認証メカニズムです。 LTPA を構成するには、「セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」> 「認証メカニズムおよび有効期限」とクリックします。
注: Web セキュリティーのシングル・サインオン (SSO) の使用可能化は、 WebSealTrustAssociationInterceptor を構成する場合はオプションになります。詳しくは、 Web ユーザー認証を最小化するためのシングル・サインオンのインプリメントを参照してください。
最初にセキュリティーをセットアップする際は、以下のステップが必要です。 Lightweight Third Party Authentication (LTPA) がアクティブな認証メカニズムであることを確認します。
  1. WebSphere Application Server コンソールから、「セキュリティー」 >「グローバル・セキュリティー」とクリックします。
  2. 「アクティブな認証メカニズム」フィールドを「Lightweight Third Party Authentication (LTPA)」に設定します。 設定されていない場合は設定し、変更を保管します。

シングル・サインオンのトラスト・アソシエーションを確立するには、 以下のステップを実行します。

プロシージャー

  1. WebSphere Application Server 管理コンソールから、 「セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「認証メカニズム」の下の「LTPA」をクリックします。
  3. 「追加プロパティー」の下の「トラスト・アソシエーション」をクリックします。
  4. トラスト・アソシエーションを使用可能にする」オプションを選択します。
  5. 「追加プロパティー」の下の「インターセプター」リンクをクリックします。
  6. com.ibm.ws.security.web.WebSealTrustAssociationInterceptor」をクリックし、 WebSEAL インターセプターを使用します。 これは、ユーザーに提供されている 2 つの WebSEAL インターセプターの 1 つです。 このインターセプターの使用を選択するには、次のステップの説明に従ってプロパティーを指定します。 提供される他のインターセプターは、 com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus です。
    重要: com.ibm.ws.security.web.WebSealTrustAssociationInterceptor インターセプターのプロパティーのみを指定した場合でも、WebSphere Application Server は、これらの両インターセプターを初期化しようとします。 結果として、メッセージ AWXRB0008E および SECJ0384E が初期化時に表示され、 選択しなかったインターセプターが初期化に失敗したことを示します。 これは正常な処理で、選択したインターセプターの初期化には影響しません。 メッセージ AWXRB0008E および SECJ0384E が表示されないようにするために、 初期化を開始する前に使用しないインターセプターを削除できます。 環境が変わった場合は、後からそのインターセプターを戻すことができます。
  7. 「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。
  8. 新規」をクリックしてプロパティー名と値のペアを入力します。 以下のパラメーターを設定します。
    表 1. トラスト・アソシエーション・インターセプター・プロパティー
    オプション 説明
    com.ibm.websphere.security.
    trustassociation.types
    webseal がリストされていることを確認します。
    com.ibm.websphere.security.
    webseal.loginId
    WebSEAL トラステッド・ユーザーは、Tivoli Access Manager におけるトラステッド・ユーザー・アカウントの作成 で作成されます。 ユーザー名の形式はショート・ネーム表記です。このプロパティーは必須です。このプロパティーが WebSphere Application Server で設定されていない場合、TAI の初期化が失敗します。
    com.ibm.websphere.security.
    webseal.id
    iv-user ヘッダー (com.ibm.websphere.security.webseal.id=iv-user)
    com.ibm.websphere.security.
    webseal.hostnames
    Tivoli Access Manager Plug-in for Web Servers を使用している場合は、このプロパティーを設定しないでください。 ホスト名 (大/小文字を区別) は信頼でき、要求ヘッダーにあります。 このプロパティーで定義されたホスト名は、VIA ヘッダーと 比較されます。

    例: com.ibm.websphere.security.webseal.hostnames=host1

    com.ibm.websphere.security.webseal.ignoreProxy が true に設定されていない場合は、プロキシー・ホスト名が含まれます。サーバー・リスト pdadmin コマンドを使用するサーバーのリストを取得します。

    注: VIA ヘッダーは、要求が通過するサーバー名を記録する標準 HTTP ヘッダーの一部です。
    com.ibm.websphere.security.
    webseal.ports
    Tivoli Access Manager Plug-in for Web Servers を使用している場合は、このプロパティーを設定しないでください。 予想されるホスト名の対応するポート番号は、要求ヘッダーにあります。 com.ibm.websphere.security.webseal.ignoreProxy が true に設定されていない場合は、プロキシー・ポートが含まれます。例: com.ibm.websphere.security.webseal.ports=80,443
    com.ibm.websphere.security.
    webseal.ignoreProxy
    true または yes にされると、 IV ヘッダー内のプロキシー・ホスト名およびポートを無視するオプションのプロパティー。 デフォルトでは、このプロパティーは false に設定されています。
  9. OK」をクリックします。
  10. 構成を保管して、ログアウトします。
  11. WebSphere Application Server を再始動します。



関連概念
トラスト・アソシエーション
関連タスク
Tivoli Access Manager または WebSEAL を使用したシングル・サインオン機能の構成
Tivoli Access Manager におけるトラステッド・ユーザー・アカウントの作成
サード・パーティー HTTP リバース・プロキシー・サーバーの統合
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 11:31:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.express.doc/info/exp/ae/tsec_sso_ws_step4_sso_using_TAI_for_WAS.html