シングル・サインオン (SSO) のサポートによって、 複数の WebSphere Application Server の Web リソースにアクセスする際に Web ユーザーが認証を受ける回数は、1 回でよくなります。Web アプリケーションの フォーム・ログイン・メカニズムでは、SSO が使用可能になっている必要があります。このトピックを使用して、シングル・サインオンの最初の構成を行います。
SSO がサポートされるのは、 認証メカニズムが Lightweight Third Party Authentication (LTPA) の場合だけです。
SSO が使用可能になっていると、LTPA トークンを含む Cookie が作成され、HTTP 応答に挿入されます。ユーザーが、 同じドメイン・ネーム・サービス (DNS) のドメイン内の他の WebSphere Application Server プロセスで、別の Web リソースにアクセスする際に、その Cookie が要求とともに送信されます。次に LTPA トークンが Cookie から抽出され、検証されます。 要求が WebSphere Application Server の異なるセル間でのものであれば、SSO が機能するには、そのセル間で LTPA 鍵とユーザー・レジストリーが共用されていなければなりません。SSO ドメインの各システムにあるレルム名は大/小文字が区別され、完全に一致している必要があります。
ローカル OS の場合、
ドメインが使用されている場合はレルム名はドメイン・ネームです。
ドメインが使用されていない場合は、レルム名はマシン名です。
レルム名は、ホスト名と同じです。
Lightweight Directory Access Protocol (LDAP) の場合、レルム名は LDAP サーバーの host:port レルム名です。 LTPA 認証メカニズムでは、 Web アプリケーションの認証メソッドがフォーム・ログインである場合、 SSO が使用可能になっている必要があります。
シングル・サインオンは LTPA のサブセットであるため、詳しくは、LTPA (Lightweight Third Party Authentication) を一読されることをお勧めします。
トークン・タイプ | 目的 | 指定方法 |
---|---|---|
LtpaToken のみ | このトークン・タイプは、 WebSphere Application Server バージョン 5.1 およびそれ以前のリリースに存在したのと同じ SSO の振る舞いに使用されます。 また、このトークン・タイプには、これらの以前のリリースとの相互協調性があります。 | 管理コンソールの「SSO configuration」パネルにある
「Web インバウンド・セキュリティー属性の伝搬」オプションを使用不可にします。
このパネルにアクセスするには、以下のステップを実行します。
|
LtpaToken2 のみ | このトークン・タイプは、Web インバウンド・セキュリティー属性伝搬に使用され、 AES、CBC、PKCS5 埋め込み暗号化強度 (128 ビットの鍵サイズ) を使用します。 ただし、このトークン・タイプは WebSphere Application Server バージョン 5.1.1 より前のリリースとの相互協調性はありません。 このトークン・タイプでは、 トークンに指定される複数の属性をサポートします。ほとんどの場合、オリジナルのログイン・サーバーと接触するための情報が含まれます。 | 管理コンソール内の「SSO configuration」パネルで、「Web インバウンド・セキュリティー属性伝搬」
オプションを使用可能にします。管理コンソール内の「SSO configuration」パネルで、
「インターオペラビリティー・モード」オプションを使用不可にします。
このパネルにアクセスするには、以下のステップを実行します。
|
LtpaToken および LtpaToken2 | これらのトークンは共に、前の 2 つのオプションの両方をサポートします。 このトークン・タイプは、LtpaToken が存在するため、WebSphere Application Server バージョン 5.1.1 より前のリリースと相互運用が可能です。 LtpaToken2 が存在するため、セキュリティー属性伝搬機能は使用可能にされています。 | 管理コンソール内の「SSO configuration」パネルで、「Web インバウンド・セキュリティー属性伝搬」
オプションを使用可能にします。管理コンソール内の「SSO configuration」パネルで、「インターオペラビリティー・モード
」オプションを使用可能にします。
このパネルにアクセスするには、以下のステップを実行します。
|
最初に SSO を構成するには、以下のステップが必要です。
変更を有効にするには、すべての製品サーバーを保管、停止、および再始動してください。