ユーザの外部認証の有効化

この記事には、以下のトピックが含まれています。
casm173
この記事には、以下のトピックが含まれています。
デフォルトでは、CA Service Catalog は CA EEM を使用してユーザを認証します。 CA Service Catalog を設定して、CA SiteMinder、IBM Tivoli、およびその他の外部アプリケーションを持つユーザを認証できます。 プロセスは、以下のタスクで構成されます。
  1. 各ドキュメントに従って、外部認証のアプリケーションをインストールおよび実装します。
  2. 以下の例を確認し、通常これらのアプリケーションがユーザ認証を CA Service Catalog に送信する方法を理解します。 該当する場合、これらの例に一致するように設定を調整します。
    • CA SiteMinder は、リクエスト ヘッダに sm-ユーザ アーティファクト名とユーザ ID 情報 (認証されたユーザ) を送信します。
    • IBM Tivoli はリクエスト ヘッダに iv_user アーティファクト名を持つユーザ ID 情報を送信します。
    • Microsoft Internet Information Server (IIS) は、Windows NTLM に対して設定される場合は、リクエストとともにユーザ ID 情報を送信します。
    • Apache は、Windows NTLM に対して設定される場合は、リクエストとともにユーザ ID 情報を送信します。
  3. CA Service Catalog と外部認証のアプリケーションの両方で設定をテストします。
  4. CA Service Catalog が認証されたユーザを正常に受信し、処理して、外部認証アプリケーションを通過することを確認します。 必要に応じて、両方のシステムでパラメータを調整します。
  5. オプションで、使用している認証方法のシングル サインオンを設定します。
Windows NTLM 認証を使用したシングル サインオンの設定
Windows NTLM 認証を使用する場合は、この手順を実行して CA Service Catalog のシングル サインオンを有効にできます。 Windows ドメインにログインするユーザは、CA Service Catalog にログインしなくてもアクセスできます。
以下の手順に従います。
  1. クラスタ化を使用する予定が
    ない
    ことを確認します。 この手順を実行する代わりにクラスタ化を使用している場合は、各クラスタに NTLM 認証を設定します。
  2. 環境が以下の要件を満たしていることを確認します。
    • Windows ドメイン認証を使用しています。
    • CA Service Catalog と CA EEM は、同じ Windows ドメインにインストールされます。
    • Active Directory を使用する CA EEM を設定しました。
      HTTP 1.0
      以降
      のバージョンを実行しています。
    • Windows サーバを使用する場合、以下のタスクのいずれかを実行し、NTLM でシングル サインオンを使用します。
      • HTTPS の代わりに HTTP を使用します。
      • Internet Explorer セキュリティ強化の構成の Windows コンポーネントをアンインストールします。
    • 以下の条件が両方とも存在する場合、HTTPS を持った NTLM を使用してシングル サインオンを使用することはできません。
      • クライアント コンピュータのオペレーティング システムは Windows サーバです。
      • Internet Explorer セキュリティ強化の構成の Windows コンポーネントがインストールされています。
  3. 以下の操作を実行します。
    1. 管理
      ]-[
      設定
      ]-[
      シングル サインオン認証
      ]をクリックします。
    2. シングル サインオン タイプ
      ]を見つけて、[変更]アイコンをクリックします。
    3. オプション[
      NTLM (NT LAN Manager)
      ]を選択し、[
      設定の更新
      ]をクリックします。
      ダイアログ ボックスが閉じ、[シングル サインオンの認証]ページに戻ります。
  4. 影響を受けるすべてのユーザが、シングル サインオンを使用してこのコンピュータ上の CA Service Catalog にアクセスできることを確認します。
NTLM 認証が設定されました。
ユーザの 1 つのグループ用のシングル サインオンおよび別のグループ用の手動ログインを実装します
このユース ケースでは、ユーザの 1 つのグループに対してシングル サインオンを有効します。 たとえば、内部ユーザ(グループ 1)に対して、ユーザの別のグループに強制的に手動ログインします。 たとえば、コントラクタ、ベンダ、顧客(グループ 2)などの外部ユーザです。
以下の手順に従います。
  1. MDB と CA EEM の同じインスタンスを使用した 2 つの CA Service Catalog コンピュータがあることを確認します。 この手順は、CA Service Catalog コンピュータの
    サーバ 1
    サーバ 2
    を呼び出します。
  2. 以下の要件を確認します。
    • グループ 1 のユーザはサーバ 1 に
      のみ
      ログインします。
    • グループ 2 のユーザはサーバ 2 に
      のみ
      ログインします。
    • 必要に応じて、この要件の各グループのユーザに通知します。
  3. サーバ 2 で、USM_HOME\webapps\usm\WEB-INF\web.xml ファイルを編集します。 以下の行をコメントします。
    <!-- <filter> <filter-name>NtlmAuthFilter</filter-name> <filter-class>com.ca.usm.httpfilter.NtlmAuthenticationFilter</filter-class> <init-param> <param-name>debug</param-name> <param-value>false</param-value> </init-param> </filter> --> <!-- <filter-mapping> <filter-name>NtlmAuthFilter</filter-name> <url-pattern>*.rpc</url-pattern> </filter-mapping> <filter-mapping> <filter-name>NtlmAuthFilter</filter-name> <url-pattern>/wpf/*</url-pattern> </filter-mapping> <filter-mapping> <filter-name>NtlmAuthFilter</filter-name> <url-pattern>/uslm/*</url-pattern> </filter-mapping> <filter-mapping> <filter-name>NtlmAuthFilter</filter-name> <url-pattern>/assure/*</url-pattern> </filter-mapping> <filter-mapping> <filter-name>NtlmAuthFilter</filter-name> <url-pattern>/documents/*</url-pattern> </filter-mapping> <filter-mapping> <filter-name>NtlmAuthFilter</filter-name> <url-pattern>/FileStore/*</url-pattern> </filter-mapping> -->
    これらの行をコメントすると、CA Service Catalog コンピュータからの SSO 機能が非アクティブ化されます。
  4. CA Service Catalog を再起動します。
外部認証を使用したシングル サインオンの設定
外部認証を使用する場合は、この手順を実行して CA Service Catalog のシングル サインオンを有効にできます。 外部認証システムに設定されているユーザは、CA Service Catalog にログインしなくてもアクセスできます。
以下の手順に従います。
  1. CA Service Catalog と CA EEM が、同じ Windows ドメインにインストールされていることを確認します。
  2. このコンピュータで実行されている CA Service Catalog にログインします。
  3. 以下の操作を実行します。
    1. 管理
      ]-[
      設定
      ]-[
      シングル サインオン認証
      ]をクリックします。
    2. シングル サインオン タイプ
      ]プロパティを見つけて、[変更]アイコンをクリックします。
    3. アーティファクト ベースのシングル サインオン
      ]オプションを選択し、[
      設定の更新
      ]をクリックします。
      ダイアログ ボックスが閉じ、[シングル サインオンの認証]ページに戻ります。
  4. 影響を受けるすべてのユーザが、シングル サインオンを使用してこのコンピュータ上の CA Service Catalog にアクセスできることを確認します。
Windows NTLM 以外の外部認証が設定されました。