DeviceDNA™ による拡張セッション保証の設定

目次
sm1252sp1jjp
目次
2
DeviceDNA™ による拡張セッション保証は、許可されていないユーザが盗んだ Cookie で正当なセッションをハイジャックするのを妨ぐのに役立ちます。セッション クライアントは、製品がユーザのシステムから収集する一意の DeviceDNA™ を使用して認証されます。この検証によって、セッションを開始したクライアントがアクセスをリクエストしているのと同じクライアントであることが保証されます。有効な DeviceDNA™ のないユーザは、保護されているリソースへのアクセスを拒否されます。
以下の図では、DeviceDNA™ による拡張セッション保証を設定する方法について説明しています。
How to configure Session Assurance
DeviceDNA™ による拡張セッション保証の制限
DeviceDNA™ による拡張セッション保証では、以下のアイテムはサポート
されません
  • Web 2.0 クライアント
    Web 2.0 アプリケーションは、
    CA Access Gateway
    にリダイレクトできない Web リクエストを作成する AJAX のようなテクノロジをベースに作成されています。Web 2.0 クライアントには、非ブラウザ ベースのクライアント(モバイル デバイスにおける Flickr クライアント)が含まれています。どちらの場合も、認証フロー アプリケーションをホストする
    CA Access Gateway
    インスタンスへのリダイレクトが不可能なリクエストが発生する可能性があります。こうした状況では、DeviceDNA™ による拡張セッション保証は Web 2.0 クライアントをサポートできません。Web 2.0 アプリケーションのログイン ページは保護できます。ただし、すべてのリクエスト(AJAX に関するリクエストなど)を DeviceDNA™ による拡張セッション保証で保護することはできません。
  • カスタム エージェント
    Single Sign-On
    SDK で作成されるエージェントは、DeviceDNA™ による拡張セッション保証をサポートしません。
  • JavaScript および Cookie をサポートしないクライアント
    CA Access Gateway
    上の DeviceDNA™ スクリプトは、Web クライアントに固有の情報を抽出する JavaScript です。このクライアント情報は、セッションをデバイスまたはクライアントに関連付けます。JavaScript のサポートなしでは、DeviceDNA™ は収集できません。したがって、DeviceDNA™ による拡張セッション保証はセッションをデバイスまたはクライアントに関連付けることはできません。DeviceDNA™ による拡張セッション保証は Telnet や Lynx などのクライアントではサポートされていません。
  • POST 保存
    DeviceDNA™ による拡張セッション保証の動作においては、
    CA Access Gateway
    上の認証フロー アプリケーションへのリダイレクトが使用されます。このアプリケーションには、DeviceDNA™ スクリプトが含まれています。認証フロー アプリケーションは、現在 POST データをサポートしていません。そのため、POST リクエストは認証フロー アプリケーションにリダイレクトされません。
  • 共有ワークステーション
    どの共有ワークステーションにも、すべてのユーザで同じ DeviceDNA™ 署名があります。たとえば、1 人のユーザが共有ワークステーションの別のユーザの有効な SMSESSION Cookie をハイジャックすると仮定します。ハイジャッカーが盗んだ SMSESSION Cookie を
    同じ
    共有ワークステーションから再生する場合、本製品は違いを検出
    できません
    。DeviceDNA™ による拡張セッション保証により保護が行われるのは、ハイジャッカーが盗んだ SMSESSION Cookie を
    別の
    デバイスから実行する場合です。
  • 認証および許可 Web サービス
    Web サービス クライアント アプリケーションは認証および認可 Web サービス(エージェント API コールから受信するあらゆるリダイレクトまたはレスポンスを元に返す)を処理します。ただし、呼び出し元のクライアントは DeviceDNA™ フローによる拡張セッション保証に関わるリダイレクトを処理
    できません
  • Single Sign-On
    フェデレーション
    以下の設定は、DeviceDNA™ による拡張セッション保証をサポート
    しません
    • SAML 2.0 パートナーシップの SP 側。
    • パートナーシップの IdP 側の SAML 2.0 HTTP-POST バインディング。
  • エージェント設定パラメータ
    以下のエージェント設定パラメータは、DeviceDNA™ による拡張セッション保証をサポート
    しません
    • SecureURL
    • TargetAsRelativeURI
注:
DeviceDNA™ による拡張セッション保証を使用する場合は、これらのパラメータを設定しないでください。これらのパラメータに通常含まれるターゲット URL は、拡張セッション保証が DeviceDNA™ で使用するトークン リクエストにすでに含まれています。
  • レスポンス属性
    以下のレスポンス属性は、DeviceDNA™ による拡張セッション保証をサポートしません。
    • OnAuthAccept
注:
セッション保証は SMSESSION ハイジャックを防止し、インパーソネーション認証方式は SMSESSION の置換を許可します。同時に両方の機能を使用する場合、セッション保証は SMSESSION の変更を利用できません。両方の機能が矛盾する場合は、セッション保証またはインパーソネーション認証方式のいずれかを使用する必要があります。
DeviceDNA™ による拡張セッション保証に対する
CA Access Gateway
環境の設定
DeviceDNA™ による拡張セッション保証では、CA Access Gateway が動作している必要があります。
CA Access Gateway およびポリシー サーバを別々のコンピュータにインストールします。
  1. 以下のタスクの
    いずれか
    を実行します。
    • CA Access Gateway が
      ない
      場合は、バージョン r12.52 以降をインストールします。
    • CA Access Gateway がある場合は、バージョン r12.52 以降にアップグレードします。
      注: CA Access Gateway のインストールおよびアップグレードの詳細については、オンラインで提供されているインストール ビデオも参照してください。
  2. SSL 接続を使用するように CA Access Gateway を設定します。
  3. CA Access Gateway とポリシー サーバの間でポート番号 7680 を開きます。
  4. CA Access Gateway のインストールまたはアップグレードからの Advanced Authentication Server 暗号化キーを記録します。後で環境内のポリシー サーバでこのキーが必要になります。
  5. 複数の Cookie ドメインを使用するシングル サインオン環境については、して、Cookie プロバイダ ドメインの完全修飾ドメイン名(FQDN)が必要です。設定ウィザードを実行する場合、この FQDN を ServerName 設定に使用します。たとえば、ユーザの Cookie ドメインが sso.example.com である場合、CA Access Gateway 設定ウィザードで ServerName の値を sso.example.com に設定します。
  6. .sac 拡張子を無視するには、SPSDefaultSettings ACO テンプレートを使用します。SACExt および ignoreExt ACO パラメータがこのテンプレートに追加されました。
  7. 以下の手順で、JSafeJCE セキュリティ プロバイダで JVM を設定して、暗号化を有効にします。
    1. CA SiteMinder® SPS コンピュータにログオンします。
    2. お使いの Java バージョンの Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files パッケージを、Oracle Web サイトからダウンロードします。
    3. 以下の場所に移動します。
      • Windows
        JVM_HOME
        \lib\security
      • UNIX
        JVM_HOME
        /lib/security
      • JVM_HOME
        インストールの JDK に Java Runtime Environment (JRE)がインストールされる場所を定義します。
    4. JCE Unlimited Strength Jurisdiction Policy Files パッケージからファイルで、以下のファイルにパッチを適用します。
      • local_policy.jar
      • US_export_policy.jar
        これで JVM の設定が完了しました。
DeviceDNA™ による拡張セッション保証に対する
Single Sign-On
環境の設定
DeviceDNA™ による拡張セッション保証は、CA Single Sign-On 環境における特定のコンポーネントおよび設定を必要とします。
以下の手順に従います。
  1. ポリシー サーバをインストールするか、またはバージョン r12.52 にアップグレードします。別のコンピュータにポリシー サーバおよび CA アクセス ゲートウェイをインストールします。
  2. 設定ウィザードを使用して設定しなかったか、設定ウィザードが設定可能なオプションをデフォルトによって提供しなかったため、ポリシー ストアを手動で設定した場合は、環境の各ポリシー サーバに対して設定ウィザードを再実行します。再実行した場合は、必須の値のみを入力し、その他の値は空のままにします。この手順により、この機能をサポートするようにポリシー サーバが設定されます。
  3. n 番目のポリシー サーバに対して、設定ウィザードを実行します。ポリシー ストア オプションを選択し、設定されたポリシー ストアの詳細を入力します。この手順により、ポリシー サーバがポリシー ストアに接続されます。
  4. セッション ストアが
    ない
    場合は、1 つ設定します。
  5. ポリシー サーバと CA アクセス ゲートウェイの間でポート番号 7680 を開きます。
DeviceDNA™ エンドポイントによる拡張セッション保証の作成
DeviceDNA™ による拡張セッション保証は、DeviceDNA™ 情報を収集するために
Single Sign-On
SPS 上でホストされている認証フロー アプリケーション エンドポイントにユーザをリダイレクトします。この DeviceDNA™ 情報によって、それらのセッションが検証されます。
パフォーマンス上の理由で、組織内の各地域別区分につき 1 つのエンドポイントを作成することを推奨します。たとえば、ニューヨークおよびシカゴのオフィスがある場合は、各オフィスのエンドポイントを作成します。
DeviceDNA™ による拡張セッション保証をポリシーまたはアプリケーションに追加する前に、
Single Sign-On
SPS 上でこれらのエンドポイントを設定します。
以下の手順に従います。
  1. 管理 UI で、[ポリシー]-[グローバル]-[セッション保証エンドポイント]をクリックします。
  2. [STS エンドポイントの作成]をクリックします。
  3. わかりやすい名前と説明(オプション)を入力します。
  4. 以下のフィールドに値を入力します。
    • Web サーバ名
      ユーザを認証するために DeviceDNA™ を収集する
      CA Access Gateway
      サーバの名前を指定します。
    • [Port]
      CA Access Gateway
      がリダイレクトをリスンしているポート番号を指定します。(SSL を使用して)このポートを安全な接続に設定します。
      デフォルト:
      443
    • ターゲット
      ユーザの暗黙的なリダイレクト先となる
      CA Access Gateway
      の URL を指定します。このサーバは、ユーザの DeviceDNA™ を収集します。DeviceDNA™ を使用して、ユーザと関連付けられたセッションが検証されます。
    • DeviceDNA™ リフレッシュ間隔
      ユーザと関連付けられた DeviceDNA™ が有効であり続ける秒数を指定します。有効な DeviceDNA™ のないユーザは、サーバがユーザの現在の DeviceDNA™ を取得する拡張セッション保証エンドポイントにリダイレクトされます。
      DeviceDNA™ リフレッシュ間隔は、DeviceDNA™ の収集を管理します。DeviceDNA™ リフレッシュ間隔の期限が切れた後に発生するリクエストは、DeviceDNA™ を再収集するために Authentication Flow アプリケーションにリダイレクトされます。
      DeviceBinder は、このセッションに関連付けられたユーザを識別するセッション プロパティです。DeviceBinder とクライアント側のデバイス ID は認証処理中にリンクされています。このプロパティは、一意の DeviceHash と有効期限から構成されます。
      デフォルト:
      300 秒(5 分)
  5. [サブミット]をクリックします。
レルムへのエンドポイントの追加
DeviceDNA™ による拡張セッション保証を使用してレルムのリソースを保護するには、1 つのセッション保証エンドポイントをレルムに追加します。
注:
DeviceDNA™ による拡張セッション保証が機能するには、セッションが永続的である必要はありませんが、セッション ストアを設定したことを確認してください。
以下の手順に従います。
  1. 管理 UI から、[ポリシー]、[ドメイン]、[レルム]をクリックします。
  2. 目的のレルムの編集アイコンをクリックします。
  3. [セッション]の下で、[拡張されたセッション保証]の横の[有効]チェックボックスをオンにします。
  4. [エンドポイントの検索]をクリックします。
  5. 目的のエンドポイントを選択します。
  6. [OK]をクリックします。
  7. [サブミット]をクリックします。
  8. セッション保証機能で保護するリソースを持ったレルムが他にもあれば、手順 2 ~ 6 を繰り返します。
注:
古いセッション保証エンドポイントは、12.6 バージョンのポリシー サーバでは動作しません。したがって、PS のアップグレードでは、セッション保証エンドポイントとして機能する SPS をアップグレードする必要があります。
アプリケーション コンポーネントへのエンドポイントの追加
DeviceDNA™ による拡張セッション保証を使用して、アプリケーション内のコンポーネントを保護するには、
1 つの
拡張セッション保証エンドポイントを関連付けられたアプリケーションのコンポーネントに追加します。
以下の手順に従います。
  1. 管理 UI から、[ポリシー]、[アプリケーション]、[アプリケーション]をクリックします。
    アプリケーションのリストが表示されます。
  2. 目的のアプリケーションの編集アイコンをクリックします。
    [アプリケーションの変更]ダイアログ ボックスが表示されます。
  3. 以下の
    いずれか
    の手順を実行します。
    • アプリケーションに 1 つのみコンポーネントがある場合、[詳細設定]をクリックします。
    • アプリケーションに複数のコンポーネントがある場合は、目的のコンポーネントの編集アイコンをクリックします。[詳細設定]を選択します。
  4. [セッション]の下で、[拡張されたセッション保証]の横の[有効]チェックボックスをオンにします。
  5. [エンドポイントの検索]をクリックします。
    エンドポイントのリストが表示されます。
  6. 目的のエンドポイントを選択します。
  7. [OK]をクリックします。
  8. [サブミット]をクリックします。
    [アプリケーションの変更]ダイアログ ボックスが閉じ、確認メッセージが表示されます。
  9. セッション保証機能で保護するリソースを持ったアプリケーションが他にあれば、手順 2 ~ 7 を繰り返します。
パートナーシップにおける DeviceDNA™ による拡張セッション保証の有効化
Single Sign-On
Federation を使用する場合、以下のパートナーシップにおいて、DeviceDNA™ による拡張セッション保証を有効にすることもできます。
  • SP から IdP へのパートナーシップの IdP 側(HTTP リダイレクト バインディングのみ)。
  • コンシューマからプロデューサへのパートナーシップのプロデューサ側
  • RP から AP へのパートナーシップの AP 側
以下の手順に従います。
  1. 管理 UI から[フェデレーション]-[パートナーシップ フェデレーション]-[パートナーシップ]をクリックします。
  2. 目的のパートナーシップの左側の[アクション]ボタンをクリックし、[非アクティブ化]を選択します。
  3. 同じ[アクション]ボタンを再度クリックし、[変更]を選択します。
  4. [SSO と SLO]タブをクリックします。
  5. 以下のチェックボックスをオンにします。
    拡張されたセッション保証
    (ポリシー ドメイン モデルの)レルムまたは(アプリケーション モデルの)コンポーネントで指定されたリソースを保護します。また、特定のフェデレーション パートナーシップの認証リクエストを保護できます。セッション保証エンドポイントはユーザから DeviceDNA™ を収集し、セッションを検証します。
    値:
    セッション保証エンドポイントを指定します。
  6. エンドポイントのリストが表示されます。
  7. 目的のエンドポイントのチェックボックスをオンにします。
  8. [保存]をクリックします。
  9. 目的のパートナーシップがほかにあれば、手順 2 ~ 7 を繰り返します。
  10. (ローカル認証モードのみに対して)認証 URL (Redirect.jsp)に関連付けられるレルム上で DeviceDNA™ による拡張セッション保証を有効にします。
関連するログ ファイル
DeviceDNA™ による拡張セッション保証に関するトランザクションは、以下のログ ファイルに記録されます。
ポリシー サーバ
  • xps-*.audit -- 機能の設定への変更。
  • smaccesslog4 -- 機能に関連する認証アクティビティおよび認可アクティビティ。
Advanced Authentication Server の起動ログ
  • caauthminderstartup
  • cariskminderstartup
  • cariskmindercasemgmtserverstartup
Advanced Authentication Server のランタイム ログ
  • caauthminder
  • cariskminder
  • cariskmindercasemgmtserver
Single Sign-On
CA Access Gateway
(Advanced Authentication フロー アプリケーション)
  • arcotuds.log -- UDS サービスのログ ファイル
  • CAWebFlowLog.txt -- 認証フロー アプリケーションのログ ファイル
  • UIApplog.txt -- UIApp (認証フロー アプリケーションの実行プロセスの一部)のログ