Web アプリケーション クライアントへの CA SiteMinder® 動作の適用
目次
sm1252sp1jjp
目次
2
一部の Web アプリケーションでは、リソースをリクエストし、コンテンツを表示するために Web ブラウザのコンテキストで実行するスクリプト エンジンを使用します。標準的な Web ブラウザが送信するリクエストと同様に、スクリプト エンジンから送信されたリクエストは、HTTP リダイレクトやチャレンジなど、
Single Sign-On
で生成された動作をトリガできます。Web アプリケーションに適切に統合されていないと、この動作により Web アプリケーション クライアントが不確定状態になる可能性があります。
Web アプリケーション クライアント レスポンス(WebAppClientResponse) ACO パラメータを使用して、以下の操作を実行できます。
- Web ブラウザのコンテキストで実行しているスクリプト エンジンから送信されたリクエストを識別するようにSingle Sign-Onを設定する。
- チャレンジなどSingle Sign-Onで生成された動作を、Web アプリケーション クライアントの機能と統合するためにカスタマイズしたレスポンスを使用する。
セッション管理機能を統合するために WebAppClientResponse パラメータを使用している場合は、OverLookSessionFor ACO パラメータを設定します。OverLookSessionFor パラメータは Web アプリケーション クライアント リクエストを阻止しますが、WebAppClientResponse パラメータではセッション タイムアウト後にユーザをリダイレクトするための必須機能を統合できます。
Web アプリケーション クライアント レスポンスの導入
WebAppClientResponse ACO パラメータを使用して、
Single Sign-On
のセキュリティを維持しながら、Web アプリケーション クライアントの機能を実装します。パラメータは以下のデフォルト属性で構成されます。
Resource=|Method=|Status=|Body=|Content-Type=|Charset=
以下の点を考慮してください。
- この ACO パラメータは、有効な値を持つ 1 つ以上の属性を必要とします。
- 追加の属性はすべてオプションです。
- 複数の Web アプリケーションからのリクエストを識別する必要がある場合、単一の ACO パラメータには属性ごとに複数の値を含めることができます。
- Web アプリケーション クライアント レスポンス機能は、基本認証方式では動作しません。
例: WebAppClientResponse ACO パラメータ
この例では、各属性に対して有効な値を持つパラメータを示します。例の後に各属性の説明が示されます。
WebAppClientResponse:Resource=/web20/dir/*|Method=GET,POST|Status=200 |Body=C:\location\custombody_1.txt|Content-Type=application/xml|Charset=us-ascii
- ResourceWeb アプリケーション クライアントがリクエストを行う URI を指定します。リクエストの URI がこの値に一致する場合、Single Sign-Onは Web アプリケーション クライアントから送信されたリクエストを識別します。リソースには、プレフィックスとサフィックスをマッチングするためにワイルドカード(*)を含めることができます。デフォルト:値なし。この値を省略した場合、Web エージェントが保護しているすべてのリソースがパラメータに適用されます。値:正規表現はサポートされていません。例: Resource=/web20/dir/*例: Resource=/web20/dir/*.xml
- MethodWeb アプリケーション クライアントがリクエストを行うための HTTP メソッドを指定します。リクエストの HTTP メソッドがこの値に一致する場合、Single Sign-Onは Web アプリケーション クライアントから送信されたリクエストを識別します。デフォルト:値なし。この値を省略した場合、パラメータは HTTP メソッドをすべて適用します。複数のメソッドは、カンマ(,)で区切ります。例: GET, POST
- ステータスSingle Sign-Onが Web アプリケーション クライアント リクエストに返送する必要がある HTTP ステータスを指定します。デフォルト:値なし。この値を省略した場合、200 の HTTP ステータスがパラメータに適用されます。
- BodyWeb アプリケーション クライアント リクエストに対するレスポンスとして機能するカスタム本文が含まれるファイルの完全修飾名を指定します。このファイルは Web エージェント ホスト システム上に存在し、以下のように指定できます。
- テキスト ベースか、バイナリ データを含む。
- アプリケーションの所有者が設計した任意のカスタム本文を含める。
- Single Sign-Onの理由およびリダイレクト URL を転送するために使用できるカスタム本文を含める。
デフォルト: 値なし。この値を省略した場合、Single Sign-Onは本文なしで Web アプリケーション クライアントに対するレスポンスを転送します。 - Content-Typeレスポンスが含まれるファイルに存在するデータの MIME 形式を指定します。デフォルト: 値なし。この値を省略した場合、テキスト/プレーンの MIME タイプがパラメータに適用されます。カスタム本文にSingle Sign-Onによって生成されたレスポンスが含まれる場合、データのコンテンツ タイプは以下のいずれかのタイプである必要があります。
- text/*
- application/xml
- application/*+xml
- Charset本文ファイルに存在するデータの文字セットを指定します。デフォルト: 値なし。この値を省略した場合、パラメータは us–ascii の文字セット タイプを適用します。
Cookie プロバイダと Web アプリケーション クライアント レスポンス
WebAppClientResponse パラメータを設定するときに以下の点を考慮してください。
- Web 2.0 リソースにアクセスする場合、Single Sign-Onは Cookie プロバイダ上でセッション Cookie を更新しません。
- .html、.jsp、.asp、.cgi などの Web 2.0 以外のリソースにアクセスする場合、Single Sign-Onは Cookie プロバイダ上のセッション Cookie を通常どおりに更新します。
Web アプリケーションへの Web アプリケーション クライアント レスポンスの適用方法
Web アプリケーションと共に Web アプリケーション クライアント レスポンスを適用すると、
Single Sign-On
のセキュリティを維持しながら、Web アプリケーション クライアントの機能を実装できます。以下の手順を完全に実行して、Web アプリケーション クライアント レスポンスを適用します。- Web アプリケーション クライアント レスポンス(WebAppClientResponse) ACO パラメータを設定します。
- カスタム レスポンスを設定します。
- カスタム レスポンスを処理するように Web アプリケーションを設定します。
Web アプリケーション クライアント レスポンスの設定
Web アプリケーション クライアント レスポンスを設定して、Web アプリケーション クライアントの機能を実装します。
以下の手順に従います。
- 以下のタスクのいずれかを実行します。
- 管理 UI で[エージェント設定オブジェクト](ACO)を開き、WebAppClientResponse のコメントを解除します。
- ローカル エージェント設定ファイルを開き、WebAppClientResponse のコメントを解除します。
- 以下の 1 つ以上のデフォルト属性の値を入力します。
- Resource
- Method
- ステータス
- Body
- Content–Type
- Charset
注: 以下の制限について考慮してください。- この ACO パラメータは、1 つ以上の属性で有効な値を必要とします。
- 追加の属性はすべてオプションです。
- 複数の Web アプリケーションからのリクエストを識別する必要がある場合、単一の ACO パラメータには属性ごとに複数の値を含めることができます。
- 以下のタスクのいずれかを実行します。
- 管理 UI で ACO を保存します。
- ローカル エージェント設定ファイルを保存します。
カスタマイズしたレスポンスの設定
アプリケーションの所有者は、Web エージェント ホスト システム上に存在するファイルの本文内でカスタマイズしたレスポンスを設定します。Web アプリケーション クライアント リクエストが
Single Sign-On
機能をトリガすると、Web エージェントは Web アプリケーション クライアントに対するレスポンスとして本文を返します。以下の点を考慮してください。
- ファイルには、アプリケーションの所有者が設計した任意のカスタム本文を含めることができます。
- ファイルはテキスト ベースにできます。ファイルがテキスト ベースの場合、Single Sign-Onは Web アプリケーション クライアントにレスポンスを送信する前に、$$Reason$$ と $$URL$$ 用ファイルの本文を解析します。レスポンスにSingle Sign-Onによって生成された動作を含める場合:
- データのコンテンツ MIME タイプは以下のいずれかのタイプである必要があります。
- text/*
- application/xml
- application/*+xml
- 以下のプレースホルダ値が本文に表示される必要があります。SiteminderReason=$$Reason$$ SiteminderRedirectURL=$$URL$$Single Sign-Onは、これらの値の本文を解析し、トリガされたSingle Sign-On機能とリダイレクト URL を挿入します。以下のパラメータまたはポリシー レスポンス タイプが機能と URL を定義します。
- IdleTimeoutURL
- MaximumTimeoutURL
- ForceFQHost
- LogOffRedirectURL
- ExpiredCookieURL
- OnAuthAcceptRedirect
- OnAuthRejectRedirect
- OnAccessAcceptRedirect
- OnAccessRejectRedirect
- Challenge
例: Web アプリケーション クライアント リクエストがアイドル タイムアウトをトリガすると仮定します。Single Sign-Onは、プレースホルダ値を、IdleTimeoutURL と IdleTimeoutURL パラメータの値で指定された URL に置換します。
- ファイルにはバイナリ データを含めることができます。ファイルにバイナリ データが含まれる場合、Single Sign-Onはファイルの本文を解析せずに、Web アプリケーション クライアントに転送します。
カスタム レスポンスを処理するように Web アプリケーションを設定
カスタム レスポンスに
Single Sign-On
の理由およびリダイレクト URL を含める場合は、カスタム レスポンスを処理するように Web アプリケーションを別々に設定します。Web エージェント インストール ウィザードは、サンプル アプリケーションを
web_agent_home
/samples にインストールします。特定の環境および状況に合わせてサンプルから推定します。- web_agent_homeWeb エージェントのインストール パスを指定します。