4.x タイプとより新しいタイプのエージェント間での認証情報コレクタの使用

エージェント オブジェクトの古いバージョンでは、ポリシー サーバおよび WebAgent.conf ファイルに格納した共有秘密キーを特徴とするセキュリティ モデルを使用していました。これらのエージェントを 4.x タイプ エージェントと言います。管理 UI でエージェント オブジェクトを作成する際に、ユーザは 4.x エージェント機能のサポートを指定できます。 より新しいバージョンでは、共有秘密キー セキュリティ モデルの代わりに、ポリシー サーバ上のトラステッド ホスト オブジェクトを使用します。
sm1252sp1jjp
Single Sign-On
エージェント オブジェクトの古いバージョンでは、ポリシー サーバおよび WebAgent.conf ファイルに格納した共有秘密キーを特徴とするセキュリティ モデルを使用していました。これらのエージェントを 4.x タイプ エージェントと言います。管理 UI でエージェント オブジェクトを作成する際に、ユーザは 4.x エージェント機能のサポートを指定できます。 より新しいバージョンでは、共有秘密キー セキュリティ モデルの代わりに、ポリシー サーバ上のトラステッド ホスト オブジェクトを使用します。
4.x タイプとより新しいエージェントの間で、認証情報コレクタを使用できます。こうした認証情報コレクタの使用方法を混在モードと呼びます。混在モードを展開するには追加の設定手順が必要です。
混在環境での認証情報コレクタの設定
本製品の r6.x から今回のリリースまで、認証情報コレクタは古い 4.x タイプの認証情報コレクタとは異なる動作をします。4.x タイプの認証情報コレクタはユーザのブラウザに Cookie を配置し、次にユーザを元のエージェントに再度リダイレクトします。
それ以降の バージョンでは、認証情報コレクタは要求されたリソースを保護するエージェントのために、ポリシー サーバにユーザをログインさせます。Cookie は使用
されません
認証情報コレクタは、ユーザがログインするために、以下の情報が必要です。
  • 要求されたリソースを保護しているエージェントの名前。
  • ユーザによって提供される認証情報。
エージェント名を把握するために、認証情報コレクタは以下のプロセスを使用します。
  1. SMAGENTNAME クエリ パラメータを使用します。これを、元のエージェントは認証情報コレクタへリダイレクトする際に URL のクエリ文字列に追加します。
  2. エージェント名が URL に追加されない場合は、認証情報コレクタと関連付けられた AgentName 設定パラメータで定義されたマッピングを使用します。
    AgentName パラメータの各マッピングは、コレクタを使用して自らのリソースを保護しているホストの名前と IP アドレスを指定します。
  3. エージェント名マッピングが設定されていない場合は、エージェント名として、ターゲット URL の完全修飾ホスト名を使用します。この動作は AgentNamesAreFQHostNames 設定パラメータを有効にすることにより決定されます。
    このパラメータは、デフォルトで無効になっています。その場合、認証情報コレクタはエージェント名として、DefaultAgentName パラメータの値を使用します。
混在環境で認証情報コレクタを設定する前に、前出の関係を考慮してください。
混在環境での FCC と NTC の使用
リクエストを処理する上で、FCC と NTC はユーザ認証情報、およびリクエストされたリソースを保護している Web エージェントの名前を必要とします。ただし、4.x エージェント、および FCC および NTC へのポストを行うサードパーティのエージェントは、自らが送信する URL の一部としてエージェント名を渡すことはありません。
FCC 互換モード
FCC と NTC を 4.x の Web エージェントと組み合わせて使用するには、FCC 互換モードを使用します。FCC/NTC の r5.x、r6.x、または現在のバージョンが 4.x エージェントまたはサードパーティ アプリケーションによって保護されているリソースのフォームに対応できるように、
FCCCompatMode
エージェント設定パラメータを有効にします(FCCCompatMode="Yes")。
注:
FCCCompatMode は以前のリリースでは 4xCompatMode という名前でした。4xCompatMode は、後方互換性のために引き続きサポートされます。
 
互換モードでは、エージェントは、4.x エージェントのように、フォームや NTLM 認証情報コレクションを処理できます。フォームまたは NTLM 認証情報 Cookie がブラウザに書き込まれ、ブラウザは、ログインする前に、エージェントに再度リダイレクトされます。この設定で、エージェントの相互運用が可能になります。
注:
FCC 互換モードを使用する場合、ユーザ認証情報は暗号化され、ブラウザに送信されます。ブラウザは次に、すぐにユーザを認証する代わりに、認証情報を Web エージェントに渡します。
 
従来の Web エージェントでは、FCCCompatMode パラメータはデフォルトで有効です。フレームワーク エージェントでは、FCCCompatMode パラメータはデフォルトで無効です。
FCCCompatMode パラメータの値が[No]に設定されている場合、4.x エージェントとの互換性は無効です。均一な製品環境では、このパラメータの値を[No]に設定してください。
  • エージェント名のマッピングを指定する - FCC のみ。下位互換性を無効にした場合は、AgentName パラメータを、FCC を使用してリソースを保護している各ホストの名前と IP にマップします。これらのマッピングは FCC の設定でセットアップします。
    マッピングの例:
    myagent, 123.1.12.1
    myagent、www.sitea.com
  • ホスト名をエージェント名として使用する - FCC のみ
    アルゴリズム内の最初の 2 つのオプションが適していない場合は、AgentNamesAreFQHostNames パラメータの値を Yes に設定することができます。この設定は、ターゲット URL の中にある完全修飾ホスト名をエージェント名として使用するよう FCC に指示します。たとえば、ターゲット URL 文字列に以下が含まれているとします。
    url?A=1&Target=http://www.nete.com/index.html
    文字列のうち、www.nete.com の部分がエージェント名として機能します。
    デフォルトでは、このパラメータは no に設定されています。その結果、DefaultAgentName パラメータの値がエージェント名として使用されます。
以下の表は、4.x FCC および NTC の r5.x、r6.x、または現在のバージョンの設定のガイドラインを示しています。この表では、混在環境でのそれぞれの動作についても説明します。以下の点に注意してください。
  • NTLM 認証情報コレクタは、IIS 以外の Web サーバから IIS Web サーバへユーザをリダイレクトすることができます。
  • フレームワーク Web エージェントに関しては、FCC 互換モードが無効になっている状態に関する説明のみを参照してください。
r5.x、r6.x、12.52、または現在のバージョンの FCC のガイドライン
Web エージェントが保護するレルムの設定
r5.x、r6.x、12.52、または現在のバージョンの FCC
(FCC 互換モード)
r5.x、r6.x、または
現在のバージョンの
FCC
(FCC 互換モード無効)
r5.x、r6.x、または 12.52
FCC は認証情報 Cookie を発行します。
「証明書
および
フォームによる認証」は無効です。
「証明書
または
フォームによる認証」は無効です。
FCC は、セッション Cookie を発行します。
「証明書
および
フォームの組み合わせによる認証」は機能します。
「証明書
または
フォームによる認証」は機能します。
4.x QMR 2/3/4 の FCC のガイドライン
Web エージェントが保護するレルムの設定
4.x QMR 2/3/4 の FCC
4.x QMR 5 または
4.x QMR 6
エージェントは認証情報 Cookie を発行します。
「証明書およびフォームによる認証」は無効です。
「証明書またはフォームによる認証」は機能します。
r5.x、r6.x、または 12.52
エージェントは認証情報 Cookie を発行します。
「証明書およびフォームによる認証」は無効です。
「証明書またはフォームによる認証」は機能します。
 
r5.x、r6.x、12.52、または現在のバージョンの NTC のガイドライン
Web エージェントが保護するレルムの設定
r5.x、r6.x、または
現在のバージョンの
NTC
(FCC 互換モード)
r5.x、r6.x、または
現在のバージョンの
NTC
(FCC 互換モード無効)
4.x QMR 5 または
4.x QMR 6
NTC は認証情報 Cookie を発行します。
NTC は、セッション Cookie を発行します。
r5.x、r6.x、または 12.52
NTC は認証情報 Cookie を発行します。
NTC は、セッション Cookie を発行します。
4.x QMR 2/3/4 の NTC のガイドライン
Web エージェントが保護するレルムの設定
4.x QMR 2/3/4 の NTC
4.x QMR 5、または 4.x QMR 6
エージェントは認証情報 Cookie を発行します。
r5.x、r6.x、または 12.52
エージェントは認証情報 Cookie を発行します。
混在環境での SCC の使用
4.x タイプの Web エージェントと r5.x、r6.x、または 12.52 の SCC の相互運用を可能にするには、以下のいずれかのタスクを実行します。
  • エージェント名のマッピングを指定する: AgentName パラメータを、SCC を使用してリソースを保護している各ホストの名前とその IP アドレスにマップします。SCC のエージェント設定パラメータでこれらのマッピングを作成します。
  • ホスト名をエージェント名として使用する: エージェント名のマッピングを指定しない場合は、AgentNamesAreFQHostNames パラメータを Yes に設定することができます。これは、ターゲット URL の中にある完全修飾ホスト名をエージェント名として使用するよう SCC に指示します。
    たとえば、次のような URL 文字列が発生したとします。
    url?A=1&Target=http://www.nete.com/index.html
    Target 文字列のうち、www.nete.com の部分がエージェント名として提供されます。
    デフォルトでは、このパラメータは no に設定されています。その結果、DefaultAgentName パラメータの値がエージェント名として使用されます。
以下の表に、混在環境で SCC として機能する 4.x のエージェントと r5.x、r6.x、または12.52 のエージェントがどのように動作するかを示します。
Web エージェントのバージョン
4.x QMR 2/3/4 の SCC
r5.x、r6.x、または
現在のバージョンの
SCC
4.x QMR 5、または 4.x QMR 6
エージェントは SSL 認証情報 Cookie を発行します。
ブラウザからサーバに対する元の接続が SSL 経由であっても、リクエストをリダイレクトしない限り、証明書を収集することはできません。
AgentName パラメータでマッピングを作成するか、AgentNamesAreFQHostNames を Yes に設定します。
SCC は、セッション Cookie を発行します。
ブラウザからサーバに対する元の接続が SSL 経由であっても、リクエストをリダイレクトしない限り、証明書を収集することはできません。
r5.x、r6.x、または 12.52
エージェントは SSL 認証情報 Cookie を発行します。
リクエストをリダイレクトすることなく、証明書を収集できます。
SCC は、セッション Cookie を発行します。
リクエストをリダイレクトすることなく、証明書を収集できます。