CA Single Sign-On による管理 UI の保護
で管理 UI を保護するには、管理認証を設定します。管理認証では、外部管理者ストアを使用して、管理者のアイデンティティを確認します。 で UI を保護するには、以下のタスクを完了します。
casso11jp
Single Sign-On
で管理 UI を保護するには、管理認証を設定します。管理認証では、外部管理者ストアを使用して、管理者のアイデンティティを確認します。Single Sign-On
で UI を保護するには、以下のタスクを完了します。2
リクエストを UI に送信するためのプロキシ サーバのセットアップ
管理 UI にアクセスするために、以下のプロキシ サーバのいずれかを設定します。
- CA Access Gateway
- Apache Web エージェントによって保護される Apache リバース プロキシ サーバ
以下の図は、管理 UI によって、サーバにリクエストを転送するプロキシ サーバを示しています。必須ではありませんが、プロキシ サーバと同じシステム上に管理 UI を配置できます。

リクエストを UI にプロキシするための
CA Access Gateway
の設定管理 UI にリクエストを転送するように
CA Access Gateway
を構成するには、以下の手順を実行します。注:
CA Access Gateway
には Web エージェントが組み込まれているため、Web エージェントは必要ありません。以下のタスクが完了していることを確認します。
- 管理 UI とポリシー サーバ、ポリシー ストア、および管理 UI がインストールされ、動作している。CA Access Gatewayのソフトウェア バージョンは同じである必要があります。
- CA Access Gatewayがインストールされており、ポリシー サーバに接続されている。
- (オプション) SSL に対して設定されている管理 UI を保護するには、CA Access Gatewayがインストールされているホスト上で SSL を設定します。
以下の手順に従います。
- リクエストが UI に転送されるように、以下のプロキシ ルールでProxy Rules.xmlファイルを更新します。このファイルは、ディレクトリaccess_gateway_install_location\proxy-engine\conf 内にあります。<!-- Proxy Rules--><nete:proxyrules xmlns:nete="http://<Administrative UI hostname:port>/"> <nete:cond criteria="beginswith" type="uri"><nete:case value="/iam/siteminder/"><nete:forward>http(s)://<Administrative UIhostname:port>$0</nete:forward></nete:case><nete:case value="/castylesr5.1.1/"><nete:forward>http(s):// <Administrative UIhostname:port>$0</nete:forward></nete:case><nete:default><nete:forward>http://www.example.com$0</nete:forward></nete:default></nete:cond></nete:proxyrules>
- 以下のパラメータで、server.confファイルの[Default Virtual Host]セクションを更新します。このファイルは、ディレクトリaccess_gateway_install_location\proxy-engine\conf 内にあります。enableredirectrewrite=yesredirectrewritablehostnames=adminui_serveradminui_serverは、管理 UI が実行されているシステムのホスト名を指定します。
- エージェント設定オブジェクト(ACO)で、以下の例に示すように、LogOffUriパラメータの値を SiteMinderLogout.jsp に設定します。text/iam/siteminder/SiteMinderLogout.jsp
- (オプション)管理 UI が SSL ポート上で実行されている場合は、その管理 UI をホストしているサーバの自己署名証明書をダウンロードします。自己署名証明書をCA Access Gateway認証機関ファイルに配置します。このファイルは、ディレクトリaccess_gateway_install_location/SSL/certs にあります。
- CA Access Gatewayを再起動します。
- 「管理認証の有効化」に進んでください。
UI へリクエストをプロキシするための Apache リバース プロキシ サーバの設定
Apache リバース プロキシ サーバが管理 UI にリクエストを転送できるようにするには、以下の手順を実行します。
ヒント:
保護する管理 UI が複数ある場合、各インスタンスを個別のリバース プロキシ サーバで保護します。以下の手順に従います。
- Apache Web Server をリバース プロキシ サーバとして設定します。手順については、Apache Web Server のドキュメントを参照してください。リバース プロキシ サーバのルールを設定する場合は、UI の URL が管理 UI を登録したときに指定したものと同じであるようにします。例:管理 UI が以下の URL で登録された場合は、プロキシ サーバ ルールで同じ URL を指定します。http://host_name:8080/iam/siteminder/adminui
- Web エージェントを同じ Apache Web Server にインストールし、設定します。
- エージェント設定オブジェクト(ACO)で、以下の例に示すように、LogOffUriパラメータの値を SiteMinderLogout.jsp に設定します。text/iam/siteminder/SiteMinderLogout.jsp
- 次のセクションの説明に従って、管理認証を有効にします。
管理認証の有効化
Single Sign-On
で管理 UI を保護するには、管理 UI で管理認証ウィザードを実行し、管理認証を有効にします。このウィザードで、外部管理者ストアを設定できます。さらにウィザードでは、管理 UI を保護するエージェントとして、CA Access Gateway
または Apache Web エージェントを指定することもできます。以下の手順に従います。
- 「外部管理者ストアの設定」に記載された前提条件を完了していることを確認します。
- CA Access Gatewayまたは Apache リバース プロキシを介して管理 UI にアクセスします。例:http://hostname:port/iam/siteminder/adminuiは、hostnameCA Access Gatewayまたは、Apache サーバがインストールされている Web サーバの名前を指定します。は製品が動作しているポートを指定します。port
- デフォルトの UI 認証情報を使用して、管理 UI にログインします。
- [管理]-[管理 UI]-[管理認証の設定]を選択します。ウィザードが開始します。
- Web エージェントとして Apache リバース プロキシ サーバを保護するCA Access Gatewayまたはエージェントを選択します。
- ウィザードを完了します。ウィザードは、対応するレルムとルールで、「SiteMinderDomain」という名前のドメインを作成します。デフォルトで、新規ドメインは、デフォルトのログイン ページの代わりに基本認証方式を使用して管理 UI を保護します。外部の管理サーバに UI をインストールした場合、サーバは自動的に再起動して、Single Sign-On認証を適用します。スタンドアロン UI (組み込み JBOSS サーバで) をインストールした場合は、新しいスーパー ユーザ認証情報でログインする前に手動でサーバを再起動します。
Single Sign-On
が管理 UI を保護するようになりました。UI にアクセスし、新しいスーパー ユーザのユーザ名とパスワードで ログインします。このユーザは、外部管理者ストアへの接続の設定時に指定したものです。管理 UI のホーム ページが正常に表示されます。アドレス バー内の URL は変わらず、プロキシ サーバの URL が表示されます。
(オプション) UI の保護に使用される認証方式の変更
管理認証を設定すると、その結果の
SiteMinderDomain
は基本認証を使用して管理 UI を保護します。基本認証の代わりに、HTML フォームまたは別に認証を選択できます。(オプション) UI を保護する HTML フォーム認証の設定
ログイン ページを使用してユーザ認証情報の入力を求めるには、基本認証方式ではなく、HTML フォーム認証方式を選択します。
以下の手順に従います。
- adminuiフォルダを次の場所からAdministrative_UI_install_location/siteminder/webagent-resources次の場所にコピーします。Access_Gateway_install_location/proxy-engine/examples/siteminderagent
- HTML フォーム認証方式を作成します。
- [スキーム セットアップ]セクションの[ターゲット]フィールドに、以前にコピーした adminui フォルダ内の .fcc ファイルの場所を指定します。例:/siteminderagent/adminui/signin.fcc
- 新しく作成された HTML フォーム認証方式をSiteMinderDomainドメインに追加します。
- キャッシュをリフレッシュします。
- 以下のように URL を使用して、管理 UI にアクセスします。http://hostname.example.com:port/iam/siteminder/adminui
- 権限のあるユーザのユーザ名とパスワードを入力します。
管理 UI のホーム ページが表示されます。アドレス バー内の URL は、プロキシ サーバの URL です。
(オプション) UI を保護するためのその他の認証方式の設定
デフォルトの基本認証方式の代わりとして、SAML および WS-Fed 認証を除き、
Single Sign-On
でサポートされている任意の認証方式に変更できます。以下の手順に従います。
- [ポリシー]-[ドメイン]をクリックします。
- [レルム]をクリックします。
- siteminder_ims_realmという名前のレルムを検索し、名前をクリックして開きます。このレルムはSiteMinderDomainドメインに関連付けられています。
- [変更]をクリックして設定を有効にします。
- [認証方式]リストから認証方式を選択します。
- 必要に応じてさらに設定を入力します。
- [サブミット]をクリックします。
管理 UI は選択された認証方式を使用して保護されます。
管理認証の無効化
Single Sign-On
で管理 UI を保護する必要がなくなった場合は、管理認証を無効にします。以下の手順に従います。
- 管理 UI にログインします。
- [管理認証]ウィザードを実行して、Single Sign-On認証を使用して管理 UI を保護する必要がなくなったことを指定します。注:外部管理者ストアの使用を続行する場合は、既存のディレクトリ サーバまたはデータベース接続情報を残します。
- 管理 UI ホスト システムにログインします。
- 管理 UI データ ディレクトリを削除します。スタンドアロン UI のインストールのデータ ディレクトリは次のとおりです。install_dir/adminui/server/default/data
- ポリシー サーバのホスト システムにログインし、XPSRegClient ユーティリティを使用して管理 UI の登録ウィンドウをリセットします。
- 管理 UI をポリシー サーバに登録します。