レスポンスの設定

目次
casso11jp
目次
2
エージェント タイプおよび属性リストを指定してレスポンスを作成できます。レスポンスには指定された属性が含まれ、指定されたエージェントに送信されます。
以下の手順に従います。
  1. [ポリシー]-[ドメイン]-[レスポンス]をクリックします。
  2. [レスポンスの作成]をクリックします。
  3. ドメインを選択し、[次へ]をクリックします。
  4. レスポンスの名前および説明を入力します。
  5. RADIUS または
    Single Sign-On
    およびエージェント タイプを選択します。
  6. (オプション)[レスポンス属性の作成]をクリックしてレスポンス属性を作成し、属性リストに追加します。
  7. [完了]をクリックします。
    レスポンスが作成されます。
レスポンス属性の設定
各レスポンスには、1 つ以上のレスポンス属性を含めることができます。レスポンス属性によって、ポリシー サーバからエージェントに渡される情報が識別されます。各エージェント タイプでは異なるレスポンス属性を設定できます。
レスポンス属性のタイプ
Single Sign-On
は、さまざまなタイプのレスポンス属性をサポートしています。レスポンス属性のタイプは、
Single Sign-On
がどのように属性に対して適切なコンテンツを提供するかを決定します。
レスポンス属性をレスポンスに追加する場合は、以下のレスポンス属性のタイプを指定できます。
  • スタティック
    一定で変化しないデータを返します。
    レスポンスの一部として文字列を返す場合は、スタティック属性を使用します。このタイプのレスポンスを使用して、Web アプリケーションに情報を提供できます。たとえば、ユーザ グループが Web サイト上に特定のカスタマイズされたコンテンツを持っている場合は、show_button = yes というスタティックなレスポンス属性がアプリケーションに渡されます。
  • ユーザ属性
    ユーザ ディレクトリのユーザ エントリからプロファイル情報を返します。
    ユーザ属性は、LDAP、Windows NT、Microsoft SQL Server、Oracle の各ユーザディレクトリから取得できます。
    注:
    ポリシー サーバがユーザ ディレクトリ属性の値をレスポンス属性として返すには、[ユーザ ディレクトリ]ペインでユーザ ディレクトリを設定します。
  • DN 属性
    LDAP、Microsoft SQL Server、または Oracle ユーザ ディレクトリのディレクトリ オブジェクトからプロファイル情報を返します。
    ユーザ DN の一部であるユーザ グループおよび組織単位(OU)は、DN 属性として扱うことのできるディレクトリ オブジェクト属性の例です。
    たとえば、DN 属性を使用すると、ユーザのメンバシップに基づいて、ユーザの部署を返すことができます。
    注:
    ポリシー サーバが DN 属性の値をレスポンス属性として返すように設定するには、[ユーザ ディレクトリ]ペインでユーザ ディレクトリを定義します。
  • アクティブ レスポンス
    Single Sign-On
    の許可 API に基づいた、顧客提供ライブラリから値を返します。
    アクティブ レスポンスは、外部ソースから情報を返す場合に使用します。ポリシー サーバを使ってユーザ作成の共有ライブラリの関数を呼び出すと、アクティブ レスポンスが生成されます。この共有ライブラリは、許可 API (別売のソフトウェア開発キットに付属)に準拠します。
    : 戻り値が有効であることを確認します。レスポンス属性を設定する際、レスポンス属性の正しい値タイプが[レスポンス属性]ペインに表示されます。
  • 変数定義
    指定された変数の値をランタイムに返します。
    定義済み変数のリストから変数を選択して使用するには、[変数定義]を選択します。
  • セッション変数
    セッション変数の値を返します。
    レスポンスが認証リクエストの一部であるとき、
    Single Sign-On
    はセッション ストア、またはメモリから値を取得します。
  • 管理者は式を提供することができます。
    たとえば、証明書発行者 DN 属性から特定の文字列を抽出し、新しいセッション変数として格納するために管理者は[レスポンス属性]を設定できます。
Web エージェント レスポンス属性の設定
[レスポンス]ペインの[属性]グループ ボックスで
Single Sign-On
および Web エージェントを選択して、Web エージェントのレスポンス属性を作成できます。Web エージェント レスポンス属性は、HTTP ヘッダ変数、cookie 変数、他のリソースへのリダイレクト、テキスト、タイムアウト値をサポートしています。
casso11jp
以下の手順に従います。
  1. [レスポンス属性の作成]をクリックします。
  2. レスポンス属性を選択します。
  3. 属性タイプを選択します。
    [属性フィールド]の詳細は、指定した属性タイプと一致するように更新されます。
  4. [属性フィールド]の詳細を入力します。
    注:
    レスポンスで使用できる自動的に生成された
    Single Sign-On
    ユーザ属性の一覧については、「CA Single Sign-On が生成するユーザ属性」を参照してください。
  5. (オプション)[スクリプト]フィールドで属性を編集します。
    注:
    [詳細]セクションで属性を編集すると、[属性のセットアップ]セクションが閉じます。
  6. [キャッシュ値]または[値の再計算間隔](秒)を 指定します。
    注:
    入力できる最大時間制限は 3600 秒です。
  7. [サブミット]をクリックします。
    レスポンス属性の作成タスクが、処理のためにサブミットされて、[レスポンス]ページの[属性リスト]にレスポンス属性が追加されます。
RADIUS レスポンス属性の設定
[レスポンス]ウィンドウの[属性]グループ ボックスで RADIUS およびエージェントを選択して、RADIUS ベンダーのレスポンス属性を作成できます。RADIUS レスポンス属性は、RADIUS プロトコルによってサポートされる任意の属性をサポートします。
casso11jp
以下の手順に従います。
  1. [レスポンス属性の作成]をクリックします。
  2. レスポンス属性を選択します。
  3. 属性タイプを選択します。
    [属性フィールド]の詳細は、指定した属性タイプと一致するように更新されます。
  4. [属性フィールド]の詳細を入力します。
    注:
    レスポンスで使用できる自動的に生成された
    Single Sign-On
    ユーザ属性の一覧については、「CA Single Sign-On が生成するユーザ属性」を参照してください。
  5. (オプション)[スクリプト]フィールドで属性を編集します。
    注:
    [詳細]セクションで属性を編集すると、[属性のセットアップ]セクションが閉じます。
  6. [キャッシュ値]または[値の再計算間隔](秒)を 指定します。
    注:
    入力できる最大時間制限は 3600 秒です。
  7. [サブミット]をクリックします。
    レスポンス属性の作成タスクが、処理のためにサブミットされて、[レスポンス]ページの[属性リスト]にレスポンス属性が追加されます。
空の値を持つレスポンス変数の送信
変数値が空の場合でも、ポリシー サーバでレスポンス属性の変数名を送信できるようになりました。空の値を持つレスポンス変数の送信を許可するには、以下の XPSConfig パラメータを設定します。
AllowSendingRespVarsWithEmptyVal
ポリシー サーバで空の値を持つレスポンス変数の送信を許可するかどうかを指定します。
値:
True、False
デフォルト
: False
以下の手順に従います。
  1. XPSConfig を実行します。
  2. 製品として SM を選択します。
  3. 以下のパラメータに移動します。
    AllowSendingRespVarsWithEmptyVal
  4. 値を変更するために、「C」を入力します。
  5. 「Q」を入力してツールを終了し、変更を保存します。
  6. ポリシー サーバを再起動して、変更を有効にします。
レスポンスにおける変数オブジェクトの使用
レスポンス属性に変数オブジェクトを組み込むことにより、変数オブジェクトを含むレスポンスを作成できます。変数オブジェクトをレスポンス属性に使用すると、要求の許可時に評価される動的な情報を含めることができます。
注:
レスポンスに含まれている変数オブジェクトは、要求の許可時にのみ評価され、認証プロセスでは評価されません。変数が含まれるレスポンスは、許可イベントにのみ適用できます。
レスポンスにはレスポンス属性をいくつでも含めることができます。各レスポンス属性には、変数オブジェクトが 1 つずつ含まれています。HTTP ヘッダおよび Cookie 変数と同様に、変数オブジェクトは名前と値の組み合わせです。ただし、変数オブジェクトは HTTP ヘッダおよび Cookie 変数とは異なり、実行時に変数オブジェクトの値を調べるには変数オブジェクト名が使用されます。その後、レスポンス属性の場合は、その結果の名前と値の組み合わせを HTTP ヘッダまたは Cookie 変数で返すことができます。
変数を含むレスポンス属性の設定
1 つのレスポンスには、1 つ以上のレスポンス属性値を含めることができます。この値は、変数オブジェクトによって決まります。各レスポンス属性には、変数オブジェクトが 1 つずつ含まれています。各変数オブジェクトは、名前と値のペアです。変数オブジェクトの名前は、実行時に変数オブジェクトの値を調べるのに使用します。
Single Sign-On
は、その結果の名前と値のペアを Web エージェントに渡します。
以下の手順に従います。
  1. 「レスポンスの設定」の説明に従って、レスポンスを作成します。
  2. CA Single Sign-on
    および Web エージェントを[属性]セクションの[エージェント タイプ]に選択します。
  3. [属性リスト]セクションの[レスポンス属性の作成]をクリックします。
  4. [属性タイプ]セクションのドロップダウン リストからレスポンス属性を選択します。
  5. [属性の種類]セクションでレスポンス属性のタイプを選択します。
  6. [属性フィールド]セクションの[変数名]フィールドに変数オブジェクトの名前を入力します。
    注:
    このフィールドが必須の場合、
    Single Sign-On
    はこの名前を名前と値のペアの形式で Web エージェントに渡します。
  7. 選択したレスポンス属性タイプについて、[属性フィールド]グループ セクションで以下のフィールドに入力します。
    • スタティック
      [変数値]フィールド、でスタティック変数の値を指定します。
    • ユーザ属性
      [属性名]フィールドで、ユーザ属性の名前を指定します。
    • DN 属性
      [DN 仕様]フィールドでユーザまたはユーザ グループの DN を、[属性名]フィールドでユーザ属性の名前を指定します。
      (オプション)[検索]をクリックして、特定のユーザ ディレクトリ内のユーザまたはユーザ グループのセットを検索および選択します。
      (オプション)[ネストされたグループの許可]チェック ボックスを選択します。
    • アクティブ レスポンス
      ライブラリの名前、ライブラリ関数の名前を指定します。オプションで、[ライブラリ名]、[関数名]および[パラメータ]フィールドでパラメータの名前を指定します。
      注:
      ユーザのライブラリは
      Single Sign-On
      Authorization API に基づいている必要があります。
    • 変数定義
      [検索]をクリックして、[変数]フィールドに入力する既存の変数オブジェクトを選択します。
    • セッション変数
      管理者が値を取得できるセッション変数の名前を指定します。
    • 属性から値を抽出し、新しいセッション変数としてそれを格納する式を指定します。
    注:
    Single Sign-On
    は、[属性フィールド]セクションのフィールドに入力した情報を使用して、Web エージェントに名前と値のペアの形式で渡す値を決定します。
  8. [OK]をクリックします。
    レスポンス属性が保存されます。
レスポンス属性に含めるユーザの選択
[ユーザの検索]ペインでは、ユーザ ディレクトリを 1 つ選択し、そのディレクトリのユーザとユーザ グループのリストを検索して、レスポンス属性に含める一連のユーザ、またはユーザ グループを選択できます。
以下の手順に従います。
  1. [属性のセットアップ]グループ ボックスの[属性の種類]で[DN 属性]を選択します。
    [属性フィールド]グループ ボックスが拡張され、[DN 仕様]フィールドが表示されます。
  2. [属性フィールド]グループ ボックスの[検索]をクリックします。
  3. リストから 1 つのユーザ ディレクトリの名前を選択し、[検索]をクリックします。
  4. (オプション)[検索タイプ]を選択し、[実行]をクリックします。
    • 属性/値
      [ユーザ/グループ]ダイアログのフィールドで属性名と値を指定します。
    • [ユーザ/グループ]ダイアログの[式]フィールドで検索式を指定します。
    : [リセット]をクリックすると、検索結果をクリアできます。
  5. リストから一連のユーザ、またはユーザ グループを選択し、[OK]をクリックします。
  6. [OK]をクリックします。
    [レスポンス属性]ペインが再度表示され、選択した一連のユーザ、またはユーザ グループが[属性フィールド]グループ ボックスの[DN 仕様]フィールドに追加されます。
変数の検索の使用による変数の選択
[変数の選択]ウィンドウにより、既存の変数オブジェクトのリストから変数オブジェクトを 1 つ選択できます。
以下の手順に従います。
  1. [属性のセットアップ]グループ ボックスで、[属性の種類]として[変数定義]を選択します。
  2. [属性フィールド]グループ ボックスの[検索]をクリックします。
  3. リストから変数オブジェクトを 1 つ選択し、[OK]をクリックします。
    [レスポンス属性の作成]ウィンドウがもう一度開いて、[属性フィールド]グループ ボックスの[変数]フィールドに変数オブジェクトの名前が表示されます。
レスポンス属性キャッシングの設定
レスポンスは、リクエストを行ったエージェントに値を返します。エージェントに返されるデータは固定値であったり、時間とともに変化したりします。エージェントを使用してリソースを保護すると、エージェントは固定データの値をキャッシュに保存できるので、関連するポリシーが適用されるたびに値を計算し直す必要がありません。
たとえば、顧客の口座番号は固定値ですが、顧客の残高は取引のたびに変化します。口座番号を一度取得したら、キャッシュに保存しておくと効率的です。ただし、残高の場合は、定期的に再計算して情報が最新であることを確認する必要があります。
注:
Single Sign-On
は、RADIUS レスポンス属性をキャッシュに保存しません。
以下の手順に従います。
  1. レスポンスを開きます。
    関連するレスポンス属性が、[属性リスト]グループ ボックスに表示されます。
  2. 希望するレスポンス属性の左側の編集アイコンをクリックします。
  3. [属性キャッシング]グループ ボックスでキャッシュ設定を指定します。
  4. [サブミット]をクリックします。
    キャッシュ設定が保存されます。
レスポンスの編集
レスポンスのプロパティは、エージェント タイプを除き、すべて変更できます。エージェント タイプを変更する場合は、レスポンスを削除して、新しいレスポンスを作成します。
casso11jp
: ポリシー サーバ オブジェクトの変更および削除の詳細については、「ポリシー サーバ オブジェクトの管理」を参照してください。
レスポンスの削除
レスポンスを削除すると、関連付けられたすべてのポリシーからのレスポンスを削除します。
削除されたオブジェクトがすべてキャッシュからクリアされるまで、少々時間がかかる場合があります。
casso11jp
: ポリシー サーバ オブジェクトの変更および削除の詳細については、「ポリシー サーバ オブジェクトの管理」を参照してください。