機密リソースに対する再認証の要求方法

目次
casso11jp
目次
2
Single Sign-On
 では、機密リソースを、ユーザがアクセスする前に常にユーザの再認証を要求するリソースとして定義します。オンライン バンキング Web サイトの送金セクションは、考えられる機密リソースの 1 つの例です。通常、一度ログインしたユーザは、送金のために再認証する必要はありません。
送金セクションを機密リソースとして定義することで、ユーザは送金セクションにアクセスする前に認証情報を提供する必要があります。
この機密リソースの保護は、ユーザがログアウトせずにシステムから離れた場合に、許可されていないユーザが送金するのを防ぎます。
機密リソースの保護は、許可されていないユーザが ID の確認を求められることなく、送金セクションにアクセスするのを防ぎます。
以下の図は、機密リソースに対する再認証の要求方法を示しています。
How to require reauthenitcation for sensitive resources
ポリシー管理者およびエージェント所有者による前提条件の確認
ポリシー管理者およびエージェント所有者は、連携して機密リソースの再認証を要求します。
このシナリオでは、以下のコンポーネントが環境に存在することを前提とします。
  • インストールされ、以下のコンポーネントと共に設定されているポリシー サーバ。
    • ユーザ ディレクトリ接続、レルム、ルール、およびポリシーが設定されているポリシー ドメイン。
    • .FCC 認証方式。
  • .FCC 認証方式用に設定されているエージェント。
  • 設定が完了し、動作しているセッション ストア。
  • FCCCompatMode パラメータを無効にします。
エージェント所有者のタスクは、以下のとおりです。
  • ポリシー管理者に機密リソースに対応する URL を提供します。ポリシー管理者は、機密リソースを保護するルールを作成します。
  • 機密リソースへのアクセスをリクエストしているユーザを再認証する .FCC ファイルを作成します。エージェント所有者は、この .FCC ファイルの名前をポリシー管理者に提供します。ポリシー管理者は、.FCC ファイルの名前を使用してレスポンスを作成します。このレスポンスは、ユーザが機密リソースをリクエストしたときに、再認証のためにユーザを新しい .FCC ファイルにリダイレクトします。
ポリシー管理者のタスクは、以下のとおりです。
  • 機密リソースを保護するためにコンポーネントを追加して、既存のポリシーを変更します。
  • ポリシー サーバを再起動します。
エージェント所有者による機密リソースのディレクティブを含む .FCC ファイルの作成
機密アプリケーションへのアクセスをリクエストするユーザを認証するには、追加の .FCC ファイルが必要です。1 つの .FCC ファイルが、ユーザの元のログインを処理します。2 つ目の .FCC ファイルが、機密リソースにアクセスする前に認証情報を求められた場合にユーザの認証情報を収集します。
以下の手順に従います。
  1. エージェントが機密リソースの操作を保護している Web サーバにログオンします。
  2. ログインに使用する .FCC ファイルを見つけます。.FCC ファイルは、以下のディレクトリにあります。
    web_agent_home/samples/forms
    web_agent_home
    Single Sign-On
    エージェントがインストールされているディレクトリを示します。
    デフォルト
    Single Sign-On
    Web エージェントの Windows 32 ビット インストールのみ): C:\Program Files\CA\webagent
    デフォルト
    (Windows 64 ビット インストール[IIS 用
    Single Sign-On
    Web エージェントのみ]): C:\Program Files\CA\webagent\win64
    デフォルト
    (64 ビット システムで実行中の Windows 32 ビット アプリケーション[Wow64 と IIS 用
    Single Sign-On
    Web エージェントの組み合わせの場合のみ]): C:\Program Files(x86)\webagent\win32
    デフォルト
    (UNIX/Linux インストール): [インストール パス変数を設定]/webagent
    ログイン フォームに使用する .FCC ファイルを複製します。一意のファイル名で複製ファイルを保存します。たとえば、login.fcc ファイルをログイン フォームに使用する場合は、複製ファイルの名前を sensitive_login.fcc に変更します。
  3. テキスト エディタを使用して、複製ファイルを開きます。
  4. 以下のセクションを見つけます。
    <!-- SiteMinder Encoding=ISO-8859-1; --> @username=%USER% @smretries=0
  5. (@ 記号から始まる最後の行の後に)以下の行を追加します。
    @validateuser=1
  6. ファイルを保存し、テキスト エディタを閉じます。
  7. ファイルの場所を記録し、ポリシー管理者に伝えます。
    機密リソースを保護する Web サーバごとに手順 1 ~ 8 を繰り返します。
    重要:
    各 Web サーバに同じファイル名と場所を使用します。
ポリシー管理者による管理 UI を使用したポリシー サーバ オブジェクトの変更
管理 UI を開いて、ポリシー サーバ上のオブジェクトを変更します。
以下の手順に従います。
  1. ブラウザで以下の URL を入力します。
    https://
    host_name
    :8443/iam/siteminder/adminui
    • host_name
      管理 UI ホスト システムの完全修飾名を指定します。
  2. [ユーザ名]フィールドに スーパーユーザ名を入力します。
  3. [パスワード]フィールドに、スーパーユーザ アカウントのパスワードを入力します。
    注:
    スーパーユーザ アカウントのパスワードにドル記号($)文字が含まれている場合は、ドル記号文字をすべて $DOLLAR$ で置き換えてください。たとえば、スーパーユーザ アカウント パスワードが $password の場合は、[パスワード]フィールドに
    「$DOLLAR$password」
    と入力します。
  4. 適切なサーバ名または IP アドレスが[サーバ]ドロップダウン リストに表示されていることを確認します。
  5. [ログイン]を選択します。
ポリシー管理者が FCCCompatMode パラメータを無効にする
エージェントは、旧バージョンの製品との下位互換性のため、FCCCompatMode 設定パラメータを使用します。新しいバージョンの製品(r12.5 など)については、特定の機能を使用する場合、セキュリティを向上させるためにこのパラメータを無効にする必要があります。
: この手順では、ポリシー サーバでエージェント設定オブジェクトを使用して、中央でエージェントを設定することを想定しています。代わりにローカル エージェント設定方式を使用する場合は、LocalConfig.conf ファイル内の FCCCompatMode パラメータを無効にします。
以下の手順に従います。
  1. 管理 UI から、[インフラストラクチャ]-[エージェント設定オブジェクト]をクリックします。
  2. 目的のエージェント設定オブジェクトの隣の編集アイコンをクリックします。
  3. FCCCompatMode パラメータを見つけます。
  4. 値が no に設定されていることを確認します。値が yes の場合は、以下の手順に進みます。
    1. パラメータの左側の[編集]アイコンをクリックします。
      [パラメータの編集]ダイアログ ボックスが表示されます。
    2. [値]フィールドを強調表示し、「no」と入力します。
    3. [OK]をクリックします。
      [パラメータの編集]ダイアログ ボックスが閉じます。
    4. [サブミット]をクリックします。
      FCCCompatMode パラメータが無効になり、確認メッセージが表示されます。
ポリシー管理者による機密リソースを保護するためのポリシーの変更
ポリシーの変更は、機密リソースを保護するためにポリシー管理者が行う最初の手順です。この変更で、ポリシーが保護するリソースの一部を機密と見なすよう指定します。
以下の手順に従います。
  1. 管理 UI から、[ポリシー]、[ドメイン]、[ドメイン]をクリックします。
  2. 機密リソースを含むドメインに対応する[編集]アイコンをクリックします。
  3. [ポリシー]タブをクリックします。
    [一般]タブが選択された状態で[ポリシーの変更]画面が表示されます。
  4. [ID の検証](Validate Identity)チェック ボックスをオンにします。
  5. [OK]をクリックします。
  6. [サブミット]をクリックします。
    確認メッセージが表示されます。
  7. ポリシーに GET/POST ルールを作成する次の手順に進みます。
ポリシー管理者による GET/POST ルールを使用した機密リソースの URL の保護
GET/POST ルールを使用して機密リソースの URL を保護することが、機密リソースの保護のためにポリシー管理者が行う次の手順です このルールで、ポリシーで保護されている URL を機密と見なすよう指定します。
以下の手順に従います。
  1. 管理 UI から、[ポリシー]、[ドメイン]、[ドメイン ポリシー]をクリックします。
  2. 機密リソースの URL を含むポリシーに対応する[編集]アイコンをクリックします。
  3. [ルール]タブをクリックします。
  4. [ルールの追加]をクリックします。
    [使用可能なルール]ダイアログ ボックスが表示されます。
  5. [作成]をクリックします。
  6. ルールを作成するレルムのオプション ボタンをクリックし、[次へ]をクリックします。
  7. 以下の手順に従い、GET/POST ルールを作成します。
    1. 名前およびの説明(オプション)を入力します。
    2. [リソース]フィールドをクリックし、機密リソースの URL を入力します。以下の例は、transfer_funds という名前の HTML ページを機密リソースとして定義します。
      transfer_funds.html
    3. Web エージェント アクションのオプションのボタンが選択されていることを確認します。
    4. [アクション]リストにある以下の項目をクリックします。
      • Get
      • Post
    5. (オプション)必要な時間制限を定義します。
  8. [完了]をクリックします。
    [使用可能なルール]ダイアログ ボックスが表示されます。新しい GET/POST ルールがリストに表示されます。
  9. [OK]をクリックします。
  10. [サブミット]をクリックします。
    ルールがポリシーに追加され、確認メッセージが表示されます。
  11. ポリシーに OnValidateReject ルールを作成する次の手順に進みます。
ポリシー管理者による機密リソースの OnAccessValidateIdentity ルールの作成
ポリシーに OnAccessValidateIdentity ルールを作成することが、機密リソースの保護のためにポリシー管理者が行う次の手順です。このルールは、セッションを開始したユーザの現在の認証情報を拒否します。この拒否により、ユーザは機密リソースにアクセスする前に再認証を強制されます。
以下の手順に従います。
  1. 管理 UI から、[ポリシー]、[ドメイン]、[ドメイン ポリシー]をクリックします。
  2. 機密リソースの URL を含むポリシーに対応する[編集]アイコンをクリックします。
  3. [ルール]タブをクリックします。
  4. [ルールの追加]をクリックします。
    [使用可能なルール]ダイアログ ボックスが表示されます。
  5. [作成]をクリックします。
  6. ルールを作成するレルムのオプション ボタンをクリックし、[次へ]をクリックします。
  7. 以下の手順に従い、OnAccessValidateIdentity ルールを作成します。
    1. 名前およびの説明(オプション)を入力します。
    2. [リソース]フィールドをクリックし、機密リソースの URL を入力します。以下の例は、transfer_funds という名前の HTML ページを機密リソースとして定義します。
      transfer_funds.html
    3. [許可イベント]オプション ボタンをクリックします。
    4. [アクション]リストにある以下の項目をクリックします。
      OnAccessValidateIdentity
    5. (オプション)必要な時間制限を定義します。
  8. [完了]をクリックします。
    [使用可能なルール]ダイアログ ボックスが表示されます。新しい OnAccessValidateIdentity ルールがリストに表示されます。
  9. [OK]をクリックします。
  10. [サブミット]をクリックします。
    ルールがポリシーに追加され、確認メッセージが表示されます。
  11. .FCC ファイルに対するリダイレクト レスポンスを作成する次の手順に進みます。
ポリシー管理者による .FCC ファイルにリダイレクトするレスポンスの作成
レスポンスを作成することが、機密リソースに対する再認証を要求するためにポリシー管理者が行う次の手順です。OnAccessValidateIdentity ルールは、ユーザが最初に提供した認証情報を拒否します。レスポンスにより、ユーザは新しい FCC フォームにリダイレクトされます。機密リソースをリクエストするユーザは、新しい FCC フォームを使用して再認証されます。
以下の手順に従います。
  1. 管理 UI から、[ポリシー]、[ドメイン]、[ドメイン ポリシー]をクリックします。
  2. 機密リソースの URL を含むポリシーに対応する[編集]アイコンをクリックします。
  3. [ルール]タブをクリックします。
  4. OnAccessValidateIdentity ルールを見つけて、その横にある[レスポンスの追加]ボタンをクリックします。
  5. [作成]をクリックします。
    [レスポンスの作成]画面が表示されます。
  6. 以下の手順に従い、レスポンスを作成します。
    1. 名前および説明(オプション)を入力します。
    2. 以下の項目が表示されることを確認します。
      • CA Single Sign-on
         オプション ボタンが選択されていること。
      • Web エージェントが[エージェント タイプ]ドロップダウン リストに表示されていること。
    3. [レスポンス属性の作成]をクリックします。
    4. [属性]ドロップダウン リストをクリックし、以下の項目を選択します。
      • WebAgent-OnValidate-Redirect
    5. [変数値]フィールドをクリックし、機密リソースのディレクティブを含む .FCC ファイルの URI を入力します。エージェント所有者からこの URI を取得します。以下の例は、ファイル名 sensitive_login.fcc の URI を示しています。
      /samples/forms/sensitive_login.fcc
    6. [OK]をクリックします。
    リストの手順 6c のレスポンス属性を含む[レスポンスの作成]画面が表示されます。
  7. [OK]をクリックします。
  8. [サブミット]をクリックします。
    レスポンスおよびレスポンス属性がルールに追加され、確認メッセージが表示されます。
  9. ポリシー サーバを再起動する次の手順に進みます。
ポリシー管理者によるポリシー サーバの再起動
特定の設定を有効にするために、ポリシー サーバを再起動します。
以下の手順に従います。
  1. ポリシー サーバ管理コンソールを開きます。
  2. [ステータス]タブをクリックし、[ポリシー サーバ]グループ ボックスで[停止]をクリックします。
    赤色の信号アイコンが表示されて、ポリシー サーバが停止します。
  3. [開始]をクリックします。
    緑色の信号アイコンが表示されて、ポリシー サーバが起動します。
    注:
    UNIX では、ポリシー サーバを再起動する stop-ps および start-ps コマンドを実行します。ポリシー サーバと CA Risk Authentication を再起動するには、stop-all および start-all コマンドを実行します。