Web アプリケーション クライアントへの CA Single Sign-On 動作の適用

目次
casso11jp
目次
2
一部の Web アプリケーションでは、リソースをリクエストし、コンテンツを表示するために Web ブラウザのコンテキストで実行するスクリプト エンジンを使用します。標準的な Web ブラウザが送信するリクエストと同様に、スクリプト エンジンから送信されたリクエストは、HTTP リダイレクトやチャレンジなど、エージェントで生成された動作をトリガできます。
Web アプリケーションに適切に統合されていないと、この動作により Web アプリケーション クライアントが不確定状態になる可能性があります。
Web アプリケーション クライアント レスポンス(WebAppClientResponse) ACO パラメータを使用して、以下の操作を実行できます。
  • Web ブラウザのコンテキストで実行しているスクリプト エンジンから送信されたリクエストを識別するように
    Single Sign-On
    を設定する。
  • チャレンジなど
    Single Sign-On
    で生成された動作を、Web アプリケーション クライアントの機能と統合するためにカスタマイズしたレスポンスを使用する。
セッション管理機能(アイドル タイムアウトまたはセッション タイムアウトなど)を統合するために WebAppClientResponse パラメータを使用している場合は、OverLookSessionFor ACO パラメータも設定します。OverLookSessionFor パラメータは Web アプリケーション クライアント リクエストによってユーザ セッションが無限にアクティブにならないようにしますが、WebAppClientResponse パラメータでは、セッション タイムアウト後にユーザをリダイレクトするための必須機能を統合できます。
Web アプリケーション クライアント レスポンスの導入
WebAppClientResponse ACO パラメータを使用して、
Single Sign-On
のセキュリティを維持しながら、Web アプリケーション クライアントの機能を実装します。
パラメータは以下のデフォルト属性で構成されます。
Resource=|Method=|Status=|Body=|Content-Type=|Charset=
以下の点を考慮してください。
  • この ACO パラメータは、有効な値を持つ 1 つ以上の属性を必要とします。
  • 追加の属性はすべてオプションです。
  • 複数の Web アプリケーションからのリクエストを識別する必要がある場合、単一の ACO パラメータには属性ごとに複数の値を含めることができます。
  • Web アプリケーション クライアント レスポンス機能は、基本認証方式では動作しません。
例: WebAppClientResponse ACO パラメータ
この例では、各属性に対して有効な値を持つパラメータを示します。例の後に各属性の説明が示されます。
WebAppClientResponse:Resource=/web20/dir/*|Method=GET,POST|Status=200 |Body=C:\location\custombody_1.txt|Content-Type=application/xml|Charset=us-ascii
  • Resource
    Web アプリケーション クライアントがリクエストを行う URI を指定します。リクエストの URI がこの値に一致する場合、
    Single Sign-On
    は Web アプリケーション クライアントから送信されたリクエストを識別します。リソースには、プレフィックスとサフィックスをマッチングするためにワイルドカード(*)を含めることができます。
    デフォルト:
    値なし。この値を省略した場合、Web エージェントが保護しているすべてのリソースがパラメータに適用されます。
    値:
    正規表現はサポートされていません。
    : Resource=/web20/dir/*
    : Resource=/web20/dir/*.xml
  • Method
    Web アプリケーション クライアントがリクエストを行うための HTTP メソッドを指定します。リクエストの HTTP メソッドがこの値に一致する場合、
    Single Sign-On
    は Web アプリケーション クライアントから送信されたリクエストを識別します。
    デフォルト:
    値なし。この値を省略した場合、パラメータは HTTP メソッドをすべて適用します。
    複数のメソッドは、カンマ(,)で区切ります。
    : GET, POST
  • Status
    Single Sign-On
    が Web アプリケーション クライアント リクエストに送り返す必要がある HTTP ステータスを指定します。
    デフォルト:
    値なし。この値を省略した場合、200 の HTTP ステータスがパラメータに適用されます。
  • Body
    Web アプリケーション クライアント リクエストに対するレスポンスとして機能するカスタム本文が含まれるファイルの完全修飾名を指定します。このファイルは Web エージェント ホスト システム上に存在し、以下のように指定できます。
    • テキスト ベースか、バイナリ データを含む。
    • アプリケーションの所有者が設計した任意のカスタム本文を含める。
    • 理由およびリダイレクト URL を転送するために使用できるカスタム本文を含める。
    デフォルト:
    値なし。この値を省略した場合、
    Single Sign-On
    は本文なしで Web アプリケーション クライアントに対するレスポンスを転送します。
  • Content-Type
    レスポンスが含まれるファイルに存在するデータの MIME 形式を指定します。
    デフォルト:
    値なし。この値を省略した場合、テキスト/プレーンの MIME タイプがパラメータに適用されます。
    カスタム本文に
    Single Sign-On
    によって生成されたレスポンスが含まれる場合、データのコンテンツ タイプは以下のいずれかのタイプである必要があります。
    • text/*
    • application/xml
    • application/*+xml
  • Charset
    本文ファイルに存在するデータの文字セットを指定します。
    デフォルト
    : 値なし。この値を省略した場合、パラメータは us–ascii の文字セット タイプを適用します。
Cookie プロバイダと Web アプリケーション クライアント レスポンス
WebAppClientResponse パラメータを設定するときに以下の点を考慮してください。
  • Web 2.0 リソースにアクセスする場合、
    Single Sign-On
    は Cookie プロバイダ上でセッション Cookie を更新しません。
  • .html、.jsp、.asp、.cgi などの Web 2.0 以外のリソースにアクセスする場合、
    Single Sign-On
    は Cookie プロバイダ上のセッション Cookie を通常どおりに更新します。
Web アプリケーションへの Web アプリケーション クライアント レスポンスの適用方法
Web アプリケーションと共に Web アプリケーション クライアント レスポンスを適用すると、
Single Sign-On
セキュリティを維持しながら Web アプリケーション クライアントの機能を実装できます。以下の手順を完全に実行して、Web アプリケーション クライアント レスポンスを適用します。
  1. Web アプリケーション クライアント レスポンス(WebAppClientResponse) ACO パラメータを設定します。
  2. カスタム レスポンスを設定します。
  3. カスタム レスポンスを処理するように Web アプリケーションを設定します。
Web アプリケーション クライアント レスポンスの設定
Web アプリケーション クライアント レスポンスを設定して、Web アプリケーション クライアントの機能を実装します。
以下の手順に従います。
  1. 以下のタスクのいずれかを実行します。
    • 管理 UI で[エージェント設定オブジェクト](ACO)を開き、WebAppClientResponse のコメントを解除します。
    • ローカル エージェント設定ファイルを開き、WebAppClientResponse のコメントを解除します。
  2. 以下の 1 つ以上のデフォルト属性の値を入力します。
    注: ACO パラメータは、1 つ以上の属性で有効な値を必要とします。追加の属性はすべてオプションです。複数の Web アプリケーションからのリクエストを識別する場合、単一の ACO パラメータには属性ごとに複数の値を含めることができます。
    • Resource
    • Method
    • ステータス
    • Body
    • Content-Type
    • Charset
  3. 以下のタスクのいずれかを実行します。
    • 管理 UI で ACO を保存します。
    • ローカル エージェント設定ファイルを保存します。
カスタマイズしたレスポンスの設定
アプリケーションの所有者は、Web エージェント ホスト システム上に存在するファイルの本文内でカスタマイズしたレスポンスを設定します。Web アプリケーション クライアント リクエストが
Single Sign-On
機能をトリガすると、Web エージェントは Web アプリケーション クライアントに対するレスポンスとして本文を返します。
以下の点を考慮してください。
  • ファイルには、アプリケーションの所有者が設計した任意のカスタム本文を含めることができます。
  • ファイルはテキスト ベースにできます。ファイルがテキストベースの場合、
    Single Sign-On
    は Web アプリケーション クライアントにレスポンスを送信する前に $$Reason$$ と $$URL$$ 用のファイルの本文を解析します。
    レスポンスに
    Single Sign-On
    によって生成された動作を含める場合:
    • データのコンテンツ MIME タイプは以下のいずれかのタイプである必要があります。
      • text/*
      • application/xml
      • application/*+xml
    • 以下のプレースホルダ値が本文に表示される必要があります。
      SiteminderReason=$$Reason$$ SiteminderRedirectURL=$$URL$$
      Single Sign-On
      は、これらの値の本文を解析し、トリガされた
      Single Sign-On
      機能とリダイレクト URL を挿入します。以下のパラメータまたはポリシー レスポンス タイプが機能と URL を定義します。
      • IdleTimeoutURL
      • MaximumTimeoutURL
      • ForceFQHost
      • LogOffRedirectURL
      • ExpiredCookieURL
      • OnAuthAcceptRedirect
      • OnAuthRejectRedirect
      • OnAccessAcceptRedirect
      • OnAccessRejectRedirect
      • Challenge
      例:
      Web アプリケーション クライアント リクエストがアイドル タイムアウトをトリガします。
      Single Sign-On
      は、プレースホルダ値を IdleTimeoutURL パラメータの URL に置き換えます。
  • ファイルにはバイナリ データを含めることができます。ファイルにバイナリ データが含まれる場合、
    Single Sign-On
    は解析せずに Web アプリケーション クライアントにファイルの本文を転送します。
カスタム レスポンスを処理するように Web アプリケーションを設定
カスタム レスポンスに理由およびリダイレクト URL を含める場合は、カスタム レスポンスを処理するように Web アプリケーションを別々に設定します。
Web エージェント インストール ウィザードは、サンプル アプリケーションを
web_agent_home
/samples にインストールします。特定の環境および状況に合わせてサンプルから推定します。
  • web_agent_home
    は、Web エージェントのインストール パスを指定します。