Web エージェントの概要

目次
casso11jp
目次
Web エージェントがリソースを保護する方法
Single Sign-On
Web エージェントは、URL によって識別できる任意のリソースへのアクセスを制御するソフトウェア コンポーネントです。Web エージェントは Web サーバに常駐し、リソースの要求をインターセプトして、そのリソースが
Single Sign-On
によって保護されているかどうかを判断します。その後、Web エージェントはポリシー サーバと連携し、保護された Web サーバ リソースへのアクセスを要求するユーザの認証および許可を行います。
casso11jp
Web エージェントは以下のタスクを実行します。
  • 保護されているリソースへのアクセスリクエストをインターセプトし、ポリシー サーバと連携して動作し、ユーザがアクセス権を持っているかどうかを判断します。
  • ユーザに対するコンテンツの提示方法 (ポリシー ベースのパーソナライゼーション)とアクセス権限の配信方法を指示する Web アプリケーションに情報を提供します。
  • ユーザが情報に迅速かつ安全にアクセスできるようにします。Web エージェントはユーザ アクセス権限に関するコンテキスト情報をセッション キャッシュに格納します。キャッシュ設定値を変更すると、パフォーマンスを最適化できます。
  • 単一の cookie ドメインまたは複数の cookie ドメインにある複数の Web サーバ間でシングル サインオンを有効にして、ユーザの再認証を不要にします。
Single Sign-On
Web エージェントおよびサポートされている Web サーバ プラットフォームのリストについては、テクニカル サポートに移動して、
Single Sign-On
のサポート マトリックスを参照してください。
Web エージェントは、以下の図に示すように、Web サーバ上にあります。
Web Agent Securing Resource
Web エージェントとポリシー サーバが連携する仕組み
アクセス制御を実行する場合、Web エージェントは、ポリシー サーバと対話を行います。実際に許可と認証の判断を行うのは、ポリシー サーバです。
Web エージェントはリソースに対するすべてのユーザ リクエストをインターセプトし、要求されたリソースが保護されているかどうかをポリシー サーバに確認します。リソースが保護されていない場合は、アクセス要求は Web サーバに直接渡されます。リソースが保護されている場合、次の動作が発生します。
  1. Web エージェントは、そのリソースに関して、どの認証方法が必要とされているのかチェックします。一般的な認証情報は名前とパスワードです。しかし、証明書、トークンカードの PIN (個人用識別番号)のような他の認証情報が必要になる場合もあります。
  2. Web エージェントは、認証情報の入力をユーザに要求します。
    ユーザはそれに応答し、適切な認証情報をレスポンスとして返します。
  3. Web エージェントは、これらの認証情報をポリシー サーバに渡します。ポリシー サーバは、その認証情報が正しいかどうかを判断します。
  4. ユーザが認証フェーズに合格した場合、ポリシー サーバは、ユーザがそのリソースにアクセスすることを許可されているかどうか判断します。ポリシー サーバがアクセスを許可した後、Web エージェントは、その要求を Web サーバに渡します。
Web エージェントは、ユーザ固有の属性も
レスポンス
の形式で受信します。これにより、Web コンテンツのパーソナライズ機能とセッション管理が可能になります。レスポンスは、ユーザの許可後にポリシー サーバから Web エージェントに返されるパーソナライズされたメッセージやユーザ固有の情報です。レスポンスは、名前/値という属性ペアで構成されています。この属性ペアは、Web アプリケーションで使用するために、Web エージェントが HTTP ヘッダに追加したものです。レスポンスの例には、以下のようなものがあります。
  • Web エージェントは、Web アプリケーションへのアクセスをユーザに許可した後、ユーザ セッションの持続時間を指示する情報も Web アプリケーションに送信できます。
  • また、以前に登録したサイトに再びアクセスした場合に、Web エージェントはユーザの購買志向に関する情報を返すこともできます。
以下の図は、Web エージェントとポリシー サーバの間の通信を示しています。
Graphic showing the decision process the web agent uses to respond to requests for resources
異なるタイムゾーンにある Web エージェントとポリシー サーバについての考慮事項
デフォルトでは、ポリシー サーバと Web エージェントは GMT (グリニッジ標準時)を基準にして時間を計算します。したがって、ポリシー サーバまたは Web エージェントがインストールされている各システムのシステム クロックを、その地域のタイム ゾーンに基づいて設定しておく必要があります。
以下の図に、ポリシー サーバが時間を基準にポリシーをどのように実行するかを示します。リソースは、マサチューセッツにある Web サーバに格納されていて、カリフォルニアにあるポリシー サーバで保護されています。このポリシーでは、午前 9 時から午後 5 時までの間のリソースへのアクセスを許可します。ただし、マサチューセッツのユーザは午後 6 時でもリソースにアクセスできます。これは、このポリシーがポリシー サーバのタイムゾーンである PST(太平洋標準時)に基づいており、PST は Web エージェントのタイムゾーンである EST(東部標準時)よりも 3 時間遅れているためです。
This diagram shows how to adjust the time settings on your policies when your policy servers and web agents are in different time zones
注:
Windows システムでは、タイムゾーン設定と時刻([日付と時刻]コントロール パネルで設定)の両方が一致している必要があります。たとえば、米国でシステムを東部標準時から 太平洋標準時にリセットするには、以下の順にタスクを実行します。
  1. タイムゾーンを太平洋標準時に設定します。
  2. システム クロックに正しい時間(東部標準時より 3 時間早い時間)が表示されていることを確認します。
注:
これらの設定値が整合していない場合、複数のドメイン間でのシングル サインオンや、エージェント キー管理機能が正しく動作しません。