フォーム認証用のフォーム認証情報コレクタの設定
casso11jp
以下の手順を実行して、HTML フォーム認証方式によって保護されるリソースをセキュリティ保護するエージェントのフォーム認証情報コレクタ コンポーネントを設定します。
- IIS Web サーバまたは Domino Web サーバを使用している場合は、FCC 用の MIME タイプ マッピングを設定します。注:以下のタイプの Web サーバについては、Single Sign-On認証情報コレクタで使用される適切な MIME 形式がエージェント設定ウィザードによって自動的にセットアップされます。
- Apache Web サーバおよび Apache ベースの Web サーバ。
- Oracle iPlanet Web サーバ。
- FCC で使用するために、エージェント ID と Web サーバをマッピングします。
- 以下の追加設定項目を必要に応じて設定します。
- FCC/SCC による完全修飾ホスト名としてのエージェント名の使用を有効化。
- シングル リソース ターゲットを使用するための FCC の設定。
- 認証情報コレクタのリダイレクトでの相対ターゲットの使用。
- 有効なターゲット ドメインの定義。
- 有効なフェデレーション ターゲット ドメインの定義。
IIS および Domino Web サーバ上の認証情報コレクタ用の MIME タイプ マッピングの設定
IIS および Domino Web サーバで、FCCExt および SFCCExt エージェント設定パラメータを指定して、Web エージェント設定で FCC および SFCC に対して MIME タイプ マッピングを設定します。MIME タイプ マッピングはファイル拡張子として表されます。デフォルト値の使用をお勧めします。
- FCCExtフォーム クレデンシャル コレクタ(FCC)に対して MIME タイプ マッピングを指定します。デフォルト: .fcc制限: 有効なファイル拡張子。例: .myfcc
- SFCCExtSSL フォーム認証情報コレクタ(SFCC)に対して MIME タイプ マッピングを指定します。デフォルト:.sfcc制限: 有効なファイル拡張子。例:.mysfcc
注
: デフォルトの拡張子を使用しない場合、またはデフォルト値がすでに使用されている場合は、代わりに任意の拡張子を入力してください。たとえば、FCC に対応する FCCExt を .myfcc に設定し、その拡張子を使用するように FCC テンプレートの名前を変更(たとえば login.myfcc)した場合、エージェントは .myfcc で終わる URL を、フォーム認証リクエストとして認識します。FCC/SCC による完全修飾ホスト名としてのエージェント名の使用の有効化
フォームおよび SSL クレデンシャル コレクタでターゲット URL の完全修飾ホスト名をエージェント名として使用できるようにするには、AgentNamesAreFQHostNames 設定パラメータを定義します。
たとえば、AgentNamesAreFQHostNames パラメータを Yes に設定すると、次の URL 文字列の www.nete.com 部分が Web エージェント名になります。
url?A=1&Target=http://www.nete.com/index.html
クレデンシャル コレクタは次の状況でこのパラメータを使用します。
- ターゲット エージェントが URL にエージェント名を追加しない場合 (サード パーティのエージェントで発生することがあります)。
- AgentName パラメータ内で、エージェントからホスト名へのマッピングを設定しなかった場合。
AgentNamesAreFQHostNames パラメータが no に設定されている場合、認証情報コレクタは DefaultAgentName パラメータの値を、ターゲット Web エージェントの名前として使用します。
シングル リソース ターゲットを使用するための FCC の設定
ユーザをシングル リソースにダイレクトするよう FCC を設定するには、テンプレート ファイル login.fcc の中でターゲットをハード コード化します。
以下の手順に従います。
- agent_home/Samples にある login.fcc ファイルを開きます。
- @target=target_resourceを FCC に追加します。
- 次のエントリを追加します。@smagentname=agent_name_protecting_resource例: @smagentname=mywebagent
- EncryptAgentName パラメータを no に設定します。このパラメータは、エージェント名をファイル内でハードコード化した後に暗号化する方法が存在しないために必要になります。
- この FCC を使用する他のすべてのエージェントに対して、EncryptAgentName を no に設定します。
認証情報コレクタのリダイレクトでの相対ターゲットの使用
必要に応じて、要求を認証情報コレクタとターゲット リソースへダイレクトする際に、完全修飾 URL の代わりに相対 URI を使用するようエージェントに指示します。相対 URI を使用すると、Web エージェントと共に他のシステム上に存在しているクレデンシャル コレクタがリクエストを処理することを防止できます。
注:
この設定項目は、cookie 認証情報コレクタ(CCC)を除く
、他のすべての認証情報コレクタに適用されます。CCC は、このパラメータの完全修飾ドメイン名を使用する必要があります。相対 URI を使用した場合、設定されたレスポンスは CCC で適切に動作しません。通常、完全修飾 URL が認証情報コレクタの URL に付加されます。例: <nete:proxyrules xmlns:nete="http://www.ca.com/" debug="yes">
url?A=1&Target=http://www.nete.com/index.html.
相対 URI のみを使用するには、TargetAsRelativeURI パラメータを yes に設定します。yes に設定した場合、認証情報コレクタの URL に付加されるターゲット パラメータは相対ターゲット( url?A=1&Target=/index.html など)になります。その場合、認証情報コレクタがリダイレクトを行って、ターゲットリソースを保護している Web エージェントへ戻すときは、相対リダイレクトになります。また、Web エージェントは、スラッシュ(/)以外の文字で始まるすべてのターゲットを拒否します。
このパラメータのデフォルト値は no なので、常に完全修飾 URL が使用されます。
有効なターゲット ドメインの定義
悪意のある Web サイトにユーザをリダイレクトするフィッシング攻撃からリソースを保護するように
Single Sign-On
エージェントを設定するには、以下の設定パラメータを設定します。ValidTargetDomain
認証情報コレクタがユーザをリダイレクトすることを許可されるドメインを指定します。URL 内のドメインがこのパラメータ内で設定されたドメインに一致しない場合は、リダイレクトが拒否されます。
デフォルト:
Noフォーム クレデンシャル コレクタ(FCC)を含むすべての高度な認証方式が、このパラメータをサポートします。
ValidTargetDomain パラメータは、処理の間にターゲットの有効なドメインを識別します。ユーザをリダイレクトする前に、エージェントはリダイレクト URL の値と、このパラメータ内のドメインを比較します。このパラメータがない場合、エージェントはユーザをどのようなドメイン内のターゲットにもリダイレクトさせます。
ValidTargetDomain パラメータには、有効なドメインごとに 1 つの値を設定し、複数の値を含めることもできます。
ローカル Web エージェント設定では、以下の例のように、各ドメインについて、1 行に 1 つのエントリを指定します。
validtargetdomain=".xyzcompany.com"validtargetdomain=".abccompany.com"
有効なフェデレーション ターゲット ドメインの定義
Single Sign-On
がレガシー フェデレーション SP として動作している場合、SAML 2.0 トランザクション用にアイデンティティ プロバイダ ディスカバリ(IPD0)プロファイルを設定できます。IPD によって、認証リクエストに対してどの IdP がアサーションを生成するかをユーザが選択できるようになります。検出プロセスで、悪意のある Web サイトにユーザがリダイレクトされるのを防ぐことができます。認証リクエストを満たす IdP のドメインが検証されるよう Web エージェントを設定します。
検証プロセスを有効にするには、以下のパラメータの値を設定します。
ValidFedTargetDomain
(Federation のみ-SAML 2.0) Identity Provider Discovery を実装した場合に、フェデレーション環境の有効なドメインをすべてリスト表示します。
Single Sign-On
アイデンティティ プロバイダ ディスカバリ(IPD)サービスは、リクエストを受信すると、リクエスト内の IPDTarget クエリ パラメータを調べます。このクエリ パラメータは、Discovery サービスでリクエストを処理した後にリダイレクトする URL をリスト表示します。IdP の場合、IPDTarget は SAML 2.0 シングル サインオン サービスです。SP の場合、ターゲットは共通ドメイン Cookie を使用するリクエスト アプリケーションです。フェデレーション Web サービスでは、IPDTarget URL のドメインを、ValidFedTargetDomain パラメータに指定されたドメインのリストと比較します。URL ドメインが ValidFedTargetDomain に設定されたドメインの 1 つと一致する場合、IPD サービスは IPDTarget パラメータに示された URL にユーザをリダイレクトします。このリダイレクトは SP の URL に対して行われます。
ドメインが一致しない場合、IPD サービスはユーザ リクエストを拒否し、ブラウザに 403 Forbidden が返されます。また、FWS トレース ログおよび affwebservices ログにエラーが報告されます。これらのメッセージは、IPDTarget のドメインが有効なフェデレーション ターゲット ドメインとして定義されないことを示します。
ValidFedTargetDomain を設定しない場合、検証は行われず、ユーザはターゲット URL にリダイレクトされます。
値:
フェデレーション ネットワーク内の有効なドメインデフォルト:
デフォルトなしValidFedTargetDomain パラメータに有効なドメインを指定します。この設定は複数パラメータなので、複数のドメインを入力できます。
ローカル設定ファイルを変更している場合は、たとえば以下のように、ドメインを別々にリスト表示します。
validfedtargetdomain=".examplesite.com"
validfedtargetdomain=".abccompany.com"