4.x タイプと、より新しいタイプのエージェント間での認証情報コレクタの使用
エージェント オブジェクトの古いバージョンでは、ポリシー サーバおよび WebAgent.conf ファイルに格納した共有秘密キーを特徴とするセキュリティ モデルを使用していました。これらのエージェントを 4.x タイプ エージェントと言います。管理 UI でエージェント オブジェクトを作成する際に、ユーザは 4.x エージェント機能のサポートを指定できます。より新しいバージョンでは、共有秘密キー セキュリティ モデルの代わりに、ポリシー サーバ上のトラステッド ホスト オブジェクトを使用します。
casso11jp
Single Sign-On
エージェント オブジェクトの古いバージョンでは、ポリシー サーバおよび WebAgent.conf ファイルに格納した共有秘密キーを特徴とするセキュリティ モデルを使用していました。これらのエージェントを 4.x タイプ エージェントと言います。管理 UI でエージェント オブジェクトを作成する際に、ユーザは 4.x エージェント機能のサポートを指定できます。より新しいバージョンでは、共有秘密キー セキュリティ モデルの代わりに、ポリシー サーバ上のトラステッド ホスト オブジェクトを使用します。4.x タイプとそれ以降のエージェント間で認証情報コレクタを使用できます。こうした認証情報コレクタの使用方法を混在モードと呼びます。混在モードを展開するには追加の設定手順が必要です。
混在環境での認証情報コレクタの設定
本製品の r6.x から今回のリリースまで、認証情報コレクタは古い 4.x タイプの認証情報コレクタとは異なる動作をします。4.x タイプの認証情報コレクタはユーザのブラウザに Cookie を配置し、次にユーザを元のエージェントに再度リダイレクトします。
それ以降の バージョンでは、認証情報コレクタは要求されたリソースを保護するエージェントのために、ポリシー サーバにユーザをログインさせます。Cookie は使用
されません
。認証情報コレクタは、ユーザをログインさせるために次の情報が必要です。
- 要求されたリソースを保護しているエージェントの名前。
- ユーザによって提供される認証情報。
エージェント名を把握するために、認証情報コレクタは以下のプロセスを使用します。
- SMAGENTNAME クエリ パラメータを使用します。これを、元のエージェントは認証情報コレクタへリダイレクトする際に URL のクエリ文字列に追加します。
- エージェント名が URL に追加されない場合は、認証情報コレクタと関連付けられた AgentName 設定パラメータで定義されたマッピングを使用します。AgentName パラメータの各マッピングは、コレクタを使用して自らのリソースを保護しているホストの名前と、その IP アドレスを指定します。
- エージェント名マッピングが設定されていない場合は、エージェント名として、ターゲット URL の完全修飾ホスト名を使用します。この動作は AgentNamesAreFQHostNames 設定パラメータを有効にすることにより決定されます。このパラメータは、デフォルトで無効になっています。その場合、認証情報コレクタはエージェント名として、DefaultAgentName パラメータの値を使用します。
混在環境で認証情報コレクタを設定する前に、前出の関係を考慮してください。
混在環境での FCC と NTC の使用
リクエストを処理する上で、FCC と NTC はユーザ認証情報、およびリクエストされたリソースを保護している Web エージェントの名前を必要とします。ただし、4.x エージェント、および FCC および NTC へのポストを行うサードパーティのエージェントは、自らが送信する URL の一部としてエージェント名を渡すことはありません。
FCC 互換モード
FCC と NTC を 4.x の Web エージェントと組み合わせて使用するには、FCC 互換モードを使用します。FCC/NTC の r5.x、r6.x、または現在のバージョンが 4.x エージェントまたはサードパーティ アプリケーションによって保護されているリソースのフォームに対応できるように、
FCCCompatMode
エージェント設定パラメータを有効にします(FCCCompatMode="Yes")。注:
FCCCompatMode は以前のリリースでは 4xCompatMode という名前でした。4xCompatMode は、後方互換性のために引き続きサポートされます。互換モードでは、エージェントは、4.x エージェントのように、フォームや NTLM 認証情報コレクションを処理できます。フォームまたは NTLM 認証情報 Cookie がブラウザに書き込まれ、ブラウザは、ログインする前に、エージェントに再度リダイレクトされます。この設定で、エージェントの相互運用が可能になります。
注:
FCC 互換モードを使用する場合、ユーザ認証情報は暗号化され、ブラウザに送信されます。ブラウザは、すぐにユーザを認証する代わりに、認証情報を Web エージェントに渡します。従来の Web エージェントでは、FCCCompatMode パラメータはデフォルトで有効です。フレームワーク エージェントでは、FCCCompatMode パラメータはデフォルトで無効です。
FCCCompatMode パラメータの値が[No]に設定されている場合、4.x エージェントとの互換性は無効です。均一な製品環境では、このパラメータの値を[No]に設定してください。
- エージェント名のマッピングを指定する - FCC のみ。下位互換性を無効にした場合は、AgentName パラメータを、FCC を使用してリソースを保護している各ホストの名前と IP にマップします。これらのマッピングは FCC の設定でセットアップします。マッピングの例 :myagent, 123.1.12.1myagent, www.sitea.com
- ホスト名をエージェント名として使用する - FCC のみ。アルゴリズム内の最初の 2 つのオプションが適していない場合は、AgentNamesAreFQHostNames パラメータの値を Yes に設定することができます。この設定は、ターゲット URL の中にある完全修飾ホスト名をエージェント名として使用するよう FCC に指示します。たとえば、ターゲット URL 文字列に以下が含まれているとします。url?A=1&Target=http://www.nete.com/index.html文字列のうち、www.nete.com の部分がエージェント名として機能します。デフォルトでは、このパラメータは no に設定されています。その結果、DefaultAgentName パラメータの値がエージェント名として使用されます。
以下の表は、4.x FCC および NTC の r5.x、r6.x、または現在のバージョンの設定のガイドラインを示しています。この表では、混在環境でのそれぞれの動作についても説明します。以下の点に注意してください。
- NTLM 認証情報コレクタは、IIS 以外の Web サーバから IIS Web サーバへユーザをリダイレクトすることができます。
- フレームワーク Web エージェントに関しては、FCC 互換モードが無効になっている状態に関する説明のみを参照してください。
r5.x、r6.x、12.52、または現在のバージョンの FCC のガイドライン
Web エージェントが保護するレルムの設定
| r5.x、r6.x、12.52、または現在のバージョンの FCC
(FCC 互換モード)
| r5.x、r6.x、または 現在のバージョンの FCC(FCC 互換モード無効)
|
r5.x、r6.x、または 12.52 | FCC は認証情報 Cookie を発行します。 「証明書 および フォームによる認証」は無効です。「証明書 または フォームによる認証」は無効です。 | FCC は、セッション Cookie を発行します。 「証明書 および フォームの組み合わせによる認証」は機能します。「証明書 または フォームによる認証」は機能します。 |
4.x QMR 2/3/4 の FCC のガイドライン
Web エージェントが保護するレルムの設定
| 4.x QMR 2/3/4 の FCC
|
4.x QMR 5 または 4.x QMR 6 | エージェントは認証情報 Cookie を発行します。 「証明書およびフォームによる認証」は無効です。 「証明書またはフォームによる認証」は機能します。 |
r5.x、r6.x、または 12.52 | エージェントは認証情報 Cookie を発行します。 「証明書およびフォームによる認証」は無効です。 「証明書またはフォームによる認証」は機能します。 |
r5.x、r6.x、12.52、または現在のバージョンの NTC のガイドライン
Web エージェントが保護するレルムの設定
| r5.x、r6.x、または 現在のバージョンの NTC(FCC 互換モード)
| r5.x、r6.x、または 現在のバージョンの NTC(FCC 互換モード無効)
|
4.x QMR 5 または 4.x QMR 6 | NTC は認証情報 Cookie を発行します。 | NTC は、セッション Cookie を発行します。 |
r5.x、r6.x、または 12.52 | NTC は認証情報 Cookie を発行します。 | NTC は、セッション Cookie を発行します。 |
4.x QMR 2/3/4 の NTC のガイドライン
Web エージェントが保護するレルムの設定
| 4.x QMR 2/3/4 の NTC
|
4.x QMR 5、または 4.x QMR 6 | エージェントは認証情報 Cookie を発行します。 |
r5.x、r6.x、または 12.52 | エージェントは認証情報 Cookie を発行します。 |
混在環境での SCC の使用
4.x タイプの Web エージェントと r5.x、r6.x、または 12.52 の SCC の相互運用を可能にするには、以下のいずれかのタスクを実行します。
- エージェント名のマッピングを指定する: AgentName パラメータを、SCC を使用してリソースを保護している各ホストの名前とその IP アドレスにマップします。SCC のエージェント設定パラメータでこれらのマッピングを作成します。
- ホスト名をエージェント名として使用する: エージェント名のマッピングを指定しない場合は、AgentNamesAreFQHostNames パラメータを Yes に設定することができます。これは、ターゲット URL の中にある完全修飾ホスト名をエージェント名として使用するよう SCC に指示します。たとえば、次のような URL 文字列が発生したとします。url?A=1&Target=http://www.nete.com/index.htmlTarget 文字列のうち、www.nete.com の部分がエージェント名として提供されます。デフォルトでは、このパラメータは no に設定されています。その結果、DefaultAgentName パラメータの値がエージェント名として使用されます。
以下の表に、混在環境で SCC として機能する 4.x のエージェントと r5.x、r6.x、または12.52 のエージェントがどのように動作するかを示します。
Web エージェントのバージョン
| 4.x QMR 2/3/4 の SCC
| r5.x、r6.x、または 現在のバージョンの SCC |
4.x QMR 5、または 4.x QMR 6 | エージェントは SSL 認証情報 Cookie を発行します。 ブラウザからサーバに対する元の接続が SSL 経由であっても、リクエストをリダイレクトしない限り、証明書を収集することはできません。 | AgentName パラメータでマッピングを作成するか、AgentNamesAreFQHostNames を Yes に設定します。 SCC は、セッション Cookie を発行します。 ブラウザからサーバに対する元の接続が SSL 経由であっても、リクエストをリダイレクトしない限り、証明書を収集することはできません。 |
r5.x、r6.x、または 12.52 | エージェントは SSL 認証情報 Cookie を発行します。 リクエストをリダイレクトすることなく、証明書を収集できます。 | SCC は、セッション Cookie を発行します。 リクエストをリダイレクトすることなく、証明書を収集できます。 |