SiteMinder ブラウザ Cookie
目次
casso11jp
目次
基本認証用の Cookie が必要です。
以下のパラメータを使用して、
Single Sign-On
が cookie を必要とするかどうかを制御できます。RequireCookies
Single Sign-On
が Cookie を必要とするかどうかを指定します。Single Sign-On
の機能のうち、Cookie を必要とするものは次のとおりです。- シングル サインオン環境の保護。
- セッション タイムアウトの適用。
- アイドル タイムアウトの適用。
このパラメータの値が Yes の場合、エージェントは HTTP 要求を処理するために以下のいずれかの Cookie を必要とします。
- SMCHALLENGE
- SMSESSION
このパラメータの値が No の場合、次の条件が発生する可能性があります。
- ユーザに対して、予期せず認証情報の認証が行われます。
- タイムアウトが厳密に適用されません。
重要:
エージェントが Cookie を必要とする場合は、ユーザのブラウザが HTTP Cookie を受け入れるようユーザに設定を指示してください。そうしない場合、ユーザはすべての保護リソースへのアクセスを拒否されます。デフォルト:
YesCookie を必要とするには、RequireCookies パラメータの値を yes に設定します。
HTTP 専用属性を備えた Cookie での情報の保護
クロスサイト スクリプティング攻撃に対する保護に役立つように、Web エージェントに、次のパラメータを使用して、作成するすべての cookie に HTTP 専用属性を設定させることができます。
UseHTTPOnlyCookies
Web エージェントが作成する cookie で HTTP のみの属性を設定するように Web エージェントに指示します。Web エージェントが、ユーザのブラウザにこの属性を持つ cookie を返すと、その cookie の内容はスクリプトで読み取ることができなくなります。これは、cookie を最初に設定した Web サイトのスクリプトにも当てはまります。これにより、cookie 内の機密情報を、権限のないサード パーティがスクリプトを使用して読み取ることを防ぐことができます。
デフォルト:
Nocookie 内の情報を保護するには、UseHTTPOnlyCookies パラメータの値を yes に設定します。
安全な Cookie の設定
以下のパラメータを使用して、安全な(HTTPS)接続上の保護されている Web サーバとリ要求ブラウザの間でのみセッション cookie が送信されるように指定することができます。
UseSecureCookies
安全な(HTTPS)接続を使用して、Web サーバに cookie を送信します。このパラメータを使用することで、ブラウザと Web サーバの間のセキュリティを向上させることができます。
この設定が有効な場合、シングル サインオン環境のユーザは、SSL Web サーバから非 SSL Web サーバに移動するときに再認証する必要があります。セキュア cookie は、従来の HTTP 接続を介して渡すことはできません。
デフォルト:
NoSSL 接続経由で cookie を送信するには、UseSecureCookies パラメータを yes に設定します。
識別 Cookie の制御
TransientIDCookies パラメータは、エージェント ID cookie(SMIDENTITY)が一時的か永続的かを指定します。
永続的 cookie は、クライアント システムのハード ディスクに書き込まれます。Web エージェント 5.x QMR1 より前のバージョンでは、永続的な cookie は 7 日間にわたって有効でした。Web エージェント 5.x QMR1 以降では、永続的な cookie は、設定済みの最大セッションタイムアウト + 7 日間にわたって有効です (最大セッション タイムアウトの設定には管理 UI を使用します)。通常、有効期限を過ぎると永続的な cookie は Web ブラウザの cookie ファイルから削除されます。ただし、永続的な cookie の処理方法は、ブラウザによって異なります。デフォルトでは、Web エージェントは永続的な cookie を使用しません。Web エージェントは、過渡的な cookie を使用します。
複数のブラウザセッションでシングル サインオンを使用するには、永続的な Cookie を使用します。永続的な cookie を設定すると、ユーザが
Single Sign-On
セッションの有効期限が切れる前にブラウザ セッションを終了し、新しいブラウザ セッションを開始しても、シングル サインオンはそのまま有効になっています。永続的な cookie がハードディスクに書き込まれるのに対し、過渡的な cookie はハードディスクに書き込まれることはなく、設定済みのセッションタイムアウトの対象になりません。過渡的な cookie は、使用中の cookie フォルダ内にとどまります。
ID cookie を永続的なものにしたい場合、TransientIDCookies を no に設定します。ID cookie を一時的なものにしたい場合、デフォルト値である yes のままにしておきます。
対応する IP チェック機能を確実に設定してください。
永続的 Cookie の設定
複数のブラウザセッションでシングル サインオンを使用するには、永続的な Cookie を使用します。以下の手順では、永続的な Cookie の考えられる 1 つの使用法について説明します。
- ユーザはSingle Sign-Onで認証しますが、Single Sign-Onセッションが期限切れになる前に、ブラウザ セッションを終了します。
- ユーザは後で新規ブラウザ セッションを開始しますが、永続的な Cookie はシングル サインオン機能を維持します。
永続的な Cookie は、設定された最大セッション タイムアウトに 7 日間
加えた
期間で有効です。Cookie が期限切れになった後、多くのブラウザは、Web ブラウザの Cookie ファイルを削除します。一部のブラウザは永続的な Cookie を異なる方法で処理する場合があります。以下の手順に従います。
- PersistentCookies パラメータを yes に設定します。SMSESSION Cookie は永続的です。
- TransientIDCookies パラメータを no に設定します。SMIDENTITY Cookie は永続的です。
エージェント Cookie の Cookie パスの指定
Web エージェントが cookie を作成する場合、Web エージェントは自動的に cookie パスとしてルート(/)ディレクトリを使用します。cookie のドメインとパスの属性は要求の URL と比較されます。cookie がドメインとパスに対して有効な場合、クライアントはサーバに cookie を送ります。cookie パスがルート値を使用する場合、クライアントはドメインのすべての要求を備えたサーバに cookie を送ります。
指定された一連のパスに
Single Sign-On
cookie を設定すると、保護されていないリソースに cookie が送信されるときに生じる Web トラフィックを除去できます。たとえば、cookie パスを /mypackage に設定すると、クライアントはドメインの特定のパッケージ内の要求に対してのみ、cookie を送ります。エージェント cookie の cookie パスを指定する方法
- エージェント設定オブジェクトまたはローカル エージェント設定ファイルを開きます。
- 以下のパラメータ内で cookie プロバイダの cookie パスを設定します。
- MasterCookiePathcookie プロバイダによって作成されたプライマリ ドメイン セッション cookie のパスを指定します。たとえば、このパラメータが /siteminderagent に設定されている場合、cookie プロバイダが作成するすべてのセッション cookie のパスに /siteminderagent が含まれます。cookie プロバイダ エージェントにこのパラメータが設定されていない場合は、デフォルト値が使用されます。デフォルト:/(ルート)
- 以下のパラメータ内でセカンダリ エージェントの cookie パスを設定します。
- CookiePath以下のセカンダリ エージェント ブラウザ cookie の cookie パスを指定します。
- xxSESSION
- xxIDENTITY
- xxDOMINODATA
- xxCHALLENGE (SSL_CHALLENGE_DONE を含む)
- xxDATA
- xxSAVEDSESSION
たとえば、このパラメータを /BasicAuth に設定すると、前述のリスト内のセカンダリ エージェントはすべて、パスとして /BasicAuth を使用して作成されます。指定しない場合は、デフォルト値が使用されます。4.x のエージェントとの下位互換性を維持するため、CookiePath は認証情報 cookie (xxxxCRED など)には追加されません。以下の Cookie は常にルート パス(/)を使用します。- ONDENIEDREDIR
- TRYNO
CookiePathScope パラメータが 0 より大きい場合は、CookiePath パラメータの設定が上書きされます。デフォルト:/(ルート)
- (オプション)CookiePath 値を使用する代わりに Web エージェントに URL から cookie パスを抽出させたい場合、以下のパラメータを 0 を超える数に設定します。
- CookiePathScope以下のセカンダリ エージェント cookie の cookie パスの範囲を指定します。
- xxSESSION
- xxIDENTITY
- xxDOMINODATA
- xxCHALLENGE (SSL_CHALLENGE_DONE を含む)
- xxDATA
- xxSAVEDSESSION
CookiePathScope が 0 より大きい場合は、CookiePath パラメータの設定が上書きされます。デフォルト:0
Cookie ドメインの強制
完全修飾ドメイン名を使用すると、Cookie が正しく動作することを保証できます。以下のいずれかの条件を満たす URL 要求内のホスト名の末尾に Cookie ドメインを追加するようにエージェントに強制することができます。
- 要求でドメインが指定されていない
- 要求に IP アドレスのみが含まれる
- 以下のパラメータの設定により、強制的にエージェントが Cookie ドメインを使用するようにできます。
- ForceCookieDomainドメインが指定されていない URL リクエスト内や IP アドレスのみで構成されている URL リクエスト内のホスト名に cookie ドメインを追加するように Web エージェントに強制します。このパラメータを ForceFQHost パラメータと組み合わせると、機能を追加できます。デフォルト:No
- ForceFQHost完全修飾ドメイン名を使用するようにエージェントに強制します。このパラメータは設定されたドメイン ネーム システム(DNS)サービスを使用して、URL 要求内のホスト名に Cookie ドメインを追加します。このとき、エージェントではなく DNS サービスが使用されます。Web エージェントは、URL の一部が含まれた要求を受信すると、元の URI に指定されている同じ転送先リソースに、その要求をリダイレクトします。リダイレクト要求では、完全修飾ホスト名が使用されます。完全修飾ホスト名は、設定されている DNS サービスを使用してエージェントが決定するものです。このパラメータを ForceCookieDomain パラメータと組み合わせて使用すると、機能を追加できます。デフォルト:No例:エージェントは http://host1/page.html から要求を受け取ると、http://host1.myorg.com/page.html で応答します。このエージェントが http://123.113.12.1/page.html などの要求を受け取ると、http://host1.myorg.com/page.html で応答します。注:これらの例は適切な DNS ルックアップ表でのみ動作します。DNS が解決できない部分的なドメイン名が含まれる要求は、エラーを生成する場合があります。
以下の手順に従います。
- ForceCookieDomain パラメータの値を yes に設定します。
- ForceFQHost parameter パラメータの値を yes に設定します。必要に応じてエージェントはホスト名の末尾にその Cookie ドメインを追加します。
Cookie ドメイン解決の実装
自動的なドメイン解決を実装するには、CookieDomain パラメータをコメント アウトするか、そのパラメータを none に設定して、発行元のサーバ上でのみ有効な cookie を作成するよう Web エージェントに指示します。
さらに、CookieDomainScope パラメータに値を追加して、cookie ドメインを定義することもできます。有効範囲には、ドメイン名を構成するセクションの数を、ピリオドで区切って指定します (ドメインは必ず「.」で始まります)。
CookieDomainScope の値が 0 である場合、特定のホストに対して最も具体的な有効範囲を使用するようエージェントに指示します。1 という値(たとえば、.com という cookie ドメインを生じさせます)は、HTTP 仕様により許可されていません。2 という値は、最も一般的な有効範囲を使用するようエージェントに指示します。
以下の表に、ドメイン名と CookieDomainScope の値をいくつか示します。
ドメイン名
| cookie ドメインの有効範囲の値
| cookie ドメイン
|
server.myorg.com | 2 | .myorg.com |
server.division.myorg.com | 3 2 | .division.myorg.com .myorg.com |
server.subdivision.division.myorg.com | 4 3 2 | .subdivision.division.myorg.com .division.myorg.com .myorg.com |
たとえば、division.myorg.com ドメインの有効範囲は 3 です。デフォルトでは、Web エージェントは有効範囲として 2 を想定しています。cookie ドメインの有効範囲を 1 にすることはできません。
CookiePathScope 設定の機能
以下の表は、CookiePathScope パラメータの値が以下の設定でどのように機能するかを示しています。
- http://fqdn/path1/path2/path3/path4/index.html のような URL
- /BasicA の CookiePath パラメータ値
CookiePath 値
| CookiePathScope 値
| 使用されるパス
|
/BasicA | 0 | /BasicA |
/BasicA | 1 | /Path1 |
/BasicA | 2 | /Path1/Path2 |
/BasicA | 3 | /Path1/Path2/Path3 |
/BasicA | 4 | /Path1/Path2/Path3/Path4 |
/BasicA | 5 | /Path1/Path2/Path3/Path4 |
/BasicA | 99 | /Path1/Path2/Path3/Path4 |
/または「未定義」 | 0 | / |
/または「未定義」 | 1 | /Path1 |
/または「未定義」 | 2 | /Path1/Path2 |
/または「未定義」 | 3 | /Path1/Path2/Path3 |
/または「未定義」 | 4 | /Path1/Path2/Path3/Path4 |
/または「未定義」 | 5 | /Path1/Path2/Path3/Path4 |
/または「未定義」 | 99 | /Path1/Path2/Path3/Path4 |
SDK サードパーティ Cookie のサポート
組織で
Single Sign-On
以外の Web エージェントを使用する場合は、以下のパラメータを使用して、シングル サインオンがサポートされるようにそれらの Web エージェントを設定できます。AcceptTPCookie
Web エージェントがサードパーティ(
Single Sign-On
以外)の Web エージェントによって作成されたセッション(SMSESSION) cookie を受け取ることを可能にします。サードパーティ エージェントは、Single Sign-On
SDK を使用して、SMSESSION cookie を生成したり読み取ったりします。デフォルト:
デフォルトなしWeb エージェントが
Single Sign-On
以外の Web エージェントによって作成されたセッション cookie を受け入れることができるようにするには、AcceptTPCookie パラメータを yes に設定します。