DeviceDNA™ による拡張セッション保証の設定

目次
casso126jjp
目次
2
DeviceDNA™ による拡張セッション保証は、許可されていないユーザが盗んだ Cookie で正当なセッションをハイジャックするのを妨ぐのに役立ちます。セッション クライアントは、製品がユーザのシステムから収集する一意の DeviceDNA™ を使用して認証されます。この検証によって、セッションを開始したクライアントがアクセスをリクエストしているのと同じクライアントであることが保証されます。有効な DeviceDNA™ のないユーザは、保護されているリソースへのアクセスを以下のエラーで拒否されます。
Server Error. The server was unable to process your request.
以下の図では、DeviceDNA™ による拡張セッション保証を設定する方法について説明しています。
enhanced session assurance configuration
機能制限の確認
DeviceDNA™ による拡張セッション保証では、以下のアイテムはサポート
されません
  • Web 2.0 クライアント
    Web 2.0 アプリケーションは、
    CA Access Gateway
    にリダイレクトできない Web リクエストを作成する AJAX のようなテクノロジをベースに作成されています。Web 2.0 クライアントには、非ブラウザ ベースのクライアント(モバイル デバイスにおける Flickr クライアント)が含まれています。どちらの場合も、認証フロー アプリケーションをホストする
    CA Access Gateway
    インスタンスへのリダイレクトが不可能なリクエストが発生する可能性があります。DeviceDNA™ による拡張セッション保証は Web 2.0 クライアントをサポートできません。Web 2.0 アプリケーション用のログイン ページを保護することができますが、すべてのリクエスト(AJAX に関するリクエストなど)を DeviceDNA™ による拡張セッション保証で保護することはできません。
  • カスタム エージェント
    Single Sign-On
    SDK で作成されるエージェントは、DeviceDNA™ による拡張セッション保証をサポートしません。
  • JavaScript および Cookie をサポートしないクライアント
    CA Access Gateway
    上の DeviceDNA™ スクリプトは、Web クライアントに固有の情報を抽出する JavaScript です。このクライアント情報は、セッションをデバイスまたはクライアントに関連付けます。JavaScript のサポートなしでは、DeviceDNA™ は収集できません。したがって、DeviceDNA™ による拡張セッション保証はセッションをデバイスまたはクライアントに関連付けることはできません。DeviceDNA™ による拡張セッション保証は Telnet や Lynx などのクライアントではサポートされていません。
  • 共有ワークステーション
    どの共有ワークステーションにも、すべてのユーザで同じ DeviceDNA™ 署名があります。たとえば、1 人のユーザが共有ワークステーションの別のユーザの有効な SMSESSION Cookie をハイジャックすると仮定します。ハイジャッカーが盗んだ SMSESSION Cookie を
    同じ
    共有ワークステーションから再生する場合、本製品は違いを検出
    できません
    。DeviceDNA™ による拡張セッション保証により保護が行われるのは、ハイジャッカーが盗んだ SMSESSION Cookie を
    別の
    デバイスから実行する場合です。
  • 認証および許可 Web サービス
    Web サービス クライアント アプリケーションは認証および認可 Web サービス(エージェント API コールから受信するあらゆるリダイレクトまたはレスポンスを元に返す)を処理します。ただし、呼び出し元のクライアントは DeviceDNA™ フローによる拡張セッション保証に関わるリダイレクトを処理
    できません
  • CA Federation
    以下の設定は、DeviceDNA™ による拡張セッション保証をサポート
    しません
    • SAML 2.0、SAML 1.1、および WS-フェデレーションの SP 側
  • ACO パラメータ
    以下の ACO パラメータは、機能をサポート
    していません
    • SSOTrustedZone 
注:
セッション保証は SMSESSION ハイジャックを防ぎ、インパーソネーション認証方式は SMSESSION の置換を許可します。同時に両方の機能を使用する場合、セッション保証は SMSESSION の変更を利用できません。両方の機能が矛盾する場合は、セッション保証またはインパーソネーション認証方式のいずれかを使用する必要があります。
CA Access Gateway
の設定
DeviceDNA™ による拡張セッション保証では、
CA Access Gateway
が動作している必要があります。
CA Access Gateway
をセットアップするには、以下の手順に従います。
  1. CA Access Gateway
    12.6 をインストールします。
  2. SSL 接続を使用するように
    CA Access Gateway
    を設定します。
  3. 複数の Cookie ドメインを使用するシングル サインオン環境については、Cookie プロバイダ ドメインの完全修飾ドメイン名(FQDN)を取得します。設定ウィザードを実行する場合、この名前を
    ServerName
    設定に指定します。たとえば、ユーザの Cookie ドメインが sso.example.com である場合、
    CA Access Gateway
    設定ウィザードで ServerName の値を sso.example.com に設定します。
  4. SACExt
    エージェント設定パラメータが有効にされており、3 文字の拡張子を含んでいることを確認します。デフォルトで、拡張子の値は
    .sac
    です。
  5. IgnoreExt
    設定パラメータに
    SACExt
    に指定された値が含まれていることを確認します。 
    注:
    ユーザは、この手順で
    .sac
    拡張子を 3 文字の拡張子に置き換えることができます。
Single Sign-On
 の設定
DeviceDNA™ による拡張セッション保証では、CA Single Sign-On 環境で 12.6 ポリシー サーバをインストールするか、それ以上のバージョンにアップグレードする必要があります。 別のコンピュータにポリシー サーバおよび
CA Access Gateway
 をインストールします。
DeviceDNA™ による拡張セッション保証エンドポイントの作成
DeviceDNA™ による拡張セッション保証は、ユーザを DeviceDNA™ 情報を収集するために
CA Access Gateway
上でホストされているセッション保証アプリケーション エンドポイントにリダイレクトします。この DeviceDNA™ 情報によって、それらのセッションが検証されます。
パフォーマンス上の理由で、組織内の各地域別区分につき 1 つのエンドポイントを作成することを推奨します。たとえば、ニューヨークおよびシカゴのオフィスがある場合は、各オフィスのエンドポイントを作成します。
DeviceDNA™ による拡張セッション保証をポリシーまたはアプリケーションに追加する前に、
Single Sign-On
ユーザ インターフェースでこれらのエンドポイントを設定します。
以下の手順に従います。
  1. 管理 UI で、[ポリシー]-[グローバル]-[セッション保証エンドポイント]をクリックします。
  2. [STS エンドポイントの作成]をクリックします。
  3. わかりやすい名前と説明(オプション)を入力します。
  4. 以下のフィールドに値を入力します。
    • Web サーバ名
      ユーザを認証するために DeviceDNA™ を収集する
      CA Access Gateway
      サーバの名前を指定します。
    • [Port]
      CA Access Gateway
      がリダイレクト用にリスニングしているポート番号を指定します。(SSL を使用して)このポートを安全な接続に設定します。
      デフォルト:
      443
    • ターゲット
      ユーザの暗黙的なリダイレクト先となる
      CA Access Gateway
      の URL を指定します。このサーバは、ユーザの DeviceDNA™ を収集します。DeviceDNA™ を使用して、ユーザと関連付けられたセッションが検証されます。
    • DeviceDNA™ リフレッシュ間隔
      ユーザと関連付けられた DeviceDNA™ が有効になる秒数を指定します。有効な DeviceDNA™ のないユーザは、サーバがユーザの現在の DeviceDNA™ を取得する拡張セッション保証エンドポイントにリダイレクトされます。
      DeviceDNA™ リフレッシュ間隔は、DeviceDNA™ の収集を管理します。DeviceDNA™ リフレッシュ間隔の期限が切れた後に発生するリクエストは、DeviceDNA™ を再収集するために Session Assurance アプリケーションにリダイレクトされます。
      DeviceBinder は、このセッションに関連付けられたユーザを識別するセッション プロパティです。DeviceBinder とクライアント側のデバイス ID は認証処理中にリンクされています。このプロパティは、一意の DeviceHash と有効期限から構成されます。
      デフォルト
      : 300 秒(5 分)。
  5. [サブミット]をクリックします。
レルムへのエンドポイントの追加
DeviceDNA™ による拡張セッション保証を使用してレルムのリソースを保護するには、1 つのセッション保証エンドポイントをレルムに追加します。
注:
DeviceDNA™ による拡張セッション保証が機能するには、セッションが永続的である必要はありませんが、セッション ストアを設定したことを確認してください。
以下の手順に従います。
  1. 管理 UI から、[ポリシー]、[ドメイン]、[レルム]をクリックします。
  2. 目的のレルムの編集アイコンをクリックします。
  3. [セッション]の下で、[拡張されたセッション保証]の横の[有効]チェックボックスをオンにします。
  4. [エンドポイントの検索]をクリックします。
  5. 目的のエンドポイントを選択します。
  6. [OK]をクリックします。
  7. [サブミット]をクリックします。
  8. セッション保証機能で保護するリソースを持ったレルムが他にもあれば、手順 2 ~ 6 を繰り返します。
注:
古いセッション保証エンドポイントは、12.6 バージョンのポリシー サーバでは動作しません。したがって、PS のアップグレードでは、セッション保証エンドポイントとして機能する SPS をアップグレードする必要があります。
アプリケーション コンポーネントへのエンドポイントの追加
DeviceDNA™ による拡張セッション保証を使用して、アプリケーション内のコンポーネントを保護するには、
1 つの
拡張セッション保証エンドポイントを関連付けられたアプリケーションのコンポーネントに追加します。
以下の手順に従います。
  1. 管理 UI から、[ポリシー]、[アプリケーション]、[アプリケーション]をクリックします。
    アプリケーションのリストが表示されます。
  2. 目的のアプリケーションの編集アイコンをクリックします。
    [アプリケーションの変更]ダイアログ ボックスが表示されます。
  3. 以下の
    いずれか
    の手順を実行します。
    • アプリケーションに 1 つのみコンポーネントがある場合、[詳細設定]をクリックします。
    • アプリケーションに複数のコンポーネントがある場合は、目的のコンポーネントの編集アイコンをクリックします。[詳細設定]を選択します。
  4. [セッション]の下で、[拡張されたセッション保証]の横の[有効]チェックボックスをオンにします。
  5. [エンドポイントの検索]をクリックします。
    エンドポイントのリストが表示されます。
  6. 目的のエンドポイントを選択します。
  7. [OK]をクリックします。
  8. [サブミット]をクリックします。
    [アプリケーションの変更]ダイアログ ボックスが閉じ、確認メッセージが表示されます。
  9. セッション保証機能で保護するリソースを持ったアプリケーションが他にあれば、手順 2 ~ 7 を繰り返します。
フェデレーション パートナーシップ用の DeviceDNA™ による拡張セッション保証の有効化
Single Sign-On
Federation を使用する場合、以下のパートナーシップにおいて、DeviceDNA™ による拡張セッション保証を有効にすることもできます。
  • SP から IdP へのパートナーシップの IdP 側(HTTP リダイレクト バインディングのみ)。
  • コンシューマからプロデューサへのパートナーシップのプロデューサ側
  • RP から AP へのパートナーシップの AP 側
以下の手順に従います。
  1. 管理 UI から[フェデレーション]-[パートナーシップ フェデレーション]-[パートナーシップ]をクリックします。
  2. 目的のパートナーシップの左側の[アクション]ボタンをクリックし、[非アクティブ化]を選択します。
  3. 同じ[アクション]ボタンを再度クリックし、[変更]を選択します。
  4. [SSO と SLO]タブをクリックします。
  5. 以下のチェックボックスをオンにします。
    拡張されたセッション保証
    (ポリシー ドメイン モデルの)レルムまたは(アプリケーション モデルの)コンポーネントで指定されたリソースを保護します。また、特定のフェデレーション パートナーシップの認証リクエストを保護できます。セッション保証エンドポイントはユーザから DeviceDNA™ を収集し、セッションを検証します。
    値:
    セッション保証エンドポイントを指定します。
  6. エンドポイントのリストが表示されます。
  7. 目的のエンドポイントのチェックボックスをオンにします。
  8. [保存]をクリックします。
  9. 目的のパートナーシップがほかにあれば、手順 2 ~ 7 を繰り返します。
  10. (ローカル認証モードのみに対して)認証 URL (Redirect.jsp)に関連付けられるレルム上で DeviceDNA™ による拡張セッション保証を有効にします。
トラブルシューティング用のログ ファイル
DeviceDNA™ による拡張セッション保証に関するトランザクションは、以下のログ ファイルに記録されます。
  • ポリシー サーバ
    • xps-*.audit -- 機能の設定への変更。
    • smaccesslog4 -- 機能に関連する認証アクティビティおよび認可アクティビティ。この機能のために強化された監査を有効にすることをお勧めします。
  • CA Access Gateway
     (セッション保証アプリケーション):
    ログ ファイルの場所およびログ レベルは、以下の場所にある
    log4j.properties
    ファイルによって設定できます。
    CA\secure-proxy\Tomcat\webapps\sessionassuranceapp\WEB-INF\classes
    デフォルトのログ レベル
    : INFO
    このログ設定はアクセス ゲートウェイ サーバのログ設定と関係ありません。