インパーソネーションでのセキュリティに関する考慮事項
目次
casso126jjp
目次
偽装者のセッション仕様は、すべての顧客のセッション仕様と同様に処理されます。主な違いは、偽装者の識別名を示すフィールドと、偽装者が最初に認証されたユーザ ディレクトリを示すフィールドが追加されることです。追加のフィールドにより、以下が可能になります。
- 偽装を利用したリソースへのアクセスはすべて、追加のチェックを経るようにできます。
- ポリシー サーバでインパーソネーション アクティビティを記録して、監査することができます。
インパーソネーションセッション仕様は、インパーソネーションの連鎖を防止する目的にも利用されます。ポリシー サーバが偽装者の DN フィールドとユーザディレクトリのフィールドが使用中であると判断した場合、以降のインパーソネーションは許可されず、ログインしようとしても拒否されます。このアクションにより、偽装者がインパーソネーションを重ねて利用して、本来ならアクセスが許可されないリソースにアクセスするのを防止することができます。
認証方式保護レベルの有効性
偽装者が最初に認証された保護レベルは、インパーソネーション中にチェックされません。通常は、より高い保護レベルが設定されている認証方式で保護されているリソースにアクセスしようとすると、新しい認証情報の入力が求められます。ただし、偽装者は権限を持つユーザであるため、インパーソネーション セッションで改めて認証情報の入力が求められることはありません。保護レベルは、レルム内のリソースにアクセスするために使用される認証情報の強度を示すものです。インパーソネーション中に偽装しているユーザに固有の認証情報はありません。その結果、保護レベルは考慮されません。
注:
インパーソネーション セッションが終了すると、通常のように保護レベルの確認が適用されます。セッションアイドルタイムアウト
インパーソネーション セッション中には、偽装者の本来のセッションがアイドル状態になることがあります。タイムアウトが起こるかどうかは、偽装者が最初に認証されたレルムのアイドルタイムアウト値によって決まります。偽装者が本来のアイドル タイムアウト値を超えている場合、インパーソネーション セッションは偽装者の本来のセッションと同時に終了します。この問題を回避するには、偽装者が通常認証を受けるレルムのセッションアイドルタイムアウト時間を長く設定してください。
インパーソネーションの制限
インパーソネーションを実行するには、インパーソネーションレルム内で偽装者と偽装対象をポリシーに関連付ける必要があります。偽装者のポリシーには ImpersonateStart イベントに対して起動するルールを含め、偽装対象のポリシーは ImpersoanteStartUser イベントに対して起動するように設定する必要があります。
インパーソネーションレルムおよびイベント
インパーソネーションは、インパーソネーション プロセスを開始するように設定されたレルムで開始されます。偽装者がインパーソネーションレルム内のリソースを要求すると、インパーソネーション認証方式によって認証情報の入力が求められます。認証情報の入力にはフォームを使用します。この場合、フォームには通常のユーザ名とパスワードではなく、インパーソネーション対象ユーザのユーザ名を入力する必要があります。フォームの FCC ファイルには、パスワードを偽装者の現在のセッション仕様に設定するロジックが含まれています。
ポリシー サーバは偽装認証方式を使用して、偽装者の現在のセッションが有効であることを確認します。次に、ポリシー サーバは、インパーソネーション レルムに関連付けられたポリシー ドメインに含まれるディレクトリで、偽装対象のユーザを検索しようと試みます。ユーザが見つかると,認証が行われます。
ディレクトリで偽装対象ユーザの存在を確認した場合、ポリシー サーバは偽装者にインパーソネーションを実行する権限があるかどうか、偽装対象ユーザがインパーソネーション可能であるかどうかを確認します。これらの権限は、ポリシー、ルール、および 2 つのインパーソネーション イベントを使用して設定および適用されます。
インパーソネーション イベントは、認証イベントや許可イベントと似ていますが、受動的に起動される点が異なります。ポリシーでは、偽装者と偽装対象ユーザを偽装者イベント ルールに明示的にバインドする必要があります。ポリシーが存在しないか、偽装者および偽装対象ユーザの偽装者イベント ルールが含まれていないと、インパーソネーションは許可されません。
インパーソネーションは、ポリシーとルール、およびインパーソネーション イベントを使用してレルムで許可または拒否することができます。レルムは、すべてのインパーソネーションを許可するか、指定された偽装者と偽装対象のみにインパーソネーションを制限するように設定できます。