インパーソネーションのサンプル実装

目次
casso126jjp
目次
2
ここでは、簡単なインパーソネーションの実装例を説明します。インパーソネーションを実行するために必要な最低限のポリシー サーバ オブジェクトは次のとおりです。
  • インフラストラクチャ オブジェクト
    • エージェント
      インパーソネーションには、Web エージェントと、それに関連付けられたポリシー サーバ エージェント オブジェクトが必要です。
      注:
      インパーソネーションを実行するには、1 つ以上の
      Single Sign-On
      Web エージェントをインストールしている必要があります。
    • 認証方式
      インパーソネーション認証方式テンプレートに基づくインパーソネーション認証方式が必要です。ここで定義する例では、認証方式の名前は「Impersonation Auth」です。
    • ユーザ ディレクトリ
      インパーソネーションには、偽装者と偽証対象者を含むユーザ ストアを指す、1 つ以上のユーザ ディレクトリ オブジェクトが必要です。2 人のユーザ(偽装者と偽装対象)は、属性値またはグループのメンバーで区別できなければなりません。
    • ドメイン
      ポリシー ドメインが必要です。ここで定義する例では、ポリシードメインの名前は「Impersonation Domain」です。
  • ドメイン オブジェクト:
    • レルム
      ここで定義する例では、「Impersonation」および「App1」という 2 つのレルムが必要になります。「Impersonation」レルムでは、「Impersonation Auth」認証方式を使用する必要があります。「App1」レルムでは、任意の認証方式を使用できます。
    • ルール
      ここで説明する例では、すべてのリソースに「Get」アクションへのアクセスを許可するルールを、「Impersonation」レルムの下に設定する必要があります。つまり、ルールの [リソース]フィールドにアスタリスク(*)を入力します。また、インパーソネーションイベントのルールも設定する必要があります。この場合、偽装者が該当するポリシーに含まれている場合にインパーソネーションを許可するルールと、偽装対象が別の該当するポリシーに含まれている場合にその対象が偽装されることを許可するルールが必要です。
    • ルール
      「Impersonation」レルムに設定したものと同様のルールを、「App1」レルムの下にも作成する必要があります。
    • ポリシー
      ここで説明する例の場合は、6 つのポリシーが必要です。「Impersonation」レルムの各ルールと「App1」レルムの各ルールにそれぞれ 1 つずつポリシーを定義します。
サンプル インパーソネーション実装の評価
必要なポリシー サーバ オブジェクトをすべて作成したら、管理者は次の手順を実行してインパーソネーション セッションを開始します。
  1. 偽装者となる管理者が、保護されたネットワークにログインします。
  2. 管理者は認証情報を入力し、認証されて許可を受けます。
  3. 管理者が Web ブラウザで imp.fcc ファイルにアクセスします。
  4. 偽装対象となるユーザのユーザ ID の入力を求められます。場合によっては、偽装対象ユーザに関する追加情報の入力を求められることもあります。
  5. 管理者が情報を送信します。
  6. ポリシー サーバはインパーソネーション用に定義されたポリシーを使用して、次のことを判断します。
    • 管理者に偽装者としての役割を果たす権限があるかどうか
    • 偽装対象ユーザが偽装されることを許可されるかどうか
  7. 2 つの条件が満たされれば、偽装者が偽装対象ユーザを装うことが許可されます。
注:
インパーソネーション セッションは、カスタム アプリケーション(.jsp ページ、サーブレットなど)を使用せずに、監査ログ機能を使用して追跡管理できます。ただし、インパーソネーション セッションを監視および追跡管理するためのカスタム Web アプリケーションを作成しておくと便利です。
インパーソネーションプロセスを開始するためのフォーム
インパーソネーションにはいくつかの Web ベースのフォームが必要になります。これらのフォームは、それぞれの環境で使用するインタフェースに合わせてカスタマイズする必要があります。フォームには、インパーソネーション処理を呼び出す .fcc ファイルで表示する必要がある基本要素が含まれています。
ヒントのフィールドは、偽装対象ユーザを特定するための追加の属性が必要になるようにインパーソネーションを設定できることを示しています。このヒントは、インパーソネーション認証方式で追加属性のリストとして設定できます。属性には、社員番号など、ユーザ ディレクトリでユーザを一意に定義するその他のユーザ属性などの情報を含めることができます。
インパーソネーション結果フォーム
インパーソネーションを試みた場合は、その成功と失敗の両方の結果を表した形式で、そのことを伝える必要があります。
注:
以下の形式は、各形式の基本的な要件を示しています。インパーソネーション形式はすべて、カスタマイズして、.fcc ファイルから参照されるようにする必要があります。
SM--imp-sample-form-3
SM--imp-sample-form-4
SM--imp-sample-form-5
インパーソネーションログオフフォーム
インパーソネーションセッションを終了するためのフォームも設定する必要があります。
注:
以下の形式は、その基本的な要件を示しています。インパーソネーション形式は、カスタマイズして、.fcc ファイルから参照されるようにする必要があります。
SM--imp-sample-form-6