レスポンス
casso126jjp
レスポンスは、ポリシー サーバからエージェントに、静的テキスト、ユーザ属性、DN 属性、カスタマイズされたアクティブ レスポンス、定義された変数のランタイム値を渡します。サーブレット、Web アプリケーション、その他のカスタム アプリケーションはレスポンスを使用して、カスタマイズされたコンテンツを表示したり、サーバ設定を変更したり、ユーザを別のリソースにリダイレクトしたりできます。Web アプリケーションと共に動作する場合には、きめの細かいアクセス制御を行うための権限もしくは権限付与の手段としてレスポンスを利用することができます。
ポリシーには、ユーザとユーザ グループにバインドされるルールとレスポンスが含まれています。ポリシー内では、レスポンスは特定のルールまたはルール グループに結び付けられています。ルールが起動すると、関連するレスポンスは、エージェントに情報を返します。
レスポンスの形式は、名前/値のペアになっています。ルールがトリガされると、ポリシー サーバはペアになっているレスポンスをエージェントに返します。たとえば、保護された Web ページにアクセスしようとしたユーザが、そのページのコンテンツを表示する許可を受けていない場合、レスポンスにより、ユーザがアクセス権を持っていないことを示す HTML ページにユーザをリダイレクトして、システム管理者に問い合わせるための詳細情報を表示させることができます。
Web エージェントの場合、Web サーバは HTTP ヘッダ変数や HTTP Cookie 変数にレスポンス属性を追加して、ルールで指定された Web リソースやアプリケーションでレスポンスを使用できるようにします。RADIUS 環境では、レスポンスは RADIUS クライアントに返されます。
ここでは、以下の内容について説明します。
2
レスポンス タイプ
レスポンスには、1 つ以上のレスポンス属性が入っています。ポリシー サーバがレスポンスを処理した後に、エージェントがこのレスポンス属性を受け取ります。使用可能なレスポンス属性は、レスポンスのタイプによって異なります。
使用可能なレスポンスのタイプは、以下のとおりです。
- Web エージェント レスポンスWeb エージェントレス ポンスは、Web エージェントで使用可能な名前/値ペアです。Web エージェント レスポンスに含めることができるのは、HTTP ヘッダ変数、cookie 変数用のリダイレクト用の URL です。
- RADIUS レスポンスRADIUS レスポンスは、RADIUS エージェントで使用可能な値です。これらのレスポンスには、サポートされているすべての RADIUS レスポンス属性を含めることができます。
API を使用して、カスタム エージェントおよびレスポンス属性用のレスポンスを作成できます。API は、ソフトウェア開発キットとは別売です。
Response Attributes
各レスポンスには、1 つ以上のレスポンス属性が含まれています。このレスポンス属性は、レスポンスのタイプによって異なります。次のセクションでは、各レスポンス タイプで使用可能なレスポンス属性について説明します。
Web エージェント レスポンス属性
Web エージェント レスポンス属性は、Web エージェントが解釈してほかのアプリケーションに渡すことのできるレスポンス属性です。以下のリストは、使用可能な一般的な Web エージェント レスポンス属性について説明します。
- WebAgent-HTTP-Authorization-Variable将来使用するために予約されている属性を示します。
- WebAgent-HTTP-Cookie-VariableSetCookie ヘッダを作成し、Web ブラウザに非永続的な Cookie を設定します。この Cookie は、エージェントが設定された Cookie ドメインにだけ存在します。複数の WebAgent-HTTP-Cookie-Variable を入力することができます。承諾または拒否レスポンスで使用します。この属性は、レスポンスごとに複数のインスタンスが許可されています。
- WebAgent–HTTP–Header–VariableWeb アプリケーションが使用する任意の動的な名前/値ペアを指定します。複数の WebAgent-HTTPHeader-Variable を入力することができます。エージェントは、Web ブラウザに返信するレスポンスにヘッダ変数を含めていません。代わりに、これらのレスポンスは Web サーバのリクエスト ヘッダに配置されます。したがって、ポリシー サーバ管理コンソールで有効化するデバッグ ログでは、ヘッダ変数を確認できません。承諾または拒否レスポンスで使用します。この属性は、レスポンスごとに複数のインスタンスが許可されています。
- WebAgent-OnAccept-Redirectこの属性が使用されるレスポンスのタイプに応じて、以下のいずれかの URL を定義します。
- 許可レスポンスでは、リソースへのアクセスを許可された場合のユーザのダイレクト先 URL
- 認証レスポンスでは、セキュリティ レルムに対して認証された場合のユーザのダイレクト先 URL
- WebAgent-OnAccept-Text許可または認証に成功した後でユーザをリダイレクトするときに、Web エージェントが HTTP_ONACCEPT_TEXT 環境変数に挿入するテキストを指定します。承諾レスポンスで使用します。1 つのレスポンスで許可されるこの属性のインスタンスは 1 つだけです。Web エージェントの OnAcceptText レスポンスを設定する場合は、Web エージェントに対応する FCC 互換モード パラメータ(fcccompatmode)を「yes」に設定します。この操作で、ユーザ認証が Web エージェントで実行されて、レスポンス内のテキストをブラウザに表示できるようになります。FCC 互換モード パラメータが no に設定されると、ユーザ認証はフォーム認証情報コレクタ(FCC)で実行されます。レスポンスはトリガされますが、レスポンスでのテキストは失われます。
- WebAgent-OnAuthAccept-Session-Idle-Timeoutユーザセッションのアイドル状態の制限時間(秒単位)を上書きします。制限時間に達すると、ユーザは再認証を要求されます。このレスポンスは、OnAuthAccept 認証イベントを設定したルールと関連付けてください。承諾レスポンスで使用します。1 つのレスポンスで許可されるこの属性のインスタンスは 1 つだけです。
- WebAgent-OnAuthAccept-Session-Max-Timeoutユーザセッションのアクティブ状態の制限時間(秒単位)を上書きします。制限時間に達すると、ユーザ セッションが終了してユーザは再認証を要求されます。このレスポンスは、OnAuthAccept 認証イベントを設定したルールと関連付けてください。承諾レスポンスで使用します。1 つのレスポンスで許可されるこの属性のインスタンスは 1 つだけです。
- WebAgent-OnAuthAccept-Session-AuthContext認証方式用の AuthContext レスポンス属性を指定します。このレスポンス属性の値は SM_AUTHENTICATIONCONTEXT ユーザ属性の値としてセッション チケットに追加されます。その値は、ユーザ レスポンスとしてクライアントに返されることはありません。承諾レスポンスで使用します。1 つのレスポンスで許可されるこの属性のインスタンスは 1 つだけです。レスポンス属性値は、長さが 80 バイトになるように切り捨てられます。
- WebAgent-OnAuthAccept-Session-Variable管理者が永続するすべての認証データに対して決定すると、セッション ストアに特定のセッション変数を格納します。承諾レスポンスで使用します。永続セッションは有効です。
- WebAgent-OnReject-Redirect
- 許可レスポンスでは、この属性はリソースへのアクセスを拒否された場合のユーザのリダイレクト先 URL を指定します。
- 認証レスポンスでは、この属性はセキュリティレルムに対する認証に失敗した場合のユーザのリダイレクト先 URL を指定します。
- WebAgent-OnReject-Text許可または認証に失敗した後でユーザをリダイレクトするときに、Web エージェントが HTTP_ONREJECT_TEXT 環境変数に挿入するテキストを指定します。拒否レスポンスで使用します。1 つのレスポンスで許可されるこの属性のインスタンスは 1 つだけです。
Web エージェント レスポンス属性以外に、Web サービス セキュリティでは、WSS エージェントと共に使用する場合にのみ適用可能な、以下の Web エージェント レスポンス属性を提供します。
- WebAgent-SAML-Session-Ticket-VariableWSS エージェントが SAML アサーションの生成に使用するポリシー サーバ データを提供します。データは、(関連するレスポンス属性による指定に従って)XML メッセージ HTTP または SOAP エンベロープ ヘッダ、または Cookie に挿入されます。SAML セッション チケット レスポンスを設定するとき、ポリシー サーバはレスポンス データを生成します。このデータは、WSS エージェントに対してアサーションを作成する方法を指示します。WSS エージェントは、セッション チケット(必要に応じて Web サービス コンシューマの公開キー)およびレスポンス データを暗号化します。その後、エージェントはアサーションを生成します。エージェントは Web サービスにアサーションを送信します。トークンは、WSS エージェントがそのエージェント キーを使用する場合のみ、暗号化および復号化できます。
- WebAgent-WS-Security-TokenWSS エージェントが(関連するレスポンス属性の指定に従って) WS-セキュリティ ユーザ名、X509v3、または SAML トークンの生成に使用するポリシー サーバ データを提供します。これらのトークンは SOAP メッセージ ヘッダに追加されます。WS-セキュリティ レスポンスを設定するとき、ポリシー サーバはレスポンス データを生成します。このデータは、WSS エージェントに対してトークンの作成方法を指示します。その後、エージェントは、トークンを生成して SOAP リクエストに追加し、Web サービスに送信します。
RADIUS エージェント レスポンス属性
RADIUS エージェント レスポンス属性は、RADIUS エージェントが解読できるレスポンス属性です。
Single Sign-On
でサポートされるレスポンス属性はすべて、RFC(Request for Comments)2138 に明記されている属性に対応しています。RFC 2138 では、RADIUS プロトコルによってサポートされる属性が説明されています。レスポンスとディレクトリ マッピング
ディレクトリ マッピングでは、アプリケーション オブジェクト コンポーネントまたはレルムに別個の許可ユーザ ディレクトリを指定できます。別個の許可ディレクトリを定義した場合、ユーザの許可時に使用される情報を含むディレクトリと、ユーザの認証時に使用される情報を含むディレクトリは異なります。
作成したレスポンスを認証(OnAuth)イベントに関連付けた場合、取得先がユーザ ディレクトリである情報は、すべて認証ディレクトリから取得されます。許可(OnAccess)イベントを作成した場合、取得先がユーザ ディレクトリである情報は、すべて許可ディレクトリから取得されます。