CA Single Sign-On による管理 UI の保護

で管理 UI を保護するには、管理認証を設定します。管理認証では、外部管理者ストアを使用して、管理者のアイデンティティを確認します。 で UI を保護するには、以下のタスクを完了します。
casso126jjp
Single Sign-On
で管理 UI を保護するには、管理認証を設定します。管理認証では、外部管理者ストアを使用して、管理者のアイデンティティを確認します。
Single Sign-On
で UI を保護するには、以下のタスクを完了します。
2
リクエストを UI に送信するためのプロキシ サーバのセットアップ
管理 UI にアクセスするために、以下のプロキシ サーバのいずれかを設定します。
  • CA Access Gateway
  • Apache Web エージェントによって保護される Apache リバース プロキシ サーバ
以下の図は、管理 UI によって、サーバにリクエストを転送するプロキシ サーバを示しています。必須ではありませんが、プロキシ サーバと同じシステム上に管理 UI を配置できます。
Admin UI Protected by SSO
リクエストを UI にプロキシするための
CA Access Gateway
の設定
管理 UI にリクエストを転送するように
CA Access Gateway
 を構成するには、以下の手順を実行します。
注:
CA Access Gateway
 には Web エージェントが組み込まれているため、Web エージェントは必要ありません。
以下のタスクが完了していることを確認します。
  • ポリシー サーバ、ポリシー ストア、および管理 UI がインストールされ、動作している。 
    管理 UI と
    CA Access Gateway
    のソフトウェア バージョンは同じである必要があります。
  • CA Access Gateway
    がインストールされており、ポリシー サーバに接続されている。
  • (オプション) SSL に対して設定されている管理 UI を保護するには、
    CA Access Gateway
    がインストールされているホスト上で SSL を設定します。
以下の手順に従います。
  1. リクエストが UI に転送されるように、以下のプロキシ ルールで
    Proxy Rules.xml
    ファイルを更新します。このファイルは、ディレクトリ
    access_gateway_install_location
    \proxy-engine\conf 内にあります。
    <!-- Proxy Rules-->
    <nete:proxyrules xmlns:nete="http://<Administrative UI hostname:port>/"> 
    <nete:cond criteria="beginswith" type="uri">
    <nete:case value="/iam/siteminder/">
    <nete:forward>http(s)://<Administrative UI 
    hostname
    :
    port
    >$0</nete:forward>
    </nete:case>
    <nete:case value="/castylesr5.1.1/">
    <nete:forward>http(s):// <Administrative UI 
    hostname
    :
    port
    >$0</nete:forward>
    </nete:case>
    <nete:default>
    <nete:forward>http://www.example.com$0</nete:forward>
    </nete:default>
    </nete:cond>
    </nete:proxyrules>
  2. 以下のパラメータで、
    server.conf
    ファイルの[Default Virtual Host]セクションを更新します。 このファイルは、ディレクトリ
    access_gateway_install_location
    \proxy-engine\conf 内にあります。
    enableredirectrewrite=yes
    redirectrewritablehostnames=a
    dminui_server
    adminui_server
     は、管理 UI が実行されているシステムのホスト名を指定します。
  3. エージェント設定オブジェクト(ACO)で、以下の例に示すように、
    LogOffUri
    パラメータの値を SiteMinderLogout.jsp に設定します。
    text/iam/siteminder/SiteMinderLogout.jsp
  4. (オプション)管理 UI が SSL ポート上で実行されている場合は、その管理 UI をホストしているサーバの自己署名証明書をダウンロードします。自己署名証明書を
    CA Access Gateway
    認証機関ファイルに配置します。このファイルは、ディレクトリ
    access_gateway
    _install_location
    /SSL/certs にあります。
  5. CA Access Gateway
    を再起動します。
  6. 管理認証の有効化」に進んでください。
UI へリクエストをプロキシするための Apache リバース プロキシ サーバの設定
Apache リバース プロキシ サーバが管理 UI にリクエストを転送できるようにするには、以下の手順を実行します。 
ヒント:
保護する管理 UI が複数ある場合、各インスタンスを個別のリバース プロキシ サーバで保護します。
以下の手順に従います。
  1. Apache Web Server をリバース プロキシ サーバとして設定します。手順については、Apache Web Server のドキュメントを参照してください。 
    リバース プロキシ サーバのルールを設定する場合は、UI の URL が管理 UI を登録したときに指定したものと同じであるようにします。
    例:
    管理 UI が以下の URL で登録された場合は、プロキシ サーバ ルールで同じ URL を指定します。 
    http://
    host_name
    :8080/iam/siteminder/adminui
  2. Web エージェントを同じ Apache Web Server にインストールし、設定します。
  3. エージェント設定オブジェクト(ACO)で、以下の例に示すように、
    LogOffUri
    パラメータの値を SiteMinderLogout.jsp に設定します。
    text/iam/siteminder/SiteMinderLogout.jsp
  4. 次のセクションの説明に従って、管理認証を有効にします。
管理認証の有効化
Single Sign-On
で管理 UI を保護するには、管理 UI で管理認証ウィザードを実行し、管理認証を有効にします。このウィザードで、外部管理者ストアを設定できます。さらにウィザードでは、管理 UI を保護するエージェントとして、
CA Access Gateway
 または Apache Web エージェントを指定することもできます。
以下の手順に従います。
  1.  「外部管理者ストアの設定」に記載された前提条件を完了していることを確認します。
  2. CA Access Gateway
     または Apache リバース プロキシを介して管理 UI にアクセスします。
    例: 
    http://
    hostname
    :
    port
    /iam/siteminder/adminui
    hostname
     は、
    CA Access Gateway
     または、Apache サーバがインストールされている Web サーバの名前を指定します。
    port
    は製品が動作しているポートを指定します。
  3. デフォルトの UI 認証情報を使用して、管理 UI にログインします。
  4. [管理]-[管理 UI]-[管理認証の設定]を選択します。ウィザードが開始します。
  5. Web エージェントとして Apache リバース プロキシ サーバを保護する
    CA Access Gateway
     またはエージェントを選択します。
  6. ウィザードを完了します。
    ウィザードは、対応するレルムとルールで、「
    SiteMinderDomain
    」という名前のドメインを作成します。デフォルトで、新規ドメインは、デフォルトのログイン ページの代わりに基本認証方式を使用して管理 UI を保護します。
    外部の管理サーバに UI をインストールした場合、サーバは自動的に再起動して、
    Single Sign-On
    認証を適用します。スタンドアロン UI (組み込み JBOSS サーバで) をインストールした場合は、新しいスーパー ユーザ認証情報でログインする前に手動でサーバを再起動します。
 
Single Sign-On
 が管理 UI を保護するようになりました。
UI にアクセスし、新しいスーパー ユーザのユーザ名とパスワードで ログインします。このユーザは、外部管理者ストアへの接続の設定時に指定したものです。 管理 UI のホーム ページが正常に表示されます。 アドレス バー内の URL は変わらず、プロキシ サーバの URL が表示されます。
(オプション) UI の保護に使用される認証方式の変更
管理認証を設定すると、その結果の
SiteMinderDomain
は基本認証を使用して管理 UI を保護します。基本認証の代わりに、HTML フォームまたは別に認証を選択できます。
(オプション) UI を保護する HTML フォーム認証の設定
ログイン ページを使用してユーザ認証情報の入力を求めるには、基本認証方式ではなく、HTML フォーム認証方式を選択します。
以下の手順に従います。
  1. adminui
    フォルダを
    次の場所から
    Administrative_UI_install_location
    /siteminder/webagent-resources
    次の場所に
    コピーします。
    Access_Gateway_install_location
    /proxy-engine/examples/siteminderagent
  2. HTML フォーム認証方式を作成します。
  3. [スキーム セットアップ]セクションの[ターゲット]フィールドに、以前にコピーした adminui フォルダ内の .fcc ファイルの場所を指定します。
    例:
    /siteminderagent/adminui/signin.fcc
  4. 新しく作成された HTML フォーム認証方式を
    SiteMinderDomain
    ドメインに追加します。
  5. キャッシュをリフレッシュします。
  6. 以下のように URL を使用して、管理 UI にアクセスします。
    http://hostname.example.com:port/iam/siteminder/adminui
  7. 権限のあるユーザのユーザ名とパスワードを入力します。
管理 UI のホーム ページが表示されます。アドレス バー内の URL は、プロキシ サーバの URL です。
(オプション) UI を保護するためのその他の認証方式の設定
デフォルトの基本認証方式の代わりとして、SAML および WS-Fed 認証を除き、
Single Sign-On
 でサポートされている任意の認証方式に変更できます。
以下の手順に従います。
  1. [ポリシー]-[ドメイン]をクリックします。
  2. [レルム]をクリックします。
  3. siteminder_ims_realm
    という名前のレルムを検索し、名前をクリックして開きます。 このレルムは
    SiteMinderDomain
    ドメインに関連付けられています。
  4. [変更]をクリックして設定を有効にします。
  5. [認証方式]リストから認証方式を選択します。
  6. 必要に応じてさらに設定を入力します。
  7. [サブミット]をクリックします。
管理 UI は選択された認証方式を使用して保護されます。
管理認証の無効化
Single Sign-On
で管理 UI を保護する必要がなくなった場合は、管理認証を無効にします。
以下の手順に従います。
  1. 管理 UI にログインします。
  2. [管理認証]ウィザードを実行して、
    Single Sign-On
    認証を使用して管理 UI を保護する必要がなくなったことを指定します。
    注:
    外部管理者ストアの使用を続行する場合は、既存のディレクトリ サーバまたはデータベース接続情報を残します。
  3. 管理 UI ホスト システムにログインします。
  4. 管理 UI データ ディレクトリを削除します。スタンドアロン UI のインストールのデータ ディレクトリは次のとおりです。
    install_dir
    /adminui/server/default/data
  5. ポリシー サーバのホスト システムにログインし、XPSRegClient ユーティリティを使用して管理 UI の登録ウィンドウをリセットします。
  6. 管理 UI をポリシー サーバに登録します。