Web Agent Introduction
目次
casso126jjp
目次
Web エージェントがリソースを保護する方法
Single Sign-On
Web エージェントは、URL によって識別できる任意のリソースへのアクセスを制御するソフトウェア コンポーネントです。Web エージェントは Web サーバに常駐し、リソースの要求をインターセプトして、そのリソースが Single Sign-On
によって保護されているかどうかを判断します。その後、Web エージェントはポリシー サーバと連携し、保護された Web サーバ リソースへのアクセスを要求するユーザの認証および許可を行います。casso126jjp
Web エージェントは以下のタスクを実行します。
- 保護されているリソースへのアクセスリクエストをインターセプトし、ポリシー サーバと連携して動作し、ユーザがアクセス権を持っているかどうかを判断します。
- ユーザに対するコンテンツの提示方法 (ポリシー ベースのパーソナライゼーション)とアクセス権限の配信方法を指示する Web アプリケーションに情報を提供します。
- ユーザが情報に迅速かつ安全にアクセスできるようにします。Web エージェントはユーザ アクセス権限に関するコンテキスト情報をセッション キャッシュに格納します。キャッシュ設定値を変更すると、パフォーマンスを最適化できます。
- 単一の cookie ドメインまたは複数の cookie ドメインにある複数の Web サーバ間でシングル サインオンを有効にして、ユーザの再認証を不要にします。
Single Sign-On
Web エージェントおよびサポートされている Web サーバ プラットフォームのリストについては、テクニカル サポートに移動して、Single Sign-On
のサポート マトリックスを参照してください。Web エージェントは、以下の図に示すように、Web サーバ上にあります。

Web エージェントとポリシー サーバが連携する仕組み
アクセス制御を実行する場合、Web エージェントは、ポリシー サーバと対話を行います。実際に許可と認証の判断を行うのは、ポリシー サーバです。
Web エージェントはリソースに対するすべてのユーザ リクエストをインターセプトし、要求されたリソースが保護されているかどうかをポリシー サーバに確認します。リソースが保護されていない場合は、アクセス要求は Web サーバに直接渡されます。リソースが保護されている場合、次の動作が発生します。
- Web エージェントは、そのリソースに関して、どの認証方法が必要とされているのかチェックします。一般的な認証情報は名前とパスワードです。しかし、証明書、トークンカードの PIN (個人用識別番号)のような他の認証情報が必要になる場合もあります。
- Web エージェントは、認証情報の入力をユーザに要求します。ユーザはそれに応答し、適切な認証情報をレスポンスとして返します。
- Web エージェントは、これらの認証情報をポリシー サーバに渡します。ポリシー サーバは、その認証情報が正しいかどうかを判断します。
- ユーザが認証フェーズに合格した場合、ポリシー サーバは、ユーザがそのリソースにアクセスすることを許可されているかどうか判断します。ポリシー サーバがアクセスを許可した後、Web エージェントは、その要求を Web サーバに渡します。
Web エージェントは、ユーザ固有の属性も
レスポンス
の形式で受信します。これにより、Web コンテンツのパーソナライズ機能とセッション管理が可能になります。レスポンスは、ユーザの許可後にポリシー サーバから Web エージェントに返されるパーソナライズされたメッセージやユーザ固有の情報です。レスポンスは、名前/値という属性ペアで構成されています。この属性ペアは、Web アプリケーションで使用するために、Web エージェントが HTTP ヘッダに追加したものです。レスポンスの例には、以下のようなものがあります。- Web エージェントは、Web アプリケーションへのアクセスをユーザに許可した後、ユーザ セッションの持続時間を指示する情報も Web アプリケーションに送信できます。
- また、以前に登録したサイトに再びアクセスした場合に、Web エージェントはユーザの購買志向に関する情報を返すこともできます。
以下の図は、Web エージェントとポリシー サーバの間の通信を示しています。
異なるタイムゾーンにある Web エージェントとポリシー サーバについての考慮事項
デフォルトでは、ポリシー サーバと Web エージェントは GMT (グリニッジ標準時)を基準にして時間を計算します。したがって、ポリシー サーバまたは Web エージェントがインストールされている各システムのシステム クロックを、その地域のタイム ゾーンに基づいて設定しておく必要があります。
以下の図に、ポリシー サーバが時間を基準にポリシーをどのように実行するかを示します。リソースは、マサチューセッツにある Web サーバに格納されていて、カリフォルニアにあるポリシー サーバで保護されています。このポリシーでは、午前 9 時から午後 5 時までの間のリソースへのアクセスを許可します。ただし、マサチューセッツのユーザは午後 6 時でもリソースにアクセスできます。これは、このポリシーがポリシー サーバのタイムゾーンである PST(太平洋標準時)に基づいており、PST は Web エージェントのタイムゾーンである EST(東部標準時)よりも 3 時間遅れているためです。
注:
Windows システムでは、タイムゾーン設定と時刻([日付と時刻]コントロール パネルで設定)の両方が一致している必要があります。たとえば、米国でシステムを東部標準時から 太平洋標準時にリセットするには、以下の順にタスクを実行します。- タイムゾーンを太平洋標準時に設定します。
- システム クロックに正しい時間(東部標準時より 3 時間早い時間)が表示されていることを確認します。
注:
これらの設定値が整合していない場合、複数のドメイン間でのシングル サインオンや、エージェント キー管理機能が正しく動作しません。