[コンポーネントの変更]ダイアログ ボックス

casso126jjp
HID_modify-component-dialog
[コンポーネントの変更]ダイアログ ボックスは、レルムを変更し、サブレルム(コンポーネント)を作成するためのセッションと詳細設定を表示します。レルムは、設定に手を加えなくてもアプリケーションを保護できる、
CA Single Sign-on
の基礎コンポーネントの 1 つです。ただし、設定を変更して、
CA Single Sign-on
ポリシーをよりきめ細かく制御することもできます。
  • セッション
    [セッション]セクションでは以下を行います。
    • セッション タイムアウトの設定。
    • 非永続的または永続的なセッションの選択。
    • レルム用の同期監査の有効化または無効化。
    セッション タイムアウトは、ユーザがレルムで認証を行うときに確立されるセッションに基づいています。ユーザが別のレルムのリソースにアクセスする場合でも、
    CA Single Sign-on
    はそのユーザのセッションを維持します。
    例:
    ユーザが、セッション タイムアウトが 30 分の RealmA で認証を行い、15 分後に RealmB のリソースにアクセスすると、RealmB のセッション タイムアウトの設定に関係なく、ユーザのセッションはさらに 15 分有効となります。このデフォルトの動作を変更する場合は、レスポンスを作成してセッション タイムアウト値を上書きします。
    • 最大タイムアウト
      エージェントがユーザに再認証を要求するまで、ユーザ セッションをアクティブにしておく最大時間を指定します。
      この設定は、デフォルトでは有効になっています。最大セッション時間を指定しない場合は、このチェック ボックスをオフにします。デフォルトの最大セッション時間は 2 時間です。
      • 時間
        セッションの最大長の時間の値を指定します。
      • セッションの最大長の分の値を指定します。
        この機能を基本認証方式で使用するには、Web エージェントで Cookie を有効にする必要があります。
        注:
        WebAgent-OnAuthAccept-Session-Max-Timeout レスポンス属性を指定することにより、この設定をオーバーライドすることができます。
    • 有効なアイドル タイムアウト
      許可されたユーザのセッションが非アクティブになってから、エージェントがそのセッションを終了するまでの時間を指定します。ユーザが保護されたリソースにアクセスしてからワークステーションを離れることに関して懸念がある場合は、アイドル タイムアウトをより短い時間に設定します。セッションがタイムアウトになった場合、ユーザは、再認証を行わないとレルムのリソースにアクセスできません。
      この設定は、デフォルトでは有効になっています。セッション アイドル タイムアウトを指定しない場合は、このチェック ボックスをオフにします。デフォルトのセッション アイドル タイムアウトは 1 時間です。
      注:
      セッションは、実際には、指定されたアイドル タイムアウト値の経過後、一定のメンテナンス時間内に期限切れになります。この延長時間は、以下のレジストリ キー内に指定された秒数で決定されます。
      HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\
      CA Single Sign-on
      \CurrentVersion\SessionServer\MaintenancePeriod
      デフォルト:
      60 秒
      例:
      アイドル タイムアウトを 10 分に設定し、MaintenancePeriod レジストリ設定をデフォルト値のまま使用した場合、非アクティブのためにセッションがタイムアウトするまでの最長時間は 11 分(指定されたタイムアウト + メンテナンス時間)になります。
      この機能を基本認証方式で使用するには、Web エージェントで Cookie を有効にする必要があります。
      以下の点に注意してください。
      • 永続セッションの場合、アイドル タイムアウトが必要です。検証期間に指定された値より高い値を設定します。
      • WebAgent-OnAuthAccept-Session-Idle-Timeout レスポンス属性を指定して、この設定よりも優先させることができます。この値が 0 のときは、非アクティブになってもセッションは終了しません。
      • 時間
        アイドル タイムアウト期間の時間の値を指定します。
      • アイドル タイムアウト期間の分の値を指定します。
    • 非永続的
      このレルムのセッションが非永続的になります。ユーザ セッションは Cookie を使用して追跡されます。
    • 永続
      このレルムのセッションが永続的になります。ユーザ セッションはセッション ストアおよびオプションの Cookie で追跡されます。
      このオプションをオンにする場合には、[有効なアイドル タイムアウト]も設定する必要があります。また、検証期間を指定することもできます。
      注:
      ユーザが永続的なセッションを使用するために 1 つ以上のレルムを設定する場合、セッション サーバが必要です。
    • 同期監査
      CA Single Sign-on
      がリソースへのアクセスを許可する前にポリシー サーバと Web エージェントのアクションをログに記録する必要があることを指定します。さらに、
      CA Single Sign-on
      は、監査ログへの記録が完了しなければレルムのリソースへのアクセスを許可しません。
    • casso126jjp
      拡張されたセッション保証
      (ポリシー ドメイン モデルの)レルムまたは(アプリケーション モデルの)コンポーネントで指定されたリソースを保護します。また、特定のフェデレーション パートナーシップの認証リクエストを保護できます。セッション保証エンドポイントはユーザから DeviceDNA™ を収集し、セッションを検証します。
      値:
      セッション保証エンドポイントを指定します。
    • casso126jjp
      セッション保証
      管理 UI で定義済みの、DeviceDNA™ による拡張セッション保証エンドポイントの名前を指定します。(ポリシー ドメイン用の)このレルムまたは(アプリケーション用の)コンポーネントにアクセスするユーザのセッションは、このエンドポイントを使用して検証されます。
  • レガシー許可ディレクトリ マッピング
    [レガシー許可ディレクトリ マッピング]セクションでは、ユーザがレルムのリソースにアクセスする許可ディレクトリを指定します。ディレクトリ マッピングを選択すると、1 つのディレクトリで認証されたユーザを別のディレクトリで許可することができます。
    • ディレクトリ マッピング
      レルムの許可ディレクトリを指定します。[ディレクトリ マッピング: 認証/許可マッピング]ダイアログ ボックスを使用してあらかじめ設定されているディレクトリ マッピングのみが、ドロップダウン リストに表示されます。
      注:
      レルムが存在するポリシー ドメインに含まれている許可ディレクトリへのマッピングのみを選択できます。
  • イベント
    [イベント]セクションでは、認証イベントおよび許可イベントの処理において、これらのイベントによってトリガされたルールをサポートできるようにします。
    • 認証イベントの処理
      認証の試行によってトリガされたルールをサポートします。
    • 許可イベントの処理
      許可の試行によってトリガされたルールをサポートします。
      重要:
      レルム内のリソースにグローバル ポリシーのグローバル ルールを関連付ける場合には、認証イベントと許可イベントを有効にする必要があります。ポリシー サーバは、認証イベントと許可イベントが有効になっていないとグローバルポリシーを処理しません。
  • リスク要因サポート
    CA Single Sign-on
    にリスク分析エンジンが統合されている場合は、[リスク ファクタ サポート]セクションで最小の信頼レベルを入力します。信頼レベルは認証情報保証を表します。これは保護されているリソースをリクエストするユーザが正当である可能性を表します。
    注:
    信頼レベル サポートが有効な場合にのみ、このセクションは利用可能です。
  • サブコンポーネント
    [サブコンポーネント]セクションでは、ネストされたコンポーネント(レルム)を設定できます。
    • サブコンポーネントの作成
      現在のコンポーネントを変更するコンテキスト内の[コンポーネントの作成]画面を開きます。この画面では、ネストされたコンポーネント(レルム)を作成できます。