オープン形式の Cookie を生成する Web エージェント レスポンスの作成方法

目次
casso127jpjp
目次
組織がオープン形式の Cookie を使用している場合、ポリシー サーバ上にエージェント レスポンスを設定して、オープン形式の Cookie を生成できます。
重要:
Single Sign-On
はオープン形式の Cookie のみを作成します。
Single Sign-On
は、アプリケーションがオープン形式の Cookie に加える変更を一切認識しません。
Single Sign-On
は、処理中に発生するイベントのシーケンスに応じてオープン形式の Cookie を上書きする可能性があります。
Single Sign-On
は、ユーザのログアウト時にオープン形式の Cookie を自動的に削除できません。
オープン形式の Cookie を生成するように
Single Sign-On
を設定した後に、Web サーバ管理者に、オープン形式の Cookie を使用するように Web アプリケーションをカスタマイズしてもらいます。提供されているサンプルをガイドとして使用します。
How to create a Web Agent response that generates an Open Format Cookie
ポリシー サーバ上でオブジェクトを変更するために管理 UI を開きます。
以下の問題に注意してください。
  • ユーザが SSL を介して管理 UI を初めて起動すると、ブラウザによって、セキュリティ証明書が信頼できる会社によって発行されなかったことが警告されます。この警告は、SSL 登録中に生成される自己署名証明書に関連しています。証明書を承認し、続行してください。
  • 管理 UI では、ブラウザで Javascript を有効にすることが必要です。管理 UI にアクセスするために IE 11 を使用している場合は、Web サイトのコンテンツがブロックされていることを示すメッセージが表示される可能性があります。このメッセージから、管理 UI を信頼済みサイトとして追加します。デフォルトでは、Javascript が有効になっています。ブロックされたコンテンツを確認するチェック ボックスをオフにした場合、UI にはログインできますが、Javascript を有効にするまで正しく表示されません。UI が存在するセキュリティ ゾーンに対して Javascript を有効にするか、UI を信頼済みサイトとして追加します。信頼済みサイトを追加するには、IE メニューから開始し、[ツール]-[インターネット オプション]を選択します。[セキュリティ]タブから、[信頼済みサイト]を選択し、UI を追加します。
以下の手順に従います。
  1. Webブラウザを開きます。
  2. 以下のガイドラインを使用して、管理 UI の場所を入力します。
    • 管理 UI がスタンドアロン オプションを使用してインストールされ、管理 UI が SSL を介して登録されている場合は、以下の場所に移動します。
      https://
      host.domain
      :8443/iam/siteminder/adminui
    • 管理 UI がスタンドアロン オプションを使用してインストールされ、管理 UI が SSL を介して登録されていない場合は、以下の場所に移動します。
      http://
      host.domain
      :8080/iam/siteminder/adminui
    • 管理 UI が既存のアプリケーション サーバ インフラストラクチャにインストールされ、管理 UI が SSL を介して登録されている場合は、以下の場所に移動します。
      http://
      host
      .
      domain
      :
      port
      /iam/siteminder/adminui
    • 管理 UI が既存のアプリケーション サーバ インフラストラクチャにインストールされ、管理 UI が SSL を介して登録されていない場合は、以下の場所に移動します。
      https://
      host
      .
      domain
      :
      port
      /iam/siteminder/adminui
      host
      は、管理 UI ホスト システムの名前を指定します。
      domain
      は、管理 UI ホスト システムの完全修飾ドメイン名を指定します。
      port
      アプリケーション サーバがリクエストをリスンするポートを指定します。
  3. 管理者の認証情報を入力します。
  4. [ログイン]をクリックします。
    このウィンドウの表示内容は、管理 UI へのログイン時に使用する管理者アカウントの権限に応じて異なります。
オープン形式 Cookie を生成する Web エージェント レスポンスの作成
管理 UI を使用して、オープン形式 Cookie を生成する Web エージェント レスポンスを作成します。
以下の手順に従います。
  1. [ポリシー]-[ドメイン]-[レスポンス]-[レスポンスの作成]をクリックします。
  2. オープン形式 Cookie を発行するドメインのオプション ボタンをクリックします。
  3. [Next]をクリックします。
  4. 以下の手順に従い、オープン形式 Cookie を生成するレスポンスを作成します。
    1. レスポンスの名前および説明(オプション)を入力します。
    2. 以下の設定を確認します。
      • Single Sign-On
        オプション ボタンが選択されていること。
      • Web エージェントが[エージェント タイプ]ドロップダウン リストに表示されていること。
    3. [レスポンス属性の作成]をクリックします。
    4. [属性]ドロップダウン リストをクリックし、以下の値を選択します。
      WebAgent-HTTP-Open-Format-Cookie
    5. 以下のフィールドに値を入力します。
      • Cookie 名
        HTTP ヘッダ変数としてオープン フォーマット Cookie で返される名前を指定します。
        制限
        : 任意の印刷可能な ASCII 文字(! から ~ まで。ただし、,、;、=、スペースを除く)。
      • Cookie ドメイン範囲
        オープン フォーマット Cookie で設定されたセクション(ピリオドで区切られた文字)の数を指定します。
        値を 0 に設定すると、オープン フォーマット Cookie は最も具体的な Cookie ドメインを使用します。これは、Cookie ドメイン myserver.example.com に対応するドメインが example.com であり、myserver.metals.example.org に対応するドメインが .metals.example.org であることを意味します。逆に、[Cookie ドメイン範囲]の値が 2 に設定されている場合、Cookie ドメインは、それぞれ .example.com と .example.org になります。
        この設定はオープン フォーマット Cookie に特有です。
        Single Sign-On
        エージェントが使用する CookieDomainScope パラメータとは異なります。
        制限
        : 0、2、または 3 以上。
        例:
        オープン フォーマット Cookie ドメインが division.example.com であると仮定します。server.division.example.com の Cookie ドメインの範囲を設定するには、[Cookie ドメイン範囲]フィールドの値を 3 に設定します。
        デフォルト
        : 2
      • 生存時間(TTL)
        オープン フォーマット Cookie が有効な秒数を指定します。この値が HTTP ヘッダ変数として返されます。
        制限:
        0 より大きい正の数。
      • Cookie パス
        オープン フォーマット Cookie で使用するパスを指定します。この設定はオープン フォーマット Cookie に特有です。
        Single Sign-On
        エージェントが使用する CookiePath パラメータとは異なります。
      • Cookie パス スコープ
        オープン フォーマット Cookie で使用されるパスの範囲を定義する数を指定します。
        この設定はオープン フォーマット Cookie に特有です。
        Single Sign-On
        エージェントが使用する CookiePathScope パラメータとは異なります。
        制限
        : 0 以上
      • 暗号化アルゴリズム
        オープン フォーマット Cookie の暗号化に使用する暗号化アルゴリズムを指定します。3DES 暗号化キーのキー長は 192 ビット(24 バイト)までに制限されています。
        制限
        : AES128/CBC/PKCS5Padding、AES192/CBC/PKCS5Padding、AES256/CBC/PKCS5Padding、3DES_EDE/CBC/PKCS5Padding
        デフォルト
        : 3DES_EDE/CBC/PKCS5Padding
        : 128 ビットより長いキーを使用するには、Sun Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy ファイルをインストールします。http://java.sun.com/javase/downloads/index.jsp からこれらのファイルをダウンロードできます。
      • 暗号化パスワード
        オープン フォーマット Cookie の暗号化に使用するパスワードを指定します。
         
    6. キーを生成する場合は、[暗号化キーの生成](Generate Encryption Key)をクリックします。独自の既存のキーを入力することもできます。
      暗号化キーは以下のフィールドに表示されます。
      • 暗号化キー
        オープン フォーマット Cookie で使用される暗号化キーを識別します。自分のキーを入力するか、または[暗号化パスワード]フィールドの値に基づくキーを生成します。また、アプリケーションは、このキーを持つオープン フォーマット Cookie を復号化します。ここで設定または変更される任意のキーを、アプリケーションにコピーします。
        制限
        : 16 進数のみを使用します。
         
    7. オープン形式 Cookie を追加する属性に対応するチェック ボックスをオンにします。以下のリストから選択します。
      注:
      認証プロセス中に利用可能な値の一部は、許可プロセス中には使用されません。この状況では、認証プロセスに使用されるオープン形式 Cookie の情報は、その後の許可中に上書きされます。
      • SM_USERNAME
        userdn (ユーザ識別名)値をオープン フォーマット Cookie に追加します。
      • SM_USERLOGINNAME
        ユーザ名(ユーザがログインに使用した)の値をオープン形式の Cookie に追加します。
      • SM_USERIPADDRESS
        ユーザの IP アドレス(認証または認可時に存在した)をオープン形式の Cookie に追加します。
      • SM_USERSESSIONIP
        オープン形式の Cookie へのセッションをユーザが最初に認証し、確立した際に使用された IP アドレスを追加します。
      • SM_USERGROUPS
        ユーザ グループをオープン フォーマット Cookie に追加します。
      • SM_USER_CONFIDENCE_LEVEL
        リスク スコアまたは(レルムからの)信頼レベルをオープン フォーマット Cookie に追加します。
      • SM_AUTHENTICATIONNAME
        認証方式の名前をオープン形式 Cookie に追加します。
        制限:
        認証フェーズ中にのみ使用可能です。
      • SM_AUTHENTICATIONTYPE
        認証方式タイプをオープン フォーマット Cookie に追加します。
        制限:
        認証フェーズ中にのみ使用可能です。
      • SM_AUTHENTICATIONLEVEL
        認証方式で定義された保護レベルをオープン フォーマット Cookie に追加します。
    8. (オプション)オープン形式 Cookie に含める値があるユーザ ディレクトリからその他の属性を追加します。
    9. 以下の属性キャッシング オプションのいずれかを選択します。
      • キャッシュ値
        エージェントで属性値が一度計算されると、ポリシー サーバ用に値がキャッシュされるように指定します。属性が長期間にわたって変化しない場合、このオプション ボタンを使用します。
      • 値の再計算間隔
        レスポンス値が再計算されるまでの秒数を指定します。値が「0」の場合は、[キャッシュ値]と同等です。
  5. [OK]をクリックします。
  6. [完了]をクリックします。
    オープン形式 Cookie を生成する Web エージェント レスポンスが作成されます。
ルールへの Web エージェント レスポンスの追加
オープン形式 Cookie を生成する Web エージェント レスポンスは、以下のルール タイプの
いずれか
に追加する必要があります。
  • OnAuthAccept
  • OnAccessAccept
前述の両タイプを使用する場合は、個別のルールを作成します。ただし、各ルールには 1 つのタイプだけ指定できます。
以下の手順に従います。
  1. 管理 UI から、[ポリシー]、[ドメイン]、[ルール]、[ルールの作成]をクリックします。
  2. オープン形式 Cookie を発行するドメインのオプション ボタンをクリックします。
  3. [Next]をクリックします。
  4. オープン形式 Cookie を発行するレルムを選択します。
  5. [Next]をクリックします。
  6. [ルールの作成]をクリックします。
  7. 以下の手順に従い、ルールを作成します。
    1. わかりやすい名前と説明(オプション)を入力します。
    2. 以下の項目を指定します。
      • レルムとリソース
      • 許可/拒否と有効/無効
    3. 以下のいずれかのオプション ボタンをクリックします。
      • 認証イベント
      • 許可イベント
    4. 以下のリストから適切な値が表示されることを確認します。
      • 認証イベントの場合は、OnAuthAccept が[アクション]ドロップダウン リストに表示される必要があります。
      • 許可イベントの場合は、OnAccessAccept が[アクション]ドロップダウン リストに表示される必要があります。
    5. (オプション)必要な時間制限をルールに追加します。
  8. [完了]をクリックします。
    Web エージェント レスポンスがルールに追加されます。
  9. (オプション)手順 6 ~ 8 を繰り返して、追加のルールを作成します。
ポリシーへのルールの追加
ルールを既存のポリシーに追加します。ルールは、オープン形式 Cookie を生成するレスポンスと関連付けられます。
以下の手順に従います。
  1. 管理 UI から、[ポリシー]、[ドメイン]、[ドメイン ポリシー]をクリックします。
  2. ルールを追加するポリシーの[編集]アイコンをクリックします。
    [一般]タブが選択された状態で[ポリシーの変更]画面が表示されます。
  3. [ルール]タブをクリックします。
  4. [ルールの追加]をクリックします。
    使用可能なルールのリストが表示されます。
  5. ポリシーに追加するルールのチェック ボックスをオンにします。
  6. [OK]をクリックします。
  7. [サブミット]をクリックします。
    ルールがポリシーに追加され、確認メッセージが表示されます。
サンプルをガイドとして使用したアプリケーションのカスタマイズ
アプリケーションをカスタマイズするためのサンプル アプリケーションと Readme ファイルを使用できます。Web サーバ管理者は、オープン形式 Cookie を消費するアプリケーションを変更するときに、これらのサンプルをガイドとして使用できます。
以下のリストから、アプリケーションのタイプに応じて適切なディレクトリを選択します。
  • installation_directory
    \siteminder\samples\SmOpenFormatCookie\Java (Java)
  • installation_directory
    \siteminder\samples\SmOpenFormatCookie\dotnet (.NET)
installation_directory
ポリシー サーバがインストールされているファイル システム上の場所を指定します。
注:
ユーザがログアウトする場合、
Single Sign-On
はオープン形式 Cookie を自動的に削除できませんが、Cookie を削除するサンプル スクリプトが別のシナリオで提供されています。