Web アプリケーション クライアントへの CA Single Sign-On 動作の適用
目次
casso127jpjp
目次
2
一部の Web アプリケーションでは、リソースをリクエストし、コンテンツを表示するために Web ブラウザのコンテキストで実行するスクリプト エンジンを使用します。標準的な Web ブラウザが送信するリクエストと同様に、スクリプト エンジンから送信されたリクエストは、HTTP リダイレクトやチャレンジなど、エージェントで生成された動作をトリガできます。
Web アプリケーションに適切に統合されていないと、この動作により Web アプリケーション クライアントが不確定状態になる可能性があります。
Web アプリケーション クライアント レスポンス(WebAppClientResponse) ACO パラメータを使用して、以下の操作を実行できます。
- Web ブラウザのコンテキストで実行しているスクリプト エンジンから送信されたリクエストを識別するようにSingle Sign-Onを設定する。
- チャレンジなどSingle Sign-Onで生成された動作を、Web アプリケーション クライアントの機能と統合するためにカスタマイズしたレスポンスを使用する。
- グローバル レベルでの Web 2.0 リソースからのリクエスト(AJAX など他の API ベースのコール)のレスポンス形式を設定する。
- 各 Web エージェント レベルでの要求/レスポンスを手動で設定する必要性を減らすために Web アプリケーション クライアントにグローバル レスポンスを設定する。
セッション管理機能(アイドル タイムアウトまたはセッション タイムアウトなど)を統合するために WebAppClientResponse パラメータを使用している場合は、OverLookSessionFor ACO パラメータも設定します。OverLookSessionFor パラメータは Web アプリケーション クライアント リクエストによってユーザ セッションが無限にアクティブにならないようにしますが、WebAppClientResponse パラメータでは、セッション タイムアウト後にユーザをリダイレクトするための必須機能を統合できます。
Web アプリケーション クライアント レスポンスの導入
WebAppClientResponse ACO パラメータを使用して、
Single Sign-On
のセキュリティを維持しながら、Web アプリケーション クライアントの機能を実装します。パラメータは以下のデフォルト属性で構成されます。
Resource=|Method=|Status=|Body=|Content-Type=|Charset=|RequestHeader=|RequestHeaderValue=|ResponseFormat=|RedirectURL=
以下の点を考慮してください。
- この ACO パラメータは、有効な値を持つ 1 つ以上の属性を必要とします。
- 有効なレスポンスに本文または ResponseFormat を指定します。
- 追加の属性はすべてオプションです。
- 本文と ResponseFormat の両方の属性が設定されている場合は、本文が優先されます。
- 複数の Web アプリケーションからのリクエストを識別する必要がある場合、単一の ACO パラメータには属性ごとに複数の値を含めることができます。
- Web アプリケーション クライアント レスポンス機能は、基本認証方式では動作しません。
例: WebAppClientResponse ACO パラメータ
この例では、各属性に対して有効な値を持つパラメータを示します。例の後に各属性の説明が示されます。
WebAppClientResponse:Resource=/web20/dir/*|Method=GET,POST|Status=403|Body=C:\location\custombody_1.txt|Content-Type=application/xml|Charset=us-ascii|RequestHeader=X-REQUESTED- WITH|RequestHeaderValue=XML_HTTPREQUEST|ResponseFormat=Application/xml|RedirectURL=http://www.google.com
- ResourceWeb アプリケーション クライアントがリクエストを行う URI を指定します。リクエストの URI がこの値に一致する場合、Single Sign-Onは Web アプリケーション クライアントから送信されたリクエストを識別します。リソースには、プレフィックスとサフィックスをマッチングするためにワイルドカード(*)を含めることができます。デフォルト:値なし。この値を省略した場合、Web エージェントが保護しているすべてのリソースがパラメータに適用されます。値:正規表現はサポートされていません。例: Resource=/web20/dir/*例: Resource=/web20/dir/*.xml
- MethodWeb アプリケーション クライアントがリクエストを行うための HTTP メソッドを指定します。リクエストの HTTP メソッドがこの値に一致する場合、Single Sign-Onは Web アプリケーション クライアントから送信されたリクエストを識別します。デフォルト:値なし。この値を省略した場合、パラメータは HTTP メソッドをすべて適用します。複数のメソッドは、カンマ(,)で区切ります。例: GET, POST
- ステータスSingle Sign-Onが Web アプリケーション クライアント リクエストに返送する必要がある HTTP ステータスを指定します。デフォルト:値なし。この値を省略した場合、200 の HTTP ステータスがパラメータに適用されます。注:ステータス コードをカスタマイズできます。ステータス属性が 403 に設定されている場合、アプリケーション クライアントはグローバル レスポンスおよびカスタム レスポンスをステータス コード 403 で受信します。
- BodyWeb アプリケーション クライアント リクエストに対するレスポンスとして機能するカスタム本文が含まれるファイルの完全修飾名を指定します。このファイルは Web エージェント ホスト システム上に存在し、以下のように指定できます。
- テキスト ベースか、バイナリ データを含む。
- アプリケーションの所有者が設計した任意のカスタム本文を含める。
- 理由およびリダイレクト URL を転送するために使用できるカスタム本文を含める。
デフォルト:値なし。この値を省略した場合、Single Sign-Onは本文なしで Web アプリケーション クライアントに対するレスポンスを転送します。 - Content-Typeレスポンスが含まれるファイルに存在するデータの MIME 形式を指定します。デフォルト:値なし。この値を省略した場合、テキスト/プレーンの MIME タイプがパラメータに適用されます。カスタム本文にSingle Sign-Onによって生成されたレスポンスが含まれる場合、データのコンテンツ タイプは以下のいずれかのタイプである必要があります。
- text/*
- application/xml
- application/*+xml
- Charset本文ファイルに存在するデータの文字セットを指定します。デフォルト:値なし。この値を省略した場合、パラメータは us–ascii の文字セット タイプを適用します。
- RequestHeaderHTTP リクエストのヘッダ名を指定します。例:RequestHeader=X-REQUESTED-WITH
- RequestHeaderValueHTTP リクエストのヘッダ値を指定します。例:RequestHeaderValue=XML-HTTPREQUEST
- ResponseFormatリクエストを作成する Web アプリケーションに送信されるレスポンスの形式を指定します。レスポンスの形式は xml または json にすることができます。例:ResponseFormat=Application/json例:ResponseFormat=Application/xml
- RedirectURLユーザが自動的にリダイレクトする URL を指定します。RedirectURL 属性は、ACO パラメータで定義されたステータス コードを使用します。
Cookie プロバイダと Web アプリケーション クライアント レスポンス
WebAppClientResponse パラメータを設定するときに以下の点を考慮してください。
- Web 2.0 リソースにアクセスする場合、Single Sign-Onは Cookie プロバイダ上でセッション Cookie を更新しません。
- .html、.jsp、.asp、.cgi などの Web 2.0 以外のリソースにアクセスする場合、Single Sign-Onは Cookie プロバイダ上のセッション Cookie を通常どおりに更新します。
Web アプリケーションへの Web アプリケーション クライアント レスポンスの適用方法
Web アプリケーションと共に Web アプリケーション クライアント レスポンスを適用すると、
Single Sign-On
のセキュリティを維持しながら、Web アプリケーション クライアントの機能を実装できます。以下の手順を完全に実行して、Web アプリケーション クライアント レスポンスを適用します。- Web アプリケーション クライアント レスポンス(WebAppClientResponse) ACO パラメータを設定します。
- カスタム レスポンスを設定します。
- カスタム レスポンスを処理するように Web アプリケーションを設定します。
Web アプリケーション クライアント レスポンスの設定
Web アプリケーション クライアント レスポンスを設定して、Web アプリケーション クライアントの機能を実装します。
以下の手順に従います。
- 以下のタスクのいずれかを実行します。
- 管理 UI で[エージェント設定オブジェクト](ACO)を開き、WebAppClientResponse のコメントを解除します。
- ローカル エージェント設定ファイルを開き、WebAppClientResponse のコメントを解除します。
- 以下の 1 つ以上のデフォルト属性の値を入力します。ACO パラメータは、1 つ以上の属性で有効な値を必要とします。追加の属性はすべてオプションです。複数の Web アプリケーションからのリクエストを識別する場合、単一の ACO パラメータには属性ごとに複数の値を含めることができます。
- Resource
- Method
- ステータス
- Body
- Content-Type
- Charset
- RequestHeader
- ReuqestHeaderValue
- ResponseFormat
- 以下のタスクのいずれかを実行します。
- 管理 UI で ACO を保存します。
- ローカル エージェント設定ファイルを保存します。
カスタマイズしたレスポンスの設定
アプリケーションの所有者は、Web エージェント ホスト システム上に存在するファイルの本文内でカスタマイズしたレスポンスを設定します。Web アプリケーション クライアント リクエストが
Single Sign-On
機能をトリガすると、Web エージェントは Web アプリケーション クライアントに対するレスポンスとして本文を返します。以下の点を考慮してください。
- ファイルには、アプリケーションの所有者が設計した任意のカスタム本文を含めることができます。
- ファイルはテキスト ベースにできます。ファイルがテキストベースの場合、Single Sign-Onは Web アプリケーション クライアントにレスポンスを送信する前に $$Reason$$ と $$URL$$ 用のファイルの本文を解析します。レスポンスにSingle Sign-Onによって生成された動作を含める場合:
- データのコンテンツ MIME タイプは以下のいずれかのタイプである必要があります。
- text/*
- application/xml
- application/*+xml
- 以下のプレースホルダ値が本文に表示される必要があります。SiteminderReason=$$Reason$$ SiteminderRedirectURL=$$URL$$Single Sign-Onは、これらの値の本文を解析し、トリガされたSingle Sign-On機能とリダイレクト URL を挿入します。以下のパラメータまたはポリシー レスポンス タイプが機能と URL を定義します。
- IdleTimeoutURL
- MaximumTimeoutURL
- ExpiredCookieURL
- OnAccessAcceptRedirect
- OnAccessRejectRedirect
- Challenge
例:Web アプリケーション クライアント リクエストがアイドル タイムアウトをトリガします。Single Sign-Onは、プレースホルダ値を IdleTimeoutURL パラメータの URL に置き換えます。
- ファイルにはバイナリ データを含めることができます。ファイルにバイナリ データが含まれる場合、Single Sign-Onはファイルの本文を解析せずに、Web アプリケーション クライアントに転送します。
グローバル レスポンスの設定
未確認または設定されていないリスエスト タイプのレスポンス形式も設定できます。以下の属性が設定される場合があります。
RequestHeader、RequestHeaderValue、および ResponseFormat
例:
RequestHeader=X-REQUESTED- WITH|RequestHeaderValue=XML_HTTPREQUEST|ResponseFormat=Application/xml
RequestHeader=Accept|RequestHeaderValue=Application/json|ResponseFormat=Application/json
RequestHeader が設定され、有効な本文、RequestHeaderValue、または ResponeFormat 属性が設定されていない場合は、CA Single Sign On が RequestHeader を確認します。RequestHeader の値に応じて、レスポンスは設定で定義された xml または json 形式で返されます。
カスタム レスポンスを処理するように Web アプリケーションを設定
カスタム レスポンスに理由およびリダイレクト URL を含める場合は、カスタム レスポンスを処理するように Web アプリケーションを別々に設定します。
Web エージェント インストール ウィザードは、サンプル アプリケーションを
web_agent_home
/samples にインストールします。特定の環境および状況に合わせてサンプルから推定します。- web_agent_homeは、Web エージェントのインストール パスを指定します。