フォーム認証用のフォーム認証情報コレクタの設定

casso127jpjp
以下の手順を実行して、HTML フォーム認証方式によって保護されるリソースをセキュリティ保護するエージェントのフォーム認証情報コレクタ コンポーネントを設定します。
  1. IIS Web サーバまたは Domino Web サーバを使用している場合は、FCC 用の MIME タイプ マッピングを設定します。
    注:
    以下のタイプの Web サーバについては、
    Single Sign-On
    認証情報コレクタで使用される適切な MIME 形式がエージェント設定ウィザードによって自動的にセットアップされます。
    • Apache Web サーバおよび Apache ベースの Web サーバ。
    • Oracle iPlanet Web サーバ。
  2. FCC で使用するために、エージェント ID と Web サーバをマッピングします。
  3. 以下の追加設定項目を必要に応じて設定します。
    • FCC/SCC による完全修飾ホスト名としてのエージェント名の使用を有効化。
    • シングル リソース ターゲットを使用するための FCC の設定。
    • 認証情報コレクタのリダイレクトでの相対ターゲットの使用。
    • 有効なターゲット ドメインの定義。
    • 有効なフェデレーション ターゲット ドメインの定義。
IIS および Domino Web サーバ上の認証情報コレクタ用の MIME タイプ マッピングの設定
IIS および Domino Web サーバで、FCCExt および SFCCExt エージェント設定パラメータを指定して、Web エージェント設定で FCC および SFCC に対して MIME タイプ マッピングを設定します。MIME タイプ マッピングはファイル拡張子として表されます。デフォルト値の使用をお勧めします。
  • FCCExt
    フォーム クレデンシャル コレクタ(FCC)に対して MIME タイプ マッピングを指定します。
    デフォルト
    : .fcc
    制限
    : 有効なファイル拡張子。
    : .myfcc
  • SFCCExt
    SSL フォーム認証情報コレクタ(SFCC)に対して MIME タイプ マッピングを指定します。
    デフォルト:
    .sfcc
    制限
    : 有効なファイル拡張子。
    例:
    .mysfcc
: デフォルトの拡張子を使用しない場合、またはデフォルト値がすでに使用されている場合は、代わりに任意の拡張子を入力してください。たとえば、FCC に対応する FCCExt を .myfcc に設定し、その拡張子を使用するように FCC テンプレートの名前を変更(たとえば login.myfcc)した場合、エージェントは .myfcc で終わる URL を、フォーム認証リクエストとして認識します。
FCC/SCC による完全修飾ホスト名としてのエージェント名の使用の有効化
フォームおよび SSL クレデンシャル コレクタでターゲット URL の完全修飾ホスト名をエージェント名として使用できるようにするには、AgentNamesAreFQHostNames 設定パラメータを定義します。
たとえば、AgentNamesAreFQHostNames パラメータを Yes に設定すると、次の URL 文字列の www.nete.com 部分が Web エージェント名になります。
url?A=1&Target=http://www.nete.com/index.html
クレデンシャル コレクタは次の状況でこのパラメータを使用します。
  • ターゲット エージェントが URL にエージェント名を追加しない場合 (サード パーティのエージェントで発生することがあります)。
  • AgentName パラメータ内で、エージェントからホスト名へのマッピングを設定しなかった場合。
AgentNamesAreFQHostNames パラメータが no に設定されている場合、認証情報コレクタは DefaultAgentName パラメータの値を、ターゲット Web エージェントの名前として使用します。
シングル リソース ターゲットを使用するための FCC の設定
ユーザをシングル リソースにダイレクトするよう FCC を設定するには、テンプレート ファイル login.fcc の中でターゲットをハード コード化します。
以下の手順に従います。
  1. agent_home
    /Samples にある login.fcc ファイルを開きます。
  2. @target=
    target_resource
    を FCC に追加します。
  3. 次のエントリを追加します。
    @smagentname=
    agent_name_protecting_resource
    例: @smagentname=mywebagent
  4. EncryptAgentName パラメータを no に設定します。このパラメータは、エージェント名をファイル内でハードコード化した後に暗号化する方法が存在しないために必要になります。
  5. この FCC を使用する他のすべてのエージェントに対して、EncryptAgentName を no に設定します。
認証情報コレクタのリダイレクトでの相対ターゲットの使用
必要に応じて、要求を認証情報コレクタとターゲット リソースへダイレクトする際に、完全修飾 URL の代わりに相対 URI を使用するようエージェントに指示します。相対 URI を使用すると、Web エージェントと共に他のシステム上に存在しているクレデンシャル コレクタがリクエストを処理することを防止できます。
注:
この設定項目は、cookie 認証情報コレクタ(CCC)
を除く
、他のすべての認証情報コレクタに適用されます。CCC は、このパラメータの完全修飾ドメイン名を使用する必要があります。相対 URI を使用した場合、設定されたレスポンスは CCC で適切に動作しません。
通常、完全修飾 URL が認証情報コレクタの URL に付加されます。例: <nete:proxyrules xmlns:nete="http://www.ca.com/" debug="yes">
url?A=1&Target=http://www.nete.com/index.html.
相対 URI のみを使用するには、TargetAsRelativeURI パラメータを yes に設定します。yes に設定した場合、認証情報コレクタの URL に付加されるターゲット パラメータは相対ターゲット( url?A=1&Target=/index.html など)になります。その場合、認証情報コレクタがリダイレクトを行って、ターゲットリソースを保護している Web エージェントへ戻すときは、相対リダイレクトになります。また、Web エージェントは、スラッシュ(/)以外の文字で始まるすべてのターゲットを拒否します。
このパラメータのデフォルト値は no なので、常に完全修飾 URL が使用されます。
有効なターゲット ドメインの定義
悪意のある Web サイトにユーザをリダイレクトするフィッシング攻撃からリソースを保護するように
Single Sign-On
エージェントを設定するには、以下の設定パラメータを設定します。
ValidTargetDomain
認証情報コレクタがユーザをリダイレクトすることを許可されるドメインを指定します。URL 内のドメインがこのパラメータ内で設定されたドメインに一致しない場合は、リダイレクトが拒否されます。
デフォルト:
No
フォーム クレデンシャル コレクタ(FCC)を含むすべての高度な認証方式が、このパラメータをサポートします。
ValidTargetDomain パラメータは、処理の間にターゲットの有効なドメインを識別します。ユーザをリダイレクトする前に、エージェントはリダイレクト URL の値と、このパラメータ内のドメインを比較します。このパラメータがない場合、エージェントはユーザをどのようなドメイン内のターゲットにもリダイレクトさせます。
ValidTargetDomain パラメータには、有効なドメインごとに 1 つの値を設定し、複数の値を含めることもできます。
ローカル Web エージェント設定では、以下の例のように、各ドメインについて、1 行に 1 つのエントリを指定します。
validtargetdomain=".xyzcompany.com"
validtargetdomain=".abccompany.com"
有効なフェデレーション ターゲット ドメインの定義
SAML 2.0 トランザクションに対してアイデンティティ プロバイダ ディスカバリ(IPD)プロファイル、または WS-フェデレーション トランザクションに対して wreply URL を使用している場合、ユーザは悪意のある Web サイトにリダイレクトされる可能性があります。このようなリダイレクトを阻止するためには、Web エージェントで ValidFedTargetDomain パラメータを設定します。
ValidFedTargetDomain パラメータの機能は、SAML 2.0 と WS-フェデレーションで異なります。
SAML 2.0 用 ValidFedTargetDomain
ValidFedTargetDomain パラメータは、アイデンティティ プロバイダ ディスカバリの実装時に、Federation 環境のすべての有効なドメインをリスト表示します。
IPD サービスは、リクエストを受信すると、リクエスト内の IPDTarget クエリ パラメータを調べます。IPDTarget は、リクエストを処理した後に、ディスカバリ サービスがブラウザをリダイレクトする必要がある URL を定義します。IdP の場合、IPDTarget は SAML 2.0 シングル サインオン サービスです。SP の場合、ターゲットは共通ドメイン Cookie を使用するリクエスト アプリケーションです。
フェデレーション Web サービスでは、IPDTarget URL のドメインを、ValidFedTargetDomain パラメータに指定されたドメインのリストと比較します。URL ドメインが ValidFedTargetDomain リストで設定されているドメインの 1 つと一致する場合、IPD サービスは SP の IPDTarget URL にユーザをリダイレクトします。
ドメインの一致がない場合、IPD サービスは、「403 Forbidden」エラー メッセージでユーザ リクエストを拒否します。FWS トレース ログおよび affwebservices ログにエラーが報告されます。
このパラメータを設定しない場合、検証は行われず、ユーザはターゲット URL にリダイレクトされます。ローカル設定ファイルを変更している場合は、ドメインを別々にリスト表示します。例: <nete:proxyrules xmlns:nete="http://www.ca.com/" debug="yes">
validfedtargetdomain=".examplesite.com"
validfedtargetdomain=".abccompany.com"
WS-フェデレーション用 ValidFedTargetDomain
ValidFedTargetDomain パラメータは、リダイレクトが安全であることを確認するために、wreply URL が検証に使用する必要がある Federation 環境のすべての有効なドメインをリスト表示します。
フェデレーション Web サービスは、wreply URL のドメインを ValidFedTargetDomain パラメータに対して指定されたドメインのリストと比較します。URL ドメインがリスト内の設定されたドメインの 1 つと一致すると、フェデレーション Web サービスはユーザを RP の wreply URL にリダイレクトします。
ドメインの一致がない場合、フェデレーション Web サービスは、「400 正しくない要求リクエスト」エラー メッセージでユーザ リクエストを拒否します。FWS トレース ログおよび affwebservices ログにエラーが報告されます。
このパラメータを設定しない場合、検証は行われず、ユーザはターゲット URL にリダイレクトされます。ローカル設定ファイルを変更している場合は、ドメインを別々にリスト表示します。例: <nete:proxyrules xmlns:nete="http://www.ca.com/" debug="yes">
validfedtargetdomain=".examplesite.com"
validfedtargetdomain=".abccompany.com"