保護されたリソースへのリダイレクト中に NTC による URL のエンコードを可能にする方法

目次
casso127jpjp
目次
Single Sign-On
は、Windows 認証情報コレクタ(NTC)を使用してリソースを保護できます。ユーザは NTC へ認証情報をサブミットし、次に、NTC は IIS Web サーバにユーザをログインさせます。IIS Web サーバがユーザを認証します。NTC は認証後にユーザを保護されている(TARGET)リソースにリダイレクトします。
NTC は通常、要求中に URL の TARGET 部分内の文字をエンコードしますが、それは認証後のリダイレクト中ではありません。URL の TARGET 部分がリダイレクト中にエンコードされるように、エージェント設定を変更できます。以下の図では、この動作について説明しています。
NTC redirect with unencoded target URL
 
以下の図は、保護されているリソースの要求中に NTC による URL のエンコードを可能にするプロセスを示しています。
Allow the NTC redirect with target URL
 
保護されているリソースへのリダイレクト中に NTC による URL のエンコードを可能にするには、以下の手順に従います。
  1. 以下のリストからユーザのエージェント設定メソッドに一致する手順を選択します。
  2. ローカル設定を使用するエージェントについては、各 Web サーバについて手順 1c を繰り返します。
    NTC は保護されているリソースへのリダイレクト中にエンコードされた URL を使用します。
管理 UI を使用したポリシー サーバ オブジェクトの変更
casso127jpjp
ポリシー サーバ上でオブジェクトを変更するために管理 UI を開きます。
以下の問題に注意してください。
  • ユーザが SSL を介して管理 UI を初めて起動すると、ブラウザによって、セキュリティ証明書が信頼できる会社によって発行されなかったことが警告されます。この警告は、SSL 登録中に生成される自己署名証明書に関連しています。証明書を承認し、続行してください。
  • 管理 UI では、ブラウザで Javascript を有効にすることが必要です。管理 UI にアクセスするために IE 11 を使用している場合は、Web サイトのコンテンツがブロックされていることを示すメッセージが表示される可能性があります。このメッセージから、管理 UI を信頼済みサイトとして追加します。デフォルトでは、Javascript が有効になっています。ブロックされたコンテンツを確認するチェック ボックスをオフにした場合、UI にはログインできますが、Javascript を有効にするまで正しく表示されません。UI が存在するセキュリティ ゾーンに対して Javascript を有効にするか、UI を信頼済みサイトとして追加します。信頼済みサイトを追加するには、IE メニューから開始し、[ツール]-[インターネット オプション]を選択します。[セキュリティ]タブから、[信頼済みサイト]を選択し、UI を追加します。
以下の手順に従います。
  1. Webブラウザを開きます。
  2. 以下のガイドラインを使用して、管理 UI の場所を入力します。
    • 管理 UI がスタンドアロン オプションを使用してインストールされ、管理 UI が SSL を介して登録されている場合は、以下の場所に移動します。
      https://
      host.domain
      :8443/iam/siteminder/adminui
    • 管理 UI がスタンドアロン オプションを使用してインストールされ、管理 UI が SSL を介して登録されていない場合は、以下の場所に移動します。
      http://
      host.domain
      :8080/iam/siteminder/adminui
    • 管理 UI が既存のアプリケーション サーバ インフラストラクチャにインストールされ、管理 UI が SSL を介して登録されている場合は、以下の場所に移動します。
      http://
      host
      .
      domain
      :
      port
      /iam/siteminder/adminui
    • 管理 UI が既存のアプリケーション サーバ インフラストラクチャにインストールされ、管理 UI が SSL を介して登録されていない場合は、以下の場所に移動します。
      https://
      host
      .
      domain
      :
      port
      /iam/siteminder/adminui
      host
      は、管理 UI ホスト システムの名前を指定します。
      domain
      は、管理 UI ホスト システムの完全修飾ドメイン名を指定します。
      port
      アプリケーション サーバがリクエストをリスンするポートを指定します。
  3. 管理者の認証情報を入力します。
  4. [ログイン]をクリックします。
    このウィンドウの表示内容は、管理 UI へのログイン時に使用する管理者アカウントの権限に応じて異なります。
エージェント設定オブジェクトの DisableI18N パラメータの変更
Windows 認証情報コレクタは、中央で設定された Web エージェントのターゲット URL 内の HTTP エンコード文字を処理できます。この機能を有効にするには、エージェント設定オブジェクト内の特定の Web エージェント パラメータを変更します。
以下の手順に従います。
  1. [インフラストラクチャ]-[エージェント設定オブジェクト]をクリックします。
  2. 目的のエージェント設定オブジェクトに対する編集アイコンをクリックします。
  3. DisableI18N
    パラメータの左の編集アイコンをクリックし、値を
    yes
    に変更します。
  4. [OK]をクリックします。
  5. BadUrlChars
    パラメータの左側の編集アイコンをクリックします。
  6. [値]フィールドの値
    %25
    を削除し、[OK]をクリックします。
  7. [サブミット]をクリックします。
  8. (オプション)変更に関する任意の注釈を[コメント]フィールドに入力し、[はい]をクリックします。
変更は、次回 Web エージェントがポリシー サーバをポーリングしたときに適用されます。
LocalConfig.conf ファイルの DisableI18N パラメータの変更
Windows 認証情報コレクタはターゲット URL 内の HTTP エンコード文字を処理できます。ローカルで設定された Web エージェントは、LocalConfig.conf ファイル内の設定パラメータを使用してこの機能を有効にします。
以下の手順に従います。
  1. Web サーバ上で LocalConfig.conf ファイルを見つけます。次のリストの例を使用して、ご使用のタイプの Web サーバ上でファイルを見つけます。
    IIS Web サーバ:
    web_agent_home
    \bin\IIS
    Oracle iPlanet Web サーバ:
    Oracle_iPlanet_home
    /https-hostname/config
    Apache Web サーバ: 
    Apache_home
    /conf 
  2. LocalConfig.conf ファイルをテキスト エディタで開きます。
  3. DisableI18N
    パラメータを見つけて、値を
    yes
    に変更します。
  4. BadUrlChars
    パラメータを見つけて、値
    %25
    をリストから削除します。
  5. LocalConfig.conf ファイルへの変更を保存し、テキスト エディタを閉じます。
  6. 変更するすべての Web サーバ上で手順 1 ~ 5 を繰り返します。
Windows 認証情報コレクタが TARGET URL 内の HTTP エンコード文字を処理できるようになりました。