エージェントが CA Single Sign-On Cookie を読み取る仕組み
目次
casso127jpjp
目次
Web エージェントは、エージェント キーを使用して、
Single Sign-On
cookie の暗号化と復号化を行い、cookie に格納されているデータを読み取ることができるようにします。エージェントはそのキーを使用して cookie を暗号化した後、その暗号化済み cookie をユーザのブラウザへ送信し、他の Web エージェントから受信した cookie を復号化します。すべての Web エージェントが同じキーを知っている必要があります。また、1 つのポリシー サーバと通信を行うすべてのエージェントのキーを、同じ値に設定する必要があります。このルールは、シングル サインオン環境にあるエージェントの場合、特に重要です。キーの安全を確保するため、ポリシー サーバはキーの「
ロール オーバー
」を実行します。キーのロールオーバーとは、新しいキーを生成して暗号化し、Single Sign-On
環境内のすべての Web エージェントにそれらのキーを配布することです。Web エージェントが起動し、管理呼び出し(リクエスト)を行った時点で、ポリシー サーバは現在のキーセットを提供します。Web エージェントは、ポリシー サーバをポーリングするたびに、管理呼び出しを繰り返します。Web エージェントは、更新済みのキーを受け取ります。
ポリシー サーバは、以下のタイプのキーを提供します。
- ダイナミック キーポリシー サーバのアルゴリズムにより生成され、接続された他のポリシー サーバや関連する Web エージェントに配布されるキーです。ダイナミック キーは、一定の間隔で自動的にロールオーバーできます。また、管理 UI を使用して手動で変更することもできます。
- スタティック キー常に同一であるキーです。ポリシー サーバのアルゴリズムによって生成するか、手動で設定することができます。Single Sign-Onでは、cookie に情報を長期間保存する必要のある機能のサブセットに対してこのタイプのキーを使用します。
自動キー変換を使用すると、1 つのキー ストアを共有する大規模な
Single Sign-On
インストール環境でエージェント キーの管理プロセスを簡易化することができます。キー ストア
にはすべてのキー情報が格納されます。ポリシー サーバは、このキー ストアにアクセスして現在のキーを取得し、そのキーが Web エージェントに渡されます。シングル サインオンを設定されたエージェントの場合、キーストアを複製して、シングル サインオン環境のすべてのポリシー サーバでキーストアを共有する必要があります。自動キー変換により、キーの完全性も確保されます。casso127jpjp
注:
詳細については、ポリシー サーバ ドキュメントを参照してください。Web エージェントとダイナミック キーのロールオーバー
管理 UI を使用して、ダイナミック エージェント キーのロールオーバーを設定できます。Web エージェントは、キーの更新があるかどうかポリシー サーバを定期的にポーリングします。キーが更新されている場合、Web エージェントはポーリング時に変更内容を取得します。デフォルトのポーリング時間は 30 秒ですが、この値は、Web エージェントの PSPollInterval パラメータの値を変更することで、カスタマイズできます。
Web エージェントは、キーのロールオーバーが発生したことを検出した時点で、以下のエージェントキーの新しい値を取り出します。
- 前回キー現在の値の前にダイナミック エージェント キーに使用していた最後の値が入ります。
- 現在キー現在のダイナミック エージェント キーの値が入ります。
- 予定キーダイナミック エージェント キーのロールオーバーで現在のキーとして使用する次の値が入ります。
- スタティック キーエージェントが、ユーザを識別してその情報を長期間保存する必要があるSingle Sign-On機能に使用できる長期間キーが入ります。ダイナミックキーが使用できない場合、スタティックキーは、シングル サインオンに関連して cookie の暗号化もサポートします。
Web エージェントでは、cookie データを保持したり、古いキーから新しいキーへスムーズに移行するために、複数のキーが必要です。
キーストア
ポリシー サーバは、生成したダイナミック キーを、キー ストアに保存して管理します。キー ストアはリポジトリであり、すべてのポリシー サーバは最新のキーをここから取得します。Web エージェントは、ポリシー サーバから現在キーを取得します。キー ストアは、
Single Sign-On
ポリシー ストアの一部に組み込むことも、スタンドアロン キー ストアとして保持することもできます。注:
管理者が、エージェント キーの複数のロールオーバーを短時間に続けて実行した場合、このアクションにより、シングル サインオン用のすべての cookie が無効になり、現在ログイン中のすべてのユーザのシングル サインオンが無効になる可能性があります。これらのユーザが再認証されると、シングル サインオンは正常に動作するようになります。