IIS Web サーバの設定

目次
casso127jpjp
目次
以下のいずれかの設定を使用して、IIS 用エージェントを管理します。
NTLM 認証情報コレクタ(NTC)にリダイレクトせずに、ユーザ認証情報を取得するように IIS 用のエージェントを設定
デフォルトでは、
Single Sign-On
エージェントは、Windows 認証方式により保護されたリソースへの要求を、Windows 認証情報を取得するために NTLM 認証情報コレクタ(NTC)へリダイレクトします。
ユーザの認証情報を HTTP 要求からインラインで(すなわち、NTC にリダイレクトしないで)取得するように、IIS 用
Single Sign-On
エージェントを設定できます。
以下の図は、2 つの認証情報収集方法間の違いについて説明しています。
Inline Credentials Parameter Behavior
NTC にリダイレクトせずに、HTTP 要求からユーザの認証情報を取得するようにエージェントを設定するには、以下のように InlineCredentials 設定パラメータを設定します。
InlineCredentials
IIS 用エージェントがどのようにユーザ認証情報を処理するかを指定します。このパラメータの値が yes の場合、IIS 用エージェントは HTTP 要求から認証情報を直接読み取ります。このパラメータの値が No の場合、エージェントは NTC 認証情報コレクタにリダイレクトします。
デフォルト
: No
注:
環境内のいずれかの
Single Sign-On
エージェントが NTC リダイレクトを使用するように設定されている場合は、NT チャレンジ/レスポンス認証を設定します。
IIS サーバ ログでのユーザ名およびトランザクション ID の記録
Web エージェントは、ユーザ許可リクエストが成功するたびに、一意のトランザクション ID を生成します。エージェントは、HTTP ヘッダにその ID を追加します。ID は以下のログにも記録されます。
  • 監査ログ
  • Web サーバ ログ(サーバがクエリ文字列をログに記録するように設定されている場合)
  • ポリシー サーバ ログ
トランザクション ID を使用して、所定のアプリケーションのユーザ アクティビティを追跡できます。
注:
詳細については、ポリシー サーバ ドキュメントを参照してください。
 
トランザクション ID は、モック クエリ パラメータとしてログに表示され、既存のクエリ文字列の末尾に追加されます。以下の例に、クエリ文字列(末尾は STATE=MA)に追加されたトランザクション ID(太字)を示します。
172.24.12.1, user1, 2/11/00, 15:30:10, W3SVC, MYSERVER, 192.168.100.100, 26844, 47, 101, 400, 123, GET, /realm/index.html, STATE=MA&SMTRANSACTIONID=0c01a8c0-01f0-38a47152-01ad-02714ae1
URL にクエリ パラメータがない場合、エージェントはトランザクション ID を Web サーバ ログ エントリの末尾に追加します。例: <nete:proxyrules xmlns:nete="http://www.ca.com/" debug="yes">
172.24.12.1, user1, 2/11/00, 15:30:10, W3SVC, MYSERVER, 192.168.100.100, 26844, 47, 101, 400, 123, GET, /realma/index.html, SMTRANSACTIONID=0c01a8c0-01f0-38a47152-01ad-02714ae1.
: ユーザがリソースにアクセスすると、Web エージェントは、ユーザ名とアクセス情報をネイティブの Web サーバ ログ ファイルに記録します。
IIS サーバ上のリソースを保護するエージェントは、デフォルトでは
Single Sign-On
トランザクション ID や認証されたユーザ名を IIS サーバ ログに記録
しません
。これらのエージェントは ISAPI 拡張(クラシック パイプライン モード)として動作できるので、サーバがすでにトランザクションを記録しています。以下のパラメータを使用して、この情報を追加するようにエージェントに強制することができます。
AppendIISServerLog
認証されたユーザ名と
Single Sign-On
トランザクション ID を、IIS サーバ ログの cs-uri-query フィールドに追加するように、エージェントに指示します。クエリ文字列が含まれる URL については、IIS サーバ ログの cs-uri-query フィールドのクエリ文字列、
Single Sign-On
トランザクション ID およびユーザ名がカンマで区切られます。
デフォルト:
No
 
SetRemoteUser
レガシー アプリケーションで必要となる可能性がある
REMOTE_USER
HTTP ヘッダ変数の値を指定します。
デフォルト:
No
IIS サーバ ログにトランザクション ID およびユーザ名を記録するには、以下の手順に従います。
  1. AppendIISServerLog パラメータの値を yes に設定します。
  2. SetRemoteUser パラメータの値を yes に設定します。
    ユーザ名およびトランザクション ID が IIS サーバ ログに表示されます。
IIS 認証での NetBIOS 名または UPN の使用
IIS ネットワークでは、要求されたリソースの場所に関して、ドメイン名とは異なる NetBIOS 名が存在する場合があります。保護されたリソースにアクセスを試みたときに複数のドメイン コントローラが存在すると、ユーザ認証は失敗し、Web サーバ ログに「IIS ログオン エラー」と表示されます。以下のパラメータを使用して、UPN または NetBIOS 名を IIS Web サーバに送信するかどうかを制御できます。
UseNetBIOSforIISAuth
IIS 6.0 Web エージェントが IIS ユーザ認証のために、ユーザ プリンシパル名(UPN)と NetBIOS 名のどちらを IIS 6.0 Web サーバに送信するかを指定します。
注:
このパラメータは、Active Directory ユーザ ストアがポリシー サーバに関連付けられている場合のみ有効です。
このパラメータを有効にした場合は、
Single Sign-On
認証時にポリシー サーバが Active Directory から UserDN、UPN、および NetBIOS 名を抽出し、このデータを IIS 6.0 Web エージェントに送り返します。
管理 UI でユーザ ディレクトリに対して[認証済みユーザ セキュリティ コンテキストで実行]オプションを選択したかどうか、および UseNetBIOSforIIAuth パラメータをどのように設定したかに応じて、ユーザのログオン認証情報は以下のように送信されます。
  • UseNetBIOSforIISAuth パラメータが no に設定されている場合、IIS 6.0 Web エージェントは UPN 名を送信します。
  • UseNetBIOSforIISAuth パラメータが yes に設定されている場合、Web エージェントは NetBIOS 名を送信します。
IIS Web サーバは、Web エージェントから受け取った認証情報を使用してユーザを認証します。
デフォルト:
No
 
Web エージェントで IIS 認証の NetBIOS 名が使用されるようにするには、UseNetBIOSAuth パラメータを yes に設定します。
IIS が NT チャレンジ/レスポンス認証をサポートするようにエージェントを設定する
環境内のいずれかの
Single Sign-On
エージェントが NTC リダイレクトを使用するように設定されている場合は、NT チャレンジ/レスポンス認証を設定します。
ユーザがリソースへのアクセスを要求するときに、IIS Web サーバは NT チャレンジ/レスポンス認証を使用して、そのユーザの Internet Explorer ブラウザにチャレンジします。
注:
NT チャレンジ/レスポンス認証は、Internet Explorer ブラウザのみと連携します。
以下の方法のどちらかで NT チャレンジ/レスポンス認証を実装できます。
  • 保護されているリソースにユーザがアクセスしようとしたときに、そのユーザにチャレンジする。シングル サインオン環境のユーザに対しては、そのユーザが初めてリソースを要求したときだけチャレンジする。
  • ユーザに使用している Internet Explorer ブラウザの自動ログオン機能を設定させる。
    自動ログオン機能を使用すると、ユーザはチャレンジを受けずにリソースにアクセスできるようになります。認証処理は引き続き実行されますが、ブラウザとサーバの間の NT チャレンジ/レスポンス処理はユーザには見えません。一般的に、自動ログオンはイントラネットで使用されます。イントラネットでは、セキュリティがそれほど厳重ではないので、ユーザがリソースにシームレスにアクセスできるようにします。自動ログオンは、インターネットを介した通信にはお勧めできません。
Single Sign-On
エージェントは認証情報コレクタを使用して、NT チャレンジ/レスポンス認証方式のために、ユーザの Windows 認証情報を収集します。エージェントでは、NTLM 認証情報を収集する目的で、NTC 拡張子をサポートしています。
注:
このデフォルト動作を変更する場合にのみ、NTCEXT を設定します。
Single Sign-On
に NT チャレンジ/レスポンス認証を使って処理させるには、以下の手順に従います。
  1. 管理 UI を使用して、NT チャレンジ/レスポンス認証に関するポリシーを設定します。
  2. (オプション)ユーザが使用している Internet Explorer ブラウザの自動ログオン機能を設定させます
    IIS の NT チャレンジ/レスポンス認証が設定されます。
ファイル拡張子 .NTC のマップ
IIS Web サーバ上で NT チャレンジ/レスポンス認証を設定するには、ISAPIWebAgent.dll アプリケーションにファイル拡張子 .NTC をマップします。
ファイル拡張子 .NTC をマップする方法
  1. インターネット サービス マネージャを開きます。
  2. 左ペインの[Web サイト]を右クリックし、右ペインの[既定の Web サイト]を右クリックして[プロパティ]を選択します。
    [既定のWeb サイトのプロパティ]ダイアログ ボックスが表示されます。
  3. [ホーム ディレクトリ]タブをクリックします。
  4. [アプリケーションの設定]セクションで[構成]をクリックします。
    [アプリケーションの構成]ダイアログ ボックスが表示されます。
  5. [追加]をクリックします。
    [アプリケーションの拡張子マッピングの追加/編集]ダイアログ ボックスが開きます。
    1. [実行可能ファイル]フィールドで、[参照]をクリックし、次のファイルを見つけます。
      web_agent_home
      /bin/ISAPIWebAgent.dll。
    2. [開く]をクリックします。
    3. [拡張子]フィールドに「.ntc」と入力します。
  6. [OK]を 3 回クリックします。
    [アプリケーションの拡張子マッピングの追加/編集]ダイアログ ボックス、[アプリケーション構成]ダイアログ ボックス、および[既定の Web サイトのプロパティ]ダイアログ ボックスが閉じます。ファイル拡張子 .ntc がマップされます。
Windows 認証方式用の仮想ディレクトリの作成と設定(IIS 7.5)
Single Sign-On
Windows 認証方式を使用するには、IIS 7.x Web サーバ上で仮想ディレクトリを設定します。仮想ディレクトリでは、認証情報に関して Windows チャレンジおよびレスポンスが必要です。
以下の手順に従います。
  1. インターネット インフォメーション サービス(IIS)マネージャを開きます。
  2. 左側のペインで、以下のアイテムを展開します。
    • Web サーバ アイコン
    • サイト フォルダ
    • 既定の Web サイト アイコン
  3. siteminderagent 仮想ディレクトリを右クリックし、次に、[仮想ディレクトリの追加]を選択します。
    [仮想ディレクトリの追加]ダイアログ ボックスが表示されます。
  4. [エイリアス]フィールドに、以下の値を入力します。
    ntlm
  5. [参照]ボタン([物理パス]フィールドの横)をクリックし、次に、以下のディレクトリを見つけます。
    web_agent_home\samples
    仮想ディレクトリが作成されます。
  6. 以下の
    いずれか
    の手順で仮想ディレクトリを設定します。
    • Single Sign-On
      Windows 認証方式で Web サイト全体のリソースをすべて保護するには、[既定の Web サイト]アイコンをクリックします。
    • Windows 認証方式で Web サイト全体を保護
      しない
      Single Sign-On
      場合は、ntlm 仮想ディレクトリ(手順 4 で作成済み)をクリックします。
  7. [認証]アイコンをダブル クリックします。
    [認証]ダイアログ ボックスが表示されます。
  8. 以下の手順を実行します。
    1. [匿名認証]を右クリックし、次に、[無効]を選択します。
    2. [Windows 認証]を右クリックし、次に、[有効]を選択します。
      Windows 認証方式用の仮想ディレクトリが設定されます。
    注:
    Web サーバを再起動すると、これらの変更が反映されます。
チャレンジ/レスポンス認証の Windows 認証方式の設定
NT チャレンジ/レスポンス認証を実装するには、以下の値を持った Windows 認証方式を設定するポリシー管理者を提供します。
  • Server Name
    IIS Web サーバの完全修飾ドメイン名。たとえば次のようになります。
    server1.myorg.com
  • ターゲット
    /siteminderagent/ntlm/smntlm.ntc
    注:
    このディレクトリは、インストール時にすでに設定された仮想ディレクトリと一致している必要があります。ターゲットである smntlm.ntc は、存在していなくてもかまいません。また、.ntc で終わる名前や、デフォルトの代わりに使用するカスタム MIME タイプでもかまいません。
  • ライブラリ
    smauthntlm
NTLM 認証情報コレクタの指定
NTLM 認証情報コレクタ(NTC)は、Web エージェント内のアプリケーションです。NTC は、Windows 認証方式によって保護されるリソースに関連する NT 認証情報を収集します。この方式は、Internet Explorer ブラウザからアクセスされる、IIS Web サーバ上のリソースに適用できます。
各認証情報コレクタには、1 つの MIME タイプが関連付けられています。IIS に関しては、以下のパラメータで NTC MIME TYPE が定義されています。
NTCExt
NTLM 認証情報コレクタと関連付けられた MIME タイプを指定します。このコレクタは、Windows 認証方式によって保護されているリソースに関連する NT 認証情報を収集します。この方式は、Internet Explorer ブラウザのユーザのみがアクセスする IIS Web サーバ上のリソースに適用できます。
このパラメータに複数の拡張子を持たせることもできます。エージェント設定オブジェクトを使用している場合は、複数値オプションを選択します。ローカル設定ファイルを使用している場合は、各拡張子をカンマで区切ります。
デフォルト:
.ntc
使用している環境で NTCExt パラメータによって指定されたデフォルトの拡張子がすでに使用されている場合は、別の MIME タイプを指定できます。
認証情報コレクタをトリガする拡張子を変更するには、他のファイル拡張子を NTCExt パラメータに追加します。
Internet Explorer に対する自動ログオンの設定
エージェントがユーザにクレデンシャルをチャレンジ
することなく
ユーザを認証するには、Internet Explorer ブラウザのユーザは自動ログオン ブラウザ セキュリティ設定を設定する必要があります。
以下の手順に従います。
  1. Internet Explorer ブラウザを起動します。
  2. [インターネット オプション]ダイアログ ボックスを開きます (使用しているブラウザのバージョンでダイアログ ボックスを開く方法については、Internet Explorer のオンライン ヘルプを参照してください)。
  3. [セキュリティ]タブをクリックします。
  4. 正しいセキュリティ ゾーンをクリックします。
  5. カスタム レベルをクリックします。
  6. [ユーザ認証]セクションまでスクロール ダウンします。[ログオン]オプションで、4.x の場合は[現在のユーザ名とパスワードで自動的にログオン]オプションを、5.x または 6.0 の場合は[現在のユーザ名とパスワードで自動的にログオンする]オプションをオンにします。
  7. 変更を適用します。
    [セキュリティ設定]ダイアログ ボックスおよび[インターネット オプション]ダイアログ ボックスが閉じます。ユーザの設定が保存され、自動ログインが設定されます。
IIS 用
Single Sign-On
エージェント使用時の IIS 7.x モジュール実行順序の制御
IIS Web サーバに IIS 用
Single Sign-On
エージェントをインストールして設定する場合、IIS 用エージェントは他のモジュールの前に実行されます。IIS 環境で別のモジュールを最初に実行することが必要な場合、Windows レジストリの以下の場所に設定された番号を変更できます。
32-bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Netegrity\SiteMinder Web Agent\Microsoft IIS\RequestPriority
64-bit: HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder Web Agent\Microsoft IIS\RequestPriority
たとえば、IIS 7.x Web サーバ内の他のモジュール(UrlScan など)に、IIS 用
Single Sign-On
エージェント と同じ実行優先度が割り当てられているとします。この設定を使用して
Single Sign-On
モジュールがいつ実行されるかを制御します。
以下の手順に従います。
  1. IIS Web サーバ上で Windows レジストリ エディタを開きます。
  2. 以下のキーを展開します。
    32-bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Netegrity\SiteMinder Web Agent\Microsoft IIS
    64-bit: HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder Web Agent\Microsoft IIS
  3. 以下の値を見つけます。
    RequestPriority
  4. RequestPriority の値を、次の値に対応する望みの数値に変更します。
    • PRIORITY_ALIAS_FIRST
      IIS 用 CA Single Sign-On エージェントを、IIS Web サーバの他のモジュールの前に実行します。
      サーバのバージョン番号。これがデフォルトの設定です。
      例:
      0 (最初)
      デフォルト:
      0
    • PRIORITY_ALIAS_HIGH
      最初に実行するように設定された任意のモジュールの後で、かつ、実行優先度が「中」、「低」または「最後」に設定されたモジュールよりも先に、IIS 用 CA Single Sign-On エージェントのモジュールを実行します。
      : 1 (高)
    • PRIORITY_ALIAS_MEDIUM
      IIS 用 CA Single Sign-On エージェントの各モジュールは、first および high での実行を設定されたモジュールの後で、かつ、low または last 優先度の実行が設定されたモジュールの前に実行します。
      例:
      2 (中)
    • PRIORITY_ALIAS_LOW
      IIS 用 CA Single Sign-On エージェントの各モジュールは、first、high、および medium での実行を設定されたモジュールの後で、かつ、last 優先度の実行が設定されたモジュールの前に実行します。
      例:
      3 (低)
    • PRIORITY_ALIAS_LAST
      他のすべてのモジュールの後に IIS 用 CA Single Sign-On エージェントのモジュールを実行します。
      例:
      4 (最後)
  5. 変更を保存し、レジストリ エディタを閉じます。
  6. 設定をテストし、IIS モジュール用エージェントが実行される前に望むモジュールが実行されることを確認します。
IIS プロキシ ユーザ アカウントの使用(IIS のみ)
Single Sign-On
によって保護された IIS Web サーバ上のリソースにアクセスしようとしたユーザにそれらのリソースに対する十分な IIS 権限がない場合、Web エージェントがアクセスを拒否することがあります。たとえば、UNIX システム上の LDAP ユーザ ディレクトリに格納されているユーザは、IIS Web サーバの Windows システムへのアクセス権限がない場合があります。
Single Sign-On
からアクセス権を付与されたユーザは、IIS Web サーバによって十分な権限のあるデフォルトのプロキシ アカウントが得られます。ユーザが有効な Windows セキュリティ コンテキストを持つ場合でも、Web エージェントは DefaultUserName および DefaultPassword パラメータの値を認証情報として使用します。
以下の手順に従います。
  1. ForceIISProxyUser パラメータの値を以下の値の
    いずれか
    に設定します。
    • IIS サーバ上のアプリケーションへのアクセスがユーザの認証情報自体に基づく場合は、ForceIISProxyUser パラメータの値を yes に設定します。
    • IIS サーバ上のアプリケーションへのアクセスがユーザの代わりに動作する特定のアカウント(プロキシなど)に基づく場合は、ForceIISProxyUser パラメータの値を no に設定します。
    デフォルト
    : No
  2. 以下の Windows 機能のどちらも使用
    していない
    場合は、手順 3 に進みます。
    • Windows 認証方式
    • Windows ユーザ セキュリティ コンテキスト
  3. DefaultUserName パラメータ内にプロキシ ユーザ アカウントのユーザ名を入力します。ドメイン アカウントと、そのドメインの一部ではないローカル マシンを使用している場合は、以下の例に示す構文を使用します。
    DefaultUserName=
    Windows_domain
    \
    acct_with_admin_privilege
    それ以外の場合は、ユーザ名のみを指定します。
  4. DefaultPassword パラメータ内に既存の Windows ユーザ アカウントに関連付けられたパスワードを入力します。
    重要:
    暗号化できるので、エージェント設定オブジェクト内でこのパラメータを設定することをお勧めします。ローカル設定ファイル内で設定すると、値は暗号化されずにプレーン テキストで格納されます。
    IIS Proxy アカウントが設定されます。
匿名ユーザ アクセスの有効化
ユーザにプロキシ ユーザとしてのアクセス権を付与しない場合は、以下のパラメータを設定します。
UseAnonAccess
プロキシ ユーザの認証情報を使用するのではなく、匿名ユーザとして Web アプリケーションを実行するように IIS Web エージェントに指示します。
デフォルト:
No 
注:
このパラメータは IIS Web エージェントにのみ適用されます。
匿名ユーザ アクセスを有効にするには、UseAnonAccess パラメータを yes に設定します。
IIS 用のエージェント上の Windows セキュリティ コンテキストの無効化
Single Sign-On
ポリシー サーバは、ユーザのセッションから Windows セキュリティ コンテキストを取得します。ほとんどの状況では、セッション情報がすべてのエージェントに利用可能なため、この環境はシングル サインオンに受け入れられます。
以下に、シングル サインオンに別の設定が必要な状況例を示します。
  • ある
    Single Sign-On
    エージェントは Windows セキュリティ コンテキストを使用します。
  • 別の
    Single Sign-On
    エージェントは Windows セキュリティ コンテキストを使用しません。
この状況を次の図に示します。
Disable Windows Security Context Parameter Effects
Windows セキュリティ コンテキストを使用する Windows ドメインと、Windows セキュリティ コンテキストを使用しない Windows ワークグループの間の SSO を許可するには、以下のパラメータを設定します
DisableWindowsSecurityContext
エージェントの Windows セキュリティ コンテキストを無効にします。このパラメータの値が yes の場合、エージェントはユーザの Windows セキュリティ コンテキストを無視します。このパラメータの値が false または no の場合、エージェントはユーザのセッションに含まれている Windows セキュリティ コンテキストを使用します。このパラメータは、セキュリティ コンテキストを使用する Windows 環境と使用しない Windows 環境間のシングル サインオンを可能にします。
デフォルト
: False
制限:
はい、いいえ
Cookie が含まれるサーバ レスポンスのキャッシュの防止
IIS Web サーバは出力キャッシュを使用して、それらのレスポンスを格納します。エージェントへのレスポンスには Cookie が含まれます。IIS Web サーバがその出力キャッシュから認証レスポンスを送信する場合、別のユーザがキャッシュされたレスポンスで認証 Cookie を受信する可能性があります。
たとえば、ユーザ 1 は正常に認証を行い、IIS サーバは Cookie を持ったレスポンスをキャッシュします。ユーザ 2 がユーザ 1 と同じリソースにアクセスする場合、IIS Web サーバは恐らくユーザに対して応答を返す可能性があります‥‥ 1 ~ユーザ 2。
製品は、デフォルトで Cookie が含まれているアイテムの IIS 出力キャッシュを無効にします。後方互換性の為に、製品の旧バージョンの動作に戻す場合は、以下のパラメータの値を「no」に変更します。
IISCacheDisable
IIS Web サーバが、出力キャッシュに Cookie が含まれるレスポンスを格納するかどうかを指定します。
Single Sign-On
処理が発生する前に、IIS Web サーバはキャッシュされた応答を送信します。出力キャッシュを無効にすると、IIS による各トランザクションの認証および許可が強制的に実行されます。パラメータの値を[はい]に設定すると、あるユーザが別のユーザ宛の認証および許可レスポンスを誤って受け取るのを阻止できます。
デフォルト
: はい(キャッシュ無効)
IIS 用のエージェントの Cookie 設定タイミングの決定
IIS 用の
Single Sign-On
エージェントは、IIS 7.x Web サーバが提供する Application Request Routing (ARR)機能をサポートします。ARR は、他の Web サーバ ベンダーによって提供されるリバース プロキシ サーバ機能に類似した Microsoft IIS Web サーバで作動します。
Single Sign-On
エージェントはすべて Cookie を処理します。Cookie 処理をいつ行うか制御する状況には、以下のような条件があります。
  • ARR が使用される。
  • FCCCompatMode エージェント設定パラメータの値が yes に設定されている。
  • カスタム エージェント(
    Single Sign-On
    SDK で開発されていた)を使用している。
エージェントが Cookie を処理するタイミングの制御では、
Single Sign-On
保護レベルを適用することでセキュリティを維持します。
Single Sign-On
エージェントの展開方法によっては、
Single Sign-On
Cookie をトランザクション内の特定の時点で処理することが必要になります。すべての
Single Sign-On
エージェントは、Cookie を使用し処理します。状況によっては、トランザクションのより早い段階で Cookie の処理が必要になります。より遅い段階で Cookie の処理が必要な状況もあります。Cookie を適切な時点で処理することは、
Single Sign-On
によってリソースを適切に保護するために必要です。
 
重要:
間違ったタイミングで Cookie を処理すると、保護レベルに影響します。ARR 機能が実行する追加処理には、
Single Sign-On
エージェントが Cookie を処理する相対時間を変更する必要があります。
以下の手順に従います。
  1. 管理 UI を使用して、目的のエージェント設定オブジェクトを開きます。
  2. 以下のパラメータを探します。
    • EarlyCookieCommit
      Cookie が処理の初期段階で設定されるか、それとも後の段階で設定されるかを指定します。以下の条件のいずれかが存在する場合、このパラメータの値を[yes]に設定します。
      • IIS Web サーバは、アプリケーション リクエスト ルーティング(ARR)を使用します。
      • FCCCompatMode パラメータの値を[yes]に設定します。
      • カスタム エージェント(
        Single Sign-On
        SDK で開発)を使用しています。
      この値が[yes]である場合、OnAuthenticateRequest または OnPostAuthenticateRequest 通知方法を使用して、Web エージェントがリクエストを処理した後、Cookie はコミットされます(早めに)。
      早めの Cookie 処理を必要とする任意のカスタム アプリケーションに対して以前の
      Single Sign-On
      エージェントの動作を保存しておくには、このパラメータの値を[yes]に設定します。
      この値が[no]である場合、Cookie は、OnSendResponse リクエスト通知メソッド中に、パイプラインの最後でレスポンス へ(後で)コミットされます。
      制限
      : IIS 7.x 専用エージェント。この設定は、統合パイプライン モードを使用する Web アプリケーションのみをサポートします。
      デフォルト
      : No (Cookie は、OnSendResponse リクエスト通知メソッド中に、(後で)設定されます)。
  3. 値フィールドをクリックしてから、前のパラメータの値を「yes」に変更します。
  4. [OK]をクリックします。
  5. [サブミット]をクリックします。
    確認メッセージが表示されます。