SiteMinder for IIS 7.x Web サーバおよび Application Request Routing (ARR)

目次
casso1283
IIS 用の
SiteMinder
エージェントは、IIS 7.x の Application Request Routing (ARR)機能をサポートします。以下の構成がサポートされます。

DMZ 内に ARR と
SiteMinder
で IIS 7.x サーバをセットアップし、DMZ の背後で動作する他の IIS 用
SiteMinder
エージェントをセットアップする方法

IIS 用
SiteMinder
エージェントは、以下の設定を使用して IIS 環境全体を保護します。
  • IIS 7.x Web サーバ および DMZ 内の Application Request Routing (ARR)および IIS 用
    SiteMinder
    エージェント(フロントエンド サーバ)。
  • 複数の IIS 7.x Web サーバ(DMZ 内の ARP サーバの
    背後
    )。
    それぞれ
    SiteMinder
    Web エージェント
    または
    IIS 用エージェントを使用)。
前の設定を実装するには、以下の複数手順のプロセスを使用します。
  1. ARR を DMZ(フロントエンド)内の IIS 7.x Web サーバにインストールし設定します。
    casso1283
    アプリケーション リクエスト ルーティング(ARR)の詳細については、IIS Web サイトに移動し、語句「アプリケーション要求ルーティング」を検索してください。
  2. DMZ (フロントエンド)内の IIS 7.x Web サーバ上に IIS 用
    SiteMinder
    エージェントをインストールおよび設定します。
    casso1283
    詳細については、「IIS 用 Web エージェント インストール ガイド」を参照してください。
  3. DMZ(バックエンド)の背後の最初の IIS 7.x Web サーバ上に IIS 用
    SiteMinder
    エージェントをインストールおよび設定します。
    casso1283
    このコンテキストでは、最初のサーバとは、共有設定情報が格納されているファームの IIS Web サーバを指します。ノードとは、最初のサーバから共有設定を読み取った、ファームの他の IIS Web サーバのことです。
  4. DMZ (バックエンド)の背後の他の IIS 7.x Web サーバ ノード上に IIS 用
    SiteMinder
    エージェントをインストールおよび設定します。

DMZ で IIS 7.x ARR サーバ用の
SiteMinder
Web エージェント設定パラメータを設定

このセクションでは、次の状況において IIS 用
SiteMinder
エージェントを実行する Web エージェント設定パラメータを設定する方法について説明します。
  • IIS 7.x Web サーバは、ARR および IIS 用
    SiteMinder
    エージェントを使用して DMZ で動作します(フロントエンド)。
  • DMZ の背後に置かれた他の IIS 7.x Web サーバは ARR サーバから要求を受信しますが、IIS 用 エージェントを使用
    しません
    SiteMinder
    (バックエンド)。
以下の手順に従います。
  1. 以下の項目を確認します。
    • DMZ 内の Web サーバに ARR 2.0 がインストールされ設定されている。
    • DMZ 内の Web サーバに IIS 用
      SiteMinder
      エージェントがインストールされ設定されている。
  2. 管理 UI を開きます。
  3. IIS 用
    SiteMinder
    エージェント(DMZ で実行されているフロントエンド)に関連付けられているエージェント設定オブジェクト(ACO)を開きます。
  4. 以下のパラメータを探します。
    • casso1283
      ProxyTrust
      送信先サーバ上のエージェントに対し、プロキシ サーバ上の
      SiteMinder
      エージェントから受信した許可を信頼するよう命じます。送信先サーバはリバース プロキシ サーバの背後に置かれたサーバです。この値を yes に設定すると、プロキシ サーバ上のエージェントのみが認可のためにポリシー サーバに問い合わせるため、効率が上がります。送信先サーバ上で動作するエージェントは、ユーザに対する許可を再度求めるためのポリシー サーバ問い合わせを
      しません
      デフォルト:
      No
  5. ProxyTrust パラメータに設定された値が no であることを確認します。
  6. 以下のパラメータを探します。
    • casso1283
      ProxyAgent
      Web エージェントがリバース プロキシ エージェントとして動作するかどうかを指定します。
      このパラメータの値が yes のときは、フロントエンド サーバ上の
      SiteMinder
      エージェントはユーザが要求した元の URL を SM_PROXYREQUEST HTTP ヘッダ内で維持します。保護されているリソースと保護されていないリソースが要求された場合は常に、このヘッダが作成されます。バックエンド サーバは、元の URL に関する情報を取得するためにこのヘッダを読み取ることができます。
      デフォルト
      : No
  7. ProxyAgent パラメータの値を yes に変更します。
  8. エージェント設定オブジェクトへの変更をサブミットします。
    Web エージェント設定パラメータが設定されます。

DMZ の背後の
SiteMinder
を使用する IIS 7.x サーバ用の Web エージェント設定パラメータの設定

このセクションでは、次の状況において IIS 用
SiteMinder
エージェントを実行する Web エージェント設定パラメータを設定する方法について説明します。
  • IIS 7.x サーバは ARR を使用して、DMZ で動作します。(フロント エンド)
  • DMZ の背後に置かれた他の IIS 7.x サーバは ARR サーバから要求を受信します。それらのサーバも、IIS 用
    SiteMinder
    エージェントを使用します(バックエンド)。
以下の手順に従います。
  1. 以下の項目を確認します。
    • DMZ 内の Web サーバに ARR 2.0 がインストールされ設定されている。
    • DMZ の背後の最初の Web サーバおよびすべてのノードに IIS 用
      SiteMinder
      エージェントがインストールされ設定されている。
  2. 管理 UI を開きます。
  3. DMZ
    の内部に展開されている最初の IIS サーバに関連付けられた、エージェント設定オブジェクト(ACO)を開きます。
  4. 以下のパラメータを探します。
    • casso1283
      ProxyTrust
      送信先サーバ上のエージェントに対し、プロキシ サーバ上の
      SiteMinder
      エージェントから受信した許可を信頼するよう命じます。送信先サーバはリバース プロキシ サーバの背後に置かれたサーバです。この値を yes に設定すると、プロキシ サーバ上のエージェントのみが認可のためにポリシー サーバに問い合わせるため、効率が上がります。送信先サーバ上で動作するエージェントは、ユーザに対する許可を再度求めるためのポリシー サーバ問い合わせを
      しません
      デフォルト:
      No
  5. ProxyTrust パラメータの値を yes に変更します。
  6. 以下のパラメータを探します。
    • casso1283
      ProxyAgent
      Web エージェントがリバース プロキシ エージェントとして動作するかどうかを指定します。
      このパラメータの値が yes のときは、フロントエンド サーバ上の
      SiteMinder
      エージェントはユーザが要求した元の URL を SM_PROXYREQUEST HTTP ヘッダ内で維持します。保護されているリソースと保護されていないリソースが要求された場合は常に、このヘッダが作成されます。バックエンド サーバは、元の URL に関する情報を取得するためにこのヘッダを読み取ることができます。
      デフォルト
      : No
  7. ProxyAgent パラメータの値が no に設定されていることを確認します。
  8. エージェント設定オブジェクトへの変更をサブミットします。
  9. DMZ
    の内部に展開された IIS サーバ ノードに関連付けられた、エージェント設定オブジェクト(ACO)を開きます。
  10. DMZ 内部のすべてのノードが設定されるまで、各 IIS Web サーバ ノード上で手順 5 ~ 10 を繰り返します。
    Web エージェント設定パラメータが設定されます。

DMZ 内に ARR と
SiteMinder
で IIS 7.x サーバをセットアップする方法

DMZ(フロントエンド サーバとして)で Application Request Routing (ARR)および IIS 用
SiteMinder
を使用して IIS 7.x Web サーバをセットアップするには、以下の複数手順のプロセスを使用します。
  1. ARR を DMZ(フロントエンド)内の IIS 7.x Web サーバにインストールし設定します。
    casso1283
    アプリケーション リクエスト ルーティング(ARR)の詳細については、IIS Web サイトに移動し、語句「アプリケーション要求ルーティング」を検索してください。
  2. DMZ (フロントエンド)内の IIS 7.x Web サーバ上に IIS 用
    SiteMinder
    エージェントをインストールおよび設定します。
    casso1283
    詳細については、「IIS 用 Web エージェント インストール ガイド」を参照してください。

DMZ 内の ARR サーバの背後で動作している場合に
SiteMinder
で IIS 7.x サーバをセットアップする方法

IIS 用
SiteMinder
エージェントは、Application Request Routing (ARR)を使用する以下の設定をサポートします。
  • ARR を実行する DMZ ベースの IIS 7.x Web サーバの
    背後
    で動作する複数のバックエンド Web サーバ。
  • SiteMinder
    Web エージェントまたは IIS 用エージェントによるこれらのバックエンド サーバの保護。
この設定を実装するには、以下の複数手順のプロセスを使用します。
  1. ARR を DMZ(フロントエンド)内の IIS 7.x Web サーバにインストールし設定します。
    casso1283
    アプリケーション リクエスト ルーティング(ARR)の詳細については、IIS Web サイトに移動し、語句「アプリケーション要求ルーティング」を検索してください。
  2. DMZ(バックエンド)の背後の最初の IIS 7.x Web サーバ上に IIS 用
    SiteMinder
    エージェントをインストールおよび設定します。
    casso1283
    このコンテキストでは、最初のサーバとは、共有設定情報が格納されているファームの IIS Web サーバを指します。ノードとは、最初のサーバから共有設定を読み取った、ファームの他の IIS Web サーバのことです。
  3. DMZ (バックエンド)の背後の他の IIS 7.x Web サーバ ノード上に IIS 用
    SiteMinder
    エージェントをインストールおよび設定します。