コンポーネントおよびストア

stmndr 環境には複数のコンポーネントが含まれます。コンポーネントのなかにはリソースを保護するために必要なものもありますが、オプションのものや、特定の機能を実装するためにのみ必要なものもあります。これらのコンポーネントは、組織内のリソース、アプリケーション、ディレクトリ、およびデータベースと連携して、企業ネットワーク内のリソースへの安全なアクセスを提供します。
casso1283
SiteMinder
環境には複数のコンポーネントが含まれます。コンポーネントのなかにはリソースを保護するために必要なものもありますが、オプションのものや、特定の機能を実装するためにのみ必要なものもあります。これらのコンポーネントは、組織内のリソース、アプリケーション、ディレクトリ、およびデータベースと連携して、企業ネットワーク内のリソースへの安全なアクセスを提供します。
すべての
SiteMinder
コンポーネントは、さまざまなオペレーティング システムでサポートされています。
SiteMinder
の実装は、それを展開する環境に大きく依存します。
クロック同期および複数のオペレーティング システムに関する問題に注意してください。非同期のクロックによって予期しない
SiteMinder
の動作が生じる場合があります。
実装については、必ずしも以下の図の通りである必要はありません。以下の図は、
SiteMinder
環境の主要コンポーネントとそれら相互の一般的な関係を示すことを目的とするものです。
product components overview
アーキテクチャ上の問題を考慮する場合のリソースとして、前述の図および以下のコンポーネントの説明を使用してください。
2
ポリシー サーバ
(必須) ポリシー サーバ(ポリシー サーバ)は、ポリシー決定ポイント(PDP)として機能します。ポリシー サーバの目的は、アクセス制御ポリシーを評価および実行することで、ポリシー サーバは
SiteMinder
エージェントと通信します。ポリシー サーバは、以下の機能を提供します。
  • ポリシー ベースのユーザ管理
  • 認証サービス
  • 認可サービス
  • パスワード サービス
  • セッション管理
  • 監査サービス
ポリシー サーバは、これらのタスクを実行するために他のすべての主要コンポーネントと交信します。
SiteMinder
エージェント
(必須)エージェントは、Web サーバ、J2EE アプリケーション サーバ、Enterprise Resource Planning (ERP)システムまたはカスタム アプリケーション上に存在することができます。エージェントは、リソース用ユーザ リクエストをインターセプトし、リソースが保護されるかどうか決定するためにポリシー サーバと通信して、ポリシー実行ポイント(PEP)として機能します。
リソースが保護されない場合、エージェントはアクセスを許可します。リソースが保護されている場合、エージェントはユーザを認証および認可するためにポリシー サーバとの通信を続行します。認可が正しく行われると、エージェントはリソース リクエストをサーバに送るよう要求されます。さらにエージェントは以下のような働きをします。
  • コンテンツのパーソナライズを有効にするために、Web アプリケーションに情報を提供します。
  • 認証されたユーザおよび保護されたリソースに関する情報をキャッシュして、リソースへのより迅速なアクセスを可能にします。
  • シングル サインオン(SSO)の有効化
SiteMinder
Web サービス セキュリティ エージェント
SiteMinder
Web サービス セキュリティに必須)  Web サービス セキュリティ(WSS)エージェントは、以下のプラットフォームで動作するポリシー実行ポイント(PEP)として機能します。
  • Web サーバ
  • J2EE アプリケーション サーバ
  • カスタム アプリケーション
WSS エージェントは、「大きな」(SOAP 基づく)Web サービスのリクエストをインターセプトします。その後、WSS エージェントはポリシー サーバと通信して、リソースが保護されているかどうかを判断します。
JBoss 用
SiteMinder
エージェントには
SiteMinder
および WSS
エージェントの機能が含まれます。
リソースが保護されない場合、エージェントはアクセスを許可します。リソースが保護されている場合、エージェントはユーザを認証および許可するためにポリシー サーバとの通信を続行します。認可が正しく行われると、エージェントはリソース リクエストをサーバに送るよう要求されます。
また、エージェントは以下の他の機能を実行します。
  • 認証されたユーザおよび保護されたリソースに関する情報をキャッシュして、リソースへのより迅速なアクセスを可能にします。
  • シングル サインオン(SSO)の有効化
データ ストア
SiteMinder
の実装には複数のデータ ストアが含まれます。ストアによっては必須のものがありますが、その他はオプション、または特定の機能を実装する場合にのみ必要です。
以降では、以下について説明します。
  • ストアが必須またはオプションの場合
  • ストアの目的
ポリシー ストア
(必須)
SiteMinder
ポリシー ストア(ポリシー ストア)は、LDAP ディレクトリ サーバまたは ODBC データベース内に存在する資格情報ストアです。このコンポーネントの目的は、以下を含むすべてのポリシー関連のオブジェクトを格納することです。
  • SiteMinder
    が保護しているリソース
  • それらのリソースを保護するために使用されるメソッド
  • それらのリソースにアクセス可能またはアクセス不可能な、ユーザまたはグループ
  • ユーザが保護されたリソースへのアクセスを許可または拒否されたときに実行されるべきアクション
ポリシー サーバは、エンタープライズ ポリシー管理(EPM)アプリケーションまたは ポリシーと総称されるこの情報を使用して、リソースを保護するかどうか、そして認証されたユーザによるリクエストされたリソースへのアクセスを許可するかどうかを決定します。
ユーザ ストア
(必須)
SiteMinder
ユーザ ストア接続(ユーザ ストア接続)は、企業ネットワーク内の既存のユーザ ディレクトリまたはデータベースへの接続です。独自の
SiteMinder
ユーザ ストアを使用する必要はありません。ユーザ ストア接続の目的は、ユーザ データをポリシー サーバで使用可能にすることです。それには以下が含まれます。
  • 組織の情報
  • ユーザおよびグループの属性
  • パスワードなどのユーザ認証情報
  • 名と姓などのユーザ属性
ポリシー サーバはこれらの接続を使用して、以下を実行します。
  • エージェントが保護されたリソースへのリクエストをサブミットするときに、ユーザ認証情報を確認する
  • 特定のユーザ データを必要とする
    SiteMinder
    機能用のユーザ属性を取得する
ユーザ ストア接続の設定の詳細については、ドキュメント ロードマップを参照してください。
外部管理ユーザ ストア
(オプション)デフォルトでは、管理 UI は
SiteMinder
管理者認証情報のソースとしてポリシー ストアを使用します。このデフォルト設定により、ポリシー ストアの設定および管理 UI のインストール直後から環境を管理することができます。ポリシー ストアの設定時に、デフォルトの
SiteMinder
スーパーユーザ アカウント(siteminder)が作成されます。このアカウントには最大のシステム権限があり、初めて管理 UI にアクセスする場合、および追加の
SiteMinder
管理者を作成する場合に使用されます。
たとえばコーポレート ディレクトリのような外部管理ユーザ ストアを使用するために、管理 UI を設定することができます。外部管理ユーザ ストアは、エンタープライズ ネットワーク内の LDAP ディレクトリ サーバまたは ODBC データベースへの接続です。以下の点を考慮します。
  • 管理 UI は単一の外部管理ユーザ ストアにのみ接続できます。
  • 複数のポリシー サーバを管理するように管理 UI を設定できます。管理 UI が複数のポリシー サーバを管理するためには、外部管理者ユーザ ストアへの接続が必要です。
  • 高可用性用のために複数の管理 UI を設定する場合、同じ外部管理ユーザ ストアによってすべての管理者が各管理 UI を使用できるようになります。
SiteMinder
管理者および外部管理ユーザ ストアの設定の詳細については、ドキュメント ロードマップを参照してください。
キーストア
(必須)このコンポーネントの目的は、機密データを暗号化するためにポリシー サーバとエージェントが使用する暗号化キーを格納することです。キーには以下のものが含まれます。
  • SiteMinder
    Cookie を暗号化するためにエージェントが使用するキー。
  • ポリシー ストアの機密情報を暗号化するためにポリシー サーバが使用するキー。管理者パスワードなどがあります。
  • 認証情報およびユーザ セッションに関連するその他情報が含まれる セッション チケットを暗号化するためにポリシー サーバが使用するキー。
キー ストアをポリシー ストアと連結させることができます。または、個別のディレクトリまたはデータベースに暗号化キーを格納できます。個別のキー ストアを展開する必要があるかどうかは以下によって決まります。
  • ポリシー サーバおよびポリシー ストアをどのように実装するか。
  • シングル サインオン要件
ポリシー サーバ設定ウィザードを使用してポリシー ストアを設定する場合、キー ストアがポリシー ストアと自動的に連結されます。
証明書データ ストア
(オプション) 証明書データ ストア(CDS)によって、以下のコンポーネントおよび機能を
SiteMinder
環境で利用できるようになります。
  • 認証機関(CA)の証明書
  • 公開キーおよび秘密キー
  • 証明書破棄リスト(CRL)
  • OCSP 破棄チェック
SiteMinder
フェデレーション機能は証明書データ ストアを使用します。X.509 証明書認証方式が認証に使用するユーザ証明書は、証明書データ ストアに格納されません。これらのユーザ証明書は LDAP/AD ユーザ ディレクトリまたは ODBC ストアに格納されます。
デフォルトでは、証明書データ ストアは、自動的に設定され、ポリシー ストアと同じ場所に格納されます。その結果は以下のとおりです。
  • 別個の外部ストアは不要です。
  • 同じポリシー ストアに共通のビューを共有するポリシー サーバはすべて、同じキー、証明書および証明書破棄リストにアクセスできます。
  • 同じポリシー ストアを管理するすべての管理者は管理 UI を使用して証明書データ ストアを集中管理できます。
SiteMinder
監査データベース
(オプション)デフォルトでは、ポリシー サーバは監査イベントをテキスト ファイルに書き込みます。これはポリシー サーバ ログとして知られています。監査ログの目的は、以下を含むすべてのユーザ アクティビティに関する情報を追跡することです。
  • すべての成功した認証
  • すべての失敗した認証
  • すべての成功した認可試行
  • すべての失敗した認可試行
  • すべての管理ログイン試行
  • 管理者パスワードの変更、ポリシー ストア オブジェクトの作成およびポリシー ストア オブジェクトの変更といった、すべての管理アクション
ただし、スタンドアロンの 監査データベース(監査データベース)を設定することができます。監査イベントの格納場所を決定するときは、以下を考慮します。
  • テキスト ファイルに情報を記録するよりも、監査ログをデータベースに格納する方が安全です。
  • サポートされている場合は、ポリシー ストアは監査データベースとしても機能することができます。
監査データベースの設定の詳細については、ドキュメント ロードマップを参照してください。
セッション ストア
(オプション)
SiteMinder
がユーザを認証するときに、ポリシー サーバはセッション チケットを発行します。セッション チケットには、ユーザの基本情報およびユーザの認証情報が含まれます。デフォルトでは、
SiteMinder
は非永続セッションによってセッション管理を実装します。非永続セッションが有効な場合、エージェントはユーザのブラウザ上の Cookie にセッション チケットを書き込みます。ただし、
SiteMinder
機能によっては永続セッションが必要な場合があります。
永続セッションが有効な場合、エージェントはスタンドアロン データベースにセッション チケットを書き込む必要があります。
以下の主な理由により、 セッション ストア(セッション ストア)を展開します。
  • ログオフ URI が実装された場合、セッション ストアは、ユーザのログオフ後にセッションが再度使用されることを防ぎます。
  • 永続ユーザ セッションを必要とする機能をサポートします。
エージェントはこの情報を使用してユーザを識別し、ポリシー サーバにセッション情報を提供します。
セッション ストアの設定の詳細については、ドキュメント ロードマップを参照してください。
SiteMinder
管理 UI
(必須)
SiteMinder
管理 UI (管理 UI)は、ポリシー サーバから独立してインストールされる Web ベースの管理コンソールです。管理 UI は、アクセス制御、フェデレーション、およびポリシー分析に関連するすべてのタスクを管理することを目的としています。