シングル・サインオン設定

このページを使用して、シングル・サインオン (SSO) の構成値を設定します。

この管理コンソール・ページを表示するには、以下のステップを実行します。
  1. セキュリティー」>「グローバル・セキュリティー」をクリックします。
  2. 「認証」で、「Web および SIP セキュリティー (Web and SIP security)」>「シングル・サインオン (SSO)」とクリックします。

「構成」タブ

使用可能

シングル・サインオン機能を使用可能にすることを指定します。

J2EE FormLogin スタイルのログイン・ページ (管理コンソールなど) を使用する Web アプリケーションでは、 シングル・サインオン (SSO) を使用可能にする必要があります。SSO を使用不可にするのは、LTPA SSO タイプの Cookie が不要である特定の拡張構成の場合のみにしてください。

データ型: ブール
デフォルト: 使用可能
範囲: 使用可能または使用不可
SSL が必須

要求が HTTPS Secure Sockets Layer (SSL) 接続で送信されている場合にのみ、シングル・サインオン機能が使用可能に なるよう指定します。

データ型: ブール
デフォルト: 使用不可
範囲: 使用可能または使用不可
ドメイン・ネーム

シングル・サインオンを行うすべてのホストに、ドメイン・ネーム (.ibm.com など) を指定します。

アプリケーション・サーバーは、最初のピリオド以降のすべての情報を、 左から右へ、ドメイン・ネームとして使用します。このフィールドが定義されていない場合、Web ブラウザーは Web アプリケーションが実行されているホスト名をデフォルトのドメイン・ネームとして使用します。 また、その場合、シングル・サインオンは、そのアプリケーション・サーバー・ホスト名に制限され、 ドメイン内のその他のアプリケーション・サーバー・ホスト名では機能しません。

セミコロン (;)、スペース ( )、コンマ (,)、またはパイプ (|) で区切られた複数のドメインを指定することができます。 各ドメインは、最初の一致が見つかるまで、HTTP 要求のホスト名と比較されます。 例えば、ibm.com®;austin.ibm.com を指定して、ibm.com ドメインで最初の一致が検出されると、 アプリケーション・サーバーは austin.ibm.com ドメインとの突き合わせを行いません。 しかし、ibm.com または austin.ibm.com のいずれでも一致が見つからなかった場合、アプリケーション・サーバーは、 LtpaToken Cookie にはドメインを設定しません。

UseDomainFromURL を指定すると、アプリケーション・サーバー は、SSO ドメイン・ネームの値を、Web アドレスで使用されるホストのドメインに設定します。 例えば、HTTP 要求が server1.raleigh.ibm.com から来る場合、 アプリケーション・サーバーは、SSO ドメイン・ネームの値を raleigh.ibm.com に設定します。

ヒント: UseDomainFromURL 値では、大文字と小文字の区別はありません。usedomainfromurl と入力して、この値を使用することができます。
データ型: ストリング
インターオペラビリティー・モード

バックレベルのサーバーをサポートするために 相互運用 Cookie がブラウザーに送信されることを指定します。

WebSphere® Application Server バージョン 6 以降では、セキュリティー属性の伝搬機能を使用するのに、 新規の Cookie フォーマットが必要です。 インターオペラビリティー・モード・フラグが使用可能な場合、サーバーは 最大 2 つのシングル・サインオン (SSO) Cookie をブラウザーに送信して戻すことができます。場合によっては、 サーバーは相互運用 SSO Cookie のみを送信します。

Web インバウンド・セキュリティー属性の伝搬

Web インバウンド・セキュリティー属性の伝搬が使用可能な場合、 セキュリティー属性はフロントエンド・アプリケーション・サーバーに伝搬されます。このオプションを使用不可にすると、 シングル・サインオン (SSO) トークンが、ユーザー・レジストリーからのログインと、サブジェクトの再作成のために使用されます。

アプリケーション・サーバーがクラスターのメンバーであり、 クラスターがデータ複製サービス (DRS) ドメインで構成されている場合、 伝搬が行われます。 DRS が構成されていない場合、SSO トークンに発信元のサーバー情報が含まれます。

この情報により、受信サーバーは、MBean 呼び出しを使用して発信元サーバーに連絡を取り、 オリジナルのシリアライズされたセキュリティー属性を取得することができます。




マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連タスク
関連資料
Java Authentication and Authorization Service 用のログイン・モジュール設定


ファイル名: usec_sso.html