シングル・サインオン設定

このページを使用して、シングル・サインオン (SSO) の構成値を設定します。

この管理コンソール・ページを表示するには、以下のステップを実行します。
  1. セキュリティー」>「グローバル・セキュリティー」とクリックします。
  2. 「認証」で、「Web および SIP セキュリティー (Web and SIP security)」>「シングル・サインオン (SSO)」とクリックします。
使用可能

シングル・サインオン機能を使用可能にすることを指定します。

J2EE FormLogin スタイルのログイン・ページ (管理コンソールなど) を使用する Web アプリケーションでは、 シングル・サインオン (SSO) を使用可能にする必要があります。SSO を使用不可にするのは、LTPA SSO タイプの Cookie が不要である特定の拡張構成の場合のみにしてください。

データ型: ブール値
デフォルト: 使用可能
範囲: 使用可能または使用不可
SSL が必須

要求が HTTPS Secure Sockets Layer (SSL) 接続で送信されている場合にのみ、シングル・サインオン機能が使用可能に なるよう指定します。

データ型: ブール値
デフォルト: 使用不可
範囲: 使用可能または使用不可
ドメイン・ネーム

シングル・サインオンを行うすべてのホストに、ドメイン・ネーム (.ibm.com など) を指定します。

アプリケーション・サーバーは、最初のピリオド以降のすべての情報を、 左から右へ、ドメイン・ネームとして使用します。このフィールドが定義されていない場合、Web ブラウザーは Web アプリケーションが実行されているホスト名をデフォルトのドメイン・ネームとして使用します。 また、その場合、シングル・サインオンは、そのアプリケーション・サーバー・ホスト名に制限され、 ドメイン内のその他のアプリケーション・サーバー・ホスト名では機能しません。

セミコロン (;)、スペース ( )、コンマ (,)、またはパイプ (|) で区切られた複数のドメインを指定することができます。 各ドメインは、最初の一致が見つかるまで、HTTP リクエストのホスト名と比較されます。 例えば、ibm.com®;austin.ibm.com を指定して、ibm.com ドメインで最初の一致が検出されると、 アプリケーション・サーバーは austin.ibm.com ドメインとの突き合わせを行いません。 しかし、ibm.com または austin.ibm.com のいずれでも一致が見つからなかった場合、アプリケーション・サーバーは、 LtpaToken Cookie にはドメインを設定しません。

UseDomainFromURL を指定すると、アプリケーション・サーバー は、SSO ドメイン・ネームの値を、Web アドレスで使用されるホストのドメインに設定します。 例えば、HTTP 要求が server1.raleigh.ibm.com から来る場合、 アプリケーション・サーバーは、SSO ドメイン・ネームの値を raleigh.ibm.com に設定します。

ヒント: UseDomainFromURL 値では、大文字と小文字の区別はありません。usedomainfromurl と入力して、この値を使用することができます。
データ型: ストリング
インターオペラビリティー・モード

バックレベルのサーバーをサポートするために 相互運用 Cookie がブラウザーに送信されることを指定します。

WebSphere® Application Server バージョン 6 以降では、セキュリティー属性の伝搬機能を使用するのに、 新規の Cookie フォーマットが必要です。 インターオペラビリティー・モード・フラグが使用可能な場合、サーバーは 最大 2 つのシングル・サインオン (SSO) Cookie をブラウザーに送信して戻すことができます。場合によっては、 サーバーは相互運用 SSO Cookie のみを送信します。

Web インバウンド・セキュリティー属性の伝搬

Web インバウンド・セキュリティー属性の伝搬が使用可能な場合、セキュリティー属性はフロントエンド・アプリケーション・サーバーに伝搬されます。 このオプションを使用不可にすると、 シングル・サインオン (SSO) トークンが、ユーザー・レジストリーからのログインと、サブジェクトの再作成のために使用されます。

アプリケーション・サーバーがクラスターのメンバーであり、 クラスターがデータ複製サービス (DRS) ドメインで構成されている場合、 伝搬が行われます。 DRS が構成されていない場合、SSO トークンに発信元のサーバー情報が含まれます。

この情報により、受信サーバーは、MBean 呼び出しを使用して発信元サーバーに連絡を取り、 オリジナルのシリアライズされたセキュリティー属性を取得することができます。




マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連タスク
関連資料
Java Authentication and Authorization Service 用のログイン・モジュール設定
関連情報
Internet Explorer Does Not Set a Cookie for Two-Letter Domains (オンライン)


ファイル名: usec_sso.html