OneClick Web サーバ設定の指定
内容
casp1032jp
内容
OneClick Web サーバ ホストをポリシー サーバに登録したら、追加のパラメータを設定できます。
- [ポリシー サーバ設定]パネルでは、フェールオーバ用に設定されているバックアップ ポリシー サーバと、無応答のポリシー サーバへの接続要求を破棄するまでCA SpectrumOneClick Web サーバが待機する最大時間(秒)を指定できます。
- [OneClick エージェント設定]パネルでは、OneClick Web サーバ エージェントと cookie ドメイン パラメータを指定します。また、cookie に格納されている IP アドレスがリクエスタの IP アドレスと一致しない場合に不正な Web サーバ要求を拒否するために、cookie 内の IP アドレスを確認するように Web サーバ エージェントに指示することもできます。
- [認証ログ記録]パネルでは、Tomcat ログ ファイルまたは別のログ ファイルに認証情報を記録するかどうかを指定できます。また、ログ記録を無効にすることもできます。
- [CA Spectrum 認証フェールオーバ]パネルでは、ポリシー サーバにアクセスできないためシングル サインオン認証が失敗した場合、OneClick 認証を許可するかどうかを指定できます。これは、CA Spectrumユーザがシングル サイオンなしで通常どおりログオンするように OneClick にログインできるようになることを意味します。
これらの設定は、設定を保存し、統合を有効にするまで有効になりません。
以下のセクションでは、設定パネルおよび OneClick 登録設定についてさらに詳しく説明します。
ポリシー サーバ設定
[ポリシー サーバ設定]パネルは、[OneClick 管理]、[SITEMINDER 設定]フォームの[シングル サインオン設定]ページにあります。このフォームは、OneClick Web サーバ ホストをポリシー サーバに正しく登録した後に使用できます。詳細については、「OneClick Web サーバの SiteMinder ポリシー サーバへの登録」を参照してください。
[ポリシー サーバ設定]パネルでは、フェールオーバ用に設定されている 1 つ以上のバックアップ ポリシー サーバを指定できます。OneClick Web サーバは、登録フォームで指定されているプライマリ ポリシー サーバがダウンしていることを検出した場合、バックアップ ポリシー サーバに接続しようとします。
以下に、[ポリシー サーバ設定]パネルを示します。
また、OneClick Web サーバによるポリシー サーバへの接続要求のタイムアウト間隔を指定することもできます。この間隔は、[ポリシー サーバ設定]フォームで設定します。ポリシー サーバがこの間隔内に応答しない場合、OneClick Web サーバは要求を破棄します。デフォルトの間隔は、60 秒です。高いデータ トラフィックやネットワーク速度の低下によって接続要求が頻繁に破棄される場合は、間隔を増やします。
注:
OneClick Web サーバは、要求が破棄された後にバックアップ サーバへの接続を試行しません。これは、接続の失敗が必ずしもプライマリ サーバがダウンしていることを示すものではないためです。以下の手順に従います。
- バックアップ サーバを追加するには、バックアップ サーバの IP アドレスとポート番号(デフォルト ポート 44441 と異なる場合)を入力して、[追加]をクリックします。バックアップ サーバおよびポート番号が[ポリシー サーバ]ボックスに追加されます。
- バックアップを削除するには、[ポリシー サーバ]ボックス内のサーバ エントリを選択し、[削除]をクリックします。バックアップ エントリが[ポリシー サーバ]ボックスから削除されます。
- 要求タイムアウト間隔を変更するには、新しい間隔値を入力します。
- ポリシー サーバがセッション IP アドレスの検証をスキップするかどうかを指定します。セッションの IP アドレスの検証は逆プロキシによって変更されます。
OneClick エージェント設定の指定
[OneClick エージェント設定]パネルは、[OneClick 管理]、[SITEMINDER 設定]フォームの[シングル サインオン設定]ページにあります。このフォームは、OneClick Web サーバ ホストをポリシー サーバに正しく登録した後に使用できます。詳細については、「OneClick Web サーバの SiteMinder ポリシー サーバへの登録」を参照してください。
[OneClick エージェント設定]パネルでは、この信頼されたホスト(OneClick Web サーバ)の Web エージェント設定を指定できます。
以下の図に、[OneClick エージェント設定]パネルを示します。
以下の手順に従います。
- [シングル サインオン設定]ページから、[OneClick エージェント設定]パネルに移動し、以下の設定を指定します。
- エージェント名ポリシー サーバに作成したCA SpectrumOneClick カスタム エージェントの名前を示します。
- Cookie ドメインOneClick Web サーバ エージェントの cookie ドメインを示します。ドメイン値には以下の形式を使用します。.your_company.com注:CA EEM または を使用してCA eHealthとCA SpectrumCA SiteMinder®の間の相互運用を実現しようとしている場合は、cookie ドメインに 2 番目のレベルかそれより上位のドメインが必要です。cookie は、セキュリティ上の理由で特定のドメイン レベルに制限されます。「RFC 2901」および「RFC 2965」に従って、cookie をトップ レベルのドメイン(.com、.org、.gov など)に設定することはできません。少なくとも 2 番目のレベルのドメインが必要です。詳細については、RFC のマニュアルを参照してください。ドメイン名が 2 文字の国コードで終わる場合は、少なくとも 3 番目のレベルのドメインが必要です。2 番目のレベルのドメインに設定されている cookie は、3 番目のレベルのドメインのすべてに表示されます。一方、3 番目のレベルのドメインに設定されている cookie は、その親の 2 番目のレベルのドメインやその他のサブ ドメインに表示されません。cookie への書き込み時にドメイン名が指定されていない場合、cookie ドメイン属性はアプリケーションが存在するドメイン名にデフォルトで設定されます。
- Cookie ドメイン範囲cookie ドメイン範囲値を示します。範囲は、ドメイン名を構成するセクションの数(ピリオド区切り)を決定します。以下の例について考えてみます。
- 範囲 = 0、指定したホストの最も具体的な範囲 (このリリースではサポートされていません)。
- 範囲 = 2、.your_company.com
- 範囲 = 3、your_division.your_company.com
注:範囲値 1 は、HTTP 仕様により許可されていません。デフォルト:2 - 永続 IP チェック単一のサインオン セッション トークンが、その作成元の IP アドレスと異なる IP アドレスかどうかをエージェントが確認できるようにするか(はい)、またはしないか(いいえ)を指定します。エージェントが不一致を検出した場合は、セッション要求を拒否します。
- [OK]をクリックします。OneClick エージェントの設定が完了しました。
認証ログ記録の設定
[認証ログ記録]パネルは、[OneClick 管理]、[SITEMINDER 設定]フォームの[シングル サインオン設定]ページにあります。このフォームは、OneClick Web サーバ ホストをポリシー サーバに正しく登録した後に使用できます。詳細については、「OneClick Web サーバの SiteMinder ポリシー サーバへの登録」を参照してください。
[認証ログ記録]パネルでは、すべての認証要求に対する認証および許可アクティビティの詳細なログ記録を有効にできます。デフォルトでは、ログ ファイルは Tomcat ログ ファイル(Windows では stdout.log、Linux では Catalina.out)に書き込まれます。ただし、別のファイルおよび場所を指定できます。ログ ファイルには、認証および許可に関する問題のトラブルシューティングに役立つ情報が含まれます。たとえば、ログには、ポリシー サーバでユーザが正しく認証されたかどうか、およびユーザが OneClick アプリケーション用の
CA Spectrum
ユーザ モデルに関連付けられている適切な役割を持っていたかどうかが示されます。以下に、[認証ログ記録]パネルを示します。
注:
ログ ファイルには大量の情報が書き込まれるため、トラブルシューティングに必要な場合にのみ詳細なログ記録を有効にしてください。長い期間にわたって有効にしたままにしないでください。以下の手順に従います。
- Tomcat ログへのログ記録を有効にするには、[はい]を選択します。
- 特定のファイル(Tomcat ログ以外)へのログ記録を有効にするには、[はい]を選択し、[ログ ファイル名]ボックスにログ ファイルのフル パスとログ ファイル名を入力します。
- ログ記録を無効にするには、[いいえ](デフォルト)を選択します。
CA Spectrum
認証フェールオーバ[
CA Spectrum
認証フェールオーバ]パネルは、[OneClick 管理]、[SITEMINDER 設定]フォームの[シングル サインオン設定]ページにあります。このフォームは、OneClick Web サーバ ホストをポリシー サーバに正しく登録した後に使用できます。詳細については、「OneClick Web サーバの SiteMinder ポリシー サーバへの登録」を参照してください。[
CA Spectrum
認証フェールオーバ]パネルでは、OneClick Web サーバからポリシー サーバへの接続が失敗した場合、ユーザが通常の方法(シングル サインオンなし)でログオンするように OneClick にログオンできるようにするかどうかを指定できます。従業員がシングル サインオンのみによって OneClick にアクセスすることを組織が望んでいる場合は、フェールオーバを有効にしないでください。以下に、[
CA Spectrum
認証フェールオーバ]パネルを示します。
注:
CA Spectrum
ユーザのパスワードは、そのユーザを認証するためにポリシー サーバによって使用されるパスワードとは異なる場合があります。認証フェールオーバを有効にするには、[有効]を選択します。
シングル サインオンが失敗した場合、ユーザのログオン要求は
CA Spectrum
によって認証されます。認証フェールオーバが発生した場合、シングル サインオンで OneClick にログインしているユーザは、CA Spectrum
ログオン認証情報を提供するように求められます。反対に、ポリシー サーバへの接続が確立されると、それらのユーザはシングル サインオンのログオン認証情報を求められます。認証フェールオーバを無効にするには、[無効](デフォルト)を選択します。
シングル サインオンが失敗した場合、ユーザのログオン要求は
CA Spectrum
によって認証されません。統合のテストおよび保存
OneClick には、統合設定をテストおよび保存するオプションが用意されています。[OneClick 管理]で、[シングル サインオン設定]ページが[SITEMINDER 設定]フォームに含まれています。このフォームは、OneClick Web サーバ ホストをポリシー サーバに正しく登録した後に使用できます。詳細については、「OneClick Web サーバの SiteMinder® ポリシー サーバへの登録」を参照してください。
統合パラメータを設定したら、統合を保存して有効にする前に、統合テストを実行します。このテストでは、接続パラメータを正しく設定したかどうか、およびテスト ユーザ名とテスト パスワードがドメインのエントリに一致するかどうかを判定します。テストが失敗した場合、パラメータを再設定して再テストできます。設定のテストに成功したら、それらを保存できます。統合が自動的に有効になります。
以下に、[SITEMINDER 設定]フォームの下部にあるテストおよび設定オプションを示します。
[OneClick 管理]から、統合設定をテストします。
以下の手順に従います。
- [テスト ユーザ名]ボックスおよび[テスト パスワード]フィールドに、ポリシー サーバのドメイン ユーザ ディレクトリからユーザ名とパスワードを入力します。CA SiteMinder®管理者は、ユーザ ディレクトリを管理し、シングル サインオン認証用のパスワードを提供します。注:ポリシー サーバのユーザ ディレクトリ内のユーザ名は、ユーザがアクセスを予定しているアプリケーション(CA Spectrum、CA eHealth)で作成したユーザ名と一致する必要があります。
- [テスト]をクリックします。テストが成功すると、以下のメッセージが表示されます。「ポリシー サーバとの接続が正常に確立されました」
統合設定を保存することもできます。
以下の手順に従います。
- [保存]をクリックして統合設定を保存します。Tomcat を再起動するよう要求されます。
- [OK]をクリックし、Tomcat を再起動して設定を適用します。OneClick での SiteMinder シングル サインオン統合が有効になります。