セキュリティ

Web クライアントのセッションベースの名前とパスワードによる認証
Domino Web サーバーに対するアクセス権を持つ Web クライアントの名前とパスワードによる認証を設定するには、基本的な名前とパスワードによる認証、またはセッションベースの名前とパスワードによる認証の 2 つの方法の一方を使用できます。セッションベースの名前とパスワードによる認証には、基本的な名前とパスワードによる認証では使用できない機能が含まれています。セッションとは、Web クライアントが Cookie を使ってサーバーにアクティブにログオンしている時間のことです。セッション認証の有効化と制御に関する設定を指定するには、システム設定に応じて Web サイト文書かサーバー文書を編集します。

また、セッションベースの認証を有効化する場合は、単一サーバーを使用するのか、複数サーバーを使用するのかという 2 つのオプションがあります。単一サーバーオプションの場合、サーバーが生成した Cookie は、その生成元サーバーによってのみ適用されます。一方、複数サーバーオプションの場合は、生成された Cookie を使用して、Web SSO 設定文書を共有している任意のサーバーにシングルサインオンできます。

セッションベースの認証を使用するには、Web クライアントは Cookie をサポートしているブラウザを使用しなければなりません。Domino は Cookie を使ってユーザーセッションをトラッキングします。

セッションベースの名前とパスワードによる認証の特徴
名前とパスワードによる認証の場合、クライアントの名前と暗号化されていないパスワードが、サーバーに対する要求ごとに送信されます。セッションベースの認証では、クライアントの名前と暗号化されたパスワードがクライアント上の Cookie に格納されている点が異なります。この情報は、要求が発行されるたびにではなく、ユーザーがサーバーに最初にログインするときにだけネットワークを介して送信されます。セッションベースの名前とパスワードによる認証を使用すると、基本的な名前とパスワードによる認証に比べ、より強力に、ユーザーインタラクションを制御できます。たとえば、ユーザーが各自の名前とパスワード情報を入力するフォームをカスタマイズすることもできます。ブラウザを終了せずにセッションからログアウトすることもできます。

カスタマイズできる HTML ログインフォーム
HTML ログインフォームでユーザーの名前とパスワードを入力すると、その名前とパスワードをユーザーセッション全体に適用できます。ブラウザは、サーバーのキャラクタセットを使って、そのサーバーに名前とパスワードを送信します。HTTP セッション認証の場合、ユーザーは、Unicode の印刷可能文字を使って、名前を入力できます。ただし、ユーザーのパスワードは、US-ASCII の印刷可能文字を使って入力しなければなりません。

メモ 印刷可能文字に、制御文字は含まれません。

Domino ではデフォルトの HTML フォーム ($$LoginUserForm) が用意されており、Domino Web サーバー設定データベース (DOMCFG.NSF) で作成や設定を行えます。このフォームをカスタマイズしたり、独自のフォームを作成して、情報を追加することもできます。

デフォルトのログアウト時間
デフォルトのログアウト時間を指定すると、アクティブでない状態が一定時間以上続いた場合に Web クライアントをサーバーからログオフできます。これにより、Domino がユーザーセッションのトラッキングに使用する Cookie を期限切れにすることができます。サーバーから自動的にログオフするようにしておくと、ユーザーがログオフせずに席を離れた場合でも、他のユーザーがその Web クライアントを使ってユーザーになりすますことを防げます。セッションベースの名前とパスワードによる認証をサーバーで有効にしておくと、ユーザーは URL の末尾に ?logout を付けることで (たとえば、http://acmeserver/sessions.nsf?logout と入力)、セッションをログオフできます。

ログアウトを設計要素や URL にリダイレクトすることもできます。次に例を示します。


この式をアプリケーション内で作成してボタンとして使用したり、URL として入力できます。

最大ユーザーセッション数
単一サーバーのセッションベースの認証の場合のみ、1 つのサーバー上で同時に実行できるユーザーセッションの最大数を指定できます。サーバーのパフォーマンスが低下していると思われる場合は、この数を減らします。

インターネットパスワードの管理
Domino 6 では、セッションベースの認証でインターネットパスワードを管理するための機能がサポートされています。

複数サーバーのセッションベースの認証
複数サーバーのセッションベースの認証 (シングルサインオンとも呼ばれています) を使用すると、Domino の Cookie を複数のサーバーで使用できます。これを使用すると、Domino Server および Websphere サーバーを相互運用し、Cookie を共有することもできます。

メモ ラウンドロビン方式の DNS を使用できるようにサーバーが設定してある場合は、セッションベースの名前とパスワードによる認証で複数サーバー (シングルサインオン) オプションを使用します。単一サーバーの Cookie を使用するラウンドロビン方式の DNS では、サーバーはセッション情報をメモリに保存できません。また、サーバーが再起動されたりクラッシュしたりすると、セッション情報が失われるので、ユーザーは名前とパスワードを入力し直さなければなりません。複数サーバーのセッション認証オプションを使用する場合は、こういう事態は発生しません。

関連項目