セキュリティ

SSO LTPA トークン内のユーザー名マッピングを設定する
ユーザーのシングルサインオンを認証するために作成された LTPA トークンには、認証されているユーザーの名前が含まれています。IBM(R) Lotus Domino(R) は LTPA トークンの作成時に、デフォルトでトークン内に Lotus Domino の識別名を設定します。WebSphere サーバーにアクセスしようとしているユーザーからトークンを取得した WebSphere サーバーは、この名前形式を認識できる必要があります。認識できない場合、そのトークンは無視されてシングルサインオンは失敗します。また、ユーザーは、再ログインを行うよう求められます。

このような状況は一般的に、SSO 環境に参加している様々なサーバーによって使用される複数ディレクトリのある、エンドユーザーの設定で発生します。また、この設定では、ユーザーは複数の ID を持つ場合があります。たとえば、あるユーザーは、WebSphere LDAP ディレクトリ内では「uid=jdoe,cn=sales,dc=acme, dc=com」として認識される一方、Domino ディレクトリでは「John P Doe/Sales/Acme」として認識されている場合があります。WebSphere は、「John P Doe/Sales/Acme」などのユーザー名を含む LTPA トークンを受信した場合、このユーザーを WebSphere ディレクトリ内で検索しますが、見つからない場合にはトークンを拒否します。

ここで Lotus Domino 管理者は、Lotus Domino と WebSphere が混在する環境で、Lotus Domino と WebSphere が同じディレクトリを共有しない場合に、確実に名前が認識されるように、Lotus Domino で作成された LTPA トークン内に表示されるユーザー名を、WebSphere で処理できる名前にマッピングすることができます。

メモ リリースが混在する Lotus Domino 環境で LTPA トークン内のユーザー名をマッピングする場合、マッピングが正常に機能するには、そのトークンが Lotus Domino 7.0 サーバーで生成されている必要があります。LTPA トークン内のユーザー名の値を、(たとえば別名を設定する目的で) Lotus Domino 7.0 よりも以前のサーバー内のユーザー文書にある [Fullname] フィールドに 2 つ目の値として追加すると、そのユーザーは Lotus Domino 6.02 以降のサーバーや WebSphere サーバーのデータベースにもアクセスできます。

LTPA トークン内で使用されるユーザー名の指定方法は、シングルサインオン環境で使用するディレクトリ設定の内容により異なります。

一般に [LDAP ディレクトリ] フィールドと [Domino ディレクトリ] フィールドは 1 対 1 で対応しないため、ディレクトリアシスタント文書を名前のマッピングに使用する場合、LDAP 管理者は LTPA の [ユーザー名] フィールドと同等に使用する LDAP のフィールドを指定できます。

メモ SSO 設定文書でマッピング機能を無効にすると、ディレクトリアシスタント文書内にあるすべての名前のマッピング設定は無視されます。

Domino ディレクトリ環境でユーザー名マッピングを設定するにはこの環境では、一部の Lotus Domino SSO ユーザーは Domino ディレクトリ内にユーザーレコードを持っています。
1 LTPA トークンの名前のマッピングを有効にします。SSO 環境を定義する Web SSO 設定文書で、[LTPA トークンのマップ名] を有効にするオプションを選択します。

2 そのユーザーのユーザー文書で、[管理情報] をクリックします。[クライアント情報] で、[LTPA ユーザー名] フィールドに WebSphere で使用されるユーザー名 DN を入力します。一般的には、これはユーザーの LDAP 識別名 (DN) です。名前の各要素はスラッシュで区切ります。

名前は [LTPA ユーザー名] フィールドに Lotus Domino 形式で入力されますが、Lotus Domino は設定された LTPA ユーザー名を WebSphere で使用される適切な LDAP 形式に変換してからそれを Lotus Domino によって作成された LTPA トークンに入れます。
会社の LDAP ディレクトリ環境 (Lotus Domino と LDAP ディレクトリが混在する環境) でユーザー名マッピングを設定するにはこの環境では、一部またはすべての Lotus Domino ユーザーは、Domino ディレクトリ内にユーザーレコードを持っていません。それらの Lotus Domino ユーザーは、代わりに、Directory Assistance を通じて Lotus Domino にアクセスできる外部 LDAP ディレクトリにレコードを持っています。
1 LTPA トークンの名前のマッピングを有効にします。SSO 環境を定義する Web SSO 設定文書で、[LTPA トークンのマップ名] を有効にするオプションを選択します。

2 LDAP ディレクトリのディレクトリアシスタント文書を開きます。[SSO 設定] セクションで、このユーザー用に作成された SSO トークンでユーザー名として使用する LDAP 属性を入力します。[LTPA_UserNm] フィールドが要求されると、この属性が LTPA トークン内で使用されます。選択したフィールドに WebSphere が処理できるユーザー名が入力されていることを確認してください。このフィールドのオプションには、次のものが含まれます。

Directory Assistance が、特定のユーザーフィールドの検索で Domino ディレクトリと LDAP ディレクトリの両方に一致する項目が見つかるように設定されている場合、Lotus Domino は Lotus Domino のユーザーレコードと LDAP のレコードの間の一貫性を要求します。Lotus Domino は両方のディレクトリ内にあるインターネットメールアドレスに一致する値があることを確認するために追加の手順を実行します。このために DA はユーザーの LDAP [mail] 属性を検索します。この値は Lotus Domino のユーザーレコードの [internetaddress] フィールドの情報と一致しなければなりません。
LDAP ディレクトリ内の属性Domino ディレクトリ内の属性
mail:Jbond@secret.spies.cominternetaddress:Jbond@secret.spies.com
SSO が成功するためには、Lotus Domino の属性 [Internet address] の値が LDAP の属性 [mail] の値と一致していることを確認しなければなりません。

その他の留意点ユーザー文書で別名をサポートするには、LDAP 名を、[LTPA_UserNm] フィールドと [ユーザー名] フィールド (2 つ目の値として) の両方に追加します。[ユーザー名] フィールドの 2 つ目の値は、文書属性の Fullname となります。
エイリアスの非参照について詳しくは「リモート LDAP ディレクトリのディレクトリアシスタント文書でエイリアスを非参照に設定する」を参照してください。

関連項目