セキュリティ

Web クライアントのセッションベースの名前とパスワードによる認証
IBM(R) Lotus Domino(R) Web サーバーに対するアクセス権を持つ Web クライアントの名前とパスワードによる認証を設定するには、基本的な名前とパスワードによる認証、またはセッションベースの名前とパスワードによる認証の 2 つの方法の一方を使用できます。セッションベースの名前とパスワードによる認証には、基本的な名前とパスワードによる認証では使用できない機

能が含まれています。セッションとは、Web クライアントが Cookie を使ってサーバーにアクティブにログオンしている時間と定義されています。セッション認証の有効化と制御に関する設定を指定するには、システム設定に応じて Web サイト文書かサーバー文書を編集します。

また、セッションベースの認証を有効化する場合は、単一サーバーを使用するのか、複数サーバーを使用するのかという 2 つのオプションがあります。単一サーバーオプションの場合、サーバーが生成した Cookie は、その生成元サーバーによってのみ適用されます。一方、複数サーバーオプションの場合は、生成された Cookie を使用して、Web SSO 設定文書を共有している任意のサーバーにシングルサインオンできます。

セッションベースの認証を使用するには、Web クライアントは Cookie をサポートしているブラウザを使用しなければなりません。Lotus Domino は Cookie を使ってユーザーセッションをトラッキングします。

セッションベースの名前とパスワードによる認証の特徴名前とパスワードによる認証の場合、クライアントの名前と暗号化されていないパスワードが、サーバーに対する要求ごとに送信されます。セッションベースの認証では、ユーザーの名前とパスワードの情報が、要求が発行されるたびにではなく、ユーザーがサーバーに最初にログインするときにだけネットワークを介して送信されます。ログイン後は、ユーザーの名前とログオン情報はユーザーのブラウザの Cookie に保存され、ブラウザは要求が発行されるたびにサーバーに Cookie を送信します。サーバーは要求を処理する前に、Cookie の中の情報を確認し、Cookie の内容を使用してログインユーザーを識別します。セッションは、ログインが実行されたブラウザ内でのみ有効です。セッションログインが実行されたブラウザをユーザーがシャットダウンすると、ユーザーセッションは終了し、Cookie は廃棄されます。
セッションベースの名前とパスワードによる認証を使用すると、基本的な名前とパスワードによる認証に比べ、より強力に、ユーザーインタラクションを制御できます。たとえば、ユーザーが各自の名前とパスワード情報を入力するフォームをカスタマイズすることもできます。ブラウザを終了せずにセッションからログアウトすることもできます。

カスタマイズできる HTML ログインフォームHTML ログインフォームでユーザーの名前とパスワードを入力すると、その名前とパスワードをユーザーセッション全体に適用できます。ブラウザは、サーバーのキャラクタセットを使って、そのサーバーに名前とパスワードを送信します。HTTP セッション認証の場合、ユーザーは、Unicode の印刷可能文字を使って、名前を入力できます。ただし、ユーザーのパスワードは、US-ASCII の印刷可能文字を使って入力しなければなりません。
メモ 印刷可能文字に、制御文字は含まれません。

Lotus Domino ではデフォルトの HTML フォーム ($$LoginUserForm) が用意されており、Lotus Domino Web サーバー設定データベース (DOMCFG.NSF) で作成や設定を行えます。このフォームをカスタマイズしたり、独自のフォームを作成して、情報を追加することもできます。

アイドル状態のセッションのタイムアウトデフォルトのログアウト時間を指定すると、アクティブでない状態が一定時間以上続いた場合に Web クライアントをサーバーからログオフできます。これにより、Lotus Domino がユーザーセッションのトラッキングに使用する Cookie を期限切れにすることができます。サーバーから自動的にログオフするようにしておくと、ユーザーがログオフせずに席を離れた場合でも、他のユーザーがその Web クライアントを使ってユーザーになりすますことを防げます。セッションベースの名前とパスワードによる認証をサーバーで有効にしておくと、ユーザーは URL の末尾に ?logout を付けることで (たとえば、http://acmeserver/sessions.nsf?logout と入力)、セッションをログオフできます。
ログアウトを設計要素や URL にリダイレクトすることもできます。次に例を示します。


この式をアプリケーション内で作成してボタンとして使用したり、URL として入力できます。

最大ユーザーセッション数単一サーバーのセッションベースの認証の場合のみ、1 つのサーバー上で同時に実行できるユーザーセッションの最大数を指定できます。サーバーのパフォーマンスが低下していると思われる場合は、この数を減らします。
インターネットパスワードの管理Lotus Domino 8 では、セッションベースの認証でインターネットパスワードを管理するための機能がサポートされています。これはポリシー文書とカスタムパスワードポリシーを通じて行われます。
複数サーバーのセッションベースの認証複数サーバーのセッションベースの認証 (シングルサインオンとも呼ばれています) を使用すると、Lotus Domino の Cookie を複数のサーバーで使用できます。これを使用すると、Lotus Domino Server および WebSphere サーバーを相互運用し、Cookie を共有することもできます。
メモ ラウンドロビン方式の DNS を使用できるようにサーバーが設定してある場合は、セッションベースの名前とパスワードによる認証で複数サーバー (シングルサインオン) オプションを使用します。単一サーバーの Cookie を使用するラウンドロビン方式の DNS では、サーバーはセッション情報をメモリに保存できません。また、サーバーが再起動されたりクラッシュしたりすると、セッション情報が失われるので、ユーザーは名前とパスワードを入力し直さなければなりません。複数サーバーセッション設定では、サーバーを再起動したときでもセッション Cookie がそのまま有効になっている場合があります (Cookie が期限切れでない場合) が、ユーザーは引き続き、ユーザーのログオンを実行したブラウザのウィンドウからサーバーにアクセスしなければなりません。

関連項目