Jump to content 日本-日本語

ソフトウェア  >  セキュリティ

IceWall SSO よくあるご質問(FAQ)


機能・仕様

IceWall SSO

製品情報
シングルサインオン・
製品基本情報
製品諸元
オプション
導入サービス
サポート
FAQ
注目ソリューション
ワンタイム パスワードソリューション
モバイルソリューション
ビッグデータ ソリューション
認証技術開発センター・
  認証コンサルティング
キャンペーン
学校・教育機関向け
地方自治体向け
資料
お客様事例
技術レポート
カタログ
デモセンター
評価用マニュアルダウンロード
トレーニングコース
最新情報
IceWallニュース
お問い合わせ
資料請求・お問い合わせ
IceWall取扱いパートナー
IceWall製品サイト一覧
IceWall ソフトウェア
IceWall SSO
IceWall MFA
IceWall Identity Manager
IceWall Federation
IceWall MCRP
IceWall Remote Configuration Manager
IceWall QFS
   
IceWallサイトマップ
English
IceWall SSO(English)
IceWall Federation
IceWall Remote Configuration Manager
日本ヒューレット・パッカード セキュリティページ
日本ヒューレット・パッカード メールニュース
サイトマップ
IceWall SSOの基礎を実習で学べる!無償のハンズオンコース開講
Webからのお問い合わせ、資料ダウンロードはこちら
コンテンツに進む
認証
1. IceWall SSOの認証の方式はどのようなものがありますか?
2. IceWall SSOにはアカウントのロックに関する機能はどのようなものがありますか?
3. 同一アカウントによる複数ブラウザーからの同時ログインを禁止することは可能ですか?
4. IceWall SSOではどのようにセッション管理を行うのですか?
5. Cookie非対応のブラウザ(iモードなど)では、セッションはどのように管理されますか?
6. IceWall SSOは認証連携(フェデレーション)に対応していますか?
FAQトップページ(質問一覧)
導入効果
システム構成
動作環境
導入・運用
購入
保守
機能・仕様
ユーザーID/パスワード
1. IceWall SSOでは、ユーザーをグループで管理できますが、IceWall SSOにおけるグループの考え方とメリットとはどのようなものですか?
2. ユーザーIDに使う文字に制限がありますか?
3. IceWall SSOでは強制的にパスワード変更させるなどの機能はありますか?またパスワード変更に関する設定にはどのようなものがありますか?
4. IceWall SSOにはユーザーのパスワード忘れに対応する機能はありますか?
5. パスワードを暗号化して認証DBに保持できますか?
リバースプロキシ
1. IceWall SSOを導入する場合、バックエンドWebサーバーに特別な設定をする必要がありますか?
2. 複数のバックエンドWebサーバーが各々個別に認証機能をもっていて、ユーザーIDやパスワードが異なる場合、IceWall SSOはそれらをどのように統合しますか?
3. 各バックエンドWebサーバーへのアクセス権限はどこでどのように設定しますか?
4. IceWall SSOをリバースプロキシタイプで使用した場合でも、バックエンドへのアクセスURLをIceWall経由のURLにせず、直接バックエンドWebサーバーのURLを使用することは可能ですか?
5. HTMLファイルでなくてもキーワード変換は実行されますか?
6. 日本語のURLでもURL変換が可能ですか?
7. バックエンドWebサーバーからのCookie情報についてはIceWall SSOはどのように対応しますか?
8. IceWall SSOの機能で、バックエンドWebサーバーの負荷分散を行うことができますか?
9. ファイルサイズの大きいデータにはどのように対応しますか?
10. IceWall SSOのタイムアウトよりも、バックエンドWebサーバーのタイムアウトが先に発生する場合はIceWall SSOはどのような動作をしますか?
通信
1. IceWall SSOでは、どのような暗号化通信を行うことが可能ですか?
2. バックエンドWebサーバーとHTTP 1.1での通信は可能ですか?
3. IPv6 に対応していますか?また、制限事項はありますか?
4. IceWallサーバーとバックエンドWebサーバーとのネットワークに問題があり、接続不可能な場合やタイムアウトが生じた場合、IceWall SSOはどのように動作しますか?
使い方
1. IceWall SSOは各システムごとに独自の機能を追加したりその他のアプリケーションなどと連携させることはできますか?
2. 設定変更は、再起動せずに反映できますか?

認証

Q1. 

IceWall SSOの認証の方式はどのようなものがありますか?

A. 基本はユーザーIDとパスワードです。
IceWall SSO Smart OTP、OneTime認証連携ツールfor IceWall(有償別売り製品)を組み合わせることにより、ワンタイムパスワードでの認証も可能です。
その他、APIを使用して機能を拡張することにより様々な認証方式に対応する事ができます。
(実績例)
・ICカードを使用した認証
・クライアント証明書+パスワードによる認証
・そのほかお客様でお持ちの既存認証ロジックを使用した認証

Q2. 

IceWall SSOにはアカウントのロックに関する機能はどのようなものがありますか?

A. IceWall SSOでは様々の条件によりアカウントロックすることが可能です。
例えば
・パスワードをあらかじめ設定された回数だけ連続で誤った際に、アカウントをロックします。
・管理者から任意のユーザーに対してアカウントロックを行います。

Q3. 

同一アカウントによる複数ブラウザーからの同時ログインを禁止することは可能ですか?

A. 同一アカウントによる同時ログインを禁止することは可能です。
禁止した場合、後からログインを行うユーザーの動作 を下記のように設定することができます。

・すでにログインしているユーザーを強制的にログアウトして、後からログインしてきたユーザーを有効にする。
・すでにログインしているユーザーを有効とし、あとからログインしてきたユーザーをログインさせない。

Q4. 

IceWall SSOではどのようにセッション管理を行うのですか?

A. 基本的にはCookieを利用したセッションIDを用いてセッション管理を行います。
ユーザーが正しいユーザーID/パスワードでアクセスすればIceWall SSOはユーザーに対してセッションID Cookieを発行します。
セッションIDにより認証の確認を行うとともにユーザーのアクセス制御を行っています。
Cookieが利用できないブラウザに関してはセッションIDをURLのパスの一部に埋め込むことで対応しています。
ユーザーがログアウトを行えばセッションIDは消去されます。

Q5. 

Cookie非対応のブラウザ(iモードなど)では、セッションはどのように管理されますか?

A. URLの一部にセッションIDを埋め込むことでセッションを維持します。

Q6. 

IceWall SSOは認証連携(フェデレーション)に対応していますか?

A. IceWall Federationを導入することで認証連携(フェデレーション)に対応します。
IdP機能をIceWall Federation、SP機能をIceWall Federation Agentにて提供しています。 IceWall Federation(IdP機能)は、IceWall SSOのライセンスがあれば無償で使用することができます。
詳細は以下のURLをご覧ください。
IceWall Federationとは

ユーザーID/パスワード

Q1. 

IceWall SSOでは、ユーザーをグループで管理できますが、IceWall SSOにおけるグループの考え方とメリットとはどのようなものですか?

A. IceWall SSOでは、各ユーザーごとにデータベースに保存されている付加情報(例えば、役職カラム)などを利用して、ユーザーをグループにまとめて管理します。(各ユーザーごとに1つのグループを割り当てることも可能です。)
また、実際のアクセス制御設定では、これらグループ情報を利用した論理式により、きめ細やかなアクセス制御を行うことが可能です。
これらグループを利用したアクセス制御により、要求されるほとんど全てのアクセス制御要件に対応が可能です。

Q2. 

ユーザーIDに使う文字に制限がありますか?

A. ユーザーID として英数字以外に使用可能な特殊文字は以下の通りです。
! % $ & @ _ - .
空白文字はサポートされません。
また、「.」(ピリオド)はユーザーID の末尾には使用できません。
これら以外の特殊文字を使用した場合の動作については保証されません。

Q3. 

IceWall SSOでは強制的にパスワード変更させるなどの機能はありますか?またパスワード変更に関する設定にはどのようなものがありますか?

A. パスワード変更に関して、以下の設定が可能です。

・パスワード有効期限を設定することにより強制的にパスワード変更を行う
・パスワード有効期限長を設定
・過去に使用したパスワード使用可否の設定
・過去に使用したパスワード履歴の保存数設定
・パスワードに使用禁止にできる文字列の設定
・ユーザーIDと一致するパスワードの使用可否の設定
・パスワード長の設定
・パスワード使用可能な文字組み合わせの設定

Q4. 

IceWall SSOにはユーザーのパスワード忘れに対応する機能はありますか?

A. IceWall SSO パスワードリセットオプション(有償オプション)を提供しています。
ユーザーがパスワードを忘れた場合に、秘密の質問などを使用して安全にユーザー自身がパスワードをリセットすることが可能です。

Q5. 

パスワードを暗号化して認証DBに保持できますか?

A. IceWall SSOの標準機能では、パスワードが非可逆のハッシュ化(MD5、SHA、SHA256)形式もしくはプレーンテキストによりDBに保存されます。
また、お客様が独自に開発した暗号化アルゴリズムを組み込むこともできます。

リバースプロキシ

Q1. 

IceWall SSOを導入する場合、バックエンドWebサーバーに特別な設定をする必要がありますか?

A. リバースプロキシ型とエージェント型で設定が異なります。

<リバースプロキシ型>
通常バックエンドWebサーバー自体には特に設定の必要はありません。
認証サーバーには、バックエンドWebサーバーへのアクセス権限などの情報を登録する必要があります。
またバックエンドWebサーバー側でも認証を行っている場合は、IceWallサーバーに自動代行ログインのための設定を行います。

<エージェント型>
アプリケーションを提供しているWebサーバへIceWall エージェントをインストールする必要があります。
さらにWebサーバーソフトにIceWall エージェントを組み込むための設定と、IceWall エージェント自体の設定を行います。
認証サーバーに、リバースプロキシ型と同様にアクセス権限の設定を行います。

Q2. 

複数のバックエンドWebサーバーが各々個別に認証機能をもっていて、ユーザーIDやパスワードが異なる場合、IceWall SSOはそれらをどのように統合しますか?

A. IceWallサーバーがバックエンドWebサーバーの認証方式にあわせて自動代行ログインを行います。

(例1)
バックエンドWebサーバーの認証ID/パスワードを認証DBに登録し、IceWallサーバーでその情報をHTTPヘッダに埋め込みバックエンドWebサーバーへ送信します。

(例2)
CGIやServletなどで作成された認証については、HTMLフォームを使用して、これに認証DBに登録されているバックエンドWebサーバーの認証ID/パスワードをセットして、IceWallサーバーがバックエンドWebサーバーへ送信します。

Q3. 

各バックエンドWebサーバーへのアクセス権限はどこでどのように設定しますか?

A. ユーザーから各バックエンドWebサーバーへのアクセス権の設定は、認証サーバーの設定ファイルで行います。認証DB内の様々な情報を基にアクセスを制御するような設定が可能です。
(例)
あるバックエンドWebサーバーには「役職」カラムの内容が「部長」であるユーザが アクセス可能であるように、認証サーバーの設定を記述する。

Q4. 

IceWall SSOをリバースプロキシタイプで使用した場合でも、バックエンドへのアクセスURLをIceWall経由のURLにせず、直接バックエンドWebサーバーのURLを使用することは可能ですか?

A. オリジナルURL機能を使用すれば可能です。
詳細は以下のURLをご覧ください。
技術レポート:ここが知りたい!8.0 の新機能特集1 オリジナルURL対応機能特集1:基本編

Q5. 

HTMLファイルでなくてもキーワード変換は実行されますか?

A. IceWallサーバーの設定ファイル内でキーワード変換を行うコンテンツのMIMEタイプを指定することで、HTML以外のコンテンツに対してもキーワード変換を行うことができます。

Q6. 

日本語のURLでもURL変換が可能ですか?

A. 日本語がURLの一部に含まれる場合でもURL変換は行われます。
また日本語に対するキーワード変換を行う場合は、コンテンツの文字コードに合わせて設定ファイルを記述してください。

Q7. 

バックエンドWebサーバーからのCookie情報についてはIceWall SSOはどのように対応しますか?

A. そのまま中継します。
バックエンドWebサーバーのCookieは、Set-Cookieのpath属性及びdomain属性を使用している場合でも、IceWall SSO経由での設定となるように変更されるため、動作的に問題はありません。

Q8. 

IceWall SSOの機能で、バックエンドWebサーバーの負荷分散を行うことができますか?

A. IceWall SSO自体に負荷分散の機能はありませんが、ロードバランサと併用してご使用していただくことが可能です。

Q9. 

ファイルサイズの大きいデータにはどのように対応しますか?

A. 特別な設定は必要なく、フォワーダーはサイズの小さなコンテンツも大きなコンテンツも特に区別なく処理します。ただし、トラフィック上大きいサイズのデータが多い場合は、ネットワークの回線や、IceWallサーバーのサイジングに影響します。また、以下の値を調整することによりパフォーマンスの改善が可能です。

・フォワーダーのバッファサイズの調整
・大きいサイズのファイルに対してバッファリングを実施しない

Q10. 

IceWall SSOのタイムアウトよりも、バックエンドWebサーバーのタイムアウトが先に発生する場合はIceWall SSOはどのような動作をしますか?

A. IceWall SSOのセッション中に、バックエンドWebサーバーで タイムアウトが発生する場合があります。
IceWall SSOはHTTPヘッダでの情報継承機能やフォーム認証機能を利用してタイムアウトが起こった場合に再度ログインすることが可能です。

通信

Q1. 

IceWall SSOでは、どのような暗号化通信を行うことが可能ですか?

A. IceWall SSOではオプションでIceWallサーバーとバックエンドWebサーバー間のSSL通信を行うことが可能です。
またクライアントとIceWallサーバー間のSSL通信は標準で対応しています。

Q2. 

バックエンドWebサーバーとHTTP 1.1での通信は可能ですか?

A. リバースプロキシとバックエンドWebサーバー間の通信については、使用するIceWall製品によって異なります。
・IceWall MCRPでは、HTTP 1.1での通信が可能です。
・IceWall SSOでは、バックエンドWebサーバー側がHTTP 1.1対応であってもHTTP 1.0で通信を行います。
なお、どちらの製品でもWebブラウザとリバースプロキシの間ではHTTP 1.1での通信が可能です。

Q3. 

IPv6 に対応していますか?また、制限事項はありますか?

A. IceWall SSOはVer.10.0よりIPv6対応をしております。

Q4. 

IceWallサーバーとバックエンドWebサーバーとのネットワークに問題があり、接続不可能な場合やタイムアウトが生じた場合、IceWall SSOはどのように動作しますか?

A. バックエンドWebサーバーとの通信が途中で途切れてしまった場合、以下のエラーをブラウザに返します。

・バックエンドWebサーバーダウンエラー
・インターナルエラー(HTTP-500)

使い方

Q1. 

IceWall SSOは各システムごとに独自の機能を追加したりその他のアプリケーションなどと連携させることはできますか?

A. IceWall SSOではフォワーダーと認証モジュールに対してAPIにより任意の処理を追加して機能を拡張することができます。
例えば、お客様独自の認証プログラムやセキュリティ製品があった場合、IceWall SSOに組み込むことが可能です。
詳細については以下のURLをご覧ください。

技術レポート:UserExitルーチン機能特集

Q2. 

設定変更は、再起動せずに反映できますか?

A. IceWallサーバー側は変更された設定の内容は即時反映されます。
認証サーバー側も、設定変更コマンドを発行することにより、再起動しなくても設定の変更が可能です。しかし、一部コマンドによる変更が適用できない設定もありますのでその場合は再起動が必要です。
このページのトップへ
印刷用画面へ印刷用画面へ
プライバシー ご利用条件・免責事項