|
 |
 |
|
 |
 |
本検証では、HP IceWall SSO Ver.8.0 より対応が可能となった、「オリジナルURL方式」を使用して連携しました。
ここでは、設定内容の詳細に入る前に、各コンポーネントの主な注意点を列挙いたします。
【検証環境概念図】
【IceWallサーバ】
① オリジナルURL対応
SAP EPのコンテンツをハンドリングするために、Webサーバ(apache )とフォワーダモジュールの双方にオリジナルURLの設定を行いました。
また、SAP EPサーバの名前解決には、IceWallサーバ上のhostsファイルを使用しました。IceWallサーバの設定については、hostsファイルに定義したSAP EPサーバのFQDNを使用しました。
② Form認証連携
SAP EPへ代行ログインさせるために、HP IceWall SSOのフォーム認証連携機能を使用しました。
- SAP EPから出されるログイン画面が標準ではコンテンツ圧縮されており、IceWallサーバのフォーム認証機能が実行されないため、コンテンツ圧縮されないようにHTTPヘッダを制御しました。
- 認証モジュールより得た代行ログイン用のID・パスワードを使用してログインするよう設定しました。
【IceWall認証サーバ、認証DBサーバ】
① Form認証連携
SAP EPにログインするためのID・パスワード情報を認証DB上に登録し、IceWall認証サーバが使用できるように設定しました。HP IceWall SSOにログインするために使用するID・パスワードとは異なる値を使用するケースを想定したため、認証DBに属性を追加し格納しました。
【SAP EPサーバ】
今回の検証では、SAP EP側には特に個別の設定を入れませんでした。
|
 |
 |
|
 |
 |
今回の検証で行った設定内容として、特に注意した部分は以下になります。
本レポートでは、HP IceWall SSOの設定ファイル単位で、特に注意が必要なパラメータについて記載します。
【IceWallサーバ】
上記サマリでも記載しましたが、オリジナルURL対応を行うためと、SAP EPを使用するうえでの設定上の注意が必要です。
オリジナルURL対応を行ううえでの注意点として、特に意識する必要のある設定を以下に記載します。
フォワーダ設定ファイル(dfw.conf) |
COOKIEATTRパラメータ: |
オリジナルURL対応をとるために、各環境にあわせて設定してください |
REQUEST_URIパラメータ: |
HP IceWall SSO Ver. 8.0 R2でオリジナルURL対応を行う場合REQUEST_URI=0としてください |
HOSTパラメータ: |
hostsファイルで定義したSAP EP へのFQDNとあわせて定義してください |
REPKEYパラメータ: |
IceWall自身が出すLocationヘッダを変換するために設定を入れる必要があります |
MAXURLパラメータ: |
SAP EPを使用するために値を拡張する必要があります(検証時はMAXURL=1024と設定しました) |
AXQUERYパラメータ: |
SAP EPを使用するために値を拡張する必要があります(検証時MAXQUERY=1024と設定しました) |
ホスト設定ファイル
オリジナルURL対応をするために、標準機能を使用しないように設定する必要があります。 |
CTYPEパラメータ: |
オリジナルURL対応をとるために、コメントアウトしてください |
URLKEYパラメータ: |
オリジナルURL対応をとるために、コメントアウトしてください |
REPKEYパラメータ: |
オリジナルURL対応をとるために、コメントアウトしてください |
HEADERパラメータ: |
SAP EPのログイン画面がコンテンツ圧縮されないようにヘッダをコントロールする必要があります。HEADER=HTTP_ACCEPT_ENCODING,NOTSEND を追加してください |
UNCONV_HEADERパラメータ: |
オリジナルURL対応をとるために、各環境にあわせて設定してください |
フォーム認証連携設定ファイル(ホスト設定ファイルに記載することも可能)
本検証では、HP IceWall SSOのフォーム認証連携方式として、直接方式を使用しました。
通常の代行ログインに必要となるPOSTデータ以外に、固定値として送信するヘッダが数種存在していますので、各環境にあわせて設定してください。
(例)
FORM_DATA_STR=FGSAP,POSTDATA,login_submit,on
FORM_DATA_STR=FGSAP,POSTDATA,login_do_redirect,1
FORM_DATA_STR=FGSAP,POSTDATA,no_cert_storing,on
FORM_DATA_STR=FGSAP,POSTDATA,j_authscheme,default
FORM_DATA_STR=FGSAP,POSTDATA,uidPasswordLogon,
%E3%83%AD%E3%82%B0%E3%82%AA%E3%83%B3
|
※FGSAP は、ホスト設定ファイルで指定するフォームグループ名です。
※環境によっては上記固定値のうち送信不要なものがあるかもしれませんので、各環境にあわせて調整してください
【IceWall認証サーバ、認証DBサーバ】
アクセス権設定ファイル(cert.acl)
IceWallサーバのフォワーダ設定ファイル(dfw.conf)にて、HOSTパラメータで指定した値でアクセス権を設定するようにしてください。
|
 |
 |
|
 |
 |
IceWallのログアウトとSAP EPのログオフについて
Form認証連携を行った場合に、HP IceWall SSOをログアウトした場合でも、バックエンドWebサーバのセッションCookieはクライアントに残されます。前回のレポートでも触れていますが、この現象を解決するためには、ユーザExitルーチンを使用した対策を引き続き検討する必要があります。(今回も未検証)
また、HP IceWall SSOのForm認証連携機能を使用して、IceWallサーバ経由でSAP EPにアクセスしている場合に、SAP EPのコンテンツ内の「ログオフ」ボタンは、実質機能しません。
(クリックした場合、一旦SAP EPをログオフされますが、再度ログイン画面が返ることにより、HP IceWall SSO側のForm認証連携が働き、ログイン後の画面がクライアントに返ります。)
この現象への対策として、例えば、HP IceWall SSOのキーワード変換機能を使用して、ログオフボタンを表示させないようにするといった方法があげられます。
参考例として、ログオフボタンを表示させないようにする設定方法を記述します。
【IceWallサーバ】
ホスト設定ファイル
SAP EPから返されるコンテンツ中の「ログオフ」ボタンへのリンク情報を消してクライアントに返します。
以下に設定例を記述します。
REPKEY=<!--<hbj:link id="LogoffLink" tooltip="現在のポータルセッションを終了してログオフしてください" linkDesign="FUNCTION" reference="javascript:openLogoffMsg();"><hbj:textView nested="true" text="ログオフ"/></hbj:link>-->,
REPKEY=<span class="urFontStd"><span ct="TV" class="urTxtStd" style="white-space:nowrap;"white-space:nowrap;>ログオフ</span></span>,
※本設定を入れた場合でも、SAP EPのログオフは行われませんので、SAP EPで管理するセッション数等に注意してください
|
 |
 |
 |
2008.07.01. 日本ヒューレット・パッカード コンサルティング・インテグレーション統括本部 テクニカルコンサルタント 平野 宜敬 |
 |
|