HP IceWall ファミリー

HP IceWall技術レポート：ここが知りたい！8.0 の新機能特集 4


	≫	設定項目のサマリ
	≫	設定内容の詳細
	≫	その他の考察

	≫

今回は、過去に連携検証しご紹介したHP IceWall SSOとSAP NetWeaver Portal（旧SAP Enterprise Portal、以降SAP EPと略す）の更新情報についてご紹介いたします。

今回の検証では、HP IceWall SSO Ver. 8.0 R2と、SAP NetWeaver Portal Ver. 7.0の連携を行いました。
HP IceWall SSOの提供する認証・認可機能、複数のWebサーバとのシングルサインオン機能と、 SAP EPの提供する統合的な業務プロセスの連携を是非ご検討ください。
検証内容や結果については、前回の技術レポートと同様の内容が多く含まれますので、あわせてご覧ください。

連携検証を実施した環境は以下の通りです。

【検証環境】
HP IceWall SSO ： Ver. 8.0 R2
SAP NetWeaver Portal　： Ver. 7.0 （Portal7.0）
OS　： Windows2003 SE（32Bit）日本語版2
DB　： SQL Server 2005

	設定項目のサマリ

	本検証では、HP IceWall SSO Ver.8.0　より対応が可能となった、「オリジナルURL方式」を使用して連携しました。ここでは、設定内容の詳細に入る前に、各コンポーネントの主な注意点を列挙いたします。【検証環境概念図】【IceWallサーバ】 ① オリジナルURL対応 SAP EPのコンテンツをハンドリングするために、Webサーバ（apache ）とフォワーダモジュールの双方にオリジナルURLの設定を行いました。また、SAP EPサーバの名前解決には、IceWallサーバ上のhostsファイルを使用しました。IceWallサーバの設定については、hostsファイルに定義したSAP EPサーバのFQDNを使用しました。 ② Form認証連携 SAP EPへ代行ログインさせるために、HP IceWall SSOのフォーム認証連携機能を使用しました。 SAP EPから出されるログイン画面が標準ではコンテンツ圧縮されており、IceWallサーバのフォーム認証機能が実行されないため、コンテンツ圧縮されないようにHTTPヘッダを制御しました。認証モジュールより得た代行ログイン用のID・パスワードを使用してログインするよう設定しました。【IceWall認証サーバ、認証DBサーバ】 ① Form認証連携 SAP EPにログインするためのID・パスワード情報を認証DB上に登録し、IceWall認証サーバが使用できるように設定しました。HP IceWall SSOにログインするために使用するID・パスワードとは異なる値を使用するケースを想定したため、認証DBに属性を追加し格納しました。【SAP EPサーバ】今回の検証では、SAP EP側には特に個別の設定を入れませんでした。

設定内容の詳細

今回の検証で行った設定内容として、特に注意した部分は以下になります。
本レポートでは、HP IceWall SSOの設定ファイル単位で、特に注意が必要なパラメータについて記載します。

【IceWallサーバ】
上記サマリでも記載しましたが、オリジナルURL対応を行うためと、SAP EPを使用するうえでの設定上の注意が必要です。
オリジナルURL対応を行ううえでの注意点として、特に意識する必要のある設定を以下に記載します。

フォワーダ設定ファイル（dfw.conf）
COOKIEATTRパラメータ：	オリジナルURL対応をとるために、各環境にあわせて設定してください
REQUEST_URIパラメータ：	HP IceWall SSO Ver. 8.0 R2でオリジナルURL対応を行う場合REQUEST_URI=0としてください
HOSTパラメータ：	hostsファイルで定義したSAP EP へのFQDNとあわせて定義してください
REPKEYパラメータ：	IceWall自身が出すLocationヘッダを変換するために設定を入れる必要があります
MAXURLパラメータ：	SAP EPを使用するために値を拡張する必要があります（検証時はMAXURL=1024と設定しました）
AXQUERYパラメータ：	SAP EPを使用するために値を拡張する必要があります（検証時MAXQUERY=1024と設定しました）

ホスト設定ファイルオリジナルURL対応をするために、標準機能を使用しないように設定する必要があります。
CTYPEパラメータ：	オリジナルURL対応をとるために、コメントアウトしてください
URLKEYパラメータ：	オリジナルURL対応をとるために、コメントアウトしてください
REPKEYパラメータ：	オリジナルURL対応をとるために、コメントアウトしてください
HEADERパラメータ：	SAP EPのログイン画面がコンテンツ圧縮されないようにヘッダをコントロールする必要があります。HEADER=HTTP_ACCEPT_ENCODING,NOTSEND を追加してください
UNCONV_HEADERパラメータ：	オリジナルURL対応をとるために、各環境にあわせて設定してください

フォーム認証連携設定ファイル(ホスト設定ファイルに記載することも可能)
本検証では、HP IceWall SSOのフォーム認証連携方式として、直接方式を使用しました。
通常の代行ログインに必要となるPOSTデータ以外に、固定値として送信するヘッダが数種存在していますので、各環境にあわせて設定してください。

（例）
FORM_DATA_STR=FGSAP,POSTDATA,login_submit,on
FORM_DATA_STR=FGSAP,POSTDATA,login_do_redirect,1
FORM_DATA_STR=FGSAP,POSTDATA,no_cert_storing,on
FORM_DATA_STR=FGSAP,POSTDATA,j_authscheme,default
FORM_DATA_STR=FGSAP,POSTDATA,uidPasswordLogon, %E3%83%AD%E3%82%B0%E3%82%AA%E3%83%B3

※FGSAP　は、ホスト設定ファイルで指定するフォームグループ名です。
※環境によっては上記固定値のうち送信不要なものがあるかもしれませんので、各環境にあわせて調整してください

【IceWall認証サーバ、認証DBサーバ】
アクセス権設定ファイル（cert.acl）
IceWallサーバのフォワーダ設定ファイル（dfw.conf）にて、HOSTパラメータで指定した値でアクセス権を設定するようにしてください。

	その他の考察

	IceWallのログアウトとSAP EPのログオフについて Form認証連携を行った場合に、HP IceWall SSOをログアウトした場合でも、バックエンドWebサーバのセッションCookieはクライアントに残されます。前回のレポートでも触れていますが、この現象を解決するためには、ユーザExitルーチンを使用した対策を引き続き検討する必要があります。（今回も未検証）また、HP IceWall SSOのForm認証連携機能を使用して、IceWallサーバ経由でSAP EPにアクセスしている場合に、SAP EPのコンテンツ内の「ログオフ」ボタンは、実質機能しません。（クリックした場合、一旦SAP EPをログオフされますが、再度ログイン画面が返ることにより、HP IceWall SSO側のForm認証連携が働き、ログイン後の画面がクライアントに返ります。）この現象への対策として、例えば、HP IceWall SSOのキーワード変換機能を使用して、ログオフボタンを表示させないようにするといった方法があげられます。参考例として、ログオフボタンを表示させないようにする設定方法を記述します。【IceWallサーバ】ホスト設定ファイル SAP EPから返されるコンテンツ中の「ログオフ」ボタンへのリンク情報を消してクライアントに返します。以下に設定例を記述します。 REPKEY=<!--<hbj:link id="LogoffLink" tooltip="現在のポータルセッションを終了してログオフしてください" linkDesign="FUNCTION" reference="javascript:openLogoffMsg();"><hbj:textView nested="true" text="ログオフ"/></hbj:link>-->, REPKEY=<span class="urFontStd"><span ct="TV" class="urTxtStd" style="white-space:nowrap;"white-space:nowrap;>ログオフ</span></span>, ※本設定を入れた場合でも、SAP EPのログオフは行われませんので、SAP EPで管理するセッション数等に注意してください

2008.07.01. 日本ヒューレット・パッカードコンサルティング・インテグレーション統括本部テクニカルコンサルタント平野宜敬

HP IceWall ファミリー

設定項目のサマリ

設定内容の詳細

その他の考察