2 台のサーバー間の LTPA を使用したシングル・サインオンのセットアップ

IBM® WebSphere®Application Server を実行している 2 台のコンピューター間のシングル・サインオン環境をセットアップできます。 それにより、ユーザーは、1 台目のコンピューター上の WebSphere Application Server のアプリケーションにログオンして、2 台目のコンピューターにログオンすることなく、2 台目のコンピューター上の WebSphere Application Server のアプリケーションにアクセスできるようになります。

始める前に

手順

  1. 1 台目のコンピューターで、Web ブラウザーで http://fully_qualified_host_name:port_number/ibm/console という URL を入力することで、WebSphere 管理コンソールにログオンします。
  2. シングル・サインオンを有効にして、ドメイン名を追加します。
    1. 「セキュリティー」 > 「グローバル・セキュリティー」 > 「Web および SIP セキュリティー」 > 「シングル・サインオン (SSO)」を選択します。
    2. 「Web インバウンド・セキュリティー属性の伝搬」および「セッション Cookie を HTTP Only に設定して、クロスサイト・スクリプティング・アタックを阻止します」チェック・ボックスが選択されていることを確認します。
    3. ドメイン名を入力します。
    4. 適用」をクリックします。
  3. 非セキュア・ページの Web 認証設定を変更して、認証データを受信するようにします。
    1. 「セキュリティー」 > 「グローバル・セキュリティー」 > 「Web および SIP セキュリティー」 > 「一般設定」を選択します。
    2. 無保護の URI にアクセスした場合に使用可能な認証データを使用する」ボックスを選択します。
    3. 適用」をクリックします。
  4. 両方の WebSphere Application Server サーバーにそれぞれの Lightweight Third Party Authentication (LTPA) キーを交換させることでシングル・サインオンを有効にします。
    1. 「認証」セクションで「セキュリティー」 > 「グローバル・セキュリティー」を選択し、「LTPA」を選択します
    2. 自分のパスワードと、キーをエクスポートするためのファイルの名前を入力して、「キーのエクスポート」をクリックします。
  5. 1 台目のコンピューターの installed_WAS_folder/profiles/AppSrv01/ ディレクトリーから、エクスポートされたキーを見つけ、そのキーを以下のようにして 2 台目のコンピューターにインポートします。
    1. キー・ファイルを 2 台目のコンピューターにコピーします。
    2. 2 台目のコンピューターで、WebSphere 管理コンソールにログオンします。
    3. 「認証」セクションで「セキュリティー」 > 「グローバル・セキュリティー」を選択し、「LTPA」を選択します
    4. 1 台目のコンピューターで入力したパスワードを使用して、2 台目のコンピューターにコピーしたファイルの名前を入力します。「キーのインポート」をクリックします。
    5. 構成を保管します。
  6. 2 台目のコンピューターでステップ 1 から 5 を繰り返して、シングル・サインオンと Web セキュリティー設定を変更し、2 台目のコンピューターからキーをエクスポートして、1 台目のコンピューターにインポートします。
  7. 両方のサーバー上で構成を保存して、これらのサーバーを再起動します。
  8. 1 台目のコンピューターの Web ブラウザーで、http://computer1.example.com:9080/ram という URL を入力します。
    重要: ホスト名の代わりに、localhost、短縮ホスト名、または IP アドレスを使用しないでください。シングル・サインオンを可能にするには、ブラウザーは LTPA Cookie を WebSphere Application Server に渡す必要があり、これらの Cookie に完全修飾ホスト名が格納されている必要があります。
  9. Rational Asset Manager の Web クライアントにログオンします。
  10. 同じブラウザー・セッションで、2 台目のコンピューターの Web クライアントに http://computer2.example.com:9080/ram という URL を入力します。
  11. シングル・サインオンが正しく構成されている場合は、2 台目のコンピューターにログオンする必要はありません。 代わりに、ホーム・ページにユーザー名が表示されます。

ホスト・ファイルへの IP アドレスの追加

動的 IP アドレスが割り当てられた 2 台のコンピューターを使用している場合は、必要に応じて、各コンピューターのホスト・ファイルにエントリーを追加してください。これらのコンピューターの IP アドレスが変更されるたびに、これらの hosts ファイルを更新してサーバーを再起動する必要があります。

  1. 1 台目のコンピューターで、C:¥WINDOWS¥system32¥drivers¥etc¥hosts ファイルを開きます。
  2. 新しい行で、次のような 1 台目のコンピューターの IP アドレスを入力します。
    127.0.0.1 computer1.example.com
  3. 新しい行で、次のような 2 台目のコンピューターの IP アドレスを入力します。
    computer2.example.com
  4. ファイルを保存します。
  5. 2 台目のコンピューターで、C:¥WINDOWS¥system32¥drivers¥etc¥hosts を開きます。
  6. 新しい行で、次のテキストを入力します。
    127.0.0.1 computer2.example.com
  7. 別の新しい行で、次のテキストを入力します。
    1 台目のコンピューターの IP アドレス computer1.example.com
  8. ファイルを保存します。

フィードバック