開発Blog

intra-martでのシングルサインオン(SSO)について

投稿日:2010-02-10 更新日:

こんにちは、開発本部の大西です。

最近、非常にご質問の多い、シングルサインオン(SSO)の対応方法について、お話したいと思います。

個人的には、XSSやSQLインジェクションなどの脆弱性などのセキュリティに関して、いろいろと非常にうるさい世の中の癖に、一番重要なはずのログイン認証、特に、SSOに関しては、非常に緩く、SSOぐらい当たり前というのが納得がいかない、きょう、この頃です・・・。 

そんなことは置いておいて、intra-martには、SSO認証対応として、認証およびユーザ情報を外部で管理した場合に、ログイン認証処理を省略することが可能になる仕組みがあります。(Ver5.0以降)
つまり、intra-martでは、他システムで認証された情報を元に自動的にログインさせるということが可能になっています。

SSOにて、外部で認証した場合のイメージが、以下の図になります。
sso.png
ただし、以下の条件が必須になります。

    ・intra-martに対するリクエスト情報(「リクエスト・パラメータ」、「リクエスト・ヘッダ」「httpクッキー」など)として、「ユーザID」が必要。
    ・外部のシステムとintra-mart間でユーザIDが同じ
    ・以下の方法の場合、URIとログイングループが等しい。

このような場合、intra-martでの認証シーケンスのうち、下記の図にある赤丸のリクエストパラメータ解析を行っている部分を標準のものから、別のリクエスト情報を読取り、「ユーザID」を取得し、強制的にログインをさせるものに置き換えることで対応が可能です。


対応方法

(以下、intra-martがインストールされているディレクトリを<imart>とします。) 

1. access-security.xmlの変更

intra-martのServerManagerがインストールされているサーバの
<imart>/conf/access-security.xml を
[code:xml]

jp.co.intra_mart.foundation.security.certification.StandardRequestAnalyzer

jp.co.intra_mart.foundation.security.certification.StandardRequestAnalyzer

[/code]

から
[code:xml]

jp.co.intra_mart.foundation.security.certification.SSORequestAnalyzer

jp.co.intra_mart.foundation.security.certification.SSORequestAnalyzer

[/code]

に変更してください。

2. SSORequestAnalyzerの作成

以下のサンプルを参考に、<imart>doc/imart/WEB-INF/classes/jp/co/intra_mart/foundation/security/certification/SSORequestAnalyzer を作成してください。
[code:java]
public LoginRequestInfo parseRequest(LoginRequestInfo loginInfo, HttpServletRequest request) {
// 情報初期化
//loginInfo.setUser(StringUtil.EMPTY_STRING);
loginInfo.setPassword(StringUtil.EMPTY_STRING);
Cookie[] cookies = request.getCookies();
String cookie = null;
for (int i = 0; cookies != null && i 0) {
loginInfo.setUser(comids[0]);
}
if (comids.length > 1) {
loginInfo.setLoginGroup(comids[1]);
}
// ここに来れば認証は終了しています。
loginInfo.setDoneCertification(true);
// SSOログアウトURLが存在するなら、初期URLに設定します。
if(this.ssoLogoutUrl.length() > 0) {
loginInfo.setInitialUrl(this.ssoLogoutUrl);
}
break;
}
}
return loginInfo;
}
[/code]
上記サンプルは、IM-SSOを利用時のサンプルコードで、この場合、クッキー情報から「ユーザーID」を取得して、UserInfo情報へ「ユーザID」を設定します。(5行目~32行目まで)

認証元のシステムから「ユーザID」が「httpクッキー」で送られてくる場合は、上記処理を参考に修正してください。
「リクエスト・パラメータ」の場合は、request.getParamter()で「ユーザID」を取得して、UserInfo情報へ「ユーザID」を設定してください。
「リクエスト・ヘッダ」の場合は、request.getHeader()で「ユーザID」を取得して、UserInfo情報へ「ユーザID」を設定してください。

※上記サンプルは、製品情報ダンロードページの「アクセスセキュリティ機能のソース」に含まれています。

このように、SSO認証用の専用のモジュールに置き換えることにより、SSO対応ができるようになります。ログイン認証の処理は、いろいろと工夫することにより、SSOだけでなく、各システムのいろいろな要件に対応することができますので、いろいろと試してみてください。

-開発Blog
-

執筆者:

comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

no image

IM-Workflow パラメータチューニング

IM-Workflowは、パッチにより様々なパラメータが追加されています。 特にパッチ4と先日リリースしたパッチ5での効果が大きいので、以下にご紹介致します。 XMLキャッシュ パッチ4からの機能です …

no image

intra-mart Advent Calendar 2013 第21日:ルーティングテーブルに認可リソースを設定しないで済ませる方法

この記事は、intra-mart Advent Calendar 2013 第21日の記事です。 今回は、AutoRegisteringResourceMapper を紹介させていただきます。 このマ …

no image

Formaの画面遷移を制御するには

今回のブログ記事では、スクリプトを利用してFormaの画面遷移を制御する方法を紹介します。 目次 条件に応じて遷移先を変更する フォーム遷移設定 サンプルコード サンプルアプリケーション 処理後の遷移 …

no image

最近のトラブル事例から - Oracle11でDATE型が正しく表示できない –

毎年、4月になると、年度末で開発を終えたシステムが運用を開始して、さまざまなお問い合わせがくる季節で、今年も、例年と同じく、さまざまなご相談を弊社サポートサイトを中心に対応させていただきました。そこで …

no image

intra-martの提供するセッション管理機能と他のアプリケーションサーバのセッション管理機能との違い

※下記内容は、過去のintra-mart(Ver4.3以前)に関する内容です。最新のintra-martでは、異なる情報であることがありますので、ご注意ください。 intra-martの提供するセッシ …

PREV
業務スケルトン
NEXT
ServerManagerについて

タグ

Accel Collaboration Accelのはじめて・・・ Adobe Acrobat Sign Box連携 eBuilder FormaDesigner IM-BIS IM-BloomMaker IM-BPM IM-ContentsSearch IM-Juggling IM-LogicDesigner IM-Notice IM-Repository IM-Sign IM-Spreadsheet intra-mart職場情報 IoT Kaiden! OAuth RPA ViewCreator コーディング方法 ノウハウ ワークフロー 外部連携 旧バージョン(BaseModule/WebPlatform) 環境構築 生成AI 製品紹介・お知らせ 電子サイン

サイト内検索

Twitter

製品・サービス

intra-mart ホームページ

Accel-Mart ホームページ

intra-mart DPS ホームページ

intra-mart DPS ブログ

トレーニング

コミュニティサイト(icotto)

リンク

サポートサイト

ドキュメントライブラリ

ダウンロードライブラリ

APIドキュメント

要件情報公開サイト

パッチダウンロードサイト

RSS Accel製品 アップデート情報

RSS Accel製品 パッチ情報

RSS IM-Juggling アップデート情報