ここでは,uCosminexus Secure Unify - SSOに連携する場合の設定方法について説明します。uCosminexus Secure Unify - SSOの設定については,uCosminexus Secure Unify - SSOのマニュアルを参照してください。
(1) ポータルプロジェクトへの連携ファイルの追加
ポータルプロジェクトへの連携ファイルの追加は,次の手順で行います。
<filter>
<filter-name>SamlAgent</filter-name>
<filter-class>jp.co.ins_hitachi.samlserver.samlsp.controller.SPFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>SamlAgent</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<servlet>
<servlet-name>LogoutServlet</servlet-name>
<servlet-class>jp.co.ins_hitachi.samlserver.samlsp.controller.LogoutServlet</servlet-class>
</servlet>
<servlet>
<servlet-name>LogoutFromIdpServlet</servlet-name>
<servlet-class>jp.co.ins_hitachi.samlserver.samlsp.controller.LogoutFromIdpServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>LogoutServlet</servlet-name>
<url-pattern>/logout</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>LogoutFromIdpServlet</servlet-name>
<url-pattern>/logoutIdp</url-pattern>
</servlet-mapping>
jp.co.hitachi.soft.portal.services.repository.uservalue=loginid
jp.co.hitachi.soft.portal.services.security.PortalUserManager.login.sessionrenewal=false
(2) JAASコンフィグレーションファイル(jaas.conf)の編集
uCosminexus Secure Unify - SSOと連携する場合のJAASコンフィグレーションファイル(jaas.conf)の設定内容を説明します。統合ユーザ管理フレームワークのDelegationLoginModuleを通して,カスタムログインモジュールを使用します。
JAASコンフィグレーションファイル(jaas.conf)の設定パラメタを次の表に示します。
表6-6 jaas.conf設定パラメタ一覧(認証済Subject使用時)
PortalLoginModuleのパラメタ名 | 説明 |
---|---|
com.cosminexus.admin.auth.custom.lm [設定必須(Cosminexusのシングルサインオン機能を使用しない場合)] | DelegationLoginModuleが呼び出すカスタムログインモジュールクラス名です。必ず「jp.co.hitachi.soft.portal.susso.login.PortalLoginModule」を指定してください。 これは,DelegationLoginModuleのパラメタです。 |
com.cosminexus.admin.auth.sso [設定必須(Cosminexusのシングルサインオン機能を使用する場合)] | WebSSOLoginModuleが呼び出すカスタムログインモジュールクラスを表す名称です。このパラメタで指定した名称に対応させて,統合ユーザ管理フレームワークのコンフィグレーションファイル(ua.conf)でクラスを指定します。 これは,WebSSOLoginModuleのパラメタです。 |
com.cosminexus.admin.auth.realm | レルム名です。"PORTAL"を指定してください。 |
jp.co.hitachi.soft.portal.susso.login.param.<LOGIN_NAMEのsrc属性名> [設定必須] | リポジトリファイル(Repository.xml)の<LOGIN_NAMEのsrc属性名>(ユーザID)で取得される値が格納されている,リクエスト属性です。取得値をPrincipalおよびPublicCredentialとして格納します。このリクエスト属性が見つからない,または値が不正な場合は,ログインエラーとなります。 |
jp.co.hitachi.soft.portal.susso.param.<src属性名> | リポジトリファイル(Repository.xml)の<src属性名>で取得される値が格納されている,HTTPリクエスト属性名称です。取得値をPublicCredentialとして格納します。このリクエスト属性が見つからない場合は,その属性値を持たないものとして処理が続行されます。取得できる属性については「6.6.3 ポータルで取得するリクエスト属性」を参照してください。 |
JAASコンフィグレーションファイル(jaas.conf)の設定例を次に示します。
表6-7 設定例の内容
項目 | Portal Managerの[ユーザ情報の設定]画面で指定した属性名 | uCosminexus Secure Unify - SSOから取得する属性名 |
---|---|---|
ユーザID | uid | HINS_SAML_USER_ID |
ユーザ表示名 | sn | SN |
役職情報 | title | TITLE |
所属情報 | dept | DEPARTMENTDN |
// ***** ポータル用ログインモジュール *****
Portal {
com.cosminexus.admin.auth.login.DelegationLoginModule required
com.cosminexus.admin.auth.custom.lm="jp.co.hitachi.soft.portal.susso.login.PortalLoginModule"
com.cosminexus.admin.auth.realm="PORTAL"
jp.co.hitachi.soft.portal.susso.login.param.uid="HINS_SAML_USER_ID"
jp.co.hitachi.soft.portal.susso.param.sn="SN"
jp.co.hitachi.soft.portal.susso.param.title="TITLE"
jp.co.hitachi.soft.portal.susso.param.dept="DEPARTMENTDN"
;
};
なお,WebSSOLoginModuleを使用している場合は,WebSSOLoginModuleを通して,カスタムログインモジュールを使用します。
// ***** ポータル用ログインモジュール *****
Portal {
com.cosminexus.admin.auth.sso.login.WebSSOLoginModule required
com.cosminexus.admin.auth.sso="SecureUnify"
com.cosminexus.admin.auth.realm="PORTAL"
jp.co.hitachi.soft.portal.susso.login.param.uid="HINS_SAML_USER_ID"
jp.co.hitachi.soft.portal.susso.param.sn="SN"
jp.co.hitachi.soft.portal.susso.param.title="TITLE"
jp.co.hitachi.soft.portal.susso.param.dept="DEPARTMENTDN"
;
};
(3) 統合ユーザ管理フレームワークのコンフィグレーションファイル(ua.conf)の編集
uCosminexus Secure Unify - SSOと連携する場合の統合ユーザ管理フレームワークのコンフィグレーションファイル(ua.conf)の設定内容を説明します。この設定は,WebSSOLoginModuleを使用している場合に必要な設定です。
統合ユーザ管理フレームワークのコンフィグレーションファイル(ua.conf)の設定パラメタを次の表に示します。
表6-8 ua.conf設定パラメタ一覧(認証済Subject使用時)
PortalLoginModuleのパラメタ名 | 説明 |
---|---|
com.cosminexus.admin.auth.sso.lm.<ログインモジュール名称> [設定必須(シングルサインオン機能を使用する場合)] | WebSSOLoginModuleが呼び出すカスタムログインモジュールクラスを表す名称です。 jaas.conf com.cosminexus.admin.auth.ssoパラメタで指定した名称を<名称>部分に記述します。必ず「jp.co.hitachi.soft.portal.susso.login.PortalLoginModule」を指定してください。 |
#################### Custom LoginModule (uCosminexus Secure Unify - SSO) ###############
com.cosminexus.admin.auth.sso.lm.SecureUnify=jp.co.hitachi.soft.portal.susso.login.PortalLoginModule
(4) マッピングの定義
uCosminexus Secure Unify - SSO連携時のマッピング定義について説明します。「(2) JAASコンフィグレーションファイル(jaas.conf)の編集」で設定した属性名のマッピングを定義すれば,ログイン後のポータル内で,項目名で属性値を取り出せます。項目は文字列型かつオプション指定なしで,取得先構成情報は必ずCosminexus指定となります。項目のうちユーザID項目は必須です(ユーザ認証にuCosminexus Portal Frameworkを使用した場合と同様)。
Portal Managerの[リポジトリの設定]-[マッピング情報]-[ユーザ情報]で表示される[ユーザ情報の設定]画面で,次の表に示すとおり設定してください。
表6-9 [ユーザ情報の設定]画面で設定する内容
項目 | 属性名 | 接続先(ユーザ用) | 格納時の型 | オプション |
---|---|---|---|---|
ユーザID [設定必須] | JAASコンフィグレーションファイル(jaas.conf)の「jp.co.hitachi.soft.portal.susso.login.param.<LOGIN_NAMEのsrc属性名>」で設定した属性名 指定例:uid | cosmi | - | - |
ユーザ表示名 [設定任意] | JAASコンフィグレーションファイル(jaas.conf)の「jp.co.hitachi.soft.portal.susso.param.<src属性名>」で設定した属性名 指定例:title | cosmi | string | なし,またはmultivalue |
役職情報 [設定任意] | ||||
所属情報 [設定任意] | ||||
ユーザ定義項目 [設定任意] |
(凡例) -:該当しません。
注 パーソナライズ情報を表すキーは,uCosminexus Secure Unify - SSOからは取得できません。LDAPまたはDBを使用してください。
リポジトリファイルの設定内容を次に示します。
<?xml version="1.0" encoding="Shift_JIS"?>
<repository version="0200" xmlns="http://portal.soft.hitachi.co.jp/portal/Repository2">
<resource name="cosmi" type="cosminexus"/>
<portal-mapping>
<portalUser>
<Mapping dest="LOGIN_NAME" src="uid">cosmi</Mapping>
<Mapping dest="TITLE" type="string" src="title">cosmi</Mapping>
<Mapping dest="DEPARTMENT" type="string" src="dept">cosmi</Mapping>
</portalUser>
</portal-mapping>
</repository>