Microsoft® Active Directory ドメイン サービスを使用している場合は、SSO (シングル サインオン)を設定できます。これによりユーザーは、ドメインにログオンするとすべての ARIS コンポーネントで作業できるようになります。ARIS コンポーネントに別途ログオンする必要はありません。
ARIS のシングル サインオンは Kerberos に基づいています。Kerberos は、不可視のネットワークを使用して通信し、相互のアイデンティティを安全に知らせるためのノードを許可するネットワーク認証です。Kerberos は、MS Windows ネットワーク内のユーザー認証で推奨される方法です。また、Linux オペレーティング システムでも広く使用されており、すべての主要なプラットフォームで使用できるように設計されています。
これに関しては担当の LDAP 管理者にお問い合わせください。
必要条件
サーバー
クライアント
[ユーザー管理] における設定
SSO がサーバーで設定されている必要があります。
「技術設定管理者」利用権限を持っていること。
手順
Kerberos 設定ファイルがない場合は、作成します。たとえば、「krb5.conf」といった名前を付けて、次の行を追加し、要件にあわせて設定を調整します。
[libdefaults]
default_tgs_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5
default_tkt_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5
permitted_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5
キータブのサービス プリンシパル名が、たとえば「mypc01@MY.DOMAIN.COM」であった場合、プロパティ「com.company.aris.umc.kerberos.servicePrincipalName」の値には、キータブ ファイルで指定されたものと全く同じサービス プリンシパル名が含まれている必要があります。
例: MYDOMAIN.COM
ユーザーがログオンするプログラムのデバッグ出力は、対応するプログラムの system.out ファイルに保存されます。ユーザー管理に関しては、たとえば、これは <ARIS インストール ディレクトリ>>/work_umcadmin_m/base/logs ディレクトリにあります。
ユーザー管理 で Kerberos を使用して SSO が設定されました。
SAML を使用した ARIS 管理の設定
SSO がサーバーで設定されている必要があります。
「技術設定管理者」利用権限を持っていること。
手順
ユーザー管理 で SAML を使用して SSO が設定されました。
SAML を使用した SSO (シングルサインオン) は、複数の LDAP システム内に複数の LDAP サーバーがあり、ログオン名が同じ場合は (エンティティが異なる場合でも) 機能しません。
クライアント設定
SSO が使用できるようにブラウザーを設定します。SSO は次のブラウザーでテストが実施されています:
Microsoft® Active Directory ドメイン サービスが変更された場合は、古いチケットを回避するために、各クライアントの Kerberos チケット キャッシュをクリアする必要があります。コマンド klist.exe purge を実行して、Kerberos チケット キャッシュを削除します。クライアント コンピューターで消去プログラムが使用できない場合は、ドメインからクライアント コンピューターをログオフして、もう一度ログオンすることもできます。
Microsoft® Internet Explorer®
Microsoft® Internet Explorer® は、サーバーがローカルのイントラネットの一部である場合のみ、Kerberos 認証をサポートしています。
手順
Mozilla Firefox®
Mozilla Firefox では、コンピューター名、IP アドレス、またはその両方の組み合わせを使用して、信頼できるサイトを定義できます。ワイルドカードを利用することもできます。
手順
AES 128 ビットより強力な暗号化の使用を希望しており、これがお住まいの国で許可されている場合は、ARIS の JDK の JCE ポリシー ファイルを Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 6 と置き換えます。これにより、無制限のキー長が使用できるようになります。
ポリシー ファイルは置き換えることができないが、SSO の使用を希望する場合は、Kerberos チケットを暗号化するための (AES 128 ビットなど)、JDK によって許可されている手順を適用する必要があります。