【SDN記事の紹介】Sun and Microsoft Interoperate for Web Authentication, Part 3(Sun Java System Access Manager and Microsoft Outlook Web Access for Exchange Server 2003)

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)

木曜日 9 06, 2007

こんにちは。台風どうなるのでしょう。やってくる前に早めに帰りましょう。

SDN(Sun Developer Network)の記事を紹介します。 Sun and Microsoft Interoperate for Web Authentication, Part 3 (Sun Java System Access Manager and Microsoft Outlook Web Access for Exchange Server 2003)ということで、Outlook Web Access とAccess ManagerのSSO連携ついて解説しています。

• 第１回 : Sun and Microsoft Interoperate for Web Authentication, Part 1(IIS とAccess Managerの SSO連携)
• 第２回 : Sun and Microsoft Interoperate for Web Authentication, Part 2　(Sun Java System Access Manager and SharePoint Portal Server 2003)(SharePoing Portal Server と Access ManagerのSSO連携)

の続きになります。

第２回 : Sun and Microsoft Interoperate for Web Authentication, Part 2　(Sun Java System Access Manager and SharePoint Portal Server 2003)(SharePoing Portal Server と Access ManagerのSSO連携)　と同じように、ReplayPassword プラグインという、Post-Authentication プラグイン（ユーザがAccess Managerで認証された後に特定の処理をさせるためのプラグイン）を使っています。

1. When an access request arrives at the OWA application through IIS, the OWA Agent intercepts the request and redirects it to Access Manager for authentication.
   
   
2. After successful authentication, ReplayPasswd encrypts the password with the shared key and stores the encrypted data in the Access Manager session, whose ID is then set in a special cookie in the form of an SSO Token ID.
   
   
3. The Policy Agent retrieves the encrypted password from the SSO Token and decrypts the information with the shared key. That way, the Policy Agent has in its possession the original credentials, which it then encodes according to the Base64 encoding method and places in the Basic Authentication HTTP header of the original HTTP request.
   
   
4. Now that the HTTP request has a valid Basic Authentication HTTP header, IIS does not prompt for authentication. Subsequently, the user is allowed access to the resource requested.

以下、kimimasa の超訳。
1. IIS を通じて、OWA(Outlook Web Access)にアクセスリクエストが到達すると、OWA Agent(Access Manager のIIS用エージェントです。）はリクエストをインターセプトして、ユーザに認証をさせるために Access Manager にリダイレクトします。（Access Manager の認証画面に飛びます。）
   
   
2. 認証が成功すると, ReplayPasswd プラグインはパスワードを共通鍵で暗号化して、暗号化されたデータを Access Managerセッションに格納します。Access Manager セッションのIDは、SSO Token ID 形式で、シングルサインオンに使用する Cookie 内に埋め込まれます。
   
   
3. Policy Agent は暗号化されたパスワードを取り出して、共通鍵で復号します。このようにして、SharePoint Agent は元々のパスワードを取得して、Base64 でエンコードし、元々のHTTPリクエストに Basic Authentication HTTP header(ベーシック認証用のヘッダー）を付加します。
   
   
4. これで、HTTPリクエストは、有効な Basic Authentication header(ベーシック認証用のヘッダー)を持つことになり、IIS は認証の為のプロンプトを表示することはなくなります。 続いて、ユーザは要求したリソースへのアクセスを許可されます（元々目的としている Webページが表示されるってことです。）。

今回も画面のキャプチャが豊富です。

• Outlook Web Access と社内のアプリで SSO したい。
• Basic 認証はお手頃だけど、パスワードが簡単にデコードできる状態で何度もネットワークを流れるのはちょっと抵抗あるなー。

ってお客様にはとてもいいソリューションかなと思います。
Access Managerを使ってWebメールともSSOしちゃいましょう！！前回同様15分くらいで読める軽めのドキュメントです（前回のコピペっもたくさんなので。。。（笑））ので是非ご覧下さい。
_kimimasa