きみまさブログ - kimimasa's blog

【SDN記事の紹介】Sun and Microsoft Interoperate for Web Authentication, Part 2(Sun Java System Access Manager and SharePoint Portal Server 2003)

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)

月曜日 7 30, 2007

こんにちは。ご無沙汰しております。お元気ですか?
私はすっかり夏バテです。。。

今日は、SDN(Sun Developer Network)の記事を紹介します。Sun and Microsoft Interoperate for Web Authentication, Part 2 (Sun Java System Access Manager and SharePoint Portal Server 2003)ってことで、SharePoing Portal Server と Access ManagerのSSO連携について解説しています。

ReplayPassword プラグインという、Post-Authentication プラグイン(ユーザがAccess Managerで認証された後に特定の処理をさせるためのプラグイン)を使っているのが特徴的です。

  1. When an access request arrives at the SharePoint application through IIS, the SharePoint Agent intercepts the request and redirects it to Access Manager for authentication.

  2. After successful authentication, ReplayPasswd encrypts the password with the shared key and stores the encrypted data in the Access Manager session, whose ID is then set in a special cookie in the form of an SSO Token ID.

  3. The SharePoint Agent retrieves the encrypted password from the SSO Token and decrypts the information with the shared key. That way, the SharePoint Agent has in its possession the original credentials, which it then encodes according to the Base64 encoding method and places in the Basic Authentication HTTP header of the original HTTP request.

  4. Now that the HTTP request has a valid Basic Authentication HTTP header, IIS does not prompt for authentication. Subsequently, the user is allowed access to the resource requested.


    以下、kimimasa の超訳。
  1. IIS と通じて、SharePoint上のアプリケーションにアクセスリクエストが十立つすると、SharePoint Agent(Access Manager のエージェントです。)はリクエストをインターセプトして、ユーザに認証をさせるために Access Manager にリダイレクトします。(Access Manager の認証画面に飛びます。)

  2. 認証が成功すると, ReplayPasswd プラグインはパスワードを共通鍵で暗号化して、暗号化されたデータを Access Managerセッションに格納します。Access Manager セッションのIDは、SSO Token ID 形式で、シングルサインオンに使用する Cookie 内に埋め込まれます。

  3. SharePoint Agent は暗号化されたパスワードを取り出して、共通鍵で復号します。このようにして、SharePoint Agent は元々のパスワードを取得して、Base64 でエンコードし、元々のHTTPリクエストに Basic Authentication HTTP header(ベーシック認証用のヘッダー)を付加します。

  4. これで、HTTPリクエストは、有効な Basic Authentication header(ベーシック認証用のヘッダー)を持つことになり、IIS は認証の為のプロンプトを表示することはなくなります。 続いて、ユーザは要求したリソースへのアクセスを許可されます(元々目的としている Webページが表示されるってことです。)。
画面のキャプチャもありますし、
  • 社内の Windows 系のアプリと Java系のアプリで SSO したい。
  • Basic 認証はお手頃だけど、パスワードが簡単にデコードできる状態で何度もネットワークを流れるのはちょっと抵抗あるなー。
って方にはとても参考になるかと思います。
Access Managerを使ってシングルサインオン統合基盤環境を構築しましょう!!15分くらいで読める軽めのドキュメントですのでよろしければ、是非ご覧下さい。
_kimimasa

[0] 投稿されたコメント
Like this post? del.icio.us | furl | slashdot | technorati | digg
Posted at 11:10午前 7 30, 2007 by kimimasa in Identity Management
Tags:
投稿されたコメント:

コメント
  • HTML文法 不許可