|
|
|
|
|
外部認証を有効にすると、MOVEit Transfer は CA eTrust SiteMinder 製品と連動し、SiteMinder 環境で動作している MOVEit Transfer サーバーに対するシングルサインオンが可能になります。これによって、ユーザーは、あらかじめ SiteMinder 環境への認証を受けていれば、認証情報を入力することなく MOVEit Transfer にログオンできます。
このトピックでは、SiteMinder 統合環境で MOVEit Transfer が正常に機能するように MOVEit Transfer と SiteMinder を設定する方法について説明します。SiteMinder Policy Server と SiteMinder Web Agent の詳しい設定方法については、これらの製品のドキュメントを参照してください。
注: SiteMinder 統合機能の説明とその手順は、SiteMinder バージョン 6.0 SP5 について作成されたものです。
SiteMinder Web Agent インストールガイドに記載されている手順に従ってください。SiteMinder Policy Server にアクセスするには、有効な管理認証情報を入力します。Trusted Host Name (信頼されたホスト名) と有効な Host Configuration Object (ホスト設定オブジェクト) 名を入力します (SiteMinder Policy Server で既に定義されている必要があります)。Policy Server の IP アドレスを入力します。設定する Virtual Site (仮想サイト) を選択するように求められた場合は、MOVEit Transfer をインストールした Web サイトを選択します。最後に、有効な Agent Configuration Object (エージェント設定オブジェクト) 名 (SiteMinder Policy Server で既に定義されている必要があります) を入力し、Web Agent (Web エージェント) を選択して有効にします。
MOVEit Transfer を設定して SiteMinder と統合するには、Web インターフェイスから SiteMinder 統合オプションを有効にします。このオプションは、SysAdminn として MOVEit Transfer にサインオンすると、[Settings (設定)] | [System (システム)] | [User Authentication (ユーザー認証)] の SiteMinder の設定ページにあります。この設定の詳細については、「システム - ユーザー認証」を参照してください。
この設定を有効にしたら、SiteMinder の[Shared Secret (共有シークレット)] の値に注目してください。Web Agent によって認証されて許可された要求に挿入されている SiteMinder HTTP ヘッダーを MOVEit Transfer が信頼する前に、応答オブジェクトの一部としてこの値を MOVEit Transfer に戻すように SiteMinder を設定する必要があります。
ベストプラクティス: MOVEit Transfer では SiteMinder にいくつかの許容条件を設定する必要があるので、MOVEit Transfer サーバーを保護するため、エージェント設定オブジェクトと、独立したレルムまたはサブレルムを SiteMinder Policy Server に作成してください。これにより、他の保護対象サーバーに影響を与えることなく次のような変更を必要に応じて行うことができます。
MOVEit Transfer のファイル送信メカニズムの一部は、ローカルサーバーからそのローカルサーバー自体に要求を行います。これらが正しく機能するには、ローカルコンピュータに対する要求を無視するように SiteMinder Web Agent を設定する必要があります。サーバーの設定に応じて、次のいずれかの方法を行います。
エイリアスを設定し、これを無視するように SiteMinder を設定したら、MOVEit Transfer Config プログラムの [Paths (パス)] タブで [Machine URL (マシンの URL)] の設定をエイリアスを使用するように変更してください。これにより、そのマシン接続は SiteMinder によって無視されます。
注: 後者の方法を使用した場合、MOVEit Transfer Checker プログラムは、このエイリアス URL をテストするように設定されていない限り、機能しないので注意してください。Checker のテスト設定は、[Options (オプション)] | [Configure... (設定...)] をクリックして変更できます。
ActiveX クライアントと Java ベースの MOVEit ウィザードクライアントのいずれも、SiteMinder で保護された Webサイトに作用するために必要な SiteMinder 識別クッキーにアクセスして送信することはできません。したがって、これらのクライアントがファイル送信処理に使用する MOVEitISAPI モジュールを SiteMinder の保護対象から外すことによって、MOVEit ウィザードクライアントを使用したブラウザベースのファイル送信が適切に機能できるようにする必要があります。このようなファイル送信は、いずれにしても MOVEit Transfer セッションを確立せずに行うことはできないため、サーバーに対してセキュリティリスクを生じることはありません。
MOVEitISAPI モジュールを SiteMinder の保護対象から外すには、MOVEit Transfer サーバーを保護するレルムの下にサブレルムを作成する必要があります。このサブレルムには、moveitisapi/moveitisapi.dll のリソースフィルターを含め、"Unprotected (保護対象外)" のマークを付けてください。
MOVEit Transfer が SiteMinder Web Agent によって提供された HTTP ヘッダーを信頼するには、[SiteMinder Integration (SiteMinder 統合)] 設定が有効な場合に MOVEit Transfer によって自動的に生成される共有シークレット値が指定された、特殊な静的ヘッダーを含める必要があります。このヘッダーを追加するには、MOVEit Transfer サーバーを保護しているポリシードメインの下に新しい応答オブジェクトを作成します。この新しい応答オブジェクトには、静的 WebAgent-HTTP-Header-Variable 属性とともに、SM_MOVEITDMZ_SHAREDSECRET という変数名と (完全な HTTP ヘッダー名の末尾が HTTP_SM_MOVEITDMZ_SHAREDSECRET になる)、MOVEit Transfer の共有シークレット文字列に等しい変数値を含める必要があります。応答オブジェクトを作成したら、これを応答として、該当するドメインのポリシーオブジェクト内で MOVEit Transfer サーバーに適用するルールに追加する必要があります。
インストール済みの有効な SiteMinder Web Agent を使用するように設定すると、MOVEit Transfer が、MOVEit Transfer Web ブラウザインターフェイスに到達したユーザーに認証情報を求めることはなくなります。ログインした SiteMinder ユーザーのユーザー名は、MOVEit Transfer アカウントのユーザー名としても使用されます。
それ自体では、SiteMinder の認証を受けるために使用するユーザー名とは別のユーザー名で MOVEit Transfer にログインする直接的な方法はありません。そのような方法が必要な場合は (たとえば、別のユーザー名で管理者ユーザーとしてログインする場合)、通常どおり (SiteMinder を使用して) MOVEit Transfer にログインした後、Web ブラウザの URL に次のクエリ文字列を貼り付けます。
?transaction=signoff&arg12=signon
これらのクエリ文字列パラメータは、現在のユーザーアカウントからログオフし、ブラウザにサインオン画面を再表示するように MOVEit Transfer に指示します。このサインオン画面で、別のユーザー名とパスワードを入力できます。MOVEit Transfer は、現在の SiteMinder 情報の代わりに、入力されたユーザー名とパスワードを使用してユーザーを認証します。