基本認証によるシングルサインオンでの問題

This document (00007505) is provided subject to the disclaimer at the end of this document.

問題点

Novell Access Manager 3 SP1環境で、基本認証によるアクセス制限が設定されたIISへのシングルサインオン環境を構築しました。

Access Gatewayでの認証後、Authentication Header Policyで、基本認証に必要なユーザ名とパスワード情報をリクエストヘッダに加えます。
その後、基本認証によるアクセス制限を設定したIISへアクセスします。
Access Gatewayでは、eDirectoryのUser Storeのユーザ情報を基に認証を行います。
IISの基本認証では、Windowsローカルユーザ情報を基に認証を行います。

IISの基本認証制限が設定されたリソースに対して、アクセス可能なユーザでのアクセス後、別マシンからアクセス不可能な別ユーザでアクセスを行うと、基本認証のアクセス制限が有効とならず、リソースにアクセスできてしまいます。


例:
ユーザ "user1" はパスワード "novell" でeDirectoryに存在。
また、Windowsローカルにローカルユーザとしても存在。
ユーザ "user2" はeDirectoryにのみ存在し、Windowsローカルには存在しない。

1. マシンAからリソースをリクエスト
http://hostname/index.html

2. Access Gatewayの認証画面でユーザ名 "user1" とパスワード "novell" を入力

3. index.htmlが表示

4. index.htmlから基本認証アクセス制限の設定されたリソースへリンク
http://hostname/restricted.html

5. Authentication Header Policyが有効、且つAccess Gatewayの認証画面でWindowsローカルユーザとしても存在する "user1" で認証を行ったため、基本認証のログイン画面が表示されず、restricted.htmlがすぐに表示される。
(シングルサインオン)

6. マシンBからリソースをリクエスト
http://hostname/index.html

7. Access Gatewayの認証画面でユーザ名 "user2" とパスワードを入力

8. index.htmlが表示

9. index.htmlから基本認証アクセス制限の設定されたリソースへリンク
http://hostname/restricted.html

10. Access Gatewayの認証画面で、Windowsローカルユーザとして存在しない "user2" で認証を行ったため、基本認証で制限されたリソースにアクセスした際、ログイン画面が表示されるはずが、表示されない。
restricted.htmlがすぐに表示される。

解決方法

キャッシュされているリソースが、Access Gatewayからクライアントへ送信されていることが原因です。
基本認証でアクセス制限を設定したリソースに対して、Pin Listのバイパス設定を行ってください。
リソースがAccess Gatewayにキャッシュされなくなります。

Disclaimer

この情報は、米国Novell, Inc.およびノベル株式会社の内外から発生したものです。本文書の内容または本文書を使用した結果について、いかなる保証、表明または約束も行っていません。また、本文書の商品性、および特定目的への適合性について、いかなる黙示の保証も否認し、排除します。

本文書に記載されている会社名、製品名はそれぞれ各社の商品、商標または登録商標です。