IceWall SSO はシングルサインオン型認証を実現するためのミドルウェアで、フォワーダ(dfw)、ダイナミックメニューポータル(dmp)、認証モジュール(certd)の3つのモジュールから構成されています。
・フォワーダ(dfw)
フォワーダはユーザからのサービス要求を受け取り、バックエンドWebサーバへサービス要求を代行するCGIプロセスです。フォワーダはURL、キーワード変換と呼ばれる処理を行い、コンテンツ中のURLをフォワーダ経由のURLに書き換えた上で、ユーザ側にページを送信します。
・ダイナミックメニューポータル(dmp)
ダイナミックメニューポータルは、ユーザが所属しているグループのアクセス権限に応じて、バックエンドWebサーバへのリンクページを動的に生成するServletプロセスです。ダイナミックメニューポータルを利用するにはテンプレートページをあらかじめ用意する必要があります。
・認証モジュール(certd)
認証モジュールは、フォワーダ、ダイナミックメニューポータルの要求を受け、認証DB(ディレクトリサービスまたはデータベース)に認証認可情報の問い合わせを行うデーモンプロセスです。なお、認証モジュールが動作するサーバを「認証サーバ」と呼びます。
フォワーダはユーザからのサービス要求を受け取り、バックエンドWebサーバへサービス要求を代行するCGIプロセスです。フォワーダはURL、キーワード変換と呼ばれる処理を行い、コンテンツ中のURLをフォワーダ経由のURLに書き換えた上で、ユーザ側にページを送信します。
・ダイナミックメニューポータル(dmp)
ダイナミックメニューポータルは、ユーザが所属しているグループのアクセス権限に応じて、バックエンドWebサーバへのリンクページを動的に生成するServletプロセスです。ダイナミックメニューポータルを利用するにはテンプレートページをあらかじめ用意する必要があります。
・認証モジュール(certd)
認証モジュールは、フォワーダ、ダイナミックメニューポータルの要求を受け、認証DB(ディレクトリサービスまたはデータベース)に認証認可情報の問い合わせを行うデーモンプロセスです。なお、認証モジュールが動作するサーバを「認証サーバ」と呼びます。
・ログイン機能
ユーザがバックエンドWebサーバ上のコンテンツにアクセスを開始する際に使用する機能です。ユーザID、パスワード等の認証を認証DB(ディレクトリサービスやデータベース)と連携して行います。
・ログアウト機能
ユーザがバックエンドWebサーバへのアクセスを終了する際に使用する機能です。本機能を使用すると、ユーザはバックエンドWebサーバにアクセスできなくなります。(再びバックエンドWebサーバにアクセスするためには「ログイン機能」を使用します)
・アクセス制御機能
認証されたユーザの所属するグループの認可情報に基づいて、バックエンドWebサーバ上のコンテンツへのアクセスを制御する機能です。
・セッション管理機能
IceWall SSO ではSingle Sign Onの管理にセッションIDを利用します。セッションIDにより認証(ログオン状態)の確認をするとともに、ユーザのアクセス制御(URL毎のアクセス許可/禁止)を実施する機能です。
・情報継承機能
ユーザのログイン情報、認証DB上の情報を、バックエンドWebサーバに渡す機能です。バックエンドWebサーバのアプリケーションは、この情報を環境変数として受け取ります。認証DBのカラム情報をバックエンドWebサーバに渡すためには、IceWall SSO 設定ファイルで指定します。
・URL変換機能
バックエンドWebサーバから受信したコンテンツに含まれるURLのうち、ホスト名またはドメイン名を、指定した名前に変更する機能です。バックエンドWebサーバ情報をユーザより隠蔽するために使用します。コンテンツの中のURLは、全てIceWallサーバのサブディレクトリに変換されるため、ユーザにはあたかも1つのWebサーバにアクセスしているように見えます。
・キーワード変換機能
バックエンドWebサーバから受信した、コンテンツに含まれる文字列を、指定した文字列に変換する機能です。上記URL変換機能が変換できない文字列に対して使用します。
・リバースプロキシ機能
クライアントからのアクセス要求を、IceWallサーバがバックエンドWebサーバに代行して受け付ける機能です。IceWallサーバはURLを解析し、バックエンドWebサーバに情報を中継します。クライアントからのアクセスは、全てIceWallサーバを経由するので、IceWallサーバを要塞化することで、非常にセキュアなシステムを構築できます。
・パスワード変更機能
ユーザ自らが、認証DB上のパスワードを変更するための機能です。設定ファイルで詳細なパスワードポリシーの設定ができます。
・ダイナミック画面生成機能
ユーザの所属するグループのアクセス権限に応じた、個人別のメニュー画面を表示する機能です。メニュー画面のテンプレートが用意されています。
・アクセス記録機能
IceWallサーバ経由でユーザがアクセスした記録を残す機能です。管理者はこの記録により、ユーザ毎の利用頻度や操作履歴を分析できます。
・SSL通信機能(オプション)
IceWallサーバとバックエンドWebサーバ間の通信には、HTTPプロトコルの他に、SSLプロトコル(https)も使用できます。従って、インターネット上にあるバックエンドWebサーバに対しても、安全なSingle Sign Onが可能です。
・フェールオーバー機能(オプション)
システム可用性の向上のため、フォワーダとダイナミックメニューポータル画面生成機能が、代替バックエンドWebサーバおよび代替認証サーバを使用できる機能です。
・クライアント証明機能
クライアント証明書を利用した本人確認を行う機能です。ブラウザにクライアント証明書を入れることにより、より高度な本人確認を実現します。
・クロスサイトスクリプティング対策機能
クライアントより送信された悪意のあるスクリプトを無効化する機能です。すでにスクリプトが埋め込まれている場合でも対応が可能です。
・自動フォーム認証機能
バックエンドWebサーバ用のWeb Application用に作成されたフォーム認証に対してSingle Sign-Onを実現するための機能です。
・簡易ポータル機能
アクセスされたユーザと、様々な条件により簡易的なポータル画面を表示する機能です。
・Domain Gateway機能
Microsoft Windowsのドメイン認証とのSingle Sign-Onを実現する機能です。WindowsドメインにログオンするだけでIceWallへシームレスにログインすることが可能となります。
・エージェント機能
従来のReverse Proxy型のSingle Sign-Onに加えて、Agent型のSingle Sign-Onを実現する機能です。
ユーザがバックエンドWebサーバ上のコンテンツにアクセスを開始する際に使用する機能です。ユーザID、パスワード等の認証を認証DB(ディレクトリサービスやデータベース)と連携して行います。
・ログアウト機能
ユーザがバックエンドWebサーバへのアクセスを終了する際に使用する機能です。本機能を使用すると、ユーザはバックエンドWebサーバにアクセスできなくなります。(再びバックエンドWebサーバにアクセスするためには「ログイン機能」を使用します)
・アクセス制御機能
認証されたユーザの所属するグループの認可情報に基づいて、バックエンドWebサーバ上のコンテンツへのアクセスを制御する機能です。
・セッション管理機能
IceWall SSO ではSingle Sign Onの管理にセッションIDを利用します。セッションIDにより認証(ログオン状態)の確認をするとともに、ユーザのアクセス制御(URL毎のアクセス許可/禁止)を実施する機能です。
・情報継承機能
ユーザのログイン情報、認証DB上の情報を、バックエンドWebサーバに渡す機能です。バックエンドWebサーバのアプリケーションは、この情報を環境変数として受け取ります。認証DBのカラム情報をバックエンドWebサーバに渡すためには、IceWall SSO 設定ファイルで指定します。
・URL変換機能
バックエンドWebサーバから受信したコンテンツに含まれるURLのうち、ホスト名またはドメイン名を、指定した名前に変更する機能です。バックエンドWebサーバ情報をユーザより隠蔽するために使用します。コンテンツの中のURLは、全てIceWallサーバのサブディレクトリに変換されるため、ユーザにはあたかも1つのWebサーバにアクセスしているように見えます。
・キーワード変換機能
バックエンドWebサーバから受信した、コンテンツに含まれる文字列を、指定した文字列に変換する機能です。上記URL変換機能が変換できない文字列に対して使用します。
・リバースプロキシ機能
クライアントからのアクセス要求を、IceWallサーバがバックエンドWebサーバに代行して受け付ける機能です。IceWallサーバはURLを解析し、バックエンドWebサーバに情報を中継します。クライアントからのアクセスは、全てIceWallサーバを経由するので、IceWallサーバを要塞化することで、非常にセキュアなシステムを構築できます。
・パスワード変更機能
ユーザ自らが、認証DB上のパスワードを変更するための機能です。設定ファイルで詳細なパスワードポリシーの設定ができます。
・ダイナミック画面生成機能
ユーザの所属するグループのアクセス権限に応じた、個人別のメニュー画面を表示する機能です。メニュー画面のテンプレートが用意されています。
・アクセス記録機能
IceWallサーバ経由でユーザがアクセスした記録を残す機能です。管理者はこの記録により、ユーザ毎の利用頻度や操作履歴を分析できます。
・SSL通信機能(オプション)
IceWallサーバとバックエンドWebサーバ間の通信には、HTTPプロトコルの他に、SSLプロトコル(https)も使用できます。従って、インターネット上にあるバックエンドWebサーバに対しても、安全なSingle Sign Onが可能です。
・フェールオーバー機能(オプション)
システム可用性の向上のため、フォワーダとダイナミックメニューポータル画面生成機能が、代替バックエンドWebサーバおよび代替認証サーバを使用できる機能です。
・クライアント証明機能
クライアント証明書を利用した本人確認を行う機能です。ブラウザにクライアント証明書を入れることにより、より高度な本人確認を実現します。
・クロスサイトスクリプティング対策機能
クライアントより送信された悪意のあるスクリプトを無効化する機能です。すでにスクリプトが埋め込まれている場合でも対応が可能です。
・自動フォーム認証機能
バックエンドWebサーバ用のWeb Application用に作成されたフォーム認証に対してSingle Sign-Onを実現するための機能です。
・簡易ポータル機能
アクセスされたユーザと、様々な条件により簡易的なポータル画面を表示する機能です。
・Domain Gateway機能
Microsoft Windowsのドメイン認証とのSingle Sign-Onを実現する機能です。WindowsドメインにログオンするだけでIceWallへシームレスにログインすることが可能となります。
・エージェント機能
従来のReverse Proxy型のSingle Sign-Onに加えて、Agent型のSingle Sign-Onを実現する機能です。
