14.4. Web アプリケーションでのシングルサインオン (SSO) の使用
概要
シングルサインオン (SSO) の機能は Web および Infinispan サブシステムによって提供されます。この手順に従って Web アプリケーションに SSO を設定します。
要件
- 認証と承認を処理する設定されたセキュリティードメイン。
infinispan
サブシステム。管理対象ドメインの場合、このサブシステムはfull-ha
プロファイルにあります。スタンドアロンサーバーではstandalone-full-ha.xml
設定を使用します。web
cache-container
と SSO replicated-cache が存在する必要があります。最初の設定ファイルにはweb
cache-container がすでに含まれており、一部の設定には SSO replicated-cache も含まれています。以下のコマンドを使用して SSO replicated-cache をチェックし、有効にします。これらのコマンドは管理対象ドメインのfull
プロファイルを変更することに注意してください。コマンドを変更して、スタンドアロンサーバーで別のプロファイルを使用したり、コマンドの/profile=ha
部分を削除することができます。例14.1
web
cache-container の確認前述のプロファイルや設定には、デフォルトとしてweb
cache-container が含まれています。次のコマンドを使用して、web
cache-container の存在を確認します。異なるプロファイルを使用する場合は、ha
をその名前に置き換えます。/profile=ha/subsystem=infinispan/cache-container=web/:read-resource(recursive=false,proxies=false,include-runtime=false,include-defaults=true)
サブシステムが存在する場合、結果はsuccess
になります。存在しない場合は追加する必要があります。例14.2
web
cache-container の追加次の 3 つのコマンドを使用してweb
cache-container を設定に対して有効にします。必要に応じてプロファイルの名前やその他のパラメーターを変更します。以下のパラメーターはデフォルト設定で使用されるパラメーターになります。/profile=ha/subsystem=infinispan/cache-container=web:add(aliases=["standard-session-cache"],default-cache="repl",module="org.jboss.as.clustering.web.infinispan")
/profile=ha/subsystem=infinispan/cache-container=web/transport=TRANSPORT:add(lock-timeout=60000)
/profile=ha/subsystem=infinispan/cache-container=web/replicated-cache=repl:add(mode="ASYNC",batching=true)
例14.3
SSO
replicated-cache の確認次の管理 CLI コマンドを実行します。/profile=ha/subsystem=infinispan/cache-container=web/:read-resource(recursive=true,proxies=false,include-runtime=false,include-defaults=true)
"sso" => {
のような出力を探します。このような出力が見つからない場合、設定に SSO replicated-cache は存在しません。例14.4
SSO
replicated-cache の追加/profile=ha/subsystem=infinispan/cache-container=web/replicated-cache=sso:add(mode="SYNC", batching=true)
- SSO を使用するよう
web
サブシステムを設定する必要があります。次のコマンドは、default-host
という仮想サーバー上と、クッキードメインdomain.com
で SSO を有効にします。キャッシュ名はsso
で、再認証は無効になっています。/profile=ha/subsystem=web/virtual-server=default-host/sso=configuration:add(cache-container="web",cache-name="sso",reauthenticate="false",domain="domain.com")
- SSO 情報を共有する各アプリケーションは、
jboss-web.xml
デプロイメント記述子にある同じ <security-domain> とweb.xml
設定ファイルにある同じレルムを使用するよう設定されている必要があります。
クラスター化された SSO またはクラスター化されていない SSO の設定
サーバープロファイルの Web サブシステム下に sso
を設定します。 cache-container
属性が存在する場合は ClusteredSingleSignOn
バージョンが使用されます。それ以外の場合は標準の SingleSignOn
クラスが使用されます。
例14.5 クラスター化された SSO 設定の例
/subsystem=web/virtual-server=default-host/sso=configuration:add(cache-container="web",cache-name="sso",reauthenticate="false",domain="domain.com")
例14.6 クラスター化されていない SSO 設定の例
/subsystem=web/virtual-server=default-host/sso=configuration:add(reauthenticate="false")
セッションの無効化
アプリケーションはメソッド javax.servlet.http.HttpSession.invalidate()
を呼び出し、プログラムを用いてセッションを無効化することができます。