nsfl10n

Lotus Notes/Domino のブログ。nsf:Notes Storage Facility。l10n:Localization。

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
  1. --/--/--(--) --:--:--|
  2. スポンサー広告|
  3. トラックバック(-)|
  4. コメント(-)

Lotus Domino と Apache Tomcat - シングルサインオン(SSO)

Lotus Domino and Apache Tomcat - Single Sign On (SSO)

イントロダクション

 この記事は、Lotus Domino 6.5.3 と Apache Tomcat 5 との間でシングルサインオン(SSO)を実現するためのテクニックを紹介するものです。このふたつの Web サーバは、従来の感覚で言う SSO を共有するものではありません。実際、それを真の SSO と呼ぶことはできないでしょう。これらふたつのテクノロジーを統合するための技術以上のものと言えます。またとてもよく機能しますし。

 Lotus Domino はクッキーベースの認証技術を使ってます。Domino Web サーバで認証するとき、Lpta トークンが Web ブラウザにクッキーとしてストアされます。それに対して、Apache Tomcat は独自の認証技術を使っており、Domino の認証で使われた Lpta トークンを再利用することはできません。-- Brian Green

ゴール

 ふたつの Web サーバの"統合"を可能にすること。そして、ユーザー認証は一回だけで、Domino と Apache Tomcat Web サーバの両方にアクセスできるようにすること。

シナリオ例

 ふたつの Web サーバを持っていると仮定します。ひとつは、Lotus Domino 6.5.3 上で動いていて、もうひとつは、Apache Tomcat 5 上で動いているとします。それらのホスト名は、domino.acme.com と tomcat.acme.com です。両方ともスタンドアローンなサーバです。同じハードウェアか、ひとつのハードウェアをシェアしています。ふたつともユニークなホスト名を使い、互いに独立した Web サーバです。

 ユーザが domino.acme.com か tomcat.acme.com のページを開いたとき、認証される必要があります。ユーザは、Domino のパスワードを一回入力し、domino.acme.com と tomcat.acme.com の両方の Web ページを見ることができるでしょう。ユーザが有効な Lpta トークンを持っているとき、それに参加している Domino と Tomcat との間を行き来することができるでしょう。これは、Domino と機能するように設定された SSO を有する Websphere サーバにもあてはまります。

 もちろん、Tomcat は Domino の LDAP ディレクトリを認証のために使うことができるでしょう。しかしながら、これは LptaToken をあなたは発行したわけではありません。

Host name認証使用Web server technology
domino.acme.comdomino.acme.comLotus Domino 6.5.3, or later versions
tomcat.acme.comdomino.acme.comApache Tomcat 5.0.28, Java 1.4.2_08
-or-
Apache Tomcat 5.5.9, Java 1.5.0_03
-or-
later versions

注意 - これは"Domino Tomcat Redirector"を使っているわけではありません。

 もしかしたらあなたは "Domino Tomcat Redirector" に慣れているかも知れません。Domino's Java Servlet Engine with Apache Tomcat に置き換えるこることもできるでしょう。Domino が JSP/Servlet のリクエストを受け取ったときに、このリダイレクタが、"サードパーティの servlet エンジン"にリクエストを渡すでしょう。これは、Domino と Apache Tomcat がひとつの同じホスト名であるときに可能になります。(これが宜しくないのは、Tomcat がクラッシュしたら Domino もクラッシュしてしまうことです。そしてこれは Domino 管理者が理解してメンテするには、新たな悩みのタネとなるのです。) 更に詳しく知りたい方は、Apache の Domino HowTo を参照してください。

 以下の記事は、標準的な Domino のインストール、そして、標準的な Apache Tomcat のインストールのことを指しています。インストールに関してははなにも特別なことはありません。だから、悩みのタネがひとつ減ることになるのです。

Domino 開発者向け

 Java テクノロジーはあなたの Domino のスキルをより力強いものにするでしょう。Java/J2EE の世界へのイントロとして、Head First Servlets & JSP を読むことをお奨めします。J2EE アプリケーションがどのように構築されているかを理解することができるでしょう。Thomas Duff によるレビューも参照してください。

注意:Domino サーバは 6.5.3 かそれ以降のものでないといけません。Lotus は ふたつの Java メソッドにアクセスします:Session.getUserNameList() と Session.getUserGroupNameList() です。これらのメソッドはこれ以前の Domino だと"バグってる" んです。

Web 開発者向け

 いくつかの JAR ファイルを加えて、web.xml を編集すればOKです。お望みなら、すべてのファイルを WAR ファイルとしてラップして、アプリケーションにデプロイしてください。ユーザーが有効な Ltpa トークンを持っている場合、Domino JSP タグライブラリであなたの Web アプリを拡張することが出来るでしょう。では続きをどうぞ・・・。

====引用ここまで====

 以下、Domino と Apache Tomcat との間で SSO を実現する方法が詳細に書かれています。にしても SSO は流行ってますね。やっぱどこの会社も、システムごとに ID とパスワードがあって、それがどんどん増えてユーザの利便性を下げていて、そのためのソリューションが求められているのでしょう。ID が増えれば増えるほど、ユーザの id 管理が杜撰になるのは当然のことですから、結果的にセキュリティリスクが高くなることになってしまいます。ユーザに不便を強いるだけでは終わりません。

 web domino アプリだとなんとか domino の呪縛が薄れるので、こうやって"integration"(統合)することもできるのですが、notes クライアントだと、id ファイルという呪縛(暗号化ソリューションとしては非常に優秀なのだが誰も使ってない・苦笑)が強すぎて、OS 以外との SSO は無理でしょうね。。。

スポンサーサイト
  1. 2005/06/12(日) 03:37:25|
  2. Admin|
  3. トラックバック:0|
  4. コメント:0
<<Web用カレンダ入力ダイアログ | ホーム | ワークスペースカスタマイズ!!>>

コメント

コメントの投稿

管理者にだけ表示を許可する

トラックバック

トラックバックURLはこちら
http://nsfl10n.blog9.fc2.com/tb.php/22-0b004553
04 | 2017/05 | 06
Sun Mon Tue Wed Thu Fri Sat
- 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31 - - -

Search

Featured Entries

Recent Entries

Recent Comments

Recent Trackbacks

Archives

Category

Links

Ads

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。