Web クライアントのセッションベースの名前とパスワードによる認証

Domino® Web サーバーに対するアクセス権を持つ Web クライアントの名前とパスワードによる認証を設定するには、「基本的な名前とパスワードによる認証」か「セッションベースの名前とパスワードによる認証」のいずれかの方法を使用します。セッションベースの名前とパスワードによる認証には、基本的な名前とパスワードによる認証では使用できない機能が含まれています。セッションとは、Web クライアントが Cookie を使用してサーバーにアクティブにログオンしている時間と定義されています。セッション認証の有効化と制御に関する設定を指定するには、システム設定に応じて Web サイト文書かサーバー文書を編集します。

また、セッションベースの認証を有効化する場合は、単一サーバーを使用するのか、複数サーバーを使用するのかという 2 つのオプションがあります。単一サーバーオプションの場合、サーバーが生成した Cookie は、その生成元サーバーによってのみ適用されます。一方、複数サーバーオプションの場合は、生成された Cookie を使用して、Web SSO 設定文書を共有している任意のサーバーにシングルサインオンできます。

セッションベースの認証を使用するには、Web クライアントは Cookie をサポートしているブラウザを使用しなければなりません。Domino は Cookie を使用してユーザーセッションをトラッキングします。

セッションベースの名前とパスワードによる認証の特徴

名前とパスワードによる認証の場合、クライアントの名前と暗号化されていないパスワードが、サーバーに対する要求ごとに送信されます。セッションベースの認証では、ユーザーの名前とパスワードの情報が、要求が発行されるたびにではなく、ユーザーがサーバーに最初にログインするときにだけネットワークを介して送信されます。ログイン後は、ユーザーの名前とログオン情報はユーザーのブラウザの Cookie に保存され、ブラウザは要求が発行されるたびにサーバーに Cookie を送信します。サーバーは要求を処理する前に、Cookie の中の情報を確認し、Cookie の内容を使用してログインユーザーを識別します。セッションは、ログインが実行されたブラウザ内でのみ有効です。セッションログインが実行されたブラウザをユーザーがシャットダウンすると、ユーザーセッションは終了し、Cookie は廃棄されます。

セッションベースの名前とパスワードによる認証を使用すると、基本的な名前とパスワードによる認証に比べ、より強力に、ユーザーインタラクションを制御できます。たとえば、ユーザーが各自の名前とパスワード情報を入力するフォームをカスタマイズすることもできます。ブラウザを終了せずにセッションからログアウトすることもできます。

カスタマイズできる HTML ログインフォーム

HTML ログインフォームでユーザーの名前とパスワードを入力すると、その名前とパスワードをユーザーセッション全体に適用できます。ブラウザは、サーバーのキャラクタセットを使用して、そのサーバーに名前とパスワードを送信します。HTTP セッション認証の場合、ユーザーは、Unicode の印刷可能文字を使用して、名前を入力できます。ただし、ユーザーのパスワードは、US-ASCII の印刷可能文字を使用して入力しなければなりません。

注: 印刷可能文字に、制御文字は含まれません。

Domino ではデフォルトの HTML フォーム ($$LoginUserForm) が用意されており、Domino Web サーバー設定データベース (DOMCFG.NSF) で作成や設定を行えます。このフォームをカスタマイズしたり、独自のフォームを作成して、情報を追加することもできます。

アイドル状態のセッションのタイムアウト

デフォルトのログアウト時間を指定すると、アクティブでない状態が一定時間以上続いた場合に Web クライアントをサーバーからログオフできます。これにより、Domino がユーザーセッションのトラッキングに使用する Cookie を期限切れにすることができます。サーバーから自動的にログオフするようにしておくと、ユーザーがログオフせずに席を離れた場合でも、他のユーザーがその Web クライアントを使用してユーザーになりすますことを防げます。セッションベースの名前とパスワードによる認証をサーバーで有効にしておくと、ユーザーは URL の末尾に ?logout を付けることで (たとえば、http://renovationsserver/sessions.nsf?logout と入力)、セッションをログオフできます。

ログアウトを設計要素や URL にリダイレクトすることもできます。例:

http://renovationsserver/sessions.nsf?logout&redirectto=/logoutDB.nsf/logoutApp?OpenPage
http://renovationsserver/sessions.nsf?logout&redirectto=http://www.sales.com

この式をアプリケーション内で作成してボタンとして使用したり、URL として入力できます。

最大ユーザーセッション数

単一サーバーのセッションベースの認証の場合のみ、1 つのサーバー上で同時に実行できるユーザーセッションの最大数を指定できます。サーバーのパフォーマンスが低下していると思われる場合は、この数を減らします。

インターネットパスワードの管理

セッションベースの認証でインターネットパスワードを管理することもできます。これはポリシー文書とカスタムパスワードポリシーを通じて行われます。

複数サーバーのセッションベースの認証

複数サーバーのセッションベースの認証 (シングルサインオンとも呼ばれています) を使用すると、Domino の Cookie を複数のサーバーで使用できます。これを使用すると、Domino サーバーと WebSphere サーバーを相互運用し、Cookie を共有することもできます。

注: ラウンドロビン方式の DNS を使用できるようにサーバーが設定してある場合は、セッションベースの名前とパスワードによる認証で複数サーバー (シングルサインオン) オプションを使用します。単一サーバーの Cookie を使用するラウンドロビン方式の DNS では、サーバーはセッション情報をメモリに保存できません。また、サーバーが再起動されたりクラッシュしたりすると、セッション情報が失われるため、ユーザーは名前とパスワードを入力し直さなければなりません。複数サーバーセッション設定では、サーバーを再起動したときでもセッション Cookie がそのまま有効になっている場合があります (Cookie が期限切れでない場合)。しかし、ユーザーは引き続きユーザーのログオンを実行したブラウザのウィンドウからサーバーにアクセスしなければなりません。