オプションの接続設定

表 1. オプションの設定
設定 説明
Stateful Connection 接続がステートフル・アプリケーションをサポートすることを指定します。デフォルトでは、接続はステートフルではありません。
Boolean Rule 拒否された要求、および許可ルールからの失敗理由情報が接続をまたがって Boolean Rule header (AM_AZN_FAILURE) で送信されるようにします。
Thread Limit ワーカー・スレッドの消費量のソフト限界とハード限界を定義します。
HTTP Basic Authentication Header WebSEAL リバース・プロキシー・サーバーが Web アプリケーション・サーバーに HTTP 基本認証 (BA) ヘッダーのクライアント ID 情報を渡す方法を定義します。クライアント ID 情報を処理するためのオプションは次のとおりです。
  • 「Filter」。デフォルトのオプション。このオプションは、WebSEAL 認証が BA ヘッダー情報を使用するように設定されているときに使用されます。

    WebSEAL の BA ヘッダーは、後続のすべての HTTP トランザクションで使用されます。バックエンド・サーバーから見た場合、常に WebSEAL にログオンしているように見えます。

    クライアント証明書を使用する WebSEAL 認証は、このオプションで許可されます。

    バックエンド・サーバーが、(ブラウザーからの) 実際のクライアント識別を必要とする 場合には、CGI 変数の HTTP_IV_USER、HTTP_IV_GROUP、および HTTP_IV_CREDS を使用できます。スクリプトとサーブレットについては、対応する Cloud Identity Service 固有の HTTP ヘッダーを使用します。
    • iv-user
    • iv-groups
    • iv-creds
  • 「Ignore」。BA ヘッダーを使用する WebSEAL 認証は、このオプションでは許可されません。このオプションは、元のクライアント・ユーザー名とパスワードについて BA ヘッダーを使用します。

    クライアント証明書を使用する WebSEAL 認証は、このオプションで許可されます。

  • 「Supply」。BA ヘッダーを使用する WebSEAL 認証は、このオプションでは許可されません。このオプションは、元のクライアント・ユーザー名とダミーのパスワードについて BA ヘッダーを使用します。

    クライアント証明書を使用する WebSEAL 認証は、このオプションで許可されます。
Client Headers クライアント・ヘッダーは、ホスト接続全体にわたる HTTP ヘッダーに Cloud Identity Service 固有のクライアント・ユーザー ID 情報を挿入します。ヘッダー・タイプには、次の HTTP ヘッダー・タイプの任意の組み合わせを使用できます。
  • デフォルトのヘッダー。
    • 「Short user names」。ユーザーのログイン名を iv-user という名前の HTTP ヘッダーに挿入し、それを接続ホストに対するすべてのバックエンド要求に追加します。
    • 「Long user names」Cloud Identity Service ユーザー識別名を iv-user-l という名前の HTTP ヘッダーに挿入し、それを接続ホストに対するすべてのバックエンド要求に追加します。
    • 「Group names」。ユーザーが属するグループのコンマ区切りリストを iv-groups という名前の HTTP ヘッダーに挿入し、それを接続ホストに対するすべてのバックエンド要求に追加します。
    • 「User credentials」。Base64 エンコード・ストリングの Cloud Identity Service ユーザー資格情報を iv-credsという名前の HTTP ヘッダーに挿入します。それを接続ホストに対するすべてのバックエンド要求に追加します。
    • 「Insert client IP Address」。ユーザーの IP アドレスを iv-remote-address という名前の HTTP ヘッダーに挿入し、それを接続ホストに対するすべてのバックエンド要求に追加します。
  • カスタム・ヘッダー。
    • カスタム・ヘッダーを使用可能にするには、Cloud Identity Service のセットアップでカスタム属性を構成して使用可能にする必要があります。選択された属性を HTTP ヘッダーに挿入します。ヘッダーの名前を入力する必要があります。
HTTP Header Encoding 接続ホストに送信する HTTP ヘッダーが生成されるときに使用するエンコードを指定します。このエンコードにより、非 UTF-8 コード・ページに変換するときに発生する可能性がある潜在的なデータ損失が防止されます。エンコードに使用可能な値は次のとおりです。
  • 「UTF-8 Binary」。エンコードされていない UTF-8 データ。この設定により、データは、データ損失なしに伝送され、ユーザーはデータを URI でデコードする必要がありません。この設定はよく注意して使用する必要があります。それは、この設定が HTTP 仕様の一部ではないからです。
  • UTF-8 URI エンコード。URI でエンコードされた UTF-8 データ。すべての空白文字および非 ASCII バイトは %XY とエンコードされます。ここで、X および Y は 16 進値 (0 から F) です。
  • 「Local Page Code Binary」。エンコードされていないローカル・コード・ページ・データ。このモードは、5.1 より前のバージョンの WebSEAL で使用されていたものです。 このモードを使用すると前のバージョンからのマイグレーションを可能にするので、アップグレード環境で使用されます。このモードではデータ損失が起こる可能性があるので、注意して使用してください。
  • 「Local Code Page URI Encoded」。URI でエンコードされたローカル・コード・ページ・データ。ローカル・コード・ページに変換できない UTF-8 文字はすべて疑問符 (?) に変換されます。. このオプションを使用する場合は、注意して使用してください。また、ローカル・コード・ページによって必要なストリングが生成される環境でのみ使用してください。
Basic Authentication 接続ホストも WebSEAL サーバーであることを示します。有効な場合、サーバー間の接続は、専有の認証セットアップを使用して認証されます。
  • 「WebSEAL username」。接続ホストを認証するために Cloud Identity Service WebSEAL サーバーが使用するユーザー ID。
  • 「WebSEAL password」。接続ホストを認証するために Cloud Identity Service WebSEAL サーバーが使用するパスワード。
Mutual Authentication 証明書による接続のクライアント認証を有効にします。
  • Certificate。使用する証明書。
Junction Cookie Cookie スクリプト経由で ID を挿入します。
Cookie Location 「Junction Cookie」が有効な場合にのみ適用できます。 接続ホストが機能するページ内で、Cookie スクリプト経由で ID が挿入される場所を指定します。
  • なし。「None」を指定すると、スクリプトはデフォルトで、応答本文の先頭に書き込まれます。
  • 「Header」。HTML 4.01 に準拠するために、<head> </head> タグの間にスクリプトを挿入します。
  • 「Trailer」。バックエンド・サーバーから返された HTML ページの後ろに、スクリプトを付加 (接頭部を追加するのではなく) します。
  • 「Trailer on Focus」。スクリプト内で onfocus イベント・ハンドラーを使用して、複数接続シナリオや複数ブラウザー・ウィンドウ・シナリオで正しい接続 Cookie が使用されるようにします。
  • 「XHTML 1.0」。文書を解釈するブラウザーに、XHTML 1.0 (and HTML 4.01) 準拠の JavaScript ブロックを挿入します。
Cookie Handling
  • 「Script Cookie」。スクリプトが生成したサーバーの相対 URL を処理するために、Cookie に接続 ID を提供します。
  • 「Preserve Cookie Path」。書き換えられる Cookie の名前に各 Cookie のパスを含めることで、接続ホストによって、Cookie に設定される Set-Cookie ヘッダー名属性が固有になるようにします。
  • 「Preserve Cookie Name」。接続ホストによって設定される Set-Cookie ヘッダーが Cloud Identity Service によって、Cookie 名に接続名を含めるように書き換えられないようにします。
Transparent Path Junction 非仮想オプション。接続が透過パスを使用するかどうかを指定します。 フィルターに掛けられるすべての URL に /connection_name という接頭部を追加する代わりには、接続ホストのすべてのコンテンツが、/connection_name と一致するコンテキスト・ルートから機能を提供されるとみなします。透過パスを使用すると、Cloud Identity Service がサーバーの相対 URL をフィルターに掛ける必要がなくなります。