Tivoli Access Manager 用のシングル・サインオンの使用可能化

IBM® Connections を IBM Tivoli® Access Manager でシングル・サインオンを使用するように構成します。

始める前に

IBM Tivoli Access Manager for e-business のサポートされるバージョンをインストールします。

インストールされている IBM Connections アプリケーションに Web ブラウザーからアクセスできることを確認してください。

IBM WebSphere® Application Server シングル・サインオンのドメインは、Tivoli Access Manager サーバーと同じ値に設定してください。

注:

IBM Connections と、WebSphere Application Server 上でスタンドアロン LDAP 構成を使用してデプロイされた製品との間で SSO を使用可能にしている場合、または製品が IBM Lotus® Domino を使用している場合は、最初に『スタンドアロン LDAP を使用した SSO の使用可能化 (Enabling SSO with stand-alone LDAP)』のトピックで説明されている手順を実行する必要があります。
インストール時に指定した connectionsAdmin J2C 別名は、Tivoli Access Manager で認証できる有効なアカウントに対応している必要があります。この別名がバックエンド管理ユーザー・アカウントにマップされている場合もありますが、IBM Connections のユーザー・アカウントとして使用する目的でマップされているわけではありません。このアカウントは、Tivoli Access Manager に対するシングル・サインオンの認証に対応していなければなりません。この別名のユーザー ID または資格情報を更新する必要がある場合は、『管理資格情報への参照の変更』のトピックを参照してください。
IBM Connections は、WebSphere Cookie ベースの Lightweight Third-Party Authentication (LTPA) メカニズムを、Tivoli Access Manager の SSO ソリューションとしてサポートしています。 IBM Connections は、WebSphere Trust Association Interceptor (TAI)、フォーム SSO、クロスドメイン SSO、E-community SSO といった、WebSEAL がサポートするその他の SSO ソリューションをサポートしていません。
IBM Connections は、Tivoli Access Manager による SSL 透過パス・ジャンクションの使用をサポートしています。 IBM Connections は、TCP タイプのジャンクションまたは Tivoli Access Manager の標準ジャンクションをサポートしていません。
IBM Tivoli Access Manager の詳細については、Tivoli Access Manager Knowledge Centerを参照してください。

このタスクについて

シングル・サインオン (SSO) により、ユーザーは IBM Connections のあるアプリケーションにログインし、再度の認証を必要とせずに他のアプリケーションとリソースに切り替えることができます。

SSO を構成するには、いくつかの異なる方法があります。この手順では、1 つの方法を説明します。ここでは、WebSphere Application Server LTPA キーと WebSEAL 透過ジャンクションを使用します。

Tivoli Access Manager を使用して SSO をセットアップするには、以下の手順を実行します。

手順

Lightweight Third-Party Authentication (LTPA) キーで SSO をサポートするには、同じキーとパスワードが Tivoli Access Manager と WebSphere Application Server で共有される必要があります。 WebSphere Application Server からキーをエクスポートするには、以下の手順を実行します。
1. WebSphere Application Server Integrated Solutions Console に管理者としてログインし、「セキュリティー」を展開して、「グローバル・セキュリティー」をクリックします。「認証メカニズムと有効期限」領域で、「LTPA」をクリックします。
2. 「クロスセル・シングル・サインオン」セクションで、以下のフィールドに値を入力します。
  - パスワード保護されたパスワードを入力して、パスワードを確認します。このパスワードは後で提供することが必要になります。
  - 完全修飾鍵ファイル名エクスポートされたキーを保持するファイルの有効なパスとファイル名を指定します。
  例:
  
  p*ssw*rd
  
  C:¥WAS_ltpa.keys
3. 「鍵のエクスポート」をクリックします。
注: 統合リポジトリーのレルム名などの統合リポジトリー・プロパティーを変更した場合は、LTPA 鍵を再エクスポートして、Tivoli Access Manager サーバーの、Tivoli Access Manager ジャンクションの作成に使用した場所と同じ場所にそれらをコピーします。詳しくは、手順 4 を参照してください。
LTPA トークンを再作成すると、エラーが発生する場合があります。エラーが発生した場合は、すべてのスケジュール済みタスクのクリアを参照してください。
無保護の URI にアクセスした場合に使用可能な認証データを使用します。「グローバル・セキュリティー」ページで「Web および SIP セキュリティー」を展開してから、「一般設定」をクリックします。「URI が保護されている場合にのみ認証する」をクリックし、「無保護の URI にアクセスした場合に使用可能な認証データを使用する」を選択します (まだ選択されていない場合)。「適用」をクリックし、「OK」をクリックします。
IBM HTTP Server の証明書を Tivoli Access Manager 鍵ストアにインポートします。証明書をインポートするには、次の手順を実行します。
1. WebSEAL 証明書鍵ファイルを、IBM HTTP Server がインストールされているシステムにコピーします。
  WebSEAL 構成ファイル (Tivoli_install_root/PDWeb/etc/webseald-default.conf) を調べることによって、WebSEAL 証明書鍵ファイルの場所を確認できます。鍵ファイルの場所を確認するには、ファイルで webseal-cert-keyfile キーワードを検索します。
  
  例えば、Tivoli Access Manager サーバー上の C:¥Program Files¥Tivoli¥PDWeb/www-default¥certs¥pdsrv.kdb を、IBM HTTP Server がインストールされているシステムの C:¥pdsrv.kdb にコピーします。
2. IBM HTTP Server がインストールされているシステムで、以下のコマンドを実行して IBM 鍵管理ユーティリティーを開始します。ibm_http_server_root/bin/ikeyman.sh|bat
  例: C:¥IBM¥HTTPServer¥bin¥ikeyman.bat
3. IBM HTTP Server の鍵ファイルを開きます。以下の値を使用して、「鍵データベース・ファイル - オープン」をクリックします。
  鍵データベース・タイプ (Key database type)
  
  CMS
  
  ファイル名
  
  plugin-key.kdb
  
  ファイルの場所
  
  ibm_http_server_root/Plugins/config/webserver_name/
  例: C:¥IBM¥HTTPServer¥Plugins¥config¥webserver1¥
  
  「OK」をクリックし、IBM HTTP Server の鍵ファイル用のパスワードを入力します。デフォルト・パスワードは WebAS です。
4. 「鍵データベースの内容」の下で「個人証明書」を選択します。
5. 「証明書の抽出」をクリックし、証明書を格納するファイル名と場所を指定します。「フィールド・データ・タイプ」は変更ないでおきます。
  例:
  - 証明書ファイル名: cert.arm
  - 場所: C:¥
6. iKeyman ユーティリティーを使用して、WebSEAL 証明書鍵ファイルを開きます。パスワードの入力を求めるプロンプトが出されたら、WebSEAL 鍵ファイルのパスワードを入力します。デフォルト・パスワードは pdsrv です。
7. 「鍵データベースの内容」の下で「署名者証明書」を選択します。
8. 「追加」をクリックして、抽出された IBM HTTP Server の証明書ファイルを見つけます。この証明書のラベルを入力します。例えば、LC3_IHS_cerficate とします。
  注: 既に他の IBM HTTP Server 証明書を WebSEAL 証明書ファイルにインポート済みの場合は、新規証明書を追加する前に、それらを削除する必要があります。
9. 「鍵データベース・ファイル - 閉じる」をクリックして、変更内容を WebSEAL pdsrv.kdb 証明書ファイルに保存し、ファイルを閉じます。
10. 変更された pdsrv.kdb WebSEAL 証明書ファイルを、WebSEAL サーバー上の同じ場所にコピーします。
  例: C:/Program Files/Tivoli/PDWeb/www-default/certs/pdsrv.kdb
注: 証明書のインポートの詳細については、『WebSphere トラストストアに証明書を追加する』のトピックを参照してください。
エクスポートした LTPA キーを使用して、Tivoli Access Manager の透過パス・ジャンクションを構成します。これを行うには、以下の手順を実行します。
1. ステップ 1 でエクスポートした LTPA 鍵を、Tivoli Access Manager サーバーにコピーします。
  例: C:¥WAS7_ltpa.keys
2. pdadmin コマンド・ライン・ユーティリティーを開きます。これは、Tivoli Access Manager ランタイム・パッケージの一部としてインストールされます。
3. インストール済みのアプリケーションごとに、透過パス・ジャンクションを構成します。ジャンクションごとに以下のコマンドを一度ずつ入力します。
  注: コマンドには復帰を含めないでください。それらは表示のために追加されます。
  
  server task WebSEAL-instance-name create -t ssl
  
  -h backend-server-name -x -p backend-server-port -i -b ignore -f -A -2
  
  -F ltpa-token -Z ltpa-password -k transparent-path-jct
  ここで:
  - WebSEAL-instance-name は、WebSEAL サーバーの名前です。次の構文を使用します。
    WebSEAL_instance-webseald-tam_server
    
    例: default-webseald-server.name.example.com
  - backend-server-name は、Tivoli Access Manager が認証を管理している IBM Connections サーバーのドメイン名です。例えば、IBM Connections 用に構成された IBM HTTP Server です。
  - backend-server-port は、バックエンド・サーバーによって使用されるポートです。
  - ltpa-token は、WebSphere Application Server からエクスポートしたキーを格納するために作成されたファイルの名前です。
  - ltpa-password は、鍵ファイルを暗号化するために定義したパスワードです。
  - transparent-path-jct は、アプリケーションの透過パス・ジャンクションです。この値は、URL パターンに一致し、URL パターンごとに 1 回ずつ作成する必要があります。
    - /activities
    - /blogs
    - /cognos
    - /communities
    - /connections
    - /dm
    - /dogear
    - /files
    - /forums
    - /help
    - /homepage
    - /metrics
    - /mobile
    - /mobileAdmin
    - /moderation
    - /news
    - /oauth2
    - /profiles
    - /search
    - /wikis
  例:
  
  server task default-webseald-server.name.example.com create -t ssl -h another.server.name.example.com -x -p 443 -i -b ignore -f -A -2 -F -k C:¥WAS7_ltpa.keys -Z password /profiles
  注:
  - -2 のパラメーターは、LTPA タイプ 2 を使用する場合にのみ必要です。WebSphere Application Server では、LTPA 1 と LTPA 2 の両方を使用できます。
  - 無効な証明書エラーが発生する場合は、ジャンクションを作成する前に、backend-server-name 証明書を WebSEAL 証明書ストアにインポートします。
  - 透過パス・ジャンクションには、独立した IBM Connections アプリケーションではないにも関わらず、/help が含まれます。これはニュース・アプリケーションの不可欠な部分ですが、別個のジャンクションとして構成する必要があります。
pdadmin コマンド・ライン・ユーティリティーの使用の詳細については、Tivoli Access Manager インフォメーション・センターの Using pdadmin to create junctions という Web ページにアクセスしてください。
以下のコマンドを実行して、デフォルト WebSEAL ACL を指定変更するデフォルト IBM Connections ACL を作成します。
acl create lc3-default-acl

acl modify lc3-default-acl set user sec_master TcmdbsvaBRlrx

acl modify lc3-default-acl set any-other Tmdrx

acl modify lc3-default-acl set unauthenticated T

acl modify lc3-default-acl set group iv-admin TcmdbsvaBRrxl

acl modify lc3-default-acl set group webseal-servers Tgmdbsrxl

デフォルトの ACL を、フォーム認証によって保護されたリソースに接続します。

デフォルトの ACL を、アプリケーション・ルート URL に接続します。
acl attach /WebSEAL/tam_server-WebSEAL_instance/app_root lc3-default-acl
ここで:
- tam_server は、Tivoli Access Manager サーバーのホスト名です
- WebSEAL_instance は、IBM Connections の管理のために構成された WebSEAL サーバーのインスタンスの名前 (例えば、default) です。
- app_root は、IBM Connections アプリケーションへのルート・パスであり、以下のようなものがあります。
  - /activities
  - /blogs
  - /cognos
  - /communities
  - /dogear
  - /files
  - /forums
  - /homepage
  - /news
  - /metrics
  - /mobile
  - /moderation
  - /profiles
  - /search
  - /wikis
- lc3-default-acl は、ステップ 5 で定義したアクセス制御リスト (ACL) です。
例: acl attach /WebSEAL/tam.example.com-default/activities example-default-acl

デフォルトの ACL を、フォーム認証によって保護された他のリソースに接続します。次のコマンドを実行します。

acl attach /WebSEAL/tam_server-WebSEAL_instance/object-path lc3-default-acl

ここで:

tam_server は、Tivoli Access Manager サーバーのホスト名です
WebSEAL_instance は、IBM Connections の管理のために構成された WebSEAL サーバーのインスタンスの名前 (例えば、default) です。
object-path は、そのドメイン上のリソースのパスです。
lc3-default-acl は、ステップ 5 で定義したアクセス制御リストです。この変数を、デフォルトの ACL の名前に置き換えます。

例: acl attach /WebSEAL/tam.example.com-default/activities/service/getnonce/forms example-default-acl

フォーム認証によって保護される URL のリストについては、『フォーム認証の必要なリソース』の表を参照してください。

表 1. フォーム認証の必要なリソース
アプリケーション	保護される URL
アクティビティー	/activities/seedlist/myserver
	/activities/service/atom2/communityEvent
	/activities/service/atom2/forms
	/activities/service/download/forms
	/activities/service/getnonce/forms
ブログ	/blogs/seedlist/myserver
ブックマーク	/dogear/seedlist/myserver
共通リソース	/connections/opensocial/rest
コミュニティー	/communities/calendar/seedlist/myserver
	/communities/forum/service/atom/forms
	/communities/recomm/ajax
	/communities/recomm/atom_form
	/communities/service/atom/forms
フォーラム	/forums/atom/forms
フォーラム	/forums/seedlist/myserver
メトリック	/metrics
	/cognos
	/cognos/servlet/ping
プロフィール	/profiles/atom/forms
プロフィール	/profiles/atom2/forms
URL プレビュー	/connections/opengraph/form/api/oembed
URL プレビュー	/connections/thumbnail/form/api/imageProxy

無保護のアクセス制御リストを定義してから、pdadmin コマンド・ライン・ユーティリティーを使用して、無保護のリソースと基本認証が必要なリソースをそのアクセス制御リストに接続し、Tivoli Access Manager が認証のためにこれらのリソースの HTTP 要求を WebSphere Application Server に渡すようにします。

無保護のアクセス制御リストを定義するには、次のコマンドを入力します。
acl create ic-bypass-acl

acl modify ic-bypass-acl set user sec_master TcmdbsvaBRlrx

acl modify ic-bypass-acl set any-other Tmdrx

acl modify ic-bypass-acl set unauthenticated Tmdrx

acl modify ic-bypass-acl set group iv-admin TcmdbsvaBRrxl

acl modify ic-bypass-acl set group webseal-servers Tgmdbsrxl

ここで、ic-bypass-acl は無保護のアクセス制御リストの名前です。例えば、connections-acl-bypass とします。
注: any-other パラメーターは、他のパラメーターで定義された認証ユーザー (sec_master や iv-admin など) 以外の認証ユーザーを指します。

認証を必要としないリソースにアクセス制御リストを接続するには、以下のコマンドを実行します。

acl attach /WebSEAL/tam_server-WebSEAL_instance/object-path ic-bypass-acl

ここで:

tam_server は、Tivoli Access Manager サーバーのホスト名です
WebSEAL_instance は、IBM Connections の管理のために構成された WebSEAL サーバーのインスタンスの名前 (例えば、default) です。
object-path は、そのドメイン上のリソースのパスです。
ic-bypass-acl は、ステップ 7 a で定義したアクセス制御リストです。

無保護の URL のリストについては、『認証を必要としないリソース』の表を参照してください。

表 2. 認証を必要としないリソース
アプリケーション	無保護の URL
アクティビティー	/activities/auth
	/activities/authverify
	/activities/images
	/activities/service/html/mainpage
	/activities/oauth
	/activities/service/html/images
	/activities/service/html/servermetrics
	/activities/service/html/serverstats
	/activities/static
	/activities/service/html/styles
	/activities/service/html/themes
	/activities/serviceconfigs
ブログ	/blogs/static
	/blogs/oauth
	/blogs/serviceconfigs
ブックマーク	/dogear/bookmarklet/tagslike/proxy
	/dogear/oauth
	/dogear/peoplelike
	/dogear/serviceconfigs
	/dogear/static
	/dogear/tagslike
	/dogear/tagrecs
共通リソース	/connections/bookmarklet/tools/blet.js
	/connections/bookmarklet/tools/discussThis.js
	/connections/bookmarklet/tools/rlet.js
	/connections/core/oauth
	/connections/oauth
	/connections/opensocial/oauth
	/connections/resources/socmail-client
	/connections/resources/ic
	/connections/resources/web
	/connections/resources/socpim
	/connections/serviceconfigs
	/nav/common
Content Manager	/wsi
	/acce
	/dm
コミュニティー	/communities/calendar/calendar.xml
	/communities/calendar/oauth
	/communities/images
	/communities/recomm/oauth
	/communities/recomm/recomm.xml
	/communities/service/atom/oauth
	/communities/service/html/communityview
	/communities/service/json/oauth/
	/communities/service/opensocial/oauth
	/communities/serviceconfigs
	/communities/service/html/community/autoCompleteMembers.do
	/communities/service/html/singleas
	/communities/static
	/communities/stylesheet
	/communities/tools/embedAS.html
ファイル	/files/app
	/files/basic/anonymous/api
	/files/basic/anonymous/cmis
	/files/basic/anonymous/opensocial
	/files/form/anonymous/api
	/files/form/anonymous/cmis
	/files/form/anonymous/opensocial
	/files/oauth
	/files/static
	/files/serviceconfigs
フォーラム	/forums/oauth
	/forums/serviceconfigs
	/forums/static
ホーム・ページ	/homepage/oauth
	/homepage/search
	/homepage/serviceconfigs
	/homepage/static
メトリック	/metrics/service/eventTracker
	/metrics/service/oauth
	/metrics/serviceconfigs
	/cognos/servlet
管理	/moderation/oauth
ニュース	/help
	/news/common/sand/static/
	/news/follow/oauth
	/news/microblogging/isPermitted.action
	/news/oauth
	/news/serviceconfigs
	/news/sharebox/config.action
	/news/static
OAuth Provider	/oauth2
プロフィール	/profiles/images
	/profiles/oauth
	/profiles/serviceconfigs
	/profiles/static
	/profiles/widget-catalog
検索	/search/atom/search/*
	/search/oauth
	/search/static
	/search/serviceconfigs
URL プレビュー	/connections/opengraph/form/anonymous/api/oembed
	/connections/opengraph/basic/anonymous/api/oembed
	/connections/opengraph/oauth/anonymous/api/oembed
	/connections/thumbnail/api/imageProxy
Widget コンテナー	/connections/opensocial/anonymous/rest
	/connections/opensocial/common
	/connections/opensocial/gadgets
	/connections/opensocial/ic
	/connections/opensocial/rpc
	/connections/opensocial/social
	/connections/opensocial/xrds
	/connections/opensocial/xpc
Wiki	/wikis/basic/anonymous/api
	/wikis/form/anonymous/api
	/wikis/oauth
	/wikis/serviceconfigs
	/wikis/static

ほとんどのフィード・リーダーはフォーム認証で認証することができないため、IBM Connections サーバーの Atom フィードは基本認証を使用します。 WebSphere Application Server と IBM Connections アプリケーションは、必要に応じて、これらの Atom HTTP 要求を基本認証を通じて認証します。 IBM Connections が基本認証で保護するリソースに無保護の ACL を接続するには、以下のコマンドを実行します。

acl attach /WebSEAL/tam_server-WebSEAL_instance/object-pathic-bypass-acl

ここで:

tam_server は、Tivoli Access Manager サーバーのホスト名です
WebSEAL_instance は、IBM Connections の管理のために構成された WebSEAL サーバーのインスタンスの名前 (例えば、default) です。
object-path は、そのドメイン上のリソースのパスです。
ic-bypass-acl は、ステップ 7 a で定義したアクセス制御リストです。

例: acl attach /WebSEAL/example.com-default/activities/service/atom example-bypass-acl

保護された URL のリストについては、『基本認証の必要なリソース』の表を参照してください。

表 3. 基本認証の必要なリソース
アプリケーション	保護される URL
アクティビティー	/activities/follow/atom
	/activities/service/atom
	/activities/service/atom2
	/activities/service/download
	/activities/service/getnonce
	/activities/service/html/autocompleteactivityname
	/activities/service/html/autocompleteentryname
	/activities/service/html/autocompletemembers
ブログ	/blogs/api
	/blogs/atom
	/blogs/follow/atom
	/blogs/issuecategories
	/blogs/roller-ui/blog
	/blogs/roller-ui/feed
	/blogs/roller-ui/BlogsWidgetEventHandler.do
	/blogs/roller-ui/rendering/api
	/blogs/roller-ui/rendering/feed
	/blogs/services/atom
ブックマーク	/dogear/api/app
	/dogear/api/deleted
	/dogear/api/notify
	/dogear/atom
	/dogear/people.do
共通リソース	/connections/opensocial/basic/rest
コミュニティー	/communities/calendar/atom
	/communities/calendar/handleevent
	/communities/calendar/ical
	/communities/follow/atom
	/communities/forum/service/atom
	/communities/recomm/atom
	/communities/recomm/handleevent
	/communities/service/atom
	/communities/service/atom/communities/my
	/communities/service/json
	/communities/service/opensocial
ファイル	/files/basic/api
	/files/basic/api/myuserlibrary/feed
	/files/basic/cmis
	/files/basic/opensocial
	/files/follow/atom
フォーラム	/forums/atom
フォーラム	/forums/follow/atom
ホーム・ページ	/homepage/atom/mysearch
	/homepage/atom/search
	/homepage/web/updates/
ニュース	/news/atom/service
	/news/atom/stories/community
	/news/atom/stories/newsfeed
	/news/atom/stories/public
	/news/atom/stories/save
	/news/atom/stories/saved
	/news/atom/stories/statusupdates
	/news/atom/stories/top
	/news/atom/watchlist
	/news/atomfba/stories/public
プロフィール	/profiles/atom
	/profiles/atom2
	/profiles/atom/forms/tagCloud.do 注: Tivoli Access Manager 構成で大/小文字の区別がないジャンクションを使用する場合、tagCloud.do ではなく `tagcloud.do` を指定してください。
	/profiles/follow/atom
	/profiles/json
	/profiles/vcard
	/profiles/photo.do
	/profiles/audio.do
URL プレビュー	/connections/opengraph/basic/api/oembed
URL プレビュー	/connections/thumbnail/basic/api/imageProxy
Wiki	/wikis/basic/api
Wiki	/wikis/follow/atom

ブログ・アプリケーションとメール通知をサポートする動的 URL パターンを指定します。
1. dynurl.conf という名前の動的 URL 構成ファイルを作成します。 dynurl.conf ファイルは、オブジェクトからパターンへのマッピングを含むプレーン・テキスト・ファイルです。テキスト・エディターを使用して、以下の内容をファイルに追加してください。
  /blogs/blogsfeed /blogs/*/feed/*
  
  /blogs/blogsapi /blogs/*/api/*
  ファイルを webseal-instance-docroot/lib ディレクトリーに保存します。例:
  - AIX: /usr/Tivoli/PDweb/www-default/lib
  - Linux: /opt/Tivoli/PDweb/www-default/lib
  - Windows: C:¥Program Files¥Tivoli¥PDweb¥www-default¥lib
2. ステップ 7 a で定義したバイパス ACL を dynurl ACL に接続するには、pdadmin コマンド・ライン・ユーティリティーを開き、以下のコマンドを入力します。
  acl attach /WebSEAL/tam_server-WebSEAL_instance/blogs/blogsfeed ic-bypass-acl
  
  acl attach /WebSEAL/tam_server-WebSEAL_instance/blogs/blogsapi ic-bypass-acl>
  ここで:
  - tam_server は、Tivoli Access Manager サーバーのホスト名です。
  - WebSEAL_instance は、IBM Connections の管理のために構成された WebSEAL サーバーのインスタンスの名前 (例えば、default) です。
  - ic-bypass-acl は、以前に定義したアクセス制御リストの名前です。
  例:
  
  acl attach /WebSEAL/server.name.example.com -default/blogs/blogsfeed open
3. サイズが大きいブログ投稿を許可するには、webseald.conf ファイルを開いて、次のパラメーターを追加します。
  dynurl-allow-large-posts = yes
4. PDF ファイルのアップロードを可能にするには、webseald.conf ファイルに以下のパラメーターを追加します。
  suppress-dynurl-parsing-of-posts = yes
ホーム・ページ上のアクティビティー・ストリームを表示するには、SSL 証明書を TAM サーバーからノードにインポートする必要があります。
1. 「SSL 証明書および鍵管理」 > 「鍵ストアおよび証明書」 > 「NodeDefaultTrustStore」 > 「署名者証明書」に移動します。
2. ホーム・ページ・アプリケーションを再起動します。
注: ECM イベントが現れるようにするには、TAM 証明書を NodeDefaultTrustStore にインポートする必要があります。
TAM サーバーと WebSEAL サーバーが異なる場合は、証明書を WebSEAL サーバーからインポートする必要があります。
Connections Content Manager のために、FileNet Collaboration Services に対する一連の追加ステップを構成します。
1. プロパティーを追加するため、管理者は、構成ウィザードを実行する前に、FNCS のインストール・ディレクトリー内にある fncs-sitePrefs.properties ファイルを編集する必要があります。
  注: FNCS 2.0.0.1 の場合、fncs-sitePrefs.properties ファイルは <FNCS_HOME>/configmanager/profiles/ にあります。FNCS 2.0.3 の場合、fncs-sitePrefs.properties ファイルは <FNCS_HOME>/configure/explodedformat/fncs/WEB-INF/classes/ にあります。<FNCS_HOME> は FNCS のインストール・ディレクトリーです。
2. 以下のプロパティーを fncs-sitePrefs.properties ファイルの末尾のコメントの後に追加し、ファイルを保存します。
```
urlBaseService <your http url for the TAM and WebSeal proxy>/dm 
fncsServerURL <your http url for the TAM and WebSeal proxy>/dm 
fncsServerURLSecure <your https url for the TAM and WebSeal proxy> 
```
3. プロパティーを設定した後で、『Connections Content Manager 用の FileNet Collaboration Services の構成』にある手順を実行する必要があります。
webseald-server-name.conf ファイルを更新することにより、Tivoli Access Manager が HTTPS 経由でフォーム認証を使用するように構成します。次の行を [forms] スタンザに追加します。
forms-auth = https

注: HTTP のみの認証を指定することはできません。 HTTP と HTTPS の両方を指定するには、forms-auth = both という行を追加します。
(SPNEGO を使用する Tivoli Access Manager の場合は、このステップを実行しないでください) webseald-server-name.conf ファイル内の [ba] スタンザに以下の行を追加して、Tivoli の許可アクセス権を、埋め込み画面ガジェットに追加します。
ba-auth = none
webseald-server-name.conf ファイルに以下の行を追加して、コンテンツ・フィルターを構成します。
[filter-content-types]

type = text/xml

type = application/atom+xml

[script-filtering]

script-filter = yes

rewrite-absolute-with-absolute = yes
Tivoli Access Manager を、IBM Connections のリバース・プロキシーとして構成します。 webseald-server-name.conf ファイルを更新します。
次の行を [server] スタンザに追加します:

web-host-name = fully-qualified-host-name

次の行を [session] スタンザに追加します:

use-same-session = yes

WebSEAL インスタンスを停止して再起動します。
LotusConnections-config.xml 構成ファイルで、dynamicHosts 属性と interService の URL 属性の値を更新します。
1. 以下のコマンドを使用して、LotusConnections-config.xml ファイルをチェックアウトします。
  execfile("app_server_root/profiles/DMGR/bin/connectionsConfig.py")LCConfigService.checkOutConfig("working_directory","cell_name")
  注: 接続するサーバーを指定するようにプロンプトが出されたら、「1」と入力します。
  ここで:
  - working_directory は、編集中に構成ファイルが保存される一時作業ディレクトリーです。ファイル・パス内のディレクトリーを区切るにはスラッシュを使用します。これは、Microsoft Windows オペレーティング・システムを使用している場合も同じです。
  - cell_name は、IBM Connections アプリケーションをホスティングする WebSphere Application Server セルの名前です。この引数は、大/小文字の区別があります。セル名がわからない場合は、wsadmin クライアントで次のコマンドを入力してセル名を確認します。
    print AdminControl.getCell()
  例: LCConfigService.checkOutConfig("c:/temp","foo01Cell01")
2. 以下のコマンドを実行して、dynamicHosts 値を更新します。
  1. dynamicHosts を使用可能にします。
    
    LCConfigService.updateConfig("dynamicHosts.enabled","true")
  2. dynamicHosts.href 属性と dynamicHosts.ssl_href 属性の値に WebSEAL ホスト名を入力します。
    
    LCConfigService.updateConfig("dynamicHosts.href","http://WebSEAL_host")
    
    LCConfigService.updateConfig("dynamicHosts.ssl_href","https://WebSEAL_host")
    
    ここで、WebSEAL_host は、WebSEAL サーバーの完全修飾ホスト名です。
  注:
  - LotusConnections-config.xml ファイル内の各 href 属性には大/小文字の区別があり、完全修飾ドメイン・ネームを指定する必要があります。
  - WebSEAL サーバーと dynamicHosts 構成の完全修飾ホスト名は、同じでなければなりません。
3. (SPNEGO を使用する Tivoli Access Manager の場合は、このステップを実行しないでください) 以下のコマンドを実行して、interService URL の値を更新します。
  LCConfigService.updateConfig("application_interService_key","https://WebSEAL_host")
  ここで:
  - WebSEAL_host は、WebSEAL サーバーの完全修飾ホスト名です。
  - application_interService_key は、アプリケーションの href 属性であり、以下のアプリケーションが含まれます。
    - activities.interService.href
    - blogs.interService.href
    - communities.interService.href
    - dogear.interService.href
    - files.interService.href
    - forums.interService.href
    - help.interService.href
    - homepage.interService.href
    - mobile.interService.href
    - moderation.interService.href
    - news.interService.href
    - personTag.interService.href
    - profiles.interService.href
    - quickr.interService.href
    - sametimeLinks.interService.href
    - sametimeProxy.interService.href
    - search.interService.href
    - wikis.interService.href
4. 以下のコマンドを実行して、LotusConnections-config.xml ファイルをチェックインします。
  LCConfigService.checkInConfig()
注: wsadmin クライアントで connectionsConfig.py スクリプトを実行することによっても、このステップを完了できます。
ユーザーが IBM Connections からログアウトするときにシステムがどのような動作をするかを決定します。デフォルトでは、SSO 環境でユーザーが「ログアウト」をクリックしても、IBM Connections から完全にログアウトされることはありません。ログアウト後の動作を実装するように、IBM HTTP Server の httpd.conf 構成ファイルを編集してください。デフォルトで、このファイルは以下のディレクトリーにあります。
- AIX: /usr/IBM/HTTPServer/conf
- Linux: /opt/IBM/HTTPServer/conf
- Windows: C:¥IBM¥HTTPServer¥conf
/ibm_security_logout への要求を収集して /pkmslogout にリダイレクトするには、以下の再書き込みルールを httpd.conf ファイルに追加します。

RewriteEngine On

RewriteCond %{REQUEST_URI} /(.*)/ibm_security_logout(.*)

RewriteRule ^/(.*) /pkmslogout [noescape,L,R]

注: これらのルールは、HTTP エントリーと HTTPS エントリーの両方に追加する必要があります。

mod_rewrite を使用可能にする行の先頭にある # 記号を削除して、この行がコメント化されないようにします。例:

LoadModule rewrite_module modules/mod_rewrite.so

以下の例は、この手順で説明されている手順を実装した後の httpd.conf ファイルの代表的な部分を示します。

RewriteEngine On

RewriteCond %{REQUEST_URI} /(.*)/ibm_security_logout(.*)

RewriteRule ^/(.*) /pkmslogout [noescape,L,R]

LoadModule ibm_ssl_module modules/mod_ibm_ssl.so

<IfModule mod_ibm_ssl.c>

Listen 0.0.0.0:443

<VirtualHost *:443>

ServerName connections.example.com

SSLEnable

RewriteEngine On

RewriteCond %{REQUEST_URI} /(.*)/ibm_security_logout(.*)

RewriteRule ^/(.*) /pkmslogout [noescape,L,R]

</VirtualHost>

</IfModule>

SSLDisable
httpd.conf ファイルに ErrorDocument 500 ステートメントを追加します。このステートメントは、IBM Connections アプリケーションが使用できなくなった場合に、ユーザーのブラウザーに表示されます。
httpd.conf ファイルを保存して閉じます。
IBM HTTP Server を再起動します。
(SPNEGO を使用する Tivoli Access Manager の場合は、このステップを実行しないでください) LotusConnections-config.xml ファイルを編集して、Tivoli Access Manager オーセンティケーター・プロパティーを追加します。
1. 以下のコマンドを使用して、構成ファイルをチェックアウトします。
  - execfile("app_server_root/profiles/DMGR/bin/connectionsConfig.py")
    
    注: 接続するサーバーを指定するようにプロンプトが出されたら、「1」と入力します。
    
    LCConfigService.checkOutConfig("working_directory","cell_name")
  ここで:
  - app_server_root は、WebSphere Application Server のインストール・ディレクトリーです。
  - DMGR はデプロイメント・マネージャーのプロファイル名です。例: Dmgr01
  - working_directory は、編集中にこれらの構成 XML と XSD ファイルのコピーされる一時作業ディレクトリーです。ファイル・パス内のディレクトリーを区切るにはスラッシュを使用します。これは、Microsoft Windows オペレーティング・システムを使用している場合も同じです。
  - cell_name は、IBM Connections アプリケーションをホスティングする WebSphere Application Server セルの名前です。この引数は、大/小文字の区別があります。セル名がわからない場合は、wsadmin クライアントで次のコマンドを実行してセル名を確認します。
    - print AdminControl.getCell()
  例:
  
  LCConfigService.checkOutConfig("c:/temp","foo01Cell01")
2. Tivoli Access Manager 用のサーバー間認証をサポートするように、カスタム・オーセンティケーターを構成します。
  LCConfigService.updateConfig("customAuthenticator.name",
  
  "TAMAuthenticator")
3. 次のステップが完了するまで、ファイルを開いたままにします。
(SPNEGO を使用する Tivoli Access Manager の場合、このステップは実行しないでください) IBM Connections の Cookie のタイムアウト値を以下の手順で構成します。
1. LotusConnections-config.xml ファイルで CookieTimeout 属性を探します。この属性が存在しない場合は、<customAuthenticator name="TAMAuthenticator"> エレメントにこの属性を追加してください。
2. CookieTimeout 属性の値を、Tivoli Access Manager で構成した最大タイムアウトとアイドル・タイムアウトの値以下の数値に設定します (分単位)。
  注: 実稼働環境が作動可能である場合は、AllowSelfSignedCerts パラメーターを false に設定します。
  
  注: このパラメーターが LotusConnections-config.xml ファイル内にまだ指定されていない場合は、このパラメーターを追加してください。テキスト・エディターでこのファイルを開き、customAuthenticator エレメントにパラメーターを追加します。
3. 変更を保存します。
4. 以下のコマンドを実行して、LotusConnections-config.xml ファイルをチェックインして戻します。
  LCConfigService.checkInConfig()
LotusConnections-config.xml ファイルの cookie タイムアウト属性の値は、 webseald-server-name.conf ファイルのタイムアウトと非アクティブ・タイムアウト属性の値よりも小さくなくてはなりません。これらの値を webseald-server-name.conf ファイルの [session] スタンザで確認し、必要に応じてそれらを編集してください。
注: Tivoli Access Manager 構成ファイルのタイムアウト・パラメーターの値は秒数で指定されますが、LotusConnections-config.xml ファイルの CookieTimeout 値は分数で指定されます。

以下の例を参考にしてください。

# 資格情報キャッシュ内のエントリーの最大存続時間 (秒数)

# これをゼロに設定すると、キャッシュ内のエントリーは、

# max-entries で指定された数のエントリーがキャッシュに入るまで、期限切れにならずに保持されます。その状態に達した後は、

# 最長未使用時間アルゴリズムに基づいてエントリーの有効期限が切れます。

timeout = 3600

# 資格情報キャッシュ内の非アクティブ・エントリーの存続時間 (秒数)。

# 無効にするには、0 に設定します。

inactive-timeout = 600
Tivoli Access Manager 証明書を WebSphere Application Server トラストストアにインポートします。詳しくは、『WebSphere トラストストアに証明書を追加する』トピックを参照してください。
クラスターを再起動します。そのためには、すべてのアプリケーション・サーバーとすべてのノードを停止してから、デプロイメント・マネージャー、すべてのノード、すべてのアプリケーション・サーバーを再起動します。