intra-mart Accel Platform 2014 Winter(Iceberg) / Release Note 初版 2014-12-01

目次 ≪  8.3.1. 菜单 8.3.3. 许可  ≫

8.3.2. IM-HybridSSO ・外部菜单联动

8.3.2.1. 若要使用外部菜单联动功能,推荐进行单点登录认证。

  • 为了使用外部菜单联动功能来从菜单访问需要认证的外部网站,需事先进行登录。
    若要对管理各网站的认证进行管理,需另行引进单点登录产品并进行单点登录认证。
    另外,在 intra-mart Accel Platform 和 iWP / iAF v7.2 之间
    可通过 2014 Summer(Honoka) 使用实现单点联动的功能( IM-HybridSSO )。
    详情请参照“安装指南 ” 的“iAP-iWP间SSO联动(IM-HybridSSO) ”章节的说明。
    若未进行单点联动认证,则会发生下述限制事项。

    • 即使访问从菜单供应者方取得的菜单,也无法自动登录。

      • 若相应页面有权限设定,则会显示错误页面。
        虽有也可从错误页面跳转到登录画面并进行登录操作,但由于浏览器的设定及环境等因素有可能发生无法正常登录的情况。
      • 另外,当菜单供应者(MenuProvider)是 intra-mart Accel Platform 时,
        在显示菜单供应者一方的登录画面阶段,菜单客户端一方的全局浏览无法显示。

    • 由于是分别登录到菜单客户端和菜单供应者方,因此无法保证为相同用户。

      • 用外部菜单联动取得的菜单信息是与登录到菜单客户端的用户相关的信息。
      • 即使用其他用户登录到菜单供应者,由于无法从画面上进行判断,因此可能发生错误操作的情况。

    • 即使从菜单客户端退出登录,菜单供应者方也无法自动退出登录。

      • 通过直接登录到菜单供应者方,可保持登录状态进行访问。
    关于外部菜单联动的详情,请参照“安装指南 ” 的“外部菜单联动(|common_im_hybrid_sso|) ”章节的内容。

8.3.2.2. 通过外部菜单联动所取得对象的用户代码必须与取得源的用户代码相同。

  • 外部菜单联动功能会使用登录到取得源的用户的用户编码来获得取得目标处的菜单信息。
    因此,取得源与取得目标的用户编码必须一致。

8.3.2.3. 外部菜单联动功能有可能不显示最新的菜单。

  • 1. 若在运行中对联动目标服务器的菜单进行了编辑,最新的菜单将不会显示。
    2. 取得菜单信息时,若由于网络错误等原因暂时无法访问联动目标服务器,
    则不用获取外部菜单信息,便可显示菜单。
    • 即使可以访问联动目标服务器,也无法重新获取菜单信息。
    部分菜单为了实现显示高速化,会缓存信息。
    因此,会发生上述1、2的现象,并发生有的用户可以显示外部菜单信息,而有的用户无法显示外部菜单信息的情况。
    若发生上述情况,可采取下述解决方法。
    使用菜单设定画面的“缓存清空”功能来清空菜单的缓存。
    关于菜单设定画面,请参看“Tenant管理操作指南”的“设定菜单”项目。
    另外,对于点击菜单后要跳转到的画面,若没有执行权限,
    由于即使点击所显示的菜单,也会显示403错误而无法访问,
    所以不会产生安全问题。

8.3.2.4. 自动登录功能不支持iAP-iWP间SSO联动模块( IM-HybridSSO )的注销联动。

  • 自动登录功能不支持iAP-iWP间SSO联动模块( IM-HybridSSO )的注销联动。

    IM-HybridSSO 的注销联动功能在显示登录画面时实施。
    因此,不经过登录画面进行认证的自动登录功能不支持 IM-HybridSSO 的注销联动。
    关于自动登录功能,请参照“安装指南 ”的“使用自动登录功能时 ”。

8.3.2.5. 在快捷方式的URL上访问时,无法通过 IM-HybridSSO 进行登录。

  • 访问用外部菜单联动获得的外侧菜单时,IM-HybridSSO 的认证信息必不可少。
    IM-HybridSSO 的认证信息可在已通过 intra-mart Accel Platform 的登录画面登录时设定。
    在快捷方式的URL上访问时,某些类型可以不通过登录画面直接跳转至所需的画面上。
    (相当于以下情况:允许显示的用户数为1人,而且已访问过无需登录认证的快捷方式的URL。)
    此时,由于无法进行 IM-HybridSSO 的登录,因此在外部菜单联动上获得的外部菜单会显示在画面上
    即使点击对应的菜单也无法访问。
    这种现象可通过重新登录 intra-mart Accel Platform 来避免。
    另外,在已登录 intra-mart Accel Platform 时,由于残留 IM-HybridSSO 的认证信息,因此可访问外部菜单。

8.3.2.6. 使用Web服务器或负载均衡器时,需要将请求URL的context路径和 iWP / iAF 的context路径设定成一样的。

  • 使用Web服务器或负载均衡器时,需要将请求URL的context路径和 iWP / iAF 的context路径设定成一样的。

    用外部菜单联动创建的菜单信息的URL将会以如下2个信息为基础生成。
    ・iWP / iAF 的 parameter.xml 的“im.web_server.url”指定的URL
    ・iWP / iAF 的context路径
    因此,如果已通过Web服务器或负载均衡器替换了context路径部分,
    则无法从外部菜单正确访问。

    例如,在已使用 Apache 模块“mod_proxy”,而且 iWP / iAF 的 context路径为“/imart”时,
    如下所示,须将本地虚拟路径的名称设定为“/imart”。
    ProxyPass /imart http://backend.example.com/imart

8.3.2.7. 在 IM-HybridSSO 连接过程中,如果更改 iWP / iAF 的密码,SSO连接会被解除。

  • 在 IM-HybridSSO 连接信息中,由于包含已作为 iWP / iAF 上的用户密码源的不可逆信息,因此在登录 intra-mart Accel Platform 之后一直到最初访问 iWP / iAF 画面之前,如果登录用户的 iWP / iAF 上的密码发生变更,由于 IM-HybridSSO 的连接信息不正确,因此无法进行SSO连接。

8.3.2.8. 不支持多个SSO认证供应商与同一个SSO服务供应商联动的结构。

  • 如果已设定从多个SSO认证供应商( intra-mart Accel Platform )访问同一个SSO服务供应商( iWP / iAF ),由于 iWP / iAF 的会话信息会被覆盖,因此无法保证正常动作。

8.3.2.9. 使用外部菜单联动功能时,若发生了会话故障转移,有可能出现无法访问的情况。

  • “由于请求信息不正确,无法显示指定页面。”
    这是因为用外部菜单联动功能在菜单信息上附加了签名,并执行签名检查的缘故。
    签名信息分别保持在各服务器上。
    若发生错误,请访问外部菜单以外的页面,将菜单信息更新为最新版本。

8.3.2.10. 不支持SSO认证供应商与同一个 iWP / iAF 内的多个登录组别进行SSO联动的结构。

  • 已设定为SSO认证供应商( intra-mart Accel Platform 内的1个Tenant)与同一个 iWP / iAF 内的多个登录组别进行SSO联动时,由于 iWP / iAF 的会话信息可能会被覆盖,因此通过访问各自的登录组别菜单无法保证正常动作。

8.3.2.11. 构成 IM-HybridSSO 的服务器必须全部构建在同一个Domain上。

  • 因此,为了使浏览器可以读取 Cookie,请将 intra-mart Accel Platform 及 iWP / iAF 当作同一主机上的不同context路径构建,或者构建在用子Domain区分的主机上。
    例) 用子Domain区分的主机时
    ・Domain: intra-mart.jp
    ・SSO认证供应商: iap.intra-mart.jp
    ・SSO服务供应商1: iwp1.intra-mart.jp
    ・SSO服务供应商2: iwp2.intra-mart.jp

8.3.2.12. 无法将 iWP / iAF 当作“SSO认证供应商”使用,也无法将 intra-mart Accel Platform 当作“SSO服务供应商”使用。

  • IM-HybridSSO 不支持以下结构。
    ・ 登录 iWP / iAF,与其他SSO服务供应商进行SSO联动。
    (将 iWP / iAF 当作“SSO认证供应商”使用)
    ・ 在 intra-mart Accel Platform 之间进行SSO联动。
    (将 intra-mart Accel Platform 当作“SSO服务供应商”使用)

8.3.2.13. IM-HybridSSO 是一种可通过 intra-mart Accel Platform 和 iWP / iAF 实现简易单点登录的功能。

  • 需要进行认证ID的统一管理或使用 iWP / iAF 以外的SSO服务供应商时,请使用支持必要功能的单点登录产品。

8.3.2.14. 在已安装iAP-iWP间SSO联动模块( IM-HybridSSO )的环境下,无法更改注销后的跳转目标画面。

  • 在intra-mart AccelPlatform上,尽管可通过在注销时指定请求参数“im_url”来更改注销后的转移目标画面,但在已安装iAP-iWP间SSO联动模块( IM-HybridSSO )的环境下,无法使用该功能。
    注销时即使指定跳转目标的URL,也会跳转到登录画面。
    关于请求参数“im_url”的详情,请参照以下内容。
    请参照“设定文件参考 ”的“请求参数名称 ”。

目次 ≪  8.3.1. 菜单 8.3.3. 许可  ≫

Copyright © 2014 NTT DATA INTRAMART CORPORATION

⇄ Sidebar Top