intra-mart Accel Platform 2015 Winter(Lydia) リリースノート 第2版 2016-01-08

intra-mart Accel Platform 2015 Winter(Lydia) リリースノート 第2版 2016-01-08

目次 ≪  8.2.3. システム管理 8.2.5. クライアントブラウザ  ≫

8.2.4. 認証機能

8.2.4.1. 認証確認対象の画面には、IFRAME 内に表示する前提の画面のURLは設定できません。

  • 認証確認対象の画面には、IFRAME 内に表示する前提の画面のURLは設定しないでください。
    IFRAME 内に表示する前提の画面のURLを、認証確認対象の画面とした場合、IFRAME 内に認証確認画面が表示されます。
    その後認証確認に成功すれば正常に画面が表示されますが、失敗した場合エラー画面はWindow全体に表示されるため、
    IFRAME が削除されてしまいます。
    そのためその後の認証確認に成功しても、ヘッダの無いテーマの画面となります。

8.2.4.2. 処理完了のメッセージが表示される前に、認証確認画面が表示される場合があります。

  • 「シェアードデータベース設定」を例にして説明します。
    認証確認が再度必要になる時間を、「5分」に設定していたとします。
    以下のような処理・画面遷移を行った際、1. から 4. の間に5分経過していた場合、4の時点で、再度、認証確認が表示されます。
    1. 「シェアードデータベース一覧」画面から[新規登録]を押下。
    2. 「シェアードデータベース登録」画面に遷移。
    3. 「シェアードデータベース登録」画面で、情報を入力し、[登録]を押下。
    4. 「シェアードデータベース一覧」画面に遷移し、処理成功のダイアログが表示される。
    ユーザの視点(=画面上に表示されている情報だけ)では、処理成功のダイアログが表示されていない為、
    まだ処理が終わっていないことになります。
    処理が終わっていないにも関わらず、認証確認画面が表示されるのは正しくありません。
    ただし、処理の失敗や情報の欠落等は発生しないので、運用上の問題となることはありません。

8.2.4.3. ログイン画面を表示したまま暫く放置するとログインが行なえなくなります。

  • ログイン画面を開いた後にセッションがタイムアウトになると必ずログインに失敗します。
    認証処理では、ログイン画面でセッションに格納されたセキュア・トークンの整合性をチェックしています。
    セッションがタイムアウトになるとセキュア・トークンが見つからないためにこの現象が発生します。
    この現象を回避するには、以下のいずれかを行ってください。
    ・再度ログイン画面を表示してください。
    ・設定方法は、 「セットアップガイド 」-「自動ログイン機能を利用する場合 」 を参照してください。

8.2.4.4. パスワード期限切れ変更画面に直接アクセスした場合、不適切なメッセージが表示されます。

  • ログインユーザが以下のURLに直接アクセスした場合、パスワード期限切れ変更画面が表示されます。
    • http://<HOST>:<PORT>/<CONTEXT_PATH>/user/password/expire
    その際、画面上に以下のメッセージが表示されていますが、実際には有効期限は切れていません。
    • 「パスワードの有効期限が切れています。」
    • 「初回ログインです。」(初回ログインの場合)
    なお、この画面にアクセスした時点でログアウト状態となります。
    また、パスワードを入力して「変更」ボタンをクリックした場合、正常にパスワードの変更が行われます。
    パスワード変更後、パスワード期限切れ変更画面を表示したユーザで再ログインします。

8.2.4.5. SSO(SingleSignOn)環境での注意点があります。

  • intra-mart Accel Platform が SSO環境で運用している場合
    intra-mart Accel Platform のログイン画面を経由したログインはサポートしません。
    ログイン画面は表示されますが、ログイン画面からログインしたユーザにかかわらず、
    SSOで指定されたユーザで自動ログインします。
    なお、SSO環境では、任意のURLに対して、自動ログインを行いますので、
    ログイン画面を利用する必要はありません。

8.2.4.6. 画面アクセス時にInvalidClassExceptionエラーが発生する場合があります。

  • 2012 Winter 以前の war を運用し、かつセッションフェイルオーバー等でセッションが永続化されている状態で、war を 2013 Spring 以上のバージョンに更新後画面表示を行うと、下記のエラーが発生します。
    java.io.InvalidClassException: jp.co.intra_mart.system.security.certification.sso.SSOContextCachingStrategyAdapterImpl; local class incompatible: stream classdesc serialVersionUID = 539561492263087033, local class serialVersionUID = -6392005577997211593
    一度セッションタイムアウトやログアウト等によりセッションを再作成することにより、回避することができます。

8.2.4.7. リクエスト情報を利用したテナント自動解決機能が有効な場合、システム管理者のログインに失敗すると、アクセスできなくなる場合があります。

  • 以下の条件を全て満たす場合、システム管理者のログインに失敗すると HTTP500エラーが発生します。

    ・リクエスト情報を利用したテナント自動解決機能が有効
    ・テナントID必須チェックが有効
    ・テナント自動解決ができないURLを利用してシステム管理者ログイン画面にアクセスした場合

    この事象が発生すると、ログイン画面に戻る為のボタンが表示されなくなります。
    本現象が発生した場合は、再度ログイン画面を表示してください。

    また、以下の条件を全て満たす場合は、システム管理者のログインに失敗すると、正常に認証エラー画面に遷移しますが、2回目のログインに失敗します。
    (「ログイン画面に戻る」をクリックしてログイン画面に遷移すると、リクエストURLが変更されるため、ログイン時に HTTP403エラーが発生します)

    ・リクエスト情報を利用したテナント自動解決機能が有効
    ・ テナントID必須チェックが無効
    ・server-context-config.xml に設定したベースURLとデフォルトテナントに設定したベースURLが異なる
    ・server-context-config.xml に設定したベースURLを利用してシステム管理者ログイン画面にアクセスした場合

    本現象が発生した場合は、 server-context-config.xml に設定したベースURLを利用して再度ログイン画面を表示してください。

    なお、上記2つの事象は、正しいユーザコード、パスワードを入力した場合には発生しません。

8.2.4.8. 統合Windows認証利用時には、システム管理画面で認証ダイアログが表示される場合があります。

  • imuiListTable などの Ajax 通信等により、 ブラウザがシステム管理機能以外のURL(/system/ 以外の URL)にリクエストを送信してしまうためです。
    認証ダイアログが表示された場合は、利用している端末のWindowsにログインしているユーザとパスワードを入力してください。

8.2.4.9. ログインセッション管理・二重ログイン防止機能の対象外となる認証処理があります。

  • 以下の機能における認証処理では、二重ログイン防止機能は動作しません。
    ログインセッション情報の登録状況は以下の通りです。
    機能名 ログインセッション情報
    統合Windows認証(※1)
    登録される
    IM-SecureSignOn(※1)
    登録される
    LDAP認証(※2)
    登録されない
    Webサービス
    登録されない
    外部ソフトウェア連携
    登録されない
    OAuth認証
    登録されない
    ※1
    統合Windows認証、IM-SecureSignOnだけでなく、SSOユーザコードプロバイダを利用したSSO自動ログイン処理を行っている箇所も該当します。

    ※2
    LDAP認証は、以下の方法でログインセッションの登録、および、二重ログイン防止機能を動作させることが可能です。
    認証プログラミングガイド」 - 「個別に作成した認証プロバイダで二重ログイン防止機能を実現する方法

8.2.4.10. 同時に複数のブラウザから同じユーザでログインを行った場合、二重ログインチェックが正しく行われないことがあります。

  • ログインセッション情報はログイン処理実行後に登録されるため、同時に複数のブラウザからログイン処理が行われた場合、
    ログインセッション情報が登録される前に二重ログインチェックを通過してしまうため、チェックが正しく行われないことがあります。

8.2.4.11. 統合Windows認証利用時にログインに失敗することがあります。

  • Windowsではユーザコードの大文字・小文字を区別しない仕様であるため、統合Windows認証が返却するユーザコードは大文字、小文字が不定になります。
    intra-mart Accel Platform では、ユーザコードの大文字・小文字を区別するため、場合によってはログインできず、HTTP 500 エラーになります。

8.2.4.12. 認証確認対象のURLには、Ajaxでアクセスする前提のURLは設定できません。

  • 認証確認対象のURLには、Ajaxでアクセスする前提のURLは設定しないでください。
    認証確認機能は、画面遷移を伴う機能です。
    Ajax のように画面遷移を伴わないリクエストでは、認証確認後に再度リクエストを送信することができないため、利用できません。

8.2.4.13. 統合Windows認証 / IM-SecureSignOn for Accel Platform をインストールした環境では、OAuth認証モジュールを利用する事はできません。

  • intra-mart AccelPlatform では、OAuth認証モジュールをインストールすることでOAuth 2.0を利用する事が可能です。しかし、統合Windows認証 / IM-SecureSignOn for Accel Platform をインストールした場合には利用する事ができません。
    OAuth認証モジュールを利用する場合は、該当する認証とは別に標準ログイン画面を経由する必要があります。

8.2.4.14. IM-SecureSignOn for Accel Platform をインストールした環境では、Web API Maker を利用する事はできません。

  • IM-SecureSignOn for Accel Platform をインストールした環境では、Web API Makerの一部の機能を利用する事はできません。該当の環境では、Basic認証、OAuth機能を利用したAPIが利用できません。

8.2.4.15. 統合Windows認証 をインストールした環境では、Web API Makerの一部の機能を利用する事はできません。

8.2.4.16. IM-SecureSignOn for Accel Platform をインストールした環境では、Basic認証を利用した IM-LogicDesigner のREST API を利用する事はできません。

  • IM-LogicDesigner では、ロジックフローをREST IM-LogicFlowでは、ロジックフローをREST APIとして公開することが可能です。公開する際に、Basic認証を利用するREST APIとして設定することが可能ですが、 IM-SecureSignOn for Accel Platform をインストールした環境では、Basic認証を利用するREST APIを実行出来ません。

8.2.4.17. 統合Windows認証 をインストールした環境では、Basic認証を利用した IM-LogicDesigner のREST API を利用する事はできません。

  • IM-SecureSignOn for Accel Platform では、ロジックフローをREST APIとして公開することが可能です。公開する際に、Basic認証を利用するREST APIとして設定することが可能ですが、統合Windows認証 をインストールした環境では、標準ではBasic認証を利用するREST APIを実行出来ません。
    リクエスト時に統合Windows認証機能を無効化するオプションを付与することで、Basic認証を利用するREST APIを実行することが可能です。

    リクエスト時に統合Windows認証機能を無効化する方法については、「intra-mart Accel Platform セットアップガイド」の「統合Windows認証機能をリクエストに応じて無効化するには」を参照してください。

8.2.4.18. 統合Windows認証のユーザ認証に失敗した際にリダイレクトされない場合があります。

目次 ≪  8.2.3. システム管理 8.2.5. クライアントブラウザ  ≫

Copyright © 2015 NTT DATA INTRAMART CORPORATION

⇄ Sidebar Top