Introduction

はじめに

In many large web sites, it is desireable to recognize an authenticated user the first time that he or she tries to access a protected area in any web application, and then recognize that authenticated user across other web applications in the same environment without requiring the user to log in again. Tomcat supports that capability if it is configured as described in this document.

大多数のWebサイトでは、どのWebアプリケーションでも、最初に保護された場所にアクセスしようとするとユーザ認証が行なわれ、それからユーザーを再度認証する必要なくもう一度同じ環境において他のWebアプリケーションを横断して認証されたユーザーを認識することは望まれる。 この文書で記述されるように構成されるならば、Tomcatはその機能をサポートします。

Configuration Requirements

構成必要条件

To successfully configure Tomcat for "single sign on" support, the following requirements must be taken into account:

「シングル・サイン・オン」をサポートしたTomcatの設定を成功させるためには、以下の必要条件がアカウントに利用されなければなりません:

• All clients that intend to utilize "single sign on" support must provide support for cookies, which are used to maintain the user identity across web applications.
• As implemented in Tomcat, the scope of "single sign on" support is the entire set of web applications registered with a single virtual host.

• 「シングル・サイン・オン」を利用しようとする全てのクライアントは、 クッキーをサポートする必要があります。クッキーはWebアプリケーションを 横断してユーザ確認を維持するために使用されます。
• Tomcatでの実装では、「シングル･サイン･オン」のサポート範囲は、 単一の仮想ホストに登録されているWebアプリケーションのすべての組に適用されます。

The system administrator must configure the $CATALINA_HOME/conf/server.xml file as follows to enable "single sign on" support:

システム管理者は、「シングル・サイン・オン」サポートを有効にするために $CATALINA_HOME/conf/server.xmlファイルを以下のように設定しなければなりません。

• At the <Engine> or <Host> level, configure a <Realm> element that defines the database of valid users and their corresponding roles. In the default configuration shipped with Tomcat, this is done at the Engine level.
• <Engine> または <Host> レベルにおいて、 正しいユーザとそれらに関連したロールの<Realm> 要素を設定する。 Tomcat出荷時のデフォルト設定は、Engineレベルで行なわれる。
• You MUST NOT configure a <Realm> element inside one of the <Context> elements describing the web applications associated with this virtual host.
• この仮想ホストに関連したWebアプリケーションの<Context> 要素で記述しているうちの内部で<Realm>要素の設定をしては ならない
• Nested inside the <Host> element, you must include the following element:

          <Valve class="org.apache.catalina.authenticator.SingleSignOn"/>
      

• <Host> 要素の中で入れ子になっている、以下の要素を含めなければならない。

          <Valve class="org.apache.catalina.authenticator.SingleSignOn"/>
      

• Each web application that wishes to operate under the "single signon support" environment should define appropriate <security-constraint> and <login-config> elements. The former elements are used to identify portions of the application's URI space that are to require user authentication, and the latter element is used if this application is the first one accessed by the user that requires the user to log in.
• 「シングル・サイン・オン・サポート」環境でWebアプリケーションを動作させるためには、 適切な<security-constraint> および <login-config> 要素を定義しなければならない。前者の要素がユーザー認証を必要とするアプリケーションのURI場所の部分を確認するために使われます、そして、後者の要素は、このアプリケーションがユーザーに記録することを要求するユーザーによってアクセスされる最初のものであれば使われます。
• There are no restrictions on different web applications utilizing different authentication methods.
• 制限が、異なる認証メソッドを利用している異なるWebアプリケーションにありません。

Security Considerations

セキュリティ考慮

Because the "single signon support" implementation utilizes cookies to maintain use identity across applications, the same risks of information exposure apply here as when cookies are used to maintain session identity within a single web application. If you are concerned that attackers may try to impersonate an ongoing session, you should run across a secure network connection (such as an SSL connection using the https protocol).

「シングル・サインオン・サポート」実装は、アプリケーションを横断してユーザの識別を維持するためにクッキーを利用するので、クッキーがある時が一つのWebアプリケーションの範囲内でセッション独自性を維持するので、情報露出の同じ危険はここであてはまります。 あなたが心配するならば、その攻撃者は進行中のセッションに扮しようと試みるかもしれません、あなたはセキュアなネットワーク接続（例えばhttpsプロトコルを使っているSSL接続）を横断して実行するはずです。