複数のログイン経路を用意したい

2023年8月31日2024年3月23日テクニカルメモ

WebFOCUS Clientでセキュリティゾーンの設定を行うことで、条件や環境に応じたログイン方法を用意することが可能です。

SSO有効時に発生する管理者用IDの課題

初期設定では、WebFOCUSログイン時の認証方式としてID/パスワードの手入力による「フォームベース認証」でのログイン操作を行いますが、SSOとの連携設定を行うことでアクセスするすべてのユーザに対して事前認証を実現できます。

しかし、WebFOCUSのセキュリティセンターで管理者用のIDを個別で設定している場合、フォームベース認証も併せて利用したいという課題が発生します。

---

別の認証ルートの検討

SSOで不特定多数のユーザーのログインを簡略化しつつ、セキュリティセンターで登録したIDを用いたフォームベース認証を並行して運用することが可能です。
SSOとフォームベース認証の並行運用実現には、主に2つの方法があります。

SSOとフォームベース認証を同時に有効化する（SSO+フォームベース認証）

フォームベース認証画面を表示できる条件を指定する（SSO or フォームベース認証への分岐）

SSOとフォームベース認証を同時に有効化する

事前認証によるSSOをしつつ、フォームベース認証用のURLも有効にする方法です。
この方法では、フォームベース認証用のURLである[～/ibi_apps/signin]にアクセスし、任意のIDでログインします。

認証方法の設定

[フォームベース認証]にチェックを入れて、右側のメニューより保存しログアウトします。
アプリケーションサーバを再起動することで設定が反映されます。

フォームベース認証の確認

ブラウザのアドレス欄に[ http://xxxxxx/ibi_apps/signin ]と入力し、下記のフォームベース認証画面が表示されれば設定は完了です。

この方法でフォームベース認証画面を用意する場合、SSOが失敗したときにリダイレクトが発生し、次点の認証方法としてフォームが表示される動作となります。ユーザにフォームベース認証の画面を見せたくない場合には代替認証をご利用ください。

フォームベース認証を表示できる条件を指定する

この方法では、代替認証の設定を行います。特定のIPアドレスからの接続のみフォームを表示し、それ以外のIPアドレスからの接続にはSSOを用いることでアクセス経路の制御を行います。

認証方法の設定

[認証]にて[フォームベース認証]にチェックを入れ、続いて[リクエスト一致]を設定します。
本稿でご紹介する方法では代替認証を使う端末のIPアドレスを登録します。
右のメニューの[追加]よりIPアドレスを登録してください。

セキュリティゾーンの有効化

設定した代替認証を有効化するためには、[セキュリティゾーン]より有効化する必要があります。

設定後、右側のメニューより保存しログアウトします。
アプリケーションサーバを再起動することで設定が反映されます。

フォームベース認証の確認

代替認証に設定したIPの端末にて、ブラウザのアドレス欄に[ http://xxxxxx/ibi_apps/ ]と入力します。[ http://xxxxxx/ibi_apps/zone/signin ]に向けリダイレクトが動作し下記のフォームベース認証画面が表示されれば設定は正しく反映されています。