Cisco Unified Communications Manager, Release 9.0(1) IM and Presence サービス導入ガイド
シングル サインオンの設定
シングル サインオンの設定
発行日;2013/02/06   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

シングル サインオンの設定

シングル サインオン

シングル サインオン(SSO)機能を使用すると、エンド ユーザは Windows にログインし、再びサインインせずに次の IM and Presence アプリケーションを使用できます。
  • Cisco Unified CM IM and Presence のユーザ オプション
  • Cisco Unified CM IM and Presence の管理
  • Cisco Unified IM and Presence のサービスアビリティ
  • Cisco Unified IM and Presence のレポート
  • IM and Presence のディザスタ リカバリ システム
  • Cisco Unified IM and Presence の Real-Time Monitoring Tool(RTMT)
  • Cisco Unified IM and Presence オペレーティング システムの管理

シングル サインオンのシステム要件

SSO 機能では、次のサードパーティ アプリケーションが必要です。
  • Microsoft Windows Server 2003 または Microsoft Windows Server 2008
  • Microsoft Active Directory
  • ForgeRock Open Access Manager(OpenAM)バージョン 9.0

(注)  


SSO 機能は、Active Directory と OpenAM を組み合わせて使用ることにより、クライアント アプリケーションへの SSO アクセスを提供します。


これらのサードパーティ製品は、次の設定要件を満たす必要があります。

  • Active Directory は、LDAP サーバとしてではなく、Windows ドメインベースのネットワーク設定で導入される必要があります。
  • OpenAM サーバは、ネットワーク上においてすべてのクライアント システムおよび Active Directory サーバからアクセスできなければなりません。
  • Active Directory(ドメイン コントローラ)サーバ、Windows クライアント、IM and Presence、および OpenAM は、同じドメイン内に存在する必要があります。
  • DNS をドメイン内で有効にする必要があります。
  • サードパーティ製品は、IM and Presence サーバにインストールされていない場合があります。
  • SSO に参加するすべてのエンティティのクロックを同期させる必要があります。

詳細については、サードパーティ製品のマニュアルを参照してください。

Java のインストール

シングル サインオン設定のタスクフローの一部として Java をインストールする必要があります。 この章で使用されるデフォルトのキーストア パスワード「changeit」を選択したキーストア パスワードに置き換えることができることに注意してください。このパスワードを置き換える場合は、この章の残りの部分で「changeit」が使用されている場所で新しいパスワード必ずを引き続き使用する必要があります。

Linux プラットフォームを使用した Java のインストール

OpenAM サーバに Java SDK をインストールします。

手順
    ステップ 1   http:/​/​www.oracle.com/​technetwork/​java/​javase/​downloads/​index.html から Java の最新バージョンをダウンロードします。
    ステップ 2   ダウンロードしたファイルを実行して Java をインストールします。
    ステップ 3   ユーザ プロファイル(.bash_profile)で JAVA_HOME および JRE_HOME 環境変数を定義します。 次に例を示します。

    例:
    export JAVA_HOME=/usr/java/jdk1.7.0_07 (or whatever version is being used)
    export JRE_HOME=/usr/java/jdkl.7.0_07/jre
    ステップ 4   Java キーストアを作成します。Tomcat で SSL を有効にするには、Java キーストアが必要です。
    ステップ 5   端末で次のコマンドを実行します。 デフォルトのキーストア パスワードは changeit です。

    例:
    '$JAVA_HOME/bin/keytool -genkey -alias tomcat -keyalg RSA -validity 1825 -ext BC:c=ca:true'

    keytool コマンドで -ext オプションを指定するには、Java JDK 7 が必要です。 上記の値の -ext オプションを使用すると、Tomcat 証明書の CA フラグが true に設定されます。 CA フラグを true に設定しなければ、Cisco Unified OS の管理インターフェイスは tomcat-trust 信頼ストアに証明書をできない可能性があります。 詳細については、IM and Presence への OpenAM 証明書のインポートを参照してください。

    上記のアプローチの代わりに、Tomcat インスタンスに CA 署名付き証明書を使用することもできます。 Tomcat のマニュアル(http:/​/​tomcat.apache.org/​tomcat-7.0-doc/​ssl-howto.html)では、認証局からの証明書をインストールする方法の詳細を提供します。

    ステップ 6   姓と名を入力するよう求められたら、OpenAM サーバの FQDN(hostname.domainname)を入力します。

    また、組織ユニット名、組織名、市または地域、都道府県、および 2 文字の国番号を入力するよう求められます。

    ステップ 7   Tomcat パスワードの入力を求められたら、デフォルトのキーストア パスワード changeit を入力します。

    キーストアはルート ディレクトリの下に作成されます。


    Windows プラットフォームを使用した Java のインストール

    手順
      ステップ 1   http:/​/​www.oracle.com/​technetwork/​java/​javase/​downloads/​index.html から Java の最新バージョンをダウンロードします。
      ステップ 2   ダウンロードしたファイルを実行して Java をインストールします。
      ステップ 3   Java キーストアを作成します。

      Tomcat で SSL を有効にするには、Java キーストアが必要です。

      ステップ 4   コマンド プロンプトを開き、次のコマンドを実行します。

      例:
      C:\>"c:\Program Files\Java\jdkl.7.0_07\bin\keytool.exe" -genkey -alias
      tomcat -keyalg RSA -validity 1825 -keystore c:\keystore -ext BC:c=ca:true'

      このテスト設定では、Java は c:\Program Files\Java の下にインストールされます。 このコマンドを実行するときに、設定で keytool.exe の右側のパスを入力します。 デフォルトのキーストア パスワードは changeit です。

      keytool コマンドで -ext オプションを指定するには、Java JDK 7 が必要です。 上記の値の -ext オプションを使用すると、Tomcat 証明書の CA フラグが true に設定されます。 CA フラグを true に設定しなければ、Cisco Unified OS の管理インターフェイスは tomcat-trust 信頼ストアに証明書をできない可能性があります。 詳細については、IM and Presence への OpenAM 証明書のインポートを参照してください。

      上記のアプローチの代わりに、Tomcat インスタンスに CA 署名付き証明書を使用することもできます。 Tomcat のマニュアル(http:/​/​tomcat.apache.org/​tomcat-7.0-doc/​ssl-howto.html)では、認証局からの証明書をインストールする方法の詳細を提供します。

      ステップ 5   姓と名を入力するよう求められたら、OpenAM サーバの FQDN(hostname.domainname)を入力します。

      また、組織ユニット名、組織名、市または地域、都道府県、および 2 文字の国番号を入力するよう求められます。

      ステップ 6   Tomcat パスワードの入力を求められたら、デフォルトのキーストア パスワード changeit を入力します。

      キーストアは c:\ ディレクトリの下に作成されます。


      Tomcat のインストール

      Linux プラットフォームを使用した Tomcat のインストール

      手順
        ステップ 1   http:/​/​tomcat.apache.org/​index.html から Apache Tomcat の最新バージョンをダウンロードします。

        プロセッサ アーキテクチャ(32bit/64bit)固有の zip/tar アーカイブをダウンロードします。

        ステップ 2   apache-tomcat-7.0.0.tar.gz アーカイブを展開します。 このマニュアルでは、ルート ホーム ディレクトリ(\root)の下に展開しています。
        ステップ 3   /root/apache-tomcat-7.0.0/bin ディレクトリの下にある catalina.sh で JAVA_OPTS="$JAVA_OPTS - Xmx1024m -XX:MaxPermSize-256m - Xms512m プロパティを設定して、Tomcat の JVM ヒープ サイズを大きくします。

        例:
        JAVA_OPTS="$JAVA_OPTS -Xmx1024m -XX:MaxPermSize=256m - Xms512m -
        Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager"
        ステップ 4   /root/apache-tomcat-7.0.0/conf ディレクトリの下にある server.xml ファイルを開き、8080 コネクタ ポートのコメントを入力します。 次のようにコードを入力します。

        例:
        <!--<Connector port="8080" protocol="HTTP/1.1"
        connectionTimeout-"20000"
        redirectPort-"8443" /> -->
        ステップ 5   8443 コネクタ ポートをアンコメントします。8443 コネクタの先頭の <!– – コードと末尾の – –> を削除します。 次のようにコードを入力します。

        例:
        <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
        maxThreads="150" scheme="https" secure="true"
        clientAuth="false" sslProtocol="TLS" />
        ステップ 6   上記の変更を行ったら server.xml ファイルを保存します。
        ステップ 7   /root/apache-tomcat-7.0.0/bin ディレクトリの下にある startup.sh を実行して、Tomcat を起動します。
        ステップ 8   ブラウザを起動し、https:/​/​localhost:8443/​tomcat.gif にアクセスします。

        証明書が自己署名されている場合、ブラウザから通知されます。 証明書をインポートし、続行するようにブラウザに指示します。 Tomcat は Tomcat ロゴが表示されるときに設定されます。


        Windows プラットフォームを使用した Tomcat のインストール

        手順
          ステップ 1   http:/​/​tomcat.apache.org/​index.html から Apache Tomcat の最新バージョンをダウンロードします。

          Tomcat サービスのインストーラ(32bit/64bit Windows サービス インストーラ:apache-tomcat-7.0.0.exe)をダウンロードします。

          ステップ 2   apache-tomcat-7.0.0.exe をインストールします。 この例では、Tomcat は c:\Program Files\Apache Software Foundation\Tomcat 7.0 にインストールされます。
          ステップ 3   c:\Program Files\Apache Software Foundation\Tomcat 7.0\bin の下に setenv.bat というファイルを作成して JAVA-HOME、JRE_HOME、および JAVA_OPTS 環境変数を設定し、上記の変数を設定します。

          例:
          set JAVA_HOME=c:\Program Files\Java\jdkl.6.0_20
          set JRE_HOME=c:\Program Files\Java\jdkl.6.0_20\jre
          set JAVA_OPT=%JAVA_OPTS% -xMS512m -xMX1024m
          ステップ 4   c:\Program Files\Apache Software Foundation\Tomcat 7.0\conf フォルダの下にある server.xml ファイルを開きます。
          ステップ 5   8080 コネクタ ポートのコメントを入力します。 次のようにコードを入力します。

          例:
          <!--<Connector port="8080" protocol="HTTP/1.1"
          connectionTimeout="20000"
          redirectPort-"8443" /> -->
          ステップ 6   8443 コネクタ ポートをアンコメントします。 8443 コネクタの先頭の <!– – コードと末尾の – –> を削除します。 この 8443 コネクタでは、さらに 2 つの属性が追加されています。それは、keystoreFile(6.2 項で作成されたキーストア ファイルの場所。 この例では、C:\keystore の下に作成されました)と keystoreType です。 デフォルト パスワード changeit でキーストアを作成したため、keystorePass 属性を設定する必要はありません。 次のようにコードを入力します。

          例:
          <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
          maxThreads="150" scheme="https" secure="true"
          clientAuth="false" sslProtocol="TLS"
          keystoreFile="c:\keystore"
          keystoreType="JKS"/>
          ステップ 7   上記の変更を行ったら server.xml ファイルを保存します。
          ステップ 8   services.msc ユーティリティまたは [管理ツール(Administrative Tools)] > [サービス(Services)] > [Apache Tomcat 7] > [開始(Start)] から Tomcat サービスを開始します。
          ステップ 9   ブラウザを起動し、https:/​/​localhost:8443/​tomcat.gif にアクセスします。 証明書が自己署名されている場合、ブラウザから通知されます。 証明書をインポートし、続行するようにブラウザに指示します。 Tomcat は Tomcat ロゴが表示されるときに設定されます。

          次の作業

          シングル サインオンのための Active Directory のプロビジョニング

          シングル サインオンのための Active Directory のプロビジョニング

          手順
            ステップ 1   Active Directory(AD)サーバにログインします。
            ステップ 2   [スタート(Start)] メニューから [プログラム(Programs)] > [管理ツール(Administration Tools)] にアクセスし、[Active Directory ユーザとコンピュータ(Active Directory Users and Computers)] を選択します。
            ステップ 3   [ユーザ(Users)] > [新規(New)] > [ユーザ(Users)] に移動し、ユーザ ID として OpenSSO Enterprise のホスト名を使用して新規ユーザを作成します。

            OpenSSO Enterprise のホスト名にドメイン名を含めることはできません。

            ステップ 4   コマンド プロンプトから次のコマンドを使用して、AD サーバの keytab ファイルを作成します。

            例:
            ktpass -princ HTTP/<hostname>.<domainname>@<DCDOMAIN> -pass <password> -mapuser <userName> -out <hostname>.HTTP.keytab -ptype KRB5_NT_PRINCIPAL -target <DCDOMAIN>
            例:
            ktpass -princ HTTP/sso.cisco.com@CISCO.COM -pass cisco123 -mapuser sso -out sso.HTTP.keytab -ptype KRB5_NT_PRINCIPAL -target CISCO.COM
            ステップ 5   keytab ファイルが正常に作成されたら、OpenAM サーバの場所に keytab ファイルをコピーします。このパスは、後で OpenAM 設定で指定します。

            OpenAM が Linux に設定されている場合は、ルートの下にディレクトリを作成し、上記の keytab ファイルをコピーできます。 たとえば、/root/keytab/examplehost.HTTP.keytab となります。

            OpenAM が Windows に設定されている場合は、C:\> の下にディレクトリを作成し、上記の keytab ファイルをコピーできます。 たとえば、c:/keytab/examplehost.HTTP.keytab となります。


            次の作業

            Apache Tomcat で OpenSSO Enterprise War を開く

            Apache Tomcat で OpenSSO Enterprise War を開く

            Linux における Apache Tomcat への OpenSSO Enterprise War の展開

            手順
              ステップ 1   ForgeRock サイト(http:/​/​www.forgerock.com/​downloads.html)にアクセスし、安定したリリースの OpenAM Release 9 / February 7, 2010(20100207)をダウンロードします。
              ステップ 2   openam_release9_20100207.zip を OpenAM サーバの任意の場所にコピーし、解凍します。
              ステップ 3   OpenAM サーバで Tomcat サービスが実行されている場合は停止します。
              ステップ 4   解凍後、opensso/deployable-war ディレクトリの下にある opensso.war ファイルをコピーし、/root/apache-tomcat-7.0.0/webapps ディレクトリの下に貼り付けます。

              この例では、OpenAM war ファイルが opensso.war という名前であることを前提としています。 このマニュアルの展開例に従う場合は、このファイル名を使用することを推奨します。 war ファイル名は、この章の後半で参照される URL とディレクトリで使用されます。

              ステップ 5   /root/apache-tomcat-7.0.0/bin ディレクトリの下にある startup.sh を実行して、Tomcat サービスを起動します。

              次の作業

              GUI コンフィギュレータを使用した OpenSSO Enterprise の設定

              Windows における Apache Tomcat への OpenSSO Enterprise War の展開

              手順
                ステップ 1   ForgeRock サイト(http:/​/​www.forgerock.com/​downloads.html)にアクセスし、安定したリリースの OpenAM Release 9 / February 7, 2010(20100207)をダウンロードします。
                ステップ 2   openam_release9_20100207.zip を OpenAM サーバの特定の場所にコピーし、解凍します。
                ステップ 3   OpenAM サーバで Tomcat サービスが実行されている場合に停止するには、[管理ツール(Administrative Tools)] > [サービス(Services)] > [Apache Tomcat 7] > [停止(Stop)] を選択します。
                ステップ 4   解凍後、opensso/deployable-war ディレクトリの下にある opensso.war ファイルをコピーし、c:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps フォルダの下に貼り付けます。

                この例では、OpenAM war ファイルが opensso.war という名前であることを前提としています。 このマニュアルの展開例に従う場合は、このファイル名を使用することを推奨します。 war ファイル名は、この章の後半で参照される URL とディレクトリで使用されます。

                ステップ 5   [管理ツール(Administrative Tools)] > [サービス(Services)] > [Apache Tomcat 7] > [開始(Start)] を選択して、Tomcat サービスを開始します。

                次の作業

                GUI コンフィギュレータを使用した OpenSSO Enterprise の設定

                GUI コンフィギュレータを使用した OpenSSO Enterprise の設定

                OpenSSO を設定する方法の例を次に示します。 既存の OpenAM サーバがある場合、または OpenAM について確実に理解している場合は、サーバを別に設定できます。

                OpenAM サーバおよびポリシー エージェントには、インストールを実行するマシンのホスト名の FQDN が必要です。 「localhost」などのホスト名を使用したり、「192. 168.1.2」などの数字の IP アドレスをホスト名として使用することはできません。これにより、インストール、設定、および使用時に問題が発生するからです。

                OpenAM にアクセスするには、Mozilla Firefox などの Web ブラウザがインストールされている必要があります。 OpenAM に初めてアクセスするときは、URL で OpenAM サーバの FQDN を使用する必要があります。 たとえば、https://hostexample.corp.com:8443/opensso を使用します。 OpenSSO Enterprise に初めてアクセスするときは、OpenSSO Enterprise の初期設定を行うためにコンフィギュレータに転送されます。 OpenSSO に初めてアクセスすると、[設定オプション(Configuration Options)] ウィンドウが表示されます。 [デフォルト設定の作成(Create Default Configuration)] リンクを選択します。

                OpenSSO Enterprise Administrator(amAdmin)およびデフォルト ポリシー エージェント ユーザ(UrlAccessAgent)のパスワードを指定し、確認します。 デフォルト ポリシー エージェント ユーザは、この設定例では後で使用しません。amAdmin は、設定を変更するために OpenAM にログインするたびに使用します。

                問題が設定中にエラーが発生した場合、コンフィギュレータはエラー メッセージを表示します。 可能な場合は、エラーを修正して、設定をやり直します。 また、作成された Web コンテナ ログ ファイルや install.log が設定ディレクトリ(default/opensso)にあることを確認します。 これらのログには、設定上の問題の原因に関する情報が含まれている場合があります。

                デフォルトでは、OpenSSO は Linux プラットフォームの /root/opensso ディレクトリの下に展開されます。Windows プラットフォームでは、OpenSSO は C:\opensso の下に展開されます。

                手順
                  ステップ 1   ログインするには [続行(Proceed)] を選択し、amAdmin とパスワードを入力します。
                  ステップ 2   [アクセス コントロール(Access Control)] タブに移動し、/(トップ レベルのレルム)を選択します。
                  ステップ 3   [認証(Authentication)] > [コア(Core)] > [すべてのコア設定(All Core Settings)] を選択します。
                  ステップ 4   [ユーザ プロファイル(User Profile)] を [無視(Ignored)] に設定します。
                  ステップ 5   [保存(Save)] をクリックして、設定を保存します。

                  次の作業

                  OpenSSO サーバのポリシーの設定

                  OpenSSO サーバのポリシーの設定

                  手順
                    ステップ 1   [アクセス コントロール(Access Control)] タブで、/(トップ レベルのレルム)を選択します。
                    ステップ 2   [ポリシー(Policies)] タブで、新しいポリシーを追加します。
                    ステップ 3   [ポリシー名(Policy Name)] を入力します。 たとえば、CUPPolicy を入力します。
                    ステップ 4   [ポリシー設定(Policy Configuration)] ウィンドウで新しいルールを作成します。

                    表示されるウィンドウのサービス タイプで [URL ポリシー エージェント(リソース名付き)(URL Policy Agent (with resource name))] を選択します。

                    ステップ 5   [ルール名(Rule Name)](たとえば CUPUser)を入力します。 [リソース名(Resource Name)] フィールドに、リソース URL の名前を Web アプリケーション URL として入力します。 たとえば、https://<CUP FQDN>:8443/* と入力します。
                    ステップ 6   [GET] および [POST] チェックボックスをオンにして [終了(Finish)] をクリックします。
                    ステップ 7   別のルール(たとえば、CUPUser_1)を作成します。 [リソース名(Resource Name)] フィールドに、リソース URL の名前を Web アプリケーション URL として入力します。 たとえば、https://<CUP FQDN>/* と入力します。
                    ステップ 8   [GET] および [POST] チェックボックスをオンにして [終了(Finish)] をクリックします。
                    ステップ 9   Cisco Unified IM and Presence ユーザ アプリケーションの [検索(Find)] および [リスト(List)] ウィンドウで、クエリー パターン(*?*)を含む要求に別のルール(たとえば、CUPUser_QueryPatterns)を作成します。 たとえば、Error! Hyperlink 参照は無効ではありません。 [リソース名(Resource Name)] フィールドに、https://<CUP FQDN>:8443/*?* と入力します。
                    ステップ 10   [GET] および [POST] チェックボックスをオンにして [終了(Finish)] をクリックします。
                    ステップ 11   Cisco Unified IM and Presence ユーザ アプリケーションの [検索(Find)] および [リスト(List)] ウィンドウで、クエリー パターン(*?*)を含む要求に別のルール(たとえば、CUPUser_QueryPatterns_1)を作成します。 たとえば、[リソース名(Resource Name)] フィールドに、https://<CUP FQDN>/*?* と入力します。
                    ステップ 12   [GET] および [POST] チェックボックスをオンにして [終了(Finish)] をクリックします。
                    ステップ 13   SSO のサポートは RTMT アプリケーションでも提供されます。 上記のポリシー ルールとともに RTMT の SSO を実現するには、もう 1 つの新しいルールを作成する必要があります。 たとえば、RTMT クエリー パターン(*?*?*)を含む要求に RTMT_Query を作成します。 [リソース名(Resource Name)] フィールドに、https://<CUPFQDN>:8443/*?*?* と入力します。
                    ステップ 14   [GET] および [POST] チェックボックスをオンにして [終了(Finish)] をクリックします。
                    ステップ 15   SSO のサポートは RTMT アプリケーションでも提供されます。 上記のポリシー ルールとともに RTMT の SSO を実現するには、もう 1 つの新しいルールを作成します。 たとえば、RTMT クエリー パターン(*?*?*)を含む要求に RTMT_Query_1 を作成します。 [リソース名(Resource Name)] フィールドに、https://<CUPFQDN>:8443/*?*?* と入力します。
                    ステップ 16   [GET] および [POST] チェックボックスをオンにして [終了(Finish)] をクリックします。
                    ステップ 17   [ポリシー設定(Policy Configuration)] ウィンドウで、[サブジェクト(Subjects)] の下の [新規(New)] を選択します。
                    ステップ 18   サブジェクト タイプとして [認証されたユーザ(Authenticated Users)] を選択します。
                    ステップ 19   [サブジェクト名(Subject Name)](たとえば CUPUser)を入力し、[終了(Finish)] をクリックします。

                    新しいポリシーが定義されたルールおよびサブジェクトを使用して作成されます。

                    ステップ 20   [条件(Conditions)] で、[新規(New)] を選択します。
                    ステップ 21   [条件タイプの選択(Select Condition Type)] で [アクティブ セッション時間(Active Session Time)] を選択します。
                    ステップ 22   [条件名(Condition Name)](たとえば CUPUser)を入力します。
                    ステップ 23   [次へ(Next)] をクリックします。
                    ステップ 24   アクティブ セッション タイムアウトを 120 分に設定します。
                    ステップ 25   [セッションの終了(Terminate Session)] フィールドが [いいえ(No)] に設定されていることを確認します。
                    ステップ 26   [終了(Finish)] をクリックします。

                    次の作業

                    SSO モジュール インスタンスの設定

                    SSO モジュール インスタンスの設定

                    手順
                      ステップ 1   シングル サインオンのための Active Directory のプロビジョニングで作成した OpenAM サーバに keytab ファイルをコピーします。
                      ステップ 2   amAdmin として OpenSSO Enterprise 管理コンソールにログインします。
                      ステップ 3   [アクセス コントロール(Access Control)] > [トップ レベルのレルム(Top Level Realm)] > [認証(Authentication)] を選択します。
                      ステップ 4   [モジュール インスタンス(Module Instances)] ウィンドウで、[新規(New)] をクリックします。
                      ステップ 5   新しいログイン モジュール インスタンスの名前(たとえば、CUPUser)を入力し、[Windows デスクトップ SSO(Windows Desktop SSO)] を選択します。
                      ステップ 6   [OK] をクリックします。

                      このモジュール インスタンス名は、後で IM and Presence サーバで SSO を有効にするときに使用されます。

                      ステップ 7   [モジュール インスタンス(Module Instances)] ウィンドウで、新しいログイン モジュールの名前(たとえば、CUPUser)を選択し、次の情報を入力します。
                      • [サービス プリンシパル(Service Principal)]:HTTP/openAMhostname.domain.com@DOMAIN.COM。 ここでは、openAM サーバ名とドメインを使用した例(HTTP/openamhost.example.com@EXAMPLE.COM)を示します
                      • [keytab ファイル名(Keytab File Name)]:c:\keystore\openAMhostname.HTTP.keytab(Windows プラットフォームの場合)または /root/keytab/openAMhostname.HTTP.keytab(Linux の platorm)
                      • [Kerberos レルム(Kerberos Realm)]:DOMAIN.COM - OpenAM サーバのドメイン(たとえば、EXAMPLE.COM)
                      • [Active Directory/Kerberos サーバの名前(Active Directory / Kerberos Server Name)]:kerberos.example.com

                        フェールオーバーの目的で複数の Kerberos ドメイン コントローラが存在する場合は、区切り文字としてコロン(:)を使用してすべての Kerberos ドメイン コントローラを設定できます。

                      • [ドメイン名でプリンシパルを返す(Return Principal with Domain Name)]:False。 [有効(Enabled)] チェックボックスをオフのままにします。
                      • [認証レベル(Authentication Level)]:22
                      ステップ 8   [保存(Save)] をクリックします。

                      モジュール インスタンスが CUPUser という名前で作成されます。


                      OpenSSO サーバでの J2EE エージェント プロファイルの設定

                      OpenSSO Enterprise コンソールで次の手順を実行します。 このタスクの主な手順は、エージェント名(ID)とエージェント パスワードを作成することです。

                      手順
                        ステップ 1   amAdmin などの AgentAdmin 権限を持つユーザとして、OpenSSO Enterprise コンソールにログインします。
                        ステップ 2   [アクセス コントロール(Access Control)] タブを選択します。
                        ステップ 3   エージェントが所属する、/(トップ レベルのレルム)などのレルム名を選択します。
                        ステップ 4   [エージェント(Agents)] タブを選択します。
                        ステップ 5   [J2EE] タブを選択します。
                        ステップ 6   [エージェント(Agent)] セクションで、[新規(New)] を選択します。
                        ステップ 7   次のフィールドに値を入力します。
                        • [名前(Name)]:エージェントの名前または ID を入力します(たとえば、CUPUser)。
                          (注)     

                          エージェント名は、後で IM and Presence で SSO を有効にするときに使用されます。 たとえば、[ポリシーエージェントに設定されているプロファイルの名前を入力(Enter the name of the profile configured for this policy agent)] で使用します。

                        • [パスワード(Password)]:エージェント パスワードを入力します。
                          (注)     

                          このパスワードは、後で IM and Presence で SSO を有効にするときに尋ねられます。

                        • [サーバ URL(Server URL)] フィールド:OpenSSO Enterprise サーバの URL を入力します。 たとえば、https://<OpenAM FQDN>:8443/opensso と入力します。
                        • [エージェント URL(Agent URL)] フィールド:エージェント アプリケーションの URL を入力します。 たとえば、https://<IM and Presence FQDN>:8443/agentapp と入力します。
                          (注)     

                          「agentapp」は、後で IM and Presence で SSO を有効にするための例で使用されます。

                        ステップ 8   [作成(Create)] を選択します。

                        CUPUser の名前で J2EE エージェントが作成されます。

                        ステップ 9   上記で作成された J2EE エージェントを選択します。
                        ステップ 10   [アプリケーション(Application)] タブを選択します。
                        ステップ 11   [ログイン処理(Login Processing)] で、次のように IM and Presence の各 Web GUI アプリケーションのログイン フォーム URI を入力します。
                        • Cisco Unified CM IM and Presence の管理:/cupadmin/WEB-INF/pages/logon.jsp
                        • Cisco Unified IM and Presence のサービスアビリティ:/ccmservice/WEB-INF/pages/logon.jsp
                        • Cisco Unified IM and Presence のレポート:/cucreports/WEB-INF/pages/logon.jsp
                        • Cisco Unified IM and Presence OS の管理:/cmplatform/WEB-INF/pages/logon.jsp
                        • IM and Presence のディザスタリカバリシステム:/drf/WEB-INF/pages/logon.jsp
                        • Real-Time Monitoring Tool(RTMT):/ast/WEB-INF/pages/logon.jsp
                        • Cisco Unified CM IM and Presence ユーザ オプション:/cupuser/WEB-INF/pages/logoncontrol.jsp
                        ステップ 12   [OpenAM サービス(OpenAM Services)] タブの [ログイン URL(Login URL)] で、OpenSSO のログイン URL を https://<OpenSSO FQDN>:8443/opensso/UI/Login?module=<SSO_Module> として追加します。

                        SSO_Module は、SSO モジュール インスタンスの設定で作成したものと同じ値にする必要があります。

                        ステップ 13   テキスト領域で、ログイン URL 以外のすべての URL を削除します。 前の手順で指定したログイン URL のみがテキスト領域にリストされている必要があります。

                        次の作業

                        このリンクが上記の形式でない場合は、それを修正して設定を保存します。 SSO モジュール インスタンスの設定で作成されたモジュール インスタンスの名前は、[アクセス コントロール(Access Control)] > [トップ レベルのレルム(Top Level Realm)] > [モジュール インスタンス(Module Instance)] で確認できます。 この確認の後で、IM and Presence サーバに管理ユーザとしてログインし、次の CLI コマンドを入力して Cisco Tomcat サービスを再起動します。
                        utils service restart Cisco Tomcat

                        IM and Presence への OpenAM 証明書のインポート

                        IM and Presence への OpenAM 証明書のインポート

                        IM and Presence と OpenAM 間の通信は安全です。 そのため、OpenAM のセキュリティ証明書を取得し、IM and Presence の tomcat-trust ストアにインポートする必要があります。 OpenAM 証明書の有効期間が 5 年以下になるように設定します。 OpenAM サーバ証明書を取得するには、次の手順を実行します。


                        (注)  


                        証明書のインポートについては、『Cisco Unified System Maintenance Guide for IM and Presence』を参照してください。


                        手順
                          ステップ 1   Web ブラウザ(たとえば、Mozilla Firefox)から OpenAM(https://<OpenAM FQDN>:8443/opensso)にサインインします。
                          ステップ 2   [ツール(Tools)] > [ページ情報(Page info)] > [セキュリティ(Security)] > [証明書の表示(View Certificate)] を選択します。
                          ステップ 3   [証明書ビューア(Certificate Viewer)] ウィンドウで、[詳細(Details)] タブをクリックして証明書情報にアクセスします。
                          ステップ 4   [エクスポート(Export)] をクリックし、証明書をデスクトップに保存します。
                          ステップ 5   OpenAM サーバ証明書を取得したら、Cisco Unified OS の管理にサインインし、[セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
                          ステップ 6   [証明書/証明書チェーンのアップロード(Upload Certificate/Certificate chain)] をクリックします。
                          ステップ 7   [証明書のアップロード(Upload Certificate)] ダイアログボックスの [証明署の名前(Certificate Name)] ドロップダウン リストから、[Tomcat の信頼性(tomcat-trust)] を選択します。
                          ステップ 8   [ファイルのアップロード(Upload File)] フィールドで、保存されている OpenAM 証明書を参照します。
                          ステップ 9   [ファイルのアップロード(Upload File)] をクリックして、証明書をアップロードします。 OpenAM 証明書は、IM and Presence の Tomcat-trust ストアに追加されます。
                          ステップ 10   CLI コマンド utils service restart Cisco Tomcat を使用して、Tomcat サービスを再起動します。

                          例:

                          次の作業

                          シングル サインオン用のクライアント ブラウザ設定

                          シングル サインオン用のクライアント ブラウザ設定

                          ブラウザベースのクライアント アプリケーションに SSO を使用する場合は、Web ブラウザを設定する必要があります。 ここでは、SSO を使用するようにクライアント ブラウザを設定する方法について説明します。

                          シングル サインオン用の Internet Explorer の設定

                          SSO 機能は、Internet Explorer バージョン 6.0 以降が実行されている Windows クライアントをサポートします。 SSO を使用するように Internet Explorer を設定するには、次の手順を実行します。

                          手順
                            ステップ 1   [ツール(Tools)] > [インターネット オプション(Internet Options)] > [詳細設定(Advanced)] タブを選択します。
                            ステップ 2   [統合 Windows 認証を使用する(Enable Integrated Windows Authentication)] をオンにします。
                            ステップ 3   [OK] をクリックします。
                            ステップ 4   Internet Explorer を再起動します。
                            ステップ 5   [ツール(Tools)] > [インターネット オプション(Internet Options)] > [セキュリティ(Advanced)] > [ローカル イントラネット(Local Intranet)] を選択し、[レベルのカスタマイズ...(Custom Level...)] をクリックします。
                            ステップ 6   [ユーザ認証(User Authentication)] で、[イントラネット ゾーンでのみ自動的にログオンする(Automatic Logon Only in Intranet Zone)] を選択します。
                            ステップ 7   [OK] をクリックします。
                            ステップ 8   [サイト(Sites)] をクリックします。
                            ステップ 9   [イントラネットのネットワークを自動的に検出する(Automatically detect intranet network)] をオンにします。
                            ステップ 10   [詳細設定(Advanced)] をクリックします。
                            ステップ 11   [この Web サイトをゾーンに追加する(Add this web site to the zone)] フィールドに、OpenAM サーバの FQDN を https://OpenAM_FQDN の形式で入力します。
                            ステップ 12   [追加(Add)] をクリックします。
                            ステップ 13   [閉じる(Close)] をクリックします。
                            ステップ 14   [OK] をクリックします。
                            ステップ 15   [保護モードを有効にする(Enable Protected Mode)] をオフにします。
                            ステップ 16   Internet Explorer を再起動します。
                            ステップ 17   Windows レジストリ エディタを開き、次のいずれかのオプションを選択します。
                            オプション 説明
                            Windows XP または Windows 2008 の場合

                            [スタート(Start)] > [ファイル名を指定して実行(Run)] を選択し、regedit と入力します。

                            Windows Vista および Windows 7.0 の場合

                            [スタート(Start)] を選択し、regedit と入力します。 Windows Vista では、その後 [続行(Continue)] をクリックする必要があります。

                            ステップ 18   レジストリ キー HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\ の下に、SuppressExtendedProtection という新しい DWORD(32 ビット)値を追加し、値を 16 進数の 0x02 に設定します。

                            DWORD は管理者によってのみ設定できます。

                            ステップ 19   新しく作成された DWORD を右クリックし、[修正(Modify)] を選択します。
                            ステップ 20   次の値を設定します。
                            • [表記(Base)]:[16 進(hexadecimal)]
                            • [値のデータ(Value data)]:002
                            新しく作成された DWORD は、LSA ディレクトリ リストに次のように表示されます。
                            • 名前:SuppressExtendedProtection
                            • 種類:REG_DWORD
                            • 値:0x00000002 (2)

                            シングル サインオン用の Firefox の設定

                            SSO 機能は、Firefox バージョン 3.0 以降が実行されている Windows クライアントをサポートします。

                            手順
                              ステップ 1   Firefox を開き、URL ページ about:config を入力します。
                              ステップ 2   network.negotiate-auth.trusted-uris までスクロールし、ドメインに設定します(たとえば、corp.com)。

                              Windows レジストリの設定

                              Real-Time Monitoring Tool(RTMT)の SSO を実現するには、デスクトップ クライアント(Windows XP または Windows 7)で次の新しいレジストリ キーを作成する必要があります:1 に値が設定された REG_DWORD タイプの allowtgtsessionkeyallowtgtsessionkey は管理者が設定する必要があります。

                              この新しいレジストリ キーは、オペレーティング システムに応じて、次の場所のいずれかに保存します。

                              • Windows XP:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos
                              • Windows Vista/Windows 7:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

                              アプリケーションでのシングル サインオンの設定

                              このアプリケーションは 3 つのコンポーネントに分割されています。
                              • ステータス
                              • サーバの設定
                              • アプリケーションの選択

                              ステータス

                              SSO 設定の変更によって、Tomcat が再起動することを示す警告メッセージが表示されます。

                              SSO アプリケーションを有効にすると、次のエラー メッセージが表示されることがあります。
                              • 「無効な Open Access Manager(OpenAM)サーバの URL(Invalid Open Access Manager (OpenAM) server URL)」:無効な OpenAM サーバ URL を指定すると、このエラー メッセージが表示されます。
                              • 「無効なプロファイル クレデンシャル(Invalid profile credentials)」:間違ったプロファイル名または間違ったプロファイル パスワードあるいは両方を指定すると、このエラー メッセージが表示されます。
                              • 「セキュリティ信頼エラー(Security trust error)」:OpenAM 証明書がインポートされなかった場合に、このエラー メッセージが表示されます。

                              (注)  


                              SSO を有効にするときに上記のいずれかのエラー メッセージが表示された場合は、ステータスが上記のエラーに変わります。


                              サーバの設定

                              サーバ設定は、SSO がすべてのアプリケーションに対して無効になっている場合にだけ編集できます。

                              アプリケーションの選択

                              次のアプリケーションのいずれかを使用して SSO を有効または無効にできます。

                              • Cisco Unified CM IM and Presence の管理:Cisco Unified CM IM and Presence の管理、Cisco Unified IM and Presence のサービスアビリティ、および Cisco Unified IM and Presence のレポートに対して SSO を有効にします。
                              • Cisco Unified IM and Presence ユーザ オプション:エンド ユーザ オプションに対して SSO を有効にします。
                              • Cisco Unified IM and Presence オペレーティング システムの管理:Cisco Unified IM and Presence オペレーティング システムの管理およびディザスタ リカバリ システムに対して SSO を有効にします。
                              • RTMT:Real-Time Monitoring Tool 用に Web アプリケーションを有効にします。
                              手順
                                ステップ 1   Open Access Manager(OpenAM)サーバの URL(https://hostexample.corp.com:8443/opensso)を入力します。
                                ステップ 2   ポリシー エージェントを展開する相対パスを入力します。 相対パスは英数字である必要があります。 OpenSSO サーバでの J2EE エージェント プロファイルの設定を参照してください。
                                ステップ 3   このポリシー エージェント用に設定されたプロファイルの名前を入力します。 OpenSSO サーバでの J2EE エージェント プロファイルの設定を参照してください。
                                ステップ 4   プロファイル名のパスワードを入力します。 OpenSSO サーバでの J2EE エージェント プロファイルの設定を参照してください。
                                ステップ 5   Windows デスクトップ SSO 用に設定されたログイン モジュール インスタンス名を入力します。 SSO モジュール インスタンスの設定を参照してください。
                                ステップ 6   [保存(Save)] をクリックします。
                                ステップ 7   [確認(Confirmation)] ダイアログボックスで、[OK] をクリックして Tomcat を再起動します。

                                OpenSSO Enterprise の削除

                                次のいずれかのタスクを実行して、SSO をアンインストールします。

                                Linux での OpenSSO Enterprise のアンインストール

                                手順
                                  ステップ 1   /root/apachetomcat- 7.0.0/bin ディレクトリの下で shutdown.sh コマンドを実行して、OpenAM サーバで動作している Tomcat を停止します。
                                  ステップ 2   次のディレクトリおよびその内容をすべて削除します。
                                  • ConfigurationDirectory は、OpenSSO Enterprise インスタンスがコンフィギュレータを使用して最初に設定されたときに作成されたディレクトリです。 デフォルト ディレクトリは、コンフィギュレータを実行しているユーザのホーム ディレクトリの opensso です。 コンフィギュレータがルートで実行されている場合、ConfigurationDirectory はルート ホーム ディレクトリ、/root に作成されます。
                                  • user-home-directory.openssocfguser-home-directory は、opensso.war ファイルを展開したユーザのホーム ディレクトリです。 このユーザがルートの場合、ディレクトリは /.openssocfg です。
                                  ステップ 3   Tomcat の webapps ディレクトリから opensso.war ファイルを削除します。 たとえば、/root/ apache-tomcat-7.0.0/webapps です
                                  ステップ 4   /root/ apache-tomcat-7.0.0/bin ディレクトリの下にある startup.sh を実行して、OpenAM サーバで Tomcat を起動します。

                                  Windows での OpenSSO Enterprise のアンインストール

                                  手順
                                    ステップ 1   OpenAM サーバで Tomcat サービスが実行されている場合に停止するには、[管理ツール(Administrative Tools)] > [サービス(Services)] > [Apache Tomcat 7] > [停止(Stop)] を選択します。
                                    ステップ 2   ユーザ ホーム ディレクトリから opensso および .openssocfg フォルダを削除します。
                                    ステップ 3   Tomcat の webapps フォルダから opensso.war ファイルを削除します。

                                    例:c:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps

                                    ステップ 4   [管理ツール(Administrative Tools)] > [サービス(Services)] > [Apache Tomcat 7] > [開始(Start)] を選択して、Tomcat サービスを開始します。

                                    シングル サインオンのトラブルシューティング

                                    ここでは、設定の問題の解決に役立つトラブルシューティングのヒントを示します。

                                    OpenAM セッション タイムアウトの設定

                                    OpenAM セッション タイムアウトは、IM and Presence サーバに設定されているセッション タイムアウト パラメータよりも大きい値に設定する必要があります。

                                    手順
                                      ステップ 1   OpenAM サーバ GUI から、[設定(Configuration)] > [グローバル(Global)] > [セッション(Session)] > [ダイナミック属性(Dynamic attributes)] > [最大アイドル時間(Maximum Idle Time)] を選択します。
                                      ステップ 2   [最大アイドル時間(Maximum Idle Time)] フィールドに値を入力します。

                                      OpenAM サーバでの Tomcat のクラッシュ

                                      Tomcat が OpenAM サーバでクラッシュすると、OpenSSO は応答しなくなります。 IM and Presence に通知されないことがあります。 次のいずれかの手順を実行します。

                                      手順
                                        ステップ 1   GUI または CLI から SSO を有効にするときにエラー メッセージが表示される場合は、Tomcat が OpenAM サーバで実行されていることを確認します。
                                        ステップ 2   エラー メッセージが表示されない場合は、OpenAM サーバで Tomcat を再起動し、SSO を再度有効にしてみてください。

                                        デバッグ レベルの設定

                                        OpenAM では、J2EE Policy Agent を使用して詳細なデバッグ情報を取得できます。 デフォルトのデバッグ レベルは [エラー(Error)] です。 デバッグ レベルを [メッセージ(Message)] に変更して詳細情報にアクセスできますが、IM and Presence 上の debug.out ログが非常に大きくなります。 [メッセージ(Message)] デバッグ レベルは、短い間だけ使用することを推奨します。

                                        手順
                                          ステップ 1   Web ブラウザ(たとえば、Mozilla Firefox)から OpenAM(https://<OpenAM FQDN>:8443/opensso)にサインインします。
                                          ステップ 2   [アクセス コントロール(Access Control)] メニューから、[トップ レベルのレルム(Top Level Realm)] > [エージェント(Agents)] > [J2EE] を選択します。
                                          ステップ 3   [一般(General)] 見出しの下で、[エージェント デバッグ レベル(Agent Debug Level)] を選択し、目的のレベルを指定します。