異環境間でのintra-martのSSOoss.intra-mart.org/study_meeting/2009-12-01/2009-12-01...2009/12/01...
Transcript of 異環境間でのintra-martのSSOoss.intra-mart.org/study_meeting/2009-12-01/2009-12-01...2009/12/01...
©Copyright NTT DATA INTRAMART CORPORATION 2009
異環境間でのintra-martのSSO~Webサービス版~
Open intra-mart 20091201 LT
09.12.2
はじめに
09.12.2 ©Copyright NTT DATA INTRAMART CORPORATION 2009 1
• 異環境間でのintra-martのSSOって?–なぜか、別々の場所に存在する2種類のimで、シングルサインオンしてみようっていうネタです。
通常は、
09.12.2 ©Copyright NTT DATA INTRAMART CORPORATION 2009 2
IM-SSO買ってくださ
い。
でも
09.12.2 ©Copyright NTT DATA INTRAMART CORPORATION 2009 3
• im-SSOには、弱点がある。–ちょっと高い。(ほかのSSO製品よりはたぶん安い)
– Webラッパーの設置がいるので、既存環境に手が入る。
–認証情報をCookieでやり取りするので、同一ドメインである必要がある。
ということで、
09.12.2 ©Copyright NTT DATA INTRAMART CORPORATION 2009 4
• 簡易版疑似SSOを構築しました。–実験台:イントラマート社内システムと 営業Proナビシステム
–実験台の環境• イントラマート社内システム
– 某データセンター上で稼働しているiwp v7.0ベース– IT統制で、システム変更やプログラムリリースがうるさい。
– でも、ユーザ管理やパスワード管理はできている。• 営業Proナビシステム
– 営業支援システム、AmazonEC2上で稼働。– IT統制外で、実質管理者が私なので、なんでもできる。– アカウントは、社内システムと同一。でもパスワードは違う。
営業Proナビ
• アクセスセキュリティモジュールを社内システムのWebサービスにアクセスするものに変更。
1段階目:営業Proナビ側の認証を変更
09.12.2 ©Copyright NTT DATA INTRAMART CORPORATION 2009 5
社内システム
ClientNoticeService
正常処理するか?
StandardUserCertification
wsUserInfoSOAP
社内システムのユーザID、パスワード
例外が、でなかったら認証OKにする。
AuthCheckWebService
UserCertification
• 1段目で社内システムのアカウントとパスワードでProナビ側に入れるので、
2段階目:社内システム側にリダイレクトのメニュー登録
09.12.2 ©Copyright NTT DATA INTRAMART CORPORATION 2009 6
営業Proナビ 社内システム
redirect._pronavi.jssp
①メニューの引数にProナビ側のパスを
セット
②jsロジックで、ログインユーザIDとパスワードを取得して、各情報POSTで投げて、Proナビにリダイレクト
ユーザIDパスワード呼び出し先パス
目的の画面
directurl.jsp
1段階目のWebサービス認証が通る
Webサービス認証
DirectURLのAPIで、任意の画面に遷移
09.12.2 ©Copyright NTT DATA INTRAMART CORPORATION 2009 7
デモ
最後に
09.12.2 ©Copyright NTT DATA INTRAMART CORPORATION 2009 8
• 2段階目をProナビ側にも設置すれば、逆方向も可能(なハズ。)
• まとめ–メリット
• 簡単、お手軽。–デメリット
• Im-SSOが要らない?
• 残課題Webサービスの呼び出しロジックはJSです。
Javaを書くのが邪魔くさかったので、手を抜いた。