私は、SiteMinder と SSO 全般についてまったくの初心者です。基本的な例を求めて SO と CA の Web サイトを午後中ずっと探し回ったのですが、見つかりませんでした。SM の設定やプログラミングなどは気にしません。そのすべては、すでに他の誰かによって行われています。認証にSMを使用するようにJS Webアプリを適応させたいだけです。
SM は、ユーザーが誰であるかを示す SM_USER などのキーを使用して HTTP ヘッダーを追加することがわかりました。私が得られないのは、誰かがこのヘッダーを自分で追加してSMを完全にバイパスするのを妨げているのは何ですか? SM_USER が本当に SM からのものであることを確認するには、サーバー側のコードに何を入力する必要がありますか? 安全なCookieが関係していると思います...
Web サーバーにインストールされたSM Web エージェントは、すべてのトラフィックをインターセプトし、リソース要求が...
SiteMinder によって保護されています
ユーザーが有効な SMSESSION を持っている場合 (つまり、Authenticatedである場合)
1 と 2 が真の場合、WA は Siteminder Policy Server をチェックして、ユーザーが要求されたリソースへのアクセスを許可されているかどうかを確認します。
ユーザー情報の HTTP ヘッダー インジェクションがないことを確認するために、SiteMinder WebAgent はすべての SiteMinder 固有の HTTP ヘッダー情報を書き換えます。SM_基本的に、これは、Web エージェントがユーザーに関して提示している情報を「信頼」できることを意味します。これは、サーバー上の Web エージェントによって作成されたものであり、着信要求の一部ではないためです。
すべてのトラフィックは Siteminder Web Agent を通過する必要があるため、ユーザーがこのヘッダーを設定しても上書き/削除されます
SiteMinder r12.52 には、DeviceDNA™ による拡張セッション保証という新しい機能が含まれています。DeviceDNA を使用して、SiteMinder セッション Cookie が改ざんされていないことを確認できます。セッションが別のマシンで再生された場合、または同じマシン上の別のブラウザー インスタンスから再生された場合、DeviceDNA はこれをキャッチして要求をブロックします。
CA SiteMinder r12.52 の新機能について説明している Web キャストを表示するには、ここをクリックしてください
一般的なエンタープライズ アーキテクチャは、Web サーバー (Siteminder エージェント) + AppServer (アプリケーション) です。
IP フィルタリングが有効になっておらず、Web サーバーと sso-agent をバイパスして、Web 要求が AppServer に直接許可されているとします。
アプリケーションがリクエスト ヘッダー/Cookie が改ざん/挿入されていないことを確認するソリューションを実装する必要がある場合、次のようなソリューションはありますか?