IIS 8.0 "Application Request Routing" (ARR)使用時にSMSESSIONクッキーのDomainが正しく設定されない問題について

Document created by Koichi_Ikarashi Employee on Apr 12, 2016
Version 1Show Document
  • View in full screen mode

文書番号: JTEC002486

製品名: CA Single Sign-On

バージョン: r12.5x

OS: Windows

 

◆ 問題の概要

Windows 2012IIS 8.0 Web Agentで、"Application Request Routing" (ARR)を使用すると、発行されるSMSESSIONクッキーのDomainが正しく設定されません。その結果、複数Web Agent間でシングルサインオンが機能しません。

Domainの例】

  • 期待されるクッキードメイン:Domain=.example.com
  • 発行されたクッキードメイン:Domain=.myServerName.example.com

 

ARR側の設定としては、SSO側のPolicy設定で保護した仮想フォルダについて、機能”URL Rewrite””Inbound Rule”を追加してバックエンドのサーバーにリクエストをフォワードしています。

 

◆原因と対策

この問題はARR側の設定によるものです。

 

Web Agentトレースログを見ると、SMSESSIONクッキーのDomainは正しく設定されており期待されるクッキードメインが確認できます。しかし、ブラウザが受け取るクッキーのDomainは、上の例のように、ARRが設定されているフロントエンドのサーバー名が付加されていることが確認され、不整合が生じています。

 

対策としては、以下の手順でARRProxy設定でクッキードメインの書換えを抑制するようにします。

  1. IISマネージャーで対象のサーバーを選択する
  2. 機能"Application Request Routing Cache"を選択する
  3. 操作Proxy”Server Proxy Settings…”を選択する
  4. 以下の項目をOFFに変更する(下図を参照)

“Reverse rewrite host in response headers”

 

 

参考: 以下のIIS.NET Forumsに関連情報があります。

BUG: "Reverse rewrite host" replaces all cookie domains

 

◆補足

IIS ManagerServer Farmsでバックエンドサーバを登録し、機能”Routing Rules””URL Rewrite…”を設定した場合、この問題は発生しません。

Attachments

    Outcomes