レスポンスHTTP-Header-VariableとAccept-Redirectの併用について

Document created by Koichi_Ikarashi Employee on Apr 27, 2016Last modified by Koichi_Ikarashi Employee on May 16, 2016
Version 1Show Document
  • View in full screen mode

文書番号: JTEC002494

製品名: CA Single Sign-On

バージョン: All

OS: All

 

◆ 問題の概要

 

許可イベントのアクション[OnAccessAccept]に対応して、レスポンス属性[HTTP-Header-Variable][OnAccept-Redirect]を併用したポリシーを作成しました。その結果、許可(AzAcceptにリダイレクトは正しく処理されましたが、リダイレクト先には[HTTP-Header-Variable]で指定したHTTPヘッダーは発行されませんでした。

 

  • 許可イベントのルール設定:

  • レスポンスの設定:

 

◆原因と対策

 

これはレスポンス属性の仕様通りの動作結果です。

 

1. レスポンス属性[WebAgent-HTTP-Header-Variable]について

 

レスポンス属性[WebAgent-HTTP-Header-Variable]を使用した場合の動作仕様として、Web Agentは名前/値ペアのスタティックリストまたはダイナミックリストをWebアプリケーションに渡すことができます。つまり、ユーザ(Webブラウザ)からのHTTPリクエストに対して、Web AgentHTTPヘッダーを追加して、ターゲット先のWebアプリケーションに渡せるようになります。

 

下図は、レスポンス属性がポリシーサーバから Web サーバに送信され、Webアプリケーションがユーザに応答を返す流れを示しています。

 

 

2. レスポンス属性[WebAgent-OnAccept-Redirect]について

 

レスポンス属性[WebAgent-OnAccept-Redirect]は、アクションが許可イベントの場合、リソースへのアクセスを許可された場合のユーザのリダイレクト先 URL を定義します。

 

下図は、レスポンス属性がポリシーサーバから Web サーバに送信され、HTTP 302の応答によりWebブラウザがリダイレクトされる流れを示しています。

 

 

レスポンス属性[WebAgent-OnAccept-Redirect]と[WebAgent-HTTP-Header-Variable]は異なる動作仕様を持ち、レスポンス属性[WebAgent-OnAccept-Redirect]で指定されたリダイレクト処理では、レスポンス属性[WebAgent-HTTP-Header-Variable]で指定されたHTTPヘッダーがリダイレクト先に引き継がれることはありません。

 

必要に応じてHTTPヘッダーではなくクッキーを使用する方法(WebAgent-HTTP-Cookie-Variable 属性)を回避策として適用してください。

Attachments

    Outcomes