intra-mart Accel Platform 2023 Autumn(Hollyhock) リリースノート 第2版 2023-10-31

9.2.4. 認証機能

9.2.4.1. 認証確認対象の画面には、IFRAME 内に表示する前提の画面のURLは設定できません。

  • 認証確認対象の画面には、IFRAME 内に表示する前提の画面のURLは設定しないでください。
    IFRAME 内に表示する前提の画面のURLを、認証確認対象の画面とした場合、IFRAME 内に「認証確認」画面が表示されます。
    その後認証確認に成功すれば正常に画面が表示されますが、失敗した場合エラー画面はWindow全体に表示されるため、IFRAME が削除されてしまいます。
    このため、その後の認証確認に成功してもヘッダの無いテーマが画面されます。

9.2.4.2. 処理完了のメッセージが表示される前に、「認証確認」画面が表示される場合があります。

  • 「シェアードデータベース設定」を例にして説明します。
    認証確認が再度必要になる時間を、「5分」に設定していたとします。
    以下のような処理・画面遷移を行った際、1. から 4. の間に5分経過していた場合、4の時点で、再度、認証確認が表示されます。
    1. 「シェアードデータベース一覧」画面から[新規登録]を押下。
    2. 「シェアードデータベース登録」画面に遷移。
    3. 「シェアードデータベース登録」画面で、情報を入力し、[登録]を押下。
    4. 「シェアードデータベース一覧」画面に遷移し、処理成功のダイアログが表示される。
    ユーザの視点(画面上に表示されている情報だけ)では、処理が成功しているダイアログが表示されていない為、まだ処理が終わっていません。
    処理が終わっていないにも関わらず、「認証確認」画面が表示されるのは正しくありません。
    ただし、処理の失敗や情報の欠落等は発生しないので、運用上の問題となることはありません。

9.2.4.3. 「ログイン」画面を表示したまま暫く放置するとログインが行えません。

  • 「ログイン」画面を開いた後にセッションがタイムアウトになると必ずログインに失敗します。
    認証処理では、「ログイン」画面でセッションに格納されたセキュア・トークンの整合性を検証しています。
    セッションがタイムアウトになるとセキュア・トークンが見つからないためにこの現象が発生します。
    この現象を回避するには、以下のいずれかを行ってください。
    ・再度「ログイン」画面を表示してください。

9.2.4.4. パスワード期限切れ変更画面に直接アクセスした場合、不適切なメッセージが表示されます。

  • ログインユーザが以下のURLに直接アクセスした場合、「パスワード期限切れ変更」画面が表示されます。
    • http://<HOST>:<PORT>/<CONTEXT_PATH>/user/password/expire
    その際、画面上に以下のメッセージが表示されていますが、実際には有効期限は切れていません。
    • 「パスワードの有効期限が切れています。」
    • 「初回ログインです。」(初回ログインの場合)
    なお、この画面にアクセスした時点でログアウト状態です。
    また、パスワードを入力して「変更」ボタンをクリックした場合、正常にパスワードの変更が行われます。
    パスワード変更後、「パスワード期限切れ変更」画面を表示したユーザで再ログインします。

9.2.4.5. SSO(SingleSignOn)環境での注意点があります。

  • intra-mart Accel Platform が SSO環境で運用している場合
    intra-mart Accel Platform のログイン画面を経由したログインはサポートしません。
    ログイン画面は表示されますが、ログイン画面からログインしたユーザにかかわらず、SSOで指定されたユーザで自動ログインします。
    なお、SSO環境では、任意のURLに対して、自動ログインを行いますので、ログイン画面を利用する必要はありません。

9.2.4.6. 画面アクセス時にInvalidClassExceptionエラーが発生する場合があります。

  • 2012 Winter 以前の war を運用し、かつセッションフェイルオーバー等でセッションが永続化されている状態で、war を 2013 Spring 以上のバージョンに更新後画面表示を行うと、下記のエラーが発生します。
    java.io.InvalidClassException: jp.co.intra_mart.system.security.certification.sso.SSOContextCachingStrategyAdapterImpl; local class incompatible: stream classdesc serialVersionUID = 539561492263087033, local class serialVersionUID = -6392005577997211593
    
    一度セッションタイムアウトやログアウト等によりセッションを再作成することにより、回避できます。

9.2.4.7. リクエスト情報を利用したテナント自動解決機能が有効な場合、システム管理者のログインに失敗すると、アクセスできなくなる場合があります。

  • 以下の条件を全て満たす場合、システム管理者のログインに失敗すると HTTP500エラーが発生します。

    ・リクエスト情報を利用したテナント自動解決機能が有効
    ・テナントID必須チェックが有効
    ・テナント自動解決ができないURLを利用してシステム管理者の「ログイン」画面にアクセスした場合

    この事象が発生すると、「ログイン」画面に戻る為のボタンが表示されません。
    本現象が発生した場合は、再度「ログイン」画面を表示してください。

    また、以下の条件を全て満たす場合は、システム管理者のログインに失敗すると、正常に認証エラー画面に遷移しますが、2回目のログインに失敗します。
    (「ログイン」画面に戻るをクリックして「ログイン」画面に遷移すると、リクエストURLが変更されるため、ログイン時に HTTP403エラーが発生します)

    ・リクエスト情報を利用したテナント自動解決機能が有効
    ・ テナントID必須チェックが無効
    ・server-context-config.xml に設定したベースURLとデフォルトテナントに設定したベースURLが異なる
    ・server-context-config.xml に設定したベースURLを利用してシステム管理者の「ログイン」画面にアクセスした場合

    本現象が発生した場合は、 server-context-config.xml に設定したベースURLを利用して再度「ログイン」画面を表示してください。

    なお、上記2つの事象は、正しいユーザコード、パスワードを入力した場合には発生しません。

9.2.4.8. 統合Windows認証利用時には、「システム管理」画面で認証ダイアログが表示される場合があります。

  • imuiListTable などの Ajax 通信等により、 ブラウザがシステム管理機能以外のURL(/system/ 以外の URL)にリクエストを送信してしまうためです。
    認証ダイアログが表示された場合は、利用している端末のWindowsにログインしているユーザとパスワードを入力してください。

9.2.4.9. ログインセッション管理・二重ログイン防止機能の対象外となる認証処理があります。

  • 以下の機能における認証処理では、二重ログイン防止機能は動作しません。
    ログインセッション情報の登録状況は以下の通りです。
    機能名 ログインセッション情報
    統合Windows認証(*1)
    登録される
    IM-SecureSignOn(*1)
    登録される
    SAML認証機能(*1)
    登録される
    LDAP認証(*2)
    登録されない
    Webサービス
    登録されない
    外部ソフトウェア連携
    登録されない
    OAuth認証
    登録されない
    *1
    統合Windows認証、IM-SecureSignOnだけでなく、SSOユーザコードプロバイダを利用したSSO自動ログイン処理を行っている箇所も該当します。

    *2
    LDAP認証は、以下の方法でログインセッションの登録、および、二重ログイン防止機能を動作させることが可能です。

9.2.4.10. 同時に複数のブラウザから同じユーザでログインを行った場合、二重ログインチェックが正しく行われないことがあります。

  • ログインセッション情報はログイン処理実行後に登録されるため、同時に複数のブラウザからログイン処理が行われた場合、
    ログインセッション情報が登録される前に二重ログインチェックを通過してしまうため、チェックが正しく行われないことがあります。

9.2.4.11. 統合Windows認証利用時にログインに失敗することがあります。

  • Windowsではユーザコードの大文字・小文字を区別しない仕様であるため、統合Windows認証が返却するユーザコードは大文字・小文字が不定です。
    intra-mart Accel Platform では、ユーザコードの大文字・小文字を区別するため、場合によってはログインできず、HTTP 500 エラーが発生します。

9.2.4.12. 認証確認対象のURLには、Ajaxでアクセスする前提のURLは設定できません。

  • 認証確認対象のURLには、Ajaxでアクセスする前提のURLは設定しないでください。
    認証確認機能は、画面遷移を伴う機能です。
    Ajax のように画面遷移を伴わないリクエストでは、認証確認後に再度リクエストを送信できないため、利用できません。

9.2.4.13. 統合Windows認証 / IM-SecureSignOn for Accel Platform をインストールした環境では、OAuth認証モジュールを利用する事はできません。

  • intra-mart Accel Platform では、OAuth認証モジュールをインストールすることでOAuth 2.0を利用する事が可能です。しかし、統合Windows認証 / IM-SecureSignOn for Accel Platform をインストールした場合には利用する事ができません。
    OAuth認証モジュールを利用する場合は、該当する認証とは別に標準ログイン画面を経由する必要があります。

9.2.4.14. IM-SecureSignOn for Accel Platform をインストールした環境では、Web API Maker を利用する事はできません。

  • IM-SecureSignOn for Accel Platform をインストールした環境では、Web API Makerの一部の機能を利用する事はできません。該当の環境では、Basic認証、OAuth機能を利用したAPIが利用できません。

9.2.4.15. 統合Windows認証 をインストールした環境では、Web API Makerの一部の機能を利用する事はできません。

9.2.4.16. IM-SecureSignOn for Accel Platform をインストールした環境では、Basic認証を利用した IM-LogicDesigner のREST API を利用する事はできません。

  • IM-LogicDesigner では、ロジックフローをREST IM-LogicFlowでは、ロジックフローをREST APIとして公開することが可能です。公開する際に、Basic認証を利用するREST APIとして設定することが可能ですが、 IM-SecureSignOn for Accel Platform をインストールした環境では、Basic認証を利用するREST APIを実行できません。

9.2.4.17. 統合Windows認証 をインストールした環境では、Basic認証を利用した IM-LogicDesigner のREST API を利用する事はできません。

  • IM-SecureSignOn for Accel Platform では、ロジックフローをREST APIとして公開することが可能です。公開する際に、Basic認証を利用するREST APIとして設定することが可能ですが、統合Windows認証 をインストールした環境では、標準ではBasic認証を利用するREST APIを実行できません。
    リクエスト時に統合Windows認証機能を無効化するオプションを付与することで、Basic認証を利用するREST APIを実行することが可能です。

    リクエスト時に統合Windows認証機能を無効化する方法については、「intra-mart Accel Platform セットアップガイド」の「統合Windows認証機能をリクエストに応じて無効化するには」を参照してください。

9.2.4.18. スマートフォンではSAML認証後のログアウトでシングルログアウトできません。

  • スマートフォンでSAML認証を利用してシングルサインオンを行った状態でログアウトを行うとき、SAML認証先を同時にログアウトできません。
    ログアウトを行ってもSAML認証先のログイン状態は維持されます。ただし、SAML認証先のログイン有効期間が終了することでSAML認証先のログイン状態も解除されます。

9.2.4.19. 統合Windows認証利用時には Keep-Alive を有効化する必要があります。

  • 統合Windows認証利用時には Keep-Alive を有効化する必要があります。
    Application Request Routing の Keep-Alive(IIS とアプリケーションサーバ間の Keep-Alive)、 IIS の HTTP 応答ヘッダの Keep-Alive(クライアントと IIS 間の Keep-Alive)の両方を有効化する必要があります。

9.2.4.20. 認証アプリでのアカウント登録が正常に行えない場合があります。

  • アカウント登録が行えなくなる可能性があるアプリ認証設定は以下の通りです。
    • アルゴリズム設定
      • SHA1 以外の値を設定した場合
    • 認証コードの桁数の設定
      • 6 以外の値を設定した場合
    • 認証コードの生成間隔の設定
      • 30 以外の値を設定した場合
    上記の設定の変更により、アカウント登録が行えなくなるケースは以下の通りです。
    • Android の Google Authenticator を利用している場合
    • Google Authenticator へのアカウント登録をバーコードを利用せずに手入力で行った場合

9.2.4.21. 多要素認証機能の対象外となる認証処理があります。

  • 以下の機能における認証処理では、多要素認証機能は動作しません。
    機能名
    統合Windows認証(*1)
    IM-SecureSignOn(*1)
    SAML認証機能(*1)
    Basic認証機能
    Webサービス
    外部ソフトウェア連携
    OAuth認証
    *1 統合Windows認証、IM-SecureSignOnだけでなく、SSOユーザコードプロバイダを利用したSSO自動ログイン処理を行っている箇所も該当します。

9.2.4.22. IM-SecureSignOn環境においてシステム管理者での利用はできません。

  • IM-SecureSignOn環境においてシステム管理者での利用はできません。
    システム管理者で利用する場合はWebラッパーを経由せずにアクセスしてください。