モバイル クライアントの 基 本 認 証 QlikView テクニカル ブリーフ Published: November, 2011 www.qlikview.com
はじめに QlikView Server をインストールする 際 標 準 セキュリティ 構 成 ではユーザー 表 示 に Windows アカウントが ユー ザーの 認 証 に NTLM が 使 用 されます ローカル エリア ネットワーク 上 では Active Directory の 構 成 は 非 常 に 簡 単 です しかしながら モバイル デバイスの 使 用 が 普 及 したことで NTLM 使 用 時 に 共 通 の 問 題 が 生 じています NTLM は Microsoft プロトコルであるため Microsoft 以 外 の 技 術 は NTLM の 使 用 に 問 題 を 抱 えています その ため Microsoft ブラウザを 使 用 しないモバイル デバイス 上 では 特 に 問 題 が 発 生 します また ブラウザと リバー ス プロキシまたは DMZ などの Web サーバー 間 で 他 のネットワーク インフラを 使 用 すると NTLM による 問 題 が 頻 繁 に 発 生 します SSL で 基 本 認 証 を 使 用 することは NTLM の 代 替 となる 安 全 な 方 法 です このテクニカル ブリーフでは IIS で 機 能 する 基 本 認 証 の 構 成 方 法 とユーザーを 表 示 する Windows アカウントについて 説 明 します このテクニカル ブリーフは 一 般 的 なQlikView 導 入 におけるセキュリティ 問 題 の 対 処 方 法 を 詳 細 に 述 べてい るQlikView Security Overview Technology White Paperの 付 属 ドキュメントです 基 本 認 証 とは? 基 本 認 証 は 標 準 認 証 プロトコルであり ユーザーはコンテンツにアクセスする 際 に 有 効 なユーザー 名 とパスワードを 提 供 する 必 要 があります この 認 証 プロトコルには 特 別 なブラウザは 不 要 です すべての 主 要 ブラウザがこのプロトコル をサポートしています 基 本 認 証 はファイアーウォールとプロキシ サーバーでも 機 能 します 基 本 認 証 はいわゆる HTTP 認 証 プロトコルの 1 つであり Web 機 能 の 一 部 です ユーザーが Web ページに 詳 細 情 報 を 入 力 するフォーム 認 証 とは 対 照 的 です すべての HTTP 認 証 プロトコルと 同 様 に ブラウザが 標 準 ポップアップ ウィンドウにユーザー 名 とパスワードの 入 力 を 促 します Internet Explorer での 例 を 以 下 に 示 します ただし Web サーバーの QMC 設 定 のフォームを 使 用 するという 選 択 もでき この 場 合 もログイン ページが 表 示 されます 図 1: 基 本 認 証 ポップアップ ダイアログ ボックス 基 本 認 証 は 暗 号 化 されていない base64 エンコード 方 式 のパスワードをネットワーク 上 で 送 信 するため クライアン トとサーバー 間 の 接 続 が 安 全 であることを 認 識 している 場 合 にのみ 使 用 してください 暗 号 化 されていなければ ネッ トワーク トラフィックを 傍 受 する 者 は 誰 でもユーザーのパスワードを 知 ることができます 従 って セキュア ソケット レイ 2
ヤ(SSL)を 使 用 して 接 続 が 暗 号 化 されていることを 確 認 することが 重 要 です(この 要 件 は Google Yahoo Facebook など ほとんどすべての 公 開 Web サイトで 使 用 されるフォーム 認 証 の 場 合 と 同 じです) IIS 構 成 基 本 認 証 は Microsoft IIS を 使 用 している 場 合 にのみ 使 用 できます 従 って QlikView Web Server の 代 わりに Web サーバーに IIS を 使 用 する 必 要 があります Qlikview Server Reference Manual の Running Microsoft Internet Information Services セクション(Chapter 2.5 Completing the Installation)の 説 明 に 従 って Qlikview IIS Support をインストールしてください IIS の 構 成 方 法 は IIS のバージョンによって 異 なります IIS のバージョンはお 使 いの Windows のバージョンによって 異 なります 以 下 をご 参 照 ください Windows XP/Windows Server 2003 IIS 6 Windows Vista/Windows Server 2008 IIS 7 Windows 7/Windows Server 2008 R2 IIS 7.5 IIS 7 の 構 成 と IIS 7.5 の 構 成 は 同 じです 構 成 が 完 了 すると IIS は 適 切 な Web ページに 適 切 な 認 証 プロトコルが 使 用 されていることを 確 認 します 構 成 は 以 下 の 通 りです /QvAjaxZfc/Authenticate.aspx ユーザー 認 証 のためにユーザーのブラウザが 使 用 基 本 認 証 /QvAjaxZfc/AccessPointSettings.aspx QMC から Web サーバーの 構 成 を 照 会 および 更 新 するために QMS が 使 用 統 合 Windows 認 証 /QvAjaxZfc/GetTicket.aspx 外 部 認 証 システムがエンドユーザーの 認 証 のためにオプションで 使 用 無 効 化 または 統 合 Windows 認 証 その 他 すべて 認 証 プロトコルによって 保 護 できないため 匿 名 に 設 定 する 必 要 があります 基 本 認 証 を 有 効 化 する IIS 6.0 の 構 成 1. まず /QvAjaxZfc フォルダのすべての 認 証 をオフにします a. IIS Manager で[local computer]をダブルクリックし [Web Sites]フォルダを 右 クリックし /QvAjaxZfc の[virtual]フォルダを 選 択 し [Properties]をクリックします b. [Directory Security]タブをクリックし [Authentication and access control]セクションで[edit]をクリック します c. [Authenticated access]セクションで[anonymous authentication]チェック ボックスを 選 択 し それ 以 外 は 選 択 しません d. [OK]を 2 回 クリックします 3
2. 次 に /QvAjaxZfc/Authenticate.aspx に 基 本 認 証 を 構 成 します a. IIS Manager で[local computer]をダブルクリックし [Web Sites]フォルダを 右 クリックし /QvAjaxZfc の[virtual]フォルダを 選 択 し Authenticate.aspx で[Properties]を 右 クリックします b. [File Security]タブをクリックし [Authentication and access control]セクションで[edit]をクリックします c. [Authenticated access]セクションで[basic authentication]チェック ボックスを 選 択 し それ 以 外 は 選 択 しません d. 基 本 認 証 はネットワーク 上 で 暗 号 化 されていないパスワードを 送 信 するため 続 行 するかどうかを 確 認 するダイアログ ボックスが 表 示 されます [Yes]をクリックして 続 行 します e. [Realm]ボックスに QlikView などの 値 を 入 力 します これで Realm メタベース プロパティの 値 が 構 成 されます 基 本 認 証 を 使 用 している 場 合 は Realm プロパティを 設 定 すると クライアントのログイン ダイアログ ボックスにその 値 が 表 示 されます Realm の 値 は 情 報 提 供 のみを 目 的 としてクライアントに 送 信 されます 基 本 認 証 を 使 用 したクライアントの 認 証 には 使 用 されません ブラウザが 同 じ Web サイ トのさまざまな 部 分 のさまざまなパスワードを 覚 えられるようにすることがその 唯 一 の 目 的 であるため それほど 重 要 なものではありません f. [OK]を 2 回 クリックします 3. /QvAjaxZfc/AccessPointSettings.aspx および/QvAjaxZfc/GetTicket.aspx を 再 構 成 します a. 上 記 の 各 ページで 先 に 説 明 したように[Properties]タブと[File Security]タブを 開 きます b. [Windows Integrated Authentication]のみを 選 択 します c. [OK]を 2 回 クリックします 基 本 認 証 を 有 効 化 する IIS 7.0 の 構 成 1. まず /QvAjaxZfc フォルダのすべての 認 証 をオフにします a. IIS Manager を 開 き /QvAjaxZfc の[virtual]フォルダに 移 動 します 4
b. [Features View]で[Authentication]をダブルクリックします c. [Anonymous Authentication]を 有 効 化 し その 他 のオプションはすべて 無 効 化 します 5
2. 次 に /QvAjaxZfc/Authenticate.aspx に 基 本 認 証 を 構 成 します a. IIS Manager を 開 き /QvAjaxZfc の[virtual]フォルダに 移 動 します b. [Content View]をクリックします ファイルのリストが 表 示 されます c. Authenticate.aspx を 右 クリックし ポップアップ メニューから[Features View]を 選 択 します [Features View]が 表 示 され 左 の[virtual]フォルダの 下 にファイルが 表 示 されます 6
d. [Authentication]をダブルクリックします e. 基 本 認 証 を 有 効 化 し その 他 のオプションはすべて 無 効 化 します オプションで [Edit...]を 選 択 すること もできます [Edit Basic Authentication Settings]ダイアログ ボックスが 表 示 されますので Realm ( QlikView など)を 入 力 し デフォルト ドメインを 入 力 します サイトにログインしたときにドメインを 指 定 していないユーザーは このドメインに 対 して 認 証 されます 7
3. /QvAjaxZfc/AccessPointSettings.aspx および/QvAjaxZfc/GetTicket.aspx を 再 構 成 します a. 上 記 の 各 ページで 先 に 説 明 したステップ(2a~2d)を 実 行 します b. 次 に [Windows Integrated Authentication]のみ 選 択 します 8
セキュア ソケット レイヤ(SSL) 暗 号 化 の 設 定 1. IIS Manager を 開 き [Default web site] を 右 クリックし [Properties] [Directory Security] [Secure Communications] [Edit]の 順 に 選 択 します Require secure channel (SSL) にチェック マークを 入 れます 2. [OK]をクリックしてから 再 度 [OK]をクリックし 子 ノードについて 尋 ねられたら すべてのノードに 安 全 な 通 信 を 適 用 するよう 選 択 します 3. AccessPoint が https(https://localhost/qlikview)で 機 能 することを 確 認 します 証 明 書 が 証 明 機 関 で 検 証 され ていない 場 合 は 証 明 書 に 関 する 警 告 を 受 けることがあります 9