HTTPサーバー Alaska に対してパスの要求を行わないで、IPアドレスだけで、接続を開始すると
Alaska はブラウザに対してログインを要求します。
このことを「ユーザー・ログイン機能」と呼びます。
1. ユーザー認証(Basic認証)
使用可能なユーザーの制限
5250 エミュレータではなく AutoWeb を使うほうが
機密保護の優位性において優れています。
それは AutoWeb では使用可能なユーザーを制限できることです。
例えば 5250エミュレータであればパスワードを知っていれば
QSECOFR でもサイン・オンが可能です。
しかし AutoWeb の場合はユーザー毎に使用可能か
または使用不可能かを設定することができます。
【AutoWeb構成(GO AUTOWEB) の2. 実行環境の設定(WEBENV)の一部】
#------------------------------------------------------ # 使用ユーザーの設定 *USE/*EXCLUDE # # AUTOWEB を使用できるユーザー・プロフィールを # 制限または特定することができます。 # # ALWUSER ( ユーザー ) *USE : 使用可能 # ALWUSER ( ユーザー ) *EXCLUDE : 使用不可 # ALWUSER OTHER *USER または *EXCLUDE # # -- OTHER はその他のユーザーを示します。 # *USE または *EXCLUDE で指定された残りのユーザーに # ついて指定してください。 # OTHER は ALWUSER の最後に指定してください。 #------------------------------------------------------ ALWUSER QSECOFR *EXCLUDE ALWUSER QTR *EXCLUDE ALWUSER OTHER *USE
ALWUSER QSECOFR *EXCLUDEは、ユーザー・プロフィール QSECOFR は
AutoWeb ではログインを認めないことを意味しています。
上記の記述ではユーザー: QSECOFR と QTR はログインは不可能で
それ以外(OTHER) のユーザーはログイン可能であることを示しています。
Basic認証とは
Basic認証とは HTTPプロトコルの
基本認証として定められている認証方法であり、
- ブラウザがBasic認証ダイアログを表示する。
- ブラウザが認証ダイアログで入力されたユーザー、パスワードを
ASCII 6ビットに暗号化してHTTPサーバーに送信する。 - HTTPサーバーが暗号化したデータを解析する。
- Basic認証はセッション単位で有効であり、ブラウザを閉じるまで
すべての送信データに Basic認証データが付加される。 - Basic認証では明示的に装置名を指定することができません。
Basic認証における装置名の命名は自動発生です。
従って Basic認証を使うには、IBM i の
システム値は次のように定める必要があります。
これらの設定はQPADEVxxxxx型式の仮想端末の台数をQAUTOCFG (自動構成装置) 1=オン QAUTOVRT (仮想装置の自動構成) *NOMAXまたは十分大きな数
最大数(QAUTOVRT) に達するまで
自動作成が可能(QAUTOCFG=1) であることを意味します。
もし現在において十分な数の QPADEVxxxxx が存在しているなら
QAUTOCFG=0 かつ QAUTOVRT=0 であっても
利用可能なQPADEVxxxx型式の仮想端末があれば問題なく接続することができます。
現在の社内の IBM i 上では QPADEVxxxx 型式の仮想端末が一台もなく、
かつ、これからBasic認証を利用したいのであれば
上記のようにシステム値を変更する必要があります。
Basic認証ではQPADEVxxxx型式以外でも
PCクライアントの名前やユーザー名を装置名とすることも可能ですが、
その場合でも上記のシステム値が適切にセットされていることが必要となります。 - Basic認証を使うには2. 実行環境の設定(
WEBENV)で
次のように*YESが指定されていなければなりません。【AutoWeb構成(GO AUTOWEB) の2. 実行環境の設定(WEBENV)の一部】
#------------------------------------------------------ # Basic認証 *YES/*NO #------------------------------------------------------ BASICAUTH *YES
Basic認証における装置名の取得
Basic認証では認証ダイアログで装置名を指定することができませんが
装置名を規則的に自動生成することができます。
装置名の命名を
- QPADEVxxxx の形式で自動生成する
- クライアントPCの名前を装置名とする
クライアントPCの名前に A〜Z, および _ (アンダー・スコア) , 1〜9 以外の文字、
例えば-や#などの特殊文字が含まれている場合は、
その特殊文字は除去した文字列として解釈され
先頭から 10文字までが装置名として使用されます。 - ユーザー名を装置名とする
のいずれかを選択することができます。
【AutoWeb構成(GO AUTOWEB) の2. 実行環境の設定(WEBENV)の一部】
#------------------------------------------------------ # 端末ジョブ名の取得 *AUTO, *PC または *USER # + ライブラリー指定可能 # *AUTO = QPADEVXXXX 形式で自動発生 # *PC = PC の名前を装置名として使用 # *USER = ログイン・ユーザー名を装置名として使用 #------------------------------------------------------ DEVNAME *AUTO # DEVNAME *PC
2. フォーム認証
Basic認証のようにWindowsの認証ダイアログによって認証を入力するのではなく
独自に専用ダイアログを用意して認証を行う方法をフォーム認証と呼びます。
AutoWeb では初めは Basic認証を導入時の認証方式としていましたが
今ではフォーム認証を導入時の設定として推薦される認証方式としています。
AutoWeb には製品としてのダイアログ・フォームが用意されていますが
ユーザー独自のダイアログをユーザーの責任において作成することもできます。
フォーム認証を使う大きな理由は
- 装置名を指定できる
-
5250適用業務で装置名を指定することは、とても重要となります。
多くの適用業務では実行したジョブの印刷待ち行列(OUTQ)の決定が装置名に依存しているからです。
ログイン(サイン・オン)する都度、不定期に装置の名前が変わってしまうBasic認証では
実行ジョブのOUTQをどれに割り振ればよいか決めることができません。
多くの5250エミュレータでの実行では装置名をPC毎に割り振っていたはずです。
Webフェーシングでも同じ理由で装置名を割り振ることが必要となります。
フォーム認証では初めてのログイン時に装置名を指定してログインすれば、
その装置名はそのPCクライアントのCookie に保存されます。
そして次回以降は Cookieに保存しておいた装置名が
フォーム認証ダイアログに自動的に初期値として表示されます。
この場合、装置名はグレーアウトし、変更できなくなります。
これは、装置名の意図せぬ変更を避けるためです。
装置名を再度変更するには、「F5」キーを押してください。
装置名が白色に戻り、変更出来るようになります。 - 独自のフォーム・デザインを利用できる
- 入力デザインかせ好みや事情に応じて指定することができます。
ダイアログだけでなく他のフォームの一部にログイン・エリアがあるのは最近の流行といえます。 - システム値を変更する必要がない
- Basic認証のように
システム値:QAUTOCFGやQAUTOVRTを変更する必要がありません。
これらの値が変更されていると仮想端末が不用意に生成されてしまいます。
システム値の変更がなければその心配はありません。 - ユーザー、パスワードを暗号化できる
-
Basic認証の最大の利点はユーザー、パスワードが
BASE64 という ASCIIコードに暗号化されて送信されることでした。
ユーザー、パスワードなどは重要な機密事項ですから暗号化しておかないと
TCP/IPネットワークが傍受されてキャプチャーされると
ユーザー、パスワードがそのまま目に見えてしまいます。
AutoWeb ではフォーム認証でも
BASE64 に暗号化されて送信することができるようになりましたので
省略値としてフォーム認証を採用するようになりました。ご参考までに BASE64 にエンコードされると一目見ても解読はできませんが
高度な技術を持つハッカーであればプログラムによって
BASE64 をデコード( コード解読)することは可能です。
従ってBASE64 といえども完璧な機密保護となるわけではないことをご承知ください。
より完全な機密保護を求めるのであれば SSL による通信が必要となります。
IBM i も認証局としてSSLの認証を行える機能を保有していますが
SSL の設定には通信の専門的な技術の知識が必要となります。
潟Iフィスクアトロではお客様に代わりましてSSLを設定するサービスを
行っておりますので弊社ヘルプ・デスクまでお問い合わせください。 - フォーム認証を使うには WEBENV で Basic認証を *NO に設定し、
FORMPATH にフォーム認証のパスを登録してください。
【AutoWeb構成(GO AUTOWEB) の2. 実行環境の設定(WEBENV)の一部】
#------------------------------------------------------ # Basic認証 *YES/*NO #------------------------------------------------------ BASICAUTH *NO #------------------------------------------------------ # フォーム認証 #------------------------------------------------------ FORMAUTH /AS400-NET.USR/TEMPLATE/LOGIN/LOGIN.HTM
FORMPATHの省略時の値: /AS400-NET.USR/TEMPLATE/LOGIN/LOGIN.HTM は
導入時のログイン・ダイアログです。
ユーザー独自のフォーム認証ダイアログを作成して、
そのパスを FORMPATH に指定することもできます。
ただし上記の LOGIN.HTM をユーザー用に修正したものを
同じ名前の LOGIN.HTM として置き換えないでください。
PTF やリリース・アップによって予告なくLOGIN.HTM が上書きされてしまうからです。
ユーザー独自のフォーム・ダイアログを作成する場合は
管理はユーザーの責任の範囲内として行ってください。
表示装置サイズ
起動される表示装置のサイズを指定することができます。
DSPSIZ 1=24*80 または 2=27*132 を選択することができます。
DSPSIZ 2 であれば 24*80 で設計された適用業務画面(DSPF)も表示することができます。
適用業務によっては 24*80 と 27*132 の両方をサポートしているものもありますので
ここでは、そのどちらを優先するのか判断して指定してください。
【AutoWeb構成(GO AUTOWEB) の2. 実行環境の設定(WEBENV)の一部】
#------------------------------------------------------ # 表示装置サイズ 1=24 * 80, 2=27 * 132 #------------------------------------------------------ DSPSIZ 2
自動応答の登録
5250エミュレータではサイン・オンと同時に
様々なメッセージが表示されて実行キーを押して応答しますが
Web化ではこのようなメッセージに対しては
自動応答して表示させなくするようにできます。
【AutoWeb構成(GO AUTOWEB) の2. 実行環境の設定(WEBENV)の一部】
#------------------------------------------------------ # 自動応答の処置 #------------------------------------------------------ Default_Action 続行するためには,実行キーを押してください。 ENTER Default_Action Press Enter to continue. ENTER Default_Action 応答を入力して,実行キーを押してください。 ENTER Default_Action 応答を入力して(必要な場合),実行キーを押してください。 ENTER Default_Action 再開始するためには,実行キーを押してください。 ENTE # Default_Action メッセージ表示 ENTER # Default_Action PCと連絡することはできません。 ENTER
フォーム認証における装置名の派生
フォーム認証において装置名を明示的に指定して実行する場合
1. 単一のセッションだけで装置名を使用する場合
これはブラウザのセッションは複数個、起動することはなく単一のセッションだけの
起動で装置名を明示的に指定して起動する場合を意味します。
この場合、システム値 :
| QAUTOCFG (自動構成装置) | 0=オフ |
|---|---|
| QAUTOVRT (仮想装置の自動構成) | 0=これ以上の仮想装置は増やさない |
であっても構いません。
AutoWeb によって接続されるセッションは
既存の仮想装置だけを使用して起動することを意味します。
2. 複数セッションで装置名の派生が必要な場合
これは同じ装置名によって複数個のセッションを同一クライアント内に起動するケースを意味します。
5250エミュレータで DSP01 という名前の装置名で複数のセッションを起動すると
2つめ以降の装置名は DSP01S01, DSP01S02, .... のように
接尾語 S01, S02, ...が付加されて起動されるのと似ています。
この場合、システム値 :
| QAUTOCFG (自動構成装置) | 1=オン |
|---|---|
| QAUTOVRT (仮想装置の自動構成) | *NOMAX または十分大きな値 |
である必要があります。
つまり DSP01S01 のような派生した装置を
自動的にシステムに作成させることを許可しなければなりません。
もちろんDSP01S01, ... のような派生装置が十分な数だけ既に存在しているのであれば
AutoWeb はそれらの候補を次々と探しにいきます。
【派生装置名の命名について】
派生の接尾語を S01, S02, ... ではなくアルファベッドで A, B, ... と付加したり
あるいは数字で 1, 2, .... のように付加することができます。
いずれの規則によって命名するかは 5250エミュレータでは
通信の設定によってクライアントで登録してしましたが
AutoWeb では実行環境の設定(WEBENV)としてサーバー側に登録します。
#------------------------------------------------------
# 装置の自動生成
# QAUTOVRT=1 のときに装置が使用中であれば
# 代替装置名を自動生成します。
# SUBDEV には自動発生で付加する文字列を指定します。
# 指定できる文字列は一通りだけです。
# [ 例 ]
# S01 : S01, S02, .... と付加します。
# 1 : 1, 2, .... と付加します。
# A : A, B, ... と付加します。
#------------------------------------------------------
SUBDEV S01
3. ブラウザ要求処理の開始
次に、ユーザーおよびパスワードによって正しく認証を完了すると仮想端末ジョブが起動されます。
ブラウザからの要求を処理するのは以下のような HTTPサーバー : Alaska の配下で待機している
AURORA_EGN という名前の子プロセス(JOB) です。
ブラウザからの要求を処理するのは、複数ある中でどの子プロセスが受け取るかは一定の法則はありません。
Alaska はブラウザからの要求があるというメッセージを、これらの子プロセス達に一斉に配布するだけです。
どの子プロセスがこのメッセージを受け取るかは不定です。
しかし、HTTPサーバー Alaska と AURORA_EGN(オーロラ・エンジン) との構造は IBM が推薦する最も適切な
マルチスレッド・サーバーとしての構造を持ち、ロード・バランサーとしての役割も兼ねて、
最も負荷が少なくなるように設計されています。
4. 仮想端末の起動
仮想端末ジョブはサブ・システム ENTPRSSVR の配下ではなく、通常貴社で設定されている
対話型サブ・システムの配下で起動します。
ジョブ名は、通常は QPADEVxxxx 形式による i5/OS による自動発生ですが EnterpriseServer の
「サーバー管理メニュー」の「遠隔装置名の登録」によって固定IPアドレス毎に装置名を登録しておけば、
クライアントごとに明示的なジョブ名を使用することができます。
次の図は Alaska、AURORA_EGN と仮想端末ジョブとの関連を表しています。
5. 自動ログイン
自動ログインとは
自動ログインとは URL に認証情報も付加しておいて認証情報も
同時に送信することによりダイアログによる認証の入力(ユーザー、パスワード)を
省略して AutoWeb を起動する方法のことを指しています。
通常のAutoWebの始動
通常のAutoWebの始動は (ドメインURL) だけを指定するものでした。
【例】 IP: 192.168.1.1 の IBM i への接続
これに対して (ドメインURL)/ の後ろに / に続いて
(ユーザー):(パスワード) を打鍵すれば自動認証が行われます。
認証ダイアログは表示されることなくログインは完了してそのユーザー・プロフィールに
初期プログラムまたは初期メニューが表示されます。
自動ログインとは
前述の (ユーザー):(パスワード) に続いて : で区切って装置名を指定することができます。
ショートカットにログイン認証を登録する
Windows のデスクトップに 認証情報(ユーザー、パスワード等)を指定したURLを
ショートカット・アイコンとして登録しておけばショート・カットをクリックして
起動するだけでログイン認証の手続きを省略した自動ログインを行うことができます。
ただしショート・カットの登録はユーザー、パスワードなどの
認証情報の漏洩に繋がる可能性があります。
認証情報の管理につきましてはお客様ご自身の責任の範囲内にてお願い致します。
リンクによる自動ログイン
自動ログイン機能はWindowsデスクトップ上のショートカットとして
登録するだけでなくポータル・サイトのような自社サイトから
リンク・タグを使ってリンクをクリックするだけで起動するように
構成することができます。
【例】
<a href="http://192.168.1.1/MN00:MN00><メイン・メニューの開始></a>
※ プログラムを個別に指定して起動することもできます。
「指定プログラム始動」を参照してください。
6. 指定プログラム始動
指定プログラム始動とは
指定プログラム始動とはログインと同時に開始プログラムも指定して始動することを意味します。
自動ログインだけでは、ログインに指定したユーザー・プロフィールに
定義されている「初期プログラム」が最初のプログラムとして始動されますが、
「指定プログラム始動」とはユーザー・プロフィールに
定義されている「初期プログラム」よりも優先して始動されるプログラムのことです。
すなわちユーザー・プロフィールによるログインと開始するプログラムも
合わせて指定することができるのが、この「指定プログラム始動」です。
「指定プログラム始動」の URL を通常の HTML サイトに埋め込んでおくと
エンド・ユーザーはクリックするだけでその機能を呼び出すことができるようになります。
これはあたかも一般に見受けられる Web サイトの機能のひとつに見えます。
つまり Web サイトの一部の例えば照会機能だけを
AutoWeb (つまり RPG や COBOL )で作成しておいて
クリックするだけで AutoWeb の機能を呼び出すことができ、
通常の CGI と変わらない機能を AutoWeb で実現することができるようになります。
※ 指定プログラム始動は制限機能 ( LMTCPB ) が指定されている ( *NO 以外)
ユーザー・プロフィールでは使用することはできません。
制限機能 ( LMTCPB ) とはエンド・ユーザーのコマンド入力を禁止する機能です。
DSPUSRPRF (ユーザー・プロファイル表示) コマンドによって
ユーザー・プロフィールをご確認ください。
【例1】 IBM i [192.168.1.1] にユーザー [MN00] :パスワード [MN00] で
ログインしてライブラリー [QTROBJ] のプログラム [MAPCL] を起動する。
http://192.168.1.1/AUTOWEB#USER=MN00&PASS=MN00&CGI=MAPCL&CGILIB=QTROBJ
http://(IBM iドメイン)/AUTOWEB#USER=(ユーザー名)&PASS=(パスワード)&CGI=(プログラム名)&CGILIB=(ライブラリー名)
【例2】例1に加えて、装置名 [DEV01] を指定する。
http://192.168.1.1/AUTOWEB#USER=MN00&PASS=MN00&CGI=MAPCL&CGILIB=QTROBJ&DEV=DEV01
http://(IBM iドメイン)/AUTOWEB#USER=(ユーザー名)&PASS=(パスワード)&CGI=(プログラム名)&CGILIB=(ライブラリー名)&DEV=(装置名)
始動プログラムの考慮点
指定プログラム起動では、ユーザー・プロファイルで設定された初期プログラムは実行されません。
初期プログラムの代わりに、指定したプログラムがいきなり実行されます。
従いまして、ユーザー・プロファイルの初期プログラム中でライブラリー・リストやOUTQを変更していた場合は、
それらは反映されません。
指定プログラム起動を使用する場合は、この点に留意する必要があります。
【例】 EXTFILE を指定して使用するファイルを明示的に指定する。
... F-仕様書の EXTFILE キー・ワードを指定すると
ライブラリー・リストにないファイルを実行時に指定することができます。
FSMP111FM CF E WORKSTN
F EXTFILE('QTROBJ/SMP111FM')
:
FSHOHIN IF E K DISK EXTFILE(SHOHIN_LIB)
:
D SHOHIN_LIB S 13 INZ('QTRFIL/SHOHIN')
リンクによる指定プログラム始動の組込み
例えば次のような a href タグを HTML に組み込むと
クリックするだけで AutoWeb で指定したプログラムを呼び出して実行することができます。
a href=""(リンクタグ)によるAutoWeb適用業務の起動
<a href="http://192.168.1.1/AUTOWEB#USER=...CGI=..."><Google Map照会></a>
「Google Map照会」をクリックすれば
http://192.168. ...で指定したプログラムが起動されます。
POPUPウィンドウによる指定プログラム始動
POPUP ウィンドウとしてプログラムを始動したい場合は
JavaScript の window.open を使います。
JavaScript と言っても window.open は
window.open( URL, ウィンドウ名[, オプション])
という簡単な構造です。前述の a href タグを使うのであれば
<a href="javascript:window.open('http:// ...AUTOWEB.HTM? ...', 'Google Map');">Google Map照会</a>
のように書くことができます。
オプションが必要であれば
'width=400, height=300, menubar=no, toolbar=no, scrollbars=yes'
のように POPUP のサイズや形状も合わせて指定することができます。
POPUP の記述方法はインターネットに多くのサンプル・ソースが紹介されていますので
自分のとってわかりやすいサイトを探しておいてください。
指定プログラム始動を使う利点
指定プログラム始動を使えば AutoWeb による画面を
どのような HTML にでも呼び出しをリンクとして組み込むことができます。
これは一般的な CGI の起動方法と同じです。
つまりこれまでの 5250 適用業務のようにサイン・オンに始まって
メニューの中からプログラムを起動するのではなく
ポータル・サイトのような Web サイトの中で直接、ログインを省略して
プログラムを AutoWeb で呼び出すことができます。
従来では Web フェーシングがあったとしても、やはりサイン・オンに始まって
メニューの中から選ぶ、という形式にしか Web フェーシングは使うことができませんでした。
AutoWeb の「指定プログラム始動」を使えば社内で RPG や COBOL で普通に
5250 適用業務として開発したプログラムを Web サイトを構築するオブジェクトの
ひとつとして自由に応用することができます。
これで真に Web 化ができたことになります。
【注意】ログイン情報は必須です
指定プログラム始動に記述する起動の文字列( /AUTOWEB.HTM# ...)には
USER= ... &PASS= ... のログイン情報は必須です。
ログイン情報がないとAutoWebは指定プログラムを始動することが出来ません。
7. ログイン背景画像の設定
ログイン画面の背景画像
AutoWeb/2.0ではログインダイアログの背景に表示される画像を
自由に設定できるようになりました。
GO ASNET.COM/SERVERメニューの「21.ALASKA HTTP構成の処理」(ASNET.USR/HTTPCFG)
で次のように記述することができます。
#-------------------------------------------------------------------------- # サインオン画面の背景画像の定義 # 複数設定も可能です。 # 複数設定すると、サインオン画面を表示する度にランダムに変わります。 #-------------------------------------------------------------------------- SIGNON_WALLPAPER /AS400-NET.USR/IMG/WALLPAPERS/OIRASE.JPG SIGNON_WALLPAPER /AS400-NET.USR/IMG/WALLPAPERS/TAKASHIMA.JPG SIGNON_WALLPAPER /AS400-NET.USR/IMG/WALLPAPERS/TSUNOSHIMA.JPG SIGNON_WALLPAPER /AS400-NET.USR/IMG/WALLPAPERS/SHIROKUMA.JPG SIGNON_WALLPAPER /AS400-NET.USR/IMG/WALLPAPERS/ALASKA.JPG
SIGNON_WALLPAPERディレクティブはログイン・ダイアログの背景画像の
IFSパスを記述します。
SIGNON_WALLPAPERディレクティブを複数個記述した場合はログインの都度
どれかの画像がランダムに表示されます。
8. Webユーザー認証
Webユーザー認証
Webユーザー認証とはユーザー・プロファイルにAutoWebでのみ使用可能な「別名(ユーザー名・パスワード)」をつける機能です。
(匿名で代理ユーザーでのログインと考えることも出来ます。)
この「別名」はAutoWebでのみ有効であり、
他のエミュレータやFTPなどではサインオンが出来ません。
これはWeb上でたとえユーザー名を認識したとしてもそのユーザー名では
第三者が5250エミュレータを使ってサインオンすることを防ぐためのものです。
あるユーザー・プロファイルに別名を割り当て、
エンド・ユーザーには別名のみを公開することで
セキュリティを気にすることなくWeb公開することが可能です。
Webユーザー認証の登録方法
Webユーザー認証はAutoWebの設定ファイル内にて設定します。
#------------------------------------------------------ # Webユーザー認証 # Web表示用 IBM内部 # ユーザー パスワード ユーザー パスワード #------------------------------------------------------ WEBUSER WEBUSR *NONE MN00 MN00 WEBUSER WEBUSR2 PASS2 MN00 MN00
上記の記述では AutoWebにユーザー: WEBUSR パスワード: 無しでサインオンすると
実際はユーザー・プロファイル MN00/MN00 が動作します。
同様にユーザー: WEBUSR2 パスワード: PASS2 でサインオンすると
実際はユーザー・プロファイル MN00/MN00 が動作します。
WEBUSERの設定を変更した場合は、HTTPサーバーAlaskaの再起動が必要です。
Webユーザー認証は、自動ログインや指定プログラム始動と併用することも可能です。
【例】
http://192.168.1.1/WEBUSR:
この例ではユーザー: WEBUSR パスワード: 無し を指定しているので
ユーザー・プロファイル MN00/MN00が自動で起動します。