SiteMinder HTTPヘッダーが改ざんされていないことをどのように信頼できますか？

すべてのトラフィックはSiteminderWeb Agentを通過する必要があるため、ユーザーがこのヘッダーを設定しても、上書き/削除されます。

すべてのSiteminderアーキテクチャは、実際、アプリケーションが「SM_」ヘッダーを信頼する必要があることを前提としています。

実際には、アプリケーションのアーキテクチャによっては、これでは不十分な場合があります。基本的に、次の3つのケースがあります。

• Webエージェントは、アプリケーションが実行されるWebサーバーにインストールされます（Apache/PHPアプリケーションの一般的なケース）。前述のように、Webエージェントによってフィルター処理されない限り、要求はアプリケーションに到達できないため、ヘッダーを信頼できます。
• Webエージェントは、アプリケーションが実行されているWebサーバーとは異なるWebサーバーにインストールされますが、同じマシンにインストールされます（通常の場合：JEEアプリケーションサーバーにサービスを提供するApacheフロントエンドにインストールされたSMエージェント）：要求ができないことを確認する必要がありますアプリケーションサーバーに直接アクセスします。アプリケーションサーバーをループバックインターフェイスにバインドするか、サーバーのポートをフィルタリングします。
• Webエージェントは、アプリケーションの前にあるリバースプロキシで実行されます。同じ発言。ここでの唯一の解決策は、アプリケーションにIPフィルターを実装して、リバースプロキシからの要求のみを許可することです。

SiteMinder r12.52には、DeviceDNA™によるEnhanced SessionAssuranceという名前の新機能が含まれています。 DeviceDNAを使用して、SiteMinderセッションCookieが改ざんされていないことを確認できます。セッションが別のマシンで再生された場合、または同じマシン上の別のブラウザインスタンスから再生された場合、DeviceDNAはこれをキャッチし、リクエストをブロックします。

CA SiteMinder r12.52の新機能について説明しているWebキャストを表示するには、ここをクリックしてください

典型的なエンタープライズアーキテクチャは、Webサーバー（Siteminderエージェント）+ AppServer（アプリケーション）です。

IPフィルタリングが有効になっておらず、Webサーバーとsso-agentをバイパスして、Web要求がAppServerに直接許可されているとします。

アプリケーションがリクエストヘッダー/ Cookieが改ざん/挿入されていないことを表明するソリューションを実装する必要がある場合、次のようなソリューションはありますか？

• 別のCookieで暗号化された、または暗号化された（Sym/Asym）SM_USERIDをSMSESSIONIDと一緒に送信します
• アプリケーションは、キーを使用してSMSESSIONまたはSM_USERIDを復号化し、ユーザーID、セッションの有効期限ステータス、および該当する場合はその他の追加の詳細と認証の詳細を取得します。
• アプリケーションはuser_idを信頼し、認証を行うようになりました