Windchill での cookie に対する HttpOnly フラグの設定
Windchill インストールでは、cookie に対するセキュリティリスクを軽減するために、HttpOnly フラグがデフォルトで設定されます。HttpOnly は、Set-Cookie HTTP レスポンスヘッダの下にあるフラグです。セキュリティの最良事例として、cookie はセキュリティ保護されていなければなりません。HttpOnly フラグの既成の設定により、クライアント側の cookie へのアクセスに対するセキュリティリスクを軽減し、すべての Windchill Web コンテンツの cookie にサーバー側からしかアクセスできないようにすることで、cookie が保護されます。
HttpOnly フラグが設定されていることを確認するには
1. Windchill アプリケーションにログインします。
2. Web ブラウザを開き、ブラウザの「開発者ツール」に移動します。
3. 「ネットワーク」タブで「表示」をクリックします。
4. 「応答ヘッダー」の下にある「Set-Cookie」の認証リクエストが正常に処理されたことを示す応答に HttpOnly フラグが含まれていることを確認します。
| Arbortext のフォームベース認証を使用して Windchill サーバーに接続する場合は、HttpOnly フラグを false に設定しなければなりません。HttpOnly フラグを false に設定する方法については、次のセクションを参照してください。 |
Windchill インストール後に HttpOnly フラグを無効にするには
1. Windchill と PTC HTTPServer を停止します。
2. $WT_HOME/tomcat にある <webAppName>.xml ファイルを開きます (ここで、<webAppName> は Windchill のインストール中に使用したファイル名です)。
| コンフィギュレーションを変更する前に、<webAppName>.xml ファイルのバックアップを作成します。 |
3. ターゲット名 installWebApp の下で、<property name="useHttpOnly" value="false"/> と入力して、プロパティ useHttpOnly の値を false に設定します。
4. $WT_ HOME/tomcat/conf/Catalina/localhost にある Windchill.xml ファイルを開きます。
<Context path="/Windchill" docBase=<WT_Home>/codebase" reloadable="false" useHttpOnly=false"> と入力して、コンテキストパスの useHttpOnly フラグの値を false に設定します。
5. Windchill と PTC HTTPServer を起動します。