過去のナビゲーションリンクのスキップSecure Global Desktop 4.40 管理者ガイド > ユーザーと認証 > アプリケーション認証の概要

アプリケーション認証の概要

このトピックの内容
  • ユーザーがアプリケーションを起動するためにリンクをクリックすると何が発生するかを理解します。

ユーザーがリンクをクリックしてアプリケーションを起動すると、アプリケーション用に設定されているログインスクリプトがアプリケーションサーバーに接続し、認証処理後、アプリケーションを起動します。ログインスクリプトを実行する SGD コンポーネントとして、実行プロトコルエンジンがあります。ログインスクリプトは、SGD アプリケーションサーバーのパスワードキャッシュに格納されているユーザー名とパスワードを送信することで、アプリケーションサーバーでユーザーを認証します。ユーザーの資格情報に問題がある場合、SGD に次のような「アプリケーション認証」ダイアログが表示されます。

「アプリケーション認証」ダイアログのスクリーンキャプチャー

「アプリケーション認証」ダイアログでは、ユーザーが自身の資格情報を入力し、アプリケーションサーバーのパスワードキャッシュに格納できます。パスワードキャッシュに格納することで、次回同じアプリケーションサーバー上でアプリケーションを実行したときに資格情報の入力を要求されなくなります。

デフォルトでは、Shift キーを押しながら Webtop 上でアプリケーションのリンクをクリックして、SGD に「アプリケーション認証」ダイアログを強制的に表示させることができます。

このページでは、次のトピックに沿って、アプリケーションサーバー認証の設定オプションについて説明します。

ログインスクリプト

ログインスクリプトの用途は、アプリケーションサーバーに対する接続の処理、アプリケーションの実行、および追加の作業の実行です。通常、ログインスクリプトでは次の作業を実行します。

また、ログインスクリプトは、アプリケーションサーバー間の相違点を識別でき、ログインプロセス中に発生する可能性のあるエラーを検査します。処理できないエラーを検出した場合、制御をユーザーに返します。

ログインスクリプトは、可能なかぎりの一般性と堅牢性を備えるように設計されています。しかし、一般的ではない状況に対処しなければならない場合もあります。たとえば、サポートされていないシステムプロンプトを使用している場合は、スクリプトが認識するプロンプトのリストに、そのプロンプトを追加できます。SGD に付属のログインスクリプトをそのまま修正せず、代わりにコピーを使用してください。

SGD に付属のログインスクリプトには、「アプリケーション認証」ダイアログの表示をカスタマイズするためのコマンドとプロシージャーが含まれています。たとえば、「ユーザー名」フィールドと「パスワード」フィールドにユーザー独自のラベルを追加できます。

アプリケーション用に使用されるログインスクリプトは、アプリケーションオブジェクトの「起動」タブの「ログインスクリプト」属性で制御されます。

Secure Global Desktop のログインスクリプトは、Tcl (version 8.4) と Expect (version 5.43) で作成されています。Don Libes により開発された Expect は、John Ousterhout により開発された Tcl を強化したもので、プログラムとやり取りを行うための追加コマンドを提供します。

パスワードキャッシュ

デフォルトでは、SGD はアプリケーションを実行するために使用するユーザー名とパスワードをそのアプリケーションサーバーのパスワードキャッシュに格納します。パスワードキャッシュ内のエントリは、暗号キーによって暗号化されます。アプリケーションを実行する際、パスワードは必要に応じて復号化されます。パスワードキャッシュ用の新規暗号キーを SGD サーバーの再起動時に常に生成するように SGD を設定できます。パスワードキャッシュ内の既存のエントリは、新しいキーによって再び暗号化されます。

SGD Administration Console では、アプリケーションサーバーのパスワードキャッシュを次のように管理できます。

コマンド行では、tarantella passcache コマンド群を使用してアプリケーションサーバーのパスワードキャッシュを管理します。

SGD Administration Console とコマンド行を使用して、パスワードキャッシュ内のエントリを一覧表示したり、削除したりすることができます。また、パスワードキャッシュ内にエントリを作成することもできます。tarantella passcache コマンドを使用すると、バッチスクリプトでパスワードキャッシュを生成できます。

各パスワードキャッシュエントリには次の要素が含まれます。

パスワードキャッシュには、ユーザーの SGD パスワードも格納できます。

アプリケーション認証の設定

SGD Administration Console では、 「グローバル設定」»「アプリケーション認証」タブの属性に基づいてアプリケーション認証を制御します。これらの属性を使用すると、次の設定を行うことができます。

Microsoft Windows ドメイン

Microsoft Windows アプリケーションサーバーでのアプリケーションの起動時に、ユーザーは「アプリケーション認証」ダイアログの「NT ドメイン」フィールドを使用して、ドメインを変更できます。「ドメイン名」属性がアプリケーションサーバーまたはアプリケーションオブジェクトで設定されている場合、またはドメインがパスワードキャッシュにキャッシュされている場合、このフィールドは自動的に入力されます。「ドメイン名」属性がユーザープロファイルでのみ設定されている場合、「NT ドメイン」フィールドは自動的には入力されません。

ユーザーの SGD パスワードが Windows ドメインパスワードでもある場合、次の条件を満たせば、ドメイン名とパスワードをキャッシュできます。

認証プロセス

ユーザーが Windows アプリケーションを起動すると、SGD は次のプロセスを実行して、使用するドメイン名とパスワードを確立します。

  1. ドメイン名がアプリケーションサーバーオブジェクトで設定されているかどうか確認する。

    ドメイン名が設定されている場合、SGD はパスワードキャッシュ内でユーザーの識別情報としてパスワードを検索します。

    ドメイン名が設定されていない場合、またはパスワードが見つからない場合、手順 2 に進みます。

  2. ドメイン名がアプリケーションオブジェクトで設定されているかどうか確認する。

    ドメイン名が設定されている場合、SGD はパスワードキャッシュ内でユーザーの識別情報としてパスワードを検索します。

    ドメイン名が設定されていない場合、またはパスワードが見つからない場合、手順 3 に進みます。

  3. ユーザーがログイン時にドメイン名のタイプを入力したかどうかを確認する。

    ユーザーが Active Directory サーバーを使用してログインした場合、ドメイン名は Active Directory サーバーから推定されます。

    ドメイン名が設定されている場合、SGD はパスワードキャッシュ内でユーザーの識別情報としてパスワードを検索します。

    ドメイン名が設定されていない場合、またはパスワードが見つからない場合、SGD はユーザーにユーザー名とパスワードの入力を要求します。

ユーザーにユーザー独自のドメインの指定を許可する場合、ユーザープロファイルオブジェクト、アプリケーションサーバーオブジェクト、およびアプリケーションオブジェクトの「ドメイン名」属性が空になっている必要があります。

また、ユーザーは、indigo\rusty のように domain\name 形式でユーザー名を入力することにより、「Windows ドメイン」属性を上書きできます。

関連トピック