過去のナビゲーションリンクのスキップSecure Global Desktop 4.40 管理者ガイド > ユーザーと認証 > サードパーティー認証

サードパーティー認証

概要

サードパーティー認証では、外部機構で認証されたユーザーに SGD へのログインが許可されます。

SGD Webtop を使用している場合、使用できるサードパーティー認証の形式は Web サーバー認証だけです。SGD Web サービスを使用してユーザー独自の Webtop アプリケーションを開発する場合は、任意のサードパーティー認証機構を使用できます。

サードパーティー認証は、デフォルトでは無効になっています。

サードパーティー認証の動作

ユーザーは、通常は Web ブラウザの認証ダイアログを使って、ユーザー名とパスワードを外部機構に直接入力します。

サードパーティー認証は、信頼に基づきます。SGD は、サードパーティー機構がユーザーを正しく認証したものと信頼するため、SGD に対しても認証します。

次に、SGD は検索を実行して、ユーザーの識別情報とユーザープロファイルを確立します (次のセクションを参照)。検索を実行しても一致するものが存在しない場合、SGD はユーザーの識別情報を確立できないため、ユーザーはログインできません。SGD によって標準ログインページが表示されるため、ユーザーはシステム認証を使用してログインできます。

ユーザーの識別情報とユーザープロファイル

SGD は、ユーザーの識別情報とユーザープロファイルを確立するための次の検索方法をサポートしています。

複数の検索方法が有効になっている場合は、各検索方法が上記の順序で試行されます。

サードパーティー認証はあいまいなユーザーをサポートしていないので、最初に一致したものを使用します。

ローカルリポジトリの検索

この検索方法は、ローカルリポジトリを検索して、ユーザーのサードパーティーユーザー名に一致する「名前」属性を含むユーザープロファイルを探します。一致する人物オブジェクトがない場合、「ログイン名」属性を対象に、最後に「電子メールアドレス」属性を対象に検索を繰り返します。一致するユーザープロファイルがない場合は、次の検索方法が試されます。

ユーザープロファイルが見つかった場合は、そのオブジェクトがユーザーの識別情報およびユーザープロファイルとして使用されます。SGD Administration Console では、ユーザーの識別情報は user-profile (Local) として表示されます。コマンド行では、ユーザーの識別情報は .../_ens/user-profile として表示されます。

LDAP リポジトリの検索

この検索方法は、LDAP ディレクトリを検索して、cn (共通名) 属性が、ユーザーによって入力されたユーザー名と一致する人物オブジェクトを探します。一致する人物オブジェクトがない場合、uid (ユーザー名) 属性を対象に、最後に mail (電子メールアドレス) 属性を対象に検索を繰り返します。一致する人物オブジェクトがない場合は、次の検索方法が試されます。

人物オブジェクトが見つかった場合は、そのオブジェクトがユーザーの識別情報として使用されます。SGD Administration Console では、ユーザーの識別情報は LDAP-ID (LDAP) として表示されます。コマンド行では、ユーザーの識別情報は .../_service/sco/tta/ldapcache/LDAP-ID として表示されます。

次に、SGD はユーザープロファイルを検索します。ユーザープロファイルを検索するときは、「デフォルトの LDAP プロファイルを使用」または「もっとも近い LDAP プロファイルを使用」を指定できます。「デフォルトの LDAP プロファイルを使用」がデフォルトです。

「デフォルトの LDAP プロファイルを使用」が選択されている場合は、プロファイルオブジェクト System Objects/LDAP Profile がユーザープロファイルとして使用されます。

「もっとも近い LDAP プロファイルを使用」が選択されている場合、SGD は、ローカルリポジトリを検索することによってユーザープロファイルを確立します。LDAP と SGD の命名体系の差に対応することができます。SGD は、次のユーザープロファイルを、一致するものが見つかるまで検索します。

一致するユーザープロファイルがない場合は、プロファイルオブジェクト System Objects/LDAP Profile がユーザープロファイルとして使用されます。

デフォルトのサードパーティー識別情報の使用

この検索方法は検索を実行しません。

ユーザーの識別情報は、常にサードパーティーユーザー名です。SGD Administration Console では、ユーザーの識別情報は third-party-username (3rd party) として表示されます。コマンド行では、ユーザーの識別情報は .../_service/sco/tta/thirdparty/thirdparty-username として表示されます。

プロファイルオブジェクト System Objects/Third Party Profile は、ユーザープロファイルで常に使用されます。

アプリケーションセッションとパスワードキャッシュエントリ

アプリケーションセッションとパスワードキャッシュエントリは、サードパーティーの検索方法で確立された識別情報に属します。

関連トピック