過去のナビゲーションリンクのスキップSecure Global Desktop 4.40 管理者ガイド > ユーザーと認証 > 認証トークンの認証

認証トークンの認証

SGD Client から有効な認証トークンが送信されたら、ユーザーは認証トークンの認証を使用して SGD にログインできます。

認証トークンの認証を使用できるのは、SGD Client が統合モードで動作しており、ユーザーが以前に認証トークンを生成している場合だけです。

認証トークンの認証は、デフォルトでは無効になっています。

このページで説明する内容は次のとおりです。

認証トークンの認証の動作

SGD Client が起動すると、認証トークンが SGD に送信されます。ユーザーはユーザー名やパスワードを入力しません。

認証トークンが無効な場合、または SGD Client からトークンが送信されない場合、ユーザーはログインできません。SGD のログイン画面が Web ブラウザに表示されるため、ユーザーは別のシステム認証機構を使用してログインできます。

SGD Client から有効な認証トークンが送信された場合、ユーザーはログインできます。

ユーザーの識別情報とユーザープロファイル

認証トークンが生成されたら、SGD サーバーにはユーザーの識別情報の代わりに認証トークンが格納されます。つまり、最初にユーザーを認証した認証機構のユーザー識別情報とユーザープロファイルが使用されることになります。

アプリケーションセッションとパスワードキャッシュエントリ

アプリケーションセッションとパスワードキャッシュエントリは、元の認証のユーザーの識別情報に属します。

認証トークンとセキュリティー

ユーザーが認証トークンを生成し、自分のクライアントプロファイルを保存すると、認証トークンが SGD サーバーから SGD Client に送信されます。SGD Client は、クライアントデバイス上のプロファイルキャッシュにトークンを保存します。認証トークンが第三者に盗聴、使用されないよう、セキュア (HTTPS) Web サーバーを使い、SGD セキュリティーサービスを有効にしてください。

ユーザーが生成した認証トークンのレコードは、SGD のトークンキャッシュで管理されます。SGD は、トークンが生成された時点のユーザー識別情報を使って、認証トークンを格納します。ユーザーが認証トークンを使用してログインすると、SGD は認証トークンを使って、そのユーザーの元の識別情報およびユーザープロファイルを「思い出す」ことができます。すべてのユーザーセッションおよびアプリケーションセッションは、元のユーザーの識別情報およびユーザープロファイルを使って管理されます。元のログインが無効になった場合 (UNIX システムのアカウントが無効になっている、パスワードの有効期限が切れている、など) でも、有効なトークンが管理されていれば、そのユーザーは引き続き自動的にログインできます。ただし、無効な資格情報を使用してアプリケーションを実行することはできません。

認証トークンを使用した自動ログインの有効化

認証トークンを使用して自動ログインを有効にするには、次の手順を実行します。

  1. ほかの認証機構を少なくとも 1 つ有効にします。

    ユーザーが認証トークンを生成したときに、SGD がそのユーザーの識別情報とユーザープロファイルを格納できるように、ユーザーはログインして別の認証機構から認証される必要があります。

    匿名ユーザーの認証以外に、サードパーティー認証、またはほかの任意のシステム認証機構を使用できます。

  2. (省略可能) SGD セキュリティーサービスを使用可能にします。

    認証トークンの傍受を防ぐために、SGD Client と SGD サーバーの間のセキュア接続を使用します。

  3. (省略可能) HTTPS を使用するように SGD Web Server を設定します。

    認証トークンの傍受を防ぐために、クライアントデバイスと SGD Web Server の間のセキュア接続を使用します。

  4. クライアントのプロファイル編集を有効にします。

    ユーザーが認証トークンを生成できるようにするには、クライアントのプロファイル編集が有効になっている必要があります。すべてのユーザーか、または認証トークンが必要なユーザーだけのプロファイル編集を有効にすることができます。

  5. SGD の認証トークンの認証を設定します。

    詳細は、「認証トークンの認証の設定」を参照してください。

  6. クライアントデバイスの自動ログインを設定します。

    クライアントプロファイルで統合モードを有効にして、認証トークンを生成します。ユーザーが別の SGD サーバーにログインする場合は、各 SGD サーバーに認証トークンが必要になります。

    詳細は、「クライアントデバイスの自動ログインの設定」を参照してください。

SGD の認証トークンの認証の設定

  1. SGD Administration Console で、Secure Global Desktop Authentication Configuration Wizard を表示します。

    「グローバル設定」の「Secure Global Desktop 認証」タブで、「Secure Global Desktop 認証を変更」ボタンをクリックします。

  2. 「サードパーティー/システム認証」 の手順で、「システム認証」チェックボックスが選択されていることを確認します。
  3. 「システム認証 - リポジトリ」手順で、「認証トークン」チェックボックスを選択します。
  4. 「選択項目の確認」の手順で、認証の設定を確認して、「終了」をクリックします。ウィザードが終了します。
  5. 「Secure Global Desktop 認証」タブで、「トークン生成」チェックボックスを選択します。
  6. 「保存」をクリックします。

クライアントデバイスの自動ログインの設定

次の手順はユーザーによって実行され、クライアントデバイスでの自動ログインを有効にします。ユーザーが別の SGD サーバーにログインする場合は、各サーバーでこの手順を繰り返す必要があります。

ユーザーのプロファイル編集が有効になっている必要があります。

  1. Web ブラウザを使用して、SGD サーバーにログインします。
  2. クライアントプロファイルを編集します。

    Webtop の「編集」ボタンをクリックします。「クライアント設定の編集」ページが表示されます。

  3. (省略可能)「システムログイン時に接続」チェックボックスを選択します。

    このチェックボックスが選択されている場合、ユーザーはデスクトップにログインすると SGD に自動的にログインします。

  4. 「スタートメニューへのアプリケーションの追加」チェックボックスにチェックマークを付けます。

    Secure Global Desktop 管理者 が Profile Editor ツールを使用してクライアントプロファイルを設定している場合は、このボックスがすでに選択されている可能性があります。

  5. 「自動クライアントログイン」チェックボックスにチェックマークを付けます。
  6. 「保存」をクリックします。Webtop が表示されます。
  7. SGD からログアウトします。

    クライアントプロファイルに加えた変更を有効にするには、SGD からログアウトしてから再度ログインする必要があります。

ユーザーが自動ログインを使用するには、デスクトップの「スタート」メニューにある SGD の「ログイン」リンクをクリックする必要があります。クライアントプロファイルで「システムログイン時に接続」チェックボックスが選択されている場合は、ユーザーがデスクトップにログインするとこの操作が自動的に行われます。

認証トークンの管理

管理者 は、SGD Administration Consoleまたはコマンド行を使用して認証トークンを管理できます。トークンキャッシュ内のトークンを表示したり削除したりすることができます。また、ユーザーが新しいトークンを生成できないようにすることもできます。

認証トークンを表示する方法

認証トークンを所有するユーザーを、ユーザーの識別情報別またはユーザープロファイル別に表示するには、次の操作を行います。

認証トークンを削除する方法

トークンをトークンキャッシュから削除すると、クライアントデバイスに格納されているトークンが無効になります。SGD Client の提供するトークンが無効である場合、ユーザーはユーザー名とパスワードを使用してログインするように求められます。それらのユーザーが自動的にログインするには、別の認証トークンを生成する必要があります。

認証トークンを削除するには、次の操作を行います。

トークンの生成を無効にする方法

SGD から新しい認証トークンが発行されないようにするには、この手順を使用します。認証トークンの認証が引き続き有効であれば、既存の認証トークンを持っているユーザーはそのままログインできます。

自動ログインのトラブルシューティング

自動ログインに関する問題のトラブルシューティングを行うには、次のログフィルタを使用します。

過去のコマンド構文またはプログラムコードのスキップ
server/login/*:destination

server/tokencache/*:destination

server/login/* フィルタを使用すると、認証トークンがいつ認証で使用され、認証トークンがいつ失敗したかを確認できます。server/tokencache/* フィルタを使用すると、トークンがキャッシュに追加されない理由など、トークンキャッシュの操作で発生したエラーを確認できます。

関連トピック