Secure Global Desktop 4.40 管理者ガイド
> ユーザーと認証
> サードパーティー認証
サードパーティー認証では、外部機構で認証されたユーザーに SGD へのログインが許可されます。
SGD Webtop を使用している場合、使用できるサードパーティー認証の形式は Web サーバー認証だけです。SGD Web サービスを使用してユーザー独自の Webtop アプリケーションを開発する場合は、任意のサードパーティー認証機構を使用できます。
サードパーティー認証は、デフォルトでは無効になっています。
ユーザーは、通常は Web ブラウザの認証ダイアログを使って、ユーザー名とパスワードを外部機構に直接入力します。
サードパーティー認証は、信頼に基づきます。SGD は、サードパーティー機構がユーザーを正しく認証したものと信頼するため、SGD に対しても認証します。
次に、SGD は検索を実行して、ユーザーの識別情報とユーザープロファイルを確立します (次のセクションを参照)。検索を実行しても一致するものが存在しない場合、SGD はユーザーの識別情報を確立できないため、ユーザーはログインできません。SGD によって標準ログインページが表示されるため、ユーザーはシステム認証を使用してログインできます。
SGD は、ユーザーの識別情報とユーザープロファイルを確立するための次の検索方法をサポートしています。
複数の検索方法が有効になっている場合は、各検索方法が上記の順序で試行されます。
サードパーティー認証はあいまいなユーザーをサポートしていないので、最初に一致したものを使用します。
この検索方法は、ローカルリポジトリを検索して、ユーザーのサードパーティーユーザー名に一致する「名前」属性を含むユーザープロファイルを探します。一致する人物オブジェクトがない場合、「ログイン名」属性を対象に、最後に「電子メールアドレス」属性を対象に検索を繰り返します。一致するユーザープロファイルがない場合は、次の検索方法が試されます。
ユーザープロファイルが見つかった場合は、そのオブジェクトがユーザーの識別情報およびユーザープロファイルとして使用されます。SGD Administration Console では、ユーザーの識別情報は user-profile (Local)
として表示されます。コマンド行では、ユーザーの識別情報は .../_ens/user-profile
として表示されます。
この検索方法は、LDAP ディレクトリを検索して、cn
(共通名) 属性が、ユーザーによって入力されたユーザー名と一致する人物オブジェクトを探します。一致する人物オブジェクトがない場合、uid
(ユーザー名) 属性を対象に、最後に mail
(電子メールアドレス) 属性を対象に検索を繰り返します。一致する人物オブジェクトがない場合は、次の検索方法が試されます。
人物オブジェクトが見つかった場合は、そのオブジェクトがユーザーの識別情報として使用されます。SGD Administration Console では、ユーザーの識別情報は LDAP-ID (LDAP)
として表示されます。コマンド行では、ユーザーの識別情報は .../_service/sco/tta/ldapcache/LDAP-ID
として表示されます。
次に、SGD はユーザープロファイルを検索します。ユーザープロファイルを検索するときは、「デフォルトの LDAP プロファイルを使用」または「もっとも近い LDAP プロファイルを使用」を指定できます。「デフォルトの LDAP プロファイルを使用」がデフォルトです。
「デフォルトの LDAP プロファイルを使用」が選択されている場合は、プロファイルオブジェクト System Objects/LDAP Profile
がユーザープロファイルとして使用されます。
「もっとも近い LDAP プロファイルを使用」が選択されている場合、SGD は、ローカルリポジトリを検索することによってユーザープロファイルを確立します。LDAP と SGD の命名体系の差に対応することができます。SGD は、次のユーザープロファイルを、一致するものが見つかるまで検索します。
たとえば、LDAP 人物オブジェクトが cn=Emma Rald,cn=Sales,dc=Indigo Insurance,dc=com
の場合、SGD はローカルリポジトリで dc=com/dc=Indigo Insurance/cn=Sales/cn=Emma Rald
を検索します。
cn=LDAP Profile
という名前を持つユーザープロファイル。
たとえば、dc=com/dc=Indigo Insurance/cn=Sales/cn=LDAP Profile
。
cn=LDAP Profile
という名前を持つユーザープロファイル。
たとえば、dc=com/dc=Indigo Insurance/cn=LDAP Profile
。
一致するユーザープロファイルがない場合は、プロファイルオブジェクト System Objects/LDAP Profile
がユーザープロファイルとして使用されます。
この検索方法は検索を実行しません。
ユーザーの識別情報は、常にサードパーティーユーザー名です。SGD Administration Console では、ユーザーの識別情報は third-party-username (3rd party)
として表示されます。コマンド行では、ユーザーの識別情報は .../_service/sco/tta/thirdparty/thirdparty-username
として表示されます。
プロファイルオブジェクト System Objects/Third Party Profile
は、ユーザープロファイルで常に使用されます。
アプリケーションセッションとパスワードキャッシュエントリは、サードパーティーの検索方法で確立された識別情報に属します。
Copyright © 1997-2007 Sun Microsystems, Inc. All rights reserved.