Sun ONE Identity Server 6.1 管理ガイド |
第 19 章
コア認証属性コア認証サービスは、デフォルトの認証サービス、および認証 SPI で作成するカスタム認証サービスのための基本サービスです。コア認証は、どの形式であれ認証を使用する組織ごとのサービスとして設定する必要があります。コア認証属性はグローバルおよび組織属性から構成されます。グローバル属性に適用される値は Sun ONE Identity Server 設定全体に適用され、設定済みのすべての組織に継承されます。グローバル属性の目的は Identity Server アプリケーションのカスタマイズであるため、ロールまたは組織に直接適用することはできません。サービス設定の下で組織属性に適用される値が、コア認証テンプレートのデフォルト値になります。組織にサービスを登録した後、サービステンプレートを作成する必要があります。デフォルト値は組織の管理者が登録後に変更できます。組織属性は組織のエントリに継承されません。コア認証属性は次のように分けられます。
グローバル属性コア認証サービスのグローバル属性には、次のものがあります。
プラグイン可能な認証モジュールクラス
このフィールドは、Identity Server プラットフォーム内で設定されるどの組織でも利用できる認証モジュールの Java クラスを指定します。デフォルトでは、LDAP、Safeword、SecurID、Application、Anonymous、HTTP Basic、Membership、UNIX、Certificate、NT、および RADIUS があります。Identity Server には、ほかの認証サービスを追加するのに使用できる公開 SPI も含まれています。新しいサービスを定義するには、新しい各認証サービスの完全クラス名 (パッケージ名を含む) を取得するテキスト文字列をこのフィールドに入力する必要があります。
クライアント用にサポートされている認証モジュール
この属性は、特定のクライアント用にサポートされている認証モジュールのリストを指定します。形式は次のとおりです。
この属性は、クライアントディテクションが有効になっているときに機能します。
LDAP 接続のプールサイズ
この属性は、特定のサーバーおよびポートで使用される最大および最小の接続プールを指定します。この属性は、LDAP およびメンバーシップ認証サービス専用です。形式は次のとおりです。
LDAP 接続のデフォルトプールサイズ
この属性は、すべての LDAP 認証モジュール設定で使用されるデフォルトの最小および最大接続プールを指定します。ホストおよびポートのエントリが LDAP 接続のプールサイズ属性に存在する場合、LDAP 接続のデフォルトプールサイズから最小および最大設定を使用しません。
組織属性コア認証サービスの組織属性は次のとおりです。
組織認証モジュール
このリストは組織で利用できる認証モジュールを指定します。管理者は組織ごとに固有の認証タイプを選ぶことができます。複数の認証モジュールには柔軟性がありますが、ユーザーはログイン設定が選択した認証モジュールに適合することを確認する必要があります。デフォルトの認証は LDAP です。Identity Server に含まれている認証サービスは次のとおりです。
ユーザープロファイル
このオプションを使用すると、ユーザープロファイルのオプションを指定することができます。
- 必須 - 認証が成功した場合に認証サービスで SSOToken を発行するには、Identity Server とともにインストールされたローカル Directory Server 内にユーザーのプロファイルが存在している必要があることを指定します。
- ダイナミックに作成 - 認証が成功した場合で、ユーザープロファイルがまだ存在していないときに、認証サービスによってユーザープロファイルを作成することを指定します。作成後、SSOToken が発行されます。ユーザープロファイルは、Identity Server とともにインストールされたローカル Directory Server 内に作成されます。
- 無視 - 認証が成功した場合に SSOToken を発行する認証サービスに対して、ユーザープロファイルが不要であることを指定します。
管理者認証
編集リンクをクリックすることで、管理者専用の認証サービスを定義することができます。管理者とは、Identity Server コンソールにアクセスする必要があるユーザーのことです。この属性は、管理者とエンドユーザーの認証モジュールを別々のものにする必要がある場合に使用できます。Identity Server コンソールにアクセスするときは、この属性で設定されているモジュールが使用されます。
ダイナミックユーザープロファイル作成のデフォルトロール
このフィールドは、ダイナミック作成が選択されている場合に、プロファイルが「ユーザープロファイル」機能で作成された新しいユーザーに割り当てるロールを指定します。デフォルト値はありません。管理者は、新しいユーザーに割り当てられるロールの DN を指定する必要があります。
持続 Cookie モード
このオプションは、ユーザーがブラウザを再起動したときに認証セッションに戻れるかどうかを指定します。ユーザーセッションは持続 Cookie モードを有効にすれば保持できます。持続 Cookie モードを有効にすると、ユーザーセッションは持続 Cookie の期限が切れるか、ユーザーが意図的にログアウトするまで期限切れにはなりません。期限は Cookie の最大持続時間 (秒) で指定します。デフォルトでは、持続 Cookie モードが無効になっており、認証サービスはメモリの Cookie だけを使用します。
Cookie の最大持続時間 (秒)
このフィールドは、持続 Cookie の期限が切れるまでの間隔を指定します。チェックボックスを選択して持続 Cookie モードを有効にする必要があります。この間隔は、ユーザーのセッションの認証が成功したときに始まります。デフォルト値は 2147483 (秒) です。このフィールドは、0 から 2147483 までの任意の整数値を取得できます。
すべてのユーザーのピープルコンテナ
ユーザー認証が成功したあと、ユーザーのプロファイルを検索します。このフィールドの値は、プロファイルの検索先を指定します。一般に、この値はデフォルトのピープルコンテナの DN です。組織に追加されるすべてのユーザーエントリは、自動的にその組織のデフォルトピープルコンテナに追加されます。デフォルト値は ou=People です。一般に、組織名とルートサフィックスで構成されます。このフィールドは組織単位の有効な DN を取得します。
注
認証では、次の方法でユーザープロファイルを検索します。
最後に SSO を検索しますが、その場合認証に使用するユーザー名がプロファイルのネーミング属性でないことがあります。たとえば、uid=jamie というプロファイルを持つユーザーが、jn10191 という SafeWord ID を使用して認証を受ける場合などです。
エイリアス検索属性名
ユーザー認証が成功したあと、ユーザーのプロファイルを検索します。このフィールドは、「ユーザーネーミング属性」で指定する最初の LDAP 属性に対する検索で一致するユーザープロファイルを見つけられなかった場合に、次に検索する LDAP 属性を指定します。この属性は主に、認証モジュールから返されたユーザーアイデンティティがユーザーネーミング属性で指定したものと異なる場合に使用します。たとえば、RADIUS サーバーが abc1234 を返しても、ユーザー名は abc という可能性があります。この属性のデフォルト値はありません。このフィールドは有効な LDAP 属性をすべて取得します (たとえば、cn)。
ユーザーネーミング属性
ユーザー認証が成功したあと、ユーザーのプロファイルを検索します。この属性の値は、検索に使用する LDAP 属性を指定します。デフォルトでは、Identity Server はユーザーエントリが uid 属性によって識別されるものと想定します。Directory Server で異なる属性 (givenname など) を使用している場合は、このフィールドにその属性名を指定します。
デフォルト認証ロケール
このフィールドは、認証サービスが使用するデフォルトの言語サブタイプを指定します。デフォルト値は en_US です。有効な言語サブタイプの一覧を表 19-1 に示します。
別のロケールを使用するには、最初にそのロケールのすべての認証テンプレートを作成する必要があります。次に、それらのテンプレートの新しいディレクトリを作成する必要があります。詳細は、『Sun ONE Identity Server Customization and API Guide』の第 3 章「認証サービス」を参照してください。
組織認証設定
この属性は、組織の認証モジュールを設定します。デフォルトの認証モジュールは LDAP です。編集リンクをクリックすると、1 つまたは複数の認証モジュールを選択できます。複数のモジュールが選択された場合、ユーザーはそれらのモジュールの連鎖に沿ってすべての認証に成功する必要があります。
ユーザーが /server_deploy_uri/UL/Login 形式を使って認証モジュールにアクセスするとき、この属性に設定されたモジュールが認証に使用されます。詳細は、『Sun ONE Identity Server Customization and API Guide』を参照してください。
ログイン失敗のロックアウトモード
この機能は、最初の認証に失敗した場合に再試行を許可するかどうかを指定します。この属性を選択すると、ロックアウトが有効になります。その場合、ユーザーには 1 回だけ認証を受ける機会が与えられます。デフォルトでは、ロックアウト機能は無効になっています。この属性は、ロックアウト関連および通知関連の属性とともに機能します。
ログイン失敗のロックアウト回数
この属性は、ログイン失敗のロックアウト間隔 (分) で定義された時間内に、ユーザーが認証を試みることができる回数を定義します。この回数を超えると、ユーザーはロックアウトされます。
ログイン失敗のロックアウト間隔 (分)
この属性は、ログインが失敗した場合の、次の再試行までの時間を分単位で定義します。ログイン失敗の後、ロックアウト間隔以内にもう一度ログインが失敗すると、ロックアウト回数が増分されます。それ以外の場合は、ロックアウト回数がリセットされます。
ロックアウト通知を送信するための電子メールアドレス
この属性は、ユーザーのロックアウトが発生した場合に通知を受け取る電子メールアドレスを指定します。電子メール通知を複数のアドレスに送信する場合は、電子メールアドレスをスペースで区切ります。
ユーザーに警告する失敗回数
この属性は、認証に失敗した場合、Identity Server がそのユーザーにロックアウトされるという警告を送信するまでに許可される認証失敗の回数を指定します。
ログイン失敗のロックアウト持続時間 (分)
この属性を選択すると、メモリロックが有効になります。デフォルトでは、このロックアウトメカニズムにより、ロックアウト属性名で定義されているユーザープロファイルが無効になります (ログイン失敗後)。ログイン失敗のロックアウト持続時間 が 0 より大きい値に設定されている場合は、その時間だけメモリとユーザーアカウントがロックされます。
ロックアウト属性名
この属性は、ロックアウトする LDAP 属性を指定します。この属性名のロックアウトを有効にするには、ロックアウト属性値の値も変更する必要があります。デフォルトでは、Identity Server コンソールで「ロックアウト属性名」は空になっています。デフォルトの実装値は、inetuserstatus (LDAP 属性) と inactive です。ログイン失敗のロックアウト持続時間が 0 に設定されている場合で、ユーザーがロックアウトされたときに適用されます。
ロックアウト属性値
この属性は、ロックアウト属性名で指定されている属性について、ロックアウトを有効にするかどうかを指定します。デフォルトでは、inetuserstatus に対して、この値は 0 に設定されています。
デフォルト成功ログイン URL
このフィールドは、認証の成功後にユーザーをリダイレクトする URL を指定します。このフィールドは有効な URL を取得できます。成功ログイン URL は、remote-auth.dtd 内の LoginStatus 要素で設定されます。詳細は、『Sun ONE Identity Server Customization and API Guide』を参照してください。
デフォルト失敗ログイン URL
このフィールドは、認証が成功しなかった場合にユーザーをリダイレクトする URL を指定します。このフィールドは有効な URL を取得できます。失敗ログイン URL は、remote-auth.dtd 内の LoginStatus 要素で設定されます。詳細は、『Sun ONE Identity Server Customization and API Guide』を参照してください。
認証ポストプロセスクラス
このフィールドは、ログインの成功または失敗後に実行する、認証後プロセスをカスタマイズするための Java クラス名を指定します。次に例を示します。
この Java クラスでは、次の Java インタフェースを実装する必要があります。
com.sun.identity.authentication.spi.AMPostAuthProcessInterface
また、このクラスが置かれている場所へのパスを、Web Server の Java Classpath 属性に追加する必要があります。
ユーザー名ジェネレータモード
この属性は、メンバーシップ認証モジュールによって使用されます。この属性フィールドが有効になっている場合、すでにユーザー ID が存在していれば、自己登録プロセス中にメンバーシップモジュールによって特定ユーザーのユーザー ID が生成可能です。このユーザー ID は、プラグイン可能なユーザー名ジェネレータクラスで指定された Java クラスから生成されます。
プラグイン可能なユーザー名ジェネレータクラス
このフィールドは、ユーザー名ジェネレータモードが有効になっている場合にユーザー ID を生成するための Java クラス名を指定します。
デフォルト認証レベル
認証レベルの値は、認証の信頼度を示します。ユーザーが認証を受けると、この値がセッションの SSO トークンに格納されます。ユーザーがアクセスしたいアプリケーションに SSO トークンが提供されると、そのアプリケーションは格納されている値を使用してユーザーにアクセスを許可するのに十分なレベルかどうかを判別できます。SSO トークンに格納されている認証レベルが必要な最小値に満たない場合、アプリケーションはユーザーにより高い認証レベルのサービスで認証を再度受けるよう要求することがあります。
認証レベルは、組織の特定の認証テンプレート内で設定する必要があります。ここで説明するデフォルト認証レベルの値は、特定の組織の、認証テンプレートの認証レベルフィールドに認証レベルが指定されていない場合だけ適用されます。デフォルト認証レベルのデフォルト値は 0 です。この属性の値は Identity Server が使用するものではなく、どの外部アプリケーションでもその値の使用を選択すれば使用できます。