ログインアプリケーションについて

ログインアプリケーションは、ログインモジュールグループの集まりを定義し、さらに、ユーザーが Identity Manager にログインするときに使用する一連のログインモジュールのセットと順序を定義します。各ログインアプリケーションは、1 つ以上のログインモジュールグループから構成されます。

ログイン時に、ログインアプリケーションはログインモジュールグループのセットを確認します。ログインモジュールグループが 1 つだけ設定されている場合は、そのグループが使用され、そこに含まれるログインモジュールはグループに定義された順序で処理されます。ログインアプリケーションに複数のログインモジュールグループが定義されている場合には、Identity Manager が各ログインモジュールに適用されるログイン制約規則をチェックして、処理するグループを決定します。

ログイン制約規則

ログイン制約規則は、ログインモジュールグループに適用されます。ログインアプリケーションのログインモジュールグループの各セットについて、ログイン制約規則を適用できないログインモジュールグループが 1 つだけ存在します。

セットのどのログインモジュールグループを処理するかを決定する際、Identity Manager は最初のログインモジュールグループの制約規則を評価します。評価が成功した場合、Identity Manager はそのログインモジュールグループを処理します。評価が失敗した場合、Identity Manager は各ログインモジュールグループを順番に評価していき、制約規則が成功するか、または制約規則を持たないログインモジュールグループが評価される (そして続いて使用される) まで評価を続けます。

ログインアプリケーションに複数のログインモジュールグループが含まれる場合には、ログイン制約規則を持たないログインモジュールグループをセットの最後の位置に置くようにしてください。

ログイン制約規則の例

次に示す場所に基づいたログイン制約規則の例では、規則が HTTP ヘッダーからリクエスト側の IP アドレスを取得し、そのアドレスが 192.168 ネットワーク上にあるかどうかをチェックします。IP アドレスに 192.168. が検出されると、規則は true の値を返し、そのログインモジュールグループが選択されます。

例 12–1 場所に基づいたログイン制約規則

<Rule authType=’LoginConstraintRule’ name=’Sample On Local Network’> 
<match> <ref>remoteAddr</ref> <s>192.168.</s> </match> 
<MemberObjectGroups> <ObjectRef type=’ObjectGroup’ name=’All’/> </MemberObjectGroups> 
</Rule>