ログインモジュールの編集

詳細を入力するか、ログインモジュールに関して次のように選択します。ただし、各ログインモジュールですべてのオプションが使用可能なわけではありません。

• 「ログイン成功条件」。このモジュールに適用する条件を選択します。次の項目があります。

  • 「必須」。成功するにはこのログインモジュールが必須です。成功したか失敗したかにかかわらず、認証はリスト内の次のログインモジュールに進みます。ログインモジュールが 1 つしかない場合、管理者は正常にログインします。

  • 「必要条件」。成功するにはこのログインモジュールが必須です。成功すると、認証はリスト内の次のログインモジュールに進みます。失敗した場合、認証は続行しません。

  • 「十分条件」。このログインモジュールは成功するために必須ではありません。成功すると、認証は次のログインモジュールに進まず、管理者は正常にログインします。失敗すると、認証はリスト内の次のログインモジュールに進みます。

  • 「オプション」。このログインモジュールは成功するために必須ではありません。成功か失敗かに関係なく、認証はリスト内の次のログインモジュールに進みます。

• ログイン検索属性(LDAP のみ)。関連する LDAP サーバーへのバインド (ログイン) 試行時に使用する、LDAP ユーザー属性名の順序付けられたリストを指定します。指定したユーザーのログイン名とともに、指定された LDAP ユーザー属性を使用して、一致する LDAP ユーザーを検索します。これによりユーザーは、LDAP の cn 属性または電子メールアドレス属性を使用して Identity Manager にログインできます (Identity Manager で LDAP へのパススルーが設定されている場合)。

  たとえば、次のように指定するとします。そして、ユーザーは gwilson としてログインしようとするとします。このとき LDAP リソースはまず cn=gwilson という条件で LDAP ユーザーの検索を試行します。

  cn

  mail

  検索が成功した場合、ユーザーが指定したパスワードを使用してバインドが試行されます。成功しない場合、LDAP リソースは mail=gwilson という条件で LDAP ユーザーを検索します。この検索も失敗した場合、ログインは失敗します。

  値を指定しない場合のデフォルト LDAP 検索属性は次のとおりです。

  uid

  cn

• ログイン相関規則。ユーザーから提供されたログイン情報を、Identity Manager ユーザーにマッピングするためのログイン相関規則を選択します。この規則は、指定されているロジックを使用し Identity Manager ユーザーを検索するために使用されます。この規則は、一致する Identity Manager ユーザーを検索するために使用される、1 つ以上の AttributeConditions のリストを返す必要があります。選択する規則は、LoginCorrelationRule authType を持つ必要があります。認証されたユーザー ID を Identity Manager ユーザーにマッピングするために Identity Manager が実行する手順の説明については、例 12–2 を参照してください。

• 新規ユーザー命名規則。ログインの一環として新しい Identity Manager ユーザーを自動的に作成するときに使用される新規ユーザー命名規則を選択します。

「保存」をクリックして、ログインモジュールを保存します。一度保存すると、このモジュールをログインモジュールグループ内のほかのすべてのモジュールと関連づけて配置できます。

Identity Manager ログインが複数のシステムで認証されるように設定する場合は、Identity Manager の認証のターゲットとなるすべてのシステムで、アカウントのユーザー ID とパスワードを同じにします。

ユーザー ID とパスワードの組み合わせが異なる場合、ユーザー ID とパスワードが「Identity Manager ユーザーログインフォーム」に入力されたユーザー ID およびパスワードと一致しないシステムで、ログインが失敗します。

これらのシステムの中には、ログイン試行回数が一定数を超えるとアカウントを強制的にロックするロックアウトポリシーを持つものもあります。これらのシステムでは、ユーザーアカウントが最終的にロックされ、ユーザーが Identity Manager を通してログインした場合でも、引き続き成功します。

例 12–2 には、認証されたユーザー ID を Identity Manager ユーザーにマップするために Identity Manager が従う手順について説明する擬似コードが含まれています。

例 12–2 ログインモジュールの処理ロジック

if an existing IDM user’s ID is the same as the specified user ID 

   if that IDM user has a linked resource whose resource name matches the 
   resource that was authenticated and whose accountId matches the resource 
   accountId returned by successful authentication (e.g. dn), then we have 
   found the right IDM user 

   otherwise if there is a LoginCorrelationRule associated with the 
   configured login module 

      evaluate it to see if it maps the login credentials to a single IDM 
      user 

      otherwise login fails 

   otherwise login fails 

if the specified userID does not match an existing IDM user’s ID 

   try to find an IDM user that has a linked resource whose resource 
   name matches the resource accountID returned by successful authentication 

     if found, then we have found the right IDM user 

     otherwise if there is a LoginCorrelationRule associated with the 
     configured login module 

         evaluate it to see if it maps the login credentials to a single 
         IDM user 

         otherwise login fails 

     otherwise login fails

例 12–2 では、システムはユーザーのリンクされたリソース (リソース情報) を使用して、一致する Identity Manager ユーザーを見つけようとします。ただし、リソース情報による方法が失敗し、loginCorrelationRule が設定されている場合、システムは loginCorrelationRule を使用して、一致するユーザーを見つけようとします。