|
| |
| Sun Java System Identity Server 2004Q2 管理ガイド | |
第 23 章
メンバーシップ認証属性メンバーシップ認証属性は組織属性です。サービス設定の下で組織属性に適用される値は、メンバーシップ認証属性テンプレートのデフォルト値になります。組織にサービスを登録したあと、サービステンプレートを作成する必要があります。デフォルト値は組織の管理者が登録後に変更できます。組織属性は組織のサブツリーのエントリに継承されません。メンバーシップ認証属性は次のとおりです。
パスワードの最少文字数
このフィールドは、自己登録時に設定するパスワードに必要な最少文字数を指定します。デフォルト値は 8 です。
この値を変更すると、次のファイルの登録およびエラーテキストでも値が変更されます。
デフォルトユーザーロール
このフィールドは、自己登録で作成されたプロファイルを持つ新しいユーザーに割り当てるロールを指定します。デフォルト値はありません。管理者は、新しいユーザーに割り当てられるロールの DN を指定する必要があります。
注
指定するロールは、認証を構成する組織の下にあることが必要です。自己登録時には、そのユーザーに割り当て可能なロールだけが追加されます。ほかの DN はすべて無視されます。ロールは Identity Server ロールまたは LDAP ロールにすることができますが、フィルタされたロールは受け付けられません。
登録後のユーザー状態
このメニューは、自己登録したユーザーにサービスをすぐに利用できるようにするかどうかを指定します。デフォルト値は「アクティブ」なので、新しいユーザーはサービスを利用できます。管理者が「非アクティブ」を選択すると、新しいユーザーはサービスを利用できません。
プライマリ LDAP サーバー
このフィールドは、Identity Server のインストール時に指定するプライマリ LDAP サーバーのホスト名およびポート番号を指定します。これは、LDAP 認証で最初に通信するサーバーです。形式は hostname:port です。ポート番号がないときは、389 と想定します。
複数のドメインに Identity Server が配備されている場合は、Identity Server および Directory Server の個々のインスタンス間の通信リンクを、次の形式で指定できます。複数のエントリを指定する場合は、エントリにローカルサーバー名をプレフィックスとして付ける必要があります。
local_servername|server:port local_servername2|server:port ...
たとえば、異なる場所に配備された 2 つの Identity Server (L1-machine1-IS および L2- machine2-IS) が、それぞれ別の Identity Server インスタンス (L1-machine1-DS および L2-machine2-DS) と通信する場合は、次のように指定できます。
L1-machine1-IS.example.com|L1-machine1-DS.example.com:389 L2-machine2-IS.example.com|L2-machine2-DS.example.com:389
セカンダリ LDAP サーバー
このフィールドは、Identity Server プラットフォームが利用できるセカンダリ LDAP サーバーのホスト名およびポート番号を指定します。プライマリ LDAP サーバーが認証要求に応答しない場合は、このサーバーと通信します。プライマリサーバーが起動すると、Identity Server はプライマリサーバーに戻ります。この形式も hostname:port です。複数のエントリの場合は、ローカルサーバー名をプレフィックスとして付ける必要があります。
警告
Identity Server を使用する企業から遠隔地にある Directory Server からユーザーを認証する場合は、プライマリとセカンダリ両方の LDAP サーバーポートに値があることが重要です。1 つの Directory Server の場所の値を両方のフィールドに使用できます。
ユーザー検索の開始 DN
このフィールドは、ユーザーの検索を開始するノードの DN を指定します。性能上の理由から、この DN はできるだけ特定のものにしてください。デフォルト値は、ディレクトリツリーのルートです。有効な DN はすべて認識されます。検索範囲属性で「オブジェクト」を選択する場合は、DN にはプロファイルが存在するレベルの 1 レベル上を指定する必要があります。
複数のエントリを使用する場合は、エントリにローカルサーバー名をプレフィックスとして付ける必要があります。形式は次のとおりです。
servername|search dn
複数のエントリを指定する場合は、次のようになります。
servername1|search dn servername2|search dn servername3|search dn...
同一の検索で複数のユーザーが見つかった場合、認証は失敗します。
root ユーザーバインド DN
このフィールドは、「プライマリ LDAP サーバー」フィールドで指定した Directory Server に管理者としてバインドするのに使用するユーザーの DN を指定します。ユーザーログイン ID に基づく、一致するユーザー DN を検索するためには、認証サービスをこの DN にバインドする必要があります。デフォルト値は amldapuser です。有効な DN はすべて認識されます。
root ユーザーバインドパスワード
このフィールドは、「root ユーザーバインド DN」フィールドで指定される管理者プロファイルのパスワードを指定します。デフォルト値はありません。管理者の有効な LDAP パスワードだけが認識されます。
root ユーザーバインドパスワード (確認)
パスワードの確認。
ユーザーのプロファイルの検索に使用する LDAP 属性
このフィールドは、ユーザーエントリのネーミング規則に使用する属性を指定します。デフォルトでは、Identity Server はユーザーエントリが uid 属性によって識別されるものと想定します。Directory Server で異なる属性 (givenname など) を使用している場合は、このフィールドにその属性名を指定します。
認証済みユーザーの検索に使用する LDAP 属性
このフィールドは、認証済みユーザーの検索フィルタを設定するのに使用する属性をリストします。そのため、ユーザーはそのエントリで、複数の属性で認証を受けることができます。たとえば、このフィールドが uid、employeenumber および mail に設定されている場合、ユーザーはこれらの名前のどれを使用しても認証を受けることができます。
ユーザー検索フィルタ
このフィールドは、「ユーザー検索の開始 DN」フィールドの下でユーザーの検索に使用する属性を指定します。これはユーザーネーミング属性とともに機能します。デフォルト値はありません。有効なユーザーエントリ属性はすべて認識されます。
検索範囲
このメニューは、一致するユーザープロファイルの検索対象となる、Directory Server 内の階層の数を示します。検索は、「ユーザー検索の開始 DN」属性で指定されるノードから開始します。デフォルト値はサブツリーです。次のリスト項目から 1 つ選択できます。
LDAP サーバーへの SSL アクセスを有効
このオプションは、プライマリおよびセカンダリ LDAP サーバーとポートのフィールドで指定される Directory Server への SSL アクセスを有効にします。デフォルトでは、このチェックボックスは選択されていないので、Directory Server へのアクセスに SSL プロトコルは使用されません。
認証するユーザー DN を返す
Identity Server ディレクトリが LDAP 用に設定されたディレクトリと同じ場合、このオプションを有効にすることができます。オプションを有効にすると、このオプションによって LDAP 認証モジュールが userId ではなく DN を返すことができるため、検索が不要になります。通常、認証モジュールは userId のみを返すため、認証サービスはローカルの Identity Server LDAP でユーザー ID を検索します。外部の LDAP ディレクトリが使用された場合、通常このオプションは有効になりません。
認証レベル
認証レベルは認証方法ごとに個別に設定します。この値は、認証の信頼度を示します。ユーザーが認証を受けると、この値がセッションの SSO トークンに格納されます。ユーザーがアクセスしたいアプリケーションに SSO トークンが提供されると、そのアプリケーションは格納されている値を使用して、ユーザーにアクセスを許可するのに十分なレベルかどうかを判別します。SSO トークンに格納されている認証レベルが必要な最小値に満たない場合、アプリケーションはユーザーにより高い認証レベルのサービスで認証を再度受けるよう要求することがあります。デフォルト値は 0 です。
注
認証レベルの指定がない場合、SSO トークンはコア認証属性のデフォルト認証レベルで指定した値を格納します。詳細は、「デフォルト認証レベル」を参照してください。2004Q2 のリリースでは、この機能は正常に動作しません。ただし、以前のリリースでは正常に動作していました。