|
| |
| Sun Java System Identity Server 2004Q2 管理ガイド | |
第 29 章
Windows デスクトップ SSO 認証属性Windows デスクトップ SSO 認証属性は、組織属性です。サービス設定の下で組織属性に適用される値は、Windows デスクトップ SSO 認証テンプレートのデフォルト値になります。組織にサービスを登録したあと、サービステンプレートを作成する必要があります。デフォルト値は組織の管理者が登録後に変更できます。組織属性は組織のサブツリーのエントリに継承されません。
この認証モジュールには、ドメインコントローラとして稼働中の Windows 2000 サーバーが提供する、Kerberos 認証サービスが必要です。
Windows デスクトップ SSO 認証属性は次のとおりです。
サービス主体
この属性は、認証に使用する Kerberos 主体を指定します。次の形式を使用します。
hostname と domainame は、Identity Server インスタンスのホスト名とドメイン名を表します。dc_domain_name は、Windows 2000 Kerberos サーバー (ドメインコントローラ) が存在する Kerberos ドメインです。このドメインは、Identity Server のドメイン名とは異なる可能性があります。
Keytab ファイル名
この属性は、認証に使用する Kerberos Keytab ファイルを指定します。次の形式を使用します。この形式は必須ではありません。
hostname は、Identity Server インスタンスのホスト名です。
Kerberos 領域
この属性は、Kerberos Distribution Center (ドメインコントローラ) のドメイン名を指定します。設定によっては、ドメインコントローラのドメイン名は Identity Server のドメイン名とは異なることがあります。
Kerberos サーバー名
この属性は、Kerberos Distribution Center (ドメインコントローラ) のホスト名を指定します。ドメインコントローラの完全修飾ドメイン名 (FQDN) を入力する必要があります。
ドメイン名を含む主体を返す
有効にすると、この属性は Identity Server が認証時にドメインコントローラのドメイン名を含む Kerberos 主体を自動的に返すことを可能にします。
認証レベル
認証レベルは認証方法ごとに個別に設定します。この値は、認証の信頼度を示します。ユーザーが認証を受けると、この値がセッションの SSO トークンに格納されます。ユーザーがアクセスしたいアプリケーションに SSO トークンが提供されると、そのアプリケーションは格納されている値を使用して、ユーザーにアクセスを許可するのに十分なレベルかどうかを判別します。SSO トークンに格納されている認証レベルが必要な最小値に満たない場合、アプリケーションはユーザーにより高い認証レベルのサービスで認証を再度受けるよう要求することがあります。デフォルト値は 0 です。
注
認証レベルの指定がない場合、SSO トークンはコア認証属性のデフォルト認証レベルで指定した値を格納します。詳細は、「デフォルト認証レベル」を参照してください。2004Q2 のリリースでは、この機能は正常に動作しません。ただし、以前のリリースでは正常に動作していました。