|
| |
| Sun Java System Access Manager 6 2005Q1 管理ガイド | |
第 20 章
コア認証属性コア認証サービスは、デフォルトの認証サービスとカスタム認証モジュール属性すべてのための基本サービスです。コア認証は、どの形式であれ認証を使用する組織ごとのサービスとして設定する必要があります。コア認証属性はグローバルおよび組織属性から構成されます。グローバル属性に適用される値は Sun Java System Acceess Manager 設定全体に適用され、設定済みのすべての組織に継承されます。グローバル属性の目的は Access Manager アプリケーションのカスタマイズであるため、ロールまたは組織に直接適用することはできません。サービス設定の下で組織属性に適用される値が、コア認証テンプレートのデフォルト値になります。組織にサービスを追加したあと、サービステンプレートを作成する必要があります。デフォルト値は組織の管理者が追加後に変更できます。組織属性は組織のエントリに継承されません。コア認証属性は次のように分けられます。
グローバル属性コア認証サービスのグローバル属性には、次のものがあります。
プラグイン可能な認証モジュールクラス
このフィールドは、Access Manager プラットフォーム内で設定されるどの組織でも利用できる認証モジュールの Java クラスを指定します。デフォルトでは、これには LDAP、SafeWord、SecurID、アプリケーション、匿名、HTTP 基本、メンバーシップ、UNIX、証明書、NT、RADIUS、Microsoft Windows デスクトップ SSO などがあります。AMLoginModule SPI または JAAS LoginModule SPI を実装して、カスタム認証モジュールを作成できます。詳細は、『Access Manager Developer's Guide』を参照してください。新しいサービスを定義するには、新しい各認証サービスの完全クラス名 (パッケージ名を含む) を取得するテキスト文字列をこのフィールドに入力する必要があります。
クライアント用にサポートされている認証モジュール
この属性は、特定のクライアント用にサポートされている認証モジュールのリストを指定します。形式は次のとおりです。
この属性は、クライアントディテクションが有効になっているときに機能します。
LDAP 接続のプールサイズ
この属性は、特定の LDAP サーバーおよびポートで使用される最大および最小の接続プールを指定します。この属性は、LDAP およびメンバーシップ認証サービス専用です。形式は次のとおりです。
LDAP 接続のデフォルトプールサイズ
この属性は、すべての LDAP 認証モジュール設定で使用されるデフォルトの最小および最大接続プールを指定します。ホストおよびポートのエントリが「LDAP 接続のプールサイズ」属性に存在する場合、最小および最大設定は LDAP 接続のデフォルトプールサイズから使用されません。
組織属性コア認証サービスの組織属性は次のとおりです。
組織認証モジュール
このリストには、登録されていて組織で使用できる認証モジュールが指定されています。管理者は組織ごとに固有の認証タイプを選ぶことができます。複数の認証モジュールには柔軟性がありますが、ユーザーはログイン設定が選択した認証モジュールに適合することを確認する必要があります。デフォルトの認証は LDAP です。Access Manager に含まれている認証サービスは次のとおりです。
ユーザープロファイル
このオプションを使用すると、ユーザープロファイルのオプションを指定することができます。
- 必須 - 認証が成功した場合に認証サービスで SSOToken を発行するには、Access Manager とともにインストールされたローカル Directory Server 内にユーザーのプロファイルが存在している必要があることを指定します。
- 「ダイナミック」- 認証が成功した場合に、ユーザープロファイルがまだ存在していないときに、認証サービスによってユーザープロファイルを作成することを指定します。作成後、SSOToken が発行されます。ユーザープロファイルは、Access Manager とともにインストールされたローカル Directory Server 内に作成されます。
- 「ユーザーエイリアスを使用してダイナミックに」- 認証が成功した場合に、認証サービスが「ユーザーエイリアスリスト」属性を使用することによって、ユーザープロファイルを作成することを指定します。
- 「無視」- 認証が成功した場合に SSOToken を発行する認証サービスに対して、ユーザープロファイルが不要であることを指定します。
管理者認証設定
編集リンクをクリックすることで、管理者専用の認証サービスを定義することができます。この属性は、管理者とエンドユーザーの認証モジュールを別々のものにする必要がある場合に使用できます。Access Manager コンソールにアクセスするときは、この属性で設定されているモジュールが使用されます。次に例を示します。
ダイナミックユーザープロファイル作成のデフォルトロール
このフィールドは、「ユーザープロファイル」機能でダイナミック作成が選択された場合にプロファイルが作成された、新しいユーザーに割り当てるロールを指定します。デフォルト値はありません。管理者は、新しいユーザーに割り当てられるロールの DN を指定する必要があります。
注
指定するロールは、認証を構成する組織の下にあることが必要です。このロールは、Access Manager ロールか LDAP ロールにすることができますが、フィルタロールにすることはできません。
特定のサービスをユーザーに自動的に割り当てる場合は、ユーザープロファイルで「必要なサービス」属性を設定する必要があります。
持続 Cookie モードを有効
このオプションは、ユーザーがブラウザを再起動したときに認証セッションに戻れるかどうかを指定します。ユーザーセッションは、「持続 Cookie モードを有効」を有効にして保持できます。持続 Cookie モードを有効」を有効にすると、ユーザーセッションは持続 Cookie の期限が切れるか、ユーザーが意図的にログアウトするまで期限切れにはなりません。期限は「Cookie の最大持続時間」で指定します。デフォルトでは、「持続 Cookie モード」が無効になっており、認証サービスはメモリの Cookie だけを使用します。
Cookie の最大持続時間
このフィールドは、持続 Cookie の期限が切れるまでの間隔を指定します。チェックボックスを選択して「持続 Cookie モードを有効」を有効にする必要があります。この間隔は、ユーザーのセッションの認証が成功したときに始まります。デフォルト値は 2147483 (秒) です。このフィールドには、0 から 2147483 までの任意の整数値を指定できます。
すべてのユーザーのピープルコンテナ
ユーザー認証が成功したあと、ユーザーのプロファイルを取得します。このフィールドの値は、プロファイルの検索先を指定します。一般に、この値はデフォルトのピープルコンテナの DN です。組織に追加されるすべてのユーザーエントリは、自動的にその組織のデフォルトピープルコンテナに追加されます。デフォルト値は ou=People です。一般に、組織名とルートサフィックスで構成されます。このフィールドは組織単位の有効な DN を取得します。
注
認証では、次の方法でユーザープロファイルを検索します。
最後に SSO を検索しますが、その場合認証に使用するユーザー名がプロファイルのネーミング属性でないことがあります。たとえば、uid=jamie というプロファイルを持つユーザーが、jn10191 という SafeWord ID を使用して認証を受ける場合などです。
エイリアス検索属性名
ユーザー認証が成功したあと、ユーザーのプロファイルを取得します。このフィールドは、「ユーザーネーミング属性」で指定する最初の LDAP 属性に対する検索で一致するユーザープロファイルを見つけられなかった場合に、次に検索する LDAP 属性を指定します。この属性は主に、認証モジュールから返されたユーザーアイデンティティがユーザーネーミング属性で指定したものと異なる場合に使用します。たとえば、RADIUS サーバーが abc1234 を返しても、ユーザー名は abc という可能性があります。この属性のデフォルト値はありません。このフィールドは有効な LDAP 属性をすべて取得します (たとえば、cn)。
ユーザーネーミング属性
ユーザー認証が成功したあと、ユーザーのプロファイルを取得します。この属性の値は、検索に使用する LDAP 属性を指定します。デフォルトでは、Access Manager はユーザーエントリが uid 属性によって識別されるものと想定します。Directory Server で givenname などの異なる属性を使用している場合は、このフィールドに属性名を指定します。
デフォルト認証ロケール
このフィールドは、認証サービスが使用するデフォルトの言語サブタイプを指定します。デフォルト値は en_US です。有効な言語サブタイプのリストを表 20-1 に示します。
別のロケールを使用するには、最初にそのロケールのすべての認証テンプレートを作成する必要があります。次に、それらのテンプレートの新しいディレクトリを作成する必要があります。詳細は、「ログイン URL パラメータ」を参照してください。
組織認証設定
この属性は、組織の認証モジュールを設定します。デフォルトの認証モジュールは LDAP です。編集リンクをクリックすると、1 つまたは複数の認証モジュールを選択できます。複数のモジュールが選択された場合、ユーザーはそれらのモジュールの連鎖に沿ってすべての認証に成功する必要があります。
ユーザーが /server_deploy_uri/UL/Login 形式を使って認証モジュールにアクセスするとき、この属性に設定されたモジュールが認証に使用されます。詳細は、『Access Manager Developer's Guide』を参照してください。
ログイン失敗時のロックアウトモードを有効
この機能は、最初の認証に失敗した場合に再試行を許可するかどうかを指定します。この属性を選択すると、ロックアウトが有効になります。その場合、ユーザーには 1 回だけ認証を受ける機会が与えられます。デフォルトでは、ロックアウト機能は無効になっています。この属性は、ロックアウト関連および通知関連の属性とともに機能します。
ログイン失敗時のロックアウト回数
この属性は、「ログイン失敗時のロックアウト間隔」で定義された時間内に、ユーザーが認証を試みることができる回数を定義します。この回数を超えると、ユーザーはロックアウトされます。
ログイン失敗時のロックアウト間隔
この属性は、ログインが失敗した場合の、次の再試行までの時間を分単位で定義します。ログイン失敗の後、ロックアウト間隔以内にもう一度ログインが失敗すると、ロックアウト回数が増分されます。それ以外の場合は、ロックアウト回数がリセットされます。
ロックアウト通知の送信先電子メールアドレス
この属性は、ユーザーのロックアウトが発生した場合に通知を受け取る電子メールアドレスを指定します。電子メール通知を複数のアドレスに送信する場合は、電子メールアドレスをスペースで区切ります。英語以外のロケールでの形式は次のとおりです。
ユーザーに警告するまでの失敗回数
この属性は、認証に失敗した場合、Access Manager がそのユーザーにロックアウトされるという警告を送信するまでに許可される認証失敗の回数を指定します。
ログイン失敗時のロックアウト持続時間
この属性を選択すると、メモリロックが有効になります。デフォルトでは、このロックアウトメカニズムにより、ロックアウト属性名で定義されているユーザープロファイルが無効になります (ログイン失敗後)。ログイン失敗時のロックアウト持続時間 が 0 より大きい値に設定されている場合は、その時間だけメモリとユーザーアカウントがロックされます。
ロックアウト属性名
この属性は、ロックアウトする LDAP 属性を指定します。この属性名のロックアウトを有効にするには、ロックアウト属性値の値も変更する必要があります。デフォルトでは、Access Manager コンソールで「ロックアウト属性名」は空になっています。デフォルトの実装値は、inetuserstatus (LDAP 属性) と inactive です。「ログイン失敗時のロックアウト持続時間」が 0 に設定されている場合で、ユーザーがロックアウトされたときに適用されます。
ロックアウト属性値
この属性は、「ロックアウト属性名」で指定されている属性について、ロックアウトを有効にするかどうかを指定します。デフォルトでは、inetuserstatus に対して、この値は非アクティブに設定されています。
デフォルト成功ログイン URL
このフィールドには、認証成功後にユーザーをリダイレクトする URL を指定する、複数の値のリストを入力します。この属性の形式は、クライアントタイプ |URL ですが、URL の値のみを指定できます。その際、URL のタイプはデフォルトで HTML となることが前提とされています。
リモートコンソールの場合は、この属性を手動で修正し、実際のリモートコンソールホストのコンソールページに向ける必要があります。
デフォルト失敗ログイン URL
このフィールドには、認証が失敗した場合にユーザーをリダイレクトする URL を指定する、複数の値のリストを入力します。この属性の形式は、クライアントタイプ |URL ですが、URL の値のみを指定できます。その際、URL のタイプはデフォルトで HTML となることが前提とされています。
認証ポストプロセスクラス
このフィールドは、ログインの成功または失敗後に実行する、認証後プロセスをカスタマイズするための Java クラス名を指定します。次に例を示します。
この Java クラスでは、次の Java インタフェースを実装する必要があります。
com.sun.identity.authentication.spi.AMPostAuthProcessInterface
また、このクラスが置かれている場所へのパスを、Web Server の Java Classpath 属性に追加する必要があります。
ユーザー ID 生成モードを有効
この属性は、メンバーシップ認証モジュールによって使用されます。この属性フィールドが有効になっている場合、すでにユーザー ID が存在していれば、自己登録プロセス中にメンバーシップモジュールによって特定ユーザーのユーザー ID が生成可能です。このユーザー ID は、「プラグイン可能なユーザー名ジェネレータクラス」で指定された Java クラスから生成されます。
プラグイン可能なユーザー名ジェネレータクラス
このフィールドは、「ユーザー ID 生成モードを有効」が有効になっている場合にユーザー ID を生成するために使用する Java クラス名を指定します。
デフォルト認証レベル
認証レベルの値は、認証の信頼度を示します。ユーザーが認証を受けると、この値がセッションの SSO トークンに格納されます。ユーザーがアクセスしたいアプリケーションに SSO トークンが提供されると、そのアプリケーションは格納されている値を使用してユーザーにアクセスを許可するのに十分なレベルかどうかを判別できます。SSO トークンに格納されている認証レベルが必要な最小値に満たない場合、アプリケーションはユーザーにより高い認証レベルのサービスで認証を再度受けるよう要求することがあります。
認証レベルは、組織の特定の認証テンプレート内で設定する必要があります。ここで説明するデフォルト認証レベルの値は、特定の組織の、認証テンプレートの認証レベルフィールドに認証レベルが指定されていない場合だけ適用されます。デフォルト認証レベルのデフォルト値は 0 です。この属性の値は Access Manager が使用するものではなく、どの外部アプリケーションでもその値の使用を選択すれば使用できます。2005Q1 のリリースでは、この機能は正常に動作しません。ただし、以前のリリースの場合は正常に動作します。