EPM System製品は、EPM System製品をホストするアプリケーション・サーバーがKerberos認証用に設定されている場合は、Kerberos SSOをサポートします。
Kerberosは信頼できる認証サービスで、各Kerberosクライアントは他のKerberosクライアント(ユーザー、ネットワーク・サービスなど)のIDを有効なものとして信頼します。
EPM System製品にユーザーがアクセスする場合に行われる処理は、次のとおりです:
Windowsコンピュータで、ユーザーがKerberosレルムにログインします。
統合Windows認証を使用するように構成されているブラウザを使用して、ユーザーはアプリケーション・サーバー上で実行されているEPM System製品にログインします。
アプリケーション・サーバー(ネゴシエートIDアサーション・プロバイダ)は要求をインターセプトし、ブラウザの認証ヘッダーからKerberos情報とともにSimple and Protected Generic Security Services API (GSSAPI) Negotiation Mechanism (SPNEGO)トークンを取得します。
アサーション・プロバイダは、EPM System製品にユーザーに関する情報を渡すために、そのIDストアに対してトークンに含まれるユーザーのIDの妥当性を確認します。EPM System製品はActive Directoryに対してユーザー名を検証します。EPM System製品は、すべてのEPM System製品間でSSOをサポートするSSOトークンを発行します。