WebLogic Server Kerberos SSOは、Microsoftクライアントを使用したSSOが使用可能になるように、SPNEGOトークンをネゴシエートおよびデコードするためネゴシエートIDアサーション・プロバイダを使用します。WebLogic ServerはKerberosチケットを取得するためにSPNEGOトークンをデコードし、そのチケットを検証してWebLogic Serverユーザーにマップします。WebLogic ServerのActive Directory認証プロバイダは、WebLogic Serverユーザーのユーザー・ディレクトリとしてActive Directoryを構成するためにネゴシエートIDアサーション・プロバイダとともに使用できます。
ブラウザがEPM System製品へのアクセスを要求する場合、KDCはそのブラウザにKerberosチケットを発行し、それによって、サポートされるGSSトークン・タイプを含むSPNEGOトークンが作成されます。ネゴシエートIDアサーション・プロバイダはSPNEGOトークンをデコードし、GSSAPIを使用して、セキュリティ・コンテキストを受け入れます。要求を開始したユーザーのIDはユーザー名にマップされ、WebLogic Serverに渡されます。また、WebLogic Serveは、ユーザーが属するグループを決定します。この段階で、要求されたEPM System製品はユーザーに使用できるようになります。
注: | ユーザーはSPNEGOをサポートするブラウザ(たとえば、Internet ExplorerやFirefoxなど)を使用して、WebLogic Serverで実行しているEPM System製品にアクセスできます。WebLogic ServerはUNIXまたはWindowsプラットフォームで実行できます。 |
認証プロセスから取得されたユーザーIDを使用して、EPM System製品認証プロセスはプロビジョニング・データをチェックします。EPM System製品へのアクセスは、プロビジョニング・データに基づいて制限されます。
『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のMicrosoftクライアントでのシングル・サインオンの構成に関する項を参照してください。