カスタム認証のフローについて

次の使用事例シナリオを、カスタム認証のフローを調査するために使用します:

使用事例シナリオ1

表19は、このシナリオで使用されるEPM Systemユーザー・ディレクトリの構成と検索順序の詳細です。このシナリオでは、カスタム認証モジュールがRSAインフラストラクチャを使用してユーザーを認証すると仮定します。

表 19. シナリオ1の設定

ユーザー・ディレクトリのタイプと名前

検索順序

カスタム認証

サンプル・ユーザー名

パスワード[1]

ネイティブ・ディレクトリ

1

使用不可

test_user_1

test_user_2

test_user_3

password

LDAP対応

SunONE_West

2

使用不可

test_ldap1

test_ldap_2

test_user_3

test_ldap_4

ldappassword

LDAP対応

SunONE_East

3

使用可能

test_ldap1

test_ldap_2

test_user_3

SunONEではldappassword、カスタム・モジュールではRSA PIN

1 単純化するため、すべてのユーザーが同じユーザー・ディレクトリ・パスワードを使用すると仮定します。

認証プロセスを開始するには、ユーザーはEPM System製品のログオン画面でユーザー名とパスワードを入力します。

このシナリオでは、カスタム認証モジュールは次のアクションを実行します:

  • ユーザー名とRSA PINをユーザー・ログイン情報として受け入れます

  • ユーザー名をusername@providername形式(たとえば、test_ldap_2@SunONE_East)でEPM Systemセキュリティに戻します。

表 20. ユーザーのやりとりと結果

ユーザー名およびパスワード

認証結果

ログイン・ユーザー・ディレクトリ

test_user_1/password

成功

ネイティブ・ディレクトリ

test_user_3/password

成功

ネイティブ・ディレクトリ

test_user_3/ldappassword

成功

SunONE_West (検索順序2)[1]

test_user_3/RSA PIN

成功

SunONE_East (検索順序3)[2]

test_ldap_2/ldappassword

成功

SunONE_West (検索順序2)

test_ldap_4/RSA PIN

失敗

EPM Systemに認証エラーが表示されます。[3]

 

1 ユーザーはEPM Systemログイン情報を入力したので、カスタム認証ではこのユーザーは認証できません。EPM Systemはカスタム認証で使用可能でないユーザー・ディレクトリでのみこのユーザーを識別できます。ユーザーはネイティブ・ディレクトリ(検索順序番号1)にはなく、SunONE West(検索順序番号2)で識別されます。

2 EPM Systemは、このユーザーをネイティブ・ディレクトリ(検索順序番号1)またはSunONE West(検索順序番号2)で見つけられません。カスタム認証モジュールではRSAサーバーに対してユーザーを検証し、test_user_3@SunONE_EASTをEPM Systemに戻します。EPM SystemはユーザーをSunONE East(検索順序番号3)で検索します。これはカスタム認証が有効なディレクトリです。

3 カスタム・モジュールで認証されているユーザーはすべて、検索順序に含まれるカスタム認証が有効なユーザー・ディレクトリに含めることをお薦めします。カスタム認証モジュールで戻されるユーザー名が、検索順序に含まれるカスタム認証が有効なユーザー・ディレクトリにない場合、ログインは失敗します。

使用事例シナリオ2

表21は、このシナリオで使用されるEPM Systemユーザー・ディレクトリの構成と検索順序の詳細です。このシナリオでは、カスタム認証モジュールがRSAインフラストラクチャを使用してユーザーを認証すると仮定します。

このシナリオでは、カスタム認証モジュールは次のアクションを実行します:

  • ユーザー名とRSA PINをユーザー・ログイン情報として受け入れます

  • ユーザー名(たとえば、test_ldap_2)をEPM Systemセキュリティに戻します。

表 21. 検索順序の例

ユーザー・ディレクトリ

検索順序

カスタム認証

サンプル・ユーザー名

パスワード[1]

ネイティブ・ディレクトリ

1

使用不可

test_user_1

test_user_2

test_user_3

password

LDAP対応(たとえば、SunONE)

2

使用可能

test_ldap1

test_ldap2

test_user_3

SunONEではldappassword、カスタム・モジュールではRSA PIN

1 単純化するため、すべてのユーザーが同じユーザー・ディレクトリ・パスワードを使用すると仮定します。

認証プロセスを開始するには、ユーザーはEPM System製品のログイン画面でユーザー名とパスワードを入力します。

表 22. ユーザーのやりとりと結果

ユーザー名およびパスワード

ログイン結果

ログイン・ユーザー・ディレクトリ

test_user_1/password

成功

ネイティブ・ディレクトリ

test_user_3/password

成功

ネイティブ・ディレクトリ

test_user_3/ldappassword

失敗

SunONE[1]

test_user_3/RSA PIN

成功

SunONE[2]

1 ネイティブ・ディレクトリに対するユーザーの認証は、パスワードが一致していないために失敗します。カスタム認証モジュールを使用したユーザーの認証は、使用されたパスワードが有効なRSA PINではないため失敗します。EPM Systemは、カスタム認証設定がこのディレクトリのEPM System認証をオーバーライドしたため、SunONE (検索順序2)でこのユーザーの認証を試行しません。

2 ネイティブ・ディレクトリに対するユーザーの認証は、パスワードが一致していないために失敗します。カスタム認証モジュールによりユーザーが認証され、ユーザー名test_user_3がEPM Systemに戻されます。

使用事例シナリオ3

表23は、このシナリオで使用されるEPM Systemユーザー・ディレクトリの構成と検索順序の詳細です。このシナリオでは、カスタム認証モジュールがRSAインフラストラクチャを使用してユーザーを認証すると仮定します。

このようなシナリオの明確さのため、カスタム認証モジュールがユーザー名をusername@providername形式(たとえば、test_ldap_4@SunONE)で戻すことをお薦めします。

表 23. 検索順序の例

ユーザー・ディレクトリ

検索順序

カスタム認証

サンプル・ユーザー名

パスワード[1]

ネイティブ・ディレクトリ

1

使用可能

test_user_1

test_user_2

test_user_3

RSA_PIN

LDAP対応(たとえば、MSAD)

2

使用不可

test_ldap1

test_ldap4

test_user_3

ldappassword

LDAP対応(たとえば、SunONE)

3

使用可能

test_ldap1

test_ldap4

test_user_3

SunONEではldappassword、カスタム・モジュールではRSA PIN

1 単純化するため、すべてのユーザーが同じユーザー・ディレクトリ・パスワードを使用すると仮定します。

認証プロセスを開始するには、ユーザーはEPM System製品のログオン画面でユーザー名とパスワードを入力します。

表 24. ユーザーのやりとりと結果

ユーザー名およびパスワード

認証結果

ログイン・ユーザー・ディレクトリ

test_user_1/password

成功

ネイティブ・ディレクトリ

test_user_3/RSA_PIN

成功

ネイティブ・ディレクトリ

test_user_3/ldappassword

成功

MSAD (検索順序2)

test_ldap_4/ldappassword

成功

MSAD (検索順序2)

test_ldap_4/RSA PIN

成功

SunONE (検索順序3)