EPM System製品は、EPM System製品をホストするアプリケーション・サーバーがKerberos認証用に設定されている場合は、Kerberos SSOをサポートします。
Kerberosは信頼できる認証サービスで、各Kerberosクライアントは他のKerberosクライアント(ユーザー、ネットワーク・サービスなど)のアイデンティティを有効なものとして信頼します。
EPM System製品にユーザーがアクセスする場合に行われる処理は、次のとおりです:
Windowsコンピュータで、ユーザーは、KerberosレルムでもあるWindowsドメインにログインします。
統合Windows認証を使用するように構成されているブラウザを使用して、ユーザーはアプリケーション・サーバー上で実行されているEPM System製品にログインします。
アプリケーション・サーバー(ネゴシエート・アイデンティティ・アサーション・プロバイダ)は要求をインターセプトし、ブラウザの認証ヘッダーからKerberos情報とともにSimple and Protected Generic Security Services API (GSSAPI) Negotiation Mechanism (SPNEGO)トークンを取得します。
アサーション・プロバイダは、EPM System製品にユーザーに関する情報を渡すために、そのアイデンティティ・ストアに対してトークンに含まれるユーザーのアイデンティティの妥当性を確認します。EPM System製品はActive Directoryに対してユーザー名を検証します。EPM System製品は、すべてのEPM System製品間でSSOをサポートするSSOトークンを発行します。