カスタム認証のフローについて

次の使用事例シナリオを、カスタム認証のフローを調査するために使用します:

使用事例シナリオ1

表18に、このシナリオで使用するEPM Systemユーザー・ディレクトリ構成と検索順序を示します。このシナリオでは、カスタム認証モジュールがRSAインフラストラクチャを使用してユーザーを認証すると仮定します。

表18. シナリオ1の設定

ユーザー・ディレクトリのタイプと名前検索順序カスタム認証サンプル・ユーザー名パスワード[1]
ネイティブ・ディレクトリ1使用不可

test_user_1

test_user_2

test_user_3

password

LDAP対応

SunONE_West

2使用不可

test_ldap1

test_ldap_2

test_user_3

test_ldap_4

ldappassword

LDAP対応

SunONE_East

3使用可能

test_ldap1

test_ldap_2

test_user_3

SunONEではldappassword、カスタム・モジュールではRSA PIN

1 単純化するため、すべてのユーザーが同じユーザー・ディレクトリ・パスワードを使用すると仮定します。

認証プロセスを開始するには、ユーザーはEPM System製品のログオン画面でユーザー名とパスワードを入力します。

このシナリオでは、カスタム認証モジュールは次のアクションを実行します:

  • ユーザー名とRSA PINをユーザー資格証明として受け入れます

  • ユーザー名をusername@providername形式(たとえば、test_ldap_2@SunONE_East)でEPM Systemセキュリティに戻します。

表19. ユーザーのやりとりと結果

ユーザー名およびパスワード認証結果ログイン・ユーザー・ディレクトリ
test_user_1/password成功ネイティブ・ディレクトリ
test_user_3/password成功ネイティブ・ディレクトリ
test_user_3/ldappassword成功SunONE_West (検索順序2)[1]
test_user_3/RSA PIN成功SunONE_East (検索順序3)[2]
test_ldap_2/ldappassword成功SunONE_West (検索順序2)
test_ldap_4/RSA PIN失敗

EPM Systemに認証エラーが表示されます。[3]

 

1 ユーザーがEPM System資格証明を入力したため、カスタム認証ではこのユーザーを認証できません。EPM Systemはカスタム認証で使用可能でないユーザー・ディレクトリでのみこのユーザーを識別できます。ユーザーはネイティブ・ディレクトリ(検索順序番号1)にはなく、SunONE West(検索順序番号2)で識別されます。

2 EPM Systemは、このユーザーをネイティブ・ディレクトリ(検索順序番号1)またはSunONE West(検索順序番号2)で見つけられません。カスタム認証モジュールではRSAサーバーに対してユーザーを検証し、test_user_3@SunONE_EASTをEPM Systemに戻します。EPM SystemはユーザーをSunONE East(検索順序番号3)で検索します。これはカスタム認証が有効なディレクトリです。

3 カスタム・モジュールで認証されているユーザーはすべて、検索順序に含まれるカスタム認証が有効なユーザー・ディレクトリに含めることをお薦めします。カスタム認証モジュールで戻されるユーザー名が、検索順序に含まれるカスタム認証が有効なユーザー・ディレクトリにない場合、ログインは失敗します。

使用事例シナリオ2

表20に、このシナリオで使用するEPM Systemユーザー・ディレクトリ構成と検索順序を示します。このシナリオでは、カスタム認証モジュールがRSAインフラストラクチャを使用してユーザーを認証すると仮定します。

このシナリオでは、カスタム認証モジュールは次のアクションを実行します:

  • ユーザー名とRSA PINをユーザー資格証明として受け入れます

  • ユーザー名を(たとえば、test_ldap_2)EPM Systemセキュリティに戻します。

表20. 検索順序の例

ユーザー・ディレクトリ 検索順序カスタム認証サンプル・ユーザー名パスワード[1]
ネイティブ・ディレクトリ1使用不可

test_user_1

test_user_2

test_user_3

password
LDAP対応(たとえば、SunONE)2使用可能

test_ldap1

test_ldap2

test_user_3

SunONEではldappassword、カスタム・モジュールではRSA PIN

1 単純化するため、すべてのユーザーが同じユーザー・ディレクトリ・パスワードを使用すると仮定します。

認証プロセスを開始するには、ユーザーはEPM System製品のログイン画面でユーザー名とパスワードを入力します。

表21. ユーザーのやりとりと結果

ユーザー名およびパスワードログイン結果ログイン・ユーザー・ディレクトリ
test_user_1/password成功ネイティブ・ディレクトリ
test_user_3/password成功ネイティブ・ディレクトリ
test_user_3/ldappassword失敗SunONE[1]
test_user_3/RSA PIN成功SunONE[2]

1 ネイティブ・ディレクトリに対するユーザーの認証は、パスワードが一致していないために失敗します。カスタム認証モジュールを使用したユーザーの認証は、使用されたパスワードが有効なRSA PINではないため失敗します。EPM Systemは、カスタム認証設定がこのディレクトリのEPM System認証をオーバーライドしたため、SunONE (検索順序2)でこのユーザーの認証を試行しません。

2 ネイティブ・ディレクトリに対するユーザーの認証は、パスワードが一致していないために失敗します。カスタム認証モジュールによりユーザーが認証され、ユーザー名test_user_3がEPM Systemに戻されます。

使用事例シナリオ3

表22に、このシナリオで使用するEPM Systemユーザー・ディレクトリ構成と検索順序を示します。このシナリオでは、カスタム認証モジュールがRSAインフラストラクチャを使用してユーザーを認証すると仮定します。

このようなシナリオの明確さのため、カスタム認証モジュールがユーザー名をusername@providername形式(たとえば、test_ldap_4@SunONE)で戻すことをお薦めします。

表22. 検索順序の例

ユーザー・ディレクトリ検索順序カスタム認証サンプル・ユーザー名パスワード[1]
ネイティブ・ディレクトリ1使用可能

test_user_1

test_user_2

test_user_3

RSA_PIN
LDAP対応(たとえば、MSAD)2使用不可

test_ldap1

test_ldap4

test_user_3

ldappassword
LDAP対応(たとえば、SunONE)3使用可能

test_ldap1

test_ldap4

test_user_3

SunONEではldappassword、カスタム・モジュールではRSA PIN

1 単純化するため、すべてのユーザーが同じユーザー・ディレクトリ・パスワードを使用すると仮定します。

認証プロセスを開始するには、ユーザーはEPM System製品のログオン画面でユーザー名とパスワードを入力します。

表23. ユーザーのやりとりと結果

ユーザー名およびパスワード認証結果ログイン・ユーザー・ディレクトリ
test_user_1/password成功ネイティブ・ディレクトリ
test_user_3/RSA_PIN成功ネイティブ・ディレクトリ
test_user_3/ldappassword成功MSAD (検索順序2)
test_ldap_4/ldappassword成功MSAD (検索順序2)
test_ldap_4/RSA PIN成功SunONE (検索順序3)