目次
|
メンバーシップ認証属性
メンバーシップ認証属性は組織属性です。サービス設定の下で組織属性に適用される値は、メンバーシップ認証属性テンプレートのデフォルト値になります。組織にサービスを登録した後、サービステンプレートを作成する必要があります。デフォルト値は組織の管理者が登録後に変更できます。組織属性は組織のサブツリーのエントリに継承されません。メンバーシップ認証属性は次のとおりです。
パスワードの最少文字数
このフィールドは、自己登録時に設定するパスワードに必要な最少文字数を指定します。デフォルト値は 8 です。
この値を変更すると、次のファイルの登録およびエラーテキストでも値が変更されます。
デフォルトユーザーロール
このフィールドは、自己登録で作成されたプロファイルを持つ新しいユーザーに割り当てるロールを指定します。デフォルト値はありません。管理者は、新しいユーザーに割り当てられるロールの DN を指定する必要があります。
注
指定するロールは、認証を構成する組織の下にあることが必要です。自己登録時に、ユーザーに割り当てることのできるロールだけを追加することができます。その他のすべての DN は無視されます。このロールは、Access Manager ロールまたは LDAP ロールにすることができますが、フィルタロールは指定できません。
登録後のユーザー状態
このメニューは、自己登録したユーザーにサービスをすぐに利用できるようにするかどうかを指定します。デフォルト値は有効なので、新しいユーザーはサービスを利用できます。管理者が無効を選択すると、新しいユーザーはサービスを利用できません。
プライマリ LDAP サーバー
このフィールドは、Access Manager のインストール時に指定するプライマリ LDAP サーバーのホスト名およびポート番号を指定します。これは、LDAP 認証で最初に通信するサーバーです。形式は hostname:port です。ポート番号がないときは、389 と想定します。
Access Manager に複数のドメインが配備されている場合、Access Manager と Directory Server の特定のインスタンス間の通信リンクを次の形式 (複数のエントリの場合はローカルサーバー名を先頭に付ける必要がある) で指定できます。
local_servername|server:port local_servername2|server:port ...
たとえば、2 つの Access Manager が異なる位置 (L1-machine1-IS および L2- machine2-IS) にあり、異なる Access Manager のインスタンス (L1-machine1-DS および L2-machine2-DS) と通信する場合、次のようになります。
L1-machine1-IS.example.com|L1-machine1-DS.example.com:389 L2-machine2-IS.example.com|L2-machine2-DS.example.com:389
セカンダリ LDAP サーバー
このフィールドは、Access Manager プラットフォームが利用できるセカンダリ LDAP サーバーのホスト名およびポート番号を指定します。プライマリ LDAP サーバーが認証要求に応答しない場合は、このサーバーと通信します。プライマリサーバーが稼働している場合は、Access Manager はプライマリサーバーに戻ります。この形式も hostname:port です。複数のエントリの場合は、ローカルサーバー名をプレフィックスとして付ける必要があります。
警告
Access Manager を使用する企業から離れた場所にある Directory Server からユーザーを認証する場合は、プライマリとセカンダリ両方の LDAP サーバーポートに値があることが重要です。1 つの Directory Server の場所の値を両方のフィールドに使用できます。
ユーザー検索の開始 DN
このフィールドは、ユーザーの検索を開始するノードの DN を指定します。性能上の理由から、この DN はできるだけ特定のものにしてください。デフォルト値は、ディレクトリツリーのルートです。有効な DN がすべて認識されます。検索範囲属性で OBJECT が選択される場合、DNにはプロファイルが存在するレベルの 1 つ上位のレベルを指定する必要があります。
複数のエントリを使用する場合は、エントリにローカルサーバー名をプレフィックスとして付ける必要があります。
servername|search dn
複数のエントリの場合
servername1|search dn servername2|search dn servername3|search dn...
同一の検索で複数のユーザーが見つかった場合、認証は失敗します。
root ユーザーバインド DN
このフィールドは、「プライマリ LDAP サーバーおよびポート」フィールドで指定した Directory Server に管理者としてバインドするのに使用するユーザーの DN を指定します。ユーザーログイン ID に基づく、一致するユーザー DN を検索するためには、認証モジュールをこの DN にバインドする必要があります。デフォルトは amldapuser です。有効な DN がすべて認識されます
root ユーザーバインドパスワード
このフィールドは、「root ユーザーバインド DN」フィールドで指定される管理者プロファイルのパスワードを指定します。デフォルト値はありません。管理者の有効な LDAP パスワードだけが認識されます。
root ユーザーバインドパスワード (確認)
パスワードを確認します。
ユーザープロファイルの取得に使用する LDAP 属性
このフィールドは、ユーザーエントリのネーミング規則に使用する属性を指定します。デフォルトでは、Access Manager はユーザーエントリが uid 属性によって識別されるものと想定します。Directory Server で異なる属性 (givenname など) を使用している場合は、このフィールドにその属性名を指定します。
認証されるユーザーの検索に使用される LDAP 属性
このフィールドは、認証を受けるユーザーの検索フィルタを設定するのに使用する属性をリストします。そのため、ユーザーはそのエントリで、複数の属性で認証を受けることができます。たとえば、このフィールドが uid、employeenumber、および mail に設定されている場合、ユーザーはこれらの名前のどれを使用しても認証を受けることができます。
ユーザー検索フィルタ
このフィールドは、「ユーザー検索の開始 DN」フィールドの下でユーザーの検索に使用する属性を指定します。これはユーザーネーミング属性とともに機能します。デフォルト値はありません。有効なユーザーエントリ属性はすべて認識されます。
検索範囲
このメニューは、一致するユーザープロファイルを検索する対象となる Directory Server のレベルの数を示します。検索は、ユーザー検索の開始 DN 属性で指定されたノードから開始されます。デフォルト値は SUBTREE です。次のリスト項目から 1 つ選択できます。
LDAP サーバーへの SSL アクセスを有効
このオプションは、プライマリおよびセカンダリ LDAP サーバーとポートのフィールドで指定される Directory Server への SSL アクセスを有効にします。デフォルトでは、このチェックボックスは選択されていないので、Directory Server へのアクセスに SSL プロトコルは使用されません。
認証するユーザー DN を返す
Access Manager ディレクトリが LDAP 用に設定されたディレクトリと同じ場合、このオプションを有効にすることができます。オプションを有効にすると、このオプションによって LDAP 認証モジュールが userId ではなく DN を返すことができるため、検索が不要になります。通常、認証モジュールは userId だけを返すため、認証モジュールはローカルの Access Manager LDAP でユーザーを検索します。外部の LDAP ディレクトリが使用された場合、通常このオプションは有効になりません。
認証レベル
認証レベルは認証方法ごとに個別に設定します。この値は、認証の信頼度を示します。ユーザーが認証を受けると、この値がセッションの SSO トークンに格納されます。ユーザーがアクセスしたいアプリケーションに SSO トークンが提供されると、そのアプリケーションは格納されている値を使用して、ユーザーにアクセスを許可するのに十分なレベルかどうかを判別します。SSO トークンに格納されている認証レベルが必要な最小値に満たない場合、アプリケーションはユーザーにより高い認証レベルのサービスで認証を再度受けるよう要求することがあります。デフォルト値は 0 です。
目次 |