目次
|
コア認証属性
コア認証モジュールは、デフォルトの認証モジュールすべてと、カスタム認証モジュール属性のための基本モジュールです。コア認証は、どの形式であれ認証を使用する組織ごとのサービスとして設定する必要があります。コア認証属性はグローバルおよび組織属性から構成されます。グローバル属性に適用される値は Sun Java System Access Manager 設定全体に適用され、設定済みのすべての組織に継承されます。グローバル属性の目的は Access Manager アプリケーションのカスタマイズであるため、ロールまたは組織に直接適用することはできません。サービス設定の下で組織属性に適用される値が、コア認証テンプレートのデフォルト値になります。組織にサービスを追加した後、サービステンプレートを作成する必要があります。デフォルト値は組織の管理者が追加後に変更できます。組織属性は組織のエントリに継承されません。コア認証属性は次のように分けられます。
グローバル属性
コア認証モジュールのグローバル属性には、次のものがあります。
プラグイン可能な認証モジュールクラス
このフィールドは、Access Manager プラットフォーム内で設定されるどの組織でも利用できる認証モジュールの Java クラスを指定します。デフォルトでは、LDAP、SafeWord、SecurID、アプリケーション、匿名、HTTP 基本、メンバーシップ、UNIX、証明書、NT、RADIUS、および Windows デスクトップ SSO があります。AMLoginModule SPI または JAAS LoginModule SPI を実装して、カスタム認証モジュールを記述できます。詳細は『Access Manager Developer's Guide』を参照してください。新しいサービスを定義するには、新しい各認証モジュールの完全クラス名 (パッケージ名を含む) を指定するテキスト文字列をこのフィールドに入力する必要があります。
クライアント用にサポートされている認証モジュール
この属性は、特定のクライアントでサポートされている認証モジュールのリストを指定します。形式は次のとおりです。
この属性は、クライアントディテクション が有効になっているときに機能します。
LDAP 接続のプールサイズ
この属性は、特定の LDAP サーバーおよびポートで使用される最大および最小の接続プールを指定します。この属性は、LDAP およびメンバーシップ認証モジュール専用です。形式は次のとおりです。
LDAP 接続のデフォルトプールサイズ
この属性は、すべての LDAP 認証モジュール設定で使用されるデフォルトの最小および最大接続プールを指定します。ホストおよびポートのエントリが LDAP 接続のプールサイズ属性に存在する場合、LDAP 接続のデフォルトプールサイズの最小値および最大値の設定は使用されません。
組織属性
コア認証モジュールの組織属性には、次のものがあります。
組織認証モジュール
このリストは組織で利用できる認証モジュールを指定します。管理者は自分の組織に固有の認証タイプを選ぶことができます。複数の認証モジュールには柔軟性がありますが、ユーザーはログイン設定が選択した認証モジュールに適合することを確認する必要があります。デフォルトの認証は LDAP です。Access Manager に含まれている認証モジュールは次のとおりです。
ユーザープロファイル
このオプションを使用すると、ユーザープロファイルのオプションを指定することができます。
- 必須 : 正常に認証されるためには、ユーザーが Access Manager とともにインストールされた、SSOToken を発行する認証サービス用ローカル Directory Server 内にプロファイルを持っている必要があることを指定する
- ダイナミックに作成 : 認証が成功した場合で、ユーザープロファイルがまだ存在していないときに、認証モジュールによってユーザープロファイルを作成することを指定する。作成後、SSOToken が発行される。ユーザープロファイルは、Access Manager とともにインストールされたローカル Directory Server 内に作成される
- 無視 : 認証が成功した場合に SSOToken を発行する認証モジュールに対して、ユーザープロファイルが不要であることを指定する
管理者認証設定
編集リンクをクリックすることで、管理者専用の認証モジュールを定義することができます。管理者とは、Access Manager コンソールにアクセスする必要があるユーザーのことです。この属性は、管理者とエンドユーザーの認証モジュールを別々のものにする必要がある場合に使用できます。この属性で設定されたモジュールは、Access Manager コンソールがアクセスされたときに適用されます。次に例を示します。
ダイナミックユーザープロファイル作成のデフォルトロール
このフィールドは、ダイナミック作成が選択されている場合に、プロファイルがユーザープロファイル機能で作成された新しいユーザーに割り当てるロールを指定します。デフォルト値はありません。管理者は、新しいユーザーに割り当てられるロールの DN を指定する必要があります。
注
指定するロールは、認証を構成する組織の下にあることが必要です。このロールは、Access Manager ロールまたは LDAP ロールにすることができますが、フィルタロールにすることはできません。
持続 Cookie モードを有効
このオプションは、ユーザーがブラウザを再起動したときに認証セッションに戻れるかどうかを指定します。ユーザーセッションは持続 Cookie モードを有効にすれば保持できます。持続 Cookie モードを有効にすると、ユーザーセッションは持続 Cookie の期限が切れるか、ユーザーが意図的にログアウトするまで期限切れにはなりません。有効期限は Cookie の最大持続時間で指定します。デフォルトでは、持続 Cookie モードが無効になっており、認証モジュールはメモリーの Cookie だけを使用します。
Cookie の最大持続時間
このフィールドは、持続 Cookie の期限が切れたあとの間隔を指定します (チェックボックスを選択して持続 Cookie モードを有効を有効にする必要がある)。この間隔は、ユーザーのセッションの認証が成功したときに始まります。デフォルト値は 2147483 (秒) です。このフィールドには、0 から 2147483 までの任意の整数値を入力できます。
すべてのユーザーのピープルコンテナ
ユーザー認証が成功したあと、ユーザーのプロファイルを検索します。このフィールドの値は、プロファイルの検索先を指定します。一般に、この値はデフォルトのピープルコンテナの DN です。組織に追加されるすべてのユーザーエントリは、自動的にその組織のデフォルトピープルコンテナに追加されます。デフォルト値は ou=People です。一般に、組織名とルートサフィックスで構成されます。このフィールドには組織単位の有効な DN を指定します。
注
認証では、次の方法でユーザープロファイルを検索します。
最後に SSO を検索しますが、その場合認証に使用するユーザー名がプロファイルのネーミング属性でないことがあります。たとえば、ユーザーは jn10191 という SafeWord ID を使用して認証を受けられますが、プロファイルは uid=jamie です。
エイリアス検索属性名
ユーザー認証が成功したあと、ユーザーのプロファイルを検索します。このフィールドは、ユーザーネーミング属性で指定する最初の LDAP 属性に対する検索で一致するユーザープロファイルを見つけられなかった場合に、次に検索する LDAP 属性を指定します。この属性は主に、認証モジュールから返されたユーザーアイデンティティがユーザーネーミング属性で指定したものと異なる場合に使用します。たとえば、RADIUS サーバーが abc1234 を返しても、ユーザー名は abc という可能性があります。この属性のデフォルト値はありません。このフィールドは有効な LDAP 属性をすべて受け入れます (たとえば、cn)。
ユーザーネーミング属性
ユーザー認証が成功したあと、ユーザーのプロファイルを検索します。この属性の値は、検索に使用する LDAP 属性を指定します。デフォルトでは、Access Manager はユーザーエントリが uid 属性によって識別されるものと想定します。Directory Server で異なる属性 (givenname など) を使用している場合は、このフィールドにその属性名を指定します。
デフォルト認証ロケール
このフィールドは、認証モジュールが使用するデフォルトの言語サブタイプを指定します。デフォルト値は en_US です。有効な言語サブタイプのリストは、表 0-1 にあります。
別のロケールを使用するには、最初にそのロケールのすべての認証テンプレートを作成する必要があります。次に、それらのテンプレートの新しいディレクトリを作成する必要があります。詳細は、 『Access Manager Developer's Guide』の第 3 章「Authentication Service」を参照してください。
組織認証設定
この属性は、組織の認証モジュールを設定します。デフォルトの認証モジュールは LDAP です。「編集」リンクをクリックすると、1 つまたは複数の認証モジュールを選択できます。複数のモジュールが選択された場合、ユーザーは選択したモジュールすべての認証に成功する必要があります。
この属性で設定されたモジュールは、ユーザーが /server_deploy_uri/UL/Login 形式を使用して認証モジュールにアクセスしたときの認証に使用されます。詳細は、『Access Manager Developer's Guide』を参照してください。
ログイン失敗時のロックアウトモードを有効
この機能は、ユーザーが最初の認証に失敗した場合、2 回目の認証を試行できるかどうかを指定します。この属性を選択すると、ロックアウトが有効になり、ユーザーは 1 回だけ認証を行うことができます。デフォルトでは、ロックアウト機能は無効になっています。この属性は、ロックアウト関連属性および通知属性と共に機能します。
ログイン失敗時のロックアウト回数
この属性は、「ログイン失敗時のロックアウト間隔」で定義された時間内に、ユーザーが認証を試みることができる回数を定義します。
ログイン失敗時のロックアウト間隔
この属性は、失敗した 2 回のログインの間隔 (分) を定義します。ログインに失敗し、ロックアウト間隔内にもう 1 回失敗した場合は、ロックアウトの回数が加算されます。そうでない場合は、ロックアウト回数がリセットされます。
ユーザーに警告するまでの失敗回数
この属性は、ユーザーのロックアウトが発生した場合に通知を受け取る電子メールアドレスを指定します。複数の電子メールアドレスに通知を送信する場合、スペースで各アドレスを区切ります。英語以外のローケルの場合の形式は次のとおりです。
ユーザーに警告するまでの失敗回数
この属性は、認証に失敗した場合、Access Manager がそのユーザーにロックアウトされるという警告を送信するまでに許可される失敗の回数を指定します。
ログイン失敗のロックアウト持続時間
この属性はメモリロックを有効にします。デフォルトでは、ロックアウトのメカニズムによって、ロックアウト属性名で定義されたユーザープロファイルが無効になります (ログインの失敗後)。ログイン失敗のロックアウト持続時間の値が 0 より大きい場合、メモリロックとユーザーアカウントは指定された時間 (分) の間ロックされます。
ロックアウト属性名
この属性は、ロックアウトで設定される LDAP 属性を指定します。ロックアウト属性値の値を変更して、この属性名のロックアウトを有効にする必要があります。デフォルトでは、Access Manager コンソールのロックアウト属性名は空です。ユーザーがロックアウトしたときに、ログイン失敗のロックアウト持続時間が 0 に設定されている場合、デフォルトで実装される値は、inetuserstatus (LDAP 属性) および inactive となります。
ロックアウト属性値
この属性では、「ロックアウト属性名」で定義された属性に対してロックアウトを有効にするか無効にするかを指定します。デフォルトでは、この値は inetuserstatus に対して無効に設定されています。
デフォルト成功ログイン URL
このフィールドは、認証の成功後にユーザーをリダイレクトする URL を指定する複数の値のリストを受け付けます。HTML のデフォルトタイプとなっている URL の値だけを指定できますが、この属性の形式はclientType|URLです。
デフォルト失敗ログイン URL
このフィールドは、認証の失敗の後にユーザーをリダイレクトする URL を指定する複数の値のリストを受け付けます。HTML のデフォルトタイプとなっている URL の値だけを指定できますが、この属性の形式はclientType|URLです。
認証ポストプロセスクラス
このフィールドは、ログインの成功または失敗後に実行する、認証後プロセスをカスタマイズするための Java クラス名を指定します。次に例を示します。
Java クラスは次の Java インタフェースを実装する必要があります。
com.sun.identity.authentication.spi.AMPostAuthProcessInterface
さらに、クラスの場所を示すパスを Web サーバーの Java Classpath 属性に追加する必要があります。
ユーザー ID 生成モードを有効
この属性は、メンバーシップ認証モジュールによって使用されます。この属性フィールドが有効になっている場合、すでにユーザー ID が存在していれば、自己登録プロセス中にメンバーシップモジュールによって特定ユーザーのユーザー ID が生成可能です。このユーザー ID は、「プラグイン可能なユーザー名ジェネレータクラス」で指定された Java クラスから生成されます。
プラグイン可能なユーザー名ジェネレータクラス
このフィールドは、「ユーザー ID 生成モードを有効」が有効になっている場合にユーザー ID を生成するための Java クラス名を指定します。
デフォルト認証レベル
認証レベルの値は、認証の信頼度を示します。ユーザーが認証を受けると、この値がセッションの SSO トークンに格納されます。ユーザーがアクセスしたいアプリケーションに SSO トークンが提供されると、そのアプリケーションは格納されている値を使用してユーザーにアクセスを許可するのに十分なレベルかどうかを判別できます。SSO トークンに格納されている認証レベルが必要な最小値に満たない場合、アプリケーションはユーザーにより高い認証レベルのサービスで認証を再度受けるよう要求することがあります。
認証レベルは、組織の特定の認証テンプレート内で設定する必要があります。ここで説明するデフォルト認証レベルの値は、特定の組織の認証テンプレートの認証レベルフィールドに、認証レベルが指定されていない場合だけ適用されます。デフォルト認証レベルのデフォルト値は 0 です (この属性の値は Access Manager が使用するものではなく、どの外部アプリケーションでもその値の使用を選択すれば使用できる)。
目次 |