ユーザ ディレクトリ接続の概要
目次
casso11jp
目次
ユーザ識別情報を確認するため、ポリシー ストアはユーザ ディレクトリを使用して、組織的な情報、ユーザ属性、およびユーザ認証情報を格納します。管理 UI を使用して、既存のユーザ ディレクトリおよびデータベースへの接続を設定します。これらのディレクトリ接続により、ポリシー サーバがユーザの識別情報のコンテキストを確立する方法が解決されます。
ポリシー サーバは、以下のタイプのユーザ ディレクトリをサポートします。
- LDAP
- ODBC
- Oracle
- カスタム
LDAP の概要
ポリシー サーバは、LDAP(Lightweight Data Access Protocol)を使用するユーザ ディレクトリと通信できます。ポリシー サーバは、LDAP ユーザ ストアに接続するときに 3 つの接続を開きます。
- 最初の接続では、ユーザ ストアが稼働していることを確認します。デフォルトでは、ポリシー サーバはこの接続で 30 秒ごとにユーザ ストアに問い合わせます。
- 2 つ目の接続は、検索および更新用です。たとえば、ポリシー サーバは、バインドに失敗した場合に、ユーザの検索と属性の設定にこの接続を使用します。
- 3 つ目の接続は、認証情報のテスト用です。ポリシー サーバは、提供された認証情報を使用して、ユーザ ストアにバインドすることを試みます。バインド試行の結果により、認証情報が承諾されるかどうかが決まります。
ODBC データベースの概要
Single Sign-On
は、認証や許可のユーザ ディレクトリとして、ODBC 対応データベースの独自スキーマを使用することができます。ポリシー サーバは、次のタイプの ODBC 対応データベースとの接続をサポートしています。- Microsoft SQL Server – Windows ポリシー サーバのみ
- Oracle RDBMS
ユーザ ディレクトリとしてデータベースを使用するようにポリシー サーバを設定するには、以下の手順に従います。
- SQL クエリ方式ウィンドウのフィールドに SQL クエリ情報を入力します。このウィンドウには、ユーザ ディレクトリ ウィンドウからアクセスできます。このペインのフィールドにより、ポリシー サーバと ODBC 互換データベース間で情報がマップされます。注:クエリ方式ごとに一意のデータ ソースを作成します。
- ユーザ情報が収められているデータベースを指すように、ODBC データソースを定義します。ODBC データ ソースはシステム DSN として設定します。このデータソースは Microsoft SQL Server データベースまたは Oracle データベースを指しています。
Active Directory の概要
Single Sign-On
は、Microsoft Active Directory プラットフォーム上のユーザ ディレクトリをサポートしています。Active Directory(AD)および LDAP ネームスペースの設定は、いくつかの機能面の違いにおいて類似しています。Active Directory ユーザストアを設定する場合に AD ネームスペースを使用すると、以下のようなメリットがあります。
- Windows ネイティブな証明データベースを使用する SSL 接続注:ポリシー サーバと Active Directory ユーザ ストアをホスティングするシステムの両方は、信頼できるものとして確立されます。
- 安全な LDAP バインド操作が可能な Windows ネイティブ SASL のサポート
Active Directory ユーザストアを設定する場合に AD ネームスペースを使用すると、以下のようなデメリットがあります。
- 拡張 LDAP リフェラル処理はサポートされない
- LDAP のページング操作とソート操作はサポートされない
注:
ポリシー サーバが UNIX オペレーティング システムにインストールされる場合、AD ユーザ ストアに接続するために AD ネームスペースを使用できません。カスタム ディレクトリの概要
管理 UI では、
Single Sign-On
ディレクトリ API を使用して共有ライブラリを作成することにより、カスタム ユーザ ディレクトリ接続を作成できます。この C 言語 API は、別売のソフトウェア開発キットに付属しています。カスタム接続を通じて、ポリシー サーバとレガシー ディレクトリの対話が可能になります。[ユーザ ディレクトリ]ペイン上でカスタム ネームスペースを設定します。