ディレクトリ マッピングの例

ネットワーク リソースにアクセス権があるユーザを認証し許可するためには複数のディレクトリ マッピングが必要です。以下の図に、複数のディレクトリ マッピングが必要になる単純なケースを示します。
casso126jjp
ネットワーク リソースにアクセス権があるユーザを認証し許可するためには複数のディレクトリ マッピングが必要です。以下の図に、複数のディレクトリ マッピングが必要になる単純なケースを示します。
Directory mappings examples
この例では、それぞれ許可ユーザ ディレクトリが異なる 3 つのレルムと、専用の許可ユーザ ディレクトリがない 1 つのレルムがあります。ユーザ認証情報は、2 つの異なる認証ディレクトリに格納されています。リクエストされたリソースが Marketing、Engineering または Quality Assurance レルムにある場合、ポリシー サーバは認証ディレクトリの 1 つを使用します。この決定は、セッション チケット情報のディレクトリに基づきます。
複雑なユーザ検索条件を使用したディレクトリをマップするために ID マッピングを使用できます。
従業員がエンジニアリング レルムのリソースにアクセスする
複数のユーザ ディレクトリを示している上記の図では、正規従業員の認証データはセントラル認証ユーザ ディレクトリに格納されています。従業員がエンジニアリング レルムのリソースへのアクセスを試みると、従業員は認証されます。
ポリシー サーバはエンジニアリング レルムには専用の許可ディレクトリが使用されることを認識します。ポリシー サーバは、中央認証ユーザ ディレクトリとエンジニアリング レルムの許可ユーザ ディレクトリの間のディレクトリ マッピングを検索します。次に、サーバはユーザ識別情報を許可ディレクトリにマップします。これで、ポリシー サーバは、その従業員が要求したレルムへのアクセス権を持っているかどうかを確認できます。
臨時従業員が品質保証レルムのリソースにアクセスする場合
複数のユーザ ディレクトリを示している上記の図では、臨時従業員の認証データは臨時従業員認証ユーザ ディレクトリに格納されています。従業員は、営業レルムのリソースへのアクセスを試みます。営業レルムには専用の許可ディレクトリは関連付けられていません。
ポリシー サーバは、認証ディレクトリでこの従業員を認証し、ディレクトリ マッピングが設定されているかどうかを確認します。営業レルムには専用の許可ディレクトリがないため、ポリシー サーバは、その従業員が認証された同じディレクトリに対して従業員の許可を試みます。
ユニバーサル ID によるディレクトリ マッピング
複数のユーザ ディレクトリを示している上記の図では、従業員の認証データはセントラル認証ユーザ ディレクトリに格納されています。従業員は、エンジニアリング レルムのリソースへのアクセスを試みます。従業員が認証されると、ポリシー サーバはディレクトリ マッピングを使用して、エンジニアリング許可ディレクトリでその従業員を検索します。ユーザは従業員ユニバーサル ID によって識別されます。以下の図を参照してください。
Directory mapping by Univeral ID
上記の図で、ディレクトリ マッピングはユニバーサル ID を使用するものとします。許可ディレクトリで一致するユニバーサル ID を検索するために、ポリシー サーバは、認証ディレクトリで定義されているユニバーサル ID 属性を使用します。許可ディレクトリでユニバーサル ID を特定した後には、ポリシー処理を終了し、保護されているリソースにユーザがアクセスできるかどうかを判断できます。
ディレクトリ マッピングの大文字/小文字の区別
Oracle データベースなど大文字/小文字を区別するディレクトリは、「ROBIN」と「robin」を異なる 2 つのユーザ名として扱います。LDAP ディレクトリなどのその他のディレクトリは大文字/小文字を区別しないため、「Robin」、「ROBIN」、「robin」、「RobIn」はすべて同じユーザ名として扱われます。認証ディレクトリでは大文字と小文字が区別されないが、許可ディレクトリでは大文字と小文字が区別される場合には、競合が発生する場合があります。
認証ディレクトリでは大文字と小文字が区別されるため、認証が失敗する場合があります。ただし、ユーザは、ディレクトリの必須形式でユーザ名を再入力すれば回復できます。ユーザ名を「Name」という形式にする必要があるディレクトリの場合は、「Robin」と正しく入力し直します。許可が大文字と小文字の区別により失敗する場合、ポリシー サーバには回復する方法がありません。
許可ディレクトリが大文字/小文字を区別する場合は、許可ディレクトリの必須形式と一致するように、認証したユーザ名の形式を変更します。認証したユーザ名は「RoBiN」であるが、許可ディレクトリの必須形式が「Name」の場合は、最初に「RoBiN」を「Robin」に変更してから、ユーザを許可します。
複雑なユーザ 検索条件による ID マッピング
ID マッピングは、セッション チケット情報、および ID マッピング エントリの構成方法に基づいてユーザを見つけます。
XPS 関数 IDENTITY_MAP は名前によって ID マッピング オブジェクトを検索します。エントリを解決してターゲット ユーザ ディレクトリでユーザを見つけると、2 つ目のパラメータで指定された属性の値を返します。
例:
「target」 という名前の ID マッピングによって定義されたターゲット ユーザ ディレクトリのユーザの姓を取得するには、以下のように指定します。
IDENTITY_MAP ("target", last_name);