ID マッピングの設定

ID マッピングでは、カスタム検索条件を使用して、ソース ディレクトリからターゲット ディレクトリにユーザをマッピングするための高度な方法が利用できます。ID マッピングはユーザ許可およびユーザ検証に使用することができます。
casso127jpjp
ID マッピングでは、カスタム検索条件を使用して、ソース ディレクトリからターゲット ディレクトリにユーザをマッピングするための高度な方法が利用できます。ID マッピングはユーザ許可およびユーザ検証に使用することができます。
注:
このビデオでは、製品名を CA SiteMinder と呼んでいますが、これは CA Single Sign-On (CA SSO)の旧称です。

ID マッピングでは、以下の 2 つの方法を使用できます。
  • 許可マッピング(デフォルト)
  • 検証マッピング
許可マッピングと検証マッピングは、ドメイン ベースの保護にのみ使用可能で、アプリケーション モデルの保護には使用できません。
ID マッピングではカスタム検索を有効にし、別の ID マッピング エントリ オブジェクトを使用して、マッピング ルールの順序を制御できます。ポリシー サーバは最初に、ID マッピングで定義されたマッピング メカニズムを使用して、ユーザを見つけようとします。マッピングが失敗した場合は、セッション ユーザ ディレクトリを使用してユーザを特定します。ポリシー サーバにおいて、このディレクトリをデフォルトに設定するには、セッション ディレクトリがポリシー ストア内にある必要があります。
注:
検証マッピングについては、認証ディレクトリはローカル ストア内になくても構いません。
2
ID マッピングがサポートするディレクトリ
以下の表に、サポートされているディレクトリ マッピングと、認証ディレクトリを許可ディレクトリまたは検証ディレクトリにマッピングする方法を示します。
 
許可ディレクトリ/検証ディレクトリ
認証ディレクトリ
LDAP
リレーショナル データベース
AD
LDAP
同一の DN
ユニバーサル ID
カスタム検索
ユニバーサル ID
カスタム検索
同一の DN
ユニバーサル ID
カスタム検索
AD
同一の DN
ユニバーサル ID
カスタム検索
ユニバーサル ID
カスタム検索
同一の DN
ユニバーサル ID
カスタム検索
リレーショナル データベース
ユニバーサル ID
カスタム検索
同一の DN
ユニバーサル ID
カスタム検索
ユニバーサル ID
カスタム検索
: ポリシー サーバは、12.52 SP1 CR05 以降のアイデンティティ マッピングの認証/検証、検証ディレクトリとして AD Namespace をサポートしています。
ID マッピング エントリ タイプ
ID マッピングは、1 つ以上のエントリを含むことができます。ID マッピング エントリは、ターゲット ディレクトリでユーザを検索する方法を指定するルールを定義します。ターゲット ディレクトリでユーザを検索するために、ポリシー サーバは、セッション チケット情報に基づいた検索条件を使用します。
ID マッピングは 1 つ以上のターゲット ユーザ ディレクトリを含むことができます。同じ ID マッピング オブジェクト内の別のターゲット ユーザ ディレクトリのためにエントリを追加できます。ID マッピング エントリは、マッピングの順序づけられたリストとして処理されます。
2 つのタイプの ID マッピング エントリは、以下のとおりです。
  • 許可 ID マッピング エントリ
    ソース ディレクトリとターゲット ディレクトリへのリンクを指定します。リンクが利用できない場合、認証ディレクトリを使って許可を行います。同一の DN またはユニバーサル ID を選択するか、カスタム検索条件を指定できます。
  • 検証 ID マッピング エントリ
    ソース ディレクトリ名をテキスト文字列およびターゲット ディレクトリへのリンクとして指定します。ソース ディレクトリの名前を指定するか、デフォルト値の SMSESSION User Directory を選択できます。デフォルト値は、検証に、セッション チケット内のユーザ ディレクトリが使用されることを示します。ターゲット ディレクトリへのリンクがない場合、認証ディレクトリを使って検証を行います。同一の DN またはユニバーサル ID を選択するか、カスタム検索属性を指定できます。
複雑なユーザ検索式の使用
複雑なユーザ検索条件を使用して、認証ディレクトリを許可ディレクトリまたは検証ディレクトリにマップできます。ユーザ検索条件は属性の組み合わせです。属性はソース ディレクトリまたはターゲット ディレクトリのものです。
通常、ユーザ検索条件はユーザ ディレクトリ固有のものです。たとえば、ODBC ベースのユーザ検索条件は、LDAP ベースのユーザ検索条件とは異なります。
別のネームスペースでユーザ ディレクトリをサポートするには、検索条件をユーザ ディレクトリごとに定義します。また、ターゲット ユーザ ディレクトリ用にユーザ ディレクトリ属性マッピングを定義することもできます。その後、各ユーザ ディレクトリは属性マッピング用にそれぞれ固有の検索条件を定義する必要があります。ユーザ ディレクトリ属性マッピングでは、ユーザ ディレクトリ固有の検索条件を定義できます。
許可 ID マッピングを設定する方法
認証と許可の ID マッピングの設定は 2 段階のプロセスです。
  1. 許可 ID マッピングの設定
  2. 許可 ID マッピングのレルムへの割り当て
許可 ID マッピングの設定
1 つのディレクトリに対してユーザを認証し、別のディレクトリに対してユーザを許可するには、ID マッピングを設定します。
以下の手順に従います。
  1. [インフラストラクチャ]-[ディレクトリ]をクリックします。
  2. [アイデンティティ マッピング]をクリックします。
  3. [アイデンティティ マッピングの作成]をクリックします。
  4. マッピングの名前および説明を指定します。
  5. マッピング タイプとして[認証-許可]を選択します。
  6. [エントリの作成]をクリックします。
  7. ID マッピング エントリの名前を指定します。
  8. それぞれのリストから、ソースとターゲットのディレクトリを選択します。
  9. ユーザ検索条件として、以下のいずれかのオプションを選択します。
    • 同一の DN
      ユーザの DN(識別名)を認証ディレクトリから検証ディレクトリにマップします。
    • ユニバーサル ID
      認証ディレクトリの[ユニバーサル ID]属性の値と、検証ディレクトリの[ユニバーサル ID]の値を照合します。
    • カスタム検索
      ターゲット ディレクトリとソース ディレクトリの属性を指定します。ソース ディレクトリ属性は、ユーザ指定の属性または
      Single Sign-On
      セッション属性です。
  10. [OK]をクリックします。
    ID マッピング エントリは許可 ID マッピング オブジェクトに追加されます。
  11. [サブミット]をクリックします。
    許可 ID マッピング オブジェクトが設定されます。
許可 ID マッピングのレルムへの割り当て
許可 ID マッピングをレルムに割り当てます。ポリシー サーバはレルム内で指定されている許可マッピングを使用してユーザの許可を行います。
以下の手順に従います。
  1. [ポリシー]-[ドメイン]-[レルム]をクリックします。
    [レルム]ページが表示されます。
  2. 変更するレルムを選択します。
  3. [変更]をクリックします。
  4. 許可マッピング リストから許可ディレクトリとして使用する ID マッピングを選択します。
  5. [サブミット]をクリックします。
    許可 ID マッピングが、選択されたレルムに割り当てられます。
検証 ID マッピングの設定
認証と検証の ID マッピングの設定は 2 段階のプロセスです。
  1. 検証 ID マッピングを設定します。
  2. 検証 ID マッピングをレルムに割り当てます。
注:
同じストア内のディレクトリに検証マッピングを作成できます。ソース ディレクトリは、必ずしもローカル ストアにある必要はありません。
検証 ID マッピングの設定
1 つのディレクトリに対してユーザを認証し、別のディレクトリに対してユーザを検証するように、ID マッピングを設定します。
以下の手順に従います。
  1. [インフラストラクチャ]-[ディレクトリ]をクリックします。
  2. [アイデンティティ マッピング]をクリックします。
  3. [アイデンティティ マッピングの作成]をクリックします。
  4. 名前と説明を入力します。
  5. マッピング タイプとして[認証-検証]を選択します。
  6. [エントリの作成]をクリックします。
  7. 名前を入力します。
  8. ディレクトリがセッションの内部にない場合は、ソース ディレクトリを指定します。
  9. ターゲット ディレクトリを選択します。
  10. ユーザ検索条件を選択します。
    カスタム検索を選択する場合は、ターゲット ディレクトリおよびソース ディレクトリの属性を指定します。
    ソース ディレクトリ属性は、ユーザ指定の属性または
    Single Sign-On
    セッション属性です。
  11. [OK]をクリックします。
    ID マッピング エントリは検証 ID マッピング オブジェクトに追加されます。
  12. [サブミット]をクリックします。
    検証 ID マッピング オブジェクトが設定されます。
検証 ID マッピングのレルムへの割り当て
検証 ID マッピングをレルムに割り当てます。ポリシー サーバはレルム内で指定されている検証ディレクトリ マッピングを使用してユーザの許可を行います。
以下の手順に従います。
  1. [ポリシー]-[ドメイン]-[レルム]をクリックします。
  2. 変更するレルムを選択します。
  3. [変更]をクリックします。
  4. 検証マッピング リストから許可ディレクトリとして使用する ID マッピングを選択します。
  5. [サブミット]をクリックします。
    検証 ID マッピングが選択されたレルムに割り当てられます。
デフォルトのグローバル検証ディレクトリ マッピングの設定
検証マッピングのグローバル デフォルトとして、単一の検証 ID マッピングを使用できます。グローバル検証 ID マッピングを設定すると、レルムごとに設定する必要がなくなるので時間を節約できます。ただし、グローバル検証 ID マッピングはローカル マッピングで上書きできます。
以下の手順に従います。
  1. [ポリシー]-[グローバル]をクリックします。
  2. [グローバル検証ディレクトリ マッピングの選択]をクリックします。
    [グローバル検証ディレクトリ マッピングの選択]ページが開きます。
  3. 対応するリストから検証 ID マッピング オブジェクトを選択します。
  4. [サブミット]をクリックします。
    選択された検証 ID マッピング オブジェクトは、検証マッピングのグローバル デフォルトとして設定されます。