CA Single Sign-On 生成のユーザ属性

  が自動的に生成するユーザ属性は、以下のとおりです。これらの属性は、Web エージェント レスポンス用のレスポンス属性として指定でき、名前付き式に利用可能です。
casso127jpjp
 
Single Sign-On
が自動的に生成するユーザ属性は、以下のとおりです。これらの属性は、Web エージェント レスポンス用のレスポンス属性として指定でき、名前付き式に利用可能です。
  • %SM_USER
    Web エージェントは、すべてのリクエストに対して SM_USER http ヘッダ変数にユーザ名を配置します。以下のいずれかの条件に当てはまる場合、Web エージェントは、SM_USER ヘッダ変数の値を設定しません。
    • ユーザが証明書ベースの認証のようにユーザ名を提供しない場合。
    • ユーザ名が不明の場合。
  • %SM_USER_CONFIDENCE_LEVEL
    ユーザが認証方式で認証され、認証方式が信頼レベルを生成する場合、この属性は整数(0 ~ 1000)を保持します。認証方式は、ユーザのセッション チケットに整数を挿入します。信頼レベルが高いほど、認証情報保証も高くなります。信頼レベルがゼロの場合、認証情報保証がないことを示します。認証情報保証がない場合、
    Single Sign-On
    はリクエストされたリソースへのアクセスを拒否します。
    注:
    詳細については、「信頼レベルの導入」(Confidence Levels Introduced)を参照してください。
  • %SM_USERDN
    認証されたユーザの場合、Web エージェントはこの http ヘッダ変数に、ポリシー サーバによって決定される DN を設定します。証明書ベースの認証の場合、この属性を使用してユーザの身元を確認できます。
  • %SM_USERNAME
    認証されたユーザの場合、この属性には
    Single Sign-On
    によって特定されるユーザ DN が格納されます。認証されていないユーザの場合、この属性は、ユーザがログイン試行時に指定するユーザ ID を保持します。
  • %SM_USERIMPERSONATORNAME
    認証方式でインパーソネーションが実行される場合、この属性には
    Single Sign-On
    によって認証されるユーザ DN が格納されます。
  • %SM_USERLOGINNAME
    この属性は、ユーザがログイン試行時に指定するユーザ ID を保持します。
  • %SM_USERIPADDRESS
    この属性には、認証または許可時のユーザの IP アドレスが格納されます。
  • %SM_USERPATH
    認証されたユーザの場合、この属性には(いずれもユーザ ディレクトリ定義で指定される)ディレクトリ ネームスペースとディレクトリ サーバ、およびユーザ DN(
    Single Sign-On
    によって特定)が格納されます。例: <nete:proxyrules xmlns:nete="http://www.ca.com/" debug="yes">
    "LDAP://123.123.0.1/uid=scarter,ou=people,o=airius.com"
    認証されていないユーザの場合は、SM_USERNAME と同じです。
  • %SM_USERPASSWORD
    この属性にはログイン試行時にユーザが指定するパスワードが格納されます。この属性は、OnAuthAccept を通じて認証が成功した場合にのみ使用できます。値は認証時時にのみ返され、許可時には返されません。
  • %SM_TRANSACTIONID
この属性には、エージェントによって生成されるトランザクション ID が格納されます。
  • %SM_USERSESSIONSPEC
    ユーザのセッション チケット。
  • %SM_USERSESSIONID
    この属性には、すでに認証済みユーザのセッション ID または認証が成功したときに
    Single Sign-On
    によってユーザに割り当てられる予定のセッション ID が格納されます。
  • %SM_USERSESSIONIP
    この属性には、最初のユーザの認証中(セッションの確立時)に使用された IP アドレスが格納されます。
  • %SM_USERSESSIONUNIVID
    この属性には、ユーザのユニバーサル ID が格納されます。ユーザ ディレクトリ定義にユニバーサル ID ディレクトリ属性の指定がない場合には、この値はデフォルトでユーザの DN に設定されます。
  • %SM_USERSESSIONDIRNAME
    この属性には、ポリシー サーバが使用するように設定されているユーザ ディレクトリの名前が格納されます。
  • %SM_USERSESSIONDIROID
    この属性には、ポリシー サーバが使用するように設定されているユーザ ディレクトリのオブジェクト ID が格納されます。
  • %SM_USERSESSIONTYPE
    この属性には、ユーザのセッション タイプが格納されます。値は次のいずれかです。
    • 2 - セッション
    • 1 - ID
  • %SM_USERLASTLOGINTIME
    この属性には、ユーザが前回ログインし、認証された時刻が GMT 時で格納されます。このレスポンス属性は、OnAuthAccept 認証イベントに対してのみ使用可能です。次の 2 つの条件が満たされる場合のみ、この属性は値を持ちます。
    • パスワード サービスが有効になっていること。
    • ユーザが少なくとも 1 回は
      Single Sign-On
      を通じてログインしていること。
  • %SM_USERPREVIOUSLOGINTIME
    この属性は、直前のログインの前に正常にログインした時刻を GMT を使用して格納します。このレスポンス属性は、OnAuthAccept 認証イベントに対してのみ使用可能です。パスワード サービスが有効になっている場合のみ、この属性は値を持ちます。
  • %SM_USERGROUPS
    この属性には、ユーザが属するグループが格納されます。ユーザがネストされたグループに属する場合には、この属性には階層の最下位にあるグループが含まれます。ユーザが属するすべてのネストされたグループについては、SM_USERNESTEDGROUPS を使用してください。
    例:
    ユーザが Accounting グループに含まれる Accounts Payable グループに属する場合、SM_USERGROUPS には Accounts Payable グループが含まれます。Accounting グループと Accounts Payable グループの両方を使用するには、SM_USERNESTEDGROUPS を使用します。
  • %SM_USERNESTEDGROUPS
    この属性には、ユーザが属するネストされたグループが格納されます。階層の最下位にあるグループについてのみ、SM_USERGROUPS[ を使用してください。
    例:
    ユーザが Accounting グループに含まれる Accounts Payable グループに属する場合、SM_USERNESTEDGROUPS には Accounting グループと Accounts Payable グループが含まれます。Accounting グループのみを使用する場合には、SM_USERGROUPS を使用します。
  • %SM_USERSCHEMAATTRIBUTES
    この属性には、DN に関連付けられたユーザ属性、またはユーザに関連付けられたプロパティが格納されます。ユーザ ディレクトリが SQL データベースの場合、SM_USERSCHEMAATTRIBUTES には、ユーザ データが格納されているテーブルの列名が格納されます。たとえば、SmSampleUsers スキーマを使用している場合には、SM_USERSCHEMAATTRIBUTES には、SmUser テーブルの列名が格納されます。
  • %SM_USERPOLICIES
    ユーザがリソースへのアクセスを許可されていて、ユーザにアクセス許可を付与するポリシーが存在する場合、この属性にはそのポリシーの名前が格納されます。
    : 商品を購入するには、Buyer ポリシーに関連付けられたユーザである必要があります。ポリシー サーバがユーザに商品の購入を許可した場合、SM_USERPOLICIES には Buyer が含まれます。
  • %SM_USERPRIVS
    ユーザがリソースへのアクセスを許可または認証されている場合、SM_USERPRIVS 属性には、すべてのポリシー ドメイン内で、そのユーザに適用されるすべてのポリシーのレスポンス属性がすべて格納されます。
  • %SM_USERREALMPRIVS
    ユーザがレルムにあるリソースへのアクセスを許可または認証されている場合、SM_USERREALMPRIVS 属性には、そのレルムのすべてのルールのすべてのレスポンス属性が格納されます。
    例:
    「Equipment Purchasing」と呼ばれるレルムが存在するとします。このレルムには、「CheckCredit」と呼ばれるルールがあります。ルールは、次のようなレスポンス属性として購入者のクレジット上限を返すレスポンスと関連付けられます。
    limit = $15000
    購入者が 5000 ドル相当の装置を購入しようとすると、ルールが起動します。この場合、SM_USERREALMPRIVS には、Equipment Purchasing レルムの下にあるすべてのルールのレスポンス属性がすべて格納されます。
  • %SM_AUTHENTICATIONLEVEL
    ユーザがリソースに対して認証されると、この属性はユーザが認証された認証方式の保護レベルを表す整数値(0 〜 1000)を格納します。
  • %SM_USERDISABLEDSTATE
    この属性に格納される 10 進数値は、ユーザが無効化された理由を表すビットマスクです。このビットは、SDK の一部である Sm_Api_DisabledReason_t データ構造下の SmApi.h に定義されます。
    たとえば、ユーザが一定の時間何も操作を行わなかった場合には、Sm_Api_Disabled_Inactivity という理由で無効化されます。Sm_Api_DisabledReason_t では、理由 Sm_Api_Disabled_Inactivity は、値 0x00000004 に対応します。したがって、この場合には SM_USERDISABLEDSTATE は 4 になります。
    ユーザが無効化されるには、他にもさまざまな理由があります。
  • %SM_USER_APPLICATION_ROLES
    CA Identity Manager を購入済みであれば、この属性をレスポンスに使用できます。この属性には、ユーザに割り当てられたか、ユーザに委任されたすべてのロールの一覧が含まれています。アプリケーション名を指定すると、そのアプリケーションに関連付けられたロールのみがレスポンス属性で返されます。
    レスポンス属性名は、[レスポンス属性]ウィンドウの[変数名]フィールドに入力します。レスポンス属性名の構文は以下のとおりです。
    SM_USER_APPLICATION_ROLES[:
    application_name
    ]
    application_name
    には、Identity Manager で定義されたアプリケーションの任意の名前を指定します。
    application_name
    に指定した値は、ポリシー サーバ管理者に知らせておく必要があります。アプリケーション名が自動的に管理 UI に渡されることはありません。
  • %SM_USER_APPLICATION TASKS
    CA Identity Manager を購入済みであれば、この属性をレスポンスに使用できます。この属性には、ユーザに割り当てられているか、ユーザに委任されているすべてのタスクの一覧が含まれています。アプリケーション名を指定すると、そのアプリケーションに関連付けられたタスクのみがレスポンス属性で返されます。
    レスポンス属性名は、[レスポンス属性]ウィンドウの[変数名]フィールドに入力します。レスポンス属性名の構文は以下のとおりです。
    SM_USER_APPLICATION_TASKS[:
    application_name
    ]
    :
    application_name
    には、Identity Manager で定義されたアプリケーションの任意の名前を指定します。
    application_name
    に指定した値は、ポリシー サーバ管理者に知らせておく必要があります。アプリケーション名が自動的に管理 UI に渡されることはありません。
Single Sign-On
で生成されるレスポンス属性の使用可否
以下の表は、認証、許可、インパーソネーションの各イベントの発生時に
Single Sign-On
で生成されるレスポンス属性の使用可否をまとめたものです。
レスポンス属性
認証イベントと許可イベント
ImpersonationEvents
GET/PUT
OnAuthAccept
OnAuthReject
OnAccessAccept
OnAccessReject
ImpersonateStart ユーザ
SM_USER_CONFIDENCE_LEVEL
はい
はい
はい
はい
はい
いいえ
SM_USERNAME
はい
はい
はい
はい
はい
いいえ
SM_USERPATH
はい
はい
はい
はい
はい
いいえ
SM_USERIPADDRESS
はい
はい
はい
はい
はい
いいえ
SM_USERPASSWORD
いいえ
はい
はい
いいえ
いいえ
いいえ
SM_TRANSACTIONID
はい
いいえ
いいえ
はい
はい
いいえ
SM_USERSESSIONID
はい
はい
いいえ
はい
はい
いいえ
SM_USERSESSIONSPEC
はい
いいえ
いいえ
はい
はい
いいえ
SM_USERSESSIONIP
はい
はい
はい
はい
はい
いいえ
SM_USERSESSIONUNIVID
はい
はい
いいえ
はい
はい
いいえ
SM_USERSESSIONDIRNAME
はい
はい
いいえ
はい
はい
いいえ
SM_USERSESSIONDIROID
はい
はい
いいえ
はい
はい
いいえ
SM_USERSESSIONTYPE
はい
はい
いいえ
はい
はい
いいえ
SM_USERLASTLOGINTIME
いいえ
はい
いいえ
いいえ
いいえ
いいえ
SM_USERGROUPS
はい
はい
いいえ
はい
はい
いいえ
SM_USERNESTEDGROUPS
はい
はい
いいえ
はい
はい
いいえ
SM_USERSCHEMAATTRIBUTES
はい
はい
はい
はい
はい
いいえ
SM_USERLOGINNAME
いいえ
はい
はい
いいえ
いいえ
いいえ
SM_USERIMPERSONATORNAME
いいえ
いいえ
いいえ
いいえ
いいえ
はい
SM_USERDISABLEDSTATE
はい
はい
いいえ
はい
はい
いいえ
SM_USERPOLICIES
いいえ
いいえ
いいえ
はい
いいえ
いいえ
SM_USERREALMPRIVS
はい
いいえ
いいえ
いいえ
いいえ
いいえ
SM_USERPRIVS
はい
いいえ
いいえ
いいえ
いいえ
いいえ