Active Directoryにユーザ情報を設定する際の注意点、およびポイントについて説明します。
各定義のエントリに設定できる各属性は、運用に応じて以下のように設定してください。
なお、各属性のサイズはActive Directoryに依存します。
| シングル・サインオンの拡張スキーマを使用しない場合 | シングル・サインオンの拡張スキーマを使用する場合 |
必ず設定が必要な属性 |
|
|
統合Windows認証を行う場合に必ず設定が必要な属性(注1) |
|
|
パスワード認証を行う場合に必ず設定が必要な属性 | 設定不要 |
|
証明書認証を行う場合に必ず設定が必要な属性(注3) | 設定不要 |
|
運用に応じて設定が必要な属性 | 特になし |
|
設定不要な属性 | 特になし |
|
注1)本属性は、Active Directoryの構築直後にすでに存在するユーザアカウント(Administratorなど)には含まれていません。このようなユーザアカウントを使用して統合Windows認証を行う場合は、本属性を設定してから認証操作を行ってください。
注2)Interstageシングル・サインオンでは、本属性を、ユーザを一意に特定する識別情報であるユーザIDと見なして動作します。
注3)ユーザ証明書中の所有者名の情報から利用者を一意に特定する属性です。いずれかを必ず設定してください。
オブジェクトクラス
Active Directoryに登録する利用者は、以下のオブジェクトクラスで管理されます。ユーザ情報をActive Directoryに登録する際には以下のオブジェクトクラスで構成されるように設定してください。
【シングル・サインオンの拡張スキーマを使用しない場合】
ユーザ情報オブジェクトクラス | 説明 |
top | 基本LDAPオブジェクトクラス |
person | ユーザ情報 |
organizationalPerson | |
user |
【シングル・サインオンの拡張スキーマを使用する場合】
ユーザ情報オブジェクトクラス | 説明 |
top | 基本LDAPオブジェクトクラス |
person | ユーザ情報 |
organizationalPerson | |
user | |
inetOrgPerson(注1) | |
ssoUser(注2) | SSOの利用ユーザ情報 |
注1) シングル・サインオンの拡張スキーマの設定時に、シングル・サインオン拡張オブジェクトクラススキーマのサンプルファイルを編集し、userオブジェクトクラスに対して、シングル・サインオンのスキーマ拡張を行った場合、ユーザ情報に登録する必要はありません。
注2)ssoUserオブジェクトクラスは、シングル・サインオンの拡張スキーマの設定時に、inetOrgPersonオブジェクトクラスの補助型クラスとして設定します。そのため、ユーザ情報に登録する必要はありません。
属性
Interstageシングル・サインオンで使用する属性について説明します。
Active Directoryの属性については、Active Directoryのマニュアルを参照してください。
SSOリポジトリに登録するユーザ情報と同様です。2.3.2.5 ユーザ情報のエントリを参照してください。
SSOリポジトリに登録するユーザ情報と同様です。2.3.2.5 ユーザ情報のエントリを参照してください。
SSOリポジトリに登録するユーザ情報と同様です。2.3.2.5 ユーザ情報のエントリを参照してください。
パスワード認証を行った場合に、利用者のアカウントのロック状態が以下の値で設定されます。
good:ロックされていない
locked:ロックされている
good
・ユーザ情報に値を必ず設定してください。設定していない場合は、認証に失敗します。
・ロック状態の解除はInterstage管理コンソールの[利用者のロック解除]設定で行います。ロック状態の解除方法については“4.5.7 ロックアウトの解除”を参照してください。
・ユーザプログラムで本属性を操作することで、利用者をロックすることができます。利用者をロックするユーザプログラムについては“B.7 利用者をロックする”を参照してください。
利用者のシングル・サインオンを利用開始する日時を設定します。
設定した日時以前に利用者がシングル・サインオンを利用した場合には認証に失敗します。
日本時間を設定する場合は、“YYYYMMDDHHMMSS.0+0900”という形式で設定してください。グリニッジ標準時で設定する場合は“YYYYMMDDHHMMSS.0Z”という形式で設定してください。省略した場合は、即時にシングル・サインオンを利用できます。
なお、本属性はサマータイムに対応しています。
YYYY:年(西暦4桁)
MM :月(2桁)
DD :日(2桁)
HH :時(24時間制2桁)
MM :分(2桁)
SS :秒(2桁)
・数字
20030101000000.0+0900
・「ssoNotBefore」と「ssoNotAfter」には別の日時を設定してください。同じ日時を設定した場合には、利用者の認証に失敗します。
・「ssoNotBefore」は「ssoNotAfter」よりも早い日時を設定してください。「ssoNotBefore」に設定した日時よりも「ssoNotAfter」に設定した日時の方が早い場合には、利用者の認証に失敗します。
・「ssoNotBefore」と「ssoNotAfter」には、日本時間で設定する場合やグリニッジ標準時で設定する場合に関係なく“20000101000000”から“20371231235959”の間の日時を設定してください。範囲外の日時を設定した場合は、利用者の認証に失敗します。
利用者のシングル・サインオンを利用終了する日時を設定します。
設定した日時以降に利用者がシングル・サインオンを利用した場合には認証に失敗します。
日本時間を設定する場合は、“YYYYMMDDHHMMSS.0+0900”という形式で設定してください。グリニッジ標準時で設定する場合は“YYYYMMDDHHMMSS.0Z”という形式で設定してください。省略した場合は、無期限でシングル・サインオンの利用が可能となります。
なお、本属性はサマータイムに対応しています。
YYYY:年(西暦4桁)
MM :月(2桁)
DD :日(2桁)
HH :時(24時間制2桁)
MM :分(2桁)
SS :秒(2桁)
・数字
20030102000000.0+0900
・「ssoNotBefore」と「ssoNotAfter」には別の日時を設定してください。同じ日時を設定した場合には、利用者の認証に失敗します。
・「ssoNotBefore」は「ssoNotAfter」よりも早い日時を設定してください。「ssoNotBefore」に設定した日時よりも「ssoNotAfter」に設定した日時の方が早い場合には、利用者の認証に失敗します。
・「ssoNotBefore」と「ssoNotAfter」には、日本の時刻で設定する場合やグリニッジ標準時で設定する場合に関係なく“20000101000000”から“20371231235959”の間の日時を設定してください。範囲外の日時を設定した場合は、利用者の認証に失敗します。
SSOリポジトリに登録するユーザ情報と同様です。2.3.2.5 ユーザ情報のエントリを参照してください。
リポジトリサーバにより利用者がロックされた日時がグリニッジ標準時(YYYYMMDDHHMMSSZ.0Z)で設定されます。
・ユーザプログラムで本属性を操作することで、利用者をロックすることができます。利用者をロックするユーザプログラムについては“B.7 利用者をロックする”を参照してください。
・ユーザプログラムで値を設定する場合には、“YYYYMMDDHHMMSS.0Z”、または“YYYYMMDDHHMMSS.0+XXXX”という形式で設定してください。また、日本の時刻で設定する場合やグリニッジ標準時で設定する場合に関係なく“20000101000000”から“20371231235959”の間の日時を設定してください。範囲外の日時を設定した場合は、利用者の認証に失敗します。
SSOリポジトリに登録するユーザ情報と同様です。2.3.2.5 ユーザ情報のエントリを参照してください。
