SSO 関連アプリケーション
エンタープライズ シングル サインオン (SSO) 関連アプリケーションは、SSO を使用して接続するホスト、バックエンド システム、または基幹業務アプリケーションなどのシステムやサブシステムを表す論理エンティティです。 メインフレームや UNIX コンピュータなどのバックエンド システムを表すこともあります。 また、SAP などのアプリケーションや、システムの一部分に当たる "手当"、"給与明細" などのサブシステムを表すこともあります。
SSO 管理者または SSO 関連管理者が関連アプリケーションを定義する際は、関連アプリケーションを管理する人 (アプリケーション管理者)、関連アプリケーションのユーザー (アプリケーション ユーザー)、SSO システムがこの関連アプリケーションのユーザーの認証に使用するパラメータ (ユーザー ID、パスワード、PIN 番号など) を決定する必要もあります。 アプリケーション管理者とアプリケーション ユーザーの詳細については、「 SSO ユーザー グループ」を参照してください。
関連アプリケーションの種類
エンタープライズ SSO では、いくつか異なるアプリケーションの種類が定義されています。 アプリケーションの種類によって、Windows アカウントと Windows 以外のシステム上のアカウントの間のさまざまな種類のマッピングがサポートされます。
アプリケーションの種類は次のとおりです。
個々 個々のアプリケーションでは、Windows アカウントと Windows 以外のアカウントの間の 1 対 1 のマッピングがサポートされます。 1 つの Windows アカウントは Windows 以外のシステム上の 1 つのアカウントのみにマップされます。 マッピングはこのアプリケーションに設定されたフラグによって、Windows から Windows 以外へ、および Windows 以外から Windows へのいずれかまたは両方の方向で使用できます。 したがって、単独アプリケーションは Windows 側開始 SSO、ホスト側開始 SSO またはその両方に使用できます。
グループ グループ アプリケーションでは、1 つの Windows グループから 1 つの Windows 以外のアカウントへのマッピングがサポートされています。 アプリケーション ユーザー アカウントを使用して、対象のグループ アプリケーションに使用される Windows グループを定義します。 グループ アプリケーションには 1 つのマッピングのみを定義できます。そのマッピングは、Windows グループと、Windows 以外のシステムにアクセスするこの Windows グループのすべてのメンバによって使用される単一の Windows 以外のアカウントとの間でのマッピングである必要があります。 グループ アプリケーションは、Windows 側開始 SSO のみに使用できます。
ホスト グループ ホスト グループ アプリケーションは、概念的にはグループ アプリケーションの逆です。 Windows 以外のアカウントの定義済みグループから、1 つの Windows アカウントへのマッピングがサポートされています。 Windows 以外のアカウントによって使用される単一の Windows アカウントは、アプリケーションのアプリケーション ユーザー アカウントによって定義されます。 このアプリケーションへのアクセスが許可される Windows 以外のアカウントのグループは、Windows 以外のアカウントごとにマッピングを作成することで定義されます。 ホスト グループ アプリケーションは、ホスト側開始 SSO のみに使用できます。
関連アプリケーションの設計
関連アプリケーションを作成する前に、SSO 関連管理者または SSO 管理者は次の項目を決定する必要があります。
この関連アプリケーションが何を表すか。 関連アプリケーションが SSO システムで表す、Windows 以外のアプリケーションについて知っておく必要があります。 たとえば、オブジェクトに適用された
アプリケーション名: APP1
説明: 支払いスタブ部門のアプリケーション
連絡先: administrator@companyname.com
誰がこの関連アプリケーションを管理するのか。 この関連アプリケーションの管理者を決定する必要があります。 これらの管理者によって、この関連アプリケーションの Windows 管理者グループが構成されます。 たとえば、Domain\APP1AdminGroup になります。
誰がこの関連アプリケーションを使用するのか。 この関連アプリケーションのエンド ユーザーを決定する必要があります。 エンド ユーザーは、この関連アプリケーションの Windows ユーザー グループを表します。たとえば、Domain\DomainUsers になります。 給与明細のアプリケーションの場合、すべてのユーザーが給与明細情報にアクセスできるようにするために、このアプリケーションのユーザー グループとしてドメイン ユーザー グループを指定できます。
関連アプリケーションでユーザーを認証する際にどの資格情報を使用するのか。 ユーザーの認証には、アプリケーション ユーザーごとに個別の資格情報を使用します。 たとえば、一部のアプリケーションでは、ユーザー ID、パスワード、PIN、またはこれらの組み合わせを使用します。 また、ユーザーがそれらの資格情報を提供する際に、システムでそれらの資格情報をマスクする必要があるかどうかを決定する必要もあります。
この関連アプリケーションに個別のマッピングまたはグループ マッピングを使用するか。 各 Windows ユーザーはバックエンド システムのアカウントを持っていますか、またはバックエンド システムにすべての Windows ユーザーのアカウントが 1 つずつありますか。 給与明細システムの場合、各ユーザーは給与明細情報にアクセスするためのアカウントをそれぞれが所有しているので、個別のマッピングを使用する必要があります。
関連アプリケーションを作成した後は、次のプロパティを変更できません。
関連アプリケーションの名前
関連アプリケーションに関連付けられたフィールド
関連アプリケーションの種類 (ホスト グループ、単独、構成ストア)
関連管理者グループと同じ管理者アカウント (このプロパティを選択すると、関連管理者グループは、この関連アプリケーションのアプリケーション管理者アカウントとして使用されます)。
関連アプリケーションのプロパティ
次の表は、作成する各関連アプリケーションに定義する必要があるプロパティを示しています。
プロパティ | 説明 |
---|---|
アプリケーション名 | 関連アプリケーションの名前。 関連アプリケーションを作成した後で、このプロパティを変更することはできません |
説明 | 関連アプリケーションの簡潔な説明。 |
Contact | ユーザーが使用できる、この関連アプリケーションのメインとなる連絡先 (電子メール アドレスを指定できます)。 |
appUserAccount | この関連アプリケーションを使用するエンド ユーザーのユーザー アカウントを含んでいる Windows グループ。 |
appAdminAccount | この関連アプリケーションを管理する管理者アカウントを含んでいる Windows グループ。 メモ: adminAccountSame を Yes に設定した場合、このプロパティを定義する必要はありません。 |
アプリケーション フラグ | 説明 |
---|---|
enableApp | この関連アプリケーションの状態。 |
groupApp | このアプリケーションでグループ マッピング (yes) と個別のマッピング (No) のどちらを使用するのかを指定します。 アプリケーションを作成した後は、このプロパティを変更できません。 |
configStoreApp | この関連アプリケーションが構成ストア タイプのアプリケーション (yes) であるかどうかを指定します。 アプリケーションを作成した後は、このプロパティを変更できません。 |
hostInitiatedSSO | ホスト側開始 SSO タイプのアプリケーションである場合に、このプロパティを有効にします。 既定値は [いいえ] です。 |
windowsInitiatedSSO | Windows 側開始 SSO タイプのアプリケーションである場合に、このプロパティを有効にします。 既定値は Yes です。 |
validatePassword | これは、ホスト側開始 SSO アプリケーションのみに適用されます。 アプリケーションが資格情報を取得しようとするときに、SSO サービスが検証に使用する SSO データベースのパスワードを指定する必要があります。 既定値は Yes です。 |
disableCredCache | SSO サーバーでは迅速なアクセスを提供するためにキャッシュに資格情報を格納します。 既定値は [いいえ] です。 |
allowTickets | SSO システムでこの関連アプリケーションのチケットを使用するかどうかを指定します。 セキュリティ このフラグを設定するには、SSO 管理者である必要があります。 |
validateTickets | ユーザーがチケットを引き換えるときに SSO システムでチケットを検証するかどうかを指定します。 セキュリティ このフラグを設定するには、SSO 管理者である必要があります。 |
appTicketTimeOut | 関連アプリケーションに固有のチケット タイムアウトを指定します。 関連アプリケーションを更新するときのみ、このプロパティを設定できます。関連アプリケーションを作成するときには設定できません。 このアプリケーションでチケット作成が有効になっており、このプロパティが有効でない場合は、SSO システム (グローバル) レベルで指定されたタイムアウトが使用されます。 セキュリティ このフラグを設定するには、SSO 管理者である必要があります。 |
timeoutTickets | チケットに有効期限を設定するかどうかを指定します。 既定値は Yes です。 セキュリティ 必要な場合を除き、チケットのタイムアウトを無効にしないでください (いいえ)。 セキュリティ このフラグを設定するには、SSO 管理者である必要があります。 |
allowLocalAccounts | SSO システムでローカル グループとローカル アカウントの使用を許可するかどうかを指定します。 単一コンピュータのシナリオの場合、このフラグは Yes にしか設定できません。 |
adminAccountSame | SSO 関連管理者グループをアプリケーション管理者グループとして使用するかどうかを指定します。 アプリケーションを作成した後は、このプロパティを変更できません。 セキュリティ このフラグを設定するには、SSO 管理者または SSO 関連管理者である必要があります。 |
アプリケーションのフィールド | 説明 | 説明 |
---|---|---|
フィールド [0] | <credential>: Masked/Unmasked | エンド ユーザーが関連アプリケーションへの接続時に提供する必要がある資格情報の種類 (ユーザー ID、パスワード、スマート カード)、およびこの資格情報をマスクするかどうか (つまり、ユーザーが入力する文字を画面に表示するかどうか) を指定します。 関連アプリケーションの資格情報と同じ数のフィールドを入力できますが、最初のフィールドはユーザー ID でなければなりません。 アプリケーションを作成した後は、このプロパティを変更できません。 |