SSO 関連アプリケーション
Enterprise Single Sign-On (SSO) 関連アプリケーションは、SSO を使用して接続するホスト、バックエンド システム、基幹業務アプリケーションなどのシステムまたはサブシステムを表す論理エンティティです。 メインフレームや UNIX コンピュータなどのバックエンド システムを表すこともあります。 また、SAP などのアプリケーションや、システムの一部分に当たる "手当"、"給与明細" などのサブシステムを表すこともあります。
SSO 管理者または SSO 関連管理者が関連アプリケーションを定義する場合、関連アプリケーションを管理するユーザー (アプリケーション管理者)、関連アプリケーションのユーザー (アプリケーション ユーザー)、および SSO システムがこの関連アプリケーションのユーザーを認証するために使用するパラメーター (ユーザー ID、 パスワード、PIN など)。 アプリケーション管理者とアプリケーション ユーザーの詳細については、「 Enterprise Single Sign-On User Groups」を参照してください。
関連アプリケーションの種類
エンタープライズ SSO では、いくつか異なるアプリケーションの種類が定義されています。 アプリケーションの種類によって、Windows アカウントと Windows 以外のシステム上のアカウントの間のさまざまな種類のマッピングがサポートされます。
アプリケーションの種類は次のとおりです。
個々 個々のアプリケーションでは、Windows アカウントと Windows 以外のアカウントの間の 1 対 1 のマッピングがサポートされます。 1 つの Windows アカウントは Windows 以外のシステム上の 1 つのアカウントのみにマップされます。 マッピングはこのアプリケーションに設定されたフラグによって、Windows から Windows 以外へ、および Windows 以外から Windows へのいずれかまたは両方の方向で使用できます。 したがって、個々のアプリケーションは、Windows によって開始される SSO、ホストによって開始される SSO、またはその両方に使用できます。
グループ グループ アプリケーションでは、1 つの Windows グループから 1 つの Windows 以外のアカウントへのマッピングがサポートされています。 アプリケーション ユーザー アカウントを使用して、対象のグループ アプリケーションに使用される Windows グループを定義します。 グループ アプリケーションには 1 つのマッピングのみを定義できます。そのマッピングは、Windows グループと、Windows 以外のシステムにアクセスするこの Windows グループのすべてのメンバによって使用される単一の Windows 以外のアカウントとの間でのマッピングである必要があります。 グループ アプリケーションは、Windows によって開始される SSO にのみ使用できます。
ホスト グループ ホスト グループ アプリケーションは、概念的にはグループ アプリケーションの逆です。 Windows 以外のアカウントの定義済みグループから、1 つの Windows アカウントへのマッピングがサポートされています。 Windows 以外のアカウントによって使用される単一の Windows アカウントは、アプリケーションのアプリケーション ユーザー アカウントによって定義されます。 このアプリケーションへのアクセスが許可される Windows 以外のアカウントのグループは、Windows 以外のアカウントごとにマッピングを作成することで定義されます。 ホスト グループ アプリケーションは、ホストによって開始される SSO にのみ使用できます。
関連アプリケーションの設計
関連アプリケーションを作成する前に、SSO 関連管理者または SSO 管理者が次の決定を行う必要があります。
この関連アプリケーションが何を表すか。 関連アプリケーションが SSO システムで表す Windows 以外のアプリケーションを知っている必要があります。 次に例を示します。
アプリケーション名: APP1
説明: 支払いスタブ部門のアプリケーション
連絡先: administrator@companyname.com
誰がこの関連アプリケーションを管理するのか。 この関連アプリケーションの管理者を決定する必要があります。 これらは、この関連アプリケーションの Windows 管理者グループを形成します。たとえば、Domain\APP1AdminGroup です。
誰がこの関連アプリケーションを使用するのか。 この関連アプリケーションのエンド ユーザーを決定する必要があります。 エンド ユーザーは、この関連アプリケーションの Windows ユーザー グループを表します。たとえば、Domain\DomainUsers になります。 給与明細のアプリケーションの場合、すべてのユーザーが給与明細情報にアクセスできるようにするために、このアプリケーションのユーザー グループとしてドメイン ユーザー グループを指定できます。
関連アプリケーションでユーザーを認証する際にどの資格情報を使用するのか。 アプリケーションごとに異なる資格情報を使用してユーザーを認証します。 たとえば、一部のアプリケーションでは、ユーザー ID、パスワード、PIN、またはこれらの組み合わせを使用する場合があります。 また、ユーザーがそれらの資格情報を提供する際に、システムでそれらの資格情報をマスクする必要があるかどうかを決定する必要もあります。
この関連アプリケーションに個別のマッピングまたはグループ マッピングを使用するか。 各 Windows ユーザーはバックエンド システムのアカウントを持っていますか、またはバックエンド システムにすべての Windows ユーザーのアカウントが 1 つずつありますか。 支払いスタブ システムの場合、各ユーザーには個々の支払いスタブ情報にアクセスするためのアカウントがあり、個々のマッピングを使用する必要があります。
関連アプリケーションを作成した後は、次のプロパティを変更できません。
関連アプリケーションの名前。
関連アプリケーションに関連付けられているフィールド。
関連アプリケーションの種類 (ホスト グループ、個人、または構成ストア)。
関連管理者グループと同じ管理者アカウント (このプロパティを選択すると、この関連アプリケーションのアプリケーション管理者アカウントとして関連管理者グループが使用されます)。
関連アプリケーションのプロパティ
次の表に、作成する関連アプリケーションごとに定義する必要があるプロパティの一覧を示します。
| プロパティ | 説明 |
|---|---|
| アプリケーション名 | 関連アプリケーションの名前。 関連アプリケーションを作成した後は、このプロパティを変更できません。 |
| 説明 | 関連アプリケーションの簡潔な説明です。 |
| Contact | ユーザーが使用できる、この関連アプリケーションのメインとなる連絡先 (電子メール アドレスを指定できます)。 |
| appUserAccount | この関連アプリケーションを使用するエンド ユーザーのユーザー アカウントを含む Windows グループ。 |
| appAdminAccount | この関連アプリケーションを管理する管理者アカウントを含んでいる Windows グループ。 メモ: adminAccountSame を Yes に設定した場合、このプロパティを定義する必要はありません。 |
| アプリケーション フラグ | 説明 |
|---|---|
| enableApp | この関連アプリケーションの状態。 |
| groupApp | このアプリケーションでグループ マッピング (はい) と個々のマッピング (いいえ) のどちらを使用するかを決定します。 アプリケーションを作成した後は、このプロパティを変更できません。 |
| configStoreApp | この関連アプリケーションが構成ストアの種類のアプリケーションであるかどうかを判断します (はい)。 アプリケーションを作成した後は、このプロパティを変更できません。 |
| hostInitiatedSSO | ホストによって開始される SSO の種類のアプリケーションの場合は、これを有効にします。 既定値は [いいえ] です。 |
| windowsInitiatedSSO | Windows 側開始 SSO タイプのアプリケーションである場合に、このプロパティを有効にします。 既定値は Yes です。 |
| validatePassword | これは、ホストによって開始される SSO アプリケーションにのみ適用されます。 アプリケーションが資格情報の取得を試みる場合は、SSO サービスによる検証に使用される資格情報データベースにパスワードを指定する必要があります。 既定値は Yes です。 |
| disableCredCache | SSO サーバーで資格情報をキャッシュに格納し、迅速なアクセスを提供します。 既定値は [いいえ] です。 |
| allowTickets | SSO システムでこの関連アプリケーションのチケットを使用するかどうかを指定します。 メモ: このフラグを設定するには、SSO 管理者である必要があります。 |
| validateTickets | ユーザーがチケットを引き換えるときに SSO システムでチケットを検証するかどうかを指定します。 メモ: このフラグを設定するには、SSO 管理者である必要があります。 |
| appTicketTimeOut | 関連アプリケーションに固有のチケットのタイムアウトを指定します。 これは、関連アプリケーションを更新する場合にのみ設定でき、作成時には設定できません。 このアプリケーションのチケットが有効で、このプロパティが無効の場合、SSO システム (グローバル) レベルで指定されたタイムアウトが使用されます。 メモ: このフラグを設定するには、SSO 管理者である必要があります。 |
| timeoutTickets | チケットに有効期限を設定するかどうかを指定します。 既定値は [いいえ] です。 メモ: このフラグを設定するには、SSO 管理者である必要があります。 |
| allowLocalAccounts | SSO システムでローカル グループとローカル アカウントの使用を許可するかどうかを指定します。 単一コンピュータのシナリオの場合、このフラグは Yes にしか設定できません。 |
| adminAccountSame | SSO 関連管理者グループをアプリケーション管理者グループとして使用するかどうかを指定します。 アプリケーションを作成した後は、このプロパティを変更できません。 メモ: このフラグを設定するには、SSO 管理者である必要があります。 |
| アプリケーションのフィールド | 説明 | 説明 |
|---|---|---|
| フィールド [0] | <credential>: Masked/Unmasked | エンド ユーザーが関連アプリケーションに接続するために提供する必要がある資格情報の種類 (ユーザー ID、パスワード、スマートカード)、およびこの資格情報がマスクされるかどうか (つまり、ユーザーが入力した文字が画面に表示されるかどうか) を決定します。 関連アプリケーションの資格情報と同じ数のフィールドを入力できますが、最初のフィールドはユーザー ID でなければなりません。 アプリケーションを作成した後は、このプロパティを変更できません。 |
参照
関連アプリケーションの管理
SSO マッピング
ユーザー マッピングの管理
Enterprise Single Sign-On の基本