4.5 Identity Managerでのシングルサインオンアクセスの使用

認証サービスとしてアイデンティティボールトを使用し、アイデンティティボールトで指定されたコンテナにCNとパスワードがある場合は、認証されたユーザはインストール後ただちにIdentity Managerにログインできます。このログインアカウントがない場合、すぐにログイン可能なユーザはインストール中に指定した管理者だけです。

ユーザがブラウザベースのコンポーネントの1つにログインすると、ユーザの名前とパスワードのペアがOSPサービスにリダイレクトされ、OSPサービスが認証サーバに問い合わせます。認証サーバは、ユーザ資格情報を検証します。その後、OSPはコンポーネントとブラウザに対してOAuth2アクセストークンを発行します。ブラウザは、ユーザのセッション中にこのトークンを使用して、すべてのブラウザベースのコンポーネントに対するSSOアクセスを提供します。

KerberosまたはSAMLを使用する場合、OSPはKerberosチケットサーバまたはSAML IDPからの認証を受け入れ、ユーザがログインしたコンポーネントに対してOAuth2アクセストークンを発行します。

OSPとKerberosを使用することで、いったんログインしたユーザは、識別情報アプリケーションの1つおよびIdentity Reportingとのセッションを作成できるようになります。ユーザのセッションがタイムアウトした場合は自動的に認証が実行され、ユーザによる操作は必要はありません。ログアウト後、ユーザは必ずブラウザを終了してセッションを確実に終了する必要があります。そうしないと、ユーザはログインウィンドウにリダイレクトされ、OSPによってユーザセッションが再認証されます。

OSPとSSOを機能させるには、OSPをインストールする必要があります。その後、各コンポーネントに対するクライアントアクセスのURL、検証要求をOSPにリダイレクトするURL、および認証サーバの設定を指定します。この情報は、インストール中に指定することも、RBPM設定ユーティリティを使用して後で指定することもできます。KerberosチケットサーバまたはSAML IDPの設定も指定できます。

認証およびシングルサインオンアクセスの設定の詳細については、セクション XV, Identity Managerのシングルサインオンアクセスの設定を参照してください。クラスタでは、そのすべてのメンバーの環境設定は同一です。