認証プロバイダーの設定

エンタープライズドメインまたはハイブリッドドメインの認証を設定している場合、LDAP 認証を選択すると、ディレクトリ設定で指定した LDAP サーバーを選択して使用するか、異なる LDAP サーバーを選択して認証に使用することができます。異なるサーバーを選択する場合、ユーザーは両方の LDAP サーバーに存在する必要があります。

ディレクトリ設定で指定した LDAP サーバーを使用するには、認証プロバイダーとして LDAP を選択し、「OK」をクリックします。

認証を実行するために異なる LDAP サーバーを使用するには、認証プロバイダーとして LDAP を選択し、「カスタム LDAP 認証」チェックボックスをオンにします。次の環境設定が表示されます。

サーバー：

（必須）ディレクトリサーバーの完全修飾ドメイン名（FQDN）。例えば、corp.example.com ネットワーク上の x というコンピューターの場合、FQDN は x.corp.example.com です。FQDN サーバー名の代わりに IP アドレスを使用することもできます。

ポート：

（必須）ディレクトリサーバーによって使用されるポート。通常は 389 で、Secure Sockets Layer（SSL）プロトコルを使用してネットワーク経由で認証情報を送信する場合は 636 です。

SSL：

（必須）ネットワーク経由でデータを送信するときにディレクトリサーバーで SSL を使用するかどうかを指定します。デフォルトは「いいえ」です。「はい」に設定する場合、対応する LDAP サーバー証明書はアプリケーションサーバーの Java™ ランタイム環境（JRE）によって信頼されている必要があります。

バインド：

（必須）ディレクトリへのアクセス方法を指定します。

匿名：

ユーザー名またはパスワードは不要です。

ユーザー：

認証が必要です。「名前」ボックスに、ディレクトリにアクセスできるユーザーレコードの名前を指定します。ユーザーアカウントの完全な識別名（DN）を入力することをお勧めします。例えば、cn=Jane Doe, ou=user, dc=can, dc=com などです。「パスワード」ボックスに、関連付けられているパスワードを指定します。これらの設定は、「バインド」オプションとして「ユーザー」を選択する場合は必須です。

BaseDN を取得：

（非必須）BaseDN を取得し、ドロップダウンリストに表示します。この設定は、複数の BaseDN がある場合に 1 つの値を選択する必要があるときに便利です。

BaseDN：

（必須）LDAP 階層からユーザーおよびグループを同期するための開始点として使用されます。サービスのために同期する必要があるすべてのユーザーおよびグループを含む階層の最下位レベルの BaseDN を指定することをお勧めします。この設定にユーザーの DN は含めないでください。特定のユーザーを同期するには、検索フィルター設定を使用します。

ページに次の情報を入力：

（非必須）選択すると、ユーザー設定ページおよびグループの設定ページの属性に、対応するデフォルトの LDAP 値が設定されます。

検索フィルター：

（必須）ユーザーに関連付けられているレコードを検索するために使用する検索フィルター（「Search Filter Syntax」を参照）。

エンタープライズドメインまたはハイブリッドドメインの認証を設定している場合、Kerberos 認証を選択するには、次の設定を使用できます。

DNS IP：

LiveCycle を実行しているサーバーの DNS IP アドレス。Windows の場合、この IP アドレスは、コマンドラインで ipconfig /all を実行して確認できます。

KDC ホスト：

認証に使用する Active Directory サーバーの完全修飾ホスト名または IP アドレス。

サービスユーザー：

Active Directory 2003 を使用している場合、この値は HTTP/<server name> の形式のサービスプリンシパル用に作成されるマッピングになります。Active Directory 2008 を使用している場合、サービスプリンシパルのログイン ID になります。例えば、サービスプリンシパル名が um spnego、ユーザー ID が spnegodemo、マッピングが HTTP/example.corp.yourcompany.com であるとします。この場合、Active Directory 2003 では、「サービスユーザー」を HTTP/example.corp.yourcompany.com に設定します。Active Directory 2008 では、「サービスユーザー」を spnegodemo に設定します（SPNEGO を使用した SSO の有効化を参照）。

サービス領域：

Active Directory のドメイン名。

サービスパスワード：

サービスユーザーのパスワード。

SPNEGO を有効にする：

シングルサインオン（SSO）で SPNEGO を使用できるようにします（SPNEGO を使用した SSO の有効化を参照）。

エンタープライズドメインまたはハイブリッドドメインの認証を設定している場合、SAML 認証を選択するには、次の設定を使用できます。SAML 設定について詳しくは、SAML サービスプロバイダーの設定を参照してください。

読み込む SAML ID プロバイダーのメタデータファイルを選択してください：

「参照」をクリックして、IDP から生成された SAML ID プロバイダーのメタデータファイルを選択し、「読み込み」をクリックします。IDP の詳細が表示されます。

タイトル：

EntityID で示される URL のエイリアス。タイトルは、エンタープライズユーザーおよびローカルユーザーのログインページにも表示されます。

ID プロバイダーではクライアント基本認証をサポートしています：

クライアント基本認証は、IDP で SAML Artifact Resolution プロファイルを使用する場合に使用されます。このプロファイルでは、User Management は、実際の SAML アサーションを取得するために、IDP で実行されている Web サービスに接続します。IDP では認証が必要である場合があります。IDP で認証が必要であれば、このオプションを選択して、表示されたボックスにユーザー名とパスワードを指定します。

カスタムプロパティ：

追加のプロパティを指定できます。追加のプロパティは name=value のペアで指定し、各ペアは新しい行によって区切られます。

アーティファクトバインディングを使用する場合は、次のカスタムプロパティが必要です。

• 次のカスタムプロパティを追加して、LiveCycle Service Provider を表すユーザー名を指定します。これは IDP Artifact Resolution サービスへの認証に使用されます。

  saml.idp.resolve.username=<username>

• 次のカスタムプロパティを追加して、saml.idp.resolve.username で指定したユーザーのパスワードを指定します。

  saml.idp.resolve.password=<password>

• 次のカスタムプロパティを追加して、サービスプロバイダーが SSL で Artifact Resolution サービスに接続を確立中に証明書検証を無視できるようにします。

  saml.idp.resolve.ignorecert=true

エンタープライズドメインまたはハイブリッドドメインの認証を設定していてカスタム認証を選択する場合は、カスタム認証プロバイダーの名前を選択します。

1. IdentityCreator および AssignmentProvider インターフェイスを実装するサービスコンテナを作成します。（『Programming with LiveCycle』を参照）。

2. そのサービスコンテナを LiveCycle サーバーにデプロイします。

3. Administration Console で、設定／User Management／ドメインの管理をクリックします。

   既存のドメインを選択するか、または「新規エンタープライズドメイン」をクリックします。

4. ドメインを作成する場合は、「新規エンタープライズドメイン」または「新しいハイブリッドドメイン」をクリックします。既存のドメインを編集する場合は、ドメインの名前をクリックします。

5. 「ジャストインタイムプロビジョニングを有効にする」を選択します。

   注意： 「ジャストインタイムプロビジョニングを有効にする」チェックボックスが見つからない場合は、ホーム／設定／User Management／設定／システム属性の詳細設定をクリックし、「再読み込み」をクリックします。

6. 認証プロバイダーを追加します。認証プロバイダーを追加する際に、新規認証画面で、登録された「ID 作成者」および「割り当てプロバイダー」を選択します。（認証プロバイダーの設定を参照）。

7. ドメインを保存します。