ログイン ポリシーの設定

構成センターを使用して Framework、Web Access、または BridgeIT アプリケーションをセットアップするときには、使用するログイン ポリシーを指定できます。最も適切なログイン ポリシーの選択については、「ログオン ポリシーの選択」をご参照ください。利用可能なオプション:

  • 明示のみ –これは3つのすべてのアプリケーションで使用できます。このオプションを使用すると、ユーザは自分の Service Desk または資産マネージャ ユーザ名とパスワードを入力して、アプリケーションを起動するたびにアクセスできます。

データベースをアップグレードしているときには、[ログイン ポリシー] [明示のみ] に設定されている Framework を選択する必要があります。データベースのアップグレードの詳細については、「Ivanti データベースのアップグレード」をご参照ください。

  • 統合のみ – Framework、Web Access で使用できます。このオプションでは、Service Desk または資産マネージャがユーザのネットワーク ログイン情報を使用して、Service Desk および資産マネージャ ユーザ アカウントを特定し、自動的にログインします。
  • トークンのみ – Framework、Web Access、および BridgeIT でのみ使用できます。このオプションは、Ivanti Secure Token Server (STS) を使用した、Web Access と Workspaces のシングル サインオン (SSO) を可能にします。STS は Ivanti Service Desk または資産マネージャ サーバ インストール オプションの一部としてインストールされます。
    シングル サインオンでは、ユーザが 1 回ログインすると、単一のユーザ名とパスワードを使用して、さまざまな異なるアプリケーションにアクセスできます。STS を使用している場合、ユーザは Active Directory ユーザ名とパスワードを使用して、Workspaces (BridgeIT) または Web Access にログインできます。通常、Active Directory ユーザ名とパスワードはネットワークにログインするときに使用する認証資格情報です。
    BridgeIT とコンソールの両方が、一致するログイン ポリシーのある Framework に接続する必要があります。このため、BridgeIT を [トークンのみ] に設定する場合は、接続先の Framework を [トークンのみ] を使用するように設定する必要があります。この場合、コンソールはトークンのみをサポートしないため、同じデータベースに接続し、コンソール実装への一致するログイン ポリシーを使用する Framework も作成する必要があります。

アプリケーションのログイン ポリシーとして [トークンのみ] を選択するときには、次の値を指定する必要があります。
STS 発行トークン URL – 使用する STS 発行トークンの URL (例: https://servername/STS/IssueToken)
ユーザー名パスワード – STS をホストするサーバの Windows 管理者アカウントの認証資格情報。

Web Access は直接データベースに接続するため、Web Access と一致するログイン ポリシーを使用した Framework は必要ありません。

BridgeIT を Ivanti Endpoint Manager にも接続する場合は、[ログイン ポリシー][トークンのみ] または [Identity Server] に設定された Framework が必要です。

BridgeIT アプリケーションの [ログイン ポリシー][明示的ログインのみ] に設定する場合、ユーザは Service Desk または資産マネージャ認証資格情報を使用してサインインします。[トークンのみ] に設定した場合、ネットワーク認証資格情報を使用してサインインします。

  • Shibboleth のみ – Framework、Web Access、および BridgeIT でのみ使用できます。
    BridgeIT が、一致するログイン ポリシーのある Framework に接続する必要があります。このため、BridgeIT を [Shibboleth のみ] に設定する場合は、接続先の Framework を [Shibboleth のみ] を使用するように設定する必要があります。この場合、コンソールはShibboleth のみをサポートしないため、同じデータベースに接続し、コンソール実装への一致するログイン ポリシーを使用する Framework も作成する必要があります。
    Shibboleth 認証を使用するように Service Desk または資産マネージャを構成する前に、Service Desk または資産マネージャに送信される URL 要求でユーザの ID を渡すように Shibboleth を構成する必要があります。ユーザ ID が次の形式で URL のヘッダーとして渡されるように構成する必要があります。
    ?http_landesk_user=userid

[ログオン ポリシー][Shibboleth のみ] に設定されている場合、Service Desk および Asset Manager へのセキュア アクセスは、SAML 認証プロバイダ (例: Shibboleth) の責任になります。

Shibboleth の構成については、Shibboleth に付属のドキュメント、および「Shibboleth 認証の構成」をご参照ください。

  • Identity Server – 内部システム用に Framework、Web Access、BridgeIT で使用できる明示ポリシーとトークン ログイン ポリシーの両方を提供するログイン認証サービス。このオプションでは、Identity Server web アプリケーションを作成する必要があります。詳細については、「Web アプリケーションの作成」をご参照ください。

[統合ログイン]、[トークンのみ]、[Shibboleth のみ]、[Identity Server] の場合、コンソールの [管理] コンポーネントを使用して、Service Desk および資産マネージャ ユーザをネットワーク ログイン情報に関連付ける必要があります。

ユーザ管理の詳細については、「ユーザ管理」をご参照ください。

Service Desk または資産マネージャ ユーザをネットワーク ログイン情報に関連付けるには:

  1. 管理コンポーネントで、[ユーザ管理] ツリーを展開します。
  2. [ユーザ] ブランチを展開し、目的のユーザを選択します。
  3. [処理] リストで、[ネットワーク ログイン情報を追加] をクリックします。
    [ネットワーク ログイン情報] ダイアログが表示されます。
  4. ユーザの [ネットワーク ログイン情報] (ドメイン\ユーザ名) を入力し、[OK] をクリックします。
    ネットワーク ログイン情報がユーザの下の [ネットワーク ログイン情報] フォルダに表示されます。

別の Web Access および BridgeIT アプリケーションを同じインスタンスに作成し、同じデータベースに接続することを検討してください。ただし、[ログイン ポリシー] を [明示的ログインのみ] に設定します。これにより、ネットワーク ログイン情報がなく、Service Desk または資産マネージャ アカウントを持っているユーザが、別の Web アドレスを使用して Service Desk または資産マネージャにアクセスできます。