トリガを起動して外部認証を使用する
外部認証マネージャ(LDAPやActive Directoryなど)と連動するようにHelixサーバを構成するには、認証トリガ(auth-check
、auth-check-sso
、service-check
、auth-set
)を使用します。 これらのトリガは、p4 loginおよび
コマンドに対して起動します。p4 passwd
Helix SAML認証機能については、Helix SAML に記載されています。
LDAP仕様の採用により、LDAP認証を有効化することが望ましい場合があります。 このオプションが推奨される理由はさまざまです。使用が簡単、外部のスクリプトが不要、より柔軟なバインドメソッドの定義、LDAPディレクトリにないユーザに対してHelixサーバの内部ユーザデータベースへの照会による認証許可が可能、そしてより安全であるなどがその理由です。 詳細については、「認証オプション」を参照してください。
また、LDAP認証が有効になっている場合は、auth-check-sso
トリガを使用することもできます。 この場合、LDAPによって認証されたユーザはパスワードを求められることなくクライアント側のSSOスクリプトを定義することができます。 トリガが成功した場合、そのユーザが少なくとも1つのLDAPサーバに存在することを確認するためにアクティブなLDAP構成が使用されます。 グループ認証が設定されている場合は、ユーザはグループ認証も通過する必要があります。 auth-check-sso
タイプのトリガは、LDAP認証を受けていないユーザによって呼び出されることはありません。
認証トリガがチェンジリストやフォームトリガと異なる点は、認証プロセス中にユーザによって入力されたパスワードが標準入力としてコマンドラインではなく認証スクリプトに提供されることです。 (コマンドラインに渡される引数は、%user%
や%clientip%
など、すべてのトリガタイプに共通する引数のみです。)
トリガをトリガテーブルに追加する際には、トリガ名を正しく入力するように注意してください。入力を誤った場合、すべてのユーザがHelixサーバから閉め出されるおそれがあります。
実稼働環境中へ配備する前に、トリガおよびトリガテーブルの動作を十分にテストしてください。
サーバへのアクセスを復元するのにサポートが必要な場合は、Perforceテクニカルサポートまでご連絡ください。
このマニュアルにおける例は説明のための一例にすぎません。 LDAP環境向けのサンプルコードのリンクを含め、詳細については、サポートナレッジベースの記事「LDAPを使用して認証する」を参照してください。
auth-check
(またはservice-check
)トリガを有効に動作させるには、追加後にHelix Coreサーバを再起動する必要があります。 ただし、サーバを再起動せずに既存のauth-check
トリガテーブルのエントリ(またはトリガスクリプト)を変更することもできます。
auth-check
トリガの設置およびサーバの再起動が完了すると、Helixサーバsecurity
構成可能変数は無視されるようになります。 これは、認証がトリガスクリプトによって制御されるようになり、パスワード強度の要求に対するサーバのデフォルトのメカニズムは冗長であるからです。
以下の表では、認証トリガの定義に関するフィールドについて説明します。
フィールド | 意味 |
---|---|
|
トリガの名前。 |
|
|
|
|
|
Helix Coreサーバを実行するトリガです。 トリガが起動するタイミングについてより詳しい情報を知りたい場合は、個別の認証トリガタイプに関して説明している後方のセクションを参照してください。 ほとんどの場合、 Helix Coreサーバアカウントがコマンドを参照して実行できるような方法で、コマンドを指定します。 トリガスクリプトがディポに保存されている場合、ディポシンタックス内でそのパスをパーセントで囲んで指定する必要があります。 例えば、スクリプトがディポに 標準ユーザ、オペレータユーザ、サービスユーザが、
|