概要
Yellowfinの管理サービスは、基本的にすべてのサードパーティ製認証プロセスをYellowfinに統合することができます。主に、認証ブリッジは、Yellowfinをスタンドアロンアプリケーション、または完全統合アプリケーションとして実装する場合に使用されますが、サードパーティ製プロセスを統合する場合は、カスタムブリッジを作成しなくてはいけません。このブリッジは、サードパーティ製ソースからのユーザーログイン情報と、Yellowfinシステム内のユーザー情報を一致させます。通常、認証ソースはユーザー名を提供しますが、ユーザーを認証するために、パスワードやその他のユーザー属性情報が送信されることもあります。
既存のYellowfinユーザーとの一致が確認されると、ブリッジはシングルサインオンを実行することで、ユーザーをYellowfinにログインさせます。これは、LOGINUSER webサービス(ユーザーログインにパスワードを要求します)、またはLOGINUSERNOPASSWORDサービス(ユーザー名のみでユーザーのログインを実行する)のいずれかを使用して実行することができます。サードパーティ製ソースからパスワードを利用できることは極めて低いため、これは理想的な方法です。
ブリッジを、ユーザーのんログイン可否の判定に使用する必要はありません。ブリッジがユーザー名を受信する、ということは、対象のユーザー既に有効であることを意味します。しかし、サードパーティ製ソースに、ユーザーの認証状況を確認しなくてはいけない場合もあります。
ユーザーがYellowfinに存在しない場合は、ユーザーの自動作成を設定しなくてはいけない場合もあります。これには、サードパーティ製アプリケーションから取得する必要のある、電子メールアドレスや、ユーザーの姓名など、追加情報が必要になることもあります。ブリッジは、GETUSER、またはVALIDATEUSER webサービス関数を使用することで、ユーザーがYellowfinに存在するかを確認することができ、存在しない場合は、ADDUSER webサービスを呼び出すことで、ユーザーを作成します。複数のユーザーを一度に作成する場合は、ADDUSERS webサービス関数を呼び出します。
ブリッジプロセスの一部は、ログインプロセスの一環として、ユーザーのYellowfinロールやグループメンバーシップを変更することができます。Yellowfinが、異なるコンテンツのアクセスが変更される可能性のある製品と統合されている場合、ログインプロセス中にグループメンバーシップを更新するように要求される可能性もあります。これには、ユーザーをどのグループに追加、または削除する必要があるのかを確認するために、サードパーティ製ソースからの情報が必要になります。UPDATEUSER webサービスの呼び出しは、ユーザーロールの変更に、INCLUDEUSERINGROUP、またはEXCLUDEUSERFROMGROUPの呼び出しは、ユーザーがアクセスできるYellwfinのコンテンツを決定するグループへの追加、削除のために使用されます。
ブリッジは、様々な方法で実装することができます。以下はその一例です。
Yellowfinの一部として統合する(Yellowfinウェブアプリケーション内のJSP、サーブレット、フィルターとして)
サードパーティ製ソースとYellowfinと通信をする、スタンドアロンアプリケーションとして統合する(GUI、コンソール、またはウェブアプリケーション)
サービパーティ製アプリケーションの一部として統合する
ブリッジの最適な実装場所は、環境と含まれるコンポーネントに応じて異なります。
Yellowfinのコンテナ内に実装する場合、様々な実装方法が、異なる機能が取り込まれることを可能にします。JSPとサーブレットは、ユーザーが特定のURLに誘導されるようにコードを実装することができますが、フィルターはYellowfinシステムから要求された任意のURLの認証を確認します。
こちらは、Yellowfinの認証ブリッジに必要となる基礎的なプロセスです。
cookie、ファイル、またはネットワーク接続を介して、詳細を取得する。
ユーザーが既に存在しているかどうかを確認する。
提供された詳細情報を使用して、ユーザーを作成する。
必要に応じて、ユーザーの詳細情報を更新する(ロールやグループ、など)
ユーザーをログインさせるために、SSOの呼び出しを実行する。
注意:認証プロバイダーがSAMLをサポートする場合は、Yellowfin SAMLブリッジを使用して、SSOを実行することもできます。
シングルサインオン関数