55.2. Identity Management におけるリソースベースの制約付き委任
リソースベースの制約付き委任 (RBCD) は、次のような複数の点で一般的な制約付き委任とは異なります。
- 粒度: RBCD では、委任はリソースレベルで指定されます。
- アクセス許可の責任: RBCD では、アクセスは Kerberos 管理者ではなくサービス所有者によって制御されます。
一般的な制約付き委任では、Service for User to Proxy (S4U2proxy
) 拡張機能が、ユーザーに代わって別のサービスのサービスチケットを取得します。2 番目のサービスは通常、ユーザーの承認コンテキストの下で、最初のサービスに代わって作業を実行するプロキシーです。制約付き委任を使用することで、ユーザーが Ticket Granting Ticket (TGT) を完全に委任する必要がなくなります。
Identity Management (IdM) は従来、Kerberos S4U2proxy
機能を使用して、Web サーバーフレームワークがユーザーの代わりに LDAP サービスチケットを取得することを可能にするものです。
IdM が Active Directory (AD) と統合されると、IdM フレームワークは制約付き委任も使用して、IdM 側と Active Directory 側の両方の SMB および DCE RPC エンドポイントを含むさまざまなサービスに対してユーザーに代わって動作します。
IdM ドメイン内のアプリケーションがユーザーに代わって別のサービスに対して動作する必要がある場合は、委任権限が必要です。一般的な制約付き委任では、ドメイン管理者が、最初のサービスが次のサービスにユーザー認証情報を委任できるようにするルールを明示的に作成する必要があります。RBCD を使用すると、認証情報が委任されるサービスの所有者が委任権限を作成できます。
IdM-AD 統合で、両方のサービスが同じ IdM ドメインの一部である場合は、IdM 側で RBCD 権限を付与できます。
現在、RBCD ルールで設定できるのは、IdM ドメイン内のサービスのみです。ターゲットサービスが AD ドメインの一部である場合、パーミッションは AD 側でのみ付与できます。AD ドメインコントローラーは IdM サービス情報を解決してルールを作成することができないため、この機能は現在サポートされていません。