Workspace ONE SDK による統合認証 (IA) でのユーザー認証情報の処理の詳細
- Workspace ONE SDK では、SDK が組み込まれたアプリから利用可能な共有キーチェーンが提供されています。この共有キーチェーンは、Workspace ONE Intelligent Hub または VMware Container がインストールされた加入済みデバイスでのみ利用できます。Web 加入で加入した場合などのように Intelligent Hub や Container がインストールされていない加入済みデバイスでは、この共有キーチェーンは利用できません。これは、他の SDK アプリから共有キーチェーンへは、ブローカー アプリ (Intelligent Hub や Container) を介してアクセスが許可されるようになっているためです。
- HTTP 401 応答が返された場合、Workspace ONE SDK を使用するアプリであれば、この共有キーチェーンに格納された認証情報を利用することもできます。たとえば、Workspace ONE Web はアクセスしようとした Web サイトからユーザー認証を求められたとき、この共有キーチェーンに格納された認証情報を使用して Web サイトへの認証を試みます。
- 状況によっては、キーチェーンにユーザーの認証情報が格納されないこともあります。たとえば、トークン ベース加入や代理加入など、ユーザーが直接パスワードを入力しない加入プロセスを使用していた場合、認証情報は保存されません。このケースでは、最初の HTTP 401 応答のときにのみ、SDK アプリからユーザーに認証情報の入力を求めるメッセージが表示され、そこで入力された認証情報がキーチェーンに格納されます。
- Workspace ONE SDK が LDAP からユーザーのパスワードを取得しているわけではない点に注意してください。デバイス上でのユーザー入力から認証情報を得ることで、実際に必要になったときにのみ、その認証情報が共有キーチェーンや個々のアプリに格納される設計になっています。
統合認証のサンプル フロー
- ユーザーは Workspace ONE Web を使用して特定の URL にアクセスしようとします。
- このエンドポイントは認証を要求し、HTTP 401 応答を返します。
- Workspace ONE Web は HTTP 401 を受け取ります。続いて、統合認証が有効になっていることを確認します。
- Workspace ONE Web はブローカー/アンカー アプリ (Workspace ONE Intelligent Hub や VMware Container) が存在するかどうかをチェックします。いずれかのアプリがインストールされていれば、Workspace ONE Web はそのアプリに対してキーチェーン内の認証情報を要求します。
- ブローカー/アンカー アプリは要求元のアプリ (この場合は Workspace ONE Web) に暗号化された認証情報を送ります。
- Workspace ONE Web は認証情報を復号し、それをエンドポイントに渡します。
- エンドポイントはアクセス要求を認証します。
- この認証に失敗した場合、Workspace ONE Web はユーザーに認証情報の入力を求めるメッセージを表示します。
- Workspace ONE Web は入力された認証情報を保存し、次回 HTTP 401 応答を受け取った場合には、その情報を使用します。共有キーチェーンには 1 組の資格情報しか格納できないため、Workspace ONE Web ではこのように共有キーチェーンの資格情報を「マスター情報」として効率的に使用しています。
Other Languages: English
免責事項:これは英文の記事「Understanding how Integrated Authentication through the Workspace ONE SDK handles user credentials」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。
1 Comments