5.3 パスワード同期の前提条件
パスワード同期は、次の要素に依存します。
5.3.1 ユニバーサルパスワードのサポート
接続システム間でのパスワード同期に対応するには、Identity Managerでユニバーサルパスワードを使用する必要があります。次を参照してください。
5.3.2 ドライバマニフェストのパスワード同期機能
ドライバ\'83\'7dニフェストは、接続システムが次のパスワード同期機\'94\'5cをサポートするかどうかを宣言します。
-
ユーザの実際のパスワードをIdentity Managerに発行する
-
Identity Managerのパスワードを受諾する
\'83\'7dニフェストでは、初期パスワードの作成の受諾とパスワード変更の受諾は区別されません。
-
Identity Managerで接続システム上のパスワードを確認し、ユーザのパスワード同期ステータスを決定できる
メモ:ドライバマニフェストは、ドライバの開発者、またはドライバ環境設定を作成するIdentity Managerのエキスパートによって記述されます。ネットワーク管理者が編集するためのものではありません。ドライバマニフェストは、ドライバシムおよび環境設定の実際の機能を表します。マニフェストのみを変更しても機能は変更されません。機能を追加するには、ドライバシム、接続システム、またはドライバ環境設定を拡張する必要があります。
Identity Managerに付属するサンプルのドライバ環境設定はドライバマニフェストエントリを含みます。既存のドライバにこれらを追加するには、セクション 5.7, パスワード同期をサポートするための、既存のドライバ設定のアップグレードを参照してください。
5.3.3 グローバル構成値を使用してパスワード同期を制御する
グローバル構成値を使用すると、ポリシーで参照できる定数値を設定できます。グローバル設定値はレプリカごとの属性に保持されるため、サーバ変数と呼ばれることもあります。
パスワード同期では、グローバル構成値を使用してIdentity Managerに対するパスワードフローの設定を作成できます。ドライバ設定内のIdentity Managerパスワード同期ポリシーはグローバル設定値の設定に基づいて動作するように記述されるため、ポリシーを編集せずにパスワードのフローを簡単に変更できます。
グローバル構成値を使用して、各接続システムの次の設定を制御できます。
表 5-6 接続システムの設定
接続システムからIdentity Managerがパスワードを受け取るかどうか |
この設定は、接続システムによって提供されるパスワード、および発行者チャネルのドライバ設定内のIdentity Managerポリシーによって作成できるパスワードに適用できます。この設定を無効にすると、両方のタイプのパスワードが除去されるため、パスワードはIdentity Managerに到達しません。 |
Identity Managerがユニバーサルポリシーを直接更新するか、配布パスワードを直接更新するかの指定 |
Identity Managerはエントリポイント(Identity Managerが更新するパスワード)を制御します。NMASは、NMASパスワードポリシーで設定した内容に基づいて各種パスワード間のパスワードのフローを制御します。NMASのパスワードポリシーを\'95\'5c示するには、次のように操作します。
-
iManagerで、[Password Policies]の順に選択します。
-
[
-
[]をクリックします。
-
ドロップダウンリストまたはタブからオプションを選択します(使用しているiManagerのバージョンによります)。
これらの方法を使用するシナリオについては、5.8「パスワード同期の実装」のセクションを参照してください。 |
接続システムからIdentity Managerへの着信パスワードにNMASパスワードポリシーを適用するかどうか |
これらのポリシーが適用された場合、準拠しない着信パスワードはIdentity Managerのデータストアに書き込まれません。 |
接続システム上のNMASのパスワードポリシーを適用するために、ポリシー ルールに準拠しないパスワードをリセットして、Identity ManagerがIdentity Managerのパスワードを使用するかどうか |
このオプションは、接続システムでサポートされていない場合はNMASインタフェース内で淡色表示されます(サポートされているかどうかはドライバマニフェストで宣言されています)。発行者チャネル上でパスワード操作が失敗した後にのみ、パスワードがリセットされます。 |
接続システムがパスワードを受け取るかどうか |
この設定はIdentity Managerによって配布されるパスワードと、購読者チャネルのドライバ環境設定内のIdentity Managerポリシーによって作成できるパスワードの両方に適用されます。この設定を無効にすると、両方のタイプのパスワードが除去されるため、パスワードは接続システムに到達しません。
このオプションは、接続システムがサポートしない場合はインタフェース内で淡色\'95\'5c示されます(サポートしているかどうかはドライバ\'83\'7dニフェストで宣言されています)。 |
パスワードが同期化されなかった場合に、ユーザに電子メールで通知するかどうか |
影響を受けるユーザに電子メールを自動的に送信します。 |
Identity Managerに付属するドライバ環境設定はドライバマニフェストエントリを含みます。既存のドライバにこれらを追加するには、セクション 5.7, パスワード同期をサポートするための、既存のドライバ設定のアップグレードを参照してください。
グローバル設定値を編集する
-
iManagerで、[Password Synchronization]の順に選択します。
-
ドライバを検索します。
接続システムドライバを検索する場所を指定すると、iManagerによって検索されたすべての接続システムに対するパスワードフロー設定の概要が\'95\'5c示されます。
-
設定を\'95\'5c示するために、ドライバ名をクリックします。
[Modify Driver]ページに、パスワード同期のグローバル設定値が\'95\'5c示されます。
このページのオプションが淡色\'95\'5c示されている場合は、接続システムがそのオプションをサポートしていないことをドライバ\'83\'7dニフェストが示しています。
-
変更を加え、[
メモ:各ドライバに個別にグローバル構成値を設定できます。ドライバに対するグローバル構成値が、ドライバセット上のグローバル構成値を上書きします。特定のドライバに値を設定すると、より細かく制御できます。このページには、個々のドライバに存在するグローバル設定値だけを\'95\'5c示できます。
ドライバセットオブジェクトにグローバル構成値を設定すると、ドライバが自身の値がない場合に、そのグローバル構成値がそのドライバセット内のドライバによって継承されます。ドライバに自身の設定がなく、ドライバセットからのグローバル構成値を継承する場合、iManagerには値が表示されません。iManagerには継承されているグローバル設定値は\'95\'5c示されませんが、グローバル設定値はパスワード同期ポリシーによって適用されます。
5.3.4 ドライバ設定で必要なポリシー
各ドライバの発行者チャネルおよび購読者チャネルのIdentity Managerポリシーにより、上述のグローバル構成値に基づき、パスワードのフローが制御されます。これらのポリシーは、Identity Managerのドライバ設定に含まれています。
既存のドライバ設定を置き換えるのではなく更新する場合は、特定のポリシーを設定に追加する必要があります。(参照先 セクション 5.7, パスワード同期をサポートするための、既存のドライバ設定のアップグレード.) パスワード同期を機\'94\'5cさせるには、これらのポリシーをドライバ設定の正しい場所に指定する必要があります。
発行者コ\'83\'7dンド変換設定で必要なポリシー
[パスワード同期ポリシー名]カラムに一覧表示されているポリシーは、表示されている順に存在する必要があります。また、これらは発行者コ\'83\'7dンド変換ポリシーセットの最後のポリシーでもある必要があります。
表 5-7 発行者コ\'83\'7dンド変換設定で必要なポリシー
Publisher Command Transformation (発行者コ\'83\'7dンド変換)
|
Password(Pub)-Default Password Policy (パスワード(発行者)-デフォルトパスワードポリシー) |
Addオブジェクトにまだパスワードが含まれていない場合は、デフォルトのパスワードをAddオブジェクトに追加します。
このポリシーとPassword(Sub)-Default Password Policy (パスワード(購読者)-デフォルトパスワードポリシー)は、変更または削除できる唯一のポリシーです。パスワード同期機\'94\'5cが適切に機\'94\'5cするためには、他のポリシーを変更せずに使用する必要があります。 |
Password(Pub)-Check Password GCV (パスワード(発行者)-パスワードGCVの確認) |
GCVを確認し、Identity Managerがこの接続システムからパスワードを受け入れるよう指定しているかどうかを判断します。指定していない場合は、すべてのパスワード要素を除去します。
GCVの名前はenable-password-publishで、表示名は[]です。
|
Password(Pub)-Publish Distribution Password (パスワード(発行者)-配布パスワードの発行) |
<password>要素を、ユニバーサルパスワードを更新できる形式に変換します。
このポリシーが参照するGCVは、次のとおりです。
-
publish-password-to-dp
-
enforce-password-policy
|
Password(Pub)-Publish NDS Password (パスワード(発行者)-NDSパスワードの発行) |
NDSパスワードを更新するように指定している場合に、<password>要素が通過できるようにします。指定していない場合は、<password>要素を除去します。
このポリシーは、publish-password-to-ndsというGCVを参照します。 |
Password(Pub)-Add Password Payload (パスワード(発行者)-パスワードペイロードの追加) |
電子メール通知のために、エンジン内で回覧されるペイロードデータを\'91\'7d入します。 |
|
Password(Sub)-Add Password Payload (パスワード(加入者)-パスワードペイロードの追加) |
電子メール通知のために、エンジン内で回覧されるペイロードデータを\'91\'7d入します。 |
発行者入力変換ポリシーセットで必要なポリシー
入力変換に複数のポリシーがある場合、パスワード(発行者)-加入者の電子メール通知ポリシーは最後に記述することをお勧めします。
表 5-8 発行者入力変換ポリシーセットで必要なポリシー
Publisher Input Transformation (発行者入力変換)
|
Password(Pub)-Sub Email Notifications (パスワード(発行者)-加入者の電子メール通知) |
パスワードペイロード情報が送られてきて、ステータスが問題を示す場合、ユーザに電子メールを送信します。送信には、eDirectoryのインターネット電子メールアドレス属性に示されている電子メールアドレスが使用されます。
このポリシーは、notify-user-on-password-dist-failureというGCVを参照して、通知電子メールを送信するかどうかを決定します。 |
加入者コ\'83\'7dンド変換ポリシーセットで必要なポリシー
[パスワード同期ポリシー名]カラムに一覧表示されているポリシーは、表示されている順に存在する必要があります。また、これらは加入者コ\'83\'7dンド変換ポリシーセットの最後のポリシーでもある必要があります。
表 5-9 加入者コ\'83\'7dンド変換ポリシーセットで必要なポリシー
Subscriber Command Transformation (加入者コ\'83\'7dンド変換)
|
Password(Sub)-Transform Distribution Password (パスワード(加入者)-配布パスワードの変換) |
ユニバーサルパスワードを<password>要素に変換します。
|
Password(Sub)-Default Password Policy (パスワード(加入者)-デフォルトパスワードポリシー) |
Addオブジェクトにまだパスワードが含まれていない場合は、デフォルトのパスワードをAddオブジェクトに追加します。
このポリシーとPassword(Pub)-Default Password Policy (パスワード(発行者)-デフォルトパスワード)は、変更または削除できる唯一のポリシーです。パスワード同期機\'94\'5cが適切に機\'94\'5cするためには、他のポリシーを変更せずに使用する必要があります。 |
Password(Sub)-Check Password GCV (パスワード(加入者)-パスワードGCVの確認) |
GCVを確認し、接続システムがパスワードを受け入れるよう指定しているかどうかを判断します。指定していない場合は、すべてのパスワード要素を除去します。
GCVの名前はenable-password-subscribeで、\'95\'5c示名は[
|
Password(Sub)-Add Password Payload (パスワード(加入者)-パスワードペイロードの追加) |
電子メール通知のために、エンジン内で回覧されるパスワードペイロードデータを\'91\'7d入します。 |
加入者出力変換ポリシーセットで必要なポリシー
出力変換に複数のポリシーがある場合、パスワード(加入者)-発行者の電子メール通知ポリシーは最後に記述することをお勧めします。
表 5-10 加入者出力変換ポリシーセットで必要なポリシー
Subscriber Output Transformation (加入者出力変換)
|
Password(Sub)-Pub Email Notifications (パスワード(加入者)-発行者の電子メール通知) |
パスワードペイロード情報が送られてきて、ステータスが問題を示す場合、ユーザに電子メールを送信します。
このポリシーは、notify-user-on-password-dist-failureというGCVを参照して、通知電子メールを送信するかどうかを決定します。 |
5.3.5 パスワード取得のために接続システムにインストールするフィルタ
AD、NTドメイン、およびNISでは、ユーザのパスワードを取得するためにフィルタをインストールする必要があります。
詳細については、セクション 5.9, パスワードフィルタの設定を参照してください。
5.3.6 ユーザ用に作成したNMASのパスワードポリシー
ユニバーサルパスワードを使用しなくてもパスワード同期の一部の機能は使用できますが、ユーザ用にユニバーサルパスワードを有効にするにはNMASパスワードポリシーを使用する必要があります。また、パスワードポリシーによって、高度なパスワードルールを指定し、ユーザの既存のパスワードがルールに準拠しているかどうか確認するように指定できます。
Identity Managerのパスワード同期を使用するには、パスワードポリシーを理解する必要があります。パスワードポリシーについては、『パスワード管理ガイド』の「Managing Passwords by Using Password Policies」を参照してください。