Novell®資格情報プロビジョニングポリシーにより、アプリケーション資格情報をNovell SecretStore内のユーザオブジェクトにプロビジョニングできます。アプリケーションサーバおよびユーザ資格情報を、通常のIdentity Managerプロビジョニングシナリオの一部としてプロビジョニングできるため、より安全で同期されたWebシングルサインオン機能をユーザに提供できます。
この項では、Identity Manager内のオブジェクトとポリシーを設定するために必要な手順について記載しています。SecretStoreコンポーネントの展開および設定についての情報は含まれていません。SecretStoreのマニュアルは、「Novell SecretStore 3.3.3のマニュアル」を参照してください。
SecretStoreで資格情報のプロビジョニングを実装するには、リポジトリオブジェクト、アプリケーションオブジェクト、およびポリシーの作成が必要です。リポジトリとアプリケーションのオブジェクトには、Identity Managerが使用できるようにSecretStoreの情報が格納されます。ポリシーは、ドライバが資格情報プロビジョニングを使用できるようにするために使用されます。次のオプションも設定できます。
資格情報プロビジョニングは、発行者チャネル、購読者チャネル、または両方のチャネルで設定できます。
SecretStoreの同期は、アプリケーションのパスワード同期の一部として発生させたり、他のイベントによってトリガすることができます。
Webサービスの資格情報は、アプリケーションのアカウントをプロビジョニングしなくてもプロビジョニングできます。
パスワードのランダム生成機能を使用して、接続システム上のユーザアカウントのパスワードを設定し、識別情報管理環境のセキュリティをさらに高めることができます。詳細については、『Novell Identity Manager 3.5.1管理ガイド』でパスワードのランダム生成機能の使い方を参照してください。
図 4-1は、一般的なシナリオを簡略に示したものです。このシナリオでは、Single Sign-Onの資格情報をGroupWise®の新規ユーザにプロビジョニングしています。この部署では、SAP HRシステムとIdentity Managerを使用して、識別ボールト内に新しいユーザをプロビジョニングします。組織の情報に基づき、ユーザは、eDirectory™内に実装された部署の認証ツリー内にプロビジョニングされます。ここが新しいユーザがネットワークに対して認証される場所であり、会社のファイアウォールの外から安全なSingle Sign-On機能を提供するために、Novell iChain®またはNovell Access Manager™によって使用されるGroupWiseセキュリティの資格情報リポジトリになります。ユーザは続いて、Identity ManagerによってGroupWiseにプロビジョニングされ、それらのシステムの資格情報は、認証ツリー内のSecretStore属性に同期されます。
図 4-1 SecretStoreによる資格情報プロビジョニング
図 4-1は、以下のプロビジョニング手順を示しています。
SAP HRシステムが、新入社員Glen Canyonのデータを発行します。Identity ManagerのSAP HPドライバが、このデータを処理します。
新しいユーザオブジェクトが、CN値「GCANYON」およびworkforceID値「50024222」を使用して、識別ボールト内に作成されます。このユーザは、会社の財務組織に割り当てられているため、財務部のeDirectoryサーバに認証される必要があります。Identity ManagerのeDirectoryドライバがドメインを同期すると、識別ボールトの情報を使用できるようになります。
Glenは、Finance部のeDirectoryサーバにプロビジョニングされます。
このドライバは、Glenの完全識別LDAP名「 CN=GLCanyon,OU=finance,O=Testco Financials」を取得するように設定されます。
このLDAP名は、識別ボールト内のGCANYONユーザのDirXML-AuthContext (ユーザオブジェクトの拡張属性、DirXML-ADContextのコピー)属性に配置されます。
これで、識別ボールト内で必要な属性が使用できるようになったので、GroupWiseドライバによって、GCANYONオブジェクトの属性が処理されます。
GlenはFinance組織に所属するため、ドライバはGCANYONのGroupWiseアカウントをFinance部のGroupWiseドメインサーバ上にプロビジョニングします。
アカウントの作成が成功すると、GroupWiseドライバのポリシーによって、GlenのGroupWise認証資格情報がこのユーザのeDirectoryユーザアカウントのSecretStoreにプロビジョニングされます。
Glenがインターネットから会社のWebサイトに認証される場合、iChainサーバがSecretStore資格情報を使用して、このユーザの安全なGroupWise電子メールアカウントへの認証情報を入力するので、GroupWise資格情報を自分で入力する必要も、会社のリソースにセキュリティを追加設定する必要もありません。