4.3 具有 Novell SecretStore 的身分證明提供規則

「身分證明提供」規則可讓您將應用程式身分證明提供給 Novell SecretStore 儲存機制中的「使用者」物件。 提供「使用者伺服器」和「使用者」身分證明的功能是標準 Identity Manager 提供案例的一部分,讓使用者能夠使用更安全、更同步化的 Web「單一登入」。

此文件包含 Identity Manager 中設定物件和規則組態時所需的步驟, 但不包含任何 SecretStore 元件的部署和組態資訊。 如需 SecretStore 文件,請參閱 Novell SecretStore 3.3.3 文件

實作具有 SecretStore 的「身分證明提供」需要有儲存機制物件、應用程式物件及建立規則。 儲存機制和應用程式物件會儲存 SecretStore 資訊,以便讓 Identity Manager 可以使用。 使用規則後,任何驅動程式都可以啟動,以便使用「身分證明提供」。 您也可以設定下列選項的組態:

圖 4-1 所顯示的是一種典型卻又簡易的案例,其中涉及將「單一登入」身分證明提供給 GroupWise® 的新使用者。 此部門透過 SAP HR 系統和 Identity Manager,提供新使用者進入 Identity Vault。 視組織資訊而定,使用者接著會提供到 eDirectory 上實作的部門認證樹中。 這是使用者驗證網路的地方,也是 GroupWise 安全性身分證明的儲存機制;Novell iChain® 或 Access Manager® 會從公司防火牆外,使用該儲存機制提供安全「單一登入」功能。 在 Identity Manager 後續提供使用者給 GroupWise 的同時,那些系統的身分證明會同步化到驗證樹中的 SecretStore 屬性。

圖 4-5 SecretStore 同步化可做為應用程式密碼同步化的一部份發生,也可以由某個其他事件觸發。

圖 4-5 說明下列提供步驟:

  1. SAP HR 系統會發行名為 Glen Canyon 之新雇用使用者的資料。 Identity Manager SAP HR 驅動程式則會處理此資料。
  2. Identity Vault 中會建立新的「使用者」物件,其 CN 值為 GCANYON 且 workforceID 值為 50024222。由於此使用者是指派給其公司的「財務」組織,所以他需要驗證「財務」部門的 eDirectory 伺服器。 這時同步化該領域的 Identity Manager eDirectory 驅動程式會使用 Identity Vault 資訊。
  3. Glen 會提供給「財務」部門的 eDirectory 伺服器。
  4. 該驅動程式是設定為取得 Glen 的完全可辨識 LDAP 名稱: CN=GLCanyon、OU=finance、O=Testco Financials。
  5. LDAP 名稱會置於 Identity Vault 中 GCANYON 使用者的 DirXML-ADContext (使用者物件的延伸,DirXML-ADContext 的副本) 屬性。

    既然 Identity Vault 中有了必要的屬性,GroupWise 驅動程式便會處理 GCANYON 物件的屬性。

  6. 因為 Glen 位於「財務」部門,所以驅動程式會在「財務部門」的 GroupWise 領域伺服器上提供 GCANYON 的 GroupWise 使用者帳戶。
  7. 帳戶建立成功後,GroupWise 驅動程式規則會將 Glen 的 GroupWise 驗證身分證明提供給其 eDirectory 使用者帳戶的 Secret Store。

Glen 從網際網路驗證其公司網站時,iChain 伺服器便可使用 SecretStore 填寫其驗證表單 (對象為其安全 GroupWise 電子郵件帳戶),而無需輸入 GroupWise 身分證明,並且還對公司資源提供額外的安全性。