概要
Identity Managerでは、パスワードの発行と加入に対するユニバーサルパスワードと接続システムのサポートを利用することによって、双方向パスワード同期を導入しています。
ユーザアカウントのその他の属性と同様に、承認されたデータソースを選択できます。
- パスワードの概要
- Password Synchronization 1.0とIdentity Managerパスワード同期の比較
- 双方向パスワード同期とは
- Identity Managerパスワード同期の機能
- パスワード同期フローの図
パスワードの概要
eDirectoryには、さまざまな目的に使用される複数のパスワードがあります。eDirectoryとDirXMLの以前のバージョンでは、接続システムで更新できるのはNDSパスワードのみで、これは一方向の同期でした。
eDirectory 8.7.1で導入されたユニバーサルパスワードは、必要に応じてその他のeDirectoryパスワードと同期化できる逆方向パスワードです。ユニバーサルパスワードは、4つの暗号化層で保護されています。
NMASは、ユニバーサルパスワードとその他のeDirectoryパスワードとの関係を制御します。たとえば、ユニバーサルパスワードがNDSパスワード、通常パスワード、または配布パスワードとの同期が維持されているかどうかなどを確認します。NMASは、パスワード変更を要求する着信リクエストを傍受し、Password Policy (パスワードポリシー)の設定に従って処理します(一部のレガシーメソッドを除く。ユーザのログインおよびパスワード変更方法の計画を参照してください)。eDirectoryパスワード間の関係を制御するPassword Policyインタフェースの例については、ユニバーサルパスワードの有効化の図を参照してください。
Identity Managerは、eDirectoryパスワードと接続システムのパスワード間の関係を制御します。このために、Identity Managerは配布パスワードを使用します。配布パスワードは、接続システムに提供できるeDirectoryのパスワードです。ユニバーサルパスワードのように、配布パスワードも4つの暗号化層で保護されていて、逆方向で同期化できます。
[Password Policy]で、配布パスワードをユニバーサルパスワードと同じにするかどうかを指定できます(この設定は[Synchronize Distribution Password when setting Universal Password]です)。配布パスワードがユニバーサルパスワードと同じで、接続システムの双方向パスワード同期を使用するよう選択する場合は、Identity Managerを使用してeDirectoryからユニバーサルパスワードを抽出して、その他の接続システムに送信できます。パスワードの転送、およびパスワードを保存する接続システムをセキュリティで保護する必要があります(機密情報の処理を参照)。配布パスワードがユニバーサルパスワードと同じではない場合([Password Policy]で設定を無効にしているため)、ユニバーサルパスワードまたはNDSパスワードを使用せずに、またはこれらに影響せずに、配布パスワードを使用して接続システム間でパスワードを「トンネル」することはできません。
eDirectoryのさまざまなパスワードについては、『Novell Modular Authentication Services (NMAS) 2.3 Administration Guide (Novell Modular Authentication Services (NMAS) 2.3管理ガイド)』を参照してください。Identity Managerでパスワード同期を使用する方法については、パスワード同期の実装を参照してください。
Password Synchronization 1.0とIdentity Managerパスワード同期の比較
|
Password Synchronization 1.0 | Identity Manager 2パスワード同期 |
|---|---|---|
製品の提供 |
DirXMLとは別の製品 |
Identity Managerに含まれる機能。単体の製品としては販売されません。 |
プラットフォーム |
|
次のプラットフォームでは完全な双方向パスワード同期がサポートされています。
これらの接続システムは、Identity Managerへのユーザパスワードの発行をサポートしています。ユニバーサルパスワード(および配布パスワード)は逆方向に同期できるため、Identity Managerはパスワードを接続システムに配布できます。 加入者パスワード要素をサポートする接続システムは、パスワードをIdentity Managerから受信できます。 『Novell Nsure Identity Manager 2管理ガイド』の「パスワード同期の接続システムのサポート」を参照してください。 |
eDirectoryで使用されるパスワード |
NDS(R)パスワード(逆方向は不可能) |
ユニバーサルパスワード(逆方向の同期が可能)、または配布パスワード(同様に逆方向の同期が可能)また、必要に応じてNDSパスワードの同期を維持することもできます。シナリオの例については、『Novell Nsure Identity Manager 2管理ガイド』の「パスワード同期の実装」を参照してください。 |
Windows接続システムの主な機能 |
eDirectoryパスワードがWindowsパスワードと同期されるようにパスワードをDirXMLに送信。NDSパスワードは逆方向に同期化できないため、パスワードはNTまたはADに戻されていませんでした。 |
双方向パスワード同期を提供。ユニバーサルパスワード(および配布パスワード)は逆方向に同期化できるため、パスワードは両方のディレクトリで同期化できます。 |
LDAP変更 |
サポートなし |
サポートあり |
Novell ClientTM |
必須 |
不要 |
nadLoginName属性 |
パスワードの更新を保つために使用されます。 |
使用されません。 |
パスワード同期機能を含むコンポーネント |
nadLoginNameを更新するための機能はDirXMLドライバに含まれていました。 |
ドライバ設定のポリシーがパスワード同期機能を提供します。ドライバは単に、ポリシー内のロジックから発生する、DirXMLエンジンによって与えられるタスクを実行します。 ドライバマニフェスト、グローバル設定値、およびドライバフィルタ設定もパスワード同期をサポートする必要があります。これは、サンプルドライバ設定に含まれており、既存のドライバに追加できます。Identity Managerパスワード同期をサポートするための、既存のドライバ設定のアップグレードを参照してください。 |
エージェント |
別個のソフトウェア。 |
エージェントはインストールされます。この機能はドライバの一部になりました。 |
双方向パスワード同期とは
双方向パスワード同期は、指定した接続システムからパスワードを受け取るIdentity Managerと、指定した接続にパスワードを配布するIdentity Managerの組み合わせです。
特定の接続システムと双方向でパスワードを同期できるかどうかは、接続システムが何をサポートしているかによって決まります。
接続システムの中には、Identity Managerから修正された新しいパスワードを受信し、ユーザの実際のパスワードをIdentity Managerに提供できるものもあります。これらの接続システムは、Identity Managerとの双方向パスワード同期をサポートしているシステムです。これらのシステムを次に示します。
- Active Directory
- Novell(R) eDirectoryTM
- NIS
- NTドメイン
これらの接続システムでは、ユーザは、いずれかのシステムでパスワードを変更して、Identity Managerを介してそのパスワードを他のシステムと同期化できます。ただし、Password Policy (パスワードポリシー)でAdvanced Password Rule (詳細パスワードルール)を使用している場合、ユーザがiManagerセルフサービスコンソールでパスワードを変更できるようにすることをお勧めします。このコンソールにはユーザのパスワードが準拠しなければならないすべてのルールが表示されるため、パスワード変更には最適な場所です。
その他の接続システムはユーザの実際のパスワードを提供できないため、完全な双方向パスワード同期をサポートできません。ただし、ドライバ設定内にポリシーを定義することによって、これらのシステムは、パスワードを作成するために使用できるデータを提供し、Identity Managerに送信できます。
他のシステムの中には、新しいユーザの初期パスワードの設定またはパスワードの変更、あるいはその両方を含め、Identity Managerからパスワードを受信できる場合もあります。
パスワード同期をサポートする接続システムを参照してください。
Identity Managerパスワード同期の機能
Identity Managerパスワード同期によって提供される機能を説明するために、双方向のパスワード同期の対象を2つに分けることができます。それは、接続システムから送信されてIdentity Managerによって受信されるパスワードと、Identity Managerによって配布されて接続システムによって受信されるパスワードです。
次の節では、Identity Managerのパスワード同期の機能について説明します。
- Identity Managerが接続システムからパスワードを受信する機能
- Identity Managerから接続システムにパスワードを配布する機能
- Identity Managerがデータストアおよび接続システムでPassword Policy (パスワードポリシー)を適用する機能
- Identity Managerが提供する同期パスワード用の複数のシナリオ
- Identity Managerからユーザにパスワード同期の失敗を通知する機能
- Identity Managerがユーザのパスワード同期ステータスを確認する機能
Identity Managerが接続システムからパスワードを受信する機能
DirXML(R)の以前のバージョンと同様に、接続システムは識別ボールトにパスワードを発行できます。
Identity Managerがパスワードを受信する元の接続システムアプリケーションを指定できます。さらに、Identity Managerが実行されている同じeDirectoryツリー内でユーザのパスワードを更新するかどうか、またはIdentity Managerが接続システム間のみでパスワードを同期する単なるルートまたは「トンネル」として動作するかどうかも選択できます。つまり、eDirectoryパスワードを、Identity Managerが接続システムに配布するパスワードと別にすることができます。
一部の接続システム(AD、その他のeDirectoryツリー、NT、およびNIS)は、ユーザの実際のパスワードを提供できます。つまり、ユーザが接続システムでパスワードを変更した場合に、その変更をIdentity Managerと同期化して、その他の接続システムに戻すことができます。
その他の接続システムはユーザの実際のパスワードの提供をサポートしていませんが、名字または従業員IDに基づいた初期パスワードなど、スタイルシートで生成したパスワードをIdentity Managerに提供するように設定できます。
Identity Managerから接続システムにパスワードを配布する機能
Identity Managerパスワード同期には、共通のパスワードを接続システムに配布する機能が導入されています。
DirXMLの以前のバージョンでは、ドライバは接続システム上のユーザアカウントからDirXMLにパスワードを送信でき、パスワードを使用してeDirectory内の対応するユーザを更新できました。しかし、eDirectory内のNDS(R)パスワードは、逆方向に同期化できないため、中央のIdentity Managerボールトから複数の接続システムにパスワードを送ることはできませんでした。eDirectoryパスワードを取得するには、パスワードがeDirectoryに保存される前に、Novell Clientなどを介して取得する以外にありませんでした。
eDirectory 8.7.3が提供する新しいユニバーサルパスワードは逆方向に同期化できるため、配布できます。
Identity Managerは接続システムからパスワードを受け取ります。ユニバーサルパスワードは逆方向に同期化できるため、Identity Managerは、そのパスワードを識別ボールトから、新しいアカウントの初期パスワードの設定とパスワードの変更をサポートする接続システムに配布できます。
パスワードの発行元に関係なく、Identity Managerは配布パスワードを、接続システムにパスワードを配布する場所であるレポジトリとして使用します。ユニバーサルパスワードと同様に、配布パスワードでも、Password Policy (パスワードポリシー)を適用できます。
パスワードの同期時にユニバーサルパスワードと配布パスワードを使用する方法については、パスワード同期の実装 を参照してください。
ユーザのその他の属性と同様に、どのシステムをパスワードの承認されたソースにするかを決定でき、Identity Managerは承認されたソースからその他の接続システムにパスワードを配布します。
双方向パスワード同期は、これをサポートする接続システム間に設定できます。
Identity Managerがデータストアおよび接続システムでPassword Policy (パスワードポリシー)を適用する機能
Identity Managerでは、NMASTMを呼び出すことによって、着信パスワードにPassword Policy (パスワードポリシー)を適用できます。接続システムからIdentity Managerに発行されるパスワードが準拠していない場合は、Identity Managerがその識別ボールトへのパスワードを受け入れないように指定できます。つまり、ポリシーに準拠しないパスワードはその他の接続システムに配布されません。
さらに、Identity Managerでは、接続システムにPassword Policy (パスワードポリシー)を適用することもできます。Identity Managerに発行されたパスワードが準拠していない場合、Identity Managerはパスワードを受け入れて配布しないだけでなく、識別ボールト名の現在の配布パスワードを使用して接続システム上の準拠しないパスワードをリセットするように指定できます。
たとえば、少なくとも1つの数字を含むパスワードを要求している場合に、接続システム自体にそのようなポリシーを適用する機能がない場合、準拠しない接続システムからのパスワードをIdentity Managerがリセットするように指定できます。
Advanced Password Rule (詳細パスワードルール)とIdentity Managerパスワード同期を使用している場合、パスワードが確実に同期されるように、接続システムすべてのPassword Policy (パスワードポリシー)を調査し、eDirectoryパスワードポリシー内のAdvanced Password Rule (詳細パスワードルール)に互換性があることを確認することをお勧めします。
Password Policy (パスワードポリシー)が割り当てられているユーザが、接続システムのパスワード同期に参加させるユーザと一致していることを確認する必要があります。
Password Policy (パスワードポリシー)はツリー中心で割り当てられます。対照的に、パスワード同期はドライバごとに設定されます。ドライバはサーバベースでインストールされ、マスタレプリカまたは読み書き可能レプリカ内に存在するユーザのみを管理できます。パスワードの同期化により期待される結果を取得するには、パスワードの同期化を実行するサーバにあるマスタレプリカまたは読み書き可能レプリカのコンテナが、ユニバーサルパスワードが有効なパスワードポリシーを割り当てたコンテナと一致するようにします。パーティションルートコンテナにPassword Policy (パスワードポリシー)を割り当てることによって、そのコンテナとサブコンテナ内のすべてのユーザに確実にPassword Policy (パスワードポリシー)が割り当てられます。
Password Policy (パスワードポリシー)をユーザに割り当てる方法については、ユーザへのPassword Policy (パスワードポリシー)の割り当てを参照してください。
Identity Managerが提供する同期パスワード用の複数のシナリオ
その他の属性と同様に、Identity Managerではどのシステムをパスワードの承認されたソースにするかを決定できます。Identity Managerでは、パスワードが移動する方法を柔軟に決定できます。
Identity Managerパスワード同期の新しい機能のほとんどは、eDirectoryが提供する、逆方向に同期化できる新しいパスワード機能であるユニバーサルパスワードに依存します。
ただし、ユニバーサルパスワードを展開する必要のないシナリオもあります。
さらに、Identity Managerパスワード同期は、Identity Managerが接続システムにパスワードを配布する元のレポジトリである配布パスワードにも依存します。ユニバーサルパスワードと同様に、ポリシーを配布パスワードに適用できます。
パスワード同期を実装する基本的な方法については、パスワード同期の実装を参照してください。これらのシナリオを組み合わせて、各環境のニーズを満たすことができます。
Identity ManagerでNovell ClientなしでWindows上でパスワードを同期化する機能
Active DirectoryとNTドメインとのパスワード同期に、Novell Clientは必要なくなりました。
Identity Managerからユーザにパスワード同期の失敗を通知する機能
Identity Managerがデータストアおよび接続システムでPassword Policy (パスワードポリシー)を適用する機能では、Identity Managerは準拠しないパスワードを接続システムから受け取らないことによってPassword Policy (パスワードポリシー)を適用できることを説明しました。
新しい電子メール通知機能を使用すると、ユーザが行ったパスワード変更が成功しなかった場合に、Identity Managerから通知するように指定できます。
たとえば、NTドメインからの着信パスワードがPassword Policy (パスワードポリシー)に準拠しない場合、Identity Managerでこれを受け入れないように設定していて、電子メールの通知を有効にしているとします。Password Policy (パスワードポリシー)のあるルールでは、会社名をパスワードとして使用できないことを示していて、あるユーザがNTドメイン接続システム上でパスワードを会社名に変更します。この場合、NMASはパスワードを受け入れず、Identity Managerからユーザに、パスワードの変更が同期化されなかったことを知らせる電子メールメッセージが送信されます。
この機能を使用するには、電子メールサーバとテンプレートを設定する必要があります。Identity Managerが送信するメッセージテキストはカスタマイズできます。また、通知をカスタマイズして、管理者にコピーを送信できます。詳細については、電子メール通知の設定を参照してください。
Identity Managerがユーザのパスワード同期ステータスを確認する機能
Identity Managerは、接続システムに問い合わせて、ユーザのパスワード同期ステータスを確認します。接続システムがパスワードの確認機能をサポートしている場合、パスワードが正常に同期化されているかどうかを確認できます。
パスワードを確認する方法については、ユーザのパスワード同期ステータスのチェックを参照してください。
パスワードの確認をサポートしているシステムのリストについては、パスワード同期をサポートする接続システムを参照してください。
