Novell Documentation: Novell Identity Manager 3

5.1 概要

Identity Managerでは、パスワードの発行と購読に対するユニバーサルパスワードと接続システムのサポートを利用することによって、双方向パスワード同期が提供されています。

ユーザアカウントのその他の属性と同様に、信頼されたデータソースを選択できます。

5.1.1 パスワードの概要

NDS®パスワード、単純パスワード、配布パスワード、およびユニバーサルパスワードは、異なる目的のために使用されます。eDirectory™とIdentity Managerの以前のバージョンでは、接続システムで更新できるのはNDSパスワードのみで、これは片方向同期でした。

Identity Managerではユニバーサルパスワードが使用されています。これは、他のアイデンティティボールトのパスワードと同期できる、逆方向の同期が可能なパスワードです。ユニバーサルパスワードはeDirectory 8.7.1で導入され、3つの層の暗号化によって保護されています。

NMAS™は、ユニバーサルパスワードと他のアイデンティティボールトのパスワードの関係を制御します。たとえば、NMASは、ユニバーサルパスワードとNDSパスワード、単純パスワード、または配布パスワードの同期を保つかどうかを制御します。NMASは、パスワードを変更しようとする着信要求を受信し、NMASのパスワードポリシーの設定に従って処理します。

Identity Managerは、アイデンティティボールトパスワードと接続システムのパスワード間の関係を制御します。このために、Identity Managerは配布パスワードを使用します。配布パスワードは、接続システムに提供できるアイデンティティボールトのパスワードです。ユニバーサルパスワードのように、配布パスワードも3つの暗号化層で保護されていて、逆方向で同期できます。

NMASのパスワードポリシーでは、配布パスワードをユニバーサルパスワードと同じにするかどうかを指定できます(設定は、［ユニバーサルパスワードの設定時に配布パスワードを同期する］です)。配布パスワードがユニバーサルパスワードと同じで、接続システムの双方向パスワード同期を使用する場合は、Identity Managerを使用してeDirectoryからユニバーサルパスワードを抽出して、その他の接続システムに送信するということに留意してください。パスワードの転送、およびパスワードを保存する接続システムをセキュリティで保護する必要がありますセクション 7.0, セキュリティ: ベストプラクティスを参照してください。

配布パスワードがユニバーサルパスワードと同じではない場合(NMASパスワードポリシーで設定を無効にしているため)、ユニバーサルパスワードまたはNDSパスワードを使用せずに、またはこれらに影響せずに、配布パスワードを使用した接続システム間でパスワードを「トンネル」することができます。トンネルは、接続システム間のみでパスワードを同期します。有効になっている場合、トンネルではアイデンティティボールト/ユニバーサルパスワードは設定されません。

さまざまなeDirectoryパスワードの詳細については、『Novell Modular Authentication Services (NMAS) 2.3 Administration Guide』を参照してください。Identity Managerでパスワード同期を使用する方法については、セクション 5.8, パスワード同期の実装を参照してください。

5.1.2 双方向パスワード同期とは

双方向パスワード同期は、指定した接続システムからパスワードを受け入れる機能および、指定した接続にパスワードを配布するIdentity Manager機能の組み合わせです。

特定の接続システムと双方向でパスワードを同期できるかどうかは、接続システムが何をサポートしているかによって決まります。

接続システムの中には、Identity Managerから修正された新しいパスワードを受け入れ、ユーザの実際のパスワードをIdentity Managerに提供できるものもあります。これらの接続システムは、Identity Managerとの双方向パスワード同期をサポートしているシステムです。

Active Directory
Novell® eDirectory™
Network Information Services (NIS)
NTドメイン

これらの接続システムでは、ユーザは、いずれかのシステムでパスワードを変更して、Identity Managerを介してそのパスワードを他のシステムと同期できます。ただし、NMASパスワードポリシーで高度なパスワードルールを使用している場合、ユーザがiManagerセルフサービスコンソールでパスワードを変更できるようにすることをお勧めします。このコンソールにはユーザのパスワードが準拠しなければならないすべてのルールが表示されるため、パスワード変更には最適な場所です。

その他の接続システムはユーザの実際のパスワードを提供できないため、完全な双方向パスワード同期をサポートできません。ただし、ドライバ環境設定内にポリシーを定義することによって、これらのシステムは、パスワードを作成するために使用できるデータを提供し、Identity Managerに送信できます。

他のシステムの中には、新しいユーザの初期パスワードの設定またはパスワードの変更、あるいはその両方を含め、Identity Managerからパスワードを受け入れることができるものもあります。セクション 5.2, パスワード同期をサポートする接続システムを参照してください。

5.1.3 Password Synchronization 1.0とIdentity Managerのパスワード同期の比較

表 5-1 比較: Password Synchronization 1.0とIdentity Managerのパスワード同期

	Password Synchronization 1.0	Identity Manager 2および3のパスワード同期
製品の提供	Identity Managerとは別の製品です。	Identity Managerに含まれており、別個には販売されていません。
プラットフォーム	Active Directory NTドメイン eDirectory	次のプラットフォームでは完全な双方向パスワード同期がサポートされています。 Active Directory eDirectory NIS NTドメインこれらの接続システムは、Identity Managerへのユーザパスワードの発行をサポートしています。ユニバーサルパスワード(および配布パスワード)は逆方向に同期できるため、Identity Managerはパスワードを接続システムに配布できます。購読者パスワード要素をサポートする接続システムは、パスワードをIdentity Managerから受信できます。セクション 5.2, パスワード同期をサポートする接続システムを参照してください。
アイデンティティボールトで使用されているパスワード	NDSパスワード(逆方向は不可能)	ユニバーサルパスワード(逆方向の同期が可能)、または配布パスワード(同様に逆方向の同期が可能)。また、必要に応じてNDSパスワードの同期を維持することもできます。シナリオの例については、セクション 5.8, パスワード同期の実装を参照してください。
Windows接続システムの主な機能	アイデンティティボールトパスワードがWindowsパスワードと同期されるようにパスワードをIdentity Managerに送信する場合。NDSパスワードは逆方向に同期できないため、パスワードはNTまたはADに戻されていませんでした。	双方向パスワード同期を提供する場合。ユニバーサルパスワード(および配布パスワード)は逆方向に同期できるため、パスワードは両方のディレクトリで同期できます。
LDAP変更	サポートされていません。	サポートされています。
Novell® Client™	必須。	不要。
nadLoginName属性	パスワードの更新を保つために使用されます。	使用されません。
パスワード同期機能を含むコンポーネント	nadLoginNameを更新するための機能はIdentity Managerドライバに含まれていました。	ドライバ環境設定のIdentity Managerポリシーがパスワード同期機能を提供します。ドライバは単に、ポリシー内のロジックから発生する、メタディレクトリエンジンによって与えられるタスクを実行します。ドライバマニフェスト、グローバル構成値、およびドライバフィルタ設定もパスワード同期をサポートする必要があります。これは、サンプルドライバ環境設定に含まれており、既存のドライバに追加できます。セクション 5.7, パスワード同期をサポートするための、既存のドライバ環境設定のアップグレードを参照してください。
エージェント	別個のソフトウェア。	エージェントはインストールされません。この機能はドライバの一部になりました。

5.1.4 Identity Managerのパスワード同期の機能

Identity Managerのパスワード同期は双方向です。パスワードは、接続システムから送信されてIdentity Managerで受け入れたり、Identity Managerから配布されて接続システムで受け入れたりできます。

接続システムからのパスワードの受け入れ

DirXML®およびIdentity Managerの以前のバージョンと同様に、接続システムはアイデンティティボールトにパスワードを発行できます。

Identity Managerがパスワードを受け入れる元の接続システムアプリケーションを指定できます。さらに、Identity Managerが実行されている同じアイデンティティボールト内でユーザのパスワードを更新するか、またはIdentity Managerが接続システム間のみでパスワードを同期する単なる管路または「トンネル」として動作するかどうかも選択できます。つまり、アイデンティティボールトのパスワードを、Identity Managerが接続システムに配布するパスワードと別にすることができます。

一部の接続システム(AD、その他のアイデンティティボールト、NT、およびNIS)は、ユーザの実際のパスワードを提供できます。つまり、ユーザが接続システムでパスワードを変更した場合に、その変更をIdentity Managerと同期して、その他の接続システムに戻すことができます。

その他の接続システムはユーザの実際のパスワードの提供をサポートしていませんが、名字または従業員IDに基づいた初期パスワードなど、スタイルシートで生成したパスワードをIdentity Managerに提供するように設定できます。

接続システムへのパスワードの配布

Identity Managerのパスワード同期は、共通のパスワードを各接続システムに配布できます。

Identity Managerの以前のバージョンでは、ドライバは接続システム上のユーザアカウントからIdentity Managerにパスワードを送信でき、パスワードを使用してeDirectory内の対応するユーザを更新できました。しかし、eDirectory内のNDSパスワードは、逆方向に同期できないため、中央のIdentity Managerのアイデンティティボールトから複数の接続システムにパスワードを送ることはできませんでした。eDirectoryパスワードを取得するには、パスワードがeDirectoryに保存される前に、Novell Clientなどを介して取得する以外に方法はありませんでした。

eDirectory 8.7.3によって提供されるユニバーサルパスワードは、逆方向の同期が可能で、配布可能です。

Identity Managerは、接続システムからパスワードを受け入ることができます。ユニバーサルパスワードは逆方向の同期が可能であるため、Identity Managerはアイデンティティボールトから、新しいアカウントの初期パスワードの設定やパスワードの変更をサポートする接続システムにパスワードを配布できます。

パスワードの発行元に関係なく、Identity Managerは、接続システムにパスワードを配布する場所であるリポジトリとして配布パスワードを使用します。ユニバーサルパスワードと同様に、配布パスワードでも、パスワードポリシーを適用できます。

パスワードの同期時にユニバーサルパスワードと配布パスワードを使用する方法については、パスワード同期の実装を参照してください。

ユーザの他の属性と同様に、どのシステムが信頼されたパスワードのソ－スなのかを決定できます。Identity Managerは、信頼されたソ－スから他の接続システムにパスワードを配布します。

双方向パスワード同期は、これをサポートする接続システム間に設定できます。

データストアおよび接続システムでのパスワードポリシーの適用

Identity Managerでは、NMASを呼び出すことによって、着信パスワードにパスワードポリシーを適用できます。接続システムからIdentity Managerに発行されるパスワードがポリシーに準拠していない場合は、Identity Managerがそのアイデンティティボールトへのパスワードを受け入れないように指定できます。つまり、ポリシーに準拠しないパスワードはその他の接続システムに配布されません。

さらに、Identity Managerでは、接続システムにパスワードポリシーを適用することもできます。Identity Managerに対して発行されたパスワードがポリシーのルールに準拠していない場合、Identity Managerはパスワードを受け入れて配布しないだけでなく、アイデンティティボールト名の現在の配布パスワードを使用して接続システム上の準拠しないパスワードをリセットするように指定できます。

たとえば、パスワードに少なくとも1つの数字を含める必要があるとします。しかし、接続システム自体にはそのようなポリシーを適用する機能がありません。接続システムから送られてきて、ポリシーのルールに準拠していないパスワードをIdentity Managerでリセットするように指定します。

高度なパスワードルールとIdentity Managerのパスワード同期を使用している場合、すべての接続システムのパスワードポリシーを調査して、eDirectoryパスワードポリシーの高度なパスワードルールと互換性があることを確認することをお勧めします。この調査は、パスワードを正常に同期するために役立ちます。

NMASパスワードポリシーが割り当てられているユーザが、接続システムのパスワード同期に参加させるユーザと一致していることを確認する必要があります。

NMASのパスワードポリシーはツリー中心で割り当てられます。一方、パスワード同期はドライバごとに設定されます。また、ドライバは各サーバにインストールされ、マスタレプリカまたは読み書き可能レプリカ内のユーザのみが管理できます。パスワード同期により期待される結果を取得するには、パスワード同期のドライバを実行するサーバにあるマスタレプリカまたは読み書き可能レプリカのコンテナが、ユニバーサルパスワードが有効なパスワードポリシーを割り当てたコンテナと一致するようにします。パーティションルートコンテナにパスワードポリシーを割り当てることによって、そのコンテナとサブコンテナ内のすべてのユーザに確実にパスワードポリシーが割り当てられます。

NMASのパスワードポリシーをユーザに割り当てる方法の詳細については、『Password Management Administration Guide』の「Assigning Password Policies to Users」を参照してください。

パスワード同期のシナリオ

Identity Managerを使用すると、どのシステムが信頼されたパスワードのソ－スであるかを指定できます。また、管理者はパスワード受け入れの流れも決定します。

Identity Managerのパスワード同期の機能のほとんどは、アイデンティティボールトが提供する、逆方向に同期できるパスワード機能であるユニバーサルパスワードに依存します。しかし、ユニバーサルパスワードを展開する必要がない場合もあります。

Identity Managerのパスワード同期は、配布パスワードにも依存します。ユニバーサルパスワードと同様に、ポリシーを配布パスワードに適用できます。

パスワード同期を実装する基本的な方法については、パスワード同期の実装を参照してください。これらのシナリオを組み合わせて、各環境のニーズを満たすことができます。

Novell Clientを使用しないWindowsでのパスワードの同期

Active DirectoryおよびNTドメインとのパスワード同期に、Novell Clientは必要なくなりました。

ユーザへのパスワード同期失敗の通知

「データストアおよび接続システムでのパスワードポリシーの適用」では、Identity Managerはポリシーに準拠しないパスワードを(接続システムから)受け入れないことによってパスワードポリシーを適用できることを説明しています。

電子メール通知機能を使用すると、ユーザが行ったパスワード変更が成功しなかった場合に、Identity Managerから通知するように指定できます。

シナリオ: NTドメインからの着信パスワードがパスワードポリシーに準拠しない場合、受け入れないようにIdentity Managerを設定しました。電子メール通知機能を有効にしました。NMASのパスワードポリシーの1つのルールで、会社名をパスワードとして使用できないよう指定されています。ユーザは、NTドメインの接続システム上でパスワードを会社名に変更します。NMASはパスワードを受け入れず、Identity Managerからユーザに、パスワードの変更が同期されなかったことを知らせる電子メールメッセージが送信されます。

この機能を使用するには、電子メールサーバとテンプレートを設定する必要があります。次をカスタマイズできます。