5.3 パスワード同期の前提条件

パスワード同期は、次の要素に依存します。

5.3.1 ユニバーサルパスワードのサポート

接続システム間でのパスワード同期に対応するには、Identity Managerでユニバーサルパスワードを使用する必要があります。次を参照してください。

5.3.2 ドライバマニフェストで宣言されているパスワード同期機能

ドライバマニフェストは、接続システムが次のパスワード同期機能をサポートするかどうかを宣言します。

  • ユーザの実際のパスワードをIdentity Managerに発行する
  • Identity Managerのパスワードを受け入れる

    マニフェストでは、初期パスワードの作成の受け入れとパスワード変更の受け入れは区別されません。

  • Identity Managerで接続システム上のパスワードを確認し、ユーザのパスワード同期ステータスを決定する

メモ:ドライバマニフェストは、ドライバの開発者、またはドライバ環境設定を作成するIdentity Managerのエキスパートによって記述されます。ネットワーク管理者が編集するためのものではありません。ドライバマニフェストは、ドライバシムおよび環境設定の実際の機能を表します。マニフェストのみを変更しても機能は変更されません。機能を追加するには、ドライバシム、接続システム、またはドライバ環境設定を拡張する必要があります。

Identity Managerに付属するサンプルのドライバ環境設定はドライバマニフェストエントリを含みます。既存のドライバにこれらを追加するには、セクション 5.7, パスワード同期をサポートするための、既存のドライバ環境設定のアップグレードを参照してください。

5.3.3 グローバル構成値を使用したパスワード同期の制御

グローバル構成値を使用すると、ポリシーで参照できる定数値を設定できます。グローバル構成値はレプリカごとの属性に保持されるため、サーバ変数と呼ばれることもあります。

パスワード同期では、グローバル構成値を使用してIdentity Managerに対するパスワードフローの設定を作成できます。ドライバ環境設定内のIdentity Managerのパスワード同期ポリシーはグローバル構成値の設定に基づいて動作するように記述されるため、ポリシーを編集せずにパスワードフローを簡単に変更できます。

グローバル構成値を使用して、各接続システムの次の設定を制御できます。

表 5-6 接続システムの設定

設定

説明

接続システムからIdentity Managerがパスワードを受け入れるかどうか

この設定は、接続システムによって提供されるパスワード、および発行者チャネルのドライバ環境設定内のIdentity Managerポリシーによって作成できるパスワードに適用できます。この設定を無効にすると、両方のタイプのパスワードが除去されるため、パスワードはIdentity Managerに到達しません。

Identity Managerが、ユニバーサルパスワードを直接更新する同期方法と、配布パスワードを直接更新する同期方法のどちらを使用するか

Identity Managerはエントリポイント(Identity Managerが更新するパスワード)を制御します。NMASは、NMASパスワードポリシーで設定した内容に基づいて各種パスワード間のパスワードのフローを制御します。NMASパスワードポリシーを表示するには、次のように操作します。

  1. iManagerで、[パスワード]>[パスワードポリシー]の順に選択します。
  2. パスワードポリシーリスト]でポリシーを選択します。
  3. 編集]をクリックします。
  4. ドロップダウンリストまたはタブからオプションを選択します(使用しているiManagerのバージョンによります)。

これらの方法を使用するシナリオについては、第5.8節「パスワード同期の実装」を参照してください。

接続システムからIdentity Managerへの着信パスワードにNMASパスワードポリシーを適用するかどうか

これらのポリシーが適用された場合、準拠しない着信パスワードはIdentity Managerのデータストアに書き込まれません。

接続システム上のNMASパスワードポリシーを適用するために、ポリシールールに準拠しないパスワードをリセットして、Identity ManagerがIdentity Managerのパスワードを使用するかどうか

このオプションは、接続システムがサポートしない場合はNMASインタフェース内で淡色表示されます(サポートしているかどうかはドライバマニフェストで宣言されています)。発行者チャネル上でパスワード操作が失敗した後にのみ、パスワードがリセットされます。

接続システムがパスワードを受け入れるかどうか

この設定はIdentity Managerによって配布されるパスワードと、購読者チャネルのドライバ環境設定内のIdentity Managerポリシーによって作成できるパスワードの両方に適用されます。この設定を無効にすると、両方のタイプのパスワードが除去されるため、パスワードは接続システムに到達しません。

このオプションは、接続システムがサポートしない場合はインタフェース内で淡色表示されます(サポートしているかどうかはドライバマニフェストで宣言されています)。

パスワードが同期化されなかった場合に、ユーザに電子メールで通知するかどうか

影響を受けるユーザに電子メールを自動的に送信します。

Identity Managerに付属するドライバ環境設定はドライバマニフェストエントリを含みます。既存のドライバにこれらを追加するには、セクション 5.7, パスワード同期をサポートするための、既存のドライバ環境設定のアップグレードを参照してください。

グローバル構成値を編集する

  1. iManagerで、[パスワード]>[パスワード同期]の順に選択します。

  2. ドライバを検索します。

    接続システムドライバを検索する場所を指定すると、iManagerによって検索されたすべての接続システムドライバに対するパスワードフロー設定の概要が表示されます。

    Identity Managerおよび接続システムに対してパスワードフローを有効にするかどうかを示す接続システムのリスト

  3. 設定を表示するために、ドライバ名をクリックします。

    [ドライバの変更]ページに、パスワード同期のグローバル構成値が表示されます。

    パスワード同期のグローバル構成値リスト

    このページのオプションが淡色表示されている場合は、接続システムがそのオプションをサポートしていないことをドライバマニフェストが示しています。

  4. 変更を加え、[OK]をクリックします。

メモ:各ドライバに別個にグローバル構成値を設定できます。ドライバに対するグローバル構成値は、ドライバセット上のグローバル構成値よりも優先されます。特定のドライバに値を設定すると、より細かく制御できます。このページには、個々のドライバのグローバル構成値だけを表示できます。

ドライバセットオブジェクトにグローバル構成値を設定すると、ドライバが自身の値を持っていない場合に、そのグローバル構成値がそのドライバセット内のドライバによって継承されます。ドライバが自身の設定を持たず、ドライバセットからのグローバル構成値を継承する場合、iManagerには値が表示されません。iManagerには継承されているグローバル構成値は表示されませんが、グローバル構成値はパスワード同期ポリシーによって適用されます。

5.3.4 ドライバ環境設定で必要なポリシー

各ドライバの発行者チャネルおよび購読者チャネルのIdentity Managerポリシーは、上記のグローバル構成変数の設定に基づいてパスワードフローを制御します。これらのポリシーはIdentity Managerのドライバ環境設定に含まれています。

既存のドライバ環境設定を置き換えるのではなく更新する場合は、特定のポリシーを環境設定に追加する必要があります(セクション 5.7, パスワード同期をサポートするための、既存のドライバ環境設定のアップグレードを参照)。パスワード同期を機能させるには、これらのポリシーをドライバ環境設定の正しい場所に指定する必要があります。

発行者コマンド変換セットで必要なポリシー

パスワード同期ポリシー名に一覧表示されているポリシーは、一覧表示されている順に存在する必要があります。また、これらは発行者コマンド変換ポリシーセットの最後のポリシーでもある必要があります。

表 5-7 発行者コマンド変換セットで必要なポリシー

ドライバ環境設定内の場所

パスワード同期ポリシー名

ポリシーの実行内容

Publisher Command Transformation (発行者コマンド変換)

Password(Pub)-Default Password Policy (パスワード(発行者)-デフォルトパスワードポリシー)

Addオブジェクトにまだパスワードが含まれていない場合は、デフォルトのパスワードをAddオブジェクトに追加します。

このポリシーとPassword(Sub)-Default Password Policy (パスワード(購読者)-デフォルトパスワードポリシー)は、変更または削除できる唯一のポリシーです。パスワード同期機能が適切に機能するためには、他のポリシーを変更せずに使用する必要があります。

Password(Pub)-Check Password GCV (パスワード(発行者)-パスワードGCVの確認)

GCVを確認し、Identity Managerがこの接続システムからパスワードを受け入れるよう指定しているかどうかを判断します。指定していない場合は、すべてのパスワード要素を除去します。

GCVの名前はenable-password-publishで、表示名は[Identity Managerはアプリケーションからのパスワードを受け入れる]です。

Password(Pub)-Publish Distribution Password (パスワード(発行者)-配布パスワードの発行)

<password>要素を、ユニバーサルパスワードを更新できる形式に変換します。

このポリシーが参照するGCVは、次のとおりです。

  • publish-password-to-dp
  • enforce-password-policy

Password(Pub)-Publish NDS Password (パスワード(発行者)-NDSパスワードの発行)

NDSパスワードを更新するように指定している場合に、<password>要素が通過できるようにします。指定していない場合は、<password>要素を除去します。

このポリシーは、publish-password-to-ndsというGCVを参照します。

Password(Pub)-Add Password Payload (パスワード(発行者)-パスワードペイロードの追加)

電子メール通知のために、エンジン内で回覧されるペイロードデータを挿入します。

 

Password(Sub)-Add Password Payload (パスワード(購読者)-パスワードペイロードの追加)

電子メール通知のために、エンジン内で回覧されるペイロードデータを挿入します。

発行者入力変換ポリシーセットで必要なポリシー

入力変換に複数のポリシーがある場合、パスワード(発行者)-購読者の電子メール通知ポリシーは最後に記述することをお勧めします。

表 5-8 発行者入力変換ポリシーセットで必要なポリシー

ドライバ環境設定内の場所

パスワード同期ポリシー名

ポリシーの実行内容

Publisher Input Transformation (発行者入力変換)

Password(Pub)-Sub Email Notifications (パスワード(発行者)-購読者の電子メール通知)

パスワードペイロード情報が送られてきて、ステータスが問題を示す場合、ユーザに電子メールを送信します。電子メールは、eDirectory内のインターネット電子メールアドレス属性に示されているユーザの電子メールアドレスに送信されます。

このポリシーは、notify-user-on-password-dist-failureというGCVを参照して、通知電子メールを送信するかどうかを決定します。

購読者コマンド変換ポリシーセットで必要なポリシー

パスワード同期ポリシー名に一覧表示されているポリシーは、一覧表示されている順に存在する必要があります。また、これらは購読者コマンド変換ポリシーセットの最後のポリシーでもある必要があります。

表 5-9 購読者コマンド変換ポリシーセットで必要なポリシー

ドライバ環境設定内の場所

パスワード同期ポリシー名

ポリシーの実行内容

Subscriber Command Transformation (購読者コマンド変換)

Password(Sub)-Transform Distribution Password (パスワード(購読者)-配布パスワードの変換)

ユニバーサルパスワードを<password>要素に変換します。

Password(Sub)-Default Password Policy (パスワード(購読者)-デフォルトパスワードポリシー)

Addオブジェクトにまだパスワードが含まれていない場合は、デフォルトのパスワードをAddオブジェクトに追加します。

このポリシーとPassword(Pub)-Default Password Policy (パスワード(発行者)-デフォルトパスワード)は、変更または削除できる唯一のポリシーです。パスワード同期機能が適切に機能するためには、他のポリシーを変更せずに使用する必要があります。

Password(Sub)-Check Password GCV (パスワード(購読者)-パスワードGCVの確認)

GCVを確認し、接続システムがパスワードを受け入れるよう指定しているかどうかを判断します。指定していない場合は、すべてのパスワード要素を除去します。

GCVの名前はenable-password-subscribeで、表示名は[アプリケーションはIdentity Managerのデータストアのパスワードを受け入れる]です。

Password(Sub)-Add Password Payload (パスワード(購読者)-パスワードペイロードの追加)

電子メール通知のために、エンジン内で回覧されるパスワードペイロードデータを挿入します。

購読者出力変換ポリシーセットで必要なポリシー

出力変換に複数のポリシーがある場合、パスワード(購読者)-発行者の電子メール通知ポリシーは最後に記述することをお勧めします。

表 5-10 購読者出力変換ポリシーセットで必要なポリシー

ドライバ環境設定内の場所

パスワード同期ポリシー名

ポリシーの実行内容

Subscriber Output Transformation (購読者出力変換)

Password(Sub)-Pub Email Notifications (パスワード(購読者)-発行者の電子メール通知)

パスワードペイロード情報が送られてきて、ステータスが問題を示す場合、ユーザに電子メールを送信します。

このポリシーは、notify-user-on-password-dist-failureというGCVを参照して、通知電子メールを送信するかどうかを決定します。

5.3.5 パスワード取得のために接続システムにインストールするフィルタ

AD、NTドメイン、およびNISでは、ユーザのパスワードを取得するためにフィルタをインストールする必要があります。

セクション 5.9, パスワードフィルタの設定を参照してください。

5.3.6 ユーザ用に作成したNMASパスワードポリシー

ユニバーサルパスワードを使用しなくてもパスワード同期の一部の機能は使用できますが、ユーザ用にユニバーサルパスワードを有効にするにはNMASパスワードポリシーを使用する必要があります。また、パスワードポリシーによって、高度なパスワードルールを指定し、ユーザの既存のパスワードがルールに準拠しているかどうか確認するように指定できます。

Identity Managerのパスワード同期を使用するには、パスワードポリシーを理解する必要があります。パスワードポリシーについては、『Password Management Administration Guide』の「Managing Passwords by Using Password Policies」で説明しています。

5.3.7 NMASログインメソッド

状況によっては、NMAS単純パスワードログインメソッドを用意して、パスワード機能を実行できるようにする必要があります。たとえば、LDAPではこのメソッドが必要です。

ログインメソッドの詳細については、『Novell Modular Authentication Services (NMAS) 3.0 Administration Guide』を参照してください。