SecretStoreによる資格情報プロビジョニングポリシーの実装は、柔軟にカスタマイズできます。実装手順は、SecretStoreがインストールされているプラットフォーム、プロビジョニング対象のアプリケーション、使用するIdentity Managerドライバによって異なります。
SecretStoreによる資格情報プロビジョニングポリシーを実装するには,、次の手順に従います。
SecretStoreによる資格情報プロビジョニングポリシーを使用するには、次の要件を満たす必要があります。
要件が満たされていることを確認したら、セクション 4.4.2, Novell SecretStoreの展開環境設定パラメータの決定に進んでください。
図 4-5の展開シナリオで説明されている同期機能を提供するには、まず、Identity ManagerおよびSecretStore環境に関連したすべてのビジネスプロセス情報を収集します。表 4-3, SecretStoreの資格情報プロビジョニングポリシーワークシートを印刷して、情報を記録するためのワークシートとして使用してください。
表 4-3 SecretStoreの資格情報プロビジョニングポリシーワークシート
プロビジョニングシナリオを使用したサンプルデータを次に示します。ここでは、Finance eDirectory認証ツリー内のユーザに、Finance部のGroupWiseドメインサーバのSecretStore資格情報をプロビジョニングします。
SecretStoreのリポジトリ情報
表 4-4 SecretStoreの資格情報プロビジョニングポリシーワークシートの例
その他の環境設定情報:
収集したデータから見ると、SecretStoreリポジトリの情報は、Finance部のアプリケーションをプロビジョニングするすべてのドライバに対してグローバルです。また、すべてのプロビジョニング情報は、GroupWiseのログインパラメータであるユーザ名、パスワードおよびターゲットユーザのDNを除き、スタティックに設定されています。
すべてのパラメータを決定したら、セクション 4.4.3, Novell SecretStoreのリポジトリオブジェクトの作成に進んでください。
リポジトリオブジェクトには、SecretStoreのスタティックな環境設定情報が保存されます。リポジトリの情報は、アプリケーション資格情報を使用するアプリケーションからは独立しています。この情報は、接続システム(SAP、PeopleSoft、Notesなど)に関係なく、すべてのプロビジョニングイベントに適用されます。リポジトリオブジェクトは、DesignerまたはiManagerで作成できます。
次に示すのは、Designerでリポジトリオブジェクトを作成する方法のうちの1つです。
アウトラインビューで、リポジトリオブジェクトを格納するドライバオブジェクトを右クリックします。
[資格情報のプロビジョニング]>[New Repository Object (新規リポジトリオブジェクト)]の順にクリックします。
リポジトリオブジェクトの名前を指定します。
SecretStoreテンプレートを使用するため、[NSSRepository.xml]を選択します。
[OK]をクリックします。
環境設定情報を追加するため、アウトラインビューでリポジトリオブジェクトをダブルクリックします。
[はい]をクリックして、新しいリポジトリオブジェクトを保存します。
SecretStoreサーバのDNS名またはIPアドレスを指定します。ワークシート項目の2)を参照してください。
SecretStoreサーバのSSLポートを指定します。ワークシート項目の3)を参照してください。
SecretStoreサーバからエクスポートされるSSL証明書へのフルパスを指定します。このパスには証明書名を含め、Identity Managerサーバのローカルに配置する必要があります。ワークシート項目の6)を参照してください。
メモ:SSL証明書のエクスポート方法については、iManagerのマニュアルを参照してください。
SecretStore管理者の完全修飾されたLDAP識別名を指定します。ワークシート項目の4)を参照してください。
[パスワードを設定する]をクリックします。
SecretStore管理者のパスワードを2回入力し、[OK]をクリックします。ワークシート項目の5)を参照してください。
情報を確認し、[保存]アイコンをクリックして情報を保存します。
(オプション)リポジトリオブジェクトに対する他の環境設定パラメータを作成する場合は、[Add new item (新しい項目の追加)]アイコンをクリックします。
パラメータの名前を指定します。
パラメータの表示名を指定します。
参照情報として、パラメータの説明を入力します。
パラメータは文字列で保存されます。
[OK]をクリックします。
[保存]アイコンをクリックして、リポジトリオブジェクトを保存します。
リポジトリオブジェクトが作成されたら、DesignerでのNovell SecureLoginのアプリケーションオブジェクトの作成に進んでください。
iManagerで、[資格情報のプロビジョニング]>[環境設定]の順に選択します。
リポジトリオブジェクトを保存するドライバオブジェクトを参照して選択し、[OK]をクリックします。
[新規作成]をクリックしてリポジトリを作成します。
リポジトリオブジェクトの名前を指定します。
SecretStoreテンプレートを使用してリポジトリを作成するため、[NSSRepository.xml]を選択します。
[OK]をクリックします。
SecretStoreサーバのDNS名またはIPアドレスを指定します。ワークシート項目の2)を参照してください。
SecretStoreサーバのSSLポートを指定します。ワークシート項目の3)を参照してください。
SecretStoreサーバからエクスポートされるSSL証明書へのフルパスを指定します。このパスには証明書名を含め、Identity Managerサーバのローカルに配置する必要があります。ワークシート項目の6)を参照してください。
メモ:SSL証明書のエクスポート方法については、iManagerのマニュアルを参照してください。
SecretStore管理者の完全修飾されたLDAP識別名を指定します。ワークシート項目の4)を参照してください。
[パスワードを設定する]をクリックします。
SecretStore管理者のパスワードを2回入力し、[OK]をクリックします。ワークシート項目の5)を参照してください。
指定した値を確認し、[OK]をクリックします。
(オプション)リポジトリオブジェクトに対する他の環境設定パラメータを作成する場合は、[新規作成]をクリックします。
この例は、図 4-1のシナリオに記載されています。
パラメータの名前を指定します。
パラメータの表示名を指定します。
参照情報として、パラメータの説明を入力します。
パラメータは文字列で保存されます。
[OK]をクリックします。
リポジトリオブジェクトが作成されたら、iManagerでのNovell SecureLoginのアプリケーションオブジェクトの作成に進んでください。
アプリケーションには、SecretStoreのスタティックな環境設定パラメータ値が保存されます。アプリケーション情報は、そのアプリケーションの資格情報を使用しているアプリケーションに特有のものです(GroupWiseクライアントの情報、SAPデータベースクライアントの情報など)。アプリケーションオブジェクトは、DesignerまたはiManagerで作成できます。
次に示すのは、Designerでアプリケーションを作成する方法のうちの1つです。
アウトラインビューで、アプリケーションオブジェクトを格納するドライバオブジェクトを右クリックします。
[資格情報のプロビジョニング]>[New Application Object (新規アプリケーションオブジェクト)]の順にクリックします。
アプリケーションオブジェクトの名前を指定します。
SecretStoreテンプレートを使用するため、[NSSApplication.xml]を選択します。
[OK]をクリックします。
環境設定情報を追加するため、アウトラインビューでアプリケーションオブジェクトをダブルクリックします。
[はい]をクリックして、新しいアプリケーションオブジェクトを保存します。
SecretStoreのアプリケーションIDを指定します。ワークシート項目の9)を参照してください。
[SecretStoreのシークレットタイプ]を選択します。ワークシート項目の8)を参照してください。
[SecretStoreの共有シークレットタイプ]を選択します。ワークシート項目の8)を参照してください。
SecretStoreの[拡張保護フラグの使用]で、[使用不可]または[使用可能]を選択します。
有効である場合、[パスワードを設定する]をクリックして、[拡張保護パスワード]を設定します。
パスワードを2回入力し、[OK]をクリックします。
[保存]アイコンをクリックして、アプリケーションを保存します。
アプリケーションに必要な認証キーを追加するため、[Add new item (新しい項目の追加)]アイコンをクリックします。
認証キーの名前を指定します。
認証キーの表示名を指定します。
参照情報として、認証キーの説明を入力します。
認証キーは文字列で保存されます。
[OK]をクリックします。
入力が必要な新規認証キーごとに、ステップ 15を繰り返します。
認証キーがすべてのユーザ資格情報で共有するスタティックな値である場合、その値を指定します。
[保存]アイコンをクリックして、アプリケーションを保存します。
アプリケーションオブジェクトが作成されたら、セクション 4.4.5, Novell SecretStoreの資格情報プロビジョニングポリシーの環境設定に進んでください。
iManagerで、[資格情報のプロビジョニング]>[環境設定]の順に選択します。
アプリケーションオブジェクトを保存するドライバオブジェクトを参照して選択し、[OK]をクリックします。
[アプリケーション]タブを選択し、[新規作成]をクリックします。
アプリケーションオブジェクトの名前を指定します。
SecretStoreテンプレートを使用してアプリケーションを作成するため、[NSSApplication.xml]を選択します。
[OK]をクリックします。
[SecretStoreアプリケーションID]を指定します。ワークシート項目の9)を参照してください。
[SecretStoreのシークレットタイプ]を選択します。ワークシート項目の7)を参照してください。SecretStoreのタイプは[Shared (共有)]または[Not Shared (共有なし)]です。
[SecretStoreの共有シークレットタイプ]を選択します。ワークシート項目の8)を参照してください。共有される場合のSecretStoreのタイプは、[Credential Set (資格情報セット)]または[アプリケーション]です。
SecretStoreの[拡張保護フラグの使用]で、[無効]または[有効]を選択します。
有効である場合、[パスワードを設定する]をクリックして、[拡張保護パスワード]を設定します。
パスワードを2回入力し、[OK]をクリックします。
アプリケーションで必要な認証キーを作成するため、[新規作成]をクリックします。ワークシート項目の10)を参照してください。
認証キーの名前を指定します。
認証キーの表示名を指定します。
参照情報として、認証キーの説明を入力します。
認証キーは文字列で保存されます。
[OK]をクリックします。
アプリケーションが必要とする認証キーごとに、ステップ 13を繰り返します。
認証キー値を指定し、その値がスタティックである場合は、続いて[OK]をクリックします。
アプリケーションオブジェクトが作成されたら、セクション 4.4.5, Novell SecretStoreの資格情報プロビジョニングポリシーの環境設定に進んでください。
リポジトリとアプリケーションのオブジェクトを作成したら、ポリシーを作成してSecretStore情報をプロビジョニングする必要があります。ポリシーは、リポジトリとアプリケーションのオブジェクトに格納された情報を使用します。ポリシービルダの2つのアクションにより、SecretStore資格情報をプロビジョニングできるようにします。
[SSO資格情報のクリア]アクションにより、SSL資格情報をクリアすることでオブジェクトのプロビジョニングを解除できます。
図 4-6 SSO資格情報のクリア
[SSO資格情報の設定]アクションは、ユーザオブジェクトの作成またはパスワードの変更が実施されるときの、SSO資格情報を設定できるようにします。
図 4-7 SSO資格情報の設定
資格情報プロビジョニングポリシーは、各自の環境の要件を満たすように実装およびカスタマイズできます。次の例では、図 4-5で示したシナリオのポリシーの設定方法について説明します。
Finance部のシナリオでは、SecretStoreのプロビジョニングは、GroupWise内にパスワードが設定された後に実行されます。必要なパラメータの多くはスタティックに設定されており、リポジトリやアプリケーションのオブジェクトを介してすべてのポリシーで使用可能です。ただし、スタティックでないデータパラメータ(CN、password、およびDirXML-ADContext)もあります。これらのパラメータは、GroupWiseユーザの<add>または<modify-password>コマンドが実行され、<output>ドキュメントがGroupWiseドライバシムから返された後にのみ使用可能です。<ouput>ドキュメントには、購読者の操作属性が含まれていないため、コマンドのユーザコンテキストは失われ、その結果、オブジェクトへのクエリが阻まれます。そのため、次のことを実行する必要があります。
メモ:Identity Manager 3.0 Support Pack 1のメディアには、XML形式で使用可能なサンプルポリシーがあります。ファイル名は、SampleInputTransform.xml、SampleSubCommandTransform.xmlおよびSampleSubEventTransform.xmlです。これらのファイルは、次のディレクトリにあります。
これらのファイルは、ユーティリティのインストール時に資格情報プロビジョニングのサンプルポリシーを選択すると、Identity Managerサーバにインストールされます。サンプルポリシーは、次の場所にインストールされます(プラットフォーム別に示します)。
サンプルポリシーは、各自の環境で機能するポリシーを開発するための開始ポイントとして使用できます。
必須の操作データキャッシングに使用できるメカニズムは、<operation-data>要素です。SecretStoreアカウントは<add>または<modify-password>コマンドのいずれかからプロビジョニングする必要があるため、スタティックでないデータキャッシングポリシーを実装する論理的な場所は、購読者コマンド変換ポリシー内になります。次の例に、一般的なSecretStoreのプロビジョニングにおける要素を示します。
<operation-data> <nss-sync-data> <nss-target-user-dn> cn=GLCANYON,ou=finance,o=Testco Financials </nss-target-user-dn> <nss-app-username>GCANYON</nsl-app-username> <password><!-- content suppressed --></password> <nss-passphrase-answer>50024222</nsl-passphrase-answer> </nss-sync-data> </operation-data>
図 4-5で示したサンプルのFinance部のシナリオでは、操作データのペイロードを入力するのに次の値が必要です。
サンプルのシナリオでは、SecretStore資格情報プロビジョニング用の操作データが取得され、使用される最初の場所は、ドライバの入力変換ポリシー内にあります。サンプルのシナリオでは、2つのポリシーが実装されています。
メモ:SampleInputTransform.xmlファイルには、SecretStore資格情報をパスワード同期が成功した後に設定するためのサンプルポリシーがあります。このファイルは、Identity Manager 3.0 Support Pack 1メディアのutilitiesディレクトリのcred_prov フォルダにあります。
SecretStore資格情報の設定ポリシーでは、プロビジョニングが実行されるのは、返されたコマンドステータスが「成功」で、以前に設定した<operation-data>が存在する場合のみに限定してください。
「接続システムのユーザアカウントは削除し、アイデンティティボールトのアカウントは残す」というポリシーを使用する状況は数多く考えられます。Financeのシナリオでは、ユーザのアイデンティティボールトのemployeeStatus属性値が「I」に設定された場合に、GroupWiseアカウントを削除して、SecretStore資格情報のプロビジョニングを解除します。この状況を処理するため、GroupWiseドライバの購読者イベント変換に、変更属性値をオブジェクトの削除に変換するポリシーが含まれています。eDirectoryアカウントの名前は、削除コマンドが実行された後も必要なため、<operation-data>イベントを<delete>コマンドに設定して、入力変換ポリシー内のSecretStoreのプロビジョニング解除ポリシーで使用できるようにする必要があります。
<operation-data> <nss-sync-data> <nss-target-user-dn> cn=GLCANYON,ou=finance,o=Testco Financials </nss-targer-user-dn> </nss-sync-data> </operation-data>
<modify>イベントを<delete>に変換してこの要素を作成するポリシーは、dentity Manager 3.0 Support Pack 1メディア上のutilitiesディレクトリのcred_provフォルダにあるSampleSubEventTransform.xmlという名前のファイルにXML形式で入っています。