資格情報プロビジョニングポリシーにより、アプリケーション資格情報をNovell SecretStore内のユーザオブジェクトにプロビジョニングできます。アプリケーションサーバおよびユーザ資格情報を、通常のIdentity Managerプロビジョニングシナリオの一部としてプロビジョニングできるため、より安全で同期されたWebシングルサインオン機能をユーザに提供できます。
このドキュメントでは、Identity Manager内のオブジェクトとポリシーを設定するために必要な手順について記載しています。SecretStoreコンポーネントの展開および設定についての情報は含まれていません。SecretStoreのマニュアルは、「Novell SecretStore 3.3.3のマニュアル」を参照してください。
SecretStoreで資格情報のプロビジョニングを実装するには、リポジトリオブジェクト、アプリケーションオブジェクトおよびポリシーの作成が必要です。リポジトリとアプリケーションのオブジェクトには、Identity Managerが使用できるようにSecretStoreの情報が格納されます。ポリシーは、ドライバが資格情報プロビジョニングを使用できるようにするために使用されます。次のオプションも設定できます。
図 4-5は、一般的なシナリオを簡略に示したものです。このシナリオでは、シングルサインオンの資格情報をGroupWise®の新規ユーザにプロビジョニングしています。この部署では、SAP HRシステムとIdentity Managerを使用して、アイデンティティボールト内に新しいユーザをプロビジョニングします。組織の情報に基づき、ユーザは、eDirectory内に実装された部署の認証ツリー内にプロビジョニングされます。ここが新しいユーザがネットワークに対して認証される場所であり、会社のファイアウォールの外から安全なシングルサインオン機能を提供するために、Novell iChain®またはAccess Manager®によって使用されるGroupWiseセキュリティ資格情報のリポジトリになります。ユーザは続いて、Identity ManagerによってGroupWiseにプロビジョニングされ、それらのシステムの資格情報は、認証ツリー内のSecretStore属性に同期されます。
図 4-5 SecretStoreによる資格情報プロビジョニング
図 4-5は、次のプロビジョニング手順を示しています。
これで、アイデンティティボールト内で必要な属性が使用できるようになったので、GroupWiseドライバによって、GCANYONオブジェクトの属性が処理されます。
Glenがインターネットから会社のWebサイトに認証される場合、iChainサーバがSecretStore資格情報を使用して、このユーザの安全なGroupWise電子メールアカウントへの認証情報を入力するので、GroupWise資格情報を自分で入力する必要も、会社のリソースにセキュリティを追加設定する必要もありません。