Novell Documentation: Novell Identity Manager 3 - Novell SecretStoreによる資格情報プロビジョニングポリシー

4.3 Novell SecretStoreによる資格情報プロビジョニングポリシー

資格情報プロビジョニングポリシーにより、アプリケーション資格情報をNovell SecretStore内のユーザオブジェクトにプロビジョニングできます。アプリケーションサーバおよびユーザ資格情報を、通常のIdentity Managerプロビジョニングシナリオの一部としてプロビジョニングできるため、より安全で同期されたWebシングルサインオン機能をユーザに提供できます。

このドキュメントでは、Identity Manager内のオブジェクトとポリシーを設定するために必要な手順について記載しています。SecretStoreコンポーネントの展開および設定についての情報は含まれていません。SecretStoreのマニュアルは、「Novell SecretStore 3.3.3のマニュアル」を参照してください。

SecretStoreで資格情報のプロビジョニングを実装するには、リポジトリオブジェクト、アプリケーションオブジェクトおよびポリシーの作成が必要です。リポジトリとアプリケーションのオブジェクトには、Identity Managerが使用できるようにSecretStoreの情報が格納されます。ポリシーは、ドライバが資格情報プロビジョニングを使用できるようにするために使用されます。次のオプションも設定できます。

資格情報プロビジョニングは、発行者チャネル、購読者チャネル、または両方のチャネルで設定できます。
SecretStoreの同期は、アプリケーションのパスワード同期の一部として発生させたり、他のイベントによってトリガすることができます。
Webサービスの資格情報は、アプリケーションのアカウントをプロビジョニングしなくてもプロビジョニングできます。

図 4-5は、一般的なシナリオを簡略に示したものです。このシナリオでは、シングルサインオンの資格情報をGroupWise®の新規ユーザにプロビジョニングしています。この部署では、SAP HRシステムとIdentity Managerを使用して、アイデンティティボールト内に新しいユーザをプロビジョニングします。組織の情報に基づき、ユーザは、eDirectory内に実装された部署の認証ツリー内にプロビジョニングされます。ここが新しいユーザがネットワークに対して認証される場所であり、会社のファイアウォールの外から安全なシングルサインオン機能を提供するために、Novell iChain®またはAccess Manager®によって使用されるGroupWiseセキュリティ資格情報のリポジトリになります。ユーザは続いて、Identity ManagerによってGroupWiseにプロビジョニングされ、それらのシステムの資格情報は、認証ツリー内のSecretStore属性に同期されます。

図 4-5 SecretStoreによる資格情報プロビジョニング

図 4-5は、次のプロビジョニング手順を示しています。

SAP HRシステムが、新入社員Glen Canyonのデータを発行します。Identity ManagerのSAP HPドライバが、このデータを処理します。
新しいユーザオブジェクトが、CN値「GCANYON」およびworkforceID値「50024222」を使用して、アイデンティティボールト内に作成されます。このユーザは、会社のFinance組織に割り当てられているため、Finance部のeDirectoryサーバに認証される必要があります。Identity ManagerのeDirectoryドライバがドメインを同期すると、アイデンティティボールトの情報を使用できるようになります。
Glenは、Finance部のeDirectoryサーバにプロビジョニングされます。
ドライバは、GlenのLDAP形式の完全識別名を取得するように設定されます:CN=GLCanyon,OU=finance,O=Testco Financials
このLDAP名は、アイデンティティボールト内のGCANYONユーザのDirXML-AuthContext (ユーザオブジェクトの拡張属性、DirXML-ADContextのコピー)属性に配置されます。
これで、アイデンティティボールト内で必要な属性が使用できるようになったので、GroupWiseドライバによって、GCANYONオブジェクトの属性が処理されます。
GlenはFinance組織に所属するため、ドライバはGCANYONのGroupWiseアカウントをFinance部のGroupWiseドメインサーバ上にプロビジョニングします。
アカウントの作成が成功すると、GroupWiseドライバのポリシーによって、GlenのGroupWise認証資格情報がこのユーザのeDirectoryユーザアカウントのSecretStoreにプロビジョニングされます。

Glenがインターネットから会社のWebサイトに認証される場合、iChainサーバがSecretStore資格情報を使用して、このユーザの安全なGroupWise電子メールアカウントへの認証情報を入力するので、GroupWise資格情報を自分で入力する必要も、会社のリソースにセキュリティを追加設定する必要もありません。