5.2 Novell SecretStoreの展開環境設定パラメータの決定

図 4-1の展開シナリオで説明されている同期機能を提供するには、まず、Identity ManagerおよびSecretStore環境に関連したすべてのビジネスプロセス情報を収集します。表 5-1, SecretStoreの資格情報プロビジョニングポリシーワークシートを印刷して、情報を記録するためのワークシートとして使用してください。

表 5-1 SecretStoreの資格情報プロビジョニングポリシーワークシート

必要な環境設定情報

情報

1) Webシングルサインオンのプロビジョニング用に設定するアプリケーション。

 

2) SecretStoreリポジトリサーバのDNS名またはIPアドレス。

 

3) SecretStoreリポジトリサーバのSSL LDAPポート。

 

4) SecretStoreリポジトリサーバ管理者の完全修飾されたLDAP識別名。

 

5) SecretStoreリポジトリサーバの管理者のパスワード。

 

6) SecretStoreサーバからエクスポートされる、SSL証明書へのフルパスおよび証明書名。証明書は、Identity Managerサーバのローカルに配置する必要があります。

 

7) 1つのSecretStoreリポジトリを複数のドライバで使用するか、または各ドライバで専用のリポジトリを使用するかを決定する。

 

8) 使用されるSecretStoreのシークレットタイプを記録する。

サポートされるシークレットタイプには次に示す2つの種類があります。

  • A: アプリケーションシークレット(SS_App: プレフィックス)

  • C: 資格情報セットシークレット(SS_CredSet: プレフィックス)

 

9) プロビジョニング対象アプリケーションごとのアプリケーションIDまたは資格情報セット。

 

10) 各アプリケーションに必要な認証キー(ユーザ名やパスワードなど)をすべて一覧にする。これらはアプリケーションごとに異なる場合があります。

 

11) 認証キーの値をスタティックな値に設定するかどうかを決定する。

 

12) ユーザごとに異なる値である(または異なる値にできる)スタティックでない値の場合は、そのスタティックでない情報のソースを書き留める(イベント情報または識別ボールトの属性値)。

 

13) ターゲットアプリケーションへのパスワードも同期しているドライバにSecretStoreのプロビジョニングを実装する場合、SecretStoreのプロビジョニングを、ターゲットアプリケーションのサーバにパスワードが設定される前と後のどちらで開始するかを決定する。

 

14) リポジトリおよびアプリケーションのオブジェクトが格納されるドライバオブジェクトの名前(格納先ドライバは別々に指定可能)。

 

15) ターゲットアプリケーションのユーザオブジェクトのDNを決定する。

 

5.2.1 プロビジョニング環境設定データの例

図 4-1のプロビジョニングシナリオを使用したサンプルデータを次に示します。ここでは、財務eDirectory認証ツリー内のユーザに、財務部のGroupWise®ドメインサーバのSecretStore資格情報をプロビジョニングします。

表 5-2 SecretStoreの資格情報プロビジョニングポリシーワークシートの例

必要な環境設定情報

情報

1) Webシングルサインオンのプロビジョニング用に設定するアプリケーション。

GroupWise

2) SecretStoreリポジトリサーバのDNS名またはIPアドレス。

151.150.191.5

3) SecretStoreリポジトリサーバのSSL LDAPポート。

636

4) SecretStoreリポジトリサーバ管理者の完全修飾されたLDAP識別名。

cn=admin,ou=finance,o=Tesetco Financials

5) SecretStoreリポジトリサーバの管理者のパスワード。

dixml

6) SecretStoreサーバからエクスポートされる、SSL証明書へのフルパスおよび証明書名。証明書は、Identity Managerサーバのローカルに配置する必要があります。

c:\novell\nds\FinanceAD.cer

7) 1つのSecretStoreリポジトリを複数のドライバで使用するか、または各ドライバで専用のリポジトリを使用するかを決定する。

この例では、リポジトリは1つだけにします。

8) 使用されるSecretStoreのシークレットタイプを記録する。

サポートされるシークレットタイプには次に示す2つの種類があります。

  • A: アプリケーションシークレット(SS_App: プレフィックス)

  • C: 資格情報セットシークレット(SS_CredSet: プレフィックス)

 

9) プロビジョニング対象アプリケーションごとのアプリケーションIDまたは資格情報セット。

GroupWise_Credentials

10) 各アプリケーションに必要な認証キー(ユーザ名やパスワードなど)をすべて一覧にする。これらはアプリケーションごとに異なる場合があります。

ユーザ名 パスワード

11) 認証キーの値をスタティックな値に設定するかどうかを決定する。

このシナリオではスタティックな情報は使用しません。

12) ユーザごとに異なる値である(または異なる値にできる)スタティックでない値の場合は、そのスタティックでない情報のソースを書き留める(イベント情報または識別ボールトの属性値)。

ユーザ名: 識別ボールトの属性「CN」 パスワード: イベント<password>

13) ターゲットアプリケーションへのパスワードも同期しているドライバにSecretStoreのプロビジョニングを実装する場合、SecretStoreのプロビジョニングを、ターゲットアプリケーションのサーバにパスワードが設定される前と後のどちらで開始するかを決定する。

After

14) リポジトリおよびアプリケーションのオブジェクトが格納されるドライバオブジェクトの名前(格納先ドライバは別々に指定可能)。

GroupWise-Financeドライバ

15) ターゲットアプリケーションのユーザオブジェクトのDNを決定する。

識別ボールト属性の「DirXML-ADContext」

その他の環境設定情報:

  • 財務部のeDirectoryツリーは、すべての財務アプリケーションのSecretStoreリポジトリとして動作します。

  • Finance部関連のプロビジョニングドライバは、すべて「Finance Drivers」という名前のドライバセット内に設定されます。

  • 識別ボールトの属性employeeStatusの値が「I」に設定された場合、GroupWiseユーザアカウントを削除して、そのGroupWiseユーザアカウントのSecretStore資格情報もeDirectoryユーザから削除する必要があります。

収集したデータから見ると、SecretStoreリポジトリの情報は、財務部のアプリケーションをプロビジョニングするすべてのドライバに対してグローバルです。また、すべてのプロビジョニング情報は、GroupWiseのログインパラメータであるユーザ名、パスワードおよびターゲットユーザのDNを除き、スタティックに設定されています。

すべての環境設定データを決定したら、セクション 5.3, Novell SecretStoreのリポジトリオブジェクトの作成に進んでください。