通过身份凭证供应策略,您可以向 Novell SecretStore 储存库中的用户对象供应应用程序身份凭证。它将应用程序服务器和用户身份凭证供应作为 Identity Manager 标准供应方案的一部分,这种能力为用户提供了更安全和同步的万维网一次签到体验。
本文档包含在 Identity Manager 中配置对象和策略时所需的步骤。但不包含任何 SecretStore 组件的部署和配置信息。有关 SecretStore 文档,请参见 Novell SecretStore 3.3.3 文档。
在实施 SecretStore 支持的身份凭证供应策略时,需要一个储存库对象、一个应用程序对象并需要另外创建一些策略。为方便 Identity Manager 使用,储存库对象和应用程序对象储存了 SecretStore 信息。为使所有驱动程序都可以使用身份凭证供应,还使用了另外创建的策略。也可以配置以下选项:
Figure 4-5显示的方案典型而简单,它向 GroupWise® 的新用户供应了一次签到身份凭证。该部门通过 SAP HR 系统和 Identity Manager 向 Identity Vault 供应新用户。根据组织信息,这些用户随后将供应给 eDirectory 上实现的部门鉴定树。新用户通过该树鉴定到网络,同时该树也是 GroupWise 安全身份凭证的储存库,Novell iChain® 或 Access Manager® 使用该储存库从公司防火墙外部提供安全的一次签到功能。由于随后 Identity Manager 会将用户供应给 GroupWise,因此这些系统的身份凭证将与鉴定树中这些身份凭证的 SecretStore 特性同步。
Figure 4-5 SecretStore 支持的身份凭证供应
Figure 4-5阐述了以下供应步骤:
由于所需特性现在在 Identity Vault 中可用,因此 GroupWise 驱动程序将开始处理 GCANYON 对象的特性。
Glen 从因特网鉴定到他所在公司的万维网站点后,iChain 服务器可以在不需要输入他的 GroupWise 身份凭证的前提下,使用 SecretStore 身份凭证将他的鉴定填写到他的安全 GroupWise 电子邮件帐户上,因而为公司的资源提供了额外的安全保障。