4.1 具有 Novell SecureLogin 的身分證明提供規則
「身分證明提供」規則可讓您自動提供 SecureLogin 所支援的應用程式身分證明。 此主題記載了在 Identity Manager 中設定物件和規則組態時所需的步驟, 但不包含任何 SecureLogin 元件的部署和組態資訊。 如需 SecureLogin 文件,請參閱 Novell SecureLogin 6.0 文件。
實作具有 SecureLogin 的「身分證明提供」需要有儲存機制物件、應用程式物件及規則。 儲存機制物件和應用程式物件會儲存 SecureLogin 資訊,以便讓 Identity Manager 可以使用。 規則用於啟用驅動程式,以使用「身分證明提供」。 如需相關資訊,請參閱節 4.2, 實作具有 SecureLogin 的身分證明提供規則。
您也可以設定下列選項的組態:
- 「身分證明提供」可由「發行者」通道、「訂閱者」通道或兩者同時提供。
- SecureLogin 同步化可做為應用程式密碼同步化的一部份發生,也可以由某個其他事件觸發。
- 「Web 服務」身分證明可在未提供帳戶給應用程式的情況下提供。
- 啟始的 SecureLogin 通關密語的問題和回答都可以提供。
圖 4-1 所顯示的是一種典型卻又簡易的案例,其中涉及將 SecureLogin 身分證明提供給財務部門中 SAP* Finance 應用程式的新「使用者」。 之所以會使用 SAP 使用者提供,是因為它是一種需要登入參數多於需要提供給大多數應用程式之典型使用者名稱和密碼的應用程式。
此部門透過 SAP HR 系統和 Identity Manager,提供新使用者進入 Identity Vault。 視組織資訊而定,「使用者」物件接著會提供到 Active Directory 上實作的部門認證樹中。 這是新使用者驗證網路的地方,因此也是 SecureLogin 身分證明儲存機制所使用的位置。 在 Identity Manager 後續提供使用者給各種財務應用程式的同時,使用者對於那些系統的身分證明會同步化到 Active Directory 中的 SecureLogin 儲存。
圖 4-1 所顯示的是正在提供使用者 Glen 的驗證身分證明。 當 Glen 驗證其部門的 Active Directory 驗證領域並啟動 SecureLogin 用戶端時,他不需要在該系統上輸入 (甚至不需要知道) 密碼,便能單次登入其 SAP Finance 帳戶。
圖 4-1 具有 SecureLogin 的身分證明提供
圖 4-1 說明下列步驟:
- SAP HR 系統會發行名為 Glen Canyon 之新雇用使用者的資料。 Identity Manager SAP HR 驅動程式則會處理此資料。
- Identity Vault 中會建立新的「使用者」物件,其 CN 值為 GCANYON 且 workforceID 值為 50024222。由於此使用者是指派給其公司的「財務」組織,所以他需要在 finance.prod.testco.com 的領域驗證「財務」部門的 Active Directory 伺服器。 同步化該領域的 Identity Manager Active Directory 驅動程式現在會使用 Identity Vault 資訊。
- Glen 會提供給「財務」部門的 Active Directory 伺服器。
- 該驅動程式是設定為取得 Glen 的完全可辨識 LDAP 名稱: CN=GLCanyon,OU=finace,dc=prod,dc=testco,dc=com。
- 驅動程式會在 Identity Vault 中將該名稱放入 GCANYON 使用者的 DirXML-ADContext 屬性。
既然 Identity Vault 中有了必要的屬性,「SAP 使用者管理」驅動程式便會處理 GCANYON 物件的屬性。
- 因為 Glen 位於「財務」組織,所以驅動程式會在 SAP Finance 伺服器上提供 SAP 使用者帳戶 GCANYON。
- 帳戶建立成功後,「SAP 使用者管理」驅動程式規則會將 Glen 的 SAP 驗證身分證明提供給他的 AD 使用者帳戶。 因為該指令為「新增」操作,所以規則也會提供他的 SecureLogin 通關密語的問題和回答。