4.2 实现采用 SecureLogin 的身份凭证供应策略

可以任意自定义采用 SecureLogin 的身份凭证策略的实现。实现该策略的步骤有所不同,取决于安装 SecureLogin 的平台、供应的应用程序和所涉及的 Identity Manager 驱动程序。

若要实现采用 SecureLogin 的身份凭证供应策略,请参见下列主题:

4.2.1 满足采用 Novell SecureLogin 的身份凭证供应策略的要求

若要使用采用 SecureLogin 的身份凭证供应策略,则必须满足下列条件:

  • 带有 Support Pack 1 的 Identity Manager 3.0
    • 必须安装在 eDirectory™ 8.7x 上;系统不支持 eDirectory 8.8。
    • 请校验 jsso.jaridmcp.jarjnet.jar 是否位于 Identity Manager Java 库的标准位置。
  • Novell SecureLogin 6.0 或更高版本

校验环境满足要求后,请转至Section 4.2.2, 扩展 Novell SecureLogin 的 LDAP 纲要

4.2.2 扩展 Novell SecureLogin 的 LDAP 纲要

在 eDirectory 服务器上部署 SecureLogin 时,使用称为 ndsschema.exe 的工具扩展具有 SecureLogin 特性集的 eDirectory 纲要,这些特性用于储存用户和树枝对象的加密身份凭证、策略等。这些特性是:

  • Prot:SSO Auth
  • Prot:SSO Entry
  • Prot:SSO Entry Checksum
  • Prot:SSO Profile
  • Prot:SSO Security Prefs
  • Prot:SSO Security Prefs Checksum

这些特性特定于 eDirectory,需要这些特性以运行 SecureLogin 产品。Identity Manager 3.0 Support Pack 1 中提供的供应 API 使用 LDAP 名称空间执行其功能,以便可以使用任意 SecureLogin 身份凭证储存。如果要为以上列出的特性提供 LDAP 映射,则必须使用与 SecureLogin 产品一起提供的第二种工具。该工具的名称是 ldapschema.exe,用于在 eDirectory 环境中向 eDirectory 特性提供 LDAP 名称空间映射。

运行 ldapschema.exe 之后,通过检查 iManager 中的 LDAP 组特性映射表校验映射。

  1. 在 iManager 中,单击“LDAP”>“LDAP 选项”

  2. 选择与承载 SecureLogin 的 eDirectory 服务器相关联的 LDAP 组。

  3. 在“LDAP 组”属性页中,选中“特性映射表”选项并校验已将上述特性映射到下列 Primary LDAP Attributes(LDAP 主属性):

    • protocom-SSO-Auth-Data
    • protocom-SSO-Entries
    • protocom-SSO-Entries-Checksum
    • protocom-SSO-Profile
    • protocom-SSO-Security-Prefs
    • protocom-SSO-Security-Prefs-Checksum

扩展纲要后,请转至Section 4.2.3, 确定 Novell SecureLogin 的部署配置参数

4.2.3 确定 Novell SecureLogin 的部署配置参数

若要提供Figure 4-1中阐述的部署方案中描述的同步功能,则首先要收集所有与 Identity Manager 和 SecureLogin 环境相关的业务处理信息。您可以打印Table 4-1, SecureLogin 的身份凭证供应策略工作表并将其用作记录信息的工作表。

Table 4-1 SecureLogin 的身份凭证供应策略工作表

所需的配置信息

信息

1) 将为 SecureLogin 一次签到供应配置哪些应用程序?

 

2) 请校验在鉴定服务器上预配置的 SecureLogin 应用程序定义以及这些定义是否可由供应给这些系统的新用户继承。

 

3) SecureLogin 储存库服务器的 DNS 名称或 IP 地址。

 

4) SecureLogin 储存库服务器的 SSL LDAP 端口。

 

5) SecureLogin 储存库服务器管理员的完全限定的 LDAP 判别名。

 

6) SecureLogin 储存库服务器的管理员口令。

 

7) 从 SecureLogin 服务器导出的 SSL 证书的完整路径和名称。对于 Identity Manager 服务器而言,该证书必须是本地的。

 

8) 确定是多个驱动程序使用一个 SecureLogin 储存库,还是每个驱动程序使用单独的储存库。

 

9) 每个 SecureLogin 应用程序的应用程序 ID。

 

10) 查找每个应用程序所需的所有鉴定密钥。例如,用户名、口令、客户机和语言。每个应用程序的鉴定密钥可能会有所不同。

 

11) 确定是否可以使用静态值设置所有的鉴定密钥值。

 

12) 对于每个用户不同(或可能不同)的非静态值,请记录非静态信息(事件信息或 Identity Vault 特性值)的源。

 

13) 如果实施 SecureLogin 供应的驱动程序也将口令同步到目标应用程序,请确定 SecureLogin 供应发生的时间是在目标应用程序服务器中设置口令之前还是之后。

 

14) 储存库和应用程序对象所储存的驱动程序对象的名称。(可以为不同的驱动程序。)

 

15) 确定目标应用程序的用户对象 DN。

 

16) 如果您正在实现 SecureLogin 通行口令,请确定通行口令的问题和答案。

问题:答案:

供应配置数据的示例

下面的示例数据使用供应方案向 Finance Active Directory 鉴定树中的用户供应 SAP 财务服务器的用户 SecureLogin 身份凭证:

Table 4-2 SecureLogin 身份凭证供应策略工作表的示例

所需的配置信息

信息

1) 将为 SecureLogin 一次签到供应配置哪些应用程序?

SAP 财务应用程序

2) 请校验在鉴定服务器上预配置的 SecureLogin 应用程序定义以及这些定义是否可由供应给这些系统的新用户继承。

已校验

3) SecureLogin 储存库服务器的 DNS 名称或 IP 地址。

151.150.191.5

4) SecureLogin 储存库服务器的 SSL LDAP 端口。

636

5) SecureLogin 储存库服务器管理员的完全限定的 LDAP 判别名。

cn=admin,ou=prod,dc=testco,dc=.com

6) SecureLogin 储存库服务器的管理员口令。

dixml

7) 从 SecureLogin 服务器导出的 SSL 证书的完整路径和名称。对于 Identity Manager 服务器而言,该证书必须是本地的。

c:\novell\nds\FinanceAD.cer

8) 确定是多个驱动程序使用一个 SecureLogin 储存库,还是每个驱动程序使用单独的储存库。

在本示例中,只有一个储存库。

9) 每个 SecureLogin 应用程序的应用程序 ID。

SAP - 151.150.191.27

10) 查找每个应用程序所需的所有鉴定密钥。例如,用户名、口令、客户机和语言。每个应用程序的鉴定密钥可能会有所不同。

SAP 客户机 010 登录参数客户机 SAP 客户机 010 登录参数语言 SAP 客户机 010 登录参数用户名 SAP 客户机 010 登录参数口令

11) 确定是否可以使用静态值设置所有的鉴定密钥值。

SAP 客户机 010 登录参数客户机:”010” SAP 客户机 010 登录参数语言:“EN”

12) 对于每个用户不同(或可能不同)的非静态值,请记录非静态信息(事件信息或 Identity Vault 特性值)的源。

SAP 客户机 010 登录参数用户名:Identity Vault 特性“sapUsername”SAP 客户机 010 登录参数口令:事件 <password>

13) 如果实施 SecureLogin 供应的驱动程序也将口令同步到目标应用程序,请确定 SecureLogin 供应发生的时间是在目标应用程序服务器中设置口令之前还是之后。

之后

14) 储存库和应用程序对象所储存的驱动程序对象的名称。(可以为不同的驱动程序。)

SAP 驱动程序

15) 确定目标应用程序的用户对象 DN。

Identity Vault 特性“DirXML-ADContext”

16) 如果您将供应 SecureLogin 的通行口令,请确定通行口令的问题和答案。

问题:“员工代码是什么?”答案:Identity Vault 特性“workforceID”

其它环境信息:

  • 财务部门 AD 树将成为所有财务应用程序的 SecureLogin 储存库。
  • 所有财务部门供应的驱动程序都位于名为 Finance Drivers 的驱动程序集中。
  • 如果 Identity Vault 的 employeeStatus 特性值设置为“I”,则必须删除 SAP 用户帐户,该帐户的 SecureLogin 身份凭证也要从 Active Directory 用户中去除。

确定所有配置数据后,请转至Section 4.2.4, 创建 Novell SecureLogin 的储存库对象

4.2.4 创建 Novell SecureLogin 的储存库对象

储存库对象储存 SecureLogin 的静态配置信息。储存库信息独立于使用应用程序身份凭证的应用程序。无论已连接的系统(例如:SAP、PeopleSoft*、Notes* 等)是什么,此信息都适用于所有的供应事件。储存库对象可以在 Designer 或 iManager 中创建。

在 Designer 中,创建 Novell SecureLogin 的储存库对象

在 Designer 中创建储存库对象的方法有很多种,下面的方法是其中之一:

  1. 在大纲视图中,右击您希望在其中储存储存库对象的驱动程序对象。

  2. 单击 Credential Provisioning > New Repository Object(身份凭证供应 > 新建储存库对象)。

  3. 指定储存库对象的名称。

  4. 选择 NSLRepository.xml,以使用 SecureLogin 模板。

  5. 单击“确定”

  6. 在“大纲”视图中,双击储存库对象以添加配置信息。

  7. 单击“是”保存新的储存库对象。

  8. 指定 SecureLogin 服务器的 DNS 名称或 IP 地址。请参见工作表项 3)

  9. 指定 SecureLogin 服务器的 SSL 端口。请参见工作表项 4)

  10. 指定从 SecureLogin 服务器导出的 SSL 证书的完整路径。此路径必须包括证书名称,而且对于 Identity Manager 服务器而言必须是本地的。请参见工作表项 7)

    SecureLogin 服务器可以在多种平台上运行。有关如何导出 SSL 证书的信息,请参考特定于平台的文档。

  11. 指定 SecureLogin 管理员的完全限定的 LDAP 判别名。请参见工作表项 5)

  12. 单击“设置口令”

  13. 指定并输入 SecureLogin 管理员口令两次,然后单击“确定”。请参见工作表项 6)

  14. 查看信息,然后单击“保存”图标 保存信息。

  15. (可选)如果您希望为储存库对象创建其它的配置参数,请单击 Add new item(添加新项) 图标。

    1. 指定参数的名称。

    2. 指定参数的显示名称。

    3. 指定参数说明以供参考。

      参数以字符串的形式储存。

    4. 单击“确定”

    5. 单击“保存”图标 保存储存库对象。

创建储存库对象后,请转至为 Novell SecureLogin 创建应用程序对象

在 iManager 中,创建 Novell SecureLogin 的储存库对象

  1. 在 iManager 中,选择“身份凭证供应”>“配置”

  2. 浏览至将在其中储存储存库对象的驱动程序对象,并选择该对象,然后单击“确定”

  3. 单击“新建”创建储存库。

  4. 指定储存库对象的名称,然后选择 NSLRepository.xml 以使用 SecureLogin 模板创建储存库。

  5. 单击“确定”

  6. 指定 SecureLogin 服务器的 DNS 名称或 IP 地址。请参见工作表项 3)

  7. 指定 SecureLogin 服务器的 SSL 端口。请参见工作表项 4)

  8. 指定从 SecureLogin 服务器导出的 SSL 证书的完整路径。此路径必须包括证书名称,而且对于 Identity Manager 服务器而言必须是本地的。请参见工作表项 7)

    SecureLogin 服务器可以在多种平台上运行。有关导出 SSL 证书的步骤,请参考特定于平台的文档。

  9. 指定 SecureLogin 管理员的完全限定的 LDAP 判别名。请参见工作表项 5)

  10. 单击“设置口令”

  11. 指定并输入 SecureLogin 管理员口令两次,然后单击“确定”。请参见工作表项 6)

  12. 查看指定的值,然后单击“确定”

  13. (可选)如果您需要为储存库创建其它的配置参数,请单击“新建”

    1. 指定参数的名称。

    2. 指定参数的显示名称。

    3. 指定用作参照的参数说明。

      参数以字符串的形式储存。

    4. 单击“确定”

创建储存库对象后,请转至在 iManager 中,创建 Novell SecureLogin 的应用程序对象

4.2.5 为 Novell SecureLogin 创建应用程序对象

应用程序对象储存 SecureLogin 的应用程序鉴定参数值。应用程序信息特定于使用应用程序身份凭证的应用程序(例如:GroupWise® 客户机信息或 SAP 数据库客户机信息)。可以在 Designer 或 iManager 中创建应用程序对象。

在 Designer 中,创建 Novell SecureLogin 的应用程序对象

在 Designer 中,用于创建应用程序对象的方法有很多种,下面的方法是其中之一:

  1. 在“大纲”视图中,右击要储存应用程序对象的驱动程序对象。

  2. 单击“身份凭证供应”>“新建应用程序对象”

  3. 指定应用程序对象的名称。

  4. 选择 NSLApplication.xml,以使用 SecureLogin 模板。

  5. 单击“确定”

  6. 在“大纲”视图中,双击应用程序对象以添加配置信息。

  7. 单击“是”保存新的应用程序对象。

  8. 指定 SecureLogin 应用程序 ID。请参见工作表项 9)

    若要在 SecureLogin 中查找应用程序 ID,请单击 My Logins(我的登录)。应用程序 ID 储存在 Id 字段中。

  9. 单击“保存”图标 保存应用程序。

  10. 单击“添加新项”图标 ,添加应用程序所需的鉴定密钥。

    1. 指定鉴定密钥的名称。

    2. 指定鉴定密钥的显示名称。

    3. 指定鉴定密钥的说明以供参考。

      鉴定密钥以字符串的形式储存。

    4. 单击“确定”

    5. 对每个需要输入的新鉴定密钥重复Step 10

      若要查找应用程序的鉴定密钥,请在应用程序中手动创建一个用户的 SecureLogin 身份凭证,然后以此用户身份登录。用户登录后,鉴定密钥的信息将显示在 SecureLogin 管理窗口的“我的登录”下。

  11. 如果鉴定密钥值是所有用户身份凭证共享的静态值,请指定该值。

  12. 单击“保存”图标 保存应用程序。

创建应用程序对象后,请转至为 Novell SecureLogin 配置身份凭证供应策略

在 iManager 中,创建 Novell SecureLogin 的应用程序对象

  1. 在 iManager 中,选择“身份凭证供应”>“配置”

  2. 浏览至要储存应用程序对象的驱动程序对象并选择该对象,然后单击“确定”

  3. 选择“应用程序”选项卡,然后单击“新建”

  4. 指定应用程序对象的名称。

  5. 选择 NSLApplication.xml 以使用 SecureLogin 模板创建应用程序。

  6. 单击“确定”

  7. 指定 SecureLogin Application ID(SecureLogin 应用程序 ID)。请参见工作表项 9)

    若要在 SecureLogin 中查找应用程序 ID,请单击“我的登录”。应用程序 ID 储存在 Id 字段中。

  8. 单击“新建”创建鉴定密钥参数。请参见工作表项 10)

    1. 指定鉴定密钥的名称。

    2. 指定鉴定密钥的显示名称。

    3. 指定鉴定密钥的说明以供参考。

      鉴定密钥以字符串的形式储存。

      若要查找应用程序的鉴定密钥,请在应用程序中手动创建一个用户的 SecureLogin 身份凭证,然后以此用户身份登录。用户登录后,鉴定密钥的信息将显示在 SecureLogin 管理窗口的“我的登录”下。

    4. 单击“确定”

    5. 如果鉴定密钥值为静态,则指定该值,然后单击“确定”

创建应用程序对象后,请转至为 Novell SecureLogin 配置身份凭证供应策略

4.2.6 为 Novell SecureLogin 配置身份凭证供应策略

创建储存库和应用程序对象后,需要创建一些用于供应 SecureLogin 信息的策略。这些策略使用储存在储存库和应用程序对象中的信息。在策略构建器中,有三种操作可用于供应 SecureLogin 身份凭证:

清除 SSO 身份凭证

“清除 SSO 身份凭证”操作允许清除 SSO 身份凭证,因此可以取消对对象的供应。

Figure 4-2 清除 SSO 身份凭证

  • 输入身份凭证储存对象 DN: 浏览至储存库对象并选择该对象。

  • 输入目标用户 DN: 使用自变量构建器创建目标用户的 DN。请参见工作表项 15)

  • 输入应用程序身份凭证 ID: 指定应用程序 ID。请参见工作表项 9)

  • 输入登录参数字符串: 起动字符串构建器,然后输入应用程序的每个鉴定密钥。请参见工作表项 10)

设置 SSO 身份凭证

创建用户对象或修改口令后,“设置 SSO 身份凭证”操作允许设置 SSO 身份凭证。

Figure 4-3 设置 SSO 身份凭证

  • 输入身份凭证储存对象 DN: 浏览至储存库对象并选择该对象。

  • 输入目标用户 DN: 使用自变量构建器创建目标用户的 DN。请参见工作表项 15)

  • 输入应用程序身份凭证 ID: 指定应用程序 ID。请参见工作表项 9)

  • 输入登录参数字符串: 起动字符串构建器,然后输入应用程序的鉴定密钥每个。请参见工作表项 10)

设置 SSO 通行口令

“设置 SSO 通行口令”操作允许创建 SecureLogin 通行口令,并在供应用户对象时对其负责。

Figure 4-4 设置 SSO 通行口令

  • 输入身份凭证储存对象 DN: 浏览至储存库对象并选择该对象。

  • 输入目标用户 DN: 使用自变量构建器创建目标用户的 DN。请参见工作表项 15)

  • 输入问题和答案的字符串: 起动字符串构建器,然后输入通行口令的问题和答案。请参见工作表项 16)

身份凭证供应策略的示例

可以实施和自定义这些供应策略以满足环境的需要。下面的示例说明如何对Figure 4-1演示的方案实施这些策略。

在此财务方案中,在 SAP 中成功设置口令后会出现 SecureLogin 供应。大多数的必需参数都是静态配置的,可用于储存库对象和应用程序对象中的所有策略。但是,也存在一些非静态数据参数(sapUsername、口令、DirXML-ADContext 和 workforceID),它们仅在完成 SAP 用户管理驱动程序的 <add><modify-password> 命令并将<output> 状态文档从 SAP 用户管理驱动程序 Shim 返回之后才可以使用。<ouput> 文档不再包含任何订购者通道操作特性,并丢失了命令的用户环境,因此阻止查询对象。因此,必须执行以下操作:

  • 请确保由 SAP 用户驱动程序的订购者创建策略实施所出现的非静态数据参数。
  • 在发出 SAP 用户驱动程序 Shim 的订购者命令之前,超速缓存供应运算所需的非静态参数。
  • 在成功完成命令后,检索 SecureLogin 供应要使用的超速缓存的数据。

NOTE:策略样本在 Identity Manager 3.0 Support Pack 1 媒体中为 XML 格式。其文件名分别为 SampleInputTransform.xmlSampleSubCommandTransform.xmlSampleSubEventTransform.xml。根据所在平台,可以分别在以下目录中找到这些文件:

  • linux\setup\utilities\cred_prov
  • nt\dirxml\utilities\cred_prov
  • nw\dirxml\utilities\cred_prov

如果在安装实用程序的过程中选择了身份凭证供应样本策略,则这些文件将安装在 Identity Manager 服务器上。根据所在平台的不同,这些样本策略将分别安装在以下位置:

  • Windows:C:\Novell\NDS\DirXMLUtilities(默认平台;用户可在安装期间进行更改)
  • NetWare®:SYS:\System\DirXmlUtilities
  • Linux (eDir 8.7):/usr/lib/dirxml/rules/credprov

这些样本策略提供了开发适用于您的环境的策略的起始点。

操作数据超速缓存

进行所需的数据超速缓存运算时可用的机制是 <operation-data> 要素。您可能需要使用 <add><modify-password> 命令供应 SecureLogin 帐户,因此实施非静态数据超速缓存策略的逻辑位置位于订购者命令转换策略中。以下示例显示典型的 SecureLogin 供应 <operation-data> 要素:

<operation-data> <nsl-sync-data> <nsl-target-user-dn> cn=GLCANYON,ou=finance,dc=prod,dc=testco,dc=com </nsl-target-user-dn> <nsl-app-username>GCANYON</nsl-app-username> <password><!-- content suppressed --></password> <nsl-passphrase-answer>50024222</nsl-passphrase-answer> </nsl-sync-data> </operation-data>

Figure 4-1的财务部门方案样本中,需要以下值来填充操作数据有效负载:

  • 使用 Identity Vault 中的 DirXML-ADContext 特性值填充 <nsl-target-user-dn> 要素,该特性值由 Active Directory 驱动程序设置。若要确保 AD 驱动程序在设置此值时通知 SAP 用户驱动程序,请确保将 DirXML-ADContext 作为通知特性添加至订购者过滤器。
  • 使用 sapUsername 特性值填充 <nsl-app-username> 要素。使用 <add> 命令时,该特性由 SAP 用户驱动程序的创建策略生成,并可作为操作特性使用。在 SAP 用户驱动程序中,SAP 用户名值为关联值的一部分。这意味着对于口令修改事件而言,需从关联分析名称。
  • 使用 <add><modify-password> 命令中的 <password> 要素值填充口令要素。
  • 使用 Identity Vault 中的 workforceID 特性值填充 <nsl-passphrase-answer> 要素,该特性值由 SAP HR 驱动程序设置。虽然在向 Identity Vault 初始供应的阶段就应该设置该值,但将 workforceID 作为通知特性添加至订购者过滤器也仍然可行。

SecureLogin 供应

在本方案中,可以在其中进行操作数据检索,并将检索结果用于 SecureLogin 身份凭证供应的第一个可用位置位于驱动程序的输入转换策略中。本样本方案实施以下三种策略:

  • 在成功同步口令后,实施设置 SecureLogin 身份凭证策略。
  • 设置 SecureLogin 通行口令和答案
  • 如果删除了应用程序用户(未删除 Identity Vault 对象),则去除 SecureLogin 身份凭证

    NOTE:SampleInputTransform.xml 文件中存在样本策略,该策略在成功同步口令后设置 SecureLogin 身份凭证。该文件位于 Identity Manager 3.0 Support Pack 1 媒体的身份凭证供应文件夹中。

设置 SecureLogin 身份凭证策略需要确保仅当返回的命令状态为成功,且以前设置的 <operation-data> 要素仍存在时,才发生供应。

取消 SecureLogin 供应

很多方案都可以采用以下策略:删除已连接应用程序的用户帐户,但保留 Identity Vault 帐户。在财务方案中,将用户的 Identity Vault employeeStatus 特性值设置为“I”时,需要删除 SAP 用户帐户并取消 SecureLogin 身份凭证供应。为了处理这种情况,SAP 用户驱动程序的订购者事件转换包含了将修改特性值转换为对象删除的策略。由于完成删除命令后仍然需要 Active Directory 帐户名称,因此需要在 <delete> 命令中设置 <operation-data> 事件,以使该事件可用于输入转换策略中的取消 SecureLogin 供应策略。

<operation-data> <nsl-sync-data> <nsl-target-user-dn> cn=GLCANYON,ou=finance,dc=prod,dc=testco,dc=com </nsl-targer-user-dn> </nsl-sync-data> </operation-data>

在文件 SampleSubEventTransform.xml 的身份凭证供应策略样本中,可以找到将 <modify> 事件转换为 <delete> 并创建该要素的策略。