可以任意自定义采用 SecureLogin 的身份凭证策略的实现。实现该策略的步骤有所不同,取决于安装 SecureLogin 的平台、供应的应用程序和所涉及的 Identity Manager 驱动程序。
若要实现采用 SecureLogin 的身份凭证供应策略,请参见下列主题:
若要使用采用 SecureLogin 的身份凭证供应策略,则必须满足下列条件:
校验环境满足要求后,请转至Section 4.2.2, 扩展 Novell SecureLogin 的 LDAP 纲要。
在 eDirectory 服务器上部署 SecureLogin 时,使用称为 ndsschema.exe 的工具扩展具有 SecureLogin 特性集的 eDirectory 纲要,这些特性用于储存用户和树枝对象的加密身份凭证、策略等。这些特性是:
这些特性特定于 eDirectory,需要这些特性以运行 SecureLogin 产品。Identity Manager 3.0 Support Pack 1 中提供的供应 API 使用 LDAP 名称空间执行其功能,以便可以使用任意 SecureLogin 身份凭证储存。如果要为以上列出的特性提供 LDAP 映射,则必须使用与 SecureLogin 产品一起提供的第二种工具。该工具的名称是 ldapschema.exe,用于在 eDirectory 环境中向 eDirectory 特性提供 LDAP 名称空间映射。
运行 ldapschema.exe 之后,通过检查 iManager 中的 LDAP 组特性映射表校验映射。
在 iManager 中,单击“LDAP”>“LDAP 选项”。
选择与承载 SecureLogin 的 eDirectory 服务器相关联的 LDAP 组。
在“LDAP 组”属性页中,选中“特性映射表”选项并校验已将上述特性映射到下列
(LDAP 主属性):若要提供Figure 4-1中阐述的部署方案中描述的同步功能,则首先要收集所有与 Identity Manager 和 SecureLogin 环境相关的业务处理信息。您可以打印Table 4-1, SecureLogin 的身份凭证供应策略工作表并将其用作记录信息的工作表。
Table 4-1 SecureLogin 的身份凭证供应策略工作表
下面的示例数据使用供应方案向 Finance Active Directory 鉴定树中的用户供应 SAP 财务服务器的用户 SecureLogin 身份凭证:
Table 4-2 SecureLogin 身份凭证供应策略工作表的示例
其它环境信息:
确定所有配置数据后,请转至Section 4.2.4, 创建 Novell SecureLogin 的储存库对象 。
储存库对象储存 SecureLogin 的静态配置信息。储存库信息独立于使用应用程序身份凭证的应用程序。无论已连接的系统(例如:SAP、PeopleSoft*、Notes* 等)是什么,此信息都适用于所有的供应事件。储存库对象可以在 Designer 或 iManager 中创建。
在 Designer 中创建储存库对象的方法有很多种,下面的方法是其中之一:
在大纲视图中,右击您希望在其中储存储存库对象的驱动程序对象。
单击
(身份凭证供应 > 新建储存库对象)。指定储存库对象的名称。
选择
,以使用 SecureLogin 模板。单击“确定”。
在“大纲”视图中,双击储存库对象以添加配置信息。
单击“是”保存新的储存库对象。
指定 SecureLogin 服务器的 DNS 名称或 IP 地址。请参见工作表项 3)。
指定 SecureLogin 服务器的 SSL 端口。请参见工作表项 4)。
指定从 SecureLogin 服务器导出的 SSL 证书的完整路径。此路径必须包括证书名称,而且对于 Identity Manager 服务器而言必须是本地的。请参见工作表项 7)。
SecureLogin 服务器可以在多种平台上运行。有关如何导出 SSL 证书的信息,请参考特定于平台的文档。
指定 SecureLogin 管理员的完全限定的 LDAP 判别名。请参见工作表项 5)。
单击“设置口令”。
指定并输入 SecureLogin 管理员口令两次,然后单击“确定”。请参见工作表项 6)。
查看信息,然后单击“保存”图标 保存信息。
(可选)如果您希望为储存库对象创建其它的配置参数,请单击
(添加新项) 图标。指定参数的名称。
指定参数的显示名称。
指定参数说明以供参考。
参数以字符串的形式储存。
单击“确定”。
单击“保存”图标 保存储存库对象。
创建储存库对象后,请转至为 Novell SecureLogin 创建应用程序对象。
在 iManager 中,选择“身份凭证供应”>“配置”。
浏览至将在其中储存储存库对象的驱动程序对象,并选择该对象,然后单击“确定”。
单击“新建”创建储存库。
指定储存库对象的名称,然后选择
以使用 SecureLogin 模板创建储存库。单击“确定”。
指定 SecureLogin 服务器的 DNS 名称或 IP 地址。请参见工作表项 3)。
指定 SecureLogin 服务器的 SSL 端口。请参见工作表项 4)。
指定从 SecureLogin 服务器导出的 SSL 证书的完整路径。此路径必须包括证书名称,而且对于 Identity Manager 服务器而言必须是本地的。请参见工作表项 7)。
SecureLogin 服务器可以在多种平台上运行。有关导出 SSL 证书的步骤,请参考特定于平台的文档。
指定 SecureLogin 管理员的完全限定的 LDAP 判别名。请参见工作表项 5)。
单击“设置口令”。
指定并输入 SecureLogin 管理员口令两次,然后单击“确定”。请参见工作表项 6)。
查看指定的值,然后单击“确定”。
(可选)如果您需要为储存库创建其它的配置参数,请单击“新建”。
指定参数的名称。
指定参数的显示名称。
指定用作参照的参数说明。
参数以字符串的形式储存。
单击“确定”。
创建储存库对象后,请转至在 iManager 中,创建 Novell SecureLogin 的应用程序对象。
应用程序对象储存 SecureLogin 的应用程序鉴定参数值。应用程序信息特定于使用应用程序身份凭证的应用程序(例如:GroupWise® 客户机信息或 SAP 数据库客户机信息)。可以在 Designer 或 iManager 中创建应用程序对象。
在 Designer 中,用于创建应用程序对象的方法有很多种,下面的方法是其中之一:
在“大纲”视图中,右击要储存应用程序对象的驱动程序对象。
单击“身份凭证供应”>“新建应用程序对象”。
指定应用程序对象的名称。
选择
,以使用 SecureLogin 模板。单击“确定”。
在“大纲”视图中,双击应用程序对象以添加配置信息。
单击“是”保存新的应用程序对象。
指定 SecureLogin 应用程序 ID。请参见工作表项 9)。
若要在 SecureLogin 中查找应用程序 ID,请单击
(我的登录)。应用程序 ID 储存在 字段中。单击“保存”图标 保存应用程序。
单击“添加新项”图标 ,添加应用程序所需的鉴定密钥。
指定鉴定密钥的名称。
指定鉴定密钥的显示名称。
指定鉴定密钥的说明以供参考。
鉴定密钥以字符串的形式储存。
单击“确定”。
对每个需要输入的新鉴定密钥重复Step 10。
若要查找应用程序的鉴定密钥,请在应用程序中手动创建一个用户的 SecureLogin 身份凭证,然后以此用户身份登录。用户登录后,鉴定密钥的信息将显示在 SecureLogin 管理窗口的“我的登录”下。
如果鉴定密钥值是所有用户身份凭证共享的静态值,请指定该值。
单击“保存”图标 保存应用程序。
创建应用程序对象后,请转至为 Novell SecureLogin 配置身份凭证供应策略。
在 iManager 中,选择“身份凭证供应”>“配置”。
浏览至要储存应用程序对象的驱动程序对象并选择该对象,然后单击“确定”。
选择“应用程序”选项卡,然后单击“新建”。
指定应用程序对象的名称。
选择
以使用 SecureLogin 模板创建应用程序。单击“确定”。
指定 9)。
(SecureLogin 应用程序 ID)。请参见工作表项若要在 SecureLogin 中查找应用程序 ID,请单击“我的登录”。应用程序 ID 储存在
字段中。单击“新建”创建鉴定密钥参数。请参见工作表项 10)。
指定鉴定密钥的名称。
指定鉴定密钥的显示名称。
指定鉴定密钥的说明以供参考。
鉴定密钥以字符串的形式储存。
若要查找应用程序的鉴定密钥,请在应用程序中手动创建一个用户的 SecureLogin 身份凭证,然后以此用户身份登录。用户登录后,鉴定密钥的信息将显示在 SecureLogin 管理窗口的“我的登录”下。
单击“确定”。
如果鉴定密钥值为静态,则指定该值,然后单击“确定”。
创建应用程序对象后,请转至为 Novell SecureLogin 配置身份凭证供应策略。
创建储存库和应用程序对象后,需要创建一些用于供应 SecureLogin 信息的策略。这些策略使用储存在储存库和应用程序对象中的信息。在策略构建器中,有三种操作可用于供应 SecureLogin 身份凭证:
“清除 SSO 身份凭证”操作允许清除 SSO 身份凭证,因此可以取消对对象的供应。
Figure 4-2 清除 SSO 身份凭证
创建用户对象或修改口令后,“设置 SSO 身份凭证”操作允许设置 SSO 身份凭证。
Figure 4-3 设置 SSO 身份凭证
“设置 SSO 通行口令”操作允许创建 SecureLogin 通行口令,并在供应用户对象时对其负责。
Figure 4-4 设置 SSO 通行口令
可以实施和自定义这些供应策略以满足环境的需要。下面的示例说明如何对Figure 4-1演示的方案实施这些策略。
在此财务方案中,在 SAP 中成功设置口令后会出现 SecureLogin 供应。大多数的必需参数都是静态配置的,可用于储存库对象和应用程序对象中的所有策略。但是,也存在一些非静态数据参数(sapUsername、口令、DirXML-ADContext 和 workforceID),它们仅在完成 SAP 用户管理驱动程序的 <add> 或 <modify-password> 命令并将<output> 状态文档从 SAP 用户管理驱动程序 Shim 返回之后才可以使用。<ouput> 文档不再包含任何订购者通道操作特性,并丢失了命令的用户环境,因此阻止查询对象。因此,必须执行以下操作:
NOTE:策略样本在 Identity Manager 3.0 Support Pack 1 媒体中为 XML 格式。其文件名分别为 SampleInputTransform.xml、SampleSubCommandTransform.xml 和 SampleSubEventTransform.xml。根据所在平台,可以分别在以下目录中找到这些文件:
如果在安装实用程序的过程中选择了身份凭证供应样本策略,则这些文件将安装在 Identity Manager 服务器上。根据所在平台的不同,这些样本策略将分别安装在以下位置:
这些样本策略提供了开发适用于您的环境的策略的起始点。
进行所需的数据超速缓存运算时可用的机制是 <operation-data> 要素。您可能需要使用 <add> 或 <modify-password> 命令供应 SecureLogin 帐户,因此实施非静态数据超速缓存策略的逻辑位置位于订购者命令转换策略中。以下示例显示典型的 SecureLogin 供应 <operation-data> 要素:
<operation-data> <nsl-sync-data> <nsl-target-user-dn> cn=GLCANYON,ou=finance,dc=prod,dc=testco,dc=com </nsl-target-user-dn> <nsl-app-username>GCANYON</nsl-app-username> <password><!-- content suppressed --></password> <nsl-passphrase-answer>50024222</nsl-passphrase-answer> </nsl-sync-data> </operation-data>
在Figure 4-1的财务部门方案样本中,需要以下值来填充操作数据有效负载:
在本方案中,可以在其中进行操作数据检索,并将检索结果用于 SecureLogin 身份凭证供应的第一个可用位置位于驱动程序的输入转换策略中。本样本方案实施以下三种策略:
NOTE:在 SampleInputTransform.xml 文件中存在样本策略,该策略在成功同步口令后设置 SecureLogin 身份凭证。该文件位于 Identity Manager 3.0 Support Pack 1 媒体的身份凭证供应文件夹中。
设置 SecureLogin 身份凭证策略需要确保仅当返回的命令状态为成功,且以前设置的 <operation-data> 要素仍存在时,才发生供应。
很多方案都可以采用以下策略:删除已连接应用程序的用户帐户,但保留 Identity Vault 帐户。在财务方案中,将用户的 Identity Vault employeeStatus 特性值设置为“I”时,需要删除 SAP 用户帐户并取消 SecureLogin 身份凭证供应。为了处理这种情况,SAP 用户驱动程序的订购者事件转换包含了将修改特性值转换为对象删除的策略。由于完成删除命令后仍然需要 Active Directory 帐户名称,因此需要在 <delete> 命令中设置 <operation-data> 事件,以使该事件可用于输入转换策略中的取消 SecureLogin 供应策略。
<operation-data> <nsl-sync-data> <nsl-target-user-dn> cn=GLCANYON,ou=finance,dc=prod,dc=testco,dc=com </nsl-targer-user-dn> </nsl-sync-data> </operation-data>
在文件 SampleSubEventTransform.xml 的身份凭证供应策略样本中,可以找到将 <modify> 事件转换为 <delete> 并创建该要素的策略。