SecretStore 支持的身份凭证供应策略在实施时非常用户化。根据 SecretStore 安装的平台、供应的应用程序以及使用的 Identity Manager 驱动程序,实施该策略时的步骤将有所不同。
实施 SecretStore 支持的身份凭证供应策略:
若要实施 SecretStore 支持的身份凭证供应策略,必须具备以下条件:
验证个人环境满足要求后,请按Section 4.4.2, 确定 Novell SecretStore 的部署配置参数继续。
若要提供Figure 4-5中阐述的部署方案中描述的同步功能,首先需收集所有与 Identity Manager 和 SecretStore 环境相关的业务处理信息。可以打印Table 4-3, SecretStore 的身份凭证供应策略工作表,并将其用作记录信息的工作表。
Table 4-3 SecretStore 的身份凭证供应策略工作表
本供应方案将确定位于财务 eDirectory 鉴定树上的用户的以下示例数据,从而为财务部门的 GroupWise 域服务器供应用户的 SecretStore 身份凭证:
SecretStore 储存库信息
Table 4-4 SecretStore 的身份凭证供应策略工作表示例
其它环境信息:
从所收集的数据中可以看出,SecretStore 储存库信息为供应财务部门应用程序的所有驱动程序提供全局信息。此外,可以静态配置所有供应信息,但 GroupWise 登录参数用户名、口令和目标用户 DN 除外。
确定所有参数后,请按Section 4.4.3, 创建 Novell SecretStore 的储存库对象继续。
储存库对象储存 SecretStore 的静态配置信息。储存库信息独立于使用应用程序身份凭证的应用程序。无论连接什么系统(例如,SAP、PeopleSoft、Notes 等),所有供应事件都可应用此信息。储存库对象可以在 Designer 或 iManager 中创建。
在 Designer 中创建储存库对象的方法有很多种,下面的方法是其中之一:
在“大纲”视图中,右击要储存储存库对象的驱动程序对象。
单击“身份凭证供应”>“新建储存库对象”。
指定储存库对象的名称。
选择
以使用 SecretStore 模板。单击“确定”。
在“大纲”视图中,双击储存库对象以添加配置信息。
单击“是”保存新储存库对象。
指定 SecretStore 服务器的 DNS 名称或 IP 地址。请参见工作表项 2)。
指定 SecretStore 服务器的 SSL 端口。请参见工作表项 3)。
指定从 SecretStore 服务器导出 SSL 证书的完整路径。此路径必须包括证书名称,而且对于 Identity Manager 服务器而言必须是本地的。请参见工作表项 6)。
NOTE:有关如何导出 SSL 证书的信息,请参考 iManager 文档。
指定 SecretStore 管理员的完全限定的 LDAP 判别名。请参见工作表项 4)。
单击“设置口令”。
指定并再次输入 SecretStore 管理员的口令,然后单击“确定”。请参见工作表项 5)。
查看信息,然后单击“保存”图标 保存信息。
(可选)如果要创建储存库对象的其它配置参数,请单击“添加新项”图标 。
指定参数的名称。
指定参数的显示名称。
指定参数说明以供参考。
参数以字符串的形式储存。
单击“确定”。
单击“保存”图标 保存储存库对象。
创建储存库对象后,请转至在 Designer 中,创建 Novell SecureLogin 的应用程序对象。
在 iManager 中,选择“身份凭证供应”>“配置”。
浏览至将在其中储存储存库对象的驱动程序对象,并选择该对象,然后单击“确定”。
单击“新建”创建储存库。
指定储存库对象的名称。
选择
,以使用 SecretStore 模板创建储存库。单击“确定”。
指定 SecretStore 服务器的 DNS 名称或 IP 地址。请参见工作表项 2)。
指定 SecretStore 服务器的 SSL 端口。请参见工作表项 3)。
指定从 SecretStore 服务器导出 SSL 证书的完整路径。此路径必须包括证书名称,而且对于 Identity Manager 服务器而言必须是本地的。请参见工作表项 6)。
NOTE:有关如何导出 SSL 证书的信息,请参考 iManager 文档。
指定 SecretStore 管理员的完全限定的 LDAP 判别名。请参见工作表项 4)。
单击“设置口令”。
指定并再次输入 SecretStore 管理员的口令,然后单击“确定”。请参见工作表项 5)。
查看指定的值,然后单击“确定”。
(可选)如果要创建储存库对象的其它配置参数,请单击“新建”。
此示例信息来自Figure 4-1中的方案。
指定参数的名称。
指定参数的显示名称。
指定用作参照的参数说明。
参数以字符串的形式储存。
单击“确定”。
创建储存库对象后,请转至在 iManager 中,创建 Novell SecureLogin 的应用程序对象。
应用程序储存 SecretStore 的静态配置参数值。应用程序信息特定于使用应用程序身份凭证的应用程序(例如,GroupWise 客户程序信息或 SAP 数据库客户程序信息)。可以在 Designer 或 iManager 中创建应用程序对象。
在 Designer 中创建应用程序对象的方法有很多种,下面的方法是其中之一:
在“大纲”视图中,右击要储存应用程序对象的驱动程序对象。
单击“身份凭证供应”>“新建应用程序对象”。
指定应用程序对象的名称。
选择
以使用 SecretStore 模板。单击“确定”。
在“大纲”视图中,双击应用程序对象以添加配置信息。
单击“是”保存新的应用程序对象。
指定 SecretStore 应用程序 ID。请参见工作表项 9)。
选择“SecretStore 机密类型”。请参见工作表项 8)。
选择“SecretStore 共享机密类型”。请参见工作表项 8)。
选择 SecretStore“使用增强型保护标志”为“禁用”还是“启用”。
如果已启用“增强型保护口令”,则单击“设置口令”以设置该口令。
指定并再次输入口令,然后单击“确定”。
单击“保存”图标 保存应用程序。
单击“添加新项”图标 ,添加应用程序所需的鉴定密钥。
指定鉴定密钥的名称。
指定鉴定密钥的显示名称。
指定鉴定密钥的说明以供参考。
鉴定密钥以字符串的形式储存。
单击“确定”。
对每个需要输入的新鉴定密钥重复Step 15。
如果鉴定密钥值是所有用户身份凭证共享的静态值,则请指定该值。
单击“保存”图标 保存应用程序。
创建应用程序对象后,请转至Section 4.4.5, 配置 Novell SecretStore 的身份凭证供应策略。
在 iManager 中,选择“身份凭证供应”>“配置”。
浏览至要储存应用程序对象的驱动程序对象并选择该对象,然后单击“确定”。
选择“应用程序”选项卡,然后单击“新建”。
指定应用程序对象的名称
选择
,以使用 SecretStore 模板创建应用程序。单击“确定”。
指定“SecretStore 应用程序 ID”。请参见工作表项 9)。
选择“SecretStore 机密类型”。请参见工作表项 7)。SecretStore 类型为“共享”或“非共享”。
选择“SecretStore 共享机密类型”。请参见工作表项 8)。共享 SecretStore 类型为“身份凭证集”或“应用程序”。
选择 SecretStore“使用增强型保护标志”为“禁用”还是“启用”。
如果已启用“增强型保护口令”,则单击“设置口令”以设置该口令。
指定并再次输入口令,然后单击“确定”。
单击“新建”创建应用程序需要的鉴定密钥。请参见工作表项 10)。
指定鉴定密钥的名称。
指定鉴定密钥的显示名称。
指定鉴定密钥的说明以供参考。
鉴定密钥以字符串的形式储存。
单击“确定”。
对应用程序需要的每个鉴定密钥重复Step 13。
如果鉴定密钥值为静态,则指定该值,然后单击“确定”。
创建应用程序对象后,请转至Section 4.4.5, 配置 Novell SecretStore 的身份凭证供应策略。
创建储存库和应用程序对象后,需要创建一些用于供应 SecretStore 信息的策略。这些策略使用储存在储存库和应用程序对象中的信息。在策略构建器中,有两种操作可用于供应 SecretStore 身份凭证:
“清除 SSO 身份凭证”操作允许清除 SSO 身份凭证,因此可以取消对对象的供应。
Figure 4-6 清除 SSO 身份凭证
创建用户对象或修改口令后,“设置 SSO 身份凭证”操作允许设置 SSO 身份凭证。
Figure 4-7 设置 SSO 身份凭证
可以根据满足环境的需要实施和自定义身份凭证供应策略。下面的示例说明如何对Figure 4-5演示的方案实施这些策略。
在财务方案中,成功设置 GroupWise 中的口令之后将供应 SecretStore。大多数的必需参数都是静态配置的,可用于储存库对象和应用程序对象中的所有策略。但是也存在一些非静态数据参数(CN、口令和 DirXML-ADContext),在完成 GroupWise 用户 <add> 或 <modify-password> 命令,并从 GroupWise 驱动程序 Shim 中返回 <output> 文档后,这些参数才可用。 <output> 文档不再包含任何订购者操作特性,并丢失了命令的用户环境,从而阻止了对此对象的查询。因此,必须执行以下操作:
NOTE:策略样本在 Identity Manager 3.0 Support Pack 1 媒体中为 XML 格式。其文件名分别为 SampleInputTransform.xml、SampleSubCommandTransform.xml 和 SampleSubEventTransform.xml。这些文件位于以下目录中:
如果在安装实用程序的过程中选择了身份凭证供应样本策略,则这些文件将安装在 Identity Manager 服务器上。根据所在平台的不同,这些样本策略将分别安装在以下位置:
这些样本策略提供了开发适用于您的环境的策略的起始点。
进行所需的数据超速缓存运算时可用的机制是 <operation-data> 要素。您可能需要使用 <add> 或 <modify-password> 命令供应 SecretStore 帐户,因此实施非静态数据超速缓存策略的逻辑位置位于订购者命令转换策略中。以下示例显示典型的 SecretStore 供应要素:
<operation-data> <nss-sync-data> <nss-target-user-dn> cn=GLCANYON,ou=finance,o=Testco Financials </nss-target-user-dn> <nss-app-username>GCANYON</nsl-app-username> <password><!-- content suppressed --></password> <nss-passphrase-answer>50024222</nsl-passphrase-answer> </nss-sync-data> </operation-data>
在Figure 4-5的财务部门方案样本中,需要以下值来填充操作数据有效负载:
在方案样本中,可以检索操作数据且将其用作 SecretStore 身份凭证供应的第一个可用位置位于驱动程序输入转换策略中。在方案样本中,实施了两个策略:
NOTE:SampleInputTransform.xml 文件中含有样本策略,此策略在口令同步成功后设置 SecretStore 身份凭证。该文件位于 Identity Manager 3.0 Support Pack 1 媒体的实用程序目录的 cred_prov 文件夹中。
设置 SecretStore 身份凭证策略需要确保仅当返回命令状态为成功,且存在先前设置的 <operation-data> 时才进行供应。
删除已连接应用程序的用户帐户,但保留 Identity Vault 帐户的策略可以用于多种方案。在财务方案中,将用户的 Identity Vault employeeStatus 特性值设置为“I”时,需要删除 GroupWise 帐户并取消 SecretStore 身份凭证供应。为了处理这种情况,GroupWise 驱动程序的订购者事件转换包含将修改特性值转换为对象删除的策略。因为删除命令完成后仍然需要 eDirectory 帐户名,所以需要在 <delete> 命令中设置 <operation-data> 事件,以便可将此事件用于输入转换策略中的取消 SecretStore 供应策略。
<operation-data> <nss-sync-data> <nss-target-user-dn> cn=GLCANYON,ou=finance,o=Testco Financials </nss-targer-user-dn> </nss-sync-data> </operation-data>
有关如何将 <modify> 事件转换为 <delete> 并创建此要素的策略以 XML 格式存在于名为 SampleSubEventTransform.xml 的文件中,此文件位于 Identity Manager 3.0 Support Pack 1 媒体的 utilities 目录的 cred_prov 文件夹中。