4.3 Novell SecretStore 支持的身份凭证供应策略
通过身份凭证供应策略,您可以向 Novell SecretStore 储存库中的用户对象供应应用程序身份凭证。它将应用程序服务器和用户身份凭证供应作为 Identity Manager 标准供应方案的一部分,这种能力为用户提供了更安全和同步的万维网一次签到体验。
本文档包含在 Identity Manager 中配置对象和策略时所需的步骤。但不包含任何 SecretStore 组件的部署和配置信息。有关 SecretStore 文档,请参见 Novell SecretStore 3.3.3 文档。
在实施 SecretStore 支持的身份凭证供应策略时,需要一个储存库对象、一个应用程序对象并需要另外创建一些策略。为方便 Identity Manager 使用,储存库对象和应用程序对象储存了 SecretStore 信息。为使所有驱动程序都可以使用身份凭证供应,还使用了另外创建的策略。也可以配置以下选项:
- 身份凭证供应可由发布者通道、订购者通道提供,或由这两个通道同时提供。
- SecretStore 同步可以在应用程序口令同步过程中发生,也可以由其它事件触发。
- 在不供应应用程序帐户的情况下,可以供应万维网服务身份凭证。
Figure 4-5显示的方案典型而简单,它向 GroupWise® 的新用户供应了一次签到身份凭证。该部门通过 SAP HR 系统和 Identity Manager 向 Identity Vault 供应新用户。根据组织信息,这些用户随后将供应给 eDirectory 上实现的部门鉴定树。新用户通过该树鉴定到网络,同时该树也是 GroupWise 安全身份凭证的储存库,Novell iChain® 或 Access Manager® 使用该储存库从公司防火墙外部提供安全的一次签到功能。由于随后 Identity Manager 会将用户供应给 GroupWise,因此这些系统的身份凭证将与鉴定树中这些身份凭证的 SecretStore 特性同步。
Figure 4-5 SecretStore 支持的身份凭证供应
Figure 4-5阐述了以下供应步骤:
- SAP HR 系统发布了有关新雇用员工 Glen Canyon 的数据。Identity Manager SAP HR 驱动程序将处理此数据。
- 在 Identity Vault 中创建了一个新的用户对象,其 CN 值为 GCANYON,workforceID 值为 50024222。由于此用户被分配到其所在公司的财务组织,因此需要将其鉴定到财务部门的 eDirectory 服务器。现在,同步该域的 Identity Manager eDirectory 驱动程序将使用 Identity Vault 信息。
- 将 Glen 供应给财务部门的 eDirectory 服务器。
- 配置该驱动程序以获得 Glen 完整的 LDAP 判别名:CN=GLCanyon、OU=finance、O=Testco Financials。
- 在 Identity Vault 中,将 LDAP 名称置于 GCANYON 用户的 DirXML-AuthContext(用户对象的扩展名,DirXML-ADContext 的副本)特性中。
由于所需特性现在在 Identity Vault 中可用,因此 GroupWise 驱动程序将开始处理 GCANYON 对象的特性。
- 由于 Glen 隶属于财务组织,因此驱动程序在 GroupWise 域服务器的财务部门中为 GCANYON 供应了一个 GroupWise 帐户。
- 成功创建帐户后,GroupWise 驱动程序策略为 Glen 的 eDirectory 用户帐户供应了他的 GroupWise 鉴定身份凭证。
Glen 从因特网鉴定到他所在公司的万维网站点后,iChain 服务器可以在不需要输入他的 GroupWise 身份凭证的前提下,使用 SecretStore 身份凭证将他的鉴定填写到他的安全 GroupWise 电子邮件帐户上,因而为公司的资源提供了额外的安全保障。