4.1 采用 Novell SecureLogin 的身份凭证供应策略
可以使用身份凭证供应策略自动供应 SecureLogin 支持的应用程序身份凭证。此主题记录了在 Identity Manager 中配置对象和策略所需的步骤。它不包含任何 SecureLogin 组件的部署和配置信息。有关 SecureLogin 文档的信息,请参见 Novell SecureLogin 6.0 文档。
要实现采用 SecureLogin 的身份凭证供应需要一个储存库对象、一个应用程序对象和多个策略。储存库和应用程序对象储存 SecureLogin 信息以供 Identity Manager 使用。如果使用这些策略,驱动程序就能使用身份凭证供应。有关详细信息,请参见Section 4.2, 实现采用 SecureLogin 的身份凭证供应策略。
也可配置下列选项:
- 身份凭证供应可由发布者通道、订购者通道提供,或由这两个通道同时提供。
- SecureLogin 同步可作为应用程序口令同步的一部分发生或由一些其它事件触发。
- 在不供应应用程序帐户的情况下,可以供应万维网服务身份凭证。
- 可以供应 SecureLogin 初始通行口令的问题和答案。
Figure 4-1显示了一个典型而简洁的方案,其中包含向财务部门中的 SAP* 财务应用程序的新用户供应 SecureLogin 身份凭证。由于大多数应用程序只需要一个常用用户名和口令,而 SAP 用户供应需要更多的登录参数,因此使用此应用程序。
该部门通过 SAP HR 系统和 Identity Manager 向 Identity Vault 供应新用户。根据组织信息,将用户对象供应给在 Active Directory 上实现的部门鉴定树。在该树中,新用户鉴定到网络,因此 SecureLogin 身份凭证储存库也在该树中。因为 Identity Manager 随后将向用户供应各种财务应用程序,所以这些系统的用户身份凭证与 Active Directory 中的 SecureLogin 储存同步。
Figure 4-1显示了供应的用户 Glen 的鉴定身份凭证。当 Glen 鉴定到他所在部门的 Active Directory 鉴定域并起动 SecureLogin 客户机时,他不需要输入或甚至不需要知道该系统上的口令就可以一次签到 SAP 财务帐户。
Figure 4-1 采用 SecureLogin 的身份凭证供应
Figure 4-1说明了下列步骤:
- SAP HR 系统发布了有关新雇用员工 Glen Canyon 的数据。Identity Manager SAP HR 驱动程序将处理此数据。
- 在 Identity Vault 中创建新用户对象,其 CN 值为 GCANYON,workforceID 值为 50024222。由于该用户被指派给他所在公司的财务组织,因此他需要鉴定到 finance.prod.testco.com 域中的财务部门 Active Directory 服务器。同步该域的 Identity Manager Active Directory 驱动程序现在使用 Identity Vault 信息。
- 将 Glen 供应给财务部门 Active Directory 服务器。
- 配置该驱动程序以获得 Glen 完整的 LDAP 判别名:CN=GLCanyon,OU=finace,dc=prod,dc=testco,dc=com.
- 该驱动程序将名称放入 Identity Vault 中的 GCANYON 用户的 DirXML-ADContext 特性中。
现在所需的特性在 Identity Vault 中可用,SAP 用户管理驱动程序处理 GCANYON 对象的特性。
- 因为 Glen 在财务组织,所以该驱动程序供应一个 SAP 财务服务器上的 SAP 用户帐户 GCANYON。
- 成功创建该帐户后,SAP 用户管理驱动程序策略向 Glen 的 AD 用户帐户供应其 SAP 鉴定身份凭证。因为此命令为一个“添加”操作,所以这些策略也供应其 SecureLogin 通行口令问题和答案。