Configurar a segurança

Este artigo contém os seguintes tópicos:
casm173
Este artigo contém os seguintes tópicos:
Antes de permitir que funcionários usem o CA SDM, é importante configurar a segurança para determinar o seguinte:
  • Quais usuários podem acessar o sistema.
  • Qual nível ou níveis de acesso os usuários podem ter.
  • Como os usuários são autenticados quando efetuam logon.
Configurações da base de usuários do CA EEM
O CA EEM é um repositório central de informações do usuário (identidades). O CA EEM define a autenticação de usuário e o acesso a outros aplicativos. Se você tiver vários produtos da CA Technologies instalados, é possível que alguns possam usar o CA EEM para armazenar identidades e políticas de acesso. O CA SDM usa apenas o CA EEM para autenticação. O CA EEM não é uma opção de configuração do CA SDM e deve ser instalado separadamente.
O repositório de registros de usuário do CA EEM é
uma
das seguintes origens:
  • Um diretório LDAP externo.
  • Suas próprias tabelas internas no MDB
O CA EEM tem uma interface LDAP para uso quando ele está configurado para usar o MDB.
As tabelas do MDB usadas pelo CA EEM são diferentes das usadas pelo CA SDM.
Se sua organização usar um servidor de diretório, como o Active Directory ou o eTrust Directory, considere configurar o CA EEM para usar o diretório de sua base de usuários. Essa configuração torna os usuários em seu diretório acessíveis por qualquer outro aplicativo que use o CA EEM. Como o CA EEM centraliza o gerenciamento do acesso, em geral ele é instalado em um único servidor.
CA SDM
O CA SDM armazena informações de contato nas tabelas do MDB. Essas tabelas não têm relação com o CA EEM. O CA SDM não usa o CA EEM para o gerenciamento de acesso ou identidade. O CA SDM gerencia seu próprio acesso e segurança usando Tipos de acesso e Partições de dados.
O CA SDM usa o CA EEM apenas para autenticação. Se você deseja usar o CA EEM para autenticar usuários no CA SDM, instale o CA EEM. Se você integrar o CA SDM ao CA EEM, ele substitui a autenticação do sistema operacional do CA SDM pela autenticação do CA EEM.
Para integrar o CA EEM e o CA SDM, é preciso definir as opções
eiam_hostname
,
use_eiam_artifact
e
use_eiam_authentication
no Gerenciador de opções, Segurança.
Para resumir:
  • A base de usuários do CA SDM é separada da base do CA EEM.
  • O CA SDM usa o MDB para armazenar informações de contato. O CA SDM também conta com a integração de LDAP, o que permite criar novos Contatos a partir de um servidor LDAP e sincronizar contatos existentes com o diretório.
  • O CA EEM é a solução da CA para o gerenciamento centralizado de usuários. Se você tiver vários produtos da CA instalados, é possível que todos eles estejam usando o CA EEM para armazenar identidades e diretivas de acesso.
  • O CA EEM pode ser configurado para apontar para um diretório externo (LDAP) ou usar o MDB para armazenar informações de usuários. O próprio CA EEM tem uma interface LDAP que é usada quando ele é configurado para usar o MDB.
    As tabelas usadas pelo CA EEM no MDB são diferentes das usadas pelo CA SDM.
CA EEM como configuração de LDAP
Quando o CA EEM é configurado para usar o MDB em vez de um diretório externo para armazenar informações de usuário, o CA EEM expõe o diretório de usuários usando uma interface LDAP. Se sua empresa não usar um servidor LDAP externo, você ainda pode usufruir das vantagens da configuração de LDAP externo ao configurar o CA SDM para usar o CA EEM como uma origem LDAP. Essa configuração pode ser útil se a sua empresa não usar um servidor LDAP, porém você deseja consolidar o gerenciamento de usuários no CA EEM. Outros produtos da CA também usam o CA EEM, o que pode simplificar significativamente o gerenciamento de usuários.
Diagrama que descreve o CA EEM como configuração de LDAP
Diagram depicting CA EEM as LDAP configuration
Essa configuração será aplicável somente quando o CA EEM estiver configurado para usar o MDB. Se o CA EEM estiver configurado para um servidor LDAP externo, configure o CA SDM para apontar para o mesmo servidor LDAP,
não
o CA EEM. Para obter mais informações, consulte Como integrar o CA SDM com o LDAP.
Configurar o armazenamento de usuário do CA EEM r8.4 SP4 CR05
É possível configurar o CA EEM r8.4 SP4 CR05 para armazenar registros do usuário em um diretório LDAP externo ou em suas próprias tabelas MDB internas. Quando o CA EEM usa um diretório LDAP externo, ele é uma interface somente leitura; não é possível adicionar ou modificar usuários por meio da interface do CA EEM.
Siga estas etapas:
  1. Selecione Iniciar, Programas, CA, Embedded Entitlements Manager, EEM UI.
    A interface do usuário do CA EEM aparece.
  2. Clique na guia Configurar.
  3. Clique na subguia do Servidor do EEM.
  4. Na seção esquerda, clique no link Usuários globais/Grupos globais.
  5. Na seção direita, selecione uma das seguintes opções:
    • Armazenar no armazenamento de dados interno
    • Referência de um diretório externo
    • Referência do CA SiteMinder
      Se você selecionar a Referência de uma opção de diretório externo, o sistema solicitará que você forneça os detalhes do servidor LDAP.
  6. Clique em Salvar.
    A configuração do armazenamento de usuários para o CA EEM está completa.
Configurar o armazenamento de usuários do CA EEM r12 CR02
É possível configurar o CA EEM r12 CR02 para armazenar registros do usuário em um diretório LDAP externo ou em suas próprias tabelas MDB internas. Quando o CA EEM usa um diretório LDAP externo, ele é uma interface somente leitura; não é possível adicionar ou modificar usuários por meio da interface do CA EEM.
Siga estas etapas:
  1. Selecione Iniciar, Programas, CA, Embedded Entitlements Manager, Admin UI.
    A interface do usuário do CA EEM aparece.
  2. Clique na guia Configurar.
  3. Clique na subguia Armazenamento de usuário.
  4. No painel do lado esquerdo, clique no link de Armazenamento do usuário.
  5. Na seção direita, selecione uma das seguintes opções:
    • Armazenar no armazenamento interno do usuário
    • Referência de um diretório LDAP externo.
    • Referência do CA SiteMinder
Se você selecionar a Referência de uma opção de diretório externo, o sistema solicitará que você forneça os detalhes do servidor LDAP.
6. Clique em Salvar.
A configuração do armazenamento de usuários para o CA EEM está completa.
Adicionar usuários e grupos
Se o CA EEM estiver configurado para referenciar um diretório externo, você não pode adicionar usuários usando a interface de usuário do CA EEM. O CA EEM é uma interface somente leitura para o servidor LDAP. Você deve usar a interface fornecida com seu produto de servidor LDAP para atualizar os registros de usuário.
Siga estas etapas:
  1. Clique em Iniciar, Programas, CA, Embedded Entitlements Manager, Admin UI/EEM UI.
  2. Efetue logon usando o nome de usuário e a senha de administrador do CA EEM. Essas informações são especificadas durante a instalação do CA EEM. O CA EEM deve ser instalado separadamente e não é uma opção de configuração para o CA SDM.
  3. Clique na guia Gerenciar identidades.
  4. Na seção esquerda, clique na guia Usuários para pesquisar e atualizar registros de usuários existentes.
    Para gerenciar os grupos do CA EEM, clique na guia Grupos
    .
  5. Clique no ícone à esquerda da pasta Usuários.
    O formulário para criação de um registro de usuário aparece.
  6. Preencha o formulário e clique em Salvar.
    O novo registro de usuário do CA EEM é salvo no MDB.
As etapas para editar um registro de usuário existente e manter os registros do grupo são semelhantes a essas etapas.
Considerações de segurança
Quando você instala o CA SDM pela primeira vez, o sistema é configurado para permitir o acesso máximo a qualquer contato que não tenha um tipo de acesso explícito definido em seu registro de contato. Execute as seguintes etapas antes de usar o aplicativo:
  1. Revise os tipos de acesso predefinidos para determinar um padrão razoável para seu sistema.
    O tipo de acesso do administrador está definido como o valor padrão, o que não é uma escolha adequada para a maioria dos sites. Por exemplo, alguns sites oferecem acesso somente leitura ao CA para a maioria dos membros da organização de TI. Caso defina Usuário do CMDB como o tipo de acesso padrão, não é necessário definir o tipo de acesso de novos usuários, a menos que eles precisem de privilégios adicionais. Analogamente, se a maioria dos usuários precisar do privilégio para gravar informações de configuração, é possível selecionar Analista do CMDB como o tipo de acesso padrão.
  2. Atribua os tipos de acesso dos contatos restantes de forma explícita.
    Por exemplo, caso tenha escolhido Usuário do CMDB como o tipo de acesso padrão, modifique os registros dos contatos de seus analistas para atribuir um tipo de acesso de analista.
Autenticação do CA EEM para o CA Process Automation
O CA SDM e o CA Process Automation se comunicam usando uma troca de serviços web por HTTP. Embora tenham sido tomadas todas as medidas para enviar quantidades mínimas de informações sensíveis entre os produtos, uma entidade maliciosa pode acessar nomes de usuário, senhas e informações proprietárias. Você pode seguir etapas deliberadas para proteger a comunicação do servidor.
Para a autenticação do CA Process Automation, considere as seguintes recomendações:
  • Como opção, você pode configurar o CA Process Automation para usar o CA EEM como um servidor de autenticação. O CA Process Automation implementa grupos e diretivas padrão no CA EEM. Você pode modificar os grupos e políticas padrão para atender as necessidades da organização.
  • Usar o CA EEM elimina a necessidade de enviar nomes e senhas de usuário em texto sem formatação para fins de autenticação. Se você estiver usando a multilocação, o CA EEM é necessário para ativar a multilocação no CA Process Automation.
    Para obter segurança de autenticação nesta integração, não é necessário ter o CA SDM configurado para usar o CA EEM. No entanto, o CA EEM é necessário para a implementação de multilocação do CA Process Automation.
  • Configure o CA Process Automation para se comunicar usando comunicações seguras em HTTPS. HTTPS URLs usa SSL/TLS para eliminar trocas de texto sem formatação ao proteger dados proprietários e outros dados sensíveis contra revelação maliciosa ou acidental.