Einrichten der Sicherheit

Dieser Artikel enthält die folgenden Themen:
casm173
Dieser Artikel enthält die folgenden Themen:
Bevor andere Personen mit CA SDM arbeiten dürfen, müssen Sie die Sicherheit einstellen, um festzulegen:
  • welche Anwender auf das System zugreifen dürfen,
  • welche Zugriffsebenen für die Anwender freigegeben sind,
  • wie Anwender authentifiziert werden, wenn sie sich anmelden.
Konfigurationen für CA EEM-Benutzerdatenbanken
CA EEM ist ein zentrales Repository für Benutzerinformationen (Identitäten). CA EEM definiert die Authentifizierung der Anwender und deren Zugriff auf weitere Anwendungen. Wenn Sie mehrere CA Technologies-Produkte installiert haben, verwenden einige dieser Produkte unter Umständen CA EEM zum Speichern von Identitäten und Zugriffsrichtlinien. CA SDM verwendet CA EEM nur zur Authentifizierung. CA EEM ist keine CA SDM-Konfigurationsoption und muss daher separat installiert werden.
Als Repository für Benutzerdatensätze verwendet CA EEM
eine
der folgenden beiden Quellen:
  • ein externes LDAP-Verzeichnis
  • die eigenen internen Tabellen in der MDB
CA EEM verfügt über eine LDAP-Schnittstelle, die genutzt wird, wenn es so konfiguriert ist, die MDB zu verwenden.
Die von CA EEM in der MDB verwendeten Tabellen unterscheiden sich von denjenigen, die von CA SDM verwendet werden.
Wenn Ihr Unternehmen einen Verzeichnisserver verwendet, z. B. Active Directory oder eTrust Directory, sollten Sie CA EEM so konfigurieren, dass dieses Verzeichnis für dessen Benutzerdatenbank verwendet wird. Durch diese Konfiguration kann jede beliebige Anwendung, die CA EEM verwendet, auf die Anwender in Ihrem Verzeichnis zugreifen. Da CA EEM die Zugangsverwaltung zentralisiert, wird es normalerweise auf einem einzelnen Server installiert.
CA SDM
CA SDM speichert Kontaktinformationen in MDB-Tabellen. Diese Tabellen haben keine Beziehung zu CA EEM. CA SDM verwendet CA EEM nicht für die Zugangs- oder Identitätsverwaltung. CA SDM verwaltet den eigenen Zugriff und die eigene Sicherheit mithilfe von Zugriffstypen und Datenpartitionen.
CA SDM verwendet CA EEM nur zur Authentifizierung. Wenn Sie CA EEM verwenden, um Anwender in CA SDM zu authentifizieren, installieren Sie CA EEM. Wenn Sie CA SDM in CA EEM integrieren, wird die CA SDM-Betriebssystemauthentifizierung durch die CA EEM-Authentifizierung ersetzt.
Um CA EEM in CA SDM zu integrieren, müssen Sie die Optionen
eiam_hostname
,
use_eiam_artifact
und
use_eiam_authentication
unter "Optionsmanager" > "Sicherheit" festlegen.
Zusammenfassung:
  • Die CA SDM-Benutzerdatenbank ist von der CA EEM-Datenbank getrennt.
  • CA SDM verwendet die MDB, um Kontaktinformationen zu speichern. CA SDM unterstützt auch eine LDAP-Integration, die es erlaubt, neue Kontakte von einem LDAP-Server zu erstellen und vorhandene Kontakte mit dem Verzeichnis zu synchronisieren.
  • CA EEM ist die Lösung von CA zur zentralisierten Benutzerverwaltung. Wenn Sie mehrere CA-Produkte installiert haben, verwenden eventuell alle von ihnen CA EEM , um Identitäten und Zugriffsrichtlinien zu speichern.
  • CA EEM kann so konfiguriert werden, dass es entweder auf ein externes (LDAP-) Verzeichnis verweist oder die MDB zum Speichern der Benutzerdatensätze verwendet. CA EEM selbst verfügt über eine LDAP-Schnittstelle, die genutzt wird, wenn es so konfiguriert ist, die MDB zu verwenden.
    Die von CA EEM in der MDB verwendeten Tabellen unterscheiden sich von denjenigen, die von CA SDM verwendet werden.
CA EEM als LDAP-Konfiguration
Wenn CA EEM so konfiguriert wird, dass die MDB anstatt ein externes Verzeichnis zum Speichern von Benutzerinformationen verwendet wird, stellt CA EEM das Benutzerverzeichnis über eine LDAP-Schnittstelle bereit. Wenn Ihr Standort keinen externen LDAP-Server verwendet, können Sie dennoch die Vorteile einer externen LDAP-Konfiguration nutzen, indem Sie CA SDM so konfigurieren, dass es CA EEM als LDAP-Quelle verwendet. Diese Konfiguration kann nützlich sein, wenn Ihr Standort keinen LDAP-Server verwendet, Sie aber die Benutzerverwaltung in CA EEM konsolidieren möchten. Andere CA-Produkte benutzen auch CA EEM, wodurch die Benutzerverwaltung sehr vereinfacht werden kann.
Diagramm, das CA EEM als LDAP-Konfiguration darstellt
Diagram depicting CA EEM as LDAP configuration
Diese Konfiguration ist nur anwendbar, wenn CA EEM für die Verwendung der MDB konfiguriert ist. Wenn CA EEM für einen externen LDAP-Server konfiguriert ist, konfigurieren Sie CA SDM so, dass es auf denselben LDAP-Server und
nicht
auf CA EEM verweist. Weitere Informationen finden Sie unter So integrieren Sie CA SDM mit LDAP.
Konfigurieren des CA EEM r8.4 SP4 CR05-Anwenderspeichers
Sie können CA EEM r8.4 SP4 CR05 so konfigurieren, dass Benutzerdatensätze in einem externen LDAP-Verzeichnis oder in den eigenen internen MDB-Tabellen gespeichert werden. Wenn ein externes LDAP-Verzeichnis von CA EEM verwendet wird, ist es eine schreibgeschützte Schnittstelle. Sie können keine Anwender über die CA EEM-Schnittstelle hinzufügen oder ändern.
Gehen Sie folgendermaßen vor:
  1. Klicken Sie auf "Start" > "Programme" > "CA" > "Embedded Entitlements Manager" > "EEM UI".
    Die CA EEM-Benutzeroberfläche wird angezeigt.
  2. Klicken Sie auf die Registerkarte "Konfigurieren".
  3. Klicken Sie auf die Unterregisterkarte "EEM-Server".
  4. Wählen Sie im linken Fenster die Verknüpfung für globale Anwender und Gruppen.
  5. Wählen Sie im rechten Fensterbereich eine der folgenden Optionen:
    • In internem Datenspeicher speichern
    • Referenz von einem externen Verzeichnis
    • Verweis von CA SiteMinder
      Wenn Sie die Option der Referenz von einem externen Verzeichnis auswählen, werden Sie aufgefordert, die LDAP-Server-Details anzugeben.
  6. Klicken Sie auf Speichern.
    Die Konfiguration des Benutzerspeichers in CA EEM ist abgeschlossen.
Konfigurieren des CA EEM r12 CR02-Benutzerspeichers
Sie können CA EEM r12 CR02 so konfigurieren, dass Benutzerdatensätze in einem externen LDAP-Verzeichnis oder in den eigenen internen MDB-Tabellen gespeichert werden. Wenn ein externes LDAP-Verzeichnis von CA EEM verwendet wird, ist es eine schreibgeschützte Schnittstelle. Sie können keine Anwender über die CA EEM-Schnittstelle hinzufügen oder ändern.
Gehen Sie folgendermaßen vor:
  1. Klicken Sie auf "Start" > "Programme" > "CA" > "Embedded Entitlements Manager" > "Admin UI".
    Die CA EEM-Benutzeroberfläche wird angezeigt.
  2. Klicken Sie auf die Registerkarte "Konfigurieren".
  3. Klicken Sie auf die untergeordnete Registerkarte "Benutzerspeicher".
  4. Klicken Sie auf dem linken Bereich auf die Verknüpfung "Benutzerspeicher".
  5. Wählen Sie im rechten Fensterbereich eine der folgenden Optionen:
    • In internem Datenspeicher speichern
    • Referenz von einem externen Verzeichnis
    • Verweis von CA SiteMinder
Wenn Sie die Option der Referenz von einem externen Verzeichnis auswählen, werden Sie aufgefordert, die LDAP-Server-Details anzugeben.
6. Klicken Sie auf "Speichern".
Die Konfiguration des Benutzerspeichers in CA EEM ist abgeschlossen.
Hinzufügen von Anwendern und Gruppen
Wenn CA EEM konfiguriert ist, um auf ein externes Verzeichnis zu verweisen, können Sie keine Anwender über die CA EEM-Anwenderoberfläche hinzufügen. CA EEM ist eine schreibgeschützte Schnittstelle zum LDAP-Server. Zur Aktualisierung der Anwenderdatensätze müssen Sie die Schnittstelle verwenden, die von Ihrem LDAP-Serverprodukt bereitgestellt wird.
Gehen Sie folgendermaßen vor:
  1. Klicken Sie auf "Start" > "Programme" > "CA" > "Embedded Entitlements Manager" > "Admin UI/EEM UI".
  2. Melden Sie sich mit dem Administrator-Benutzernamen und -Kennwort von CA EEM an. Diese werden während der Installation von CA EEM angegeben. CA EEM muss separat installiert werden und ist keine Konfigurationsoption für CA SDM.
  3. Klicken Sie auf die Registerkarte "Identitäten verwalten".
  4. Klicken Sie im linken Fensterbereich auf die Registerkarte "Anwender", um existierende Anwenderdatensätze zu suchen und zu aktualisieren.
    Um CA EEM-Gruppen zu verwalten, klicken Sie auf die Registerkarte "Gruppen".
  5. Klicken Sie auf das Symbol links neben dem Ordner "Anwender".
    Das Formular zum Erstellen eines Anwenderdatensatzes wird angezeigt.
  6. Füllen Sie die Felder aus, und klicken Sie auf "Speichern".
    Der neue CA EEM-Benutzerdatensatz wird in der MDB gespeichert.
Die Schritte, um einen existierenden Anwenderdatensatz zu bearbeiten und Gruppendatensätze zu verwalten, sind diesen Schritten ähnlich.
Sicherheitsempfehlungen
Wenn Sie CA SDM zum ersten Mal installieren, ist das System so eingerichtet, dass jeder Kontakt, für den kein expliziter Zugriffstyp in seinem Kontaktdatensatz definiert wurde, maximalen Zugriff erhält. Gehen Sie vor Verwendung der Anwendung wie folgt vor:
  1. Prüfen Sie die vordefinierten Zugriffstypen, um einen angemessenen Standardwert für Ihr System zu bestimmen.
    "Administrator" ist als der Standard-Zugriffstyp festgelegt, welches für die meisten Standorte keine optimale Wahl darstellt. Einige Sites gewähren den meisten Mitgliedern der IT-Organisation beispielsweise nur schreibgeschützten Zugriff. Wenn Sie als Standard-Zugriffstyp "CMDB-Anwender" einstellen, müssen Sie den Zugriffstyp von neuen Anwendern nicht ändern, wenn sie keine zusätzlichen Berechtigungen benötigen. Dementsprechend können Sie auch "CMDB-Analyst" als Standard-Zugriffstyp auswählen, wenn die meisten Anwender die Berechtigung zum Schreiben von Konfigurationsinformationen benötigen.
  2. Ordnen Sie den verbleibenden Kontakten die Zugriffstypen explizit zu.
    Wenn Sie zum Beispiel "CMDB-Anwender" als Standard-Zugriffstyp auswählen, ändern Sie die Kontaktdatensätze für Ihre Analystenkontakte, um ihnen einen Analysten-Zugriffstyp zuzuweisen.
CA EEM-Authentifizierung für CA Process Automation
CA SDM "und" CA Process Automation kommunizieren unter Verwendung eines Webservices-Austauschs über HTTP miteinander. Obwohl bei jedem Vorgang darauf geachtet wird, dass nur geringe Mengen an sensiblen Informationen zwischen den Produkten ausgetauscht werden, kann eine böswillig gesinnte Organisation Zugriff auf Benutzernamen, Kennwörter und geistiges Eigentum erlangen. Sie können Schritte unternehmen, um die Serverkommunikation zu sichern.
Beachten Sie für CA Process Automation-Authentifizierung die folgenden Empfehlungen:
  • Als Option können Sie CA Process Automation Verwendung von CA EEM als Authentifizierungsserver konfigurieren. CA Process Automation implementiert Standardgruppen und Richtlinien in CA EEM. Sie können die Standardgruppen und -richtlinien bearbeiten, um sie an die Anforderungen Ihrer Organisation anzupassen.
  • Durch das Verwenden von ist es nicht erforderlich, Nur-Text-Benutzernamen und CA EEM-Kennwörter zur Authentifizierung einzugeben. Wenn Sie die Mandantenfähigkeit verwenden, ist CA EEM für die Aktivierung der Mandantenfähigkeit innerhalb von CA Process Automation erforferlich.
    Um Authentifizierungssicherheit in dieser Integration zu erreichen, ist es nicht notwendig, für die Verwendung von CA SDM CA EEM zu konfigurieren. Allerdings ist für das Implementieren von CA Process Automation Mandantenfähigkeit CA EEM erforderlich.
  • Konfigurieren Sie CA Process Automation, mit der sicheren Kommunikation über HTTPS zu kommunizieren. HTTPS-URLs verwenden SSL/TLS, um Nur-Text-Kommunikation zu unterbinden und so geistiges Eigentum und sonstige sensible Daten vor einer zufälligen oder böswilligen Offenlegung zu schützen.