Configuration de la sécurité

Cet article contient les rubriques suivantes :
casm173
Cet article contient les rubriques suivantes :
Avant d'autoriser l'utilisation de CA SDM, il est important que vous définissiez la sécurité pour déterminer les éléments suivants :
  • Quels utilisateurs peuvent accéder au système ?
  • Quels niveaux d'accès les utilisateurs peuvent-ils avoir ?
  • Comment les utilisateurs sont-ils authentifiés lorsqu'ils se connectent ?
Configurations de base d'utilisateurs CA EEM
CA EEM est un référentiel d'informations d'utilisateurs (identités) centralisé. CA EEM définit l'authentification des utilisateurs et l'accès à d'autres applications. Si vous avez installé plusieurs produits CA Technologies, certains peuvent utiliser CA EEM pour stocker les identités et les politiques d'accès. CA SDM utilise CA EEM uniquement à des fins d'authentification. CA EEM n'est pas une option de configuration de CA SDM et doit être installé séparément.
Le référentiel CA EEM d'enregistrements d'utilisateur est l'
une
des sources suivantes :
  • Un répertoire LDAP externe
  • Ses propres tables dans la BDG
CA EEM comprend une interface LDAP à laquelle vous accédez lorsque la MDB est utilisée.
Les tables de MDB utilisées par CA EEM sont différentes de celles utilisées par CA SDM.
Si votre organisation utilise un serveur d'annuaire, tel qu'Active Directory ou eTrust Directory, configurez CA EEM de sorte à utiliser cet annuaire comme base d'utilisateurs. Dans cette configuration, les utilisateurs de votre annuaire sont accessibles par toute autre application utilisant CA EEM. CA EEM permet de centraliser la gestion de l'accès ; il est donc en règle générale installé sur un seul serveur.
CA SDM
CA SDM stocke les informations de contact dans les tables de la MDB. Ces tables n'ont aucune relation avec CA EEM. CA SDM n'utilise pas CA EEM pour la gestion des accès ou des identités. CA SDM gère son propre accès et sa propre sécurité au moyen de types d'accès et de partitions de données.
CA SDM utilise CA EEM uniquement à des fins d'authentification. Si vous souhaitez utiliser CA EEM pour authentifier les utilisateurs dans CA SDM, installez CA EEM. Si vous intégrez CA SDM et CA EEM, l'authentification de système d'exploitation de CA SDM est remplacée par l'authentification CA EEM.
Pour intégrer CA EEM et CA SDM, vous devez définir les options
eiam_hostname
,
use_eiam_artifact
et
use_eiam_authentication
sous Gestionnaire d'options, Sécurité.
Pour résumer :
  • La base d'utilisateurs CA SDM est différente de celle de CA EEM.
  • CA SDM utilise la MDB pour stocker des informations de contact. CA SDM offre également une intégration LDAP qui lui permet de créer de nouveaux contacts à partir d'un serveur LDAP et de synchroniser des contacts existants avec l'annuaire.
  • CA EEM est la solution CA pour la gestion centralisée des utilisateurs. Si vous avez installé plusieurs produits CA, il se peut qu'ils utilisent tous CA EEM pour stocker les identités et les politiques d'accès.
  • CA EEM peut être configuré pour renvoyer vers un annuaire externe (LDAP) ou pour utiliser la MDB afin de stocker les informations d'utilisateur. CA EEM comprend également une interface LDAP à laquelle vous accédez lorsque la MDB est utilisée.
    Les tables utilisées par CA EEM dans la MDB sont différentes de celles utilisées par CA SDM.
CA EEM en tant que configuration LDAP
Lorsque CA EEM est configuré pour utiliser une MDB au lieu d'un annuaire externe pour stocker les informations d'utilisateur, CA EEM affiche l'annuaire d'utilisateurs dans une interface LDAP. Si votre site n'utilise pas de serveur LDAP, vous pouvez tout de même tirer parti de la configuration d'un annuaire LDAP externe en configurant CA SDM de sorte à ce qu'il utilise CA EEM en tant que source LDAP. Cette configuration convient aux sites n'utilisant pas de serveur LDAP, mais souhaitant consolider la gestion des utilisateurs dans CA EEM. D'autres produits CA utilisent également CA EEM, ce qui peut véritablement simplifier la gestion des utilisateurs.
Diagramme illustrant la configuration de CA EEM en tant que LDAP
Diagram depicting CA EEM as LDAP configuration
Cette configuration est applicable uniquement lorsque CA EEM est configuré pour utiliser la MDB. Si CA EEM est configuré sur un serveur LDAP externe, configurez CA SDM pour pointer vers le même serveur LDAP, et
non
vers CA EEM. Pour plus d'informations, reportez-vous à l'article Procédure d'intégration de CA SDM à LDAP.
Configuration du référentiel d'utilisateurs de CA EEM r8.4 SP4 CR05
Vous pouvez configurer CA EEM r8.4 SP4 CR05 de manière à stocker des enregistrements d'utilisateur dans un annuaire LDAP externe ou dans ses propres tables de MDB internes. Lorsque CA EEM utilise un annuaire LDAP externe, il s'agit d'une interface en lecture seule ; vous ne pouvez pas ajouter d'utilisateurs ou les modifier via l'interface de CA EEM.
Procédez comme suit :
  1. Cliquez sur Démarrer, Programmes, CA, Embedded Entitlements Manager, IU EEM.
    L'interface utilisateur de CA EEM s'affiche.
  2. Cliquez sur l'onglet Configurer.
  3. Cliquez sur le sous-onglet Serveur EEM.
  4. Dans le volet de gauche, cliquez sur le lien Utilisateurs globaux / groupes globaux.
  5. Dans le volet de droite, sélectionnez l'une des options suivantes :
    • Stocker dans le référentiel de données interne
    • Référencer à partir d'un annuaire externe
    • Référencer à partir de CA SiteMinder
      Si vous sélectionnez l'option Référence à partir d'un annuaire externe, vous êtes invité à fournir les détails relatifs au serveur LDAP.
  6. Cliquez sur Enregistrer.
    La configuration du référentiel d'utilisateurs pour CA EEM est terminée.
Configuration du référentiel d'utilisateurs de CA EEM r12 CR02
Vous pouvez configurer CA EEM r12 CR02 de manière à stocker des enregistrements d'utilisateur dans un annuaire LDAP externe ou dans ses propres tables de MDB internes. Lorsque CA EEM utilise un annuaire LDAP externe, il s'agit d'une interface en lecture seule ; vous ne pouvez pas ajouter d'utilisateurs ou les modifier via l'interface de CA EEM.
Procédez comme suit :
  1. Cliquez sur Démarrer, Programmes, CA, Embedded Entitlements Manager, Admin UI.
    L'interface utilisateur de CA EEM s'affiche.
  2. Cliquez sur l'onglet Configurer.
  3. Cliquez sur le sous-onglet Référentiel d'utilisateurs.
  4. Dans le volet gauche, cliquez sur le lien du référentiel d'utilisateurs.
  5. Dans le volet de droite, sélectionnez l'une des options suivantes :
    • Stocker dans le référentiel d'utilisateurs interne
    • Référencer à partir d'un annuaire LDAP externe
    • Référencer à partir de CA SiteMinder
Si vous sélectionnez l'option Référence à partir d'un annuaire externe, vous êtes invité à fournir les détails relatifs au serveur LDAP.
6. Cliquez sur Enregistrer.
La configuration du référentiel d'utilisateurs pour CA EEM est terminée.
Ajout d'utilisateurs et de groupes
Si CA EEM est configuré pour référencer un annuaire externe, vous ne pouvez pas ajouter d'utilisateurs à l'aide de l'interface utilisateur CA EEM. CA EEM est une interface en lecture seule sur le serveur LDAP. Pour mettre à jour les enregistrements utilisateur, vous devez utiliser l'interface fournie avec votre serveur LDAP, quelle qu'elle soit.
Procédez comme suit :
  1. Cliquez sur Démarrer, Programmes, CA, Embedded Entitlements Manager, Admin UI/IU EEM.
  2. Connectez-vous à l'aide du nom d'administrateur CA EEM et du mot de passe correspondant. Ces informations sont spécifiées lors de l'installation de CA EEM. CA EEM doit être installé séparément et n'est pas une option de configuration pour CA SDM.
  3. Sélectionnez l'onglet Gérer des identités.
  4. Sur le volet de gauche, cliquez sur l'onglet Utilisateurs pour rechercher et mettre à jour les enregistrements d'utilisateur existants.
    Pour gérer les groupes CA EEM, cliquez sur l'onglet Groupes.
  5. Cliquez sur l'icône située sur la gauche du dossier Utilisateurs.
    Le formulaire de création d'un enregistrement utilisateur s'affiche.
  6. Remplissez les champs et cliquez sur Enregistrer.
    Le nouvel enregistrement d'utilisateur CA EEM est enregistré dans la MDB.
Les étapes de modification d'un enregistrement d'utilisateur existant et de conservation des enregistrements de groupe sont similaires à ces étapes.
Remarques relatives à la sécurité
Lors de la première installation de CA SDM, le système est configuré pour permettre un accès maximal à tous les contacts dont l'enregistrement ne définit aucun type d'accès explicite. Avant d'utiliser l'application, effectuez les opérations suivantes :
  1. Etudiez les types d'accès prédéfinis afin de déterminer un paramétrage raisonnable par défaut pour le système.
    Le type d'accès par défaut, administrateur, ne convient pas à la plupart des sites. Par exemple, certains sites accordent un accès CA en lecture seule à la plupart des membres de l'organisation informatique. Si vous définissez Utilisateur de CMDB comme type d'accès par défaut, vous n'avez pas besoin de définir le type d'accès des nouveaux utilisateurs, sauf s'ils ont besoin de droits supplémentaires. De même, si la plupart des utilisateurs ont besoin du droit d'écriture pour des informations de configuration, vous pouvez sélectionner Analyste de CMDB comme type d'accès par défaut.
  2. Affectez les types d'accès des contacts restants de manière explicite.
    Si vous avez choisi par exemple Utilisateur de CMDB comme type d'accès par défaut, modifiez les enregistrements de contact de votre analyste pour lui affecter le type d'accès Analyste.
Authentification CA EEM pour CA Process Automation
CA SDM et CA Process Automation communiquent à l'aide d'un échange de services Web via le protocole HTTP. Même si toutes les mesures sont prises pour transmettre une quantité minimale d'informations sensibles entre les produits, une entité malveillante peut accéder aux noms d'utilisateur, aux mots de passe et à des informations confidentielles. Vous pouvez prendre des mesures délibérées afin de sécuriser la communication du serveur.
Pour l'authentification de CA Process Automation, tenez compte des recommandations suivantes :
  • En tant qu'option, vous pouvez configurer CA Process Automation pour utiliser CA EEM comme serveur d'authentification. CA Process Automation implémente des groupes et des politiques par défaut dans CA EEM. Vous pouvez modifier les groupes et les stratégies par défaut pour répondre aux besoins de votre organisation.
  • Lorsque vous utilisez CA EEM, il n'est plus nécessaire de transférer des noms d'utilisateur et des mots de passe en texte clair à des fins d'authentification. Si vous utilisez l'hébergement multiclient, CA EEM est requis pour l'activer dans CA Process Automation.
    Pour obtenir une sécurité d'authentification dans cette intégration, il n'est pas nécessaire de configurer CA SDM pour utiliser CA EEM. Toutefois, CA EEM est requis pour l'implémentation de l'hébergement multiclient de CA Process Automation.
  • Configurez CA Process Automation pour communiquer à l'aide des communications sécurisées via HTTPS. Les URL HTTPS utilisent SSL/TLS pour éliminer les échanges de texte clair tout en protégeant les données confidentielles et les autres données sensibles d'une diffusion accidentelle ou malveillante.