Impostazione della sicurezza

Questo articolo contiene i seguenti argomenti:
casm173
Questo articolo contiene i seguenti argomenti:
Prima di consentire l'utilizzo di CA SDM, è fondamentale configurare la protezione per determinare quanto segue:
  • Gli utenti che hanno accesso al sistema
  • Il livello di accesso per ciascun utente
  • Le modalità di autenticazione degli utenti all'accesso
Configurazioni della base utenti di CA EEM
CA EEM è un repository centrale delle informazioni utente (identità). CA EEM definisce l'autenticazione utente e l'accesso ad altre applicazioni. Se sul sistema in uso sono installati più prodotti CA Technologies, alcuni di essi potrebbero utilizzare CA EEM per memorizzare le identità e le policy di accesso. CA SDM utilizza CA EEM solo per l'autenticazione. CA EEM non è un'opzione di configurazione di CA SDM e deve essere installato separatamente.
Il repository di CA EEM dei record utente è
una
delle origini seguenti:
  • Una directory LDAP esterna.
  • Le tabelle interne di MDB.
CA EEM ha un'interfaccia LDAP da utilizzare quando è configurato per l'utilizzo dell'MDB.
Le tabelle MDB utilizzate da CA EEM sono diverse da quelle utilizzate da CA SDM.
Se l'organizzazione utilizza un server directory, come ad esempio Active Directory o eTrust Directory, occorre valutare l'eventualità di configurare CA EEM in modo tale che ne utilizzi la directory per la sua base utenti. Impostando questa configurazione gli utenti della directory sono raggiungibili da qualsiasi altra applicazione che utilizzi CA EEM. Poiché CA EEM centralizza la gestione degli accessi, solitamente viene installato su un solo server.
CA SDM
CA SDM memorizza le informazioni sul contatto in tabelle MDB. Queste tabelle non hanno alcuna relazione con CA EEM. CA SDM non utilizza CA EEM per la gestione degli accessi o delle identità. CA SDM gestisce i propri accessi e la protezione attraverso i tipi di accesso e le partizioni dati.
CA SDM utilizza CA EEM solo per l'autenticazione. Se si desidera utilizzare CA EEM per autenticare gli utenti in CA SDM, è necessario installare CA EEM. Se si integra CA SDM con CA EEM, l'autenticazione del sistema operativo di CA SDM viene sostituita dall'autenticazione CA EEM.
Per integrare CA EEM e CA SDM, è necessario impostare le opzioni
eiam_hostname
,
use_eiam_artifact
e u
se_eiam_authentication
in Gestione opzioni, Protezione.
In sintesi:
  • La base utenti di CA SDM base è distinta da quella di CA EEM.
  • CA SDM utilizza l'MDB per memorizzare le informazioni sul contatto. CA SDM rappresenta anche un'integrazione di LDAP per la creazione di nuovi contatti da un server LDAP e per la sincronizzazione dei contatti esistenti con la directory.
  • CA EEM è la soluzione di CA per la gestione centralizzata degli utenti. Se sul sistema in uso sono installati più prodotti CA, è possibile che tutti utilizzino CA EEM per memorizzare le identità e le policy di accesso.
  • CA EEM può essere configurato per puntare a una directory esterna (LDAP) oppure utilizzare MDB per memorizzare le informazioni dell'utente. CA EEM stesso presenta un'interfaccia LDAP da utilizzare quando è configurato per l'uso di MDB.
    Le tabelle utilizzate da CA EEM in MDB sono diverse da quelle utilizzate da CA SDM.
CA EEM come configurazione LDAP
Quando CA EEM è configurato per utilizzare MDB anziché una directory esterna per memorizzare le informazioni utente, CA EEM espone la directory utente tramite un'interfaccia LDAP. Se il sito non utilizza un server LDAP esterno, è possibile sfruttare i vantaggi della configurazione LDAP esterna configurando CA SDM per l'utilizzo di CA EEM come origine LDAP. Questa configurazione può essere utile se il sito non utilizza un server LDAP, ma si desidera comunque consolidare la gestione degli utenti in CA EEM. Anche altri prodotti CA utilizzano CA EEM, che può notevolmente semplificare la gestione degli utenti.
Diagramma raffigurante CA EEM come configurazione LDAP
Diagram depicting CA EEM as LDAP configuration
Questa configurazione è applicabile solo se CA EEM è configurato per l'utilizzo del MDB. Se CA EEM è configurato su un server LDAP esterno, configurare CA SDM in modo da puntare allo stesso server LDAP,
non
CA EEM. Per ulteriori informazioni, consultare la sezione Integrazione di CA SDM con LDAP.
Configurazione dell'archivio utenti CA EEM r8.4 SP4 CR05
È possibile configurare CA EEM r8.4 SP4 CR05 per l'archiviazione dei record utenti in una directory LDAP esterna o nelle relative tabelle MDB interne. Quando CA EEM utilizza una directory LDAP esterna, è un'interfaccia di sola lettura. Non è possibile aggiungere o modificare gli utenti tramite l'interfaccia di CA EEM.
Attenersi alla seguente procedura:
  1. Fare clic su Start, Programmi, CA, Embedded Entitlements Manager, EEM UI.
    Viene visualizzata l'interfaccia utente di CA EEM.
  2. Fare clic sulla scheda Configura.
  3. Fare clic sulla sottoscheda Server EEM.
  4. Nel riquadro di sinistra selezionare il collegamento Utenti globali/Gruppi globali.
  5. Nel riquadro di destra selezionare una delle seguenti opzioni:
    • Memorizzare nell'archivio dati interno
    • Riferimento da una directory esterna
    • Riferimento da CA SiteMinder
      Se si seleziona l'opzione Riferimento da una directory esterna, sarà necessario specificare i dettagli del server LDAP.
  6. Fare clic su Salva.
    La configurazione dell'archivio utenti di CA EEM è completa.
Configurazione dell'archivio utenti CA EEM r12 CR02
È possibile configurare CA EEM r12 CR02 per memorizzare i record utenti in una directory LDAP esterna o nelle relative tabelle MDB interne. Quando CA EEM utilizza una directory LDAP esterna, è un'interfaccia di sola lettura. Non è possibile aggiungere o modificare gli utenti tramite l'interfaccia di CA EEM.
Attenersi alla seguente procedura:
  1. Fare clic su Start, Programmi, CA, Embedded Entitlements Manager, Admin UI.
    Viene visualizzata l'interfaccia utente di CA EEM.
  2. Fare clic sulla scheda Configura.
  3. Fare clic sulla sottoscheda Archivio utenti.
  4. Nel riquadro di sinistra, fare clic sul collegamento User Store (Archivio utenti).
  5. Nel riquadro di destra selezionare una delle seguenti opzioni:
    • Memorizzare nell'archivio utenti interno
    • Riferimento da una directory LDAP esterna.
    • Riferimento da CA SiteMinder
Se si seleziona l'opzione Riferimento da una directory esterna, sarà necessario specificare i dettagli del server LDAP.
6. Fare clic su Salva.
La configurazione dell'archivio utenti di CA EEM è completa.
Aggiunta di utenti e gruppi
Se CA EEM è configurato per fare riferimento a una directory esterna, è possibile aggiungere utenti utilizzando l'interfaccia utente di CA EEM. CA EEM è un'interfaccia di sola lettura per il server LDAP. Per aggiornare i record utente è necessario utilizzare qualsiasi interfaccia fornita con il proprio prodotto LDAP.
Attenersi alla seguente procedura:
  1. Fare clic su Start, Programmi, CA, Embedded Entitlements Manager, Admin UI/EEM UI.
  2. Accedere utilizzando il nome utente e la password dell'amministratore CA EEM. Questi sono stati specificati durante l'installazione di CA EEM. CA EEM deve essere installato separatamente e non è un'opzione di configurazione per CA SDM.
  3. Fare clic sulla scheda Gestisci identità.
  4. Nel riquadro di sinistra fare clic sulla scheda Utente per cercare e aggiornare i record utente esistenti.
    Per gestire i gruppi di CA EEM, fare clic sulla scheda Gruppi.
  5. Fare clic sull'icona a sinistra della cartella Utenti.
    Viene visualizzato il modulo per creare un record utente.
  6. Completare il modulo e fare clic su Salva.
    Il nuovo record utente di CA EEM viene salvato in MDB.
La procedura necessaria per modificare un record utente esistente e gestire i record di gruppi è simile a quella qui illustrata.
Considerazioni sulla protezione
La prima volta che si installa CA SDM, il sistema è configurato per consentire il massimo accesso ai contatti per i quali non è stato definito un tipo di accesso esplicito nel record di contatto. Prima di utilizzare l'applicazione è opportuno eseguire le seguenti operazioni:
  1. Esaminare i tipi di accesso predefiniti per stabilirne uno che sia ragionevole per il sistema in uso.
    L'accesso predefinito è di tipo amministratore, che tuttavia non rappresenta una buona scelta per la maggior parte dei siti. Ad esempio, alcuni siti offrono accesso CA di sola lettura alla maggior parte dei membri dell'organizzazione IT. Se si imposta Utente CMDB come tipo di accesso predefinito, non è necessario impostare il tipo di accesso dei nuovi utenti, a meno che questi non necessitino di ulteriori privilegi. Analogamente, se la maggior parte degli utenti richiede il privilegio di scrivere informazioni di configurazione, è possibile scegliere Analista CMDB come tipo di accesso predefinito.
  2. Assegnare i tipi di accesso ai rimanenti contatti esplicitamente.
    Se ad esempio è stato scelto Utente CMDB come tipo di accesso predefinito, è necessario modificare i record contatto per i contatti dell'analista, in modo da poter assegnare l'accesso di tipo analista.
Autenticazione di CA EEM per CA Process Automation
CA SDM e CA Process Automation comunicano tramite scambio di servizi Web su HTTP. Sebbene vengano intraprese tutte le misure possibili per trasferire il minor numero possibile di informazioni sensibili tra i prodotti, un'entità dannosa potrebbe accedere a nomi utente, password e informazioni riservate. È possibile attuare procedure apposite per proteggere la comunicazione tra server.
Per l'autenticazione di CA Process Automation, considerare le seguenti raccomandazioni:
  • Come opzione, è possibile configurare CA Process Automation per l'utilizzo di CA EEM come server di autenticazione. CA Process Automation implementa gruppi e criteri predefiniti all'interno di CA EEM. È possibile modificare gruppi e policy predefiniti per soddisfare le specifiche esigenze dell'organizzazione.
  • L'utilizzo di CA EEM elimina la necessità di passare nomi utente e password in formato di testo normale a scopo di autenticazione. Se si utilizza multi-tenancy, CA EEM è necessario per l'abilitazione di multi-tenancy all'interno di CA Process Automation.
    La sicurezza dell'autenticazione in questa integrazione non richiede la configurazione di CA SDM per l'utilizzo di CA EEM. Tuttavia, CA EEM è richiesto per l'implementazione multi-tenancy di CA Process Automation.
  • Configurare CA Process Automation in modo che comunichi utilizzando la comunicazione sicura tramite HTTPS. Gli URL HTTPS utilizzano SSL/TLS per eliminare scambi in testo normale e contemporaneamente proteggere dati riservati e altri dati sensibili dall'accesso accidentale e doloso.