セキュリティのセットアップ

この記事には、以下のトピックが含まれています。
casm173
この記事には、以下のトピックが含まれています。
CA SDM の使用をユーザに許可する前に、必ずセキュリティをセットアップして以下の設定を行ってください。
  • ユーザにアクセスを許可するシステム
  • ユーザに割り当てるアクセス レベル
  • ログイン時のユーザの認証方法
CA EEM ユーザ ベースの設定
CA EEM は、ユーザ情報(ID)の中央リポジトリです。 CA EEM は、ほかのアプリケーションに対するユーザ認証とアクセスを定義します。 複数の 製品をインストールしている場合、一部の製品では CA EEM を使用して ID とアクセス ポリシーを保存できます。 CA SDM は、CA EEM を認証のためにのみ使用します。 CA EEM は CA SDM の構成オプションではないため、個別にインストールする必要があります。
ユーザ レコードの CA EEM リポジトリは、以下のソースの
どちらか
になります。
  • 外部 LDAP ディレクトリ
  • MDB 内の独自の内部テーブル
CA EEM では、MDB を使用するように設定した場合は LDAP インターフェース を使用できます。
CA EEM が使用する MDB テーブルは、CA SDM が使用するテーブルとは異なります。
組織が Active Directory や eTrust Directory などのディレクトリ サーバを使用する場合は、ユーザ ベースとしてそのディレクトリを使用するように CA EEM を設定することを検討してください。 この設定により、CA EEM を使用するほかのアプリケーションから、ディレクトリ内のユーザにアクセスできるようになります。 CA EEM はアクセス管理を一元化するので、通常は単一のサーバにインストールします。
CA SDM
CA SDM では、MDB テーブルに連絡先情報を保存します。 これらのテーブルは、CA EEM に関係していません。 CA SDM では、アクセスや ID の管理で CA EEM を使用しません。 CA SDM は、アクセス タイプおよびデータ パーティションを使用して、自身のアクセスおよびセキュリティを管理します。
CA SDM では、認証でのみ CA EEM 使用します。 CA SDM のユーザを認証に CA EEM を使用する場合は、CA EEM をインストールします。 CA SDM を CA EEM と統合すると、CA SDM オペレーティング システム認証が CA EEM 認証に置き換えられます。
CA EEM と CA SDM を統合するには、[オプション マネージャ]-[セキュリティ]で、
eiam_hostname
use_eiam_artifact
use_eiam_authentication
の各オプションを設定する必要があります。
まとめると、以下のようになります。
  • CA SDM のユーザ ベースは、CA EEM のユーザ ベースとは別のものです。
  • CA SDM は MDB を使用して連絡先情報を保存します。 また、CA SDM には LDAP 統合機能を備えています。これにより、LDAP サーバからの新しい連絡先の作成、および既存の連絡先とディレクトリを同期することができます。
  • CA EEM は、ユーザ管理の一元化を実現する CA のソリューションです。 複数の CA 製品をインストールしている場合、すべての製品で CA EEM を使用して ID およびアクセス ポリシーを管理できます。
  • CA EEM は、ユーザ情報の保存に、外部(LDAP)ディレクトリを指定するように設定することも、MDB を使用するように設定することもできます。 MDB を使用するように設定した場合のために、CA EEM には LDAP インターフェースが用意されています。
    MDB で CA EEM が使用するテーブルは、CA SDM が使用するテーブルとは異なります。
LDAP 設定としての CA EEM
CA EEM は、外部ディレクトリではなく MDB を使用してユーザ情報を保存するように設定すると、LDAP インターフェースを使用してユーザ ディレクトリを公開します。 サイトで外部 LDAP サーバを使用しない場合でも、CA EEM を LDAP ソースとして使用するように CA SDM の環境を設定すると、外部 LDAP の環境設定を利用できます。 この環境設定は、LDAP サーバを使用していないサイトにおいて CA EEM でユーザ管理を統合する場合に便利です。 他の CA 製品でも CA EEM が使用されているため、ユーザ管理を大幅に簡略化できます。
LDAP 設定としての CA EEM を示す図
Diagram depicting CA EEM as LDAP configuration
この設定は、MDB を使用するように CA EEM を設定している場合にのみ適用されます。 CA EEM が外部 LDAP サーバに設定されている場合は、CA SDM が指す先を CA EEM
ではなく
、同じ LDAP サーバに設定します。 詳細については、「CA SDM を LDAP と統合する方法」を参照してください。
CA EEM r8.4 SP4 CR05 ユーザ ストアの設定
CA EEM r8.4 SP4 CR05 は、外部の LDAP ディレクトリまたは内部の MDB テーブルにユーザ レコードを保存するように設定できます。 CA EEM は、外部 LDAP ディレクトリを使用する場合には、読み取り専用インターフェースとなります。CA EEM インターフェースを介してユーザを追加または変更することはできません。
以下の手順に従います。
  1. [スタート]-[プログラム]-[CA]-[Embedded Entitlements Manager]-[EEM UI]をクリックします。
    CA EEM ユーザ インターフェースが表示されます。
  2. [設定]タブをクリックします。
  3. [EEM サーバ]サブタブをクリックします。
  4. 左側のペインで、[グローバル ユーザ/グローバル グループ]リンクをクリックします。
  5. 右側のペインで、以下のオプションのいずれかを選択します。
    • 内部データ ストアに格納
    • 外部ディレクトリから参照
    • CA SiteMinder から参照
      [外部ディレクトリから参照]オプションを選択すると、LDAP サーバの詳細を入力するように求められます。
  6. [保存]をクリックします。
    CA EEM のユーザ ストアの環境設定を完了します。
CA EEM r12 CR02 ユーザ ストアの設定
CA EEM r12 CR02 は、外部の LDAP ディレクトリまたは内部の MDB テーブルにユーザ レコードを保存するように設定できます。 CA EEM は、外部 LDAP ディレクトリを使用する場合には、読み取り専用インターフェースとなります。CA EEM インターフェースを介してユーザを追加または変更することはできません。
以下の手順に従います。
  1. [スタート]-[プログラム]-[CA]-[Embedded Entitlements Manager]-[Admin UI]をクリックします。
    CA EEM ユーザ インターフェースが表示されます。
  2. [設定]タブをクリックします。
  3. [ユーザ ストア]サブタブをクリックします。
  4. 左側ペインで、ユーザ ストアのリンクをクリックします。
  5. 右側のペインで、以下のオプションのいずれかを選択します。
    • 内部のユーザ ストアに格納します。
    • 外部の LDAP ディレクトリから参照します。
    • CA SiteMinder から参照
[外部ディレクトリから参照]オプションを選択すると、LDAP サーバの詳細を入力するように求められます。
6. [保存]をクリックします。
CA EEM のユーザ ストアの環境設定を完了します。
ユーザとグループの追加
CA EEM が外部ディレクトリを参照するように設定されている場合、CA EEM のユーザ インターフェースを使用してユーザを追加することはできません。 CA EEM は LDAP サーバの読み取り専用インターフェースです。 ユーザ レコードを更新するには、特定の LDAP サーバ製品に付属のインターフェースを使用する必要があります。
以下の手順に従います。
  1. [スタート]-[プログラム]-[CA]-[Embedded Entitlements Manager]-[Admin UI/EEM UI]をクリックします。
  2. CA EEM 管理者のユーザ名およびパスワードを使用してログインします。 これらは、CA EEM のインストール中に指定します。 CA EEM は個別にインストールする必要があり、CA SDM の設定オプションではありません。
  3. [Manage Identities]タブをクリックします。
  4. 左側のペインで[ユーザ]タブをクリックし、既存のユーザ レコードの検索や更新を行います。
    CA EEM のグループを管理するには、[グループ]タブをクリックします。
  5. ユーザ フォルダの左にあるアイコンをクリックします。
    ユーザ レコードを作成するためのフォームが表示されます。
  6. フォームに入力し、[保存]をクリックします。
    新しい CA EEM ユーザ レコードは、MDB に保存されます。
既存のユーザ レコードを編集する手順やグループ レコードを保守する手順は、この手順に似ています。
セキュリティに関する考慮事項
CA SDM を初めてインストールする場合、システムは、連絡先レコードでアクセス タイプが明示的に定義されていない連絡先に対しても最大のアクセス権を付与するようにセットアップされます。 アプリケーションを使用する前に、以下の手順に従います。
  1. システムに対して適切な初期設定値を決めるために、定義済みのアクセス タイプを確認します。
    管理者は初期設定のアクセス タイプとして設定されていますが、ほとんどのサイトでこれは適切な値ではありません。 たとえば、サイトによっては、IT 組織のほとんどのメンバに対して、読み取り専用のアクセス権を割り当てる場合があります。 初期設定のアクセス タイプとして CMDB ユーザを設定すれば、追加的な権限が必要ない限り、新規ユーザにアクセス タイプを設定する必要がなくなります。 同様に、ほとんどのユーザに環境設定を編集する権限が必要な場合は、初期設定のアクセス タイプとして CMDB アナリストを設定します。
  2. 該当しない連絡先には明示的にアクセスタイプを割り当てます。
    たとえば、初期設定のアクセス タイプとして CMDB ユーザを設定している場合に、アナリストのアクセス タイプを割り当てるには、対象アナリストの連絡先レコードを変更します。
CA Process Automation での CA EEM 認証
CA SDM と CA Process Automation は、HTTP 上で Web サービス交換を使用して通信します。 製品間で必要最低限の機密情報を通過させるためにあらゆる手段が講じられますが、悪意のあるエンティティはユーザ名、パスワードおよび機密情報にアクセスする場合があります。 計画的な措置を講じることによって、サーバ通信を安全に保護することができます。
CA Process Automation 認証については、以下の推奨事項を検討します。
  • オプションとして、CA EEM を認証サーバとして使用するように CA Process Automation を設定できます。 CA Process Automation では、CA EEM 内にデフォルトのグループおよびポリシーが提供されます。 デフォルト グループとポリシーは、組織のニーズに合わせて変更できます。
  • CA EEM を使用すると、認証のためにプレーン テキスト ユーザ名およびパスワードを渡す必要がなくなります。 マルチテナンシーを使用している場合、CA Process Automation 内でマルチテナンシーを有効にするには、CA EEM が必要です。
    この統合で認証セキュリティを実現する際に、CA EEM を使用するように CA SDM を設定する必要はありません。 ただし、CA Process Automation のマルチテナンシーの実装には CA EEM が必要です。
  • CA Process Automation を、HTTPS 上の安全な通信を使用して通信を行うように設定します。 HTTPS URL は SSL/TLS を使用してプレーン テキスト交換を排除する一方で、偶発的または悪意のある漏えいから専有およびその他の機密データを保護します。