CA Identity Manager のロールとアクセス制御

CA Identity Manager との統合により、CA Identity Manager ロールを使用したポリシー ベースのアクセス制御の実装が可能になります。これらのロールは、外部アプリケーション内のユーザ権限の集中的管理を可能にします。
casso126jjp
CA Identity Manager との統合により、CA Identity Manager ロールを使用したポリシー ベースのアクセス制御の実装が可能になります。これらのロールは、外部アプリケーション内のユーザ権限の集中的管理を可能にします。
: 統合の設定に関しての詳細は、CA Identity Manager のマニュアルを参照してください。
統合の要件は次のとおりです。
  • ポリシー サーバのインストールでは、以下の場所に CA Identity Manager の統合に必要なデータ定義が含まれます。
    text
    siteminder_home
    \xps\dd
siteminder_home
は、ポリシー サーバのインストール パスです。
  • ファイル名は以下のとおりです。
    IdmSmObjects.xdd
    重要
    : CA Identity Manager の統合が完了するまで、このファイルをポリシー ストアにインポートしないでください。統合を完了しないうちにデータ定義をインポートした場合、ポリシー サーバは不確定状態になる可能性があります。CA Identity Manager 管理者との統合を調整します。
  • CA Identity Manager 管理者は、CA Identity Manager 内の環境およびロールを管理して、
    Single Sign-On
    で安全性を確保するアプリケーションへのユーザ アクセスを決定します。管理 UI は IDM 環境としてこれらの環境を参照します。
    環境およびロールの詳細については、CA Identity Manager のマニュアルを参照してください。
  • 管理者は、管理 UI を使用して、1 つ以上の IDM 環境をポリシー ドメインおよびユーザ ディレクトリに関連付けます。管理者は IDM 環境を作成または管理することができません。
  • 管理者は管理 UI を使用して、ポリシーを作成し、利用可能な 1 つ以上のロールを IDM 環境に関連付けます。管理者は CA Identity Manager ロールを作成または管理することができません。
    : エンタープライズ管理アプリケーションに CA Identity Manager ロールを適用することはできません。
Single Sign-On
は、保護されたアプリケーションで CA Identity Manager ユーザが持つ権限付与に関する詳細情報も提供します。以下の図が示すように、
Single Sign-On
管理者はポリシーでアクセス ルールとレスポンスを関連付けます。レスポンスには、
Single Sign-On
で自動的に生成されるユーザ属性を指定するレスポンス属性が含まれています。
Single Sign-On
によって生成されたユーザ属性情報は、CA Identity Manager からタスク情報を取得します。ポリシー サーバは HTTP ヘッダ変数または Cookie としてこの情報を Web エージェントへ渡します。保護されたアプリケーションでは、Web エージェントを通じてこのヘッダ変数またはクッキーを利用して、きめ細かなアクセス制御を行うことができます。
Identity Manager roles and entitlements