CA Identity Manager のロールとアクセス制御
CA Identity Manager との統合により、CA Identity Manager ロールを使用したポリシー ベースのアクセス制御の実装が可能になります。これらのロールは、外部アプリケーション内のユーザ権限の集中的管理を可能にします。
casso127jpjp
CA Identity Manager との統合により、CA Identity Manager ロールを使用したポリシー ベースのアクセス制御の実装が可能になります。これらのロールは、外部アプリケーション内のユーザ権限の集中的管理を可能にします。
注
: 統合の設定に関しての詳細は、CA Identity Manager のマニュアルを参照してください。統合の要件は次のとおりです。
- ポリシー サーバのインストールでは、以下の場所に CA Identity Manager の統合に必要なデータ定義が含まれます。textsiteminder_home\xps\dd
siteminder_home
- ファイル名は以下のとおりです。IdmSmObjects.xdd重要: CA Identity Manager の統合が完了するまで、このファイルをポリシー ストアにインポートしないでください。統合を完了しないうちにデータ定義をインポートした場合、ポリシー サーバは不確定状態になる可能性があります。CA Identity Manager 管理者との統合を調整します。
- CA Identity Manager 管理者は、CA Identity Manager 内の環境およびロールを管理して、Single Sign-Onで安全性を確保するアプリケーションへのユーザ アクセスを決定します。管理 UI は IDM 環境としてこれらの環境を参照します。環境およびロールの詳細については、CA Identity Manager のマニュアルを参照してください。
- 管理者は、管理 UI を使用して、1 つ以上の IDM 環境をポリシー ドメインおよびユーザ ディレクトリに関連付けます。管理者は IDM 環境を作成または管理することができません。
- 管理者は管理 UI を使用して、ポリシーを作成し、利用可能な 1 つ以上のロールを IDM 環境に関連付けます。管理者は CA Identity Manager ロールを作成または管理することができません。注: エンタープライズ管理アプリケーションに CA Identity Manager ロールを適用することはできません。
Single Sign-On
は、保護されたアプリケーションで CA Identity Manager ユーザが持つ権限付与に関する詳細情報も提供します。以下の図が示すように、Single Sign-On
管理者はポリシーでアクセス ルールとレスポンスを関連付けます。レスポンスには、Single Sign-On
で自動的に生成されるユーザ属性を指定するレスポンス属性が含まれています。Single Sign-On
によって生成されたユーザ属性情報は、CA Identity Manager からタスク情報を取得します。ポリシー サーバは HTTP ヘッダ変数または Cookie としてこの情報を Web エージェントへ渡します。保護されたアプリケーションでは、Web エージェントを通じてこのヘッダ変数またはクッキーを利用して、きめ細かなアクセス制御を行うことができます。