LDAP リポジトリでの組織の作成

CA Risk Authentication 管理ガイド › 組織の管理 › 組織の作成とアクティブ化 › LDAP リポジトリでの組織の作成

LDAP リポジトリでの組織の作成

LDAP ユーザディレクトリをサポートするには、LDAP リポジトリに組織を作成してから、CA Risk Authentication データベースの属性を LDAP の属性にマップする必要があります。以下の手順を実行します。

組織の作成に必要な権限とスコープでログインしていることを確認します。
［組織］タブをアクティブにします。
［組織の管理］セクションで［組織の作成］リンクをクリックして［組織の作成］ページを表示します。
以下の表の説明に従って組織の詳細を入力します。

フィールド	Description

組織情報
［Organization Name］	作成する組織に対する一意の ID を入力します。注： CA Advanced Authentication を使用してこの組織にログインするには、組織の表示名ではなく、この値を指定します。
表示名	組織のわかりやすい一意の名前を入力します。注：この名前はほかのすべての CA Advanced Authentication ページやレポートに表示されます。
Description	この組織を管理する管理者に関する説明を入力します。注：このフィールドを使用して、後で参照できるように組織の追加の詳細を入力できます。
管理者認証メカニズム	この組織に属する管理者を認証するために使用されるメカニズムを選択します。 CA Advanced Authentication では、以下の 2 種類の認証メカニズムがサポートされています。基本ユーザパスワードこれは、CA Advanced Authentication によって提供される組み込みの認証メカニズムです。このオプションを選択した場合、管理者は自分の ID とプレーンテキストパスワードを指定してコンソールにログインできます。 LDAP ユーザパスワードこのメカニズムは LDAP 組織にのみ適用されます。認証ポリシーは LDAP ディレクトリサービスで定義されています。このオプションを選択した場合、管理者は LDAP に格納されている認証情報を使用して管理コンソールにログインする必要があります。 AuthMinder ユーザパスワードこれは、CA Strong Authentication のユーザ名-パスワード認証方式です。このオプションを選択した場合、管理者の認証情報は CA Strong Authentication サーバによって発行され、認証されます。このメカニズムを使用するには、CA Strong Authentication がインストールされ、設定されている必要があります。 CA Strong Authentication の展開の詳細については、「CA CA Strong Authentication インストールおよび展開ガイド」を参照してください。
キーラベル設定
グローバルキーの使用	デフォルトでは、このオプションが選択されています。ブートストラッププロセスで指定したグローバルキーラベルを無効にして、新たに組織固有のデータの暗号化用のラベルを指定する場合は、このオプションを選択解除します。
キーラベル	［グローバルキーの使用］オプションを選択解除した場合は、組織に対して使用する新しいキーラベルを指定します。
暗号化ストレージタイプ	このオプションは、暗号化キーがデータベース（ソフトウェア）に格納されるか HSM （ハードウェア）に格納されるかを示します。
ローカライズ設定
グローバル設定の使用	グローバルレベルで設定されたローカライゼーションパラメータを使用するには、このオプションを選択します。
日付/時刻形式	［グローバル設定の使用］オプションを選択解除した場合は、この組織に対して使用する日付/時刻形式を指定します。
優先ロケール	［グローバル設定の使用］オプションを選択解除した場合は、この組織の優先ロケールを選択します。
ユーザデータの場所
リポジトリタイプ	［エンタープライズ LDAP］を選択します。このオプションを指定すると、新しい組織のユーザの詳細が次のページで指定する LDAP リポジトリに保存されます。
カスタム属性
Name	カスタム属性の名前です。
値	カスタム属性の値です。

［Next］をクリックします。
LDAP リポジトリの詳細を収集するための［組織の作成］ページが表示されます。
以下の表に従って、LDAP リポジトリに接続するための詳細を入力します。

フィールド	Description
ホスト名	LDAP リポジトリを使用できるシステムのホスト名を入力します。
Port Number	LDAP リポジトリサービスがリスニングしているポート番号を入力します。
スキーマ名	LDAP リポジトリで使用される LDAP スキーマを指定します。このスキーマには、LDAP リポジトリに含めることができるオブジェクトのタイプと、各オブジェクトタイプの必須属性および任意属性が指定されます。通常、Active Directory のスキーマ名は user であり、SunOne Directory および CA Directory Server のスキーマ名は inetorgperson です。
ベース識別名	LDAP リポジトリのベース識別名を入力します。この値は、LDAP リポジトリ内を検索する際の LDAP 階層の開始ノードを示します。たとえば、cn=rob laurie, ou=sunnyvale, o=arcot, c=us という DN を持つユーザを検索するには、ベース DN を以下のように指定する必要があります。 ou=sunnyvale, o=arcot, c=us 注：通常、このフィールドでは大文字と小文字が区別され、このフィールドに指定されたベース DN のサブノードがすべて検索されます。
リダイレクトスキーマ名	「member」属性を定義するスキーマの名前を指定します。組織に対して定義されたベース DN を使用して、LDAP リポジトリでユーザを検索できます。ただし、この検索では、特定の OU （組織単位）に属するユーザしか返されません。 LDAP 管理者は、グループ全体へのアクセスを制御するために、さまざまな組織単位に属するユーザのグループを作成し、さまざまなグループからユーザを検索したいと思われます。管理者がグループを作成すると、ユーザノード DN はグループノードの「member」属性に格納されます。デフォルトでは、UDS では属性値に基づいた検索や DN の解決が許可されていません。リダイレクトを使用すると、特定のノードに対する特定の属性値に基づいて、LDAP 内のさまざまなグループに属するユーザを検索できます。通常、リダイレクトスキーマ名は以下のとおりです。 Active Directory： group SunOne Directory： groupofuniquenames CA Directory Server： groupOfUniqueNames
接続タイプ	CA Advanced Authentication と LDAP リポジトリの間で使用する接続のタイプを選択します。サポートされているタイプは以下のとおりです。 TCP 一方向 SSL 双方向 SSL
ログイン名	リポジトリサーバにログインし、ベース識別名を管理する権限を持つ LDAP リポジトリユーザの完全識別名を入力します。例を以下に示します。 uid=gt,dc=arcot,dc=com
ログインパスワード	［ログイン名］で指定したユーザのパスワードを入力します。
サーバトラステッドルート証明書	［一方向 SSL］または［双方向 SSL］オプションが選択されている場合は、参照ボタンを使用して LDAP サーバに SSL 証明書を発行した信頼済みルート証明書のパスを入力します。
クライアントキーストア	［双方向 SSL］オプションが選択されている場合は、参照ボタンを使用してクライアント証明書と対応するキーを含むキーストアのパスを入力します。注： PKCS#12 または JKS のいずれかのキーストアタイプをアップロードする必要があります。
クライアントキーストアパスワード	［双方向 SSL］オプションが選択されている場合は、クライアントキーストアのパスワードを入力します。

［次へ］をクリックして続行します。
リポジトリの属性をマップするページが表示されます。
このページで、以下を実行します。
1. ［Arcot データベース属性］リストから属性を選択し、CA Risk Authentication データベースの属性とマップする必要がある適切な属性を［エンタープライズ LDAP 属性］リストから選択して［マップ］ボタンをクリックします。
  重要： UserName 属性は必ずマップする必要があります。一意にユーザを識別する LDAP 属性に UserName 属性をマップします。 Active Directory を使用している場合は、UserName を sAMAccountName にマップします。 SunOne Directory Server を使用している場合は、UserName を uid にマップします。 CA Directory Server を使用している場合は、UserName を cn にマップします。
  
  Active DIrectory の場合は、STATUS を userAccountControl にマップする必要があります。
2. 必要なすべての属性のマップが完了するまで、属性をマップする作業を繰り返します。
  注：［Arcot データベース属性］リスト内の属性をすべてマップする必要はありません。マップする必要があるのは、使用する属性のみです。
  
  マップされた属性は［Mapped Attributes］リストに移動されます。
  
  必要な場合は、属性のマッピングを解消できます。一度に 1 つの属性のマッピングを解消する場合は、属性を選択して［Unmap］ボタンをクリックします。ただし、［Mapped Attribute］リストをクリアする場合は、［Reset］ボタンをクリックすると、マップされたすべての属性のマッピングが解消されます。組織をアクティブにした後、UserName 属性のマッピングを解消することはできません。
3. 前のページで［リダイレクトスキーマ名］を指定した場合は、［リダイレクト検索属性］リストから検索属性を選択する必要があります。
  通常、属性は以下のとおりです。
  - Active Directory： member
  - SunOne Directory： uniquemember
  - CA Directory Server： uniqueMember
［次へ］をクリックして続行します。
［暗号化する属性の選択］ページが表示されます。
［暗号化する属性の選択］セクションで、以下のいずれかを実行します。
1. グローバル設定を属性の暗号化セットの設定に使用する場合は、［グローバル設定の使用］を選択します。
  または
2. 暗号化する属性を［暗号化用に利用可能な属性］リストから選択し、それを［暗号化用に選択した属性］に移動します。
  ［>］または［<］ボタンをクリックして、選択した属性を目的のリストに移動します。［>>］または［<<］ボタンをクリックして、すべての属性を目的のリストに移動することもできます。
［次へ］をクリックします。
［管理者の追加］ページが表示されます。

注：システムに現在存在するすべての管理者がすべての組織を管理するためのスコープを持っている場合、このページは表示されません。
［利用可能な管理者］リストから組織を管理する管理者を選択し、> ボタンをクリックして管理者を［管理している管理者］リストに追加します。
注：管理者への組織の割り当ては、既存の管理者のスコープを更新するか、または組織を管理する新しい管理者を作成することによっていつでも実行できます。

［利用可能な管理者］リストには、新しい組織を管理できるすべての管理者が表示されます。

注：一部の管理者がシステム内のすべての組織を管理するためのスコープを持っている場合、このリストにはそれらの管理者に対応するエントリは表示されません。

［管理している管理者］リストには、この組織を管理するために選択した管理者が表示されます。
［次へ］をクリックして続行します。
［アカウントタイプの設定］ページが表示されます。

注：アカウントタイプを作成していない場合、このページは表示されません。
［アカウントタイプの割り当て］セクションで、［利用可能］リストからアカウントタイプを選択し、［>］ボタンをクリックしてそれらを［選択済み］リストに移動させます。
［次へ］をクリックして、先に進みます。
［アカウントカスタム属性の設定］ページが表示されます。

注：前のページでアカウントタイプを選択しなかった場合、このページは表示されません。
［アカウントタイプ］の［カスタム属性］を指定し、［次へ］をクリックします。
［組織のアクティブ化］ページが表示されます。

注：組織がアクティブになると、UserName マッピングを変更したり、更新したりできなくなります。
［有効化］ボタンをクリックして新しい組織をアクティブにします。
警告メッセージが表示されます。
［OK］をクリックして処理を完了します。
展開された CA Risk Authentication サーバインスタンスをすべてリフレッシュします。
この方法の詳細については、「キャッシュのリフレッシュ」を参照してください。

注意： 組織を作成する際に、属性の暗号化セット、アカウントタイプ、および電子メールと電話のタイプを設定している場合は、システム設定と組織のキャッシュの両方をリフレッシュします。組織レベルのキャッシュをリフレッシュしないと、システムは回復不可能な状態になります。