属性级别的加密

您可以通过在目录配置文件 (directory.xml) 中指定属性的 AttributeLevelEncypt 数据分类来加密用户存储中的属性。在启用了属性级别的加密时，CA Identity Manager 会在将属性的值存储在用户存储中之前将其加密。该属性在用户控制台中以明文显示。

注意：为了防止属性在屏幕中以明文显示，您还可以为加密的属性添加敏感数据分类元素。有关详细信息，请参阅“如何添加属性级别的加密”。

如果启用了 FIPS 140-2 支持，则会使用 RC2 加密或 FIPS 140-2 加密来加密该属性。

在实施属性级别的加密之前，请注意下列几点：

CA Identity Manager 不能在搜索中找到加密的属性。
假设将加密的属性添加到成员、管理员、所有者策略或身份策略。由于 CA Identity Manager 无法搜索属性，所以不能正确地解析该策略。

考虑在 directory.xml 文件中将属性设置为 searchable="false"，例如：

<ImsManagedObjectAttr physicalname="title" description="Title" displayname="Title" valuetype="String" maxlength="0" searchable="false">

<DataClassification name="AttributeLevelEncrypt"/>

</ImsManagedObjectAttr>
如果 CA Identity Manager 使用共享用户存储和配给目录，请不要加密配给服务器属性。
不要在满足以下条件的环境中为用户密码启用 AttributeLevelEncrypt：
- 包含了 CA SiteMinder 集成，
- 并且在关系数据库中存储用户
如果 CA Identity Manager 与 CA SiteMinder 集成，则在新的用户尝试进行登录并以明文输入密码时，加密的密码会引起问题。
如果您为 CA Identity Manager 之外的其他应用程序使用的用户存储启用了属性级别的加密，则其他应用程序将无法使用加密的属性。