Integración de CA SiteMinder › Cómo se protegen los recursos

Cómo se protegen los recursos

La autenticación avanzada requiere que se utilice un servidor de políticas de SiteMinder en la implementación. El servidor de aplicaciones que hospeda el servidor de CA Identity Manager está en un entorno operativo diferente del servidor web. Para proporcionar servicios de reenvío, el servidor web requiere:

• Un complemento proporcionado por el distribuidor del servidor de aplicaciones.
• Un agente de SiteMinder para proteger los recursos de CA Identity Manager, como la Consola de usuario, el autorregistro y la función Contraseña olvidada.

El agente web controla el acceso de usuarios que soliciten recursos de CA Identity Manager. Cuando se autentica y autoriza a los usuarios, el agente web permite al servidor Web procesar las solicitudes.

Cuando el servidor web recibe la solicitud, el complemento del servidor de aplicaciones lo reenvía al servidor de aplicaciones que hospeda al servidor de CA Identity Manager.

El agente web protege los recursos de CA Identity Manager que se exponen a los usuarios y administradores.

Descripción general de la integración de SiteMinder y CA Identity Manager

Cuando el administrador de políticas y el administrador de identidades funcionan juntos para integrar SiteMinder en una instalación de CA Identity Manager existente, la arquitectura de CA Identity Manager se expande para incluir los siguientes componentes:

Agente web de SiteMinder

Protege el servidor de CA Identity Manager. El agente Web se instala en el sistema con el servidor de CA Identity Manager.

Servidor de políticas de SiteMinder

Proporciona autenticación avanzada y autorización para CA Identity Manager.

La siguiente ilustración es un ejemplo de una instalación de CA Identity Manager con un servidor de políticas de SiteMinder y agente Web:

Nota: Los componentes están instalados en plataformas diferentes como ejemplo. Sin embargo, se pueden elegir otras plataformas. Las bases de datos de CA Identity Manager están en Microsoft SQL Server y el almacén de usuarios está en el servidor de directorios de IBM. El almacén de políticas de SiteMinder está en AD LDS en Windows.

Para completar este proceso se requieren dos roles: de administrador de identidades de CA Identity Manager y de administrador de políticas de SiteMinder. En algunas organizaciones, una persona reúne ambos roles. Cuando hay dos personas implicadas, es necesario que se dé una estrecha colaboración para completar los procedimientos de este escenario. El administrador de políticas empieza y termina el proceso, y el administrador de identidades realiza todos los pasos intermedios.

Importante: En el caso de instalaciones de CA Identity Manager a partir de la versión 12.5 SP7, se necesitan archivos de política jurisdiccional de fuerza ilimitada de la Extensión Criptográfica Java (bibliotecas de JCE). Estas bibliotecas se descargan del sitio web de Oracle. Se deben cargar en la siguiente carpeta: <Java_path>\<jdk_version>\jre\lib\security\.

El siguiente diagrama ilustra el proceso completo de la integración de SiteMinder en CA Identity Manager:

Siga estos pasos:

1. Configure el almacén de políticas de SiteMinder para CA Identity Manager.
2. Importe el esquema de CA Identity Manager en el almacén de políticas.
3. Cree un objeto agente de SiteMinder 4.X.
4. Exporte los entornos y directorios de CA Identity Manager.
5. Suprima todas las definiciones del entorno y el directorio.
6. Active el adaptador de recursos del servidor de políticas de SiteMinder.
7. Desactive el filtro de autenticación del marco de trabajo de CA Identity Manager nativo.
8. Reinicie el servidor de aplicaciones.
9. Configure un origen de datos para SiteMinder.
10. Importe las definiciones del directorio.
11. Actualice e importe las definiciones del entorno.
12. Reinicie el servidor de aplicaciones.
13. Instale el complemento del servidor proxy web.
14. Asocie el agente de SiteMinder con un dominio de CA Identity Manager.
15. Configure el parámetro LogOffUrl de SiteMinder.

Configuración del almacén de políticas de SiteMinder para CA Identity Manager

El administrador de políticas usa las herramientas administrativas de CA Identity Manager para acceder a los scripts de SQL o texto de esquema de LDAP para agregar el esquema de IMS al almacén de políticas. El administrador de identidades habrá instalado estas herramientas en la carpeta de herramientas de administración. Lleve a cabo uno los siguientes procedimientos para configurar el almacén de políticas:

Configuración de una base de datos relacional

Configuración del servidor de directorios de sistemas Sun Java o IBM

Configuración de Microsoft Active Directory

Configuración de Microsoft ADAM

Configuración del servidor de CA Directory

Configuración del servidor de Novell eDirectory

Configuración del directorio de Internet de Oracle (OID)

Configuración de una base de datos relacional

Después de la configuración, se puede utilizar la base de datos relacional como almacén de políticas de SiteMinder.

Siga estos pasos:

1. Configure la base de datos como almacén de políticas de SiteMinder compatible.

   Nota: Para obtener instrucciones de configuración, consulte SiteMinder Policy Server Installation Guide.

2. Ejecute el script adecuado para su base de datos:
   • SQL: C:\Archivos de programa\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\MicrosoftSQLServer\ims8_mssql_ps.sql
   • Oracle: /opt/CA/IdentityManager/IAM_Suite/Identity_Manager//tools/policystore-schemas/OracleRDBMS/ims8_oracle_ps.sql

   Las rutas anteriores son las ubicaciones de la instalación predeterminadas. La ubicación de la instalación puede ser diferente.

Configuración del servidor de directorios de sistemas Sun Java o IBM

Para configurar un servidor de directorios de Java o IBM se aplica el archivo de esquema adecuado.

Siga estos pasos:

1. Configure el directorio como almacén de políticas de SiteMinder compatible.

   Nota: Para obtener instrucciones de configuración, consulte CA SiteMinder Policy Server Installation Guide.

2. Agregue el archivo de esquema LDIF adecuado al directorio. La ubicación predeterminada de Windows para los archivos LDIF es C:\Archivos de programa\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas.

   Adición de los siguientes archivos de esquema para su directorio:

   • Servidor de directorios de IBM:

     IBMDirectoryServer\V3.identityminder8

   • Servidor de directorios de sistemas Sun Java (iPlanet):

     SunJavaSystemDirectoryServer\sundirectory_ims8.ldif

Configuración de Microsoft Active Directory

Para configurar un almacén de políticas de Microsoft Active Directory, se debe aplicar el script activedirectory_ims8.ldif.

Siga estos pasos:

1. Configure el directorio como almacén de políticas de SiteMinder compatible.

   Nota: Para obtener instrucciones de configuración, consulte CA SiteMinder Policy Server Installation Guide.

2. Modifique el archivo de esquema activedirectory_ims8.ldif como se muestra a continuación:
   1. En un editor de texto, abra el archivo activedirectory_ims8.ldif. La ubicación predeterminada de Windows es:

      C:\Archivos de programa\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\MicrosoftActiveDirectory

   2. Sustituya todas las instancias de {root} por la organización raíz del directorio.

      La organización raíz debe coincidir con la organización raíz que se especificó cuando se configuró el almacén de políticas en la Consola de gestión del servidor de políticas.

      Por ejemplo, si la raíz es dc=myorg,dc=com, sustituya
      dn: CN=imdomainid6,CN=Schema,CN=Configuration,{root} por dn: CN=imdomainid6,CN=Schema,CN=Configuration,dc=myorg,dc=com

   3. Guarde el archivo.
3. Agregue el archivo de esquema como se describe en la documentación de su directorio.

Configuración de Microsoft ADAM

Para configurar un almacén de políticas de Microsoft ADAM, se debe aplicar el script adam_ims8.ldif.

Siga estos pasos:

1. Configure el directorio como almacén de políticas de SiteMinder compatible.

   Nota: Para obtener instrucciones de configuración, consulte CA SiteMinder Policy Server Installation Guide.

   Anote el valor de CN (guid).

2. Modifique el archivo de esquema adam_ims8.ldif como se muestra a continuación:
   1. Abra el archivo adam_ims8.ldif\.ldif en un editor de texto. La ubicación predeterminada de Windows es:

      C:\Archivos de programa\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\MicrosoftActiveDirectory

   2. Sustituya todas las referencias de cn={guid} por la cadena encontrada cuando se configuró el almacén de políticas de SiteMinder en el paso 1 de este procedimiento.

      Por ejemplo, si la cadena de guid es CN={39BC711D-7F27-4311-B6C0-68FDEE2917B8}, sustituya todas las referencias de cn={guid} por CN={39BC711D-7F27-4311-B6C0-68FDEE2917B8}.

   3. Guarde el archivo.
3. Agregue el archivo de esquema como se describe en la documentación de su directorio.

Configuración del servidor de CA Directory

Para configurar un servidor de CA Directory se debe crear un archivo de esquema personalizado. En los siguientes pasos, dxserver_home es el directorio en el que está instalado CA Directory. La ubicación de origen predeterminada para este archivo en Windows es C:\Archivos de programa\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\eTrustDirectory.

Siga estos pasos:

1. Configure el directorio como almacén de políticas de SiteMinder compatible.

   Nota: Para obtener instrucciones de configuración, consulte CA SiteMinder Policy Server Installation Guide.

2. Copie etrust_ims8.dxc en dxserver_home\config\schema.
3. Cree un archivo de configuración de esquema personalizado como se muestra a continuación:
   1. Copie dxserver_home\config\schema\default.dxg en dxserver_home\config\schema\company_name-schema.dxg.
   2. Edite el archivo dxserver_home\config\schema\company_name-schema.dxg agregando las líneas siguientes al final del archivo:

      # Identity Manager Schema
      source "etrust_ims8.dxc";
      

4. Edite el archivo dxserver_home\bin\schema.txt agregando el contenido de etrust_ims_schema.txt al final del archivo. La ubicación de origen predeterminada para este archivo en Windows es C:\Archivos de programa\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\eTrustDirectory.
5. Cree un archivo de configuración de límites personalizado como se muestra a continuación:
   1. Copie dxserver_home\config\limits\default.dxc en dxserver_home\config\limits\company_name-limits.dxc.
   2. Aumentar el límite del tamaño predeterminado hasta 5000 en el archivo dxserver_home\config\limits\company_name-limits.dxc como se muestra a continuación:

      set max-op-size=5000
      

      Nota: La actualización de CA Directory sobrescribe el archivo limits.dxc. Por lo tanto, es necesario asegurarse de que se restablece max-op-size a 5000 después de que la actualización se complete.

6. Edite dxserver_home\config\servers\dsa_name.dxi como se muestra a continuación:

   # schema
   source "company_name-schema.dxg";
   
   #service limits
   source "company_name-limits.dxc";
   

   donde dsa_name es el nombre del DSA que utiliza los archivos de configuración personalizados.

7. Ejecute la utilidad dxsyntax.
8. Detenga y reinicie el DSA como usuario de dsa para que los cambios del esquema se apliquen, como se muestra a continuación:

   dxserver stop dsa_name
   dxserver start dsa_name
   

Configuración del servidor de Novell eDirectory

Para configurar un almacén de políticas de servidor de Novell eDirectory, aplica el script novell_ims8.ldif.

Siga estos pasos:

1. Configure el directorio como almacén de políticas de SiteMinder compatible.

   Nota: Para obtener instrucciones de configuración, consulte CA SiteMinder Policy Server Installation Guide.

2. Busque el nombre destacado (DN) de NCPServer para su servidor de Novell eDirectory introduciendo la siguiente información en una ventana de comandos en el sistema donde se instala el servidor de políticas:

   ldapsearch -h hostname -p port -b container -s sub 
   -D admin_login -w password objectClass=ncpServer dn
   

   Por ejemplo:

   ldapsearch -h 192.168.1.47 -p 389 -b "o=nwqa47container" -s sub -D "cn=admin,o=nwqa47container" -w password objectclass=ncpServer dn
   

3. Abra el archivo novell_ims8.ldif.
4. Sustituya todas las variables de NCPServer por el valor encontrado en el paso 2.

   La ubicación predeterminada para novell_ims8.ldif en Windows es:

   C:\Archivos de programa\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\NovelleDirectory

   Por ejemplo, si el valor de DN es cn=servername,o=servercontainer, se deberían sustituir todas las instancias de NCPServer por cn=servername,o=servercontainer.

5. Actualice el servidor de eDirectory con el archivo novell_ims8.ldif.

   Consulte la documentación de Novell eDirectory para obtener instrucciones.

Configuración del directorio de Internet de Oracle (OID)

Para configurar un directorio de Internet de Oracle se actualiza el archivo LDIF de oracleoid.

Siga estos pasos:

1. Configure el directorio como almacén de políticas de SiteMinder compatible.

   Nota: Para obtener instrucciones de configuración, consulte CA SiteMinder Policy Server Installation Guide.

2. Actualice el servidor del directorio de Internet de Oracle con el archivo oracleoid_ims8.ldif. La ubicación de la instalación predeterminada para este archivo en Windows es:

   install_path\policystore-schemas\OracleOID\

   Consulte la documentación del directorio de Internet de Oracle para obtener instrucciones.

Verificación del almacén de políticas

Para verificar el almacén de políticas, confirme los puntos siguientes:

• El registro del servidor de políticas no contiene una sección de advertencias que empieza con el código siguiente:

  *** IMS NO SCHEMA BEGIN
  

  Esta advertencia aparece solamente si se han instalado las extensiones para el servidor de políticas de SiteMinder, pero no se ha extendido el esquema del almacén de políticas.

• Los objetos de CA Identity Manager existen en el directorio o la base de datos del almacén de políticas. Los objetos de CA Identity Manager empiezan por el prefijo ims.