Intégration avec SiteMinder › Protection des ressources

Protection des ressources

L'authentification avancée requiert l'utilisation d'un serveur de stratégies SiteMinder dans votre implémentation. Le serveur d'applications hébergeant le serveur CA Identity Manager est exécuté dans un environnement d'exploitation différent du serveur Web. Pour fournir des services de transfert, le serveur Web requiert :

• Un module d'extension de serveur d'applications d'un fournisseur.
• Un agent SiteMinder pour protéger les ressources CA Identity Manager, comme la console d'utilisateur, l'auto-enregistrement et la fonctionnalité de mot de passe oublié.

L'agent Web contrôle l'accès des utilisateurs qui demandent des ressources CA Identity Manager. Une fois que les utilisateurs sont authentifiés et autorisés, l'agent Web permet au serveur Web de traiter les demandes.

Lorsque le serveur Web reçoit la demande, le module d'extension du serveur d'applications l'envoie au serveur d'applications hébergeant le serveur CA Identity Manager.

L'agent Web protège les ressources CA Identity Manager auxquelles les utilisateurs et les administrateurs ont accès.

Présentation de l'intégration de SiteMinder et CA Identity Manager

Lorsque l'administrateur de stratégie et l'administrateur d'identité travaillent ensemble pour intégrer SiteMinder dans une installation CA Identity Manager existante, l'architecture CA Identity Manager est étendue de manière à inclure les composants suivants :

Agent Web SiteMinder

Protège le serveur CA Identity Manager. L'agent Web est installé sur le système comprenant le serveur CA Identity Manager.

Serveur de stratégies SiteMinder

Permet l'authentification et l'autorisation avancées pour CA Identity Manager.

L'illustration suivante est un exemple d'installation CA Identity Manager comprenant un serveur de stratégies et l'agent Web SiteMinder :

Remarque : Les composants sont installés sur des plates-formes différentes à des fins d'exemple. Toutefois, vous pouvez choisir d'autres plates-formes. Les bases de données CA Identity Manager se trouvent sur le serveur Microsoft SQL Server et le référentiel d'utilisateurs se trouve sur le serveur d'annuaire IBM. Le référentiel de stratégies SiteMinder se trouve sur le serveur AD LDS Windows.

Pour effectuer cette procédure, deux rôles sont requis : l'administrateur d'identité CA Identity Manager et l'administrateur de stratégie SiteMinder. Dans certaines organisations, une personne remplit ces deux rôles. Lorsque deux personnes sont nécessaires, une collaboration étroite est de mise pour effectuer les procédures de ce scénario. L'administrateur de stratégie commence et termine le processus, alors que toutes les étapes intermédiaires incombent à l'administrateur d'identité.

Important : Pour les installations CA Identity Manager à partir de la version 12.5 SP7, les bibliothèques Java Cryptography Extension Unlimited Strength Jurisdiction Policy Files sont requises. Téléchargez-les à partir du site Web d'Oracle, puis chargez-les dans le dossier suivant : <Java_path>\<jdk_version>\jre\lib\security\.

Le diagramme suivant illustre le processus complet d'intégration de SiteMinder dans CA Identity Manager :

Procédez comme suit:

1. Configurez le référentiel de stratégies SiteMinder pour CA Identity Manager.
2. Importez le schéma CA Identity Manager dans le référentiel de stratégies.
3. Créez un objet d'agent 4.X SiteMinder.
4. Exportez les annuaires et les environnements CA Identity Manager.
5. Supprimez toutes les définitions d'annuaire et d'environnement.
6. Activez l'adaptateur de ressource de serveur de stratégies SiteMinder.
7. Désactivez le filtre d'authentification de structure CA Identity Manager natif.
8. Redémarrez le serveur d'applications.
9. Configurez une source de données pour SiteMinder.
10. Importez les définitions d'annuaire.
11. Mettez à jour et importez les définitions d'environnement.
12. Redémarrez le serveur d'applications.
13. Installez le module d'extension de serveur proxy Web.
14. Associez l'agent SiteMinder à un domaine CA Identity Manager.
15. Configurez le paramètre SiteMinder LogOffUrl.

Configuration du référentiel de stratégies SiteMinder pour CA Identity Manager

Le rôle d'administrateur de stratégie vous amène à utiliser les outils d'administration CA Identity Manager pour accéder aux scripts SQL ou au texte de schéma LDAP afin d'ajouter le schéma de solution de gestion des identités au référentiel de stratégies. L'administrateur d'identité a installé ces outils dans le dossier Outils d'administration. Suivez l'une des procédures suivantes pour configurer le référentiel de stratégies :

Configurer une base de données relationnelles

Configurer Sun Java Systems Directory Server ou IBM Directory Server

Configurer Microsoft Active Directory

Configurer Microsoft ADAM

Configurer un serveur CA Directory

Configurer un serveur Novell eDirectory

Configurer Oracle Internet Directory (OID)

Configurer une base de données relationnelles

Une fois la configuration effectuée, vous pouvez utiliser la base de données relationnelles comme référentiel de stratégies SiteMinder.

Procédez comme suit:

1. Configurez la base de données comme référentiel de stratégies SiteMinder pris en charge.

   Remarque : Pour obtenir des instructions de configuration, consultez le manuel SiteMinder Policy Server Installation Guide.

2. Exécutez le script approprié pour votre base de données :
   • SQL : <chemin_installation>\tools\policystore-schemas\MicrosoftSQLServer\ims8_mssql_ps.sql
   • Oracle : <chemin_installation2>/tools/policystore-schemas/OracleRDBMS/ims8_oracle_ps.sql

   Les chemins d'accès précédents sont des emplacements d'installation par défaut. L'emplacement pour votre installation peut varier.

Configuration de Sun Java Systems Directory Server ou IBM Directory Server

Pour configurer un serveur d'annuaire Java ou IBM, appliquez le fichier de schéma approprié.

Procédez comme suit:

1. Configurez l'annuaire en tant que référentiel de stratégies CA SiteMinder pris en charge.

   Remarque : Pour obtenir des instructions de configuration, consultez le Manuel d'installation du serveur de stratégies CA SiteMinder.

2. Ajoutez le fichier de schéma LDIF approprié à l'annuaire. L'emplacement Windows par défaut pour les fichiers LDIF est <chemin_installation>\tools\policystore-schemas.

   Ajoutez les fichiers de schéma suivants pour votre annuaire :

   • Serveur IBM Directory Server :

     IBMDirectoryServer\V3.identityminder8

   • Serveur Sun Java Systems Directory Server (iPlanet) :

     SunJavaSystemDirectoryServer\sundirectory_ims8.ldif

Configuration de Microsoft Active Directory

Pour configurer un référentiel de stratégies Microsoft Active Directory, appliquez le script activedirectory_ims8.ldif.

Procédez comme suit:

1. Configurez l'annuaire en tant que référentiel de stratégies CA SiteMinder pris en charge.

   Remarque : Pour obtenir des instructions de configuration, consultez le Manuel d'installation du serveur de stratégies CA SiteMinder.

2. Modifiez le fichier de schéma activedirectory_ims8.ldif comme suit :
   1. Dans un éditeur de texte, ouvrez le fichier activedirectory_ims8.ldif. Par défaut, il se trouve à l'emplacement Windows suivant :

      <chemin_installation>\tools\policystore-schemas\MicrosoftActiveDirectory

   2. Remplacez toutes les instances de {root} par l'organisation racine de l'annuaire.

      L'organisation racine doit correspondre à celle que vous avez spécifiée lors de la configuration du référentiel de stratégies dans la console de gestion du serveur de stratégies.

      Par exemple, si la racine est dc=myorg,dc=com, remplacez
      dn: CN=imdomainid6,CN=Schema,CN=Configuration,{root} par dn: CN=imdomainid6,CN=Schema,CN=Configuration,dc=myorg,dc=com.

   3. Enregistrez le fichier.
3. Ajoutez le fichier de schéma suivant la méthode décrite dans la documentation de votre annuaire.

Configuration de Microsoft ADAM

Pour configurer un référentiel de stratégies Microsoft ADAM, appliquez le script adam_ims8.ldif.

Procédez comme suit:

1. Configurez l'annuaire en tant que référentiel de stratégies CA SiteMinder pris en charge.

   Remarque : Pour obtenir des instructions de configuration, consultez le Manuel d'installation du serveur de stratégies CA SiteMinder.

   Notez la valeur du nom commun (GUID).

2. Modifiez le fichier de schéma adam_ims8.ldif comme suit :
   1. Ouvrez le fichier adam_ims8.ldif\.ldif dans un éditeur de texte. Par défaut, il se trouve à l'emplacement Windows suivant :

      <chemin_installation>\tools\policystore-schemas\MicrosoftActiveDirectory

   2. Remplacez toutes les références cn={guid} par la chaîne que vous avez obtenue lors de la configuration du référentiel de stratégies SiteMinder à l'étape 1 de cette procédure.

      Par exemple, si la chaîne de GUID est CN={39BC711D-7F27-4311-B6C0-68FDEE2917B8}, remplacez toutes les références cn={guid} par cette chaîne.

   3. Enregistrez le fichier.
3. Ajoutez le fichier de schéma suivant la méthode décrite dans la documentation de votre annuaire.

Configuration de CA Directory Server

Pour configurer un serveur CA Directory, créez un fichier de schéma personnalisé. Dans les étapes qui suivent, répertoire_installation_dxserver est le répertoire d'installation de CA Directory. L'emplacement source par défaut pour ce fichier sur Windows est <chemin_installation>\tools\policystore-schemas\eTrustDirectory.

Procédez comme suit:

1. Configurez l'annuaire en tant que référentiel de stratégies CA SiteMinder pris en charge.

   Remarque : Pour obtenir des instructions de configuration, consultez le Manuel d'installation du serveur de stratégies CA SiteMinder.

2. Copiez etrust_ims8.dxc dans répertoire_installation_dxserver\config\schema.
3. Créez un fichier de configuration de schéma personnalisé comme suit :
   1. Copiez le fichier répertoire_installation_dxserver\config\schema\default.dxg dans répertoire_installation_dxserver\config\schema\nom_société-schema.dxg.
   2. Modifiez le fichier répertoire_installation_dxserver\config\schema\nom_société-schema.dxg en ajoutant les lignes suivantes au bas du fichier :

      # Identity Manager Schema
      source "etrust_ims8.dxc";
      

4. Modifiez le fichier répertoire_installation_dxserver\bin\schema.txt en ajoutant le contenu du fichier etrust_ims_schema.txt en bas du fichier. L'emplacement source par défaut pour ce fichier sur Windows est <chemin_installation>\tools\policystore-schemas\eTrustDirectory.
5. Créez un fichier de configuration de limites personnalisé comme suit :
   1. Copiez le fichier répertoire_installation_dxserver\config\limits\default.dxc dans répertoire_installation_dxserver\config\limits\nom_société-limits.dxc.
   2. Augmentez la limite de taille par défaut à 5000 dans le fichier répertoire_installation_dxserver\config\limits\nom_société-limits.dxc, comme suit :

      set max-op-size=5000
      

      Remarque : La mise à niveau de CA Directory remplace le fichier limits.dxc. Par conséquent, assurez-vous de réinitialiser le paramètre max-op-size sur 5000 à la fin de la mise à niveau.

6. Modifiez le fichier répertoire_installation_dxserver\config\servers\nom_dsa.dxi comme suit :

   # schema
   source "nom_société-schema.dxg";
   
   #service limits
   source "nom_société-limits.dxc";
   

   où nom_dsa est le nom de l'appliance de stockage de données qui utilise les fichiers de configuration personnalisés.

7. Exécutez l'utilitaire dxsyntax.
8. Arrêtez et redémarrez l'appliance de stockage de données en tant qu'utilisateur dsa pour appliquer les modifications apportées au schéma, comme suit :

   dxserver stop nom_dsa
   dxserver start nom_dsa
   

Configuration d'un serveur Novell eDirectory

Pour configurer un référentiel de stratégies Novell eDirectory, appliquez le script novell_ims8.ldif.

Procédez comme suit:

1. Configurez l'annuaire en tant que référentiel de stratégies CA SiteMinder pris en charge.

   Remarque : Pour obtenir des instructions de configuration, consultez le Manuel d'installation du serveur de stratégies CA SiteMinder.

2. Déterminez le nom unique de la variable NCPServer du serveur Novell eDirectory en entrant les informations suivantes dans une fenêtre de commande dans le système sur lequel le serveur de stratégies est installé :

   ldapsearch -h nom_hôte -p port -b conteneur -s sub 
   -D info_connexion_admin -w mot_passe objectClass=ncpServer dn
   

   Exemple :

   ldapsearch -h 192.168.1.47 -p 389 -b "o=nwqa47container" -s sub -D "cn=admin,o=nwqa47container" -w password objectclass=ncpServer dn
   

3. Ouvrez le fichier novell_ims8.ldif.
4. Remplacez toutes les variables NCPServer par la valeur obtenue à l'étape 2.

   L'emplacement par défaut pour novell_ims8.ldif sur Windows est :

   <chemin_installation>\tools\policystore-schemas\NovelleDirectory

   Par exemple, si la valeur de nom unique est cn=servername,o=servercontainer, vous remplacez toutes les instances de NCPServer par cn=servername,o=servercontainer.

5. Mettez à jour le serveur eDirectory avec le fichier novell_ims8.ldif.

   Pour obtenir des instructions, consultez la documentation de Novell eDirectory.

Configuration d'Oracle Internet Directory (OID)

Pour configurer un annuaire Oracle Internet Directory, mettez à jour le fichier oracleoid ldif.

Procédez comme suit:

1. Configurez l'annuaire en tant que référentiel de stratégies CA SiteMinder pris en charge.

   Remarque : Pour obtenir des instructions de configuration, consultez le Manuel d'installation du serveur de stratégies CA SiteMinder.

2. Mettez à jour le serveur Oracle Internet Directory avec le fichier oracleoid_ims8.ldif. L'emplacement d'installation par défaut pour ce fichier sur Windows est :

   chemin_installation\policystore-schemas\OracleOID\

   Pour obtenir des instructions, consultez la documentation Oracle Internet Directory.

Vérification du référentiel de stratégies

Pour vérifier le référentiel de stratégies, confirmez les points suivants :

• Le journal du serveur de stratégies ne contient aucune section d'avertissement qui commence par le code suivant :

  *** IMS NO SCHEMA BEGIN
  

  Cet avertissement s'affiche uniquement si vous avez installé les extensions pour le serveur de stratégies SiteMinder sans étendre le schéma du référentiel de stratégies.

• Les objets CA Identity Manager existent dans l'annuaire ou dans la base de données du référentiel de stratégies. Les objets CA Identity Manager commencent par un préfixe ims.