リソースが保護される方法

高度な認証では、ユーザの実装で SiteMinder ポリシーサーバを使用する必要があります。 CA Identity Manager Server をホストするアプリケーションサーバは、Web Server とは別のオペレーティング環境上にあります。サービスを転送するには、Web Server には以下が必要です。

アプリケーションサーバベンダーが提供したプラグイン。
ユーザコンソール、自己登録、および忘れたパスワード機能など CA Identity Manager リソースを保護する SiteMinder エージェント。

Web エージェントは、CA Identity Manager リソースをリクエストするユーザのアクセスを制御します。ユーザが認証され認可されたら、Web エージェントは Web Server がリクエストを処理できるようにします。

Web Server がリクエストを受信するときに、アプリケーションサーバプラグインは CA Identity Manager Server をホストするアプリケーションサーバにそれを転送します。

Web エージェントは、ユーザと管理者に提供される CA Identity Manager リソースを保護します。

SiteMinder と CA Identity Manager の統合の概要

ポリシー管理者およびアイデンティティ管理者が連携して、 SiteMinder を既存の CA Identity Manager インストールに統合する場合、CA Identity Manager アーキテクチャは拡張され、以下のコンポーネントが含まれます。

SiteMinder Web エージェント: CA Identity Manager Server を保護します。この Web エージェントは、CA Identity Manager サーバと共にシステムにインストールされます。
SiteMinder ポリシーサーバ: CA Identity Manager 用の高度な認証および認可を提供します。

以下の図は、SiteMinder ポリシーサーバおよび Web エージェントを含む CA Identity Manager インストールの例です。

basic_with_sm2

注：これらのコンポーネントは、例のように、さまざまなプラットフォームにインストールされます。ただし、他のプラットフォームを選択することもできます。 CA Identity Manager データベースは、Microsoft SQL Server 上にあり、ユーザストアは IBM Directory Server 上にあります。 SiteMinder ポリシーストアは Windows 上の AD LDS にあります。

このプロセスを完了するには 2 つのロール（ CA Identity Manager アイデンティティ管理者および SiteMinder ポリシー管理者）が必要です。一部の組織では、1 人で両方のロールを割り当てられる場合があります。 2 人で行う場合は、緊密な連携をとって、このシナリオの手順を完了する必要があります。ポリシー管理者はこのプロセスを開始して終了し、アイデンティティ管理者は、中間のすべての手順を実行します。

重要： リリース 12.5 SP7 を使用して開始する CA Identity Manager のインストールの場合、Java Cryptography Extension Unlimited Strength Jurisdiction Policy Files （JCE ライブラリ）が必要です。 Oracle の Web サイトからこれらのライブラリをダウンロードします。それらを次のフォルダにロードします： <Java_path>\<jdk_version>\jre\lib\security\.

以下の図は、SiteMinder を CA Identity Manager に統合する完全なプロセスを示しています。

InterScratch

次の手順に従ってください：

CA Identity Manager の SiteMinder ポリシーストアの設定

ポリシー管理者として、ポリシーストアに IMS スキーマを追加する SQL スクリプトまたは LDAP スキーマテキストにアクセスするため、CA Identity Manager 管理ツールを使用します。アイデンティティ管理者はこれらのツールを［管理ツール］フォルダにインストールしています。ポリシーストアを設定するには、以下のいずれかの手順に従います。

リレーショナルデータベースの設定

Sun Java Systems Directory Server または IBM Directory Server の設定

Microsoft Active Directory の設定

Microsoft ADAM の設定

CA Directory Server の設定

Novell eDirectory Server の設定

Oracle Internet Directory （OID）の設定

リレーショナルデータベースの設定

設定の後に、SiteMinder ポリシーストアとしてリレーショナルデータベースを使用できます。

次の手順に従ってください：

サポートされている SiteMinder ポリシーストアとしてデータベースを設定します。
注：設定手順については、SiteMinder の「ポリシーサーバインストールガイド」を参照してください。
データベース用の適切なスクリプトを実行します。
- SQL： C:\Program Files\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\MicrosoftSQLServer\ims8_mssql_ps.sql
- Oracle： /opt/CA/IdentityManager/IAM_Suite/Identity_Manager//tools/policystore-schemas/OracleRDBMS/ims8_oracle_ps.sql
上記のパスはデフォルトのインストール場所です。ユーザのインストールの場所は異なる場合があります。

Sun Java Systems Directory Server または IBM Directory Server の設定

Java または IBM のディレクトリサーバを設定するには、適切なスキーマファイルを適用します。

次の手順に従ってください：

サポートされている SiteMinder ポリシーストアとしてディレクトリを設定します。
注：設定の詳細については、「CA SiteMinder Policy Server Installation Guide」を参照してください。
ディレクトリに適切な LDIF スキーマファイルを追加します。 Windows のデフォルトのLDIF ファイルの場所は C:\Program Files\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas です。
ユーザのディレクトリに以下のスキーマファイルを追加：
- IBM Directory Server：
  IBMDirectoryServer\V3.identityminder8
- Sun Java Systems Directory Server （iPlanet）：
  SunJavaSystemDirectoryServer\sundirectory_ims8.ldif

Microsoft Active Directory の設定

Microsoft Active Directory ポリシーストアを設定するには、activedirectory_ims8.ldif スクリプトを適用します。

次の手順に従ってください：

サポートされている SiteMinder ポリシーストアとしてディレクトリを設定します。
注：設定の詳細については、「CA SiteMinder Policy Server Installation Guide」を参照してください。
以下のように activedirectory_ims8.ldif スキーマファイルを変更します。
1. テキストエディタで、activedirectory_ims8.ldif ファイルを開きます。 Windows のデフォルトの場所は以下のとおりです。
  C:\Program Files\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\MicrosoftActiveDirectory
2. {root} のすべてのインスタンスをディレクトリのルート組織で置き換えます。
  ルート組織は、ポリシーサーバ管理コンソールでポリシーストアを設定したときに指定したルート組織に一致する必要があります。
  
  たとえば、root が dc=myorg,dc=com である場合、以下のように置き換えます。
  dn: CN=imdomainid6,CN=Schema,CN=Configuration,{root} を dn: CN=imdomainid6,CN=Schema,CN=Configuration,dc=myorg,dc=com で置き換えます。
3. ファイルを保存します。
ユーザのディレクトリに対してマニュアルで説明されるように、スキーマファイルを追加します。

Microsoft ADAM の設定

Microsoft ADAM ポリシーストアを設定するには、adam_ims8.ldif スクリプトを適用します。

次の手順に従ってください：

サポートされている SiteMinder ポリシーストアとしてディレクトリを設定します。
注：設定の詳細については、「CA SiteMinder Policy Server Installation Guide」を参照してください。

CN 値（guid）をメモしてください。
以下のように adam_ims8.ldif スキーマファイルを変更します。
1. テキストエディタで adam_ims8.ldif\.ldif ファイルを開きます。 Windows のデフォルトの場所は以下のとおりです。
  C:\Program Files\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\MicrosoftActiveDirectory
2. すべての cn={guid} 参照を手順 1 で SiteMinder ポリシーストアを設定したときに検出した文字列で置き換えます。
  たとえば、guid 文字列が CN={39BC711D-7F27-4311-B6C0-68FDEE2917B8} である場合、すべての cn={guid} 参照を CN={39BC711D-7F27-4311-B6C0-68FDEE2917B8} で置き換えます。
3. ファイルを保存します。
ユーザのディレクトリに対してマニュアルで説明されるように、スキーマファイルを追加します。

CA Directory Server の設定

CA Directory Server を設定するには、カスタムスキーマファイルを作成します。以下の手順で、dxserver_home は CA Directory がインストールされているディレクトリです。 Windows 上のデフォルトのこのファイルのソースの場所は C:\Program Files\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\eTrustDirectory です。

次の手順に従ってください：

サポートされている SiteMinder ポリシーストアとしてディレクトリを設定します。
注：設定の詳細については、「CA SiteMinder Policy Server Installation Guide」を参照してください。
etrust_ims8.dxc to dxserver_home\config\schema をコピーします。
以下のようにカスタムスキーマ設定ファイルを作成します。
1. dxserver_home\config\schema\default.dxg を dxserver_home\config\schema\company_name-schema.dxg　へコピーします。
2. ファイルの下部に以下の行を追加することにより、dxserver_home\config\schema\company_name-schema.dxg ファイルを編集します。
```
# Identity Manager Schema
source "etrust_ims8.dxc";
```
ファイルの末尾に etrust_ims_schema.txt のコンテンツを追加することにより、dxserver_home\bin\schema.txt ファイルを編集します。 Windows 上のデフォルトのこのファイルのソースの場所は C:\Program Files\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\eTrustDirectory です。
以下のようにカスタム制限設定ファイルを作成します。
1. dxserver_home\config\limits\default.dxc を dxserver_home\config\limits\company_name-limits.dxc にコピーします。
2. dxserver_home\config\limits\company_name-limits.dxc ファイルでデフォルトサイズ制限を以下のように 5000 に増やします。
```
set max-op-size=5000
```
  注： CA Directory のアップグレードにより、limits.dxc ファイルが上書きされます。そのため、アップグレードが完了した後で、max-op-size を 5000 にリセットしてください。
dxserver_home\config\servers\dsa_name.dxi を以下のように編集します。
```
# schema
source "company_name-schema.dxg";

#service limits
source "company_name-limits.dxc";
```
ここで dsa_name はカスタマイズされた設定ファイルを使用した、DSA の名前です。
dxsyntax ユーティリティを実行します。
スキーマの変更を有効にするために、dsa ユーザとして以下のように DSA を停止および再起動します。
```
dxserver stop dsa_name
dxserver start dsa_name
```

Novell eDirectory Server の設定

Novell eDirectory Server ポリシーストアを設定するには、novell_ims8.ldif スクリプトを適用します。

次の手順に従ってください：

サポートされている SiteMinder ポリシーストアとしてディレクトリを設定します。
注：設定の詳細については、「CA SiteMinder Policy Server Installation Guide」を参照してください。

ポリシーサーバがインストールされているシステム上のコマンドウィンドウに以下の情報を入力することにより、Novell eDirectory Server 用の NCPServer の識別名（DN）を検索します。

ldapsearch -h hostname -p port -b container -s sub 
-D admin_login -w password objectClass=ncpServer dn

例：

ldapsearch -h 192.168.1.47 -p 389 -b "o=nwqa47container" -s sub -D "cn=admin,o=nwqa47container" -w password objectclass=ncpServer dn

novell_ims8.ldif ファイルを開きます。
手順 2 で検索した値ですべての NCPServer 変数を置き換えます。
Windows 上の novell_ims8.ldif のデフォルトの場所は次のとおりです。

C:\Program Files\CA\Identity Manager\IAM Suite\Identity Manager\tools\policystore-schemas\NovelleDirectory

たとえば、DN 値が cn=servername、cn=servername の場合、NCPServer のすべてのインスタンスを cn=servername、o=servercontainer で置き換えます。
eDirectory Server を novell_ims8.ldif ファイルで更新します。
手順については、Novell eDirectory のマニュアルを参照してください。

Oracle Internet Directory （OID）の設定

Oracle Internet Directory を設定するには、oracleoid ldif ファイルを更新します。

次の手順に従ってください：

サポートされている SiteMinder ポリシーストアとしてディレクトリを設定します。
注：設定の詳細については、「CA SiteMinder Policy Server Installation Guide」を参照してください。
oracleoid_ims8.ldif ファイルで Oracle Internet Directory Server を更新します。 Window 上のこのファイルのデフォルトのインストール場所は以下のとおりです。
install_path\policystore-schemas\OracleOID\

手順については、 Oracle Internet Directory のマニュアルを参照してください。

ポリシーストアの確認

ポリシーストアを確認するには、以下の点を確認します。

ユーザのポリシーサーバログには、以下のコードから始まる警告のセクションが含まれません。
```
*** IMS NO SCHEMA BEGIN
```
ユーザが SiteMinder ポリシーサーバの拡張機能をインストールしているが、ポリシーストアスキーマを拡張していない場合にのみ、この警告が表示されます。
CA Identity Manager オブジェクトはポリシーストアデータベースまたはディレクトリに存在します。 CA Identity Manager オブジェクトは ims プレフィックスから始まります。