ユーザ ストアの属性を暗号化するには、ディレクトリ設定ファイル(directory.xml)でその属性用の AttributeLevelEncypt データ分類を指定することにより行います。 属性レベルの暗号化が有効な場合、CA IdentityMinder では、ユーザ ストアにその属性の値を格納する前にそれを暗号化します。 属性はユーザ コンソールでクリア テキストとして表示されます。
注: 属性がクリア テキストで画面に表示されないようにするために、機密データ分類エレメントを暗号化された属性に追加することもできます。 詳細については、「属性レベルの暗号化を削除する方法」を参照してください。
FIPS 140-2 サポートが有効な場合、属性は RC2 暗号化または FIPS 140-2 暗号化を使用して暗号化されます。
属性レベルの暗号化を実装する前に、以下の点に注意してください。
暗号化された属性は、メンバ、管理者、所有者のポリシーまたはアイデンティティ ポリシーに追加されたものとみなされます。 CA IdentityMinder では属性を検索できないため、ポリシーを正しく解決できません。
directory.xml ファイルで属性を searchable="false" に設定することを検討してください。例:
<ImsManagedObjectAttr physicalname="title" description="Title" displayname="Title" valuetype="String" maxlength="0" searchable="false">
<DataClassification name="AttributeLevelEncrypt"/>
</ImsManagedObjectAttr>
CA IdentityMinder が CA SiteMinder と統合されている場合、新規ユーザがログインを試行して、クリア テキストでパスワードを入力すると、暗号化されたパスワードによって問題が発生します。
|
Copyright © 2013 CA.
All rights reserved.
|
|