ホーム
Security (セキュリティー)
様々なセキュリティー機能を構成して、BigFix Inventory 使用時にデータ・モデルに含まれるビジネス資産とリソースを適切に保護します。
シングル・サインオン (SSO) の構成と有効化
9.2.1 以降で使用可能。2 要素認証と SSO を使用して BigFix Inventory にログオンし、企業内の他のアプリケーションとのログインの一貫性を維持することができます。2 要素認証と、Security Assertion Markup Language (SAML 2.0) トークンの交換に基づくシングル・サインオンを併用し、ID プロバイダーとして Microsoft™ Active Directory フェデレーション・サービスを使用するように BigFix Inventory を構成できます。あるいは、IBM Lightweight Third-Party Authentication (LTPA) テクノロジーを使用し、認証サービスとして IBM Security Access Manager for Web を使用することもできます。
オプション 2: LTPA に基づく SSO の構成
IBM Lightweight Third-Party Authentication (LTPA) に基づくシングル・サインオンを ® IBM Security Access Manager for Web で構成できます。

Security (セキュリティー)
様々なセキュリティー機能を構成して、BigFix Inventory 使用時にデータ・モデルに含まれるビジネス資産とリソースを適切に保護します。
- データのフロー
  BigFix Inventory インフラストラクチャーのコンポーネント間、およびユーザーとツールの間では、いくつかの異なる相互作用が行われます。
- セキュリティー設定のシナリオ
  サポートされる各セキュリティー・シナリオを実現するために BigFix サーバーおよび BigFix Inventory サーバーで有効にする必要があるセキュリティー・オプションについて確認します。
- データベース接続暗号化の構成
  BigFix Inventory サーバーと BigFix Inventory データベースの接続を暗号化できます。暗号化は、JDBC ドライバーを使用して、BigFix Inventory サーバーとデータベース・エンジンの間に確立します。サーバーのアップグレード中に接続を暗号化できます。
- セキュア通信の構成
  セキュアな接続を確保するために、BigFix Inventory では、公開鍵暗号方式を使用します。この方式は、秘密鍵および公開鍵という 2 つの別々の鍵を使用するアルゴリズムを基盤としています。この鍵ペアは、通信の暗号化および暗号化解除に使用されます。
- 連邦暗号化標準への準拠
  暗号化に関する連邦情報処理標準要件に準拠するように、BigFix Inventory を構成できます。
- LDAP を使用したユーザーの認証
  BigFix Inventory は、Lightweight Directory Access Protocol (LDAP) サーバーを使用した認証をサポートします。この機能を使用するには、BigFix Inventory サーバーを構成する必要があります。
- シングル・サインオン (SSO) の構成と有効化
  9.2.1 以降で使用可能。2 要素認証と SSO を使用して BigFix Inventory にログオンし、企業内の他のアプリケーションとのログインの一貫性を維持することができます。2 要素認証と、Security Assertion Markup Language (SAML 2.0) トークンの交換に基づくシングル・サインオンを併用し、ID プロバイダーとして Microsoft™ Active Directory フェデレーション・サービスを使用するように BigFix Inventory を構成できます。あるいは、IBM Lightweight Third-Party Authentication (LTPA) テクノロジーを使用し、認証サービスとして IBM Security Access Manager for Web を使用することもできます。
  - オプション 1: Security Assertion Markup Language トークンに基づくシングル・サインオンの構成
    Security Access Markup Language (SAML 2.0) トークンおよび外部 ID プロバイダー・サーバーに基づいて、シングル・サインオンを構成できます。
  - オプション 2: LTPA に基づく SSO の構成
    IBM Lightweight Third-Party Authentication (LTPA) に基づくシングル・サインオンを ® IBM Security Access Manager for Web で構成できます。
    - ステップ 1: BigFix Security Access Manager に組み込まれた LDAP サーバー SSL 証明書のエクスポート
      IBM Security Access Manager (ISAM) に組み込まれている LDAP サーバーから証明書をエクスポートして、BigFix Inventory Web ユーザー・インターフェースでシングル・サインオンを構成できるようにする必要があります。
    - ステップ 2: LTPA シングル・サインオン (SSO) の構成
      「シングル・サインオン設定」ペインを使用して、BigFix Inventory の IBM Lightweight Third-Party Authentication (LTPA) 設定を構成できます。
    - ステップ 3:BigFix® Security Access Manager への LTPA 鍵のインポート
      LTPA 鍵を IBM® Security Access Manager にインポートして、BigFix Inventory をトラステッド・リストに追加する必要があります。
    - ステップ 4:IBM® Security Access Manager への BigFix Inventory サーバー証明書のインポート
      BigFix Inventory サーバー証明書を BigFix® Security Access Manager for Web にインポートして、信頼できるサーバー間通信を確立します。
    - ステップ 5: 仮想ジャンクションの構成
      仮想ホスト・ジャンクションとは、WebSEAL サーバー上にある、特定のコンテンツ用のマウント・ポイントです。
    - ステップ 6: LTPA シングル・サインオンの有効化
      最後のステップとして、BigFix Inventory Web ユーザー・インターフェースでシングル・サインオンを有効にします。
    - オプション: WebUI ショートカットの更新
      BigFix Inventory 9.2.1 をインストールするか、またはこれにアップグレードした場合に、LTPA を使用するシングル・サインオンも有効であった場合、WebUI ショートカットを編集する必要が生じる場合があります。この URL は、以下の場所にある WebUI ファイルで定義されています。C:\Program Files\BFI Enterprise\BFI\admin\resources\WebUI.
    - オプション: LTPA の無効 SSO 構成を戻す
      アプリケーションへのログインに問題がある場合は、シングル・サインオンが無効であるデフォルト LTPA SSO 構成に戻すことができます。
  - シングル・サインオン・ユーザーの作成
    シングル・サインオンを使用して認証プロセスを完了するには、後で BigFix Inventory にログインできるユーザーを作成する必要があります。
  - BigFix Inventory サーバーからのログアウト
    BigFix Inventory ユーザー・インターフェースからログアウトするには、単にブラウザー履歴をクリアしてブラウザーを再始動します。
  - シングル・サインオン構成の無効化
    「シングル・サインオン設定」ペインで、SSO 構成を無効化できます。
  - シングル・サインオン構成の削除
    「シングル・サインオン設定」ペインで、SSO 構成を削除できます。
  - シングル・サインオンが有効になっている BigFix Inventory でのポートの変更
    シングル・サインオンが有効なときに BigFix Inventory の「サーバー設定」ペインでポート番号を変更すると、シングル・サインオン構成が無効になります。ポートを適切な方法で変更するには、シングル・サインオンの構成手順を繰り返す必要があります。
  - SSO 鍵ストアのパスワードおよび暗号化の構成
    SSO 鍵ストアの固有のパスワードを構成し、AES 暗号化アルゴリズムを使用してそのパスワードを暗号化します。
- パスワードおよび暗号化メカニズムの構成
  アプリケーション・セキュリティーを向上させるために、ユーザー・パスワードのセキュリティー・ポリシーを定義します。パスワードが保管されている鍵ストアと BigFix Inventory データベースのパスワードおよび暗号化メカニズムも構成できます。
- ユーザー・アカウントのロックアウトの構成
  9.2.8 以降で使用可能。デフォルトでは、ユーザーが 5 分以内に 10 回を超えて BigFix Inventory にログインしようとした後に、ユーザー・アカウントは 5 分間ロックされます。デフォルト設定を変更したり、ユーザー・アカウントのロックアウトを無効にしたりすることができます。
- 信頼できる VM マネージャー証明書を受け入れるためのVM Manager toolの構成
  デフォルトで、VM Manager toolは、信頼できるかどうかに関係なく、すべての VM マネージャー証明書を受け入れます。デフォルトの動作を変更して、信頼できる証明書のみをVM Manager toolが受け入れるようにすることができます。
- リレー
  リレーにより、サーバーのアップストリームとダウンストリームの両方の負荷が軽減されます。サーバーと直接通信する代わりに、指定のリレーと通信するようにクライアントに指示できます。これにより、サーバーの負荷が大幅に軽減され、クライアントとサーバーの間のネットワーク・トラフィックが大幅に削減されます。

オプション 2: IBM Lightweight Third-Party Authentication に基づくシングル・サインオンの構成

IBM Lightweight Third-Party Authentication (LTPA) に基づくシングル・サインオンを ® IBM Security Access Manager for Web で構成できます。

始める前に

シングル・サインオンの構成を開始する前に、以下のファイルをバックアップします。

server.xml
- installation_dir/wlp/usr/servers/server1
- installation_dir\wlp\usr\servers\server1
web.xml
- installation_dir/wlp/usr/servers/server1/apps/tema.war/WEB-INF
- installation_dir\wlp\usr\servers\server1\apps\tema.war\WEB-INF

このタスクについて

次のシナリオは、BigFix Inventory が BigFix® Security Access Manager と連携するように構成するための標準的なワークフローを示します。ただし、インフラストラクチャー内でシングル・サインオンを有効にするには、別のソフトウェア・プロダクトを使用した方がよい場合があります。

手順

ディレクトリー・サーバーへの接続を構成します。
シングル・サインオン・サーバーで認証するユーザーを作成します。管理者役割を持つユーザーを少なくとも 1 つ作成する必要があります。
重要: 「認証方法」ドロップダウン・リストで必ず「シングル・サインオン」を選択してください。
BigFix® IBM Security Access Manager for Web に組み込まれている LDAP サーバー SSL 証明書をエクスポートします。
BigFix Inventory Web ユーザー・インターフェースで LTPA シングル・サインオンを構成します。
BigFix® Security Access Manager for Web に LTPA 鍵をインポートします。
BigFix® Security Access Manager for Web に BigFix Inventory サーバー証明書をインポートします。
BigFix® IBM Security Access Manager for Web に仮想ジャンクションを構成します。
BigFix Inventory でシングル・サインオンを有効にします。
オプション: WebUI ショートカットを更新します (Windows のみ)
オプション: LTPA の SSO 構成に戻します。
アプリケーションへのログインに問題がある場合は、シングル・サインオンが無効であるデフォルト LTPA SSO 構成に戻すことができます。