Einführung in die Anwendung „ iSeries “

Online bearbeiten

Benutzer von „Verify“ in den „On-Premises“- iSeries® -Adapter übertragen.

Vorbereitende Schritte

  1. Konfigurieren Sie den Identitätsagenten für die Authentifizierung in Verify. Siehe „Konfiguration über die Verify-Benutzeroberfläche “.
  2. Stellen Sie die IBM® Verify Komponente „Identity Brokerage On-Premises“ bereit und konfigurieren Sie sie.

Vorgehensweise

  1. IBM VerifyMelden Sie sich als Administrator bei an.
  2. Wählen Sie „Anwendungen“ > „Anwendungen“ und klicken Sie auf „Anwendung hinzufügen “.
  3. Suchen Sie im Menü nach dem Anwendungstyp, der als Name für das hochgeladene Anwendungsprofil festgelegt wurde, und klicken Sie auf „Anwendung hinzufügen “.
    Wenn beispielsweise das Profil „ iSeries “ unter dem Namen „ iSeries, “ hochgeladen wurde, ist die Anwendung unter „ iSeries(custom “ zu finden.
  4. Wählen Sie auf der Seite „Anwendungen hinzufügen “ die Registerkarte „Allgemein“ aus und geben Sie die erforderlichen Angaben ein.
  5. Wählen Sie die Registerkarte „Kundenlebenszyklus“ aus.
  6. Geben Sie die Richtlinien für die Bereitstellung und die Zurücknahme der Bereitstellung an.
    Parameter Beschreibung
    Accounts bereitstellen

    Provisionskonten sind standardmäßig deaktiviert, was bedeutet, dass die Kontoerstellung außerhalb von IBM Verify. erfolgt.

    Wählen Sie die Option Aktiviert aus, um ein Konto automatisch bereitzustellen, wenn das Nutzungsrecht einem Benutzer zugewiesen wird. Für das über IBM Verify[…] erstellte Konto stehen Funktionen zur Passwortgenerierung und E-Mail-Benachrichtigung zur Verfügung.
    Bereitstellung von Accounts zurücknehmen

    Die Deaktivierung von Konten ist standardmäßig deaktiviert, was bedeutet, dass das Löschen von Konten außerhalb von IBM Verify. erfolgt.

    Wählen Sie die Option „Aktiviert“, um ein Konto automatisch zu deaktivieren, wenn einem Benutzer die Berechtigung entzogen wird.
    Accountkennwort
    Cloud Directory-Kennwort des Benutzers synchronisieren
    Diese Option ist verfügbar, wenn der Kennwortabgleich in Cloud Directory aktiviert ist. Sie verwendet das Cloud Directory-Kennwort, wenn ein regulärer Benutzer für die Anwendung bereitgestellt wird. Föderierte Benutzer empfangen ein generiertes Kennwort, wenn sie für die Anwendung bereitgestellt werden.
    Kennwort generieren
    Mit dieser Option wird für den bereitgestellten Account ein automatisch generiertes Kennwort generiert. Das Kennwort basiert auf der Cloud Directory-Kennwortrichtlinie.
    Ohne
    Bei dieser Option wird der Account ohne ein Kennwort bereitgestellt.
    E-Mail-Benachrichtigung senden Diese Option ist verfügbar, wenn Sie die Option Kennwort generieren auswählen. Wenn Sie die Option „E-Mail-Benachrichtigung senden“ auswählen, wird nach der erfolgreichen Einrichtung des Kontos eine E-Mail-Benachrichtigung mit dem automatisch generierten Passwort an Ihre E-Mail-Adresse gesendet.
    Karenzzeit (Tage) Legen Sie die Karenzzeit in Tagen fest, während der ein deaktiviertes Konto als gesperrt verbleibt, bevor es endgültig gelöscht wird.
    Aktion zum Zurücknehmen der Bereitstellung Löschen Sie das Konto. Dieses Feld ist nur verfügbar, wenn das Feld „Konto deaktivieren“ aktiviert ist.
  7. Wählen Sie im Abschnitt „Allgemein“ im Dropdown-Menü die Option „Anwendungsprofil“ aus. Wenn das Profil nicht vorhanden ist, muss es erstellt werden. Weitere Informationen finden Sie unter „Verwalten von Anwendungsprofilen für Identitätsadapter“.
  8. Geben Sie die API-Authentifizierungsdetails an.
    Parameter Beschreibung
    Tivoli® Directory Integrator-Position URL für die IBM VerifyDirectory Integrator-Instanz. Beispielsweise rmi://<IP-Adresse>:<Port>/ITDIDispatcher, wobei „IP-Adresse“ den IBM Verify Host des Directory Integrators und „Port“ die Portnummer des RMI-Dispatchers bezeichnet.
    URL Geben Sie den Speicherort und die Portnummer des Verzeichnisservers auf dem System „ IBM i “ an. Die gültige Syntax lautet: ldap:// <ip-address>:<port>, wobei „ip-address“ die IP-Adresse des Servers IBM i und „port“ die Portnummer des Servers IBM i LDAP ist. Beispielsweise könnten Sie die Adresse URL als ldap://irvas02.eng.irvine.ibm.com:389 angeben.

    Wenn „ SSL “ aktiviert ist, lautet die Syntax: ldaps://ip-address:SSLPort. Sie könnten beispielsweise die URL URL als ldaps://irvas02.eng.irvine.ibm.com:636 angeben
    Administratorname Geben Sie die Benutzer-ID von „ iSeries “ an.
    *ALLOBJ Hinweis: Das Benutzerprofil muss über besondere Berechtigungen verfügen *SECADM
    Basis-DN für Benutzercontainer Geben Sie den definierten Namen (DN) des Containers oder Basispunkts an, in dem die Benutzerprofile gespeichert sind. Der Adapter erstellt neue Benutzer unter diesem DN. Außerdem werden von Suchoperationen Benutzeraccounteinträge unter diesem DN zurückgegeben. Beispielsweise könnten Sie den DN wie folgt angeben: cn=accounts,os400-sys=irvas02. eng.irvine.ibm.com.
    Wert des Parameters OWNOBJOPT für Löschen Geben Sie die Art der Operationen an, die für eigene Objekte des zu löschenden Benutzerprofils ausgeführt werden. Dieses Feld ist ein Textfeld und kann einen der folgenden Werte annehmen: *NODLT

    Falls der Benutzer andere Objekte als die dem Benutzerprofil zugeordnete Nachrichtenwarteschlange besitzt, ändern sich die eigenen Objekte für das Benutzerprofil nicht. Das Benutzerprofil wird nicht gelöscht. Falls der Benutzer nur die dem Profil zugeordnete Nachrichtenwarteschlange besitzt, werden die Nachrichtenwarteschlange und das Profil gelöscht. *DLT

    Die dem Benutzerprofil eigenen Objekte werden gelöscht. Wenn das Löschen der Objekte erfolgreich war, werden die Anmeldedaten des Benutzers aus OfficeVision*… entfernt. *CHGOWN username

    Die Eigentumsrechte an den Objekten des Benutzerprofils werden auf das unter „username“ angegebene Benutzerprofil übertragen. Wenn alle eigenen Objekte erfolgreich übertragen wurden, wird das Benutzerprofil gelöscht.
    Kennwort Geben Sie das Kennwort für den Administrator an.
    Identitätsagent Wählen Sie aus der Dropdown-Liste einen Identity Agent vom Typ „Provisioning“ aus, über den das Anwendungsprofil ermittelt wird.
    Beschreibung Optionales Feld. Fügen Sie bei Bedarf die Beschreibung hinzu.
    SSL-Kommunikation mit LDAP verwenden Mit diesem Kontrollkästchen wird festgelegt, ob zwischen Security Directory Integrator und dem Verzeichnisserver IBM i die Authentifizierung über „ SSL “ verwendet werden soll
  9. Klicken Sie auf „Verbindung testen“, um die Verbindung zum lokalen „ iSeries “ zu prüfen. Die Verbindung muss erfolgreich hergestellt werden, um Konten in der Anwendung „ iSeries “ einzurichten oder abzugleichen.
  10. Ordnen Sie die Attribute der Ziel- iSeries en nach Bedarf den Verify-Attributen zu. Aktivieren Sie das Kontrollkästchen „Aktualisieren“, wenn die Attribute auf dem Ziel aktualisiert werden sollen.

  11. Wählen Sie die Registerkarte „Kontosynchronisierung“ aus.
  12. Fügen Sie im Abschnitt „Adoptionsrichtlinie“ ein oder mehrere Attributpaare hinzu, die übereinstimmen müssen, damit der Kontosynchronisierungsprozess die „ iSeries “-Konten den jeweiligen Kontoinhabern auf Verify zuweisen kann.
  13. Wählen Sie im Abschnitt „Korrekturmaßnahmen“ eine Richtlinie aus, um nicht konforme Konten automatisch zu korrigieren.
  14. Klicken Sie auf „Speichern “.
  15. Nachdem die Anwendung gespeichert wurde, legen Sie die Berechtigungsrichtlinie auf der Registerkarte „Berechtigungen“ fest.