Endpunkte mithilfe von Identitätsadaptern verwalten

Online bearbeiten

IBM® Verify bietet die Möglichkeit, Endpunkte zu verwalten, indem eine JAR-Datei mit dem Profil eines Identitätsadapters für unterstützte Identitätsadapter hochgeladen wird. Hierbei wird automatisch eine angepasste Anwendungsvorlage erstellt, die zum Erstellen einer Anwendung verwendet werden kann. VerifySie können den Lebenszyklus und die Synchronisierung von Konten für die Endpunkte konfigurieren, die von Identitätsadaptern verwaltet werden.

Vorbereitende Schritte

  • Stellen Sie sicher, dass Security Directory Integrator (SDI) für Ihr Betriebssystem installiert ist. Siehe https://www.ibm.com/docs/en/sdi/7.2.0.
  • Installieren und konfigurieren Sie den SDI-Dispatcher für Security Directory Integrator Version 7.2. Siehe https://www.ibm.com/docs/en/sia?topic=adapters-dispatcher.
  • Unterstützte Identitätsadapter für Zielendpunkte:
    • IBM Verify Adapter für Windows AD (64-Bit) mit optionaler Exchange- und Lyn c-Unterstützung – v10.0.1
    • IBM Verify Adapter für „ LDAP “ – v10.0.6
    • IBM Verify Adapter für „ Oracle Database “ – v10.0.3
    • IBM Verify Adapter für „ Linux “ – v10.0.4
    • IBM Verify Adapter für „ SAP “ NetWeaver – v10.0.5
    • IBM Verify Adapter für IBM Verify Access– v10.0.6.
    • IBM Verify Adapter für den „ MySQL “-Server – v8.0.19
    • IBM Verify Adapter für den „ PostgreSQL “-Server – v12.0
    • IBM Verify Adapter für Microsoft- SQL2012
    • IBM Verify Adapter für „ DB2 “ – v10.0.1
    • IBM Verify Adapter für „ iSeries “ – v10.0.1
    • IBM Verify Adapter für die „ SAP “ User Management Engine – v7.1.8
    • IBM Verify Adapter für „ SAP HANA “ – v7.1.5
    • IBM Verify Adapter für Microsoft SharePoint – v10.0.3
    • IBM Verify Adapter für „ PeopleTools “ – v10.0.2
    • IBM Verify Adapter für „ Oracle “ eBusiness Suite – v10.0.3
    • IBM Verify Adapter für lokale Windows-Konten – v10.0.6
    • IBM Verify Adapter für die Befehlszeile (CLIx) – v10.0.1
    • IBM Verify Adapter für „ CyberArk “ – v7.1.2
    • IBM Verify Adapter für „ DB2 “ auf z/OS – v7.1.2
    • IBM Verify Adapter für „ Sybase “ – v7.1.9
    • IBM Verify Adapter für Siebel JDB – v10.0.1
    • IBM Verify Adapter für den RSA Authentication Manager – v10.0.2
    • IBM Verify Adapter für Broadcoms „ Top Secret “ auf z/OS – v10.0.5
    • IBM Verify Adapter für Broadcoms „ ACF2 “ Security für z/OS – v10.0.1
    • IBM Verify Adapter für Verify Privilege Vault – v10.0.2
  • Stellen Sie sicher, dass Sie über die JAR-Dateien, Connectors und Bibliotheken anderer Anbieter für das Zielprofil des Identitätsadapters verfügen, die für die Anforderungen des Endpunkts erforderlich sind. Kopieren Sie diese an die entsprechende Position. Weitere Informationen finden Sie unter https://www.ibm.com/support/pages/ibm-security-verify-governance-adapters-v10x und https://www.ibm.com/docs/en/sia.
  • Stellen Sie sicher, dass Sie über einen Docker-Server zum Bereitstellen der lokalen Komponentencontainer verfügen, die als Schnittstelle zwischen dem Zielendpunkt und Verify fungieren.

Informationen zu dieser Task

Das Adapterprofil definiert die Attribute oder das Schema für den Zielendpunkt. Es muss in Verify hochgeladen werden. Sie wird für die lokalen Komponenten bereitgestellt, die mit dem Identitätsagenten erstellt werden.

Die Datei, die hochgeladen wird, Verify muss eine Java™-Archivdatei (JAR) sein. Die <Adapter>Profile.jar Datei enthält alle Dateien, die zur Definition des Adapterschemas verwendet werden. VerifyBei Bedarf können Sie die Dateien aus der <Adapter>Profile.jar JAR-Datei extrahieren, sie bearbeiten, die JAR-Datei mit den aktualisierten Dateien neu packen und sie erneut auf [Website] hochladen.

Vorgehensweise

  1. Erstellen Sie eine Agentenkonfiguration für die Bereitstellung.
    Informationen finden Sie unter https://www.ibm.com/docs/en/security-verify?topic=provisioning-configuring-through-verify-user-interface.
  2. Stellen Sie die lokalen Komponenten bereit.
    Siehe „Bereitstellung der lokalen Komponenten “.
  3. yml Verwenden Sie die in Schritt 1 erstellte Docker-Compose-Datei, um die lokalen Komponenten bereitzustellen.
    Geben Sie den folgenden Befehl aus.
    docker-compose -f <Docker compose YML file> up -d
  4. Stellen Sie das Identitätsadapterprofil auf der Identity Brokerage-Komponente bereit, die im vorherigen Schritt (Schritt 3) bereitgestellt wurde.
    1. Laden Sie die JAR-Datei mit dem Profil von https://www.ibm.com/support/pages/ibm-security-verify-governance-adapters-v10x herunter.
    2. VerifyMelden Sie sich als Administrator an.
    3. Navigieren Sie zu „Anwendungen “ > „Anwendungsprofile “.
    4. Klicken Sie auf der Seite „Anwendungsprofile“ auf „Profil erstellen“ > „Identitätsadapterprofil“.
    5. Geben Sie den Profilnamen an.
    6. Optional: Geben Sie eine Beschreibung ein.
    7. Wählen Sie den Provisioning-Identitätsagenten aus.
    8. Laden Sie die JAR-Datei für das Zielprofil des Identitätsadapters hoch.
    9. Klicken Sie auf „Profil erstellen “.
    10. Um das Profil zur Verwendung freizugeben, überprüfen Sie die Angaben und klicken Sie anschließend auf „Entwurf veröffentlichen “. Wählen Sie im Popup-Fenster die Option Ja, publizieren aus.
      Nachdem das Profil erfolgreich veröffentlicht wurde, wird die Endpunktvorlage mit demselben Namen wie das Profil generiert. Die Vorlage kann verwendet werden, um andere Anwendungen zu erstellen.
      Hinweis: Für Anwendungen unter LDAP und Oracle werden keine Vorlagen generiert. Verwenden Sie die vorhandenen LDAP- und Oracle-Vorlagen.
  5. Bearbeiten Sie das Adapterprofil.
    Führen Sie die folgenden Schritte aus, um das Adapterprofil zu aktualisieren, Schemaattribute hinzuzufügen, zu ändern oder zu löschen oder das Profil mit einer neuen JAR-Datei für Verify zu aktualisieren.
    1. VerifyMelden Sie sich als Administrator an.
    2. Navigieren Sie zu „Anwendungen “ > „Anwendungsprofile “.
    3. Wählen Sie das vorhandene Anwendungsprofil aus, das Sie aktualisieren möchten, und klicken Sie auf „Profil bearbeiten “.
    4. Optional: Aktualisieren Sie den Profilnamen und die Beschreibung.
    5. Laden Sie die aktualisierte JAR-Datei des Identitätsadapter-Profils hoch und klicken Sie auf „Änderungen speichern “.
    6. Falls das Profil noch nicht zur Verwendung bereitsteht, überprüfen Sie die Angaben, klicken Sie dann auf „Entwurf veröffentlichen“ und wählen Sie im Popup-Fenster die Option „Ja, veröffentlichen“ aus.
      Nachdem das Profil erfolgreich veröffentlicht wurde, wird die Endpunktvorlage mit den Änderungen aktualisiert.
  6. Führen Sie ein Onboarding für die Identitätsadapteranwendung des Endpunkts durch.
    1. VerifyMelden Sie sich als Administrator an.
    2. Gehen Sie zu „Anwendungen “ > „Anwendung hinzufügen “.
    3. Suchen Sie im Popup-Fenster nach dem Namen des zuvor erstellten Anwendungsprofiltyps und klicken Sie auf „Anwendung hinzufügen “.
    4. Wählen Sie auf der Seite „Anwendungen hinzufügen “ die Registerkarte „Allgemein“ aus und geben Sie die erforderlichen Angaben ein.
    5. Wählen Sie die Registerkarte „Kundenlebenszyklus“ aus.
    6. Geben Sie die Richtlinien für die Bereitstellung und die Zurücknahme der Bereitstellung an.
      Parameter Beschreibung
      Accounts bereitstellen

      Die Option Konten bereitstellen ist standardmäßig Inaktiviert; dies bedeutet, dass die Kontoerstellung außerhalb von Verify ausgeführt wird.

      Wählen Sie die Option Aktiviert aus, um ein Konto automatisch bereitzustellen, wenn das Nutzungsrecht einem Benutzer zugewiesen wird. Funktionen zur Kennwortgenerierung und E-Mail-Benachrichtigung sind für Konten verfügbar, die mit Verify erstellt wurden.
      Bereitstellung von Accounts zurücknehmen

      Die Zurücknahme der Bereitstellung von Konten ist standardmäßig Inaktiviert; dies bedeutet, dass das Entfernen von Konten außerhalb von Verify durchgeführt wird.

      Wählen Sie die Option Aktiviert aus, damit die Einrichtung eines Accounts automatisch zurückgenommen wird, wenn das Nutzungsrecht für einen Benutzer entfernt wird.
      Accountkennwort
      Cloud Directory-Kennwort des Benutzers synchronisieren
      Diese Option ist verfügbar, wenn die Kennwortsynchronisation in Cloud Directory aktiviert ist und vom Identitätsadapter unterstützt wird. Sie verwendet das Cloud Directory-Kennwort, wenn ein regulärer Benutzer für die Anwendung bereitgestellt wird. Föderierte Benutzer empfangen ein generiertes Kennwort, wenn sie für die Anwendung bereitgestellt werden.
      Kennwort generieren
      Mit dieser Option wird für den bereitgestellten Account ein automatisch generiertes Kennwort generiert. Das Kennwort basiert auf der Cloud Directory-Kennwortrichtlinie.
      Ohne
      Bei dieser Option wird der Account ohne ein Kennwort bereitgestellt.
      E-Mail-Benachrichtigung senden Diese Option ist verfügbar, wenn Sie die Option Kennwort generieren auswählen. Wenn Sie die Option E-Mail-Benachrichtigung senden auswählen, wird eine E-Mail-Benachrichtigung mit dem automatisch generierten Kennwort an Ihre E-Mail-Adresse gesendet, nachdem das Konto erfolgreich eingerichtet wurde.
      Karenzzeit (Tage) Legen Sie die Karenzzeit in Tagen fest, für die ein Account, dessen Bereitstellung zurückgenommen wurde, gesperrt bleibt, bevor er endgültig gelöscht wird.
      Aktion zum Zurücknehmen der Bereitstellung Diese Option kann für eine aktivierte Aktion zur Rücknahme der Bereitstellung konfiguriert werden, um das Konto entweder zu sperren oder zu löschen. Wenn die Zurücknahme der Bereitstellung inaktiviert wird, wird die Aktion zum Zurücknehmen der Bereitstellung inaktiviert.
  7. Geben Sie die API-Authentifizierungsdetails an.
  8. Klicken Sie auf „Verbindung testen“, um die Verbindung des Endpunkts zu prüfen. Die Verbindung muss erfolgreich sein, damit Konten für die Endpunktanwendung bereitgestellt oder abgeglichen werden können.
  9. Ordnen Sie die Attributnamen der Zielattribute zu, um Attribute von Cloud Directory zu überprüfen. Wählen Sie das Kontrollkästchen Immer aktualisieren für die Attribute aus, die für das Ziel aktualisiert werden sollen.
  10. Wählen Sie die Registerkarte „Kontosynchronisierung“ aus.
  11. VerifyFügen Sie im Abschnitt „Adoptionsrichtlinie“ ein oder mehrere Attributpaare hinzu, die übereinstimmen müssen, damit der Kontosynchronisierungsprozess die Zielkonten ihren jeweiligen Kontoinhabern zuordnet.
  12. Wählen Sie im Abschnitt „Korrekturmaßnahmen“ eine Richtlinie aus, um nicht konforme Konten automatisch zu korrigieren.
  13. Klicken Sie auf „Speichern “.

Nächste Schritte

Nachdem die Anwendung gespeichert wurde, geben Sie die Berechtigungsrichtlinie auf der Registerkarte Nutzungsrechte an.