Active Directory-Anwendung mittels Onboarding integrieren

Online bearbeiten

Bereitstellung von Benutzern von Verify auf Active Directory.

Vorbereitende Schritte

Vorgehensweise

  1. Melden Sie sich als Administrator bei Verifyan.
  2. Wählen Sie „Anwendungen“ > „Anwendungen“ und klicken Sie auf „Anwendung hinzufügen“.
  3. Suchen Sie im Popup-Fenster Anwendungstyp auswählen nach Active Directory und wählen Sie aus, dass eine Anwendung des Typs Active Directoryerstellt werden soll.
  4. Klicken Sie im Popup-Fenster auf Anwendung hinzufügen .
  5. Wählen Sie auf der Seite Anwendungen hinzufügen die Registerkarte Allgemein aus und geben Sie die erforderlichen Details an.
    Hinweis: Die Registerkarte Anmeldung ist nicht verfügbar, da sie für Anwendungen des Typs Active Directorynicht anwendbar ist.
  6. Wählen Sie die Registerkarte Accountlebenszyklus aus.
  7. Geben Sie die Richtlinien für die Bereitstellung und die Zurücknahme der Bereitstellung an.
    Parameter Beschreibung
    Accounts bereitstellen

    Die Bereitstellung von Accounts ist standardmäßig Inaktiviert , d. h., die Kontoerstellung erfolgt außerhalb von IBM® Verify.

    Wählen Sie die Option Aktiviert aus, um einen Account automatisch bereitzustellen, wenn das Nutzungsrecht einem Benutzer zugeordnet wird. Kennwortgenerierungen und E-Mail-Benachrichtigungsfunktionen sind für das Konto verfügbar, das mit IBM Verifyerstellt wurde.
    Bereitstellung von Accounts zurücknehmen

    Das Löschen von Accounts ist standardmäßig Inaktiviert . Dies bedeutet, dass das Entfernen von Accounts außerhalb von IBM Verifyausgeführt wird.

    Wählen Sie die Option Aktiviert aus, um die Bereitstellung eines Accounts automatisch zurückzunehmen, wenn das Nutzungsrecht für einen Benutzer entfernt wird.
    Accountkennwort
    Cloud Directory-Kennwort des Benutzers synchronisieren
    Diese Option ist verfügbar, wenn der Kennwortabgleich in Cloud Directory aktiviert ist. Sie verwendet das Cloud Directory-Kennwort, wenn ein regulärer Benutzer für die Anwendung bereitgestellt wird. Föderierte Benutzer empfangen ein generiertes Kennwort, wenn sie für die Anwendung bereitgestellt werden.
    Kennwort generieren
    Mit dieser Option wird für den bereitgestellten Account ein automatisch generiertes Kennwort generiert. Das Kennwort basiert auf der Cloud Directory-Kennwortrichtlinie.
    Ohne
    Bei dieser Option wird der Account ohne ein Kennwort bereitgestellt.
    E-Mail-Benachrichtigung senden Diese Option ist verfügbar, wenn Sie die Option Kennwort generieren auswählen. Wenn die Option E-Mail-Benachrichtigung senden ausgewählt wird, wird eine E-Mail-Benachrichtigung mit dem automatisch generierten Kennwort an Ihre E-Mail-Adresse gesendet, nachdem der Account erfolgreich bereitgestellt wurde.
    Karenzzeit (Tage) Legen Sie die Karenzzeit in Tagen fest, für die ein Account, dessen Bereitstellung zurückgenommen wurde, als 'ausgesetzt' aufbewahrt wird, bevor er permanent gelöscht wird.
    Aktion zum Zurücknehmen der Bereitstellung Löschen Sie das Konto. Dieses Feld ist nur verfügbar, wenn das Feld 'Bereitstellung von Accounts zurücknehmen' aktiviert ist.
  8. Geben Sie die API-Authentifizierungsdetails an.
    • Agenten-URL: URL des mit lokalem Active Directory installierten Adapteragenten. Beispiel: http://<Adapter_host>:<adapter_port>
    • Benutzer-ID des Agenten: Die Benutzer-ID des lokalen Active Directory -Adapters. (Agent)
    • Agentenkennwort: Kennwort des lokalen Active Directory -Adapters. (Agent)
  9. Geben Sie die Verify Bridge-Details an.
    Verknüpfen Sie den Verify Identitätsagenten, den Sie in der Konfiguration erstellt haben, über die Benutzeroberfläche „Verify“.
  10. Optional: Geben Sie die Zieldetails an.
    • User base DN:
    • Group base DN:
    Hinweis: Geben Sie den DN des Gruppenobjekts von Active Directoryan. Ein Beispiel-DN für einen Benutzer mit dem Namen CSantana, dessen Objekt im Container cn=Users in einer Domäne mit dem Namen Company.com gespeichert ist, lautet cn=CSantana,cn=Users,dc=Company,dc=com.
    Legen Sie den Wert wie folgt fest:
    User base DN: cn=Users,dc=Company,dc=com
Group base DN: CN=Users,dc=Company,dc=com
  11. Klicken Sie auf Verbindung testen , um die Verbindung zum lokalen Active Directory -Adapter zu testen.
    Die Verbindung muss erfolgreich sein, damit Accounts in der Active Directory-Anwendung bereitgestellt oder abgeglichen werden können.
  12. Ordnen Sie die Attributnamen der Active Directory-Zielattribute den jeweiligen Cloud Directory-Attributen zu.
    Wählen Sie das Kontrollkästchen Wert immer aktualisieren für die Attribute aus, die im Ziel aktualisiert werden müssen.
  13. Wählen Sie die Registerkarte Accountsynchronisation aus.
  14. Fügen Sie im Abschnitt Übernahmerichtlinie ein oder mehrere Attributpaare hinzu, die für den Accountsynchronisationsprozess übereinstimmen müssen, um Active Directory -Konten ihren jeweiligen Kontoeignern in Verifyzuzuordnen.
  15. Wählen Sie im Abschnitt Korrekturrichtlinien eine Korrekturrichtlinie aus, um nicht konforme Accounts manuell zu korrigieren.
  16. Klicken Sie auf Speichern.
  17. Nachdem die Anwendung gespeichert wurde, geben Sie die Bereitstellungsoptionen auf der Registerkarte Nutzungsrechte an.
    Hinweis:

    Der Fehlerschwellenwert für den Abgleich wird standardmäßig auf 15 % gesetzt. Damit wird sichergestellt, dass das Accountsynchronisationsergebnis gelöscht und die Operation angehalten wird, wenn zwischen aufeinanderfolgenden Accountsynchronisationen mehr als 15 % gelöschter Accounts gefunden werden.

    Ist ein höherer Prozentsatz gelöschter Datensätze vorhanden (normalerweise mit einem geringeren Datenvolumen - das geringere Datenvolumen trägt zu einer höheren prozentualen Abweichung bei), passen Sie den Wert entsprechend an. Wird der Fehlerschwellenwert auf 100 % gesetzt, wird die prozentuale Abweichung ignoriert und die Accountsynchronisationsoperation wird abgeschlossen.

    Sie können den Fehlerschwellenwert ändern, indem Sie die Umgebungsvariable RECONCILIATION_FAILURETHRESHOLD_VALUE:"100” (der Wert kann zwischen 0 und 100 liegen) im Abschnitt "identity-brokerage environments" in der yml-Datei "docker-compose" hinzufügen. Starten Sie anschließend den Container erneut, wenn er bereits ausgeführt wird.

    Beispiel:

    
identity-brokerage:
image: ibmcom/identity-brokerage
container_name: identity-brokerage
depends_on:
- ib-init
- ibdb
environment:
LICENSE_ACCEPT: "yes"
HOSTNAME: "identity-brokerage"
DB_SERVICE_NAME: "ibdb"
TRACE: "enabled"
SCIM_USER: "<>"
SCIM_USER_PASSWORD: "<>"
RECONCILIATION_FAILURETHRESHOLD_VALUE: "75"