Onboarding der iSeries

Online bearbeiten

Bereitstellung von Benutzern aus Verify zum iSeries® On-Premises-Adapter.

Vorbereitende Schritte

  1. Konfigurieren Sie den Identitätsagenten für die Authentifizierung in Verify. Siehe Konfiguration über die Benutzeroberfläche „Verify “.
  2. Implementieren und konfigurieren Sie die Identity Brokerage On-Premises-Komponente " IBM® Verify.

Vorgehensweise

  1. Melden Sie sich als Administrator bei " IBM Verify an.
  2. Wählen Sie „Anwendungen“ > „Anwendungen“ und klicken Sie auf „Anwendung hinzufügen “.
  3. Suchen Sie im Menü nach dem Anwendungstyp, der als Name für das hochgeladene Anwendungsprofil festgelegt wurde, und klicken Sie auf Anwendung hinzufügen.
    Wenn zum Beispiel das Profil " iSeries mit dem Namen " iSeries, hochgeladen wurde, wird die Anwendung mit " iSeries(custom gefunden).
  4. Wählen Sie auf der Seite Anwendungen hinzufügen die Registerkarte Allgemein, und geben Sie die erforderlichen Details an.
  5. Wählen Sie die Registerkarte Kontolebenszyklus.
  6. Geben Sie die Richtlinien für die Bereitstellung und die Zurücknahme der Bereitstellung an.
    Parameter Beschreibung
    Accounts bereitstellen

    Bereitstellungskonten sind standardmäßig deaktiviert, was bedeutet, dass die Kontoerstellung außerhalb von " IBM Verify erfolgt.

    Wählen Sie die Option Aktiviert aus, um ein Konto automatisch bereitzustellen, wenn das Nutzungsrecht einem Benutzer zugewiesen wird. Die Funktionen zur Generierung von Passwörtern und zur Benachrichtigung per E-Mail sind für das Konto verfügbar, das mit " IBM Verify erstellt wurde.
    Bereitstellung von Accounts zurücknehmen

    Die Deprovisionierung von Konten ist standardmäßig deaktiviert, was bedeutet, dass die Entfernung von Konten außerhalb von " IBM Verify erfolgt.

    Wählen Sie die Option Aktiviert, um ein Konto automatisch zu deprovisionieren, wenn einem Benutzer die Berechtigung entzogen wird.
    Accountkennwort
    Cloud Directory-Kennwort des Benutzers synchronisieren
    Diese Option ist verfügbar, wenn der Kennwortabgleich in Cloud Directory aktiviert ist. Sie verwendet das Cloud Directory-Kennwort, wenn ein regulärer Benutzer für die Anwendung bereitgestellt wird. Föderierte Benutzer empfangen ein generiertes Kennwort, wenn sie für die Anwendung bereitgestellt werden.
    Kennwort generieren
    Mit dieser Option wird für den bereitgestellten Account ein automatisch generiertes Kennwort generiert. Das Kennwort basiert auf der Cloud Directory-Kennwortrichtlinie.
    Ohne
    Bei dieser Option wird der Account ohne ein Kennwort bereitgestellt.
    E-Mail-Benachrichtigung senden Diese Option ist verfügbar, wenn Sie die Option Kennwort generieren auswählen. Wenn Sie die Option E-Mail-Benachrichtigung senden wählen, wird eine E-Mail-Benachrichtigung mit dem automatisch generierten Passwort an Ihre E-Mail-Adresse gesendet, nachdem das Konto erfolgreich eingerichtet wurde.
    Karenzzeit (Tage) Legen Sie die Karenzzeit in Tagen fest, für die ein entzogenes Konto als ausgesetzt gilt, bevor es endgültig gelöscht wird.
    Aktion zum Zurücknehmen der Bereitstellung Löschen Sie das Konto. Dieses Feld ist nur verfügbar, wenn das Feld "Deprovision Account" aktiviert ist.
  7. Wählen Sie im Abschnitt Allgemein das Anwendungsprofil aus der Dropdown-Liste. Wenn das Profil nicht vorhanden ist, muss es erstellt werden. Weitere Informationen finden Sie unter Verwalten von Identitätsadapter-Anwendungsprofilen.
  8. Geben Sie die API-Authentifizierungsdetails an.
    Parameter Beschreibung
    Tivoli® Directory Integrator-Position URL für die IBM Verify -Verzeichnisintegratorinstanz. Beispiel: rmi://<ip-address>:<port>/ITDIDispatcher, wobei ip-address der ' IBM Verify und port die Portnummer für den RMI-Dispatcher ist.
    URL Geben Sie den Standort und die Portnummer des Verzeichnisservers auf dem IBM i an. Die gültige Syntax lautet: ldap://:<port>, wobei ip-address für den IBM i Server-Host und port für die IBM i LDAP-Portnummer steht. Sie können URL beispielsweise als ldap://irvas02.eng.irvine.ibm.com:389 angeben.

    Wenn SSL aktiviert ist, lautet die Syntax: ldaps://ip-address:SSLPort. Zum Beispiel könnten Sie URL wie folgt angeben: ldaps://irvas02.eng.irvine.ibm.com:636
    Administratorname Geben Sie die iSeries an.
    Hinweis: Das Benutzerprofil muss die Sonderrechte " *SECADM und " *ALLOBJ haben
    Basis-DN für Benutzercontainer Geben Sie den definierten Namen (DN) des Containers oder Basispunkts an, in dem die Benutzerprofile gespeichert sind. Der Adapter erstellt neue Benutzer unter diesem DN. Außerdem werden von Suchoperationen Benutzeraccounteinträge unter diesem DN zurückgegeben. Sie könnten den DN beispielsweise als cn=accounts,os400-sys=irvas02eng.irvine.ibm.com angeben.
    Wert des Parameters OWNOBJOPT für Löschen Geben Sie die Art der Operationen an, die für eigene Objekte des zu löschenden Benutzerprofils ausgeführt werden. Dieses Feld ist ein Textfeld und kann einen der folgenden Werte annehmen: *NODLT

    Falls der Benutzer andere Objekte als die dem Benutzerprofil zugeordnete Nachrichtenwarteschlange besitzt, ändern sich die eigenen Objekte für das Benutzerprofil nicht. Das Benutzerprofil wird nicht gelöscht. Falls der Benutzer nur die dem Profil zugeordnete Nachrichtenwarteschlange besitzt, werden die Nachrichtenwarteschlange und das Profil gelöscht. *DLT

    Die dem Benutzerprofil eigenen Objekte werden gelöscht. Ist die Löschung der Objekte erfolgreich, werden die Benutzerregistrierungsinformationen aus " OfficeVision* entfernt. *CHGOWN username

    Das Eigentum an den Objekten, die dem Benutzerprofil gehören, wird auf das in username angegebene Benutzerprofil übertragen. Wenn alle eigenen Objekte erfolgreich übertragen wurden, wird das Benutzerprofil gelöscht.
    Kennwort Geben Sie das Kennwort für den Administrator an.
    Identitätsagent Wählen Sie aus der Dropdown-Liste einen Identitätsagenten des Typs Provisioning aus, über den das Anwendungsprofil ermittelt wird.
    Beschreibung Optionales Feld. Fügen Sie bei Bedarf die Beschreibung hinzu.
    SSL-Kommunikation mit LDAP verwenden Dieses Kontrollkästchen wird verwendet, um anzugeben, ob die SSL-Authentifizierung zwischen Security Directory Integrator und dem IBM i Directory Server verwendet werden soll
  9. Klicken Sie auf Verbindung testen, um die Verbindung zur iSeries vor Ort zu testen. Die Verbindung muss erfolgreich sein, um Konten auf der iSeries bereitzustellen oder abzustimmen.
  10. Ordnen Sie die iSeries den Verify-Attributen wie erforderlich zu. Aktivieren Sie das Kontrollkästchen Aktualisiert halten für die Attribute, die auf dem Ziel aktualisiert werden müssen.
  11. Wählen Sie die Registerkarte Kontosynchronisierung.
  12. Fügen Sie im Abschnitt Adoptionsrichtlinie ein oder mehrere Attributpaare hinzu, die übereinstimmen müssen, damit der Kontosynchronisierungsprozess die iSeries den jeweiligen Kontoeigentümern bei der Überprüfung zuweist
  13. Wählen Sie im Abschnitt Sanierungsrichtlinien eine Sanierungsrichtlinie aus, um nicht konforme Konten automatisch zu sanieren.
  14. Klicken Sie auf Speichern.
  15. Nachdem die Anwendung gespeichert wurde, geben Sie auf der Registerkarte Berechtigungen die Berechtigungsrichtlinie an.