Einrichtung des RSA Authentication Managers

Online bearbeiten

Benutzer von Verify in den On-Premises RSA Authentication Manager®-Adapter übertragen.

Vorbereitende Schritte

  1. Konfigurieren Sie den Identitätsagenten für die Authentifizierung in Verify. Siehe „Konfiguration über die Verify-Benutzeroberfläche “.
  2. Stellen Sie die IBM® Verify Komponente „Identity Brokerage On-Premises“ bereit und konfigurieren Sie sie.

Vorgehensweise

  1. IBM VerifyMelden Sie sich als Administrator bei an.
  2. Wählen Sie „Anwendungen“ > „Anwendungen“ und klicken Sie auf „Anwendung hinzufügen “.
  3. Suchen Sie im Menü nach dem Anwendungstyp, der als Name für das hochgeladene Anwendungsprofil festgelegt wurde, und klicken Sie auf „Anwendung hinzufügen “.
    Wenn das Profil „RSA Authentication Manager“ beispielsweise unter dem Namen „RSA Authentication Manager“ hochgeladen wurde, wird die Anwendung unter „RSA Authentication Manager (benutzerdefiniert)“ angezeigt.
  4. Wählen Sie auf der Seite „Anwendungen hinzufügen “ die Registerkarte „Allgemein“ aus und geben Sie die erforderlichen Angaben ein.
  5. Wählen Sie die Registerkarte „Kundenlebenszyklus“ aus.
  6. Geben Sie die Richtlinien für die Bereitstellung und die Zurücknahme der Bereitstellung an.
    Parameter Beschreibung
    Accounts bereitstellen

    Provisionskonten sind standardmäßig deaktiviert, was bedeutet, dass die Kontoerstellung außerhalb von IBM Verify. erfolgt.

    Wählen Sie die Option Aktiviert aus, um ein Konto automatisch bereitzustellen, wenn das Nutzungsrecht einem Benutzer zugewiesen wird. Für das über IBM Verify[…] erstellte Konto stehen Funktionen zur Passwortgenerierung und E-Mail-Benachrichtigung zur Verfügung.
    Bereitstellung von Accounts zurücknehmen

    Die Deaktivierung von Konten ist standardmäßig deaktiviert, was bedeutet, dass das Löschen von Konten außerhalb von IBM Verify. erfolgt.

    Wählen Sie die Option „Aktiviert“, um ein Konto automatisch zu deaktivieren, wenn einem Benutzer die Berechtigung entzogen wird.
    Accountkennwort
    Cloud Directory-Kennwort des Benutzers synchronisieren
    Diese Option ist verfügbar, wenn der Kennwortabgleich in Cloud Directory aktiviert ist. Sie verwendet das Cloud Directory-Kennwort, wenn ein regulärer Benutzer für die Anwendung bereitgestellt wird. Föderierte Benutzer empfangen ein generiertes Kennwort, wenn sie für die Anwendung bereitgestellt werden.
    Kennwort generieren
    Mit dieser Option wird für den bereitgestellten Account ein automatisch generiertes Kennwort generiert. Das Kennwort basiert auf der Cloud Directory-Kennwortrichtlinie.
    Ohne
    Bei dieser Option wird der Account ohne ein Kennwort bereitgestellt.
    E-Mail-Benachrichtigung senden Diese Option ist verfügbar, wenn Sie die Option Kennwort generieren auswählen. Wenn Sie die Option „E-Mail-Benachrichtigung senden“ auswählen, wird nach der erfolgreichen Einrichtung des Kontos eine E-Mail-Benachrichtigung mit dem automatisch generierten Passwort an Ihre E-Mail-Adresse gesendet.
    Karenzzeit (Tage) Legen Sie die Karenzzeit in Tagen fest, während der ein deaktiviertes Konto als gesperrt verbleibt, bevor es endgültig gelöscht wird.
    Aktion zum Zurücknehmen der Bereitstellung Löschen Sie das Konto. Dieses Feld ist nur verfügbar, wenn das Feld „Konto deaktivieren“ aktiviert ist.
  7. Wählen Sie im Abschnitt „Allgemein“ im Dropdown-Menü die Option „Anwendungsprofil“ aus. Wenn das Profil nicht vorhanden ist, muss es erstellt werden. Weitere Informationen finden Sie unter „Verwalten von Anwendungsprofilen für Identitätsadapter“.
  8. Geben Sie die API-Authentifizierungsdetails an.
    Parameter Beschreibung
    Security Directory Integrator-Position URL für die IBM VerifyDirectory Integrator-Instanz. rmi://<ip-address>:<port>/ITDIDispatcherBeispielsweise, wobei „ip-address“ der IBM Verify Host des Directory Integrators und „port“ die Portnummer des RMI-Dispatchers ist.

    Die Standard-URL für die Standardinstanz SDI1 ist rmi://localhost:1099/ITDIDispatcher.

    In der folgenden Tabelle sind die Ports aufgeführt, die in der Firewall für jede erstellte Instanz geöffnet sind. Bei Verwendung dieser Portnummern wird jedoch keine Hochverfügbarkeit unterstützt.

    Tabelle 1. Anschlüsse

    Instanz und Ports
    Instanz Ports
    SDI1 1199, 1198, 1197, 1196, 1195, 1194
    SDI2 2299, 2298, 2297, 2296, 2295, 2294
    SDI3 3399, 3398, 3397, 3396, 3395, 3394
    SDI4 4499, 4498, 4497, 4496, 4495, 4494
    SDI5 5599, 5598, 5597, 5596, 5595, 5594
    SDI6 6699, 6698, 6697, 6696, 6695, 6694
    SDI7 7799, 7798, 7797, 7796, 7795, 7794
    SDI8 8899, 8898, 8897, 8896, 8895, 8894
    SDI9 9999, 9998, 9997, 9996, 9995, 9994
    SDI10 11099, 11098, 11097, 11096, 11095, 11094
    Verwenden Sie für eine Hochverfügbarkeitsimplementierung eine der folgenden Portnummern.
    • 1099
    • 2099
    • 3099
    Name der Sicherheitsdomäne

    Geben Sie den Namen der Sicherheitsdomäne an, die der Benutzer verwalten darf und aus der Prinzipale und Supportdaten abgeglichen werden müssen.

    Verwaltungssicherheitsdomänen sind spezifisch für einen Authentication Manager-Server, jedoch wird auf jedem Server standardmäßig eine Sicherheitsdomäne der obersten Ebene (Realm) installiert. Der Standard-Realm-Name lautet SystemDomain.

    Um eine Sicherheitsdomäne anzugeben, die irgendwo unterhalb eines Realms definiert ist, verwenden Sie den vollständigen Pfad zur Sicherheitsdomäne, wobei das > Zeichen als Trennzeichen zwischen den Sicherheitsdomänen in der Hierarchie dient. Beispiel: SystemDomain>Employees>Division1.

    Um eine Sicherheitsdomäne (Realm) der obersten Ebene anzugeben, verwenden Sie den Realm-Namen. Beispiel: SystemDomain.
    Administratorname Geben Sie den Administratorbenutzer an, der für die Anmeldung bei der Ressource und für die Durchführung von Benutzerverwaltungsvorgängen in der angegebenen Sicherheitsdomäne verwendet wird.
    Administratorkennwort Geben Sie das Kennwort für den Benutzer mit Administratorberechtigung an.
    Datenabgleichsgrenzwert Geben Sie diese Option an, um die maximale Anzahl der abzurufenden Benutzerkonten, Gruppen oder Rollen festzulegen. Der Standardwert beträgt 1000. Dieser Wert wird nur für den RSA Authentication Manager v7.1 SP2 und frühere Versionen verwendet. Neuere Versionen des Servers ignorieren diesen Wert und geben alle Benutzerkonten, Gruppen und Rollen zurück.
    Eigner Optional: Geben Sie einen Benutzer als Serviceeigentümer an.
    Servicevoraussetzung Optional: Geben Sie einen Service als Vorbedingung für diesen Service an.
  9. Klicken Sie auf „Verbindung testen“, um die Verbindung zum RSA Authentication Manager vor Ort zu testen. Die Verbindung muss erfolgreich hergestellt werden, um Konten in der Anwendung „RSA Authentication Manager“ einzurichten oder abzugleichen.
  10. Ordnen Sie die gewünschten Attribute des RSA Authentication Managers den entsprechenden Verify-Attributen zu. Aktivieren Sie das Kontrollkästchen „Aktualisieren“, wenn die Attribute auf dem Ziel aktualisiert werden sollen.

  11. Wählen Sie die Registerkarte „Kontosynchronisierung“ aus.
  12. Fügen Sie im Abschnitt „Adoptionsrichtlinie“ ein oder mehrere Attributpaare hinzu, die übereinstimmen müssen, damit der Kontosynchronisierungsprozess RSA Authentication Manager-Konten ihren jeweiligen Kontoinhabern bei Verify zuweisen kann.
  13. Wählen Sie im Abschnitt „Korrekturmaßnahmen“ eine Richtlinie aus, um nicht konforme Konten automatisch zu korrigieren.
  14. Klicken Sie auf „Speichern “.
  15. Nachdem die Anwendung gespeichert wurde, legen Sie die Berechtigungsrichtlinie auf der Registerkarte „Berechtigungen“ fest.