Incorporación de la aplicación Active Directory

Editar en línea

Proporcionar usuarios de Verify a Active Directory local.

Antes de empezar

Procedimiento

  1. Inicia sesión como administrador en Verify.
  2. Selecciona «Aplicaciones » > «Aplicaciones» y haz clic en «Añadir aplicación».
  3. En la ventana emergente «Seleccionar tipo de aplicación », busca « Active Directory » y selecciónala para crear una aplicación del tipo « Active Directory ».
  4. Haz clic en «Añadir aplicación» en la ventana emergente.
  5. En la página «Añadir aplicaciones », selecciona la pestaña «General» y especifica los datos necesarios.
    Nota: La pestaña «Inicio de sesión» no está disponible, ya que no es aplicable a las aplicaciones del tipo « Active Directory ».
  6. Selecciona la pestaña «Ciclo de vida de la cuenta ».
  7. Especifique las políticas de suministro y de cancelación de suministro.
    Parámetros Descripción
    Suministrar cuentas

    Las cuentas de provisión están desactivadas de forma predeterminada, lo que significa que la creación de cuentas se realiza fuera de IBM® Verify.

    Marque la opción Habilitado para suministrar automáticamente una cuenta cuando la titularidad está asignada a un usuario. Las funciones de generación de contraseñas y notificación por correo electrónico están disponibles para la cuenta creada mediante IBM Verify.
    Dejar de suministrar cuentas

    La desactivación de cuentas está desactivada de forma predeterminada, lo que significa que la eliminación de cuentas se realiza fuera de IBM Verify.

    Seleccione la opción Habilitado para dejar de suministrar automáticamente una cuenta cuando se elimina la titularidad de un usuario.
    Contraseña de cuenta
    Sincronizar contraseña de Cloud Directory del usuario
    Esta opción está disponible si la sincronización de contraseña está habilitada en Cloud Directory. Utiliza la contraseña de Cloud Directory cuando se suministra un usuario normal a la aplicación. Los usuarios federados reciben una contraseña generada cuando se suministran a la aplicación.
    Generar contraseña
    Esta opción genera una contraseña aleatoria para la cuenta suministrada. La contraseña se basa en la política de contraseñas de Cloud Directory.
    Ninguna
    Esta opción suministra la cuenta sin contraseña.
    Enviar notificación de correo electrónico Esta opción está disponible cuando se selecciona la opción Generar contraseña. Al seleccionar la opción Enviar notificación de correo electrónico, se envía una notificación de correo electrónico con la contraseña generada automáticamente a la dirección de correo electrónico después de que la cuenta se haya suministrado correctamente.
    Periodo de gracia (días) Establezca el periodo de gracia en días para los que se conservará la cuenta de suministro como suspendida antes de suprimirla permanentemente.
    Acción de dejar de suministrar Suprimir la cuenta. Este campo sólo está disponible si el campo Dejar de suministrar cuentas está habilitado.
  8. Especifique los detalles de autenticación de API.
    • URL de agente: URL del agente de adaptador instalado con Active Directory de forma local. Por ejemplo:http://<Adapter_host>:<adapter_port>
    • ID de usuario de agente: ID de usuario del adaptador de Active Directory local (agente)
    • Contraseña de agente: contraseña del adaptador de Active Directory local (agente)
  9. Indique los datos del Verify puente.
    Asocia el Verify agente de identidad que has creado en la sección «Configuración» a través de la interfaz de usuario de Verify.
  10. Opcional: Indica los detalles del destino.
    • User base DN:
    • Group base DN:
    Nota: Indique el DN del objeto de grupo de Active Directory. Un ejemplo de DN para un usuario llamado CSantana cuyo objeto está almacenado en el cn=Users contenedor de un dominio llamado Company.com es cn=CSantana,cn=Users,dc=Company,dc=com.
    Establezca el valor como:
    User base DN: cn=Users,dc=Company,dc=com
Group base DN: CN=Users,dc=Company,dc=com
  11. Haz clic en «Probar conexión» para comprobar la conexión con el adaptador de Active Directory en las instalaciones.
    La conexión debe ser satisfactoria para suministrar o conciliar las cuentas en la aplicación Active Directory.
  12. Correlacione los nombres de atributo de los atributos de Active Directory de destino con atributos específicos de Cloud Directory.
    Seleccione el recuadro de selección Mantener el valor actualizado para los atributos que es necesario actualizar en el destino.
  13. Selecciona la pestaña «Sincronización de cuentas ».
  14. En la sección «Política de adopción», añade uno o varios pares de atributos que deban coincidir para que el proceso de sincronización de cuentas asigne las cuentas de Active Directory a sus respectivos propietarios en Verify.
  15. En la sección «Políticas de corrección», seleccione una política de corrección para corregir manualmente las cuentas que no cumplen los requisitos.
  16. Haz clic en «Guardar ».
  17. Una vez guardada la solicitud, especifique las opciones de aprovisionamiento en la pestaña «Derechos ».
    Nota:

    De forma predeterminada, el umbral de errores de reconocimiento se establece en 15%. Garantiza que si se encuentra más del 15% de la cuenta suprimida entre sincronizaciones sucesivas de la cuenta, el resultado de sincronización de cuenta se descarta y se detiene la operación.

    Si hay un porcentaje más alto de registros suprimidos (normalmente con un volumen de datos más pequeño, el cambio de datos más pequeño contribuirá a una desviación superior en %), ajuste el valor adecuadamente. Estableciendo el valor de umbral de anomalía en 100%, se ignorará la desviación de % y se completará la operación de sincronización de cuenta.

    Puede cambiar el valor del umbral de anomalía añadiendo la variable de entorno RECONCILIATION_FAILURETHRESHOLD_VALUE:"100” (el valor puede situarse entre 0 y 100) bajo la sección de entornos de Identity Brokerage, en el archivo yml de docker-compose. Una vez hecho, reinicie el contenedor si ya se está ejecutando.

    Por ejemplo:

    
identity-brokerage:
image: ibmcom/identity-brokerage
container_name: identity-brokerage
depends_on:
- ib-init
- ibdb
environment:
LICENSE_ACCEPT: "yes"
HOSTNAME: "identity-brokerage"
DB_SERVICE_NAME: "ibdb"
TRACE: "enabled"
SCIM_USER: "<>"
SCIM_USER_PASSWORD: "<>"
RECONCILIATION_FAILURETHRESHOLD_VALUE: "75"