Incorporación de la aplicación Microsoft Active Directory

Editar en línea

Aprovisionamiento de usuarios desde Verify a Active Directory.

Antes de empezar

Procedimiento

  1. Inicie sesión como administrador en Verify.
  2. Seleccione Aplicaciones > Aplicaciones y haga clic en Añadir aplicación.
  3. En la ventana emergente Seleccionar tipo de aplicación, busque Microsoft™ Active Directory y selecciónelo para crear una aplicación de tipo Microsoft Active Directory.
  4. Pulse Añadir aplicación en la ventana emergente.
  5. En la página Añadir aplicaciones , seleccione la pestaña General para especificar los detalles necesarios.
    Nota: La pestaña Inicio de sesión no está disponible porque no es aplicable para aplicaciones de tipo Active Directory.
  6. Seleccione la pestaña Ciclo de vida de cuenta .
  7. Especifique las políticas de suministro y de cancelación de suministro.
    Parámetros Descripción
    Suministrar cuentas

    El suministro de cuentas está Inhabilitado de forma predeterminada, lo que significa que la creación de la cuenta se realiza fuera de IBM Verify.

    Marque la opción Habilitado para suministrar automáticamente una cuenta cuando la titularidad está asignada a un usuario. Las generaciones de contraseñas y las características de notificación por correo electrónico están disponibles para la cuenta creada utilizando IBM Verify.
    Dejar de suministrar cuentas

    La eliminación del suministro de cuentas está Inhabilitada de forma predeterminada, lo que significa que la eliminación de la cuenta se realiza fuera de IBM Verify.

    Seleccione la opción Habilitado para dejar de suministrar automáticamente una cuenta cuando se elimina la titularidad de un usuario.
    Contraseña de cuenta
    Sincronizar contraseña de Cloud Directory del usuario
    Esta opción está disponible si la sincronización de contraseña está habilitada en Cloud Directory. Utiliza la contraseña de Cloud Directory cuando se suministra un usuario normal a la aplicación. Los usuarios federados reciben una contraseña generada cuando se suministran a la aplicación.
    Generar contraseña
    Esta opción genera una contraseña aleatoria para la cuenta suministrada. La contraseña se basa en la política de contraseñas de Cloud Directory.
    Ninguna
    Esta opción suministra la cuenta sin contraseña.
    Enviar notificación de correo electrónico Esta opción está disponible cuando se selecciona la opción Generar contraseña. Al seleccionar la opción Enviar notificación de correo electrónico, se envía una notificación de correo electrónico con la contraseña generada automáticamente a la dirección de correo electrónico después de que la cuenta se haya suministrado correctamente.
    Periodo de gracia (días) Establezca el periodo de gracia en días para los que se conservará la cuenta de suministro como suspendida antes de suprimirla permanentemente.
    Acción de dejar de suministrar Suprimir la cuenta. Este campo sólo está disponible si el campo Dejar de suministrar cuentas está habilitado.
  8. En Sección general, seleccione Perfil de aplicación en el desplegable. Si el perfil no existe, debe crear uno. Para obtener más información, consulte Gestión de perfiles de aplicación del adaptador de identidad.
  9. Especifique los detalles de autenticación de API.
    • URL: URL del agente de adaptador instalado con Active Directory de forma local. Por ejemplo:http://<Adapter_host>:<adapter_port>
    • ID de usuario: ID de usuario del adaptador local de Active Directory. (agente)
    • Contraseña: contraseña del adaptador local de Active Directory. (agente)
  10. Proporcione los detalles de Verify Bridge.
    Asociar el agente Verify de identidad que ha creado en Configuración a través de la interfaz de usuario Verify.
  11. Opcional: Especifique los detalles del destino.
    • Users base Point base DN:
    • Groups base Point DN:
    Nota: Especifique el DN del objeto de grupo de Active Directory. Un DN de ejemplo para un usuario denominado CSantana cuyo objeto se almacena en el contenedor cn=Users en un dominio denominado Company.com es cn=CSantana,cn=Users,dc=Company,dc=com.
    Establezca el valor como:
    User base DN: cn=Users,dc=Company,dc=com
Group base DN: CN=Users,dc=Company,dc=com
  12. Pulse Probar conexión para probar la conexión con el adaptador de Active Directory local.
    La conexión debe ser satisfactoria para suministrar o conciliar las cuentas en la aplicación Active Directory.
  13. Correlacione los nombres de atributo de los atributos de Active Directory de destino con atributos específicos de Cloud Directory.
    Seleccione el recuadro de selección Mantener el valor actualizado para los atributos que es necesario actualizar en el destino.
  14. Seleccione la pestaña Sincronización de cuenta .
  15. En la sección Política de adopción , añada uno o varios pares de atributos que deban coincidir para que el proceso de sincronización de cuentas asigne cuentas de Active Directory a sus respectivos propietarios de cuentas en Verify.
  16. En la sección Políticas de remediación , elija una política de remediación para remediar manualmente las cuentas no conformes.
  17. Pulse Guardar.
  18. Una vez guardada la aplicación, especifique las opciones de suministro en la ficha Titularidades .
    Nota:

    De forma predeterminada, el umbral de errores de reconocimiento se establece en 15%. Garantiza que si se encuentra más del 15% de la cuenta suprimida entre sincronizaciones sucesivas de la cuenta, el resultado de sincronización de cuenta se descarta y se detiene la operación.

    Si hay un porcentaje más alto de registros suprimidos (normalmente con un volumen de datos más pequeño, el cambio de datos más pequeño contribuirá a una desviación superior en %), ajuste el valor adecuadamente. Estableciendo el valor de umbral de anomalía en 100%, se ignorará la desviación de % y se completará la operación de sincronización de cuenta.

    Puede cambiar el valor del umbral de anomalía añadiendo la variable de entorno RECONCILIATION_FAILURETHRESHOLD_VALUE:"100” (el valor puede situarse entre 0 y 100) bajo la sección de entornos de Identity Brokerage, en el archivo yml de docker-compose. Una vez hecho, reinicie el contenedor si ya se está ejecutando.

    Por ejemplo:

    
identity-brokerage:
image: ibmcom/identity-brokerage
container_name: identity-brokerage
depends_on:
- ib-init
- ibdb
environment:
LICENSE_ACCEPT: "yes"
HOSTNAME: "identity-brokerage"
DB_SERVICE_NAME: "ibdb"
TRACE: "enabled"
SCIM_USER: "<>"
SCIM_USER_PASSWORD: "<>"
RECONCILIATION_FAILURETHRESHOLD_VALUE: "75"