Intégration de l'application « iSeries »
Transférer les utilisateurs de Verify vers l'adaptateur « On-Premises » d' iSeries®.
Avant de commencer
- Configurez l'agent d'identité pour l'authentification dans Verify. Voir la section « Configuration via l'interface utilisateur de Verify ».
- Déployez et configurez le IBM® Verify composant Identity Brokerage sur site.
Procédure
- Connectez-vous en tant qu'administrateur sur IBM Verify.
- Sélectionnez Applications > Applications, puis cliquez sur Ajouter une application.
- Recherchez le type d'application correspondant au nom attribué au profil d'application téléchargé dans le menu, puis cliquez sur « Ajouter une application ».Par exemple, si le profil iSeries a été mis en ligne sous le nom iSeries,, l'application est alors accessible à l'adresse iSeries(custom.
- Sur la page « Ajouter des applications », sélectionnez l'onglet « Général », puis indiquez les informations requises.
- Sélectionnez l'onglet « Cycle de vie du compte ».
- Spécifiez les règles d'application des accès et d'annulation des accès.
Paramètres Descriptif Mise à disposition des comptes Les comptes de provisionnement sont désactivés par défaut, ce qui signifie que leur création s'effectue en dehors de IBM Verify.
Sélectionnez l'option Activé pour fournir automatiquement un compte lorsque l'autorisation est affectée à un utilisateur. La génération de mots de passe et les notifications par e-mail sont disponibles pour le compte créé à l'aide de IBM Verify.
Annuler les accès aux comptes La désactivation des comptes est désactivée par défaut, ce qui signifie que la suppression des comptes s'effectue en dehors de IBM Verify.
Sélectionnez l'option « Activé » pour désactiver automatiquement un compte lorsqu'un droit est retiré à un utilisateur.
Mot de passe du compte - Synchroniser le mot de passe utilisateur Cloud Directory
- Cette option est disponible si la synchronisation des mots de passe est activée dans Cloud Directory. Elle utilise le mot de passe Cloud Directory lorsque des accès sont appliqués à un utilisateur standard dans l'application. Les utilisateurs fédérés reçoivent un mot de passe généré lorsque des accès leur sont appliqués dans l'application.
- Générer le mot de passe
- Cette option génère un mot de passe aléatoire pour le compte auquel des accès sont appliqués. Le mot de passe est basé sur les règles sur les mots de passe Cloud Directory.
- Aucune
- Cette option applique des accès au compte sans mot de passe.
Envoyer une notification par e-mail Cette option est disponible lorsque vous sélectionnez l'option Générer le mot de passe. Lorsque vous sélectionnez l'option « Envoyer une notification par e-mail », une notification contenant le mot de passe généré automatiquement vous est envoyée à votre adresse e-mail une fois le compte créé. Délai supplémentaire (jours) Définissez la période de grâce, en jours, pendant laquelle un compte désactivé reste en attente avant d'être définitivement supprimé. Annuler l'accès à l'action Supprimer le compte. Ce champ n'est disponible que si le champ « Supprimer le compte » est activé. - Dans la section « Général », sélectionnez « Profil d'application » dans le menu déroulant. Si le profil n'existe pas, vous devez en créer un. Pour plus d'informations, consultez la section « Gestion des profils d'application de l'adaptateur d'identité ».
- Spécifiez les informations détaillées d'authentification d'API.
Paramètres Descriptif Emplacement de Tivoli® Directory Integrator URL pour l'instance de IBM VerifyDirectory Integrator. Par exemple, rmi://<adresse-IP>:<port>/ITDIDispatcher, où « adresse-IP » correspond à l'hôte IBM Verify de Directory Integrator et « port » au numéro de port du répartiteur RMI. URL Indiquez l'emplacement et le numéro de port du serveur d'annuaire sur le système IBM i. La syntaxe valide est la suivante : ldap:// <adresse-IP>:<port>, où « adresse-IP » correspond à l'hôte du serveur IBM i et « port » au numéro de port de IBM i LDAP. Par exemple, vous pouvez spécifier l' URL comme ldap://irvas02.eng.irvine.ibm.com:389. Si l'option « SSL » est activée, la syntaxe est la suivante : ldaps://ip-address:SSLPort. Par exemple, vous pouvez spécifier l' URL comme ldaps://irvas02.eng.irvine.ibm.com:636
Nom de l'administrateur Indiquez l'identifiant utilisateur d' iSeries. Remarque : le profil utilisateur doit disposer*SECADMde*ALLOBJdroits spéciauxNom distinctif du conteneur d'utilisateur Indiquez le nom distinctif du conteneur ou du point de base qui contient les profils utilisateur. L'adaptateur crée les utilisateurs sous ce nom distinctif. De même, les opérations de recherche renvoient des entrées de compte utilisateur sous ce nom distinctif. Par exemple, vous pouvez indiquer le DN sous la forme cn=accounts,os400-sys=irvas02. eng.irvine.ibm.com. Valeur du paramètre OWNOBJOPT à supprimer Indiquez le type des opérations effectuées sur les objets détenus par le profil utilisateur en cours de suppression. Cette zone est une zone de texte et elle peut contenir l'une des valeur suivantes : *NODLTSi l'utilisateur est propriétaire d'objets autres que la file d'attente de messages associée au profil utilisateur, les objets détenus pour le profil utilisateur ne changent pas. Le profil utilisateur n'est pas supprimé. Si l'utilisateur est uniquement propriétaire de la file d'attente de messages associée au profil, la file d'attente et le profil sont supprimés.
*DLTLes objets détenus par le profil utilisateur sont supprimés. Si la suppression des objets aboutit, les informations d'inscription de l'utilisateur sont supprimées de
OfficeVision*.*CHGOWN usernameLa propriété des objets associés au profil utilisateur est transférée au profil utilisateur spécifié dans « username ». Si le transfert de tous les objets détenus aboutit, le profil utilisateur est supprimé.
Mot de passe Indiquez le mot de passe de l'administrateur. Agent d'identité Sélectionnez dans le menu déroulant un agent d'identité de type « provisioning » qui servira à détecter le profil d'application. Descriptif Zone facultative. Ajoutez la description si nécessaire. Utiliser la communication SSL avec LDAP ? Cette case à cocher permet d'indiquer si l'authentification via le protocole SSL doit être utilisée entre Security Directory Integrator et le serveur d'annuaire IBM i - Cliquez sur « Tester la connexion » pour vérifier la connexion à l' iSeries. La connexion doit aboutir pour pouvoir configurer ou synchroniser les comptes dans l'application iSeries.
- Mettez en correspondance les attributs de l' iSeries cible avec les attributs de Verify, selon les besoins. Cochez la case « Garder à jour » pour les attributs qui doivent être mis à jour sur la cible.
- Sélectionnez l'onglet « Synchronisation des comptes ».
- Dans la section « Politique d'adoption », ajoutez une ou plusieurs paires d'attributs qui doivent correspondre pour que le processus de synchronisation des comptes puisse attribuer les comptes d' iSeries s à leurs propriétaires respectifs sur Verify.
- Dans la section « Politiques de correction », sélectionnez une politique de correction afin de corriger automatiquement les comptes non conformes.
- Cliquez sur Enregistrer.
- Une fois l'application enregistrée, définissez la politique d'autorisation dans l'onglet « Droits ».