Gestion des nœuds finaux par les adaptateurs d'identité

IBM® Verify permet de gérer les terminaux en téléchargeant un fichier JAR de profil d'adaptateur d'identité pour les adaptateurs d'identité pris en charge. Il crée automatiquement un modèle d'application personnalisé qui peut être utilisé pour créer une application. Vous pouvez configurer le cycle de vie des comptes et la synchronisation des comptes pour les terminaux gérés par des adaptateurs d'identité dans Verify.

Avant de commencer

  • Vérifiez que Security Directory Integrator (SDI) est installé pour votre système d'exploitation. Voir https://www.ibm.com/docs/en/sdi/7.2.0.
  • Installez et configurez le répartiteur SDI pour Security Directory Integrator v7.2. Voir https://www.ibm.com/docs/en/sia?topic=adapters-dispatcher.
  • Adaptateurs d'identité pris en charge pour les terminaux cibles :
    • IBM Verify Adaptateur pour Windows AD 64 bits avec prise en charge optionnelle d'Exchange et de Lync - v10.0.1
    • IBM Verify Adaptateur pour l' LDAP - v10.0.6
    • IBM Verify Adaptateur pour l' Oracle Database - v10.0.3
    • IBM Verify Adaptateur pour l' Linux - v10.0.4
    • IBM Verify Adaptateur pour NetWeaver d' SAP - v10.0.5
    • IBM Verify Adaptateur pour IBM Verify Accessl' v10.0.6
    • IBM Verify Adaptateur pour le serveur d' MySQL s - v8.0.19
    • IBM Verify Adaptateur pour le serveur d' PostgreSQL s - v12.0
    • IBM Verify Adaptateur pour Microsoft SQL2012
    • IBM Verify Adaptateur pour l' DB2 - v10.0.1
    • IBM Verify Adaptateur pour l' iSeries - v10.0.1
    • IBM Verify Adaptateur pour le moteur de gestion des utilisateurs d' SAP - v7.1.8
    • IBM Verify Adaptateur pour l' SAP HANA - v7.1.5
    • IBM Verify Adaptateur pour Microsoft SharePoint - v10.0.3
    • IBM Verify Adaptateur pour l' PeopleTools - v10.0.2
    • IBM Verify Adaptateur pour Oracle eBusiness Suite - v10.0.3
    • IBM Verify Adaptateur pour compte local Windows - v10.0.6
    • IBM Verify Adaptateur pour ligne de commande (CLIx) - v10.0.1
    • IBM Verify Adaptateur pour l' CyberArk - v7.1.2
    • IBM Verify Adaptateur pour l' DB2, disponible sur z/OS - v7.1.2
    • IBM Verify Adaptateur pour l' Sybase - v7.1.9
    • IBM Verify Adaptateur pour Siebel JDB - v10.0.1
    • IBM Verify Adaptateur pour RSA Authentication Manager - v10.0.2
    • IBM Verify Adaptateur pour les puces Broadcom Top Secret sur z/OS - v10.0.5
    • IBM Verify Adaptateur pour la sécurité Broadcom ACF2 pour z/OS - v10.0.1
    • IBM Verify Adaptateur pour Verify Privilege Vault - v10.0.2
  • Vérifiez que vous disposez des fichiers JAR du profil cible de l'adaptateur d'identité, des connecteurs et des bibliothèques tierces en fonction de l'exigence de nœud final. Copiez-les à l'emplacement approprié. Pour plus d'informations, consultez les sites https://www.ibm.com/support/pages/ibm-security-verify-governance-adapters-v10x et https://www.ibm.com/docs/en/sia.
  • Vérifiez que vous disposez d'un serveur docker pour déployer les conteneurs de composants sur site qui interfacez votre nœud final cible avec Verify.

A propos de cette tâche

Le profil d'adaptateur définit les attributs ou le schéma du nœud final cible. Il doit être téléchargé sur Verify. Il est déployé sur les composants sur site qui sont créés avec l'agent d'identité.

Le fichier téléchargé sur Verify doit être un fichier d'archive Java™ (JAR). Ce <Adapter>Profile.jar dossier contient tous les fichiers utilisés pour définir le schéma de l'adaptateur. Si nécessaire, vous pouvez extraire les fichiers du <Adapter>Profile.jar fichier, les modifier, puis recréer le fichier JAR avec les fichiers mis à jour et le télécharger à nouveau sur Verify.

Procédure

  1. Créez une configuration d'agent pour l'application des accès.
  2. Déployer les composants sur site.
  3. Utilisez le fichier Docker Compose yml généré à l'étape 1 pour déployer les composants sur site.
    Emettez la commande suivante :
    docker-compose -f <Docker compose YML file> up -d
  4. Déployez le profil d'adaptateur d'identité sur le composant Identity Brokerage qui a été déployé à l'étape précédente, l'étape 3.
    1. Téléchargez le fichier JAR du profil sur https://www.ibm.com/support/pages/ibm-security-verify-governance-adapters-v10x.
    2. Connectez-vous en tant qu'administrateur dans Verify.
    3. Accédez à Applications > Profils d'application.
    4. Dans la page Profils d'application, cliquez sur Créer un profil > Profil d'adaptateur d'identité.
    5. Indiquez le nom du profil.
    6. Facultatif : ajoutez une description.
    7. Sélectionnez l 'agent d'identité de provisionnement.
    8. Téléchargez le fichier JAR du profil cible de l'adaptateur d'identité.
    9. Cliquez sur « Créer un profil ».
    10. Pour rendre le profil accessible, vérifiez les informations, puis cliquez sur « Publier le brouillon ». Sélectionnez l'option Oui, publier dans la fenêtre en incrustation.
      Une fois le profil publié, le modèle de nœud final est généré avec le même nom que le nom de profil. Le modèle peut être utilisé pour créer d'autres applications.
      Remarque : aucun modèle n'est généré pour les applications LDAP et Oracle. Utilisez les modèles LDAP et Oracle existants.
  5. Éditez le profil de l'adaptateur.
    Pour mettre à jour le profil de l'adaptateur ou pour ajouter, modifier ou supprimer des attributs de schéma, ou pour mettre à jour le profil avec un nouveau fichier JAR sous Verify, procédez comme suit.
    1. Connectez-vous en tant qu'administrateur dans Verify.
    2. Accédez à Applications > Profils d'application.
    3. Sélectionnez le profil d'application existant que vous souhaitez mettre à jour, puis cliquez sur « Modifier le profil ».
    4. Facultatif : mettez à jour le nom et la description du profil.
    5. Téléchargez le fichier JAR du profil de l'adaptateur d'identité mis à jour, puis cliquez sur « Enregistrer les modifications ».
    6. Si le profil n'est pas encore disponible, vérifiez les informations, puis cliquez sur « Publier le brouillon » et sélectionnez l'option « Oui, publier » dans la fenêtre contextuelle.
      Une fois le profil publié, le modèle de nœud final est mis à jour avec les modifications.
  6. Intégrez l'application de l'adaptateur d'identité de nœud final.
    1. Connectez-vous en tant qu'administrateur dans Verify.
    2. Accédez à Applications > Ajouter une application.
    3. Dans la fenêtre contextuelle, recherchez le nom du profil de type d'application que vous avez créé précédemment, puis cliquez sur « Ajouter une application ».
    4. Sur la page « Ajouter des applications », sélectionnez l'onglet « Général » et indiquez les informations requises.
    5. Sélectionnez l'onglet « Cycle de vie du compte ».
    6. Spécifiez les règles d'application des accès et d'annulation des accès.
      Paramètres Descriptif
      Mise à disposition des comptes

      L'option Fourniture de comptes est désactivée par défaut, ce qui signifie que la création du compte est effectuée en dehors de Verify.

      Sélectionnez l'option Activé pour fournir automatiquement un compte lorsque l'autorisation est affectée à un utilisateur. Les fonctions de génération de mot de passe et de notification par courrier électronique sont disponibles pour les comptes créés à l'aide de Verify.

      Annuler les accès aux comptes

      Les comptes de mise à disposition sont désactivés par défaut, ce qui signifie que le retrait de compte est effectué en dehors de Verify.

      Sélectionnez l'option Activé pour annuler automatiquement l'accès à un compte lorsque le droit d'accès est supprimé d'un utilisateur.

      Mot de passe du compte
      Synchroniser le mot de passe utilisateur Cloud Directory
      Cette option est disponible si la synchronisation des mots de passe est activée dans le répertoire cloud et est prise en charge par l'adaptateur d'identité. Elle utilise le mot de passe Cloud Directory lorsque des accès sont appliqués à un utilisateur standard dans l'application. Les utilisateurs fédérés reçoivent un mot de passe généré lorsque des accès leur sont appliqués dans l'application.
      Générer le mot de passe
      Cette option génère un mot de passe aléatoire pour le compte auquel des accès sont appliqués. Le mot de passe est basé sur les règles sur les mots de passe Cloud Directory.
      Aucune
      Cette option applique des accès au compte sans mot de passe.
      Envoyer une notification par e-mail Cette option est disponible lorsque vous sélectionnez l'option Générer le mot de passe. Lorsque vous sélectionnez l'option Envoyer une notification par courrier électronique, une notification par courrier électronique avec le mot de passe généré automatiquement est envoyée à votre adresse électronique une fois que le compte est mis à disposition avec succès.
      Délai supplémentaire (jours) Définissez le délai de grâce en jours au cours duquel un compte suspendu est conservé comme suspendu avant d'être définitivement supprimé.
      Annuler l'accès à l'action Cette option est configurable pour l'action d'annulation des accès activée pour suspendre ou supprimer le compte. Si l'annulation des accès est désactivée, l'action d'annulation des accès est désactivée.
  7. Spécifiez les informations détaillées d'authentification d'API.
  8. Cliquez sur « Tester la connexion » pour vérifier la connexion du terminal. La connexion doit être réussie pour fournir ou synchroniser des comptes sur l'application de nœud final.
  9. Mappez les noms des attributs cible pour vérifier les attributs du répertoire cloud. Cochez la case Conserver mis à jour pour les attributs à mettre à jour sur la cible.
  10. Sélectionnez l'onglet « Synchronisation des comptes ».
  11. Dans la section « Politique d'adoption », ajoutez une ou plusieurs paires d'attributs qui doivent correspondre pour que le processus de synchronisation des comptes puisse attribuer les comptes cibles à leurs propriétaires respectifs sur Verify.
  12. Dans la section « Politiques de correction », sélectionnez une politique de correction afin de corriger automatiquement les comptes non conformes.
  13. Cliquez sur Enregistrer.

Que faire ensuite

Une fois que l'application a été sauvegardée, spécifiez les règles d'autorisation dans l'onglet Habilitations.