Intégration de l'application Microsoft Active Directory

Modifier en ligne

Provisionner les utilisateurs de Verify vers Active Directory.

Avant de commencer

Procédure

  1. Connectez-vous en tant qu'administrateur sur Verify.
  2. Sélectionnez Applications > Applications, puis cliquez sur Ajouter une application.
  3. Dans la fenêtre contextuelle Sélectionner le type d'application, recherchez Microsoft™ Active Directory et sélectionnez-le pour créer une application de type Microsoft Active Directory.
  4. Cliquez sur Ajouter une application dans la fenêtre en incrustation.
  5. Dans la page Ajouter des applications , sélectionnez l'onglet Général pour spécifier les détails requis.
    Remarque: l'onglet Connexion n'est pas disponible car il ne s'applique pas aux applications de type Active Directory.
  6. Sélectionnez l'onglet Cycle de vie du compte .
  7. Spécifiez les règles d'application des accès et d'annulation des accès.
    Paramètres Descriptif
    Mise à disposition des comptes

    L'application des accès aux comptes est désactivée par défaut, ce qui signifie que la création de compte est effectuée en dehors de IBM Verify.

    Sélectionnez l'option Activé pour mettre à disposition automatiquement un compte lorsque l'habilitation est affectée à un utilisateur. Les générations de mots de passe et les fonctions de notification par e-mail sont disponibles pour le compte créé à l'aide de IBM Verify.
    Annuler les accès aux comptes

    L'annulation des accès aux comptes est désactivée par défaut, ce qui signifie que la suppression des comptes est effectuée en dehors de IBM Verify.

    Sélectionnez l'option Activé pour supprimer automatiquement un compte lorsque l'habilitation est supprimée pour un utilisateur.
    Mot de passe du compte
    Synchroniser le mot de passe utilisateur Cloud Directory
    Cette option est disponible si la synchronisation des mots de passe est activée dans Cloud Directory. Elle utilise le mot de passe Cloud Directory lorsque des accès sont appliqués à un utilisateur standard dans l'application. Les utilisateurs fédérés reçoivent un mot de passe généré lorsque des accès leur sont appliqués dans l'application.
    Générer le mot de passe
    Cette option génère un mot de passe aléatoire pour le compte auquel des accès sont appliqués. Le mot de passe est basé sur les règles sur les mots de passe Cloud Directory.
    Aucune
    Cette option applique des accès au compte sans mot de passe.
    Envoyer une notification par e-mail Cette option est disponible lorsque vous sélectionnez l'option Générer le mot de passe. Lorsque vous sélectionnez l'option Envoyer notification par courrier électronique, une notification par courrier électronique avec le mot de passe généré automatiquement est envoyée à votre adresse électronique une fois le compte correctement mis à disposition.
    Délai supplémentaire (jours) Définir le délai supplémentaire en jours pour lequel l'accès au compte annulé restera suspendu avant d'être supprimé définitivement.
    Annuler l'accès à l'action Supprimer le compte. Ces zones sont disponibles uniquement si la zone d'annulation des accès aux comptes est activée.
  8. Dans la section Général, sélectionnez Profil d'application dans la liste déroulante. Si le profil n'existe pas, vous devez en créer un. Pour plus d'informations, consultez la section Gestion des profils d'application de l'adaptateur d'identité.
  9. Spécifiez les informations détaillées d'authentification d'API.
    • URL : URL de l'agent adaptateur installé avec Active Directory sur site. Par exemple, http://<Adapter_host>:<adapter_port>
    • ID utilisateur : ID utilisateur de l'adaptateur Active Directory sur site. (agent)
    • Mot de passe : Mot de passe de l'adaptateur Active Directory sur site. (agent)
  10. Indiquez les détails du pont Verify .
    Associez l'agent Verify d'identité que vous avez créé dans Configuration via l'interface utilisateur Vérifier.
  11. Facultatif : spécifiez les détails de la cible.
    • Users base Point base DN:
    • Groups base Point DN:
    Remarque: indiquez le nom distinctif de l'objet de groupe de Active Directory. Par exemple, le nom distinctif pour un utilisateur nommé CSantana dont l'objet est stocké dans le conteneur cn=Users dans un domaine nommé Company.com sera cn=CSantana,cn=Users,dc=Company,dc=com.
    Définissez la valeur de la manière suivante :
    User base DN: cn=Users,dc=Company,dc=com
Group base DN: CN=Users,dc=Company,dc=com
  12. Cliquez sur Tester la connexion pour tester la connexion à l'adaptateur Active Directory sur site.
    La connexion doit aboutir pour mettre à disposition ou synchroniser des comptes sur l'application Active Directory.
  13. Mappez les noms d'attribut des attributs Active Directory cible à des attributs spécifiques de Cloud Directory.
    Sélectionnez la case à cocher Conserver la valeur à jour pour les attributs devant être mis à jour sur la cible.
  14. Sélectionnez l'onglet Synchronisation du compte .
  15. Dans la section Stratégie d'adoption , ajoutez une ou plusieurs paires d'attributs devant correspondre au processus de synchronisation de compte pour affecter des comptes Active Directory à leurs propriétaires de compte respectifs sur Verify.
  16. Dans la section Stratégies de résolution , choisissez une stratégie de résolution pour corriger manuellement les comptes non conformes.
  17. Cliquez sur Sauvegarder.
  18. Une fois l'application sauvegardée, spécifiez les options de mise à disposition dans l'onglet Habilitations .
    Remarque :

    Le seuil d'échec de synchronisation est défini sur 15 % par défaut. Il garantit que si plus de 15 % du compte a été supprimé entre les synchronisations successives du compte, le résultat de la synchronisation de compte est supprimé et l'opération est interrompue.

    Si le pourcentage d'enregistrements supprimés est supérieur (généralement, avec un volume de données plus petit, le changement de données le plus petit contribue à un écart en pourcentage plus élevé), ajustez la valeur en conséquence. Si vous définissez la valeur du seuil d'échec sur 100 %, l'écart en pourcentage est ignoré et l'opération de synchronisation du compte aboutit.

    Vous pouvez modifier la valeur du seuil d'échec en ajoutant la variable d'environnement RECONCILIATION_FAILURETHRESHOLD_VALUE:"100” (la valeur peut aller de 0 à 100) à la section des environnements de courtage d'identité du fichier docker-compose yml. Une fois que vous avez terminé, relancez le conteneur si ce dernier est déjà en cours d'exécution.

    Par exemple :

    
identity-brokerage:
image: ibmcom/identity-brokerage
container_name: identity-brokerage
depends_on:
- ib-init
- ibdb
environment:
LICENSE_ACCEPT: "yes"
HOSTNAME: "identity-brokerage"
DB_SERVICE_NAME: "ibdb"
TRACE: "enabled"
SCIM_USER: "<>"
SCIM_USER_PASSWORD: "<>"
RECONCILIATION_FAILURETHRESHOLD_VALUE: "75"