Mise en service de RSA Authentication Manager
Transférer les utilisateurs de Verify vers l'adaptateur RSA Authentication Manager® sur site.
Avant de commencer
- Configurez l'agent d'identité pour l'authentification dans Verify. Voir la section « Configuration via l'interface utilisateur de Verify ».
- Déployez et configurez le IBM® Verify composant Identity Brokerage sur site.
Procédure
- Connectez-vous en tant qu'administrateur sur IBM Verify.
- Sélectionnez Applications > Applications, puis cliquez sur Ajouter une application.
- Recherchez le type d'application correspondant au nom attribué au profil d'application téléchargé dans le menu, puis cliquez sur « Ajouter une application ».Par exemple, si le profil RSA Authentication Manager a été importé sous le nom « RSA Authentication Manager », l'application apparaîtra alors sous le nom « RSA Authentication Manager (personnalisé) ».
- Sur la page « Ajouter des applications », sélectionnez l'onglet « Général », puis indiquez les informations requises.
- Sélectionnez l'onglet « Cycle de vie du compte ».
- Spécifiez les règles d'application des accès et d'annulation des accès.
Paramètres Descriptif Mise à disposition des comptes Les comptes de provisionnement sont désactivés par défaut, ce qui signifie que leur création s'effectue en dehors de IBM Verify.
Sélectionnez l'option Activé pour fournir automatiquement un compte lorsque l'autorisation est affectée à un utilisateur. La génération de mots de passe et les notifications par e-mail sont disponibles pour le compte créé à l'aide de IBM Verify.
Annuler les accès aux comptes La désactivation des comptes est désactivée par défaut, ce qui signifie que la suppression des comptes s'effectue en dehors de IBM Verify.
Sélectionnez l'option « Activé » pour désactiver automatiquement un compte lorsqu'un droit est retiré à un utilisateur.
Mot de passe du compte - Synchroniser le mot de passe utilisateur Cloud Directory
- Cette option est disponible si la synchronisation des mots de passe est activée dans Cloud Directory. Elle utilise le mot de passe Cloud Directory lorsque des accès sont appliqués à un utilisateur standard dans l'application. Les utilisateurs fédérés reçoivent un mot de passe généré lorsque des accès leur sont appliqués dans l'application.
- Générer le mot de passe
- Cette option génère un mot de passe aléatoire pour le compte auquel des accès sont appliqués. Le mot de passe est basé sur les règles sur les mots de passe Cloud Directory.
- Aucune
- Cette option applique des accès au compte sans mot de passe.
Envoyer une notification par e-mail Cette option est disponible lorsque vous sélectionnez l'option Générer le mot de passe. Lorsque vous sélectionnez l'option « Envoyer une notification par e-mail », une notification contenant le mot de passe généré automatiquement vous est envoyée à votre adresse e-mail une fois le compte créé. Délai supplémentaire (jours) Définissez la période de grâce, en jours, pendant laquelle un compte désactivé reste en attente avant d'être définitivement supprimé. Annuler l'accès à l'action Supprimer le compte. Ce champ n'est disponible que si le champ « Supprimer le compte » est activé. - Dans la section « Général », sélectionnez « Profil d'application » dans le menu déroulant. Si le profil n'existe pas, vous devez en créer un. Pour plus d'informations, consultez la section « Gestion des profils d'application de l'adaptateur d'identité ».
- Spécifiez les informations détaillées d'authentification d'API.
Paramètres Descriptif Security Directory Integrator location URL pour l'instance de IBM VerifyDirectory Integrator. rmi://<ip-address>:<port>/ITDIDispatcherPar exemple, où « ip-address » correspond à l'hôte IBM Verify de Directory Integrator et « port » au numéro de port du RMI Dispatcher.L' URL par défaut pour l'instance par défaut d' SDI1 est
rmi://localhost:1099/ITDIDispatcher.Le tableau suivant affiche les ports qui sont ouverts dans le pare-feu pour chaque instance créée. Toutefois, l'utilisation de ces numéros de port ne prend pas en charge la haute disponibilité.
Tableau 1. Ports Instance et ports
Instance Ports SDI1 1199, 1198, 1197, 1196, 1195, 1194 SDI2 2299, 2298, 2297, 2296, 2295, 2294 SDI3 3399, 3398, 3397, 3396, 3395, 3394 SDI4 4499, 4498, 4497, 4496, 4495, 4494 SDI5 5599, 5598, 5597, 5596, 5595, 5594 SDI6 6699, 6698, 6697, 6696, 6695, 6694 SDI7 7799, 7798, 7797, 7796, 7795, 7794 SDI8 8899, 8898, 8897, 8896, 8895, 8894 SDI9 9999, 9998, 9997, 9996, 9995, 9994 SDI10 11099, 11098, 11097, 11096, 11095, 11094 Pour une implémentation à haute disponibilité, utilisez l'un des numéros de port suivants.- 1099
- 2099
- 3099
Nom de domaine de sécurité Indiquez le nom du domaine de sécurité que l'utilisateur peut administrer et depuis lequel les principaux et les données de support doivent être synchornisés.
Les domaines de sécurité administrative sont spécifiques à un serveur Authentication Manager mais chaque serveur est installé avec un domaine de sécurité de niveau supérieur par défaut (domaine). Le domaine par défaut s'appelle
SystemDomain.Pour indiquer un domaine de sécurité qui est défini quelque part dans un domaine, utilisez le chemin d'accès complet au domaine de sécurité avec le caractère
>en tant que délimiteur entre les domaines de sécurité dans la hiérarchie. Par exemple,SystemDomain>Employees>Division1.Pour indiquer un domaine de sécurité de niveau supérieur (domaine), utilisez le nom du domaine. Par exemple,
SystemDomain.Nom de l'administrateur Indiquez l'utilisateur administrateur utilisé pour se connecter à la ressource et exécuter les opérations de gestion des utilisateurs sur le domaine de sécurité spécifié. Mot de passe administrateur Indiquez le mot de passe associé au nom d'administrateur. Limite de synchronisation Paramétrez cette option afin de définir le nombre maximal de comptes utilisateur, de groupes ou de rôles récupérés. La valeur par défaut est 1 000. Cette valeur est uniquement utilisée pour RSA Authentication Manager v7.1 SP2 ou versions antérieures. Les versions ultérieures du serveur ignorent cette valeur et renvoient tous les comptes utilisateur, groupes et rôles. Propriétaire Facultatif : spécifiez un utilisateur comme propriétaire du service. Conditions préalables au service Facultatif : indiquez un service qui soit un prérequis pour ce service. - Cliquez sur « Tester la connexion » pour vérifier la connexion au RSA Authentication Manager sur site. La connexion doit aboutir pour pouvoir configurer ou synchroniser des comptes dans l'application RSA Authentication Manager.
- Mettez en correspondance les attributs cibles de RSA Authentication Manager avec les attributs de vérification, selon les besoins. Cochez la case « Garder à jour » pour les attributs qui doivent être mis à jour sur la cible.
- Sélectionnez l'onglet « Synchronisation des comptes ».
- Dans la section « Politique d'adoption », ajoutez une ou plusieurs paires d'attributs qui doivent correspondre pour que le processus de synchronisation des comptes puisse attribuer les comptes RSA Authentication Manager à leurs propriétaires respectifs sur Verify.
- Dans la section « Politiques de correction », sélectionnez une politique de correction afin de corriger automatiquement les comptes non conformes.
- Cliquez sur Enregistrer.
- Une fois l'application enregistrée, définissez la politique d'autorisation dans l'onglet « Droits ».