Intégration de l'application Oracle
Provisionner les utilisateurs depuis Verify vers l'adaptateur de base de données Oracle sur site.
Avant de commencer
- Configurez l'agent d'identité pour l'authentification dans Verify. Voir Configuration via l'interface utilisateur de vérification.
- Déployez et configurez le composant sur site de la plateforme de gestion des identités IIBM® Verify .
Procédure
- Connectez-vous en tant qu'administrateur sur Verify.
- Sélectionnez Applications > Applications, puis cliquez sur Ajouter une application.
- Recherchez le type d'application « Base de données d' Oracle s » dans la liste déroulante, puis cliquez sur « Ajouter une application ».
- Dans la page « Ajouter des applications », sélectionnez l'onglet « Général » et indiquez les informations requises.
- Sélectionnez l'onglet « Cycle de vie du compte ».
- Spécifiez les règles d'application des accès et d'annulation des accès.
Paramètres Descriptif Mise à disposition des comptes La fonctionnalité « Comptes de provision » est désactivée par défaut, ce qui signifie que la création des comptes s'effectue en dehors de IBM Verify.
Sélectionnez l'option Activé pour mettre à disposition automatiquement un compte lorsque l'habilitation est affectée à un utilisateur. Les générations de mots de passe et les fonctions de notification par e-mail sont disponibles pour le compte créé à l'aide de IBM Verify.
Annuler les accès aux comptes La désactivation des comptes est désactivée par défaut, ce qui signifie que la suppression des comptes s'effectue en dehors de IBM Verify.
Sélectionnez l'option Activé pour supprimer automatiquement un compte lorsque l'habilitation est supprimée pour un utilisateur.
Mot de passe du compte - Synchroniser le mot de passe utilisateur Cloud Directory
- Cette option est disponible si la synchronisation des mots de passe est activée dans Cloud Directory. Elle utilise le mot de passe Cloud Directory lorsque des accès sont appliqués à un utilisateur standard dans l'application. Les utilisateurs fédérés reçoivent un mot de passe généré lorsque des accès leur sont appliqués dans l'application.
- Générer le mot de passe
- Cette option génère un mot de passe aléatoire pour le compte auquel des accès sont appliqués. Le mot de passe est basé sur les règles sur les mots de passe Cloud Directory.
- Aucune
- Cette option applique des accès au compte sans mot de passe.
Envoyer une notification par e-mail Cette option est disponible lorsque vous sélectionnez l'option Générer le mot de passe. Lorsque vous sélectionnez l'option Envoyer notification par courrier électronique, une notification par courrier électronique avec le mot de passe généré automatiquement est envoyée à votre adresse électronique une fois le compte correctement mis à disposition. Délai supplémentaire (jours) Définir le délai supplémentaire en jours pour lequel l'accès au compte annulé restera suspendu avant d'être supprimé définitivement. Annuler l'accès à l'action Supprimer le compte. Ces zones sont disponibles uniquement si la zone d'annulation des accès aux comptes est activée. - Dans la section « Général », sélectionnez « Profil d'application » dans le menu déroulant. Si le profil n'existe pas, vous devez en créer un. Pour plus d'informations, consultez la section « Gestion des profils d'application de l'adaptateur d'identité ».
- Spécifiez les informations détaillées d'authentification d'API.
Paramètres Descriptif Emplacement de Tivoli Directory Integrator Adresse URL de l'instance IBM Security Directory Integrator. Par exemple, rmi://<adresse-IP>:<port>/ITDIDispatcher, adresse-IP représenant l'hôte IBM Security Directory Integrator et port, le numéro de port du répartiteur RMI. Nom du service Oracle Nom de service de l'instance Oracle à connecter. Hôte du service Oracle Nom d'hôte ou adresse IP de l'instance Oracle à connecter. Port du service Oracle Port sur lequel le service Oracle écoute. Nom de l'administrateur Nom d'utilisateur de l'administrateur. Mot de passe Mot de passe de l'administrateur. Agent d'identité Sélectionnez dans la liste déroulante un agent d'identité de type application des accès à l'aide duquel le profil d'application a été reconnu. Descriptif Zone facultative. Ajoutez la description si nécessaire. Est le SID Cochez la case de SDI (Security Directory Integrator). Utiliser la communication SSL avec Oracle ? Cochez cette case si SSL est utilisé pour les communications avec Oracle. Alias du service Oracle Ajoutez les détails de l'alias de service Oracle. Utiliser une communication OCI avec Oracle ? Cochez cette case si OCI est utilisé pour les communications avec Oracle. Nom distinctif du serveur Oracle Nom distinctif du serveur Oracle. Convertir un nom d'utilisateur en majuscules Pour conserver la casse du nom d'utilisateur, passez à FALSE. Par défaut, l'adaptateur convertit la casse du nom d'utilisateur en majuscules. Ne pas répercuter lors de la suppression Cochez cette case pour empêcher les répercutions lors de la suppression. Chemin d'accès aux propriétés du client léger JDBC Chemin du fichier de propriétés des options de sécurité avancées Oracle pour activer le chiffrement de client léger. - Cliquez sur « Tester la connexion » pour vérifier la connexion à l'adaptateur de base de données Oracle sur site. La connexion doit aboutir pour mettre à disposition ou synchroniser des comptes sur l'application Oracle Database.
- Mappez les noms d'attribut des attributs Oracle Database cible à des attributs Verify de Cloud Directory. Cochez la case Conserver à jour pour les attributs devant être mis à jour sur la cible.
- Sélectionnez l'onglet « Synchronisation des comptes ».
- Dans la section « Politique d'adoption », ajoutez une ou plusieurs paires d'attributs qui doivent correspondre pour que le processus de synchronisation des comptes puisse attribuer les comptes de la base de données d' Oracle s à leurs propriétaires respectifs sur Verify.
- Dans la section « Politiques de correction », sélectionnez une politique de correction pour corriger automatiquement les comptes non conformes.
- Cliquez sur Enregistrer.
- Une fois l'application enregistrée, définissez la politique d'autorisation dans l'onglet « Droits ».Remarque :
Le seuil d'échec de synchronisation est défini sur 15 % par défaut. Il garantit que si plus de 15 % du compte a été supprimé entre les synchronisations successives du compte, le résultat de la synchronisation de compte est supprimé et l'opération est interrompue.
Si le pourcentage d'enregistrements supprimés est supérieur (généralement, avec un volume de données plus petit, le changement de données le plus petit contribue à un écart en pourcentage plus élevé), ajustez la valeur en conséquence. Si vous définissez la valeur du seuil d'échec sur 100 %, l'écart en pourcentage est ignoré et l'opération de synchronisation du compte aboutit.
Vous pouvez modifier la valeur du seuil d'échec en ajoutant la variable d'environnement
RECONCILIATION_FAILURETHRESHOLD_VALUE:"100”(la valeur peut aller de 0 à 100) à la section des environnements de courtage d'identité du fichier docker-compose yml. Une fois que vous avez terminé, relancez le conteneur si ce dernier est déjà en cours d'exécution.Par exemple :
identity-brokerage: image: ibmcom/identity-brokerage container_name: identity-brokerage depends_on: - ib-init - ibdb environment: LICENSE_ACCEPT: "yes" HOSTNAME: "identity-brokerage" DB_SERVICE_NAME: "ibdb" TRACE: "enabled" SCIM_USER: "<>" SCIM_USER_PASSWORD: "<>" RECONCILIATION_FAILURETHRESHOLD_VALUE: "75"