Onboarding dell'applicazione iSeries

Modifica online

Fornire agli utenti l'adattatore da iSeries® Verify a On-Premises.

Prima di iniziare

  1. Configurare l'agente di identità per l'autenticazione in Verify. Vedi Configurazione tramite l'interfaccia utente Verify.
  2. Distribuire e configurare il componente Identity Brokerage On-Premises 'IBM® Verify.

Procedura

  1. Accedere come amministratore a 'IBM Verify.
  2. Seleziona Applicazioni > Applicazioni e clicca su Aggiungi applicazione.
  3. Cercare il tipo di applicazione come nome impostato per il profilo dell'applicazione caricata dal menu e fare clic su Aggiungi applicazione.
    Ad esempio, se il profilo iSeries è stato caricato con il nome iSeries, l'applicazione viene trovata con iSeries(custom).
  4. Nella pagina Aggiungi applicazioni, selezionare la scheda Generale e specificare i dettagli richiesti.
  5. Selezionare la scheda Ciclo di vita dell'account.
  6. Specificare i criteri di provisioning e deprovisioning.
    Parametri Descrizione
    Provisioning account

    I conti di fornitura sono disabilitati per impostazione predefinita, il che significa che la creazione del conto viene eseguita al di fuori di 'IBM Verify.

    Selezionare l'opzione Abilitato per eseguire il provisioning automatico di un account quando l'abilitazione viene assegnata a un utente. Le funzioni di generazione della password e di notifica via e-mail sono disponibili per l'account creato con il 'IBM Verify.
    Deprovisioning account

    La deprovisione dei conti è disabilitata per impostazione predefinita, il che significa che la rimozione dei conti viene eseguita al di fuori del 'IBM Verify.

    Selezionare l'opzione Abilitato per deprovvisare automaticamente un account quando viene rimossa l'abilitazione da un utente.
    Password account
    Sincronizza password Cloud Directory dell'utente
    Questa opzione è disponibile se la sincronizzazione della password è abilitata sulla Cloud Directory. Utilizza la password di Cloud Directory quando un utente regolare viene fornito all'applicazione. Gli utenti federati ricevono una password generata al momento del provisioning dell'applicazione.
    Genera password
    Questa opzione genera una password casuale per l'account fornito. La password si basa sul criterio di password di Cloud Directory.
    Nessuno
    Questa opzione prevede l'account senza password.
    Invia notifica email Questa opzione è disponibile quando si seleziona l'opzione Genera password. Quando si seleziona l'opzione Invia notifica via e-mail, una notifica via e-mail con la password generata automaticamente viene inviata all'indirizzo e-mail dell'utente dopo che il provisioning dell'account è andato a buon fine.
    Periodo di tolleranza (giorni) Impostare il periodo di tolleranza in giorni per il quale l'account deprovisionato viene mantenuto sospeso prima di essere eliminato definitivamente.
    Azione deprovisioning Elimina l'account. Questo campo è disponibile solo se il campo Account deprovision è abilitato.
  7. Nella sezione Generale, selezionare Profilo applicazione dal menu a tendina. Se il profilo non esiste, è necessario crearlo. Per ulteriori informazioni, consultare Gestione dei profili delle applicazioni dell'adattatore di identità.
  8. Specificare i dettagli dell'autenticazione API.
    Parametri Descrizione
    Posizione di Tivoli® Directory Integrator URL per l'istanza di IBM Verify Directory Integrator. Ad esempio, rmi://<ip-address>:<port>/ITDIDispatcher, dove ip-address è l'host del Directory Integrator 'IBM Verify e port è il numero di porta del RMI Dispatcher.
    URL Specificare l'ubicazione e il numero di porta del server di directory sul sistema IBM i. La sintassi valida è: ldap://:<porta>, dove indirizzo-ip è l'host del server IBM i e porta è il numero della porta IBM i LDAP. Ad esempio, è possibile specificare l' URL come ldap://irvas02.eng.irvine.ibm.com:389.

    Se l'SSL è abilitato, la sintassi è: ldaps://ip-address:SSLPort. Ad esempio, si può specificare l' URL come ldaps://irvas02.eng.irvine.ibm.com:636
    Nome amministratore Specificare l'ID utente iSeries.
    Nota: il profilo utente deve avere le autorità speciali " *SECADM e " *ALLOBJ
    DN di base contenitore di utente Specificare il nome distinto (DN) del contenitore o del punto base in cui sono memorizzati i profili utente. L'adattatore crea nuovi utenti utilizzando questo DN. Inoltre, le operazioni di ricerca restituiscono voci account utente con questo DN. Ad esempio, si può specificare il DN come cn=accounts,os400-sys=irvas02eng.irvine.ibm.com.
    Valore del parametro OWNOBJOPT per la cancellazione Specificare il tipo di operazioni eseguite sugli oggetti di proprietà del profilo utente che si sta eliminando. Questo campo è un campo di testo e può assumere uno dei seguenti valori: *NODLT

    Se l'utente possiede altri oggetti oltre alla coda di messaggi associata al profilo utente, gli oggetti posseduti per il profilo utente non cambiano. Il profilo utente non viene cancellato. Se l'utente possiede solo la coda di messaggi associata al profilo, la coda di messaggi e il profilo vengono eliminati. *DLT

    Gli oggetti di proprietà del profilo utente vengono eliminati. Se l'eliminazione degli oggetti ha esito positivo, le informazioni sull'iscrizione dell'utente vengono rimosse da 'OfficeVision*. *CHGOWN username

    Gli oggetti di proprietà del profilo utente sono stati trasferiti al profilo utente specificato in nome utente. Se il trasferimento di tutti gli oggetti posseduti ha esito positivo, il profilo utente viene eliminato.
    Password Specificare la password dell'amministratore.
    Agent di identità Selezionare un Identity Agent di tipo provisioning dal menu a tendina con il quale viene rilevato il profilo dell'applicazione.
    Descrizione Campo opzionale. Se necessario, aggiungere la descrizione.
    Utilizza comunicazione SSL con LDAP? Questa casella di controllo serve a specificare se l'autenticazione SSL deve essere utilizzata tra Security Directory Integrator e IBM i Directory Server
  9. Fare clic su Test Connection per verificare la connessione all'iSeries on premises. La connessione deve andare a buon fine per effettuare il provisioning o la riconciliazione dei conti sull'applicazione iSeries.
  10. Mappare gli attributi iSeries di destinazione negli attributi Verify, come richiesto. Selezionare la casella di controllo Mantieni aggiornato per gli attributi che devono essere aggiornati sulla destinazione.
  11. Selezionare la scheda Sincronizzazione account.
  12. Nella sezione Criteri di adozione, aggiungere una o più coppie di attributi che devono corrispondere affinché il processo di sincronizzazione degli account assegni gli account iSeries ai rispettivi proprietari degli account su Verifica
  13. Nella sezione Criteri di riparazione, scegliere un criterio di riparazione per correggere automaticamente gli account non conformi.
  14. Fare clic su Salva.
  15. Dopo aver salvato l'applicazione, specificare il criterio di autorizzazione nella scheda Titoli.