LDAP アプリケーションのオンボーディング

ユーザーを Verify オンプレミス版 LDAP アダプターにプロビジョニングします。

始める前に

Verify. での認証用にアイデンティティエージェントを設定します。 Verify ユーザー・インターフェースを使用した構成を参照してください。
Identity Brokerage On-Premises コンポーネント IBM® Verify を展開し、設定します。

手順

Verifyで管理者としてログインしてください。
「アプリケーション」>「アプリケーション」を選択し、 「アプリケーションを追加」 をクリックします。
ポップアップから「 LDAP 」というアプリケーションの種類を検索し、 「アプリケーションを追加」 をクリックします。
[ アプリケーションの追加] ページで、[ 全般 ] タブを選択し、必要な詳細情報を入力してください。
[アカウントのライフサイクル] タブを選択します。

プロビジョニング・ポリシーとプロビジョニング解除ポリシーを指定します。


パラメーター	説明
アカウントのプロビジョン	IBM Verify「プロビジョニングアカウント」はデフォルトで無効になっています。つまり、アカウントの作成は.の外で行われます。ユーザーに資格を割り当てるときに自動的にアカウントをプロビジョンするには、「有効」オプションを選択します。 IBM Verifyで作成されたアカウントでは、パスワード生成機能およびメール通知機能をご利用いただけます。
アカウントのプロビジョン解除	IBM Verifyアカウントの削除は無効がデフォルト設定となっており、これはアカウントの削除が.の外で行われることを意味します。ユーザーから資格を削除するときに自動的にアカウントをプロビジョン解除するには、「有効」オプションを選択します。
アカウントのパスワード	ユーザーのクラウド・ディレクトリー・パスワードの同期このオプションは、クラウド・ディレクトリーでパスワード同期が有効になっている場合に使用できます。これは、通常のユーザーがアプリケーションにプロビジョンされたときに、クラウド・ディレクトリー・パスワードを使用します。連携ユーザーは、アプリケーションへのプロビジョン時に、生成されたパスワードを受け取ります。パスワードの生成このオプションは、プロビジョンされたアカウント用のランダム・パスワードを生成します。パスワードは、クラウド・ディレクトリーのパスワード・ポリシーに基づきます。なしこのオプションは、パスワードなしでアカウントをプロビジョンします。
E メール通知の送信	このオプションは、「パスワードの生成」オプションを選択した場合に使用可能になります。「E メール通知の送信 (Send email notification)」オプションを選択すると、アカウントのプロビジョニングが成功した後に、自動生成されたパスワードが記載された E メール通知がご使用の E メール・アドレス宛に送信されます。
猶予期間 (日)	プロビジョン解除されたアカウントが、永久に削除される前にサスペンド状態で保持される猶予期間を日数で設定します。
プロビジョン解除アクション	アカウントを削除します。このフィールドを使用できるのは、「アカウントのプロビジョン解除」フィールドを有効にした場合のみです。

[全般] セクションで、ドロップダウンメニューから [アプリケーションプロファイル] を選択します。プロファイルが存在しない場合は、作成する必要があります。詳細については、「IDアダプターのアプリケーションプロファイルの管理」を参照してください。

API 認証の詳細を指定します。


パラメーター	説明
Tivoli Directory Integrator のロケーション	IBM Security Directory Integrator インスタンスの URL。例えば、rmi://<ip-address>:<port>/ITDIDispatcher などです。この ip-address は IBM Security Directory Integrator ホストであり、port は RMI ディスパッチャーのポート番号です。
URL	ディレクトリー・サーバーの URL。例えば、ldap://<ldap host>:<port> などです。この、ldap host はディレクトリー・サーバー・ホスト、port はディレクトリー・サーバーのポート番号です。
管理者名	管理ユーザーのユーザー名。
ディレクトリー・サーバー名	IBM の場合は、ドロップダウンから 1 番目のオプション「IBM Directory Server」を選択します。 Oracle の場合は、ドロップダウンから 2 番目のオプション「Oracle Directory Server」を選択します。それ以外のターゲットの場合は、ドロップダウンから他のオプションを選択します。
ユーザー・ベース DN	ユーザーが保管されているコンテナーの DN。例えば、cn=users,dc=com。
ユーザー RDN 属性	ユーザーの LDAP エントリーの相対識別名属性。例: UID、CN。
グループ・ベース DN	グループが保管されているコンテナーの DN。例えば、cn=groups,dc=com。
グループ RDN 属性	グループの LDAP エントリーの相対識別名属性。例: UID、CN。
初期グループ・メンバー	グループ追加の操作の実行時に、グループ・メンバーにできるユーザーの DN。
パスワード	管理ユーザーのパスワード。
ID エージェント	ドロップダウンから、アプリケーション・プロファイルの検出に使用した、タイプがプロビジョニングの ID エージェントを選択します。
説明	オプション・フィールド。必要に応じて説明を追加します。
SSL を使用した LDAP との通信	LDAP との通信に SSL を使用する場合は、このチェック・ボックスを選択します。
ディレクトリー・サーバーでパスワード・ポリシーを有効にしますか?	ディレクトリー・サーバーでパスワード・ポリシーが有効になっている場合は、このチェック・ボックスを選択します。
LDAP ページ・サイズ	LDAP ページ・サイズを指定します。
グループ・オブジェクト・クラス名	管理対象リソースに追加されているグループのグループ・オブジェクト・クラス名を指定します。
グループ・メンバーシップ属性	グループのメンバーであるユーザーをリストする、管理対象リソース上のグループ・オブジェクト・クラスの属性を指定します。

[接続のテスト] をクリックして、オンプレミスの LDAP アダプターへの接続をテストします。 LDAP アプリケーションでアカウントをプロビジョンまたは調整するために、接続が成功する必要があります。
必要に応じて、対象の LDAP 属性を各属性 Verify にマッピングしてください。ターゲットで更新する必要がある属性に対して「継続的に更新」チェック・ボックスを選択します。
[アカウントの同期] タブを選択します。
「 採用ポリシー 」セクションで、アカウント同期プロセスにおいて LDAP アカウントをVerify上のそれぞれのアカウント所有者に割り当てるために一致させる必要がある属性ペアを1つ以上追加してください。
「 是正ポリシー 」セクションで、ポリシーを選択して、コンプライアンス違反のアカウントを自動的に是正します。
「保存」 をクリックします。
アプリケーションを保存した後、「Entitlements 」タブで認証ポリシーを指定してください。
注:
調整失敗しきい値は、デフォルトで 15% に設定されています。これにより、連続するアカウント同期の間で 15 % を超えるアカウントが削除されたことが検出された場合、アカウント同期結果は破棄され、操作は停止します。

削除されたレコードの割合 (%) が高い (通常、データ量が少ないと、より少ないデータ変更量でも偏差率 (%)が大きくなります) 場合は、値を適切に調整します。失敗しきい値を 100% に設定すると、偏差率 (%)は無視され、アカウント同期操作は完了します。

失敗しきい値を変更するには、docker-compose yml ファイルの identity-brokerage 環境セクションに環境変数 RECONCILIATION_FAILURETHRESHOLD_VALUE:"100” (値の範囲は 0 から 100) を追加します。完了したら、コンテナーが既に実行されている場合は、そのコンテナーを再スピンします。

例:
```
identity-brokerage:
image: ibmcom/identity-brokerage
container_name: identity-brokerage
depends_on:
- ib-init
- ibdb
environment:
LICENSE_ACCEPT: "yes"
HOSTNAME: "identity-brokerage"
DB_SERVICE_NAME: "ibdb"
TRACE: "enabled"
SCIM_USER: "<>"
SCIM_USER_PASSWORD: "<>"
RECONCILIATION_FAILURETHRESHOLD_VALUE: "75"
```