ID アダプターによるエンドポイントの管理

オンラインで編集

IBM® Verify サポートされているIdentity Adapter用のIdent ity AdapterプロファイルJARファイルをアップロードすることで、エンドポイントを管理する方法を提供します。 これにより、アプリケーションの作成に使用できるカスタム・アプリケーション・テンプレートが自動的に作成されます。 Verify. では、IDアダプターによって管理されるエンドポイントについて、アカウントのライフサイクルとアカウントの同期を設定できます。

始める前に

  • ご使用のオペレーティング・システム用に Security Directory Integrator (SDI) がインストールされていることを確認してください。 https://www.ibm.com/docs/en/sdi/7.2.0 を参照してください。
  • Security Directory Integrator v7.2 用の SDI ディスパッチャーをインストールして構成します。 https://www.ibm.com/docs/en/sia?topic=adapters-dispatcher を参照してください。
  • 対象エンドポイントでサポートされているIDアダプター:
    • IBM Verify Windows AD 64ビット用アダプター(ExchangeおよびLync サポートオプション付き) - v10.0.1
    • IBM Verify LDAP 用アダプター - v10.0.6
    • IBM Verify Oracle Database 用アダプター - v10.0.3
    • IBM Verify Linux 用アダプター - v10.0.4
    • IBM Verify SAP NetWeaver用アダプター - v10.0.5
    • IBM Verify AccessIBM Verify v10.0.6 用アダプター。
    • IBM Verify MySQL Server 用アダプター - v8.0.19
    • IBM Verify PostgreSQL Server用アダプター - v12.0
    • IBM Verify Microsoft SQL2012 用アダプター
    • IBM Verify DB2 用アダプター - v10.0.1
    • IBM Verify iSeries 用アダプター - v10.0.1
    • IBM Verify SAP ユーザー管理エンジン用アダプター - v7.1.8
    • IBM Verify SAP HANA 用アダプター - v7.1.5
    • IBM Verify Microsoft SharePoint 用アダプター - v10.0.3
    • IBM Verify PeopleTools 用アダプター - v10.0.2
    • IBM Verify Oracle 用アダプター eBusiness Suite - v10.0.3
    • IBM Verify Windows ローカルアカウント用アダプター - v10.0.6
    • IBM Verify コマンドライン用アダプター (CLIx) - v10.0.1
    • IBM Verify CyberArk 用アダプター - v7.1.2
    • IBM Verify z/OS 用 DB2 アダプター - v7.1.2
    • IBM Verify Sybase 用アダプター - v7.1.9
    • IBM Verify Siebel JDB 用アダプター - v10.0.1
    • IBM Verify RSA Authentication Manager 用アダプター - v10.0.2
    • IBM Verify z/OS 用Broadcom製 Top Secret アダプター - v10.0.5
    • IBM Verify z/OS 用Broadcom製 ACF2 セキュリティアダプター - v10.0.1
    • IBM Verify Verify Privilege Vault 用アダプター - v10.0.2
  • エンドポイント要件に従って、ID アダプター・ターゲット・プロファイル JAR ファイル、コネクター、およびサード・パーティー・ライブラリーがあることを確認します。 それらを適切な場所にコピーします。 詳細については、 https://www.ibm.com/support/pages/ibm-security-verify-governance-adapters-v10x および https://www.ibm.com/docs/en/sia を参照してください。
  • ターゲット・エンドポイントとVerifyをインターフェースで接続するオンプレミス・コンポーネント・コンテナーをデプロイするための Docker サーバーがあることを確認します。

このタスクについて

アダプター・プロファイルは、ターゲット・エンドポイントの属性またはスキーマを定義します。 Verifyにアップロードする必要があります。 これは、ID エージェントで作成されたオンプレミス・コンポーネントにデプロイされます。

Verify アップロードするファイルは、Java™アーカイブ(JAR)ファイルでなければなりません。 この <Adapter>Profile.jar ファイルには、アダプタースキーマを定義するために使用されるすべてのファイルが含まれています。 Verify必要に応じて、ファイル <Adapter>Profile.jar からファイルを抽出し、それらを修正した上で、更新したファイルを含めてJARファイルを再パッケージ化し、に再度アップロードすることができます。

手順

  1. プロビジョニングの目的でエージェント構成を作成します。
    https://www.ibm.com/docs/en/security-verify?topic=provisioning-configuring-through-verify-user-interface を参照してください。
  2. オンプレミスコンポーネントを展開します。
    「オンプレミスコンポーネントのデプロイ」 を参照してください。
  3. ステップ 1 で生成された Docker Compose yml ファイルを使用して、オンプレミスコンポーネントをデプロイします。
    以下のコマンドを出します。
    docker-compose -f <Docker compose YML file> up -d
  4. 前の手順(手順 3)でデプロイした Identity Brokerage コンポーネントに、ID アダプタ プロファイルをデプロイします。
    1. https://www.ibm.com/support/pages/ibm-security-verify-governance-adapters-v10x からプロファイル JAR ファイルをダウンロードしてください。
    2. Verifyで管理者としてログインしてください。
    3. 「アプリケーション 」>「 アプリケーションプロファイル」 に移動します。
    4. アプリケーションプロファイル 」ページで、 「プロファイルの作成 」>「 IDアダプタプロファイル」 をクリックします。
    5. プロファイル名を指定してください。
    6. 任意: 説明を入力してください。
    7. プロビジョニング ID エージェントを選択します。
    8. ID アダプター・ターゲット・プロファイル JAR ファイルをアップロードします。
    9. 「プロフィールを作成」 をクリックしてください。
    10. プロフィールを公開するには、詳細を確認してから「 下書きを公開 」をクリックしてください。 ポップアップ・ウィンドウから「はい、パブリッシュします」 オプションを選択します。
      プロファイルが正常に公開されると、プロファイル名と同じ名前でエンドポイント・テンプレートが生成されます。 このテンプレートを使用して、他のアプリケーションを作成できます。
      注:LDAP および Oracle のアプリケーションについては、テンプレートは生成されません。 既存の LDAP テンプレートおよび Oracle テンプレートを使用します。
  5. アダプター・プロファイルを編集します。
    アダプター・プロファイルを更新したり、スキーマ属性を追加、変更、または削除したり、Verify上の新規 JAR ファイルでプロファイルを更新したりするには、以下のステップを実行します。
    1. Verifyで管理者としてログインしてください。
    2. 「アプリケーション 」>「 アプリケーションプロファイル」 に移動します。
    3. 更新したい既存のアプリケーションプロファイルを選択し、 「プロファイルを編集」 をクリックします。
    4. (任意): プロファイル名と説明を更新します。
    5. 更新したIDアダプタプロファイルのJARファイルをアップロードし、 「変更を保存」 をクリックします。
    6. プロファイルがまだ利用できない場合は、詳細を確認してから、 「下書きを公開」 をクリックし、ポップアップウィンドウで「 はい、公開する 」を選択してください。
      プロファイルが正常に公開されると、変更内容でエンドポイント・テンプレートが更新されます。
  6. エンドポイント ID アダプター・アプリケーションをオンボードします。
    1. Verifyで管理者としてログインしてください。
    2. 「アプリケーション 」>「 アプリケーションの追加 」に移動します。
    3. ポップアップウィンドウで、 先ほど作成したアプリケーションタイプのプロファイル名を検索し、 「アプリケーションを追加」 をクリックします。
    4. [ アプリケーションの追加 ] ページで、[ 全般 ] タブを選択し、必要な詳細情報を入力してください。
    5. [アカウントのライフサイクル] タブを選択します。
    6. プロビジョニング・ポリシーとプロビジョニング解除ポリシーを指定します。
      パラメーター 説明
      アカウントのプロビジョン

      アカウントのプロビジョン オプションは、デフォルトでは無効です。これは、アカウント作成がVerifyの外部で実行されることを意味します。

      資格がユーザーに割り当てられたときにアカウントを自動的にプロビジョンするには、有効オプションを選択します。 パスワード生成機能および E メール通知機能は、 Verifyを使用して作成されたアカウントで使用できます。
      アカウントのプロビジョン解除

      デフォルトでは、アカウントのプロビジョン解除は無効 です。これは、アカウントの削除がVerifyの外部で実行されることを意味します。

      ユーザーから資格が削除されたときにアカウントを自動的にプロビジョン解除するには、有効オプションを選択します。
      アカウントのパスワード
      ユーザーのクラウド・ディレクトリー・パスワードの同期
      このオプションは、パスワード同期がクラウド・ディレクトリーで有効になっていて、ID アダプターによってサポートされている場合に使用できます。 これは、通常のユーザーがアプリケーションにプロビジョンされたときに、クラウド・ディレクトリー・パスワードを使用します。 連携ユーザーは、アプリケーションへのプロビジョン時に、生成されたパスワードを受け取ります。
      パスワードの生成
      このオプションは、プロビジョンされたアカウント用のランダム・パスワードを生成します。 パスワードは、クラウド・ディレクトリーのパスワード・ポリシーに基づきます。
      なし
      このオプションは、パスワードなしでアカウントをプロビジョンします。
      E メール通知の送信 このオプションは、「パスワードの生成」 オプションを選択した場合に使用可能になります。 E メール通知の送信オプションを選択すると、アカウントが正常にプロビジョンされた後、自動生成されたパスワードを含む E メール通知が E メール・アドレスに送信されます。
      猶予期間 (日) プロビジョン解除されたアカウントが完全に削除される前にサスペンドされた状態を保持する猶予期間 (日数) を設定します。
      プロビジョン解除アクション このオプションは、アカウントをサスペンドまたは削除するプロビジョニング解除アクションを有効にするために構成できます。 プロビジョニング解除が無効になっている場合は、プロビジョン解除アクションが非アクティブになります。
  7. API 認証の詳細を指定します。
  8. 「接続のテスト」 をクリックして、エンドポイントの接続を確認してください。 エンドポイント・アプリケーションでアカウントをプロビジョンまたは調整するには、接続が成功している必要があります。
  9. ターゲット属性の属性名をマップして、クラウド・ディレクトリーの属性を検証します。 ターゲットで更新する必要がある属性の更新を保持チェック・ボックスを選択します。
  10. [アカウントの同期] タブを選択します。
  11. Verify採用ポリシー 」セクションで、アカウント同期プロセスにおいてターゲットアカウントをそれぞれのアカウント所有者に割り当てるために一致させる必要がある属性ペアを1つ以上追加します。
  12. 是正ポリシー 」セクションで、ポリシーを選択し、コンプライアンス違反のアカウントを自動的に是正します。
  13. 「保存」 をクリックします。

次の手順

アプリケーションが保存された後、「資格」 タブで許可ポリシーを指定します。