Active Directory アプリケーションのオンボーディング

オンラインで編集

ユーザーを から Verify オンプレミスの Active Directory に移行します。

始める前に

手順

  1. Verifyで管理者としてログインしてください。
  2. 「アプリケーション 」>「 アプリケーション 」を選択し「アプリケーションを追加」 をクリックします。
  3. アプリケーションの種類を選択 」ポップアップで、「 Active Directory 」を検索し、選択して「 Active Directory 」タイプのアプリケーションを作成します。
  4. ポップアップ画面で 「アプリケーションを追加」 をクリックします。
  5. [ アプリケーションの追加] ページで、[ 全般 ] タブを選択し、必要な詳細情報を入力してください。
    注:Active Directory タイプのアプリケーションには適用されないため、 「サインオン 」タブは利用できません。
  6. [アカウントのライフサイクル] タブを選択します。
  7. プロビジョニング・ポリシーとプロビジョニング解除ポリシーを指定します。
    パラメーター 説明
    アカウントのプロビジョン

    IBM® Verifyプロビジョニングアカウントはデフォルトで無効化されており、アカウントの作成は.の外で行われます。

    ユーザーに資格を割り当てるときに自動的にアカウントをプロビジョンするには、「有効」オプションを選択します。 IBM Verifyで作成されたアカウントでは、パスワード生成機能およびメール通知機能をご利用いただけます。
    アカウントのプロビジョン解除

    IBM Verifyアカウントの削除は無効がデフォルト設定となっており、これはアカウントの削除が.の外で行われることを意味します。

    ユーザーから資格を削除するときに自動的にアカウントをプロビジョン解除するには、「有効」オプションを選択します。
    アカウントのパスワード
    ユーザーのクラウド・ディレクトリー・パスワードの同期
    このオプションは、クラウド・ディレクトリーでパスワード同期が有効になっている場合に使用できます。 これは、通常のユーザーがアプリケーションにプロビジョンされたときに、クラウド・ディレクトリー・パスワードを使用します。 連携ユーザーは、アプリケーションへのプロビジョン時に、生成されたパスワードを受け取ります。
    パスワードの生成
    このオプションは、プロビジョンされたアカウント用のランダム・パスワードを生成します。 パスワードは、クラウド・ディレクトリーのパスワード・ポリシーに基づきます。
    なし
    このオプションは、パスワードなしでアカウントをプロビジョンします。
    E メール通知の送信 このオプションは、「パスワードの生成」 オプションを選択した場合に使用可能になります。 「E メール通知の送信 (Send email notification)」オプションを選択すると、アカウントのプロビジョニングが成功した後に、自動生成されたパスワードが記載された E メール通知がご使用の E メール・アドレス宛に送信されます。
    猶予期間 (日) プロビジョン解除されたアカウントが、永久に削除される前にサスペンド状態で保持される猶予期間を日数で設定します。
    プロビジョン解除アクション アカウントを削除します。 このフィールドを使用できるのは、「アカウントのプロビジョン解除」フィールドを有効にした場合のみです。
  8. API 認証の詳細を指定します。
    • エージェントの URL (Agent URL): オンプレミスの Active Directory を使用してインストールされたアダプター・エージェントの URL。 例えば、http://<Adapter_host>:<adapter_port>
    • エージェントユーザーID:オンプレミスの Active Directory アダプターのユーザーID。 (エージェント)
    • エージェントのパスワード:オンプレミスの Active Directory アダプターのパスワード。 (エージェント)
  9. ブリッジの Verify 詳細を入力してください。
    「Verify」ユーザーインターフェースでの設定で作成したIDエージェントを Verify 関連付けます。
  10. (任意): 対象の詳細を指定します。
    • User base DN:
    • Group base DN:
    注:Active Directory のグループオブジェクトのDNを指定してください。 cn=CSantana,cn=Users,dc=Company,dc=com「」という名前のドメイン内の「 cn=Users 」コンテナにオブジェクトが格納されている Company.com 、ユーザー「CSantana」のDNの例は です。
    以下のように値を設定します。
    User base DN: cn=Users,dc=Company,dc=com
Group base DN: CN=Users,dc=Company,dc=com
  11. [接続のテスト] をクリックして、オンプレミスの Active Directory アダプターへの接続をテストします。
    Active Directory アプリケーションでアカウントをプロビジョンまたは調整するために、接続が成功する必要があります。
  12. ターゲットの Active Directory 属性の属性名を、クラウド・ディレクトリーの特定の属性にマップします。
    ターゲットで更新する必要がある属性に対して「値を更新されたままに保持」チェック・ボックスを選択します。
  13. [アカウントの同期] タブを選択します。
  14. Verify採用ポリシー 」セクションで、アカウント同期プロセスにおいて Active Directory アカウントをそれぞれのアカウント所有者に割り当てるために一致させる必要がある属性ペアを1つ以上追加します。
  15. 是正ポリシー 」セクションで、是正ポリシーを選択し、コンプライアンス違反のアカウントを手動で是正します。
  16. 「保存」 をクリックします。
  17. アプリケーションを保存した後、 「Entitlements 」タブでプロビジョニングオプションを指定します。
    注:

    調整失敗しきい値は、デフォルトで 15% に設定されています。 これにより、連続するアカウント同期の間で 15 % を超えるアカウントが削除されたことが検出された場合、アカウント同期結果は破棄され、操作は停止します。

    削除されたレコードの割合 (%) が高い (通常、データ量が少ないと、より少ないデータ変更量でも 偏差率 (%)が大きくなります) 場合は、値を適切に調整します。 失敗しきい値を 100% に設定すると、偏差率 (%)は無視され、アカウント同期操作は完了します。

    失敗しきい値を変更するには、docker-compose yml ファイルの identity-brokerage 環境セクションに環境変数 RECONCILIATION_FAILURETHRESHOLD_VALUE:"100” (値の範囲は 0 から 100) を追加します。 完了したら、コンテナーが既に実行されている場合は、そのコンテナーを再スピンします。

    例:

    
identity-brokerage:
image: ibmcom/identity-brokerage
container_name: identity-brokerage
depends_on:
- ib-init
- ibdb
environment:
LICENSE_ACCEPT: "yes"
HOSTNAME: "identity-brokerage"
DB_SERVICE_NAME: "ibdb"
TRACE: "enabled"
SCIM_USER: "<>"
SCIM_USER_PASSWORD: "<>"
RECONCILIATION_FAILURETHRESHOLD_VALUE: "75"