CyberArk アプリケーションのオンボーディング

オンラインで編集

Verifyからオンプレミスアダプターへの CyberArk® プロビジョニングユーザー

始める前に

  1. Verify で認証用の ID エージェントを構成します。 Verifyユーザーインターフェースによる設定方法をご覧ください。
  2. IBM® Verify アイデンティティ・ブローカレッジのオンプレミス・コンポーネントを展開および設定します。

手順

  1. IBM Verify に管理者としてログインします。
  2. アプリケーションアプリケーションを選択し、 「アプリケーションを追加」 をクリックします。
  3. アップロードしたアプリケーションプロファイルに設定した名前と同じ名前でアプリケーションの種類を検索し 、[アプリケーションを追加] をクリックします。
    例えば、 CyberArk のプロフィールが CyberArk, という名前でアップロードされた場合、アプリケーションは CyberArk(custom で見つかります。
  4. アプリケーションの追加ページ「一般」タブを選択し、必要な詳細情報を指定します。
  5. 「アカウントのライフサイクル 」タブを選択します。
  6. プロビジョニング・ポリシーとプロビジョニング解除ポリシーを指定します。
    パラメーター 説明
    アカウントのプロビジョン

    プロビジョニングアカウントはデフォルトで無効になっています。つまり、アカウントの作成は IBM Verify 外で行われます。

    資格がユーザーに割り当てられたときにアカウントを自動的にプロビジョンするには、有効オプションを選択します。 IBM Verify を使用して作成されたアカウントでは、パスワードジェネレーターとメール通知機能をご利用いただけます。
    アカウントのプロビジョン解除

    デフォルトでは、アカウントの無効化は無効になっています。つまり、アカウントの削除は IBM Verify の外部で実行されます。

    ユーザーから資格が取り消されたときにアカウントを自動的に無効にするには 、[有効] オプションを選択します。
    アカウントのパスワード
    ユーザーのクラウド・ディレクトリー・パスワードの同期
    このオプションは、クラウド・ディレクトリーでパスワード同期が有効になっている場合に使用できます。 これは、通常のユーザーがアプリケーションにプロビジョンされたときに、クラウド・ディレクトリー・パスワードを使用します。 連携ユーザーは、アプリケーションへのプロビジョン時に、生成されたパスワードを受け取ります。
    パスワードの生成
    このオプションは、プロビジョンされたアカウント用のランダム・パスワードを生成します。 パスワードは、クラウド・ディレクトリーのパスワード・ポリシーに基づきます。
    なし
    このオプションは、パスワードなしでアカウントをプロビジョンします。
    E メール通知の送信 このオプションは、「パスワードの生成」 オプションを選択した場合に使用可能になります。 「電子メール通知を送信」オプションを選択すると、アカウントのプロビジョニングが正常に完了した後に、自動生成されたパスワードが記載された電子メール通知がご指定のメールアドレスに送信されます。
    猶予期間 (日) アカウントを完全に削除する前に、一時停止状態として保持する猶予期間(日数)を設定します。
    プロビジョン解除アクション アカウントを削除します。 このフィールドは、アカウントの廃止フィールドが有効になっている場合のみ利用可能です。
  7. 一般セクションで、ドロップダウンメニューから 「アプリケーションプロファイル」 を選択します。 プロファイルが存在しない場合は、作成する必要があります。 詳細については、 「アイデンティティアダプタアプリケーションプロファイルの管理」 を参照してください。
  8. API 認証の詳細を指定します。
    パラメーター 説明
    Security Directory Integrator のロケーション IBM Security Directory Integrator インスタンスの URL を指定します。 URL の有効な構文は、rmi://ip-address:port/ITDIDispatcher です。ここで、ip-address は IBM Security Directory Integrator のホストであり、port は RMI ディスパッチャーのポート番号です。

    デフォルトの SDI1 インスタンスのデフォルト URL は rmi://localhost:1099/ITDIDispatcher です。
    サーバーURL CyberArk サーバー URL。 このフィールドは必須です。 例えば、以下のとおりです。http://<Instance name>:<Port number>.
    ログイン ID アダプタが CyberArk サーバーインスタンスに接続する際に使用する CyberArk ユーザーアカウントのログインID。 このフィールドは必須です。
    パスワード CyberArk ユーザーアカウントのパスワード。 このフィールドは必須です。
    検索ページ・サイズ (1 から 999) 照合のために返すアカウント数の制限を指定します。
  9. 「接続テスト」 をクリックして、オンプレミスにある CyberArk への接続をテストします。 CyberArk アプリケーションでアカウントをプロビジョニングまたは照合するには、接続が成功している必要があります。
  10. ターゲットの CyberArk 属性を検証する属性にマッピングします。必要に応じて。 ターゲット上で更新する必要がある属性について 、「更新を維持する」 チェックボックスを選択します。
  11. アカウント同期タブを選択します。
  12. 「採用ポリシー」セクションで、アカウント同期プロセスで CyberArk アカウントを Verify 上のそれぞれのオーナーに割り当てるために一致させる必要がある属性の組み合わせを1つ以上追加します。
  13. 「是正ポリシー」セクションで、準拠していないアカウントを自動的に是正する是正ポリシーを選択します。
  14. 「保存 」をクリックします。
  15. アプリケーションが保存されたら、 [Entitlements] タブで認証ポリシーを指定します。