Microsoft Active Directory アプリケーションのオンボード

オンラインで編集

Verify からオンプレミス Active Directory にユーザーをプロビジョニングする。

始める前に

手順

  1. Verifyに管理者としてログインします。
  2. アプリケーションアプリケーションを選択し「アプリケーションを追加」 をクリックします。
  3. アプリケーションの種類を選択 」ポップアップで、Microsoft™ を検索 Active Directory し、Microsoft タイプのアプリケーションを作成 Active Directory するために選択します。
  4. ポップアップで 「アプリケーションの追加」 をクリックします。
  5. 「アプリケーションの追加」 ページで、 「一般」 タブを選択して、必要な詳細を指定します。
    注: 「サインオン」 タブは、 Active Directoryタイプのアプリケーションには適用されないため、使用できません。
  6. 「アカウントのライフサイクル」 タブを選択します。
  7. プロビジョニング・ポリシーとプロビジョニング解除ポリシーを指定します。
    パラメーター 説明
    アカウントのプロビジョン

    アカウントのプロビジョンはデフォルトで 「無効」 になっています。これは、アカウントの作成が IBM Verifyの外部で実行されることを意味します。

    ユーザーに資格を割り当てるときに自動的にアカウントをプロビジョンするには、「有効」オプションを選択します。 IBM Verifyを使用して作成されたアカウントでは、パスワード生成機能と E メール通知機能を使用できます。
    アカウントのプロビジョン解除

    アカウントのプロビジョン解除は、デフォルトで 「無効」 になっています。これは、アカウントの削除が IBM Verifyの外部で実行されることを意味します。

    ユーザーから資格を削除するときに自動的にアカウントをプロビジョン解除するには、「有効」オプションを選択します。
    アカウントのパスワード
    ユーザーのクラウド・ディレクトリー・パスワードの同期
    このオプションは、クラウド・ディレクトリーでパスワード同期が有効になっている場合に使用できます。 これは、通常のユーザーがアプリケーションにプロビジョンされたときに、クラウド・ディレクトリー・パスワードを使用します。 連携ユーザーは、アプリケーションへのプロビジョン時に、生成されたパスワードを受け取ります。
    パスワードの生成
    このオプションは、プロビジョンされたアカウント用のランダム・パスワードを生成します。 パスワードは、クラウド・ディレクトリーのパスワード・ポリシーに基づきます。
    なし
    このオプションは、パスワードなしでアカウントをプロビジョンします。
    E メール通知の送信 このオプションは、「パスワードの生成」 オプションを選択した場合に使用可能になります。 「E メール通知の送信 (Send email notification)」オプションを選択すると、アカウントのプロビジョニングが成功した後に、自動生成されたパスワードが記載された E メール通知がご使用の E メール・アドレス宛に送信されます。
    猶予期間 (日) プロビジョン解除されたアカウントが、永久に削除される前にサスペンド状態で保持される猶予期間を日数で設定します。
    プロビジョン解除アクション アカウントを削除します。 このフィールドを使用できるのは、「アカウントのプロビジョン解除」フィールドを有効にした場合のみです。
  8. 「一般」セクションで、ドロップダウンから 「アプリケーション・プロファイル」 を選択します。 プロファイルが存在しない場合は、作成する必要があります。 詳細については、「 Managing identity adapter application profiles 」を参照してください。
  9. API 認証の詳細を指定します。
    • URL: Active Directory オンプレミスでインストールされたアダプター・エージェントの URL。 例えば、http://<Adapter_host>:<adapter_port>
    • ユーザー ID: オンプレミスの Active Directory アダプターのユーザー ID。 (エージェント)
    • パスワード: オンプレミスの Active Directory アダプターのパスワード。 (エージェント)
  10. Verify ブリッジの詳細を指定します。
    設定で作成したアイデンティティエージェント Verify を、Verifyユーザーインターフェースを通じて関連付けます。
  11. オプション: 対象の詳細を指定します。
    • Users base Point base DN:
    • Groups base Point DN:
    注: Active Directoryのグループ・オブジェクトの DN を指定します。 Company.com という名前のドメイン内の cn=Users コンテナーにオブジェクトが保管されている CSantana という名前のユーザーの DN の例は、 cn=CSantana,cn=Users,dc=Company,dc=comです。
    以下のように値を設定します。
    User base DN: cn=Users,dc=Company,dc=com
Group base DN: CN=Users,dc=Company,dc=com
  12. オンプレミスの Active Directory アダプターへの接続をテストするには、 「接続のテスト」 をクリックします。
    Active Directory アプリケーションでアカウントをプロビジョンまたは調整するために、接続が成功する必要があります。
  13. ターゲットの Active Directory 属性の属性名を、クラウド・ディレクトリーの特定の属性にマップします。
    ターゲットで更新する必要がある属性に対して「値を更新されたままに保持」チェック・ボックスを選択します。
  14. 「アカウント同期」 タブを選択します。
  15. 「Adoption ポリシー」 セクションで、 Active Directory アカウントを Verify上のそれぞれのアカウント所有者に割り当てるためにアカウント同期プロセスで一致する必要がある 1 つ以上の属性ペアを追加します。
  16. 「修復ポリシー」 セクションで、非準拠アカウントを手動で修復するための修復ポリシーを選択します。
  17. 「保存」をクリックします。
  18. アプリケーションを保存した後、 「資格」 タブでプロビジョニング・オプションを指定します。
    注:

    調整失敗しきい値は、デフォルトで 15% に設定されています。 これにより、連続するアカウント同期の間で 15 % を超えるアカウントが削除されたことが検出された場合、アカウント同期結果は破棄され、操作は停止します。

    削除されたレコードの割合 (%) が高い (通常、データ量が少ないと、より少ないデータ変更量でも 偏差率 (%)が大きくなります) 場合は、値を適切に調整します。 失敗しきい値を 100% に設定すると、偏差率 (%)は無視され、アカウント同期操作は完了します。

    失敗しきい値を変更するには、docker-compose yml ファイルの identity-brokerage 環境セクションに環境変数 RECONCILIATION_FAILURETHRESHOLD_VALUE:"100” (値の範囲は 0 から 100) を追加します。 完了したら、コンテナーが既に実行されている場合は、そのコンテナーを再スピンします。

    例:

    
identity-brokerage:
image: ibmcom/identity-brokerage
container_name: identity-brokerage
depends_on:
- ib-init
- ibdb
environment:
LICENSE_ACCEPT: "yes"
HOSTNAME: "identity-brokerage"
DB_SERVICE_NAME: "ibdb"
TRACE: "enabled"
SCIM_USER: "<>"
SCIM_USER_PASSWORD: "<>"
RECONCILIATION_FAILURETHRESHOLD_VALUE: "75"