Linux アプリケーションのオンボード

オンラインで編集

ベリファイからオンプレミス Linux® アダプタにユーザーをプロビジョニングする。

始める前に

  1. Verify で認証用の ID エージェントを構成します。 Verifyユーザーインターフェースによる設定方法をご覧ください。
  2. IBM® Verify Identity Brokerage On-Premises コンポーネントを展開し、構成する。

手順

  1. 「検証」で管理者としてログインします。
  2. アプリケーションアプリケーションを選択し、 「アプリケーションを追加」 をクリックします。
  3. ポップアップからアプリケーション・タイプ Linux を検索し、 「アプリケーションの追加」をクリックします。
  4. 「アプリケーションの追加」 ページで、 「一般」 タブを選択し、必要な詳細を指定します。
  5. 「アカウントのライフサイクル」 タブを選択します。
  6. プロビジョニング・ポリシーとプロビジョニング解除ポリシーを指定します。
    パラメーター 説明
    アカウントのプロビジョン

    プロビジョニングアカウントはデフォルトで無効になっており、アカウントの作成は外部で実行されます。 IBM Verify

    資格がユーザーに割り当てられたときにアカウントを自動的にプロビジョンするには、有効オプションを選択します。 IBM Verify を使って作成されたアカウントでは、パスワードの生成とEメール通知機能が利用できる。
    アカウントのプロビジョン解除

    アカウントのプロビジョニング解除はデフォルトで無効になっており、アカウントの削除は IBM Verify

    ユーザーから資格が削除されたときにアカウントを自動的にプロビジョン解除するには、 「有効」 オプションを選択します。
    アカウントのパスワード
    ユーザーのクラウド・ディレクトリー・パスワードの同期
    このオプションは、クラウド・ディレクトリーでパスワード同期が有効になっている場合に使用できます。 これは、通常のユーザーがアプリケーションにプロビジョンされたときに、クラウド・ディレクトリー・パスワードを使用します。 連携ユーザーは、アプリケーションへのプロビジョン時に、生成されたパスワードを受け取ります。
    パスワードの生成
    このオプションは、プロビジョンされたアカウント用のランダム・パスワードを生成します。 パスワードは、クラウド・ディレクトリーのパスワード・ポリシーに基づきます。
    なし
    このオプションは、パスワードなしでアカウントをプロビジョンします。
    E メール通知の送信 このオプションは、「パスワードの生成」 オプションを選択した場合に使用可能になります。 「E メール通知の送信 (Send email notification)」 オプションを選択すると、アカウントが正常にプロビジョンされた後に、自動生成されたパスワードを含む E メール通知が E メール・アドレスに送信されます。
    猶予期間 (日) プロビジョン解除されたアカウントが、永久に削除される前にサスペンド状態で保持される猶予期間を日数で設定します。
    プロビジョン解除アクション アカウントを削除します。 このフィールドは、「アカウントのプロビジョン解除」フィールドが有効になっている場合にのみ使用できます。
  7. 「一般」セクションで、ドロップダウンから 「アプリケーション・プロファイル」 を選択します。 プロファイルが存在しない場合は、作成する必要があります。 詳細については、 「アイデンティティアダプタアプリケーションプロファイルの管理」 を参照してください。
  8. API 認証の詳細を指定します。
    パラメーター 説明
    Tivoli® Directory Integrator のロケーション URL IBM。 Security® Directory Integrator 例えば、rmi://<ip-address>:<port>/ITDIDispatcher などです。この ip-address は IBM Security Directory Integrator ホストであり、port は RMI ディスパッチャーのポート番号です。
    URL ディレクトリー・サーバーの URL。 例えば、linux: // < linux host>: < port> の場合、「linux host」はディレクトリー・サーバー・ホスト、port はディレクトリー・サーバーのポート番号です。
    管理者名 管理ユーザーのユーザー名。
    ディレクトリー・サーバー名
    1. IBM の場合は、ドロップダウンから 1 番目のオプション「IBM Directory Server」を選択します。
    2. Oracle の場合は、ドロップダウンから 2 番目のオプション「Oracle Directory Server」を選択します。
    3. その他のターゲットの場合は、ドロップダウンからその他のオプションを選択します。
    ユーザー・ベース DN ユーザーが保管されているコンテナーの DN。 例えば、cn=users,dc=com。
    ユーザー RDN 属性 ユーザーの Linux エントリーの相対識別名属性。 例: UID、CN。
    グループ・ベース DN グループが保管されているコンテナーの DN。 例えば、cn=groups,dc=com。
    グループ RDN 属性 グループの Linux 項目の相対識別名属性。 例: UID、CN。
    初期グループ・メンバー グループ追加の操作の実行時に、グループ・メンバーにできるユーザーの DN。
    パスワード 管理ユーザーのパスワード。
    ID エージェント ドロップダウンから、アプリケーション・プロファイルの検出に使用した、タイプがプロビジョニングの ID エージェントを選択します。
    説明 オプション・フィールド。 必要に応じて説明を追加します。
    Linuxとの SSL 通信を使用しますか? Linuxとの通信に SSL を使用する場合は、このチェック・ボックスを選択します。
    ディレクトリー・サーバーでパスワード・ポリシーを有効にしますか? ディレクトリー・サーバーでパスワード・ポリシーが有効になっている場合は、このチェック・ボックスを選択します。
    Linux のページ・サイズ Linux ページ・サイズを指定します。
    グループ・オブジェクト・クラス名 管理対象リソースに追加されているグループのグループ・オブジェクト・クラス名を指定します。
    グループ・メンバーシップ属性 グループのメンバーであるユーザーをリストする、管理対象リソース上のグループ・オブジェクト・クラスの属性を指定します。
  9. オンプレミスの Linux アダプターへの接続をテストするには、 「接続のテスト」 をクリックします。 Linux アプリケーションでアカウントをプロビジョンまたは調整するには、接続が成功している必要があります。
  10. 必要に応じて、ターゲットの Linux 属性を Verify 属性にマップします。 ターゲット上で更新する必要がある属性の 「更新を保持」 チェック・ボックスを選択します。

  11. 「アカウント同期」 タブを選択します。
  12. 「Adoption ポリシー」 セクションで、 Linux アカウントを検証時にそれぞれのアカウント所有者に割り当てるためにアカウント同期プロセスに一致する必要がある属性ペアを 1 つ以上追加します。

  13. 「修復ポリシー」 セクションで、非準拠アカウントを自動的に修復するための修復ポリシーを選択します。
  14. 「保存」をクリックします。
  15. アプリケーションを保存した後、 「資格」 タブで許可ポリシーを指定します。