RSA Authentication Manager の導入
Verifyからオンプレミス版RSA Authentication Manager®アダプターへユーザーを移行する。
始める前に
- Verify で認証用の ID エージェントを構成します。 詳しくは、 「Verify ユーザーインターフェースを使用した設定」 を参照してください。
- Identity Brokerage On-Premises コンポーネント IBM® Verify を展開し、設定します。
手順
- IBM Verifyで管理者としてログインしてください。
- 「アプリケーション 」>「 アプリケーション」 を選択し、 「アプリケーションを追加」 をクリックします。
- メニューから、アップロードしたアプリケーションプロファイルに設定された名前として「アプリケーションタイプ」を検索し、 「アプリケーションを追加」 をクリックします。たとえば、RSA Authentication Manager プロファイルが「RSA Authentication Manager」という名前でアップロードされた場合、アプリケーションは「RSA Authentication Manager(custom)」として表示されます。
- [ アプリケーションの追加 ] ページで、[ 全般 ] タブを選択し、必要な詳細情報を入力してください。
- [アカウントのライフサイクル] タブを選択します。
- プロビジョニング・ポリシーとプロビジョニング解除ポリシーを指定します。
パラメーター 説明 アカウントのプロビジョン IBM Verify引当金勘定はデフォルトで無効化されています。つまり、勘定科目の作成は.の外で行われます。
資格がユーザーに割り当てられたときにアカウントを自動的にプロビジョンするには、有効オプションを選択します。 IBM Verifyで作成されたアカウントでは、パスワード生成機能およびメール通知機能をご利用いただけます。
アカウントのプロビジョン解除 IBM Verifyアカウントの削除は無効がデフォルト設定となっています。つまり、アカウントの削除は.の外で行われます。
ユーザーから利用権限が削除された際に、アカウントを自動的に無効化するには、「 有効 」オプションを選択してください。
アカウントのパスワード - ユーザーのクラウド・ディレクトリー・パスワードの同期
- このオプションは、クラウド・ディレクトリーでパスワード同期が有効になっている場合に使用できます。 これは、通常のユーザーがアプリケーションにプロビジョンされたときに、クラウド・ディレクトリー・パスワードを使用します。 連携ユーザーは、アプリケーションへのプロビジョン時に、生成されたパスワードを受け取ります。
- パスワードの生成
- このオプションは、プロビジョンされたアカウント用のランダム・パスワードを生成します。 パスワードは、クラウド・ディレクトリーのパスワード・ポリシーに基づきます。
- なし
- このオプションは、パスワードなしでアカウントをプロビジョンします。
E メール通知の送信 このオプションは、「パスワードの生成」 オプションを選択した場合に使用可能になります。 「 メール通知を送信 」オプションを選択すると、アカウントのプロビジョニングが正常に完了した後、自動生成されたパスワードが記載されたメール通知がお客様のメールアドレスに送信されます。 猶予期間 (日) アカウントの権限を解除した後、完全に削除されるまでの間、そのアカウントを一時停止状態として保持する猶予期間(日数)を設定します。 プロビジョン解除アクション アカウントを削除します。 このフィールドは、「アカウントのプロビジョニング解除」フィールドが有効になっている場合にのみ利用可能です。 - [全般] セクションで、ドロップダウンメニューから [アプリケーションプロファイル] を選択します。 プロファイルが存在しない場合は、作成する必要があります。 詳細については、 「IDアダプターのアプリケーションプロファイルの管理 」を参照してください。
- API 認証の詳細を指定します。
パラメーター 説明 Security Directory Integrator のロケーション IBM VerifyURL Directory Integrator インスタンスに対して。 rmi://<ip-address>:<port>/ITDIDispatcherたとえば、ip-address は IBM Verify Directory Integrator のホスト名、port は RMI ディスパッチャーのポート番号です。デフォルトの SDI1 インスタンスのデフォルト URL は
rmi://localhost:1099/ITDIDispatcherです。以下の表に、作成される各インスタンス用にファイアウォールで開いているポートを示します。 ただし、ここに示すポート番号の使用は高可用性をサポートしていません。
表 1. ポート インスタンスとポート
インスタンス ポート SDI1 1199, 1198, 1197, 1196, 1195, 1194 SDI2 2299, 2298, 2297, 2296, 2295, 2294 SDI3 3399, 3398, 3397, 3396, 3395, 3394 SDI4 4499, 4498, 4497, 4496, 4495, 4494 SDI5 5599, 5598, 5597, 5596, 5595, 5594 SDI6 6699, 6698, 6697, 6696, 6695, 6694 SDI7 7799, 7798, 7797, 7796, 7795, 7794 SDI8 8899, 8898, 8897, 8896, 8895, 8894 SDI9 9999, 9998, 9997, 9996, 9995, 9994 SDI10 11099, 11098, 11097, 11096, 11095, 11094 高可用性の実装では、以下のポート番号を使用してください。- 1099
- 2099
- 3099
セキュリティー・ドメイン名 ユーザーが管理できるセキュリティー・ドメインの名前を指定します。このセキュリティー・ドメインからプリンシパルおよびサポート・データを調整する必要があります。
管理セキュリティー・ドメインは Authentication Manager サーバーに固有ですが、各サーバーはデフォルトのトップレベル・セキュリティー・ドメイン (レルム) を使用してインストールされます。 デフォルトのレルム名は
SystemDomainです。レルムの下のいずれかの場所に定義されたセキュリティー・ドメインを指定するには、階層内のセキュリティー・ドメイン間の区切り文字として
>文字を使用してセキュリティー・ドメインの絶対パスを使用します。 例えば、SystemDomain>Employees>Division1などです。トップレベル・セキュリティー・ドメイン (レルム) を指定するには、レルム名を使用します。 例えば、
SystemDomainなどです。管理者名 リソースへのログインおよび指定セキュリティー・ドメインでのユーザー管理操作の実行に使用する管理者ユーザーを指定します。 管理者パスワード 管理者ユーザーのパスワードを指定します。 調整の制限 このオプションは、取得するユーザー・アカウント、グループ、または役割の数の制限を設定する場合に指定します。 デフォルトは 1000 です。 この値は、RSA Authentication Manager v7.1 SP2 以前でのみ使用されます。 それより後のバージョンのサーバーでは、この値は無視され、すべてのユーザー・アカウント、グループ、および役割が返されます。 所有者 オプション: ユーザーをサービス所有者として指定します。 サービス前提条件 オプション: このサービスの前提条件であるサービスを指定します。 - [接続のテスト] をクリックして、オンプレミスの RSA Authentication Manager への接続をテストします。 RSA Authentication Manager アプリケーションでアカウントのプロビジョニングまたは照合を行うには、接続が正常に確立されている必要があります。
- 必要に応じて、ターゲットのRSA Authentication Manager属性をVerify属性にマッピングしてください。 ターゲットで更新が必要な属性について、 「最新の状態に保つ」 チェックボックスを選択してください。
- [アカウントの同期] タブを選択します。
- 「 採用ポリシー 」セクションで、アカウント同期プロセスにおいてRSA Authentication ManagerのアカウントをVerify上の各アカウント所有者に割り当てるために、一致させる必要がある属性ペアを1つ以上追加してください。
- 「 是正ポリシー 」セクションで、ポリシーを選択して、コンプライアンス違反のアカウントを自動的に是正します。
- 「保存」 をクリックします。
- アプリケーションを保存した後、 「Entitlements 」タブで認証ポリシーを指定してください。