ID 어댑터로 엔드포인트 관리

온라인에서 편집하기

IBM® Verify 지원되는 신원 어댑터에 대한 신원 어댑터 프로필 JAR 파일을 업로드하여 엔드포인트를 관리할 수 있는 방법을 제공합니다. 애플리케이션을 작성하는 데 사용할 수 있는 사용자 정의 애플리케이션 템플리트가 자동으로 작성됩니다. Verify.에서 ID 어댑터로 관리되는 엔드포인트에 대한 계정 수명 주기 및 계정 동기화를 구성할 수 있습니다.

시작하기 전에

  • 운영 체제에 맞게 Security Directory Integrator(SDI)가 설치되어 있는지 확인하십시오. https://www.ibm.com/docs/en/sdi/7.2.0 을 참조하십시오.
  • Security Directory Integrator v7.2에 대한 SDI 디스패처를 설치하고 구성하십시오. https://www.ibm.com/docs/en/sia?topic=adapters-dispatcher 을 참조하십시오.
  • 대상 엔드포인트에서 지원되는 ID 어댑터:
    • IBM Verify Windows AD 64비트용 어댑터 (Exchange 및 Lync 지원 옵션 포함) - v10.0.1
    • IBM Verify LDAP 용 어댑터 - v10.0.6
    • IBM Verify Oracle Database 용 어댑터 - v10.0.3
    • IBM Verify Linux 용 어댑터 - v10.0.4
    • IBM Verify SAP 용 NetWeaver 어댑터 - v10.0.5
    • IBM Verify v10.0.6IBM Verify Access 어댑터.
    • IBM Verify MySQL Server용 어댑터 - v8.0.19
    • IBM Verify PostgreSQL Server용 어댑터 - v12.0
    • IBM Verify Microsoft SQL2012 용 어댑터
    • IBM Verify DB2 용 어댑터 - v10.0.1
    • IBM Verify iSeries 용 어댑터 - v10.0.1
    • IBM Verify SAP 사용자 관리 엔진용 어댑터 - v7.1.8
    • IBM Verify SAP HANA 용 어댑터 - v7.1.5
    • IBM Verify Microsoft SharePoint용 어댑터 - v10.0.3
    • IBM Verify PeopleTools 용 어댑터 - v10.0.2
    • IBM Verify Oracle 용 어댑터 eBusiness Suite - v10.0.3
    • IBM Verify Windows 로컬 계정용 어댑터 - v10.0.6
    • IBM Verify 명령줄용 어댑터 (CLIx) - v10.0.1
    • IBM Verify CyberArk 용 어댑터 - v7.1.2
    • IBM Verify z/OS 용 DB2 어댑터 - v7.1.2
    • IBM Verify Sybase 용 어댑터 - v7.1.9
    • IBM Verify Siebel JDB용 어댑터 - v10.0.1
    • IBM Verify RSA Authentication Manager용 어댑터 - v10.0.2
    • IBM Verify z/OS 용 Broadcom Top Secret 어댑터 - v10.0.5
    • IBM Verify z/OS 용 Broadcom ACF2 보안 어댑터 - v10.0.1
    • IBM Verify Verify Privilege Vault용 어댑터 - v10.0.2
  • 엔드포인트 요구사항에 따라 ID 어댑터 대상 프로파일 JAR 파일, 커넥터 및 써드파티 라이브러리가 있는지 확인합니다. 적절한 위치에 복사하십시오. 자세한 내용은 https://www.ibm.com/support/pages/ibm-security-verify-governance-adapters-v10xhttps://www.ibm.com/docs/en/sia 을 참조하십시오.
  • 대상 엔드포인트를 Verify(으)로 인터페이스하는 온프레미스 컴포넌트 컨테이너를 배치할 문서 서버가 있는지 확인하십시오.

이 태스크에 대한 정보

어댑터 프로파일은 대상 엔드포인트의 스키마 또는 속성을 정의합니다. Verify에 업로드해야 합니다. 이는 ID 에이전트를 사용하여 작성된 온프레미스 컴포넌트에 배치됩니다.

Verify 업로드되는 파일은 Java™ 아카이브(JAR) 파일이어야 합니다. 이 <Adapter>Profile.jar 파일에는 어댑터 스키마를 정의하는 데 사용되는 모든 파일이 포함되어 있습니다. Verify필요한 경우, 해당 <Adapter>Profile.jar 파일에서 파일을 추출하여 수정한 후, 업데이트된 파일을 포함해 JAR 파일을 다시 압축하고 에 다시 업로드할 수 있습니다.

프로시저

  1. 프로비저닝의 목적으로 에이전트 구성을 작성하십시오.
    https://www.ibm.com/docs/en/security-verify?topic=provisioning-configuring-through-verify-user-interface을 참조하십시오.
  2. 온프레미스 구성 요소를 배포합니다.
    “온프레미스 구성 요소 배포”를 참조하십시오.
  3. 1단계에서 생성된 Docker Compose yml 파일을 사용하여 온프레미스 구성 요소를 배포하십시오.
    다음 명령을 실행하십시오.
    docker-compose -f <Docker compose YML file> up -d
  4. 이전 단계인 3단계에서 배포한 Identity Brokerage 구성 요소에 ID 어댑터 프로필을 배포합니다.
    1. https://www.ibm.com/support/pages/ibm-security-verify-governance-adapters-v10x 에서 프로필 JAR 파일을 다운로드하세요.
    2. Verify에서 관리자 계정으로 로그인하세요.
    3. ‘애플리케이션’ > ‘애플리케이션 프로필’로 이동합니다.
    4. ‘애플리케이션 프로필 ’ 페이지에서 ‘프로필 생성 ’ > ‘ID 어댑터 프로필’을 클릭합니다.
    5. 프로필 이름을 지정하십시오.
    6. 선택 사항: 설명을 입력하세요.
    7. 프로비저닝 ID 에이전 트를 선택하십시오.
    8. ID 어댑터 대상 프로파일 JAR 파일을 업로드하십시오.
    9. ‘프로필 만들기’를 클릭하세요.
    10. 프로필을 사용할 수 있게 하려면 세부 정보를 확인한 다음 ‘초안 게시’를 클릭하세요. 팝업 창에서 예, 공개 옵션을 선택하십시오.
      프로파일이 성공적으로 공개되면 프로파일 이름과 동일한 이름으로 엔드포인트 템플리트가 생성됩니다. 템플리트는 다른 애플리케이션을 작성하는 데 사용할 수 있습니다.
      참고: LDAP 및 Oracle 애플리케이션의 경우 템플릿이 생성되지 않습니다. 기존 LDAP 및 Oracle 템플리트를 사용하십시오.
  5. 어댑터 프로파일을 편집합니다.
    어댑터 프로파일을 업데이트하거나 스키마 속성을 추가, 수정 또는 삭제하거나 Verify의 새 JAR 파일로 프로파일을 업데이트하려면 다음 단계를 수행하십시오.
    1. Verify에서 관리자 계정으로 로그인하세요.
    2. ‘애플리케이션’ > ‘애플리케이션 프로필’로 이동합니다.
    3. 업데이트할 기존 애플리케이션 프로필을 선택한 다음 ‘프로필 편집’을 클릭합니다.
    4. 선택 사항: 프로필 이름과 설명을 업데이트하세요.
    5. 업데이트된 ID 어댑터 프로필 JAR 파일을 업로드한 다음 ‘변경 사항 저장’을 클릭합니다.
    6. 프로필을 아직 사용할 수 없는 경우, 세부 정보를 확인한 다음 ‘초안 게시’를 클릭하고 팝업 창에서 ‘예, 게시’ 옵션을 선택하세요.
      프로파일이 성공적으로 공개되면 엔드포인트 템플리트가 변경사항으로 업데이트됩니다.
  6. 엔드포인트 ID 어댑터 애플리케이션을 온보드하십시오.
    1. Verify에서 관리자 계정으로 로그인하세요.
    2. ‘애플리케이션’ > ‘애플리케이션 추가’로 이동합니다.
    3. 팝업 창에서 앞서 생성한 애플리케이션 유형 프로필 이름을 검색한 다음, ‘애플리케이션 추가’를 클릭합니다.
    4. ‘응용 프로그램 추가’ 페이지에서 ‘일반’ 탭을 선택한 다음, 필요한 세부 정보를 입력하십시오.
    5. ‘계정 수명 주기’ 탭을 선택합니다.
    6. 프로비저닝 및 디프로비저닝 정책을 지정하십시오.
      매개변수 설명
      계정 프로비저닝

      프로비저닝 계정 옵션은 기본적으로 사용 불가능이며, 이는 계정 작성이 Verify 외부에서 수행됨을 의미합니다.

      인타이틀먼트가 사용자에게 지정될 때 계정을 자동으로 프로비저닝하려면 사용 가능 옵션을 선택하십시오. 비밀번호 생성 및 이메일 알림 기능은 Verify을(를) 사용하여 작성된 계정에 사용할 수 있습니다.
      계정 디프로비저닝

      디프로비저닝 계정은 기본적으로 사용 불가능이며, 이는 계정 제거가 Verify 외부에서 수행됨을 의미합니다.

      인타이틀먼트가 사용자에서 제거될 때 계정을 자동으로 디프로비저닝하려면 사용 가능 옵션을 선택하십시오.
      계정 비밀번호
      동기화 사용자의 Cloud Directory 비밀번호
      이 옵션은 비밀번호 동기화가 클라우드 디렉토리에서 사용 가능하고 ID 어댑터에서 지원되는 경우에 사용할 수 있습니다. 일반 사용자가 애플리케이션에 프로비저닝되면 클라우드 디렉토리 비밀번호를 사용합니다. 연합 사용자는 애플리케이션에 프로비저닝될 때 생성된 비밀번호를 수신합니다.
      비밀번호 생성
      이 옵션은 프로비저닝된 계정에 대해 무작위 비밀번호를 생성합니다. 비밀번호는 클라우드 디렉토리 비밀번호 정책을 기반으로 합니다.
      없음
      이 옵션은 비밀번호가 없는 계정을 프로비저닝합니다.
      이메일 알림 전송 이 옵션은 비밀번호 생성 옵션을 선택할 때 사용 가능합니다. 이메일 알림 보내기 옵션을 선택하면 계정이 프로비저닝된 후 자동 생성된 비밀번호가 포함된 이메일 알림이 이메일 주소로 전송됩니다.
      유예 기간(grace period)(일) 디프로비저닝된 계정이 영구적으로 삭제되기 전에 일시중단된 상태로 유지되는 유예 기간(일)을 설정합니다.
      디프로비저닝 조치 이 옵션은 계정을 일시중단 또는 삭제하기 위해 사용 중인 디프로비저닝 조치에 대해 구성 가능합니다. 디프로비저닝을 사용하지 않는 경우 디프로비저닝 조치가 비활성화됩니다.
  7. API 인증 세부사항을 지정하십시오.
  8. ‘연결 테스트’를 클릭하여 엔드포인트의 연결 상태를 확인하십시오. 연결은 엔드포인트 애플리케이션에서 계정을 프로비저닝하거나 조정하는 데 성공해야 합니다.
  9. 대상 속성의 속성 이름을 맵핑하여 클라우드 디렉토리의 속성을 확인하십시오. 대상에서 업데이트해야 하는 속성의 계속 업데이트 선택란을 선택하십시오.
  10. ‘계정 동기화’ 탭을 선택하세요.
  11. Verify‘적용 정책’ 섹션에서, 계정 동기화 프로세스가 대상 계정을 해당 계정 소유자에게 할당하기 위해 일치해야 하는 하나 이상의 속성 쌍을 추가하십시오.
  12. '시정 조치 정책' 섹션에서, 규정 미준수 계정을 자동으로 시정할 시정 조치 정책을 선택합니다.
  13. ‘저장’을 클릭하세요.

다음에 수행할 작업

애플리케이션을 저장한 후 자격 부여 탭에서 권한 정책을 지정하십시오.