RSA 인증 관리자 온보딩

온라인에서 편집하기

Verify의 사용자를 온프레미스 RSA Authentication Manager® 어댑터로 프로비저닝합니다.

시작하기 전에

  1. Verify에서 인증을 위한 ID 에이전트를 구성하십시오. 자세한 내용은 ‘Verify 사용자 인터페이스를 통한 구성’을 참조하십시오.
  2. Identity Brokerage 온프레미스 구성 요소를 IBM® Verify 배포하고 구성합니다.

프로시저

  1. IBM Verify에서 관리자 계정으로 로그인하세요.
  2. ‘애플리케이션’ > ‘애플리케이션’을 선택한 다음 ‘애플리케이션 추가’를 클릭합니다.
  3. 메뉴에서 업로드된 애플리케이션 프로필의 이름으로 설정된 애플리케이션 유형을 검색한 다음, ‘애플리케이션 추가’를 클릭합니다.
    예를 들어, RSA Authentication Manager 프로필이 ‘RSA Authentication Manager’라는 이름으로 업로드된 경우, 해당 애플리케이션은 ‘RSA Authentication Manager(custom)’로 검색됩니다.
  4. ‘응용 프로그램 추가’ 페이지에서 ‘일반’ 탭을 선택한 다음, 필요한 세부 정보를 입력하십시오.
  5. ‘계정 수명 주기’ 탭을 선택하세요.
  6. 프로비저닝 및 디프로비저닝 정책을 지정하십시오.
    매개변수 설명
    계정 프로비저닝

    IBM Verify예비 계정은 기본적으로 비활성화되어 있으며, 이는 계정 생성이 외부에서 수행됨을 의미합니다.

    인타이틀먼트가 사용자에게 지정될 때 계정을 자동으로 프로비저닝하려면 사용 가능 옵션을 선택하십시오. IBM Verify을 통해 생성된 계정에서는 비밀번호 자동 생성 및 이메일 알림 기능을 이용할 수 있습니다.
    계정 디프로비저닝

    IBM Verify계정 사용 중지 기능은 기본적으로 비활성화되어 있으며, 이는 계정 삭제가 외부에서 수행됨을 의미합니다.

    사용자에게 부여된 권한이 제거되면 계정이 자동으로 해제되도록 하려면 [ 사용] 옵션을 선택하십시오.
    계정 비밀번호
    동기화 사용자의 Cloud Directory 비밀번호
    이 옵션은 클라우드 디렉토리에서 비밀번호 동기화가 사용 가능한 경우에 사용할 수 있습니다. 일반 사용자가 애플리케이션에 프로비저닝되면 클라우드 디렉토리 비밀번호를 사용합니다. 연합 사용자는 애플리케이션에 프로비저닝될 때 생성된 비밀번호를 수신합니다.
    비밀번호 생성
    이 옵션은 프로비저닝된 계정에 대해 무작위 비밀번호를 생성합니다. 비밀번호는 클라우드 디렉토리 비밀번호 정책을 기반으로 합니다.
    없음
    이 옵션은 비밀번호가 없는 계정을 프로비저닝합니다.
    이메일 알림 전송 이 옵션은 비밀번호 생성 옵션을 선택할 때 사용 가능합니다. ‘이메일 알림 보내기’ 옵션을 선택하면 계정이 성공적으로 생성된 후 자동 생성된 비밀번호가 포함된 이메일 알림이 귀하의 이메일 주소로 발송됩니다.
    유예 기간(grace period)(일) 계정이 영구적으로 삭제되기 전까지 일시 정지 상태로 유지되는 유예 기간을 일 단위로 설정합니다.
    디프로비저닝 조치 계정을 삭제하십시오. 이 필드는 ‘계정 사용 중지’ 필드가 활성화된 경우에만 사용할 수 있습니다.
  7. ‘일반’ 섹션에서 드롭다운 메뉴에서 ‘애플리케이션 프로필’을 선택합니다. 프로파일이 존재하지 않는 경우 새로 작성해야 합니다. 자세한 내용은 ‘ID 어댑터 애플리케이션 프로필 관리’를 참조하십시오.
  8. API 인증 세부사항을 지정하십시오.
    매개변수 설명
    Security Directory Integrator 위치 IBM VerifyURL Directory Integrator 인스턴스에 대해. 예를 들어, rmi://<ip-address>:<port>/ITDIDispatcher 여기서 ip-address는 Directory Integrator 호스트이며 IBM Verify , port는 RMI 디스패처의 포트 번호입니다.

    기본 SDI1 인스턴스의 기본 URL은 rmi://localhost:1099/ITDIDispatcher입니다.

    다음 표는 작성된 모든 인스턴스에 대해 방화벽에서 열려 있는 포트를 보여줍니다. 그러나 이러한 포트 번호의 사용은 고가용성을 지원하지 않습니다.

    표 1. 항구

    인스턴스 및 포트
    인스턴스 포트
    SDI1 1199, 1198, 1197, 1196, 1195, 1194
    SDI2 2299, 2298, 2297, 2296, 2295, 2294
    SDI3 3399, 3398, 3397, 3396, 3395, 3394
    SDI4 4499, 4498, 4497, 4496, 4495, 4494
    SDI5 5599, 5598, 5597, 5596, 5595, 5594
    SDI6 6699, 6698, 6697, 6696, 6695, 6694
    SDI7 7799, 7798, 7797, 7796, 7795, 7794
    SDI8 8899, 8898, 8897, 8896, 8895, 8894
    SDI9 9999, 9998, 9997, 9996, 9995, 9994
    SDI10 11099, 11098, 11097, 11096, 11095, 11094
    고가용성 구현의 경우 이러한 포트 번호 중 하나를 사용하십시오.
    • 1099
    • 2099
    • 3099
    보안 도메인 이름

    사용자가 관리할 수 있고, 해당 도메인의 주체 및 지원 데이터를 동기화해야 하는 보안 도메인의 이름을 지정하십시오.

    관리 보안 도메인은 인증 관리자(Authentication Manager) 서버마다 고유하지만, 각 서버에는 기본 최상위 보안 도메인(리얼름)이 설치되어 있습니다. SystemDomain기본 리얼름 이름은.입니다.

    레알름(realm)의 하위 경로 어딘가에 정의된 보안 도메인을 지정하려면, 계층 구조 내의 보안 도메인 간 구분자로 문자를 > 사용하여 보안 도메인의 전체 경로를 지정하십시오. 예를 들어, SystemDomain>Employees>Division1입니다.

    최상위 보안 도메인(리얼름)을 지정하려면 리얼름 이름을 사용하십시오. 예를 들면, SystemDomain입니다.
    관리자 이름 리소스에 로그인하고 지정된 보안 도메인에서 사용자 관리 작업을 수행하는 데 사용할 관리자 사용자를 지정하십시오.
    관리자 비밀번호 관리자의 비밀번호를 지정하십시오.
    조정 한도 이 옵션을 지정하면 검색되는 사용자 계정, 그룹 또는 역할의 수에 대한 제한을 설정할 수 있습니다. 기본값은 1000입니다. 이 값은 RSA Authentication Manager v7.1 SP2 및 그 이전 버전에서만 사용됩니다. 서버의 최신 버전에서는 이 값을 무시하고 모든 사용자 계정, 그룹 및 역할을 반환합니다.
    소유자 선택사항: 사용자를 서비스 소유자로서 지정하십시오.
    서비스 전제조건 선택사항: 이 서비스의 전제조건인 서비스를 지정하십시오.
  9. ‘연결 테스트’를 클릭하여 온프레미스 RSA Authentication Manager와의 연결을 테스트하십시오. RSA Authentication Manager 애플리케이션에서 계정을 프로비저닝하거나 동기화하려면 연결이 정상적으로 이루어져야 합니다.
  10. 대상 RSA Authentication Manager 속성을 필요에 따라 ‘속성 확인’ 항목에 매핑하십시오. 대상에서 업데이트해야 하는 속성에 대해 ‘최신 상태로 유지’ 확인란을 선택하십시오.

  11. ‘계정 동기화’ 탭을 선택하세요.
  12. ‘적용 정책’ 섹션에서, 계정 동기화 프로세스가 Verify의 각 계정 소유자에게 RSA Authentication Manager 계정을 할당할 수 있도록 일치해야 하는 하나 이상의 속성 쌍을 추가하십시오.
  13. '시정 조치 정책' 섹션에서 시정 조치 정책을 선택하여 규정 미준수 계정을 자동으로 시정하십시오.
  14. ‘저장’을 클릭하세요.
  15. 애플리케이션을 저장한 후, ‘권한’ 탭에서 권한 정책을 지정하십시오.