Integrando o aplicativo LDAP

Editar online

Provisionar usuários do Verify para o adaptador local do LDAP.

Antes de começar

  1. Configure o agente de identidade para autenticação em Verify. Consulte, Configurando por meio da interface com o usuário do Verify.
  2. Implemente e configure o IBM® Verify componente Identity Brokerage On-Premises.

Procedimento

  1. Faça login como administrador em Verify.
  2. Selecione Aplicativos > Aplicativos e clique em Adicionar aplicativo.
  3. Pesquise o tipo de aplicativo “ LDAP ” no menu pop-up e clique em “Adicionar aplicativo”.
  4. Na página “Adicionar aplicativos”, selecione a guia “Geral” e preencha os dados necessários.
  5. Selecione a guia "Ciclo de vida da conta".
  6. Especifique as políticas de fornecimento e de desprovisionamento.
    Parâmetros Descrição
    Provisionar contas

    A criação de contas provisórias está desativada por padrão, o que significa que a criação de contas é realizada fora do IBM Verify.

    Selecione a opção Ativado para provisionar uma conta automaticamente quando a autorização for designada a um usuário. Estão disponíveis recursos de geração de senhas e notificação por e-mail para a conta criada usando IBM Verify.
    Desprover contas

    A desativação de contas está desativada por padrão, o que significa que a remoção de contas é realizada fora do IBM Verify.

    Selecione a opção Ativado para desprover uma conta automaticamente quando a autorização for removida de um usuário.
    Senha da conta
    Senha do Cloud Directory do usuário de sincronização
    Esta opção estará disponível se a Sincronização de senha estiver ativada no Cloud Directory. Ela usará a senha do Cloud Directory quando um usuário regular for provisionado para o aplicativo. Os usuários federados recebem uma senha gerada quando provisionados para o aplicativo.
    Gerar senha
    Esta opção gera uma senha aleatória para a conta provisionada. A senha é baseada na política de senha do Cloud Directory.
    Nenhum
    Esta opção provisiona a conta sem uma senha.
    Enviar notificação por e-mail Esta opção está disponível quando você seleciona a opção Gerar senha. Ao selecionar a opção Enviar notificação por e-mail, uma notificação por e-mail com a senha gerada automaticamente é enviada para o seu endereço de e-mail após a conta ser provisionada com sucesso.
    Período de carência (dias) Configure o período de carência em dias durante os quais a conta desprovisionada será mantida como suspensa antes de ser excluída permanentemente.
    Ação de remoção de provisão Excluir a conta Esse campo ficará disponível apenas se o campo Desprover contas estiver ativado.
  7. Na seção Geral, selecione Perfil da aplicação no menu suspenso. Se o perfil não existir, você deverá criar um. Para obter mais informações, consulte Gerenciamento de perfis de aplicativos do adaptador de identidade.
  8. Especifique os detalhes de autenticação da API.
    Parâmetros Descrição
    Local do Tivoli Directory Integrator URL para a instância do IBM Security Directory Integrator. Por exemplo, rmi://<ip-address>:<port>/ITDIDispatcher, em que ip-address é o host do IBM Security Directory Integrator e port é o número da porta do RMI Dispatcher.
    URL URL do servidor de diretório. Por exemplo, ldap://<ldap host>:<port>, em que 'ldap host' é o host do servidor de diretório e port é o número da porta do servidor de diretório.
    Nome do administrador O nome do usuário do usuário administrativo.
    Nome do servidor de diretórios
    1. Para IBM, selecione a primeira opção IBM Directory Server no menu suspenso.
    2. Para Oracle, selecione a segunda opção Oracle Directory Server no meu suspenso.
    3. Para qualquer outro destino, selecione outra opção no menu suspenso.
    DN base do usuário O DN do contêiner no qual os usuários são armazenados. Por exemplo, cn=users,dc=com.
    Atributo RDN do usuário O atributo de nome distinto relativo para entradas LDAP de usuários. Por exemplo, UID ou CN.
    DN base do grupo O DN do contêiner no qual os grupos são armazenados. Por exemplo, cn=groups,dc=com.
    Atributo RDN do grupo O atributo de nome distinto relativo para entradas LDAP de grupos. Por exemplo, UID ou CN.
    Membro do grupo inicial O DN de um usuário que pode ser um membro do grupo quando a operação de inclusão do grupo é executada.
    Senha A senha do usuário administrativo.
    Agente de identidade Selecione um Agente de identidade do tipo Fornecimento no menu suspenso usando o perfil do aplicativo que foi descoberto.
    Descrição Campo opcional. Inclua a descrição, se necessário.
    Usar a comunicação de SSL com o LDAP? Marque a caixa de seleção se o SSL for usado para a comunicação com o LDAP.
    Política de senha ativada no servidor de diretório? Marque a caixa de seleção se a política de senha estiver ativada no servidor de diretório.
    Tamanho da página LDAP Especifique o tamanho da página LDAP.
    Nome da classe de objeto do grupo Especifique o nome da classe de objeto de grupo com o qual o grupo é incluído no recurso gerenciado.
    Atributo de associação ao grupo Especifique o atributo da classe de objeto de grupo no recurso gerenciado que lista os usuários que são membros do grupo.
  9. Clique em “Testar conexão” para testar a conexão com o adaptador do LDAP no ambiente local. A conexão precisa ser bem-sucedida para provisionar ou reconciliar as contas no aplicativo LDAP.
  10. Mapeie os atributos do LDAP de destino para os Verify atributos necessários. Marque a caixa de seleção Manter atualizado dos atributos que precisam ser atualizados no destino.
  11. Selecione a guia "Sincronização de contas".
  12. Na seção “Política de adoção ”, adicione um ou mais pares de atributos que precisam corresponder para que o processo de sincronização de contas atribua as contas d LDAP e aos respectivos proprietários no Verify.
  13. Na seção “Políticas de correção ”, selecione uma política de correção para corrigir automaticamente as contas que não estão em conformidade.
  14. Clique em Salvar.
  15. Depois que o aplicativo for salvo, especifique a política de autorização na guia "Direitos ".
    Nota:

    O limite de falha de reconhecimento é configurado como 15% por padrão. Ele assegura que, se mais de 15% da conta tiver sido excluído entre as sucessivas sincronizações de conta, o resultado da sincronização será descartado e a operação será parada.

    Se houver uma % maior de registros excluídos (geralmente com menor volume de dados, a mudança menor de dados contribuirá para uma % de desvio maior), ajuste o valor apropriadamente. Ao configurar o valor do limite de falha para 100%, a % de desvio será ignorada e a operação de sincronização da conta será concluída.

    É possível mudar o valor do limite de falha incluindo a variável ambiental RECONCILIATION_FAILURETHRESHOLD_VALUE:"100” (o valor pode variar de 0 a 100) na seção de ambientes de identity-brokerage no arquivo yml de composição do docker. Depois de fazer isso, gire novamente o contêiner se ele já estiver em execução.

    Por Exemplo:

    
identity-brokerage:
image: ibmcom/identity-brokerage
container_name: identity-brokerage
depends_on:
- ib-init
- ibdb
environment:
LICENSE_ACCEPT: "yes"
HOSTNAME: "identity-brokerage"
DB_SERVICE_NAME: "ibdb"
TRACE: "enabled"
SCIM_USER: "<>"
SCIM_USER_PASSWORD: "<>"
RECONCILIATION_FAILURETHRESHOLD_VALUE: "75"