通过身份适配器管理端点

在线编辑

IBM® Verify 提供了一种通过上传受支持的身份适配器的身份适配器配置 JAR 文件来管理端点的方法。 它会自动创建定制应用程序模板,该模板可以用于创建应用程序。 Verify您可以在.中为由身份适配器管理的端点配置账户生命周期和账户同步。

准备工作

  • 确保已针对您的操作系统安装 Security Directory Integrator (SDI)。 参见 https://www.ibm.com/docs/en/sdi/7.2.0
  • 安装并配置 Security Directory Integrator v7.2 的 SDI 分派器。 参见 https://www.ibm.com/docs/en/sia?topic=adapters-dispatcher
  • 目标端点支持的身份适配器:
    • IBM Verify 适用于 Windows AD 64 位系统的适配器,可选支持 Exchange 和 Lync- v10.0.1
    • IBM Verify LDAP 适配器 - v10.0.6
    • IBM Verify Oracle Database 适配器 - v10.0.3
    • IBM Verify Linux 适配器 - v10.0.4
    • IBM Verify SAP NetWeaver 适配器 - v10.0.5
    • IBM Verify 适配器,适用于 IBM Verify Access- v10.0.6
    • IBM Verify MySQL 服务器适配器 - v8.0.19
    • IBM Verify PostgreSQL 服务器适配器 - v12.0
    • IBM Verify 适用于 Microsoft SQL2012 的适配器
    • IBM Verify DB2 适配器 - v10.0.1
    • IBM Verify iSeries 适配器 - v10.0.1
    • IBM Verify SAP 用户管理引擎适配器 - v7.1.8
    • IBM Verify SAP HANA 适配器 - v7.1.5
    • IBM Verify Microsoft SharePoint 适配器 - v10.0.3
    • IBM Verify PeopleTools 适配器 - v10.0.2
    • IBM Verify Oracle 适配器 eBusiness Suite - v10.0.3
    • IBM Verify Windows 本地帐户适配器 - v10.0.6
    • IBM Verify 命令行适配器 (CLIx) - v10.0.1
    • IBM Verify CyberArk 适配器 - v7.1.2
    • IBM Verify 适用于 DB2 的适配器,网址: z/OS - v7.1.2
    • IBM Verify Sybase 适配器 - v7.1.9
    • IBM Verify Siebel JDB 适配器 - v10.0.1
    • IBM Verify RSA Authentication Manager 适配器 - v10.0.2
    • IBM Verify 适用于Broadcom Top Secret 的适配器,网址: z/OS - v10.0.5
    • IBM Verify 适用于 z/OS 的Broadcom ACF2 安全适配器 - v10.0.1
    • IBM Verify Verify Privilege Vault 适配器 - v10.0.2
  • 根据端点需求,确保您具有身份适配器目标概要文件 JAR 文件、连接器和第三方库。 将它们复制到相应位置。 如需了解更多信息,请访问 https://www.ibm.com/support/pages/ibm-security-verify-governance-adapters-v10xhttps://www.ibm.com/docs/en/sia
  • 确保您具有用于部署本地组件容器的 Docker 服务器,这些容器用于将目标端点与 Verify 交互。

关于此任务

适配器概要文件将定义目标端点的属性或模式。 必须将其上载到 Verify。 它将部署到使用身份代理程序创建的本地组件。

上传到 Verify 上的文件必须是 Java™ 归档 (JAR) 文件。 该 <Adapter>Profile.jar 文件包含所有用于定义适配器模式的文件。 Verify如有必要,您可以从该 <Adapter>Profile.jar 文件中提取文件,修改这些文件,然后将更新后的文件打包成新的 JAR 文件,并重新上传至。

过程

  1. 创建用于配置的代理程序配置。
    请参阅 https://www.ibm.com/docs/en/security-verify?topic=provisioning-configuring-through-verify-user-interface
  2. 部署本地组件。
    请参阅 “部署本地组件 ”。
  3. 使用步骤 1 中生成的 Docker Compose yml 文件来部署本地组件。
    发出以下命令。
    docker-compose -f <Docker compose YML file> up -d
  4. 将身份适配器配置文件部署到上一步(步骤 3)中部署的身份中介组件上。
    1. 请从 https://www.ibm.com/support/pages/ibm-security-verify-governance-adapters-v10x 下载配置文件 JAR 文件。
    2. Verify请以管理员身份登录。
    3. 转到 “应用程序” > “应用程序配置文件 ”。
    4. “应用程序配置文件 ”页面中,单击 “创建配置文件 ”> “身份适配器配置文件”
    5. 请指定配置文件名称。
    6. 可选: 提供描述
    7. 选择配置身份代理
    8. 上载身份适配器目标概要文件 JAR 文件。
    9. 点击 “创建个人资料 ”。
    10. 要使个人资料可供使用,请核对详细信息,然后点击 “发布草稿 ”。 从弹出窗口中选择是,发布选项。
      概要文件发布成功后,会生成与概要文件名称相同的端点模板。 可以使用该模板来创建其他应用程序。
      注意:LDAP 和 Oracle 应用程序不会生成任何模板。 使用现有 LDAP 和 Oracle 模板。
  5. 编辑适配器概要文件。
    要更新适配器概要文件;要添加、修改或删除模式属性;或者要使用 Verify 上的新 JAR 文件来更新概要文件,请执行以下步骤。
    1. Verify请以管理员身份登录。
    2. 转到 “应用程序” > “应用程序配置文件 ”。
    3. 选择要更新的现有应用程序配置文件,然后单击 “编辑配置文件 ”。
    4. 可选: 更新个人资料名称和简介。
    5. 上传更新后的身份适配器配置 JAR 文件,然后单击 “保存更改 ”。
    6. 如果个人资料尚未启用,请核对详细信息,然后点击 “发布草稿 ”,并在弹出窗口中选择 “是,发布 ”选项。
      成功发布概要文件后,将使用更改来更新端点模板。
  6. 加载端点身份适配器应用程序。
    1. Verify请以管理员身份登录。
    2. 转到 “应用程序” > “添加应用程序 ”。
    3. 在弹出窗口中,查找您之前创建的应用程序类型配置文件名称 ,然后单击 “添加应用程序 ”。
    4. “添加应用程序 ”页面中,选择 “常规 ”选项卡,并填写所需信息。
    5. 选择 “账户生命周期 ”选项卡。
    6. 指定供应和取消供应策略。
      参数 描述
      供应帐户

      缺省情况下,配置帐户选项为已禁用,这表示在 Verify 外部执行帐户创建。

      选择已启用选项,以在将权利分配给用户时自动配置帐户。 对于使用 Verify 创建的帐户,可以使用密码生成和电子邮件通知功能。
      取消供应帐户

      缺省情况下,取消配置帐户已禁用,这意味着帐户移除是在 Verify 外部执行的。

      选择已启用选项以在移除用户权利时自动取消配置帐户。
      帐户密码
      同步用户的 Cloud Directory 密码
      如果在 Cloud Directory 上启用了密码同步,并且身份适配器支持此选项,那么此选项可用。 它在向应用程序供应常规用户时使用 Cloud Directory 密码。 联合用户在供应到应用程序时收到生成的密码。
      生成密码
      此选项为供应的帐户生成随机密码。 密码基于 Cloud Directory 密码策略。
      此选项供应不带密码的帐户。
      发送电子邮件通知 选择生成密码选项之后,此选项可供使用。 如果选择发送电子邮件通知选项,那么在成功配置帐户后,系统会向您的电子邮件地址发送包含自动生成的密码的电子邮件通知。
      宽限期(天) 设置宽限期(以天为单位),在此宽限限内,取消配置的帐户在永久删除之前保持暂停状态。
      取消供应操作 可对已启用取消配置操作配置此选项以暂挂或删除帐户。 如果禁用取消供应,将取消激活取消供应操作。
  7. 指定 API 认证详细信息。
  8. 点击 “测试连接 ”以测试端点的连接。 需要成功连接才能在端点应用程序上配置或协调帐户。
  9. 映射目标属性的属性名称以验证 Cloud Directory 的属性。 对于需要在目标上更新的属性,请选择保持更新复选框。
  10. 选择 “账户同步 ”选项卡。
  11. Verify“采用策略 ”部分,添加一个或多个属性对,这些属性对必须匹配,才能使账户同步流程将目标账户分配给各自的账户所有者。
  12. “修复策略 ”部分,选择一项修复策略,以自动修复不符合要求的账户。
  13. 点击 “保存”

后续操作

保存应用程序后,在权利选项卡上指定授权策略。