部署 RSA 身份验证管理器

在线编辑

将 Verify 中的用户迁移到本地 RSA Authentication Manager® 适配器。

准备工作

  1. 在 Verify 中配置身份代理程序以进行认证。 请参阅 “通过 Verify 用户界面进行配置 ”。
  2. 部署并配置 Identity Brokerage 本地组件 IBM® Verify

过程

  1. IBM Verify请以管理员身份登录。
  2. 选择 “应用程序 ”> “应用程序 ”,然后单击 “添加应用程序 ”。
  3. 从菜单中搜索作为上传的应用程序配置文件名称设置的应用程序类型,然后单击 “添加应用程序 ”。
    例如,如果上传的 RSA Authentication Manager 配置文件的名称为“RSA Authentication Manager”,则该应用程序将显示为“RSA Authentication Manager(custom)”。
  4. “添加应用程序 ”页面中,选择 “常规 ”选项卡,并填写所需信息。
  5. 选择 “账户生命周期 ”选项卡。
  6. 指定供应和取消供应策略。
    参数 描述
    供应帐户

    IBM Verify预留账户默认处于禁用状态 ,这意味着账户的创建是在. 之外进行的。

    选择已启用选项,以在将权利分配给用户时自动配置帐户。 IBM Verify使用...创建的账户支持密码生成和电子邮件通知功能。
    取消供应帐户

    IBM Verify“注销账户”功能默认处于禁用状态 ,这意味着账户删除操作将在系统外部进行。

    选中 “已启用 ”选项,以便在撤销用户的授权时自动注销该账户。
    帐户密码
    同步用户的 Cloud Directory 密码
    此选项在 Cloud Directory 上启用了“密码同步”时可用。 它在向应用程序供应常规用户时使用 Cloud Directory 密码。 联合用户在供应到应用程序时收到生成的密码。
    生成密码
    此选项为供应的帐户生成随机密码。 密码基于 Cloud Directory 密码策略。
    此选项供应不带密码的帐户。
    发送电子邮件通知 选择生成密码选项之后,此选项可供使用。 当您选择 “发送电子邮件通知 ”选项时,账户成功配置后,系统会向您的电子邮箱发送一封包含自动生成密码的电子邮件通知。
    宽限期(天) 设置已注销账户在被永久删除前作为暂停状态保留的天数。
    取消供应操作 删除帐户。 只有在启用了“注销账户”字段的情况下,此字段才可用。
  7. 在“常规”选项卡中,从下拉菜单中选择 “应用程序配置文件 ”。 如果概要文件不存在,那么必须创建一个。 有关更多信息,请参阅《 管理身份适配器应用程序配置文件 》。
  8. 指定 API 认证详细信息。
    参数 描述
    Security Directory Integrator 位置 IBM VerifyURL 用于 Directory Integrator 实例。 rmi://<ip-address>:<port>/ITDIDispatcher例如,其中 ip-address 是 Directory Integrator 主机 IBM Verify ,port 是 RMI Dispatcher 的端口号。

    缺省 SDI1 实例的缺省 URL 为 rmi://localhost:1099/ITDIDispatcher

    下表显示了防火墙中为每个所创建实例打开的端口。 但是,使用这些端口号时不支持高可用性。

    表 1. 端口

    实例和端口
    实例 端口
    SDI1 1199、1198、1197、1196、1195、1194
    SDI2 2299、2298、2297、2296、2295、2294
    SDI3 3399、3398、3397、3396、3395、3394
    SDI4 4499、4498、4497、4496、4495、4494
    SDI5 5599、5598、5597、5596、5595、5594
    SDI6 6699、6698、6697、6696、6695、6694
    SDI7 7799、7798、7797、7796、7795、7794
    SDI8 8899、8898、8897、8896、8895、8894
    SDI9 9999、9998、9997、9996、9995、9994
    SDI10 11099、11098、11097、11096、11095、11094
    要实现高可用性,请使用以下任意端口号。
    • 1099
    • 2099
    • 3099
    安全域名称

    指定用户可管理的并且必须从中协调主体和支持数据的安全域的名称。

    管理安全域特定于 Authentication Manager 服务器,但每个服务器都随缺省的顶级安全域(领域)安装。 缺省领域名称为 SystemDomain

    要指定在领域下某个位置定义的安全域,请使用安全域的完整路径,并将 > 字符用作层次结构中安全域之间的分隔符。 例如,SystemDomain>Employees>Division1

    要指定顶级安全域(领域),请使用领域名称。 例如,SystemDomain
    管理员名称 指定用于登录资源以及对指定安全域执行用户管理操作的管理员用户。
    管理员密码 指定管理员用户的密码。
    协调限制 指定此选项可以为检索到的用户帐户、组或角色数设置限制。 缺省值为 1000。 此值仅用于 RSA Authentication Manager V7.1 SP2 及更低版本。 服务器的较高版本会忽略此值并返回所有用户帐户、组和角色。
    所有者 可选:将用户指定为服务所有者。
    服务必备项 可选:指定作为此服务的必备项的服务。
  9. 单击 “测试连接 ”以测试与本地 RSA Authentication Manager 的连接。 必须成功建立连接,才能在 RSA Authentication Manager 应用程序上配置或核对账户。
  10. 根据需要,将目标 RSA Authentication Manager 属性映射到“验证”属性。 请勾选 “保持更新 ”复选框,以更新目标端需要更新的属性。

  11. 选择 “账户同步 ”选项卡。
  12. “采用策略 ”部分,添加一个或多个属性对,这些属性对必须匹配,才能使账户同步流程将 RSA Authentication Manager 账户分配给 Verify 上的相应账户所有者。
  13. “整改策略 ”部分,选择一项整改策略,以自动对不符合要求的账户进行整改。
  14. 点击 “保存”
  15. 保存应用程序后,请在 “授权 ”选项卡中指定授权策略。