A.2 Configuration de l'application utilisateur : tous les paramètres

Ce tableau indique les paramètres de configuration disponibles lorsque vous cliquez sur Afficher les options avancées.

Tableau A-2 Configuration de l'application utilisateur : toutes les options

Type de paramètre

Option

Description

Paramètres du coffre-fort d'identité

Serveur du coffre-fort d'identité

Requis. Indiquez le nom d'hôte ou l'adresse IP de votre serveur LDAP. Par exemple :

myLDAPhost

Port LDAP

Indiquez le port non sécurisé de votre serveur LDAP. Par exemple : 389.

Port LDAP sécurisé

Indiquez le port sécurisé de votre serveur LDAP. Par exemple : 636.

Administrateur du coffre-fort d'identité

Requis. Indiquez les références de l'administrateur LDAP. Cet utilisateur doit déjà exister. L'application utilisateur utilise ce compte pour effectuer une connexion administrative au coffre-fort d'identité. Cette valeur est codée, en fonction de la clé maîtresse.

Mot de passe de l'administrateur du coffre-fort d'identité

Requis. Indiquez le mot de passe administrateur LDAP. Ce mot de passe est codé, en fonction de la clé maîtresse.

Utiliser le compte anonyme public

Permet aux utilisateurs non logués d'accéder au compte anonyme public LDAP.

Guest LDAP

Permet aux utilisateurs non logués d'accéder à des portlets autorisés. Ce compte utilisateur doit déjà exister dans le coffre-fort d'identité. Pour activer Guest LDAP, vous devez désélectionner Utiliser le compte anonyme public. Pour désactiver l'utilisateur Guest, sélectionnez Utiliser le compte anonyme public.

Mot de passe Guest LDAP

Indiquez le mot de passe Guest LDAP.

Connexion Admin sécurisée

Sélectionnez cette option pour que toutes les communications utilisant le compte administrateur soient effectuées à l'aide d'un socket sécurisé (cette option peut nuire aux performances). Cette configuration permet également d'exécuter des opérations qui ne nécessitent pas SSL.

Login utilisateur sécurisé

Sélectionnez cette option pour que toutes les communications sur le compte de l'utilisateur logué soient effectuées à l'aide d'un socket sécurisé (cette option peut nuire aux performances). Cette configuration permet également d'exécuter des opérations qui ne nécessitent pas SSL.

DN du coffre-fort d'identité

DN du conteneur racine

Requis. Indiquez le nom distinctif LDAP du conteneur racine. Celui-ci est utilisé comme racine de recherche de définition d'entité par défaut lorsqu'aucune racine n'est indiquée dans la couche d'abstraction d'annuaire.

DN du pilote d'application utilisateur

Requis. Indiquez le nom distinctif du pilote de l'application utilisateur. Par exemple, si votre pilote est UserApplicationDriver, que votre ensemble de pilotes est appelé myDriverSet et que l'ensemble de pilotes est dans un contexte o=myCompany, vous saisissez la valeur suivante :

cn=UserApplicationDriver,cn=myDriverSet,o=myCompany

Administrateur de l'application utilisateur

Requis. Un utilisateur existant dans le coffre-fort d'identité qui dispose des droits pour effectuer des tâches administratives pour le conteneur d'utilisateurs de l'application utilisateur spécifié. Cet utilisateur peut utiliser l'onglet Administration de l'application utilisateur pour administrer le portail.

Si l'administrateur de l'application utilisateur participe aux tâches d'administration du workflow exposées dans iManager, Novell Designer pour Identity Manager ou l'application utilisateur (onglet Requêtes et approbations), vous devez accorder à cet administrateur des autorisations d'ayant droit sur les instances d'objets contenues dans le pilote de l'application utilisateur. Pour plus d'informations, reportez-vous au manuel User Application: Administration Guide (Guide d'administration de l'application utilisateur).

Pour modifier cette assignation après avoir déployé l'application utilisateur, vous devez utiliser les pages Administration > Sécurité de l'application utilisateur.

Vous ne pouvez pas modifier ce paramètre via ConfigUpdate si vous avez démarré le serveur d'applications qui héberge l'application utilisateur.

Administrateur du provisioning

L'administrateur du provisioning gère les fonctions de workflow de provisioning disponibles dans l'application utilisateur. Cet utilisateur doit exister dans le coffre-fort d'identité avant d'être désigné administrateur du provisioning.

Pour modifier cette assignation après avoir déployé l'application utilisateur, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.

 

Administrateur de conformité

L'administrateur de conformité est un rôle système qui permet aux membres d'exécuter toutes les fonctions de l'onglet Conformité. Cet utilisateur doit exister dans le coffre-fort d'identité avant d'être désigné comme administrateur du module de conformité.

Lors des mises à jour de la configuration, les modifications apportées à cette valeur prennent effet uniquement si vous n'avez pas d'administrateur de conformité valide assigné. Si un administrateur de conformité valide existe, vos modifications ne sont pas enregistrées.

Pour modifier cette assignation après avoir déployé l'application utilisateur, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.

 

Administrateur de rôles

Il permet aux membres de créer, de supprimer ou de modifier l'ensemble des rôles, ainsi que de révoquer les assignations de rôles des utilisateurs, des groupes ou des conteneurs. Il permet également à ses membres d'exécuter des rapports pour n'importe quel utilisateur. Par défaut, ce rôle est assigné à l'administrateur de l'application utilisateur.

Pour modifier cette assignation après avoir déployé l'application utilisateur, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.

Lors des mises à jour de la configuration, les modifications apportées à cette valeur prennent effet uniquement si vous n'avez pas d'administrateur de module de conformité valide attribué. Si un administrateur de rôles valide existe, vos modifications ne sont pas enregistrées.

Administrateur de la sécurité

Ce rôle permet aux membres d'accéder à toutes les fonctionnalités du domaine Sécurité.

L'administrateur de la sécurité peut effectuer toutes les opérations possibles sur tous les objets au sein du domaine Sécurité. Le domaine Sécurité permet également à l'administrateur de la sécurité de configurer des autorisations d'accès pour tous les objets dans tous les domaines du module de provisioning basé sur les rôles. L'administrateur de la sécurité peut configurer des équipes et assigner des administrateurs de domaine, des administrateurs délégués et d'autres administrateurs de la sécurité.

Pour modifier cette assignation après avoir déployé l'application utilisateur, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.

Administrateur de ressources

Ce rôle permet aux membres d'accéder à toutes les fonctionnalités du domaine Ressource. L'administrateur de ressources peut effectuer toutes les opérations possibles pour tous les objets au sein du domaine Ressource.

Pour modifier cette assignation après avoir déployé l'application utilisateur, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.

Administrateur de la configuration RBPM

Ce rôle permet aux membres d'accéder à toutes les fonctionnalités du domaine Configuration. L'administrateur de la configuration RBPM peut effectuer toutes les opérations possibles pour tous les objets au sein du domaine Configuration. Il contrôle l'accès aux éléments de navigation dans le module de provisioning basé sur les rôles. En outre, l'administrateur de la configuration RBPM configure le service proxy et de délégation, l'interface utilisateur de provisioning et le moteur de workflow.

Pour modifier cette assignation après avoir déployé l'application utilisateur, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.

Administrateur de rapports RBPM

Pointe vers l'administrateur de rapports. Par défaut, le programme d'installation définit cette valeur sur le même utilisateur que celui renseigné dans les autres champs de sécurité.

Réinitialiser la sécurité RBPM

Case à cocher vous permettant de réinitialiser la sécurité.

URL IDMReport

URL qui pointe vers l'interface utilisateur du module de création de rapports Identity.

Identité de l'utilisateur du coffre-fort d'identité

DN du conteneur d'utilisateurs

Requis. Indiquez le nom distinctif (DN) LDAP ou le nom LDAP complet du conteneur d'utilisateurs.

Les utilisateurs de ce conteneur (et en-dessous) sont autorisés à se loguer à l'application utilisateur.

Vous ne pouvez pas modifier ce paramètre via ConfigUpdate si vous avez démarré le serveur d'applications qui héberge l'application utilisateur.

IMPORTANT :vérifiez que l'administrateur de l'application utilisateur indiqué lors de la configuration des pilotes de l'application utilisateur existe dans ce conteneur si vous souhaitez que cet utilisateur soit en mesure d'exécuter les workflows.

Étendue du conteneur d'utilisateurs

Cela définit l'étendue de recherche d'utilisateurs.

Classe d'objets Utilisateur

La classe d'objets utilisateur LDAP (généralement inetOrgPerson).

Attribut de login

L'attribut LDAP (par exemple, CN) qui représente le nom de login de l'utilisateur.

Attribut de nom

L'attribut LDAP utilisé comme identifiant lors de la consultation d'utilisateurs ou de groupes. Il est différent de l'attribut de login, qui n'est utilisé que lors du login, et non pas lors des recherches d'utilisateurs/de groupes.

Attribut de l'adhésion utilisateur

Facultatif. L'attribut LDAP qui représente l'adhésion à un groupe de l'utilisateur. N'utilisez pas d'espace pour ce nom.

Groupes d'utilisateurs du coffre-fort d'identité

DN de conteneur de groupes

Requis. Indiquez le nom distinctif (DN) LDAP ou le nom LDAP complet du conteneur de groupes. Utilisé par les définitions d'entités au sein de la couche d'abstraction d'annuaire.

Vous ne pouvez pas modifier ce paramètre via ConfigUpdate si vous avez démarré le serveur d'applications qui héberge l'application utilisateur.

Étendue du conteneur de groupes

Cela définit l'étendue de recherche des groupes.

Classe d'objets Groupe

La classe d'objets Groupe LDAP (généralement groupofNames).

Attribut d'adhésion à un groupe

L'attribut qui représente l'adhésion d'un utilisateur à un groupe. N'utilisez pas d'espaces pour le nom.

Utiliser des groupes dynamiques

Sélectionnez cette option si vous souhaitez utiliser des groupes dynamiques.

Classe d'objets Groupe dynamique

La classe d'objets Groupe dynamique LDAP (généralement dynamicGroup).

Certificats du coffre-fort d'identité

Chemin d'accès au Keystore

Requis. Indiquez le chemin d'accès complet au fichier keystore (cacerts) du JRE utilisé par le serveur d'applications pour s'exécuter, ou cliquez sur le petit bouton du navigateur pour accéder au fichier cacerts.

L'installation de l'application utilisateur modifie le fichier keystore. Sous Linux ou Solaris, l'utilisateur doit avoir une autorisation pour écrire sur ce fichier.

Remarque concernant WebSphere. Le champ relatif au chemin du fichier Keystore doit être défini sur le répertoire d'installation du module RBPM et non l'emplacement du fichier cacerts du JDK, comme c'est le cas pour les installations JBoss. La valeur par défaut est définie sur l'emplacement correct.

Mot de passe Keystore

Confirmer le mot de passe Keystore

Requis. Indiquez le mot de passe cacerts. L'unité par défaut est changeit.

Banque de clés approuvée

Chemin d'accès à la banque approuvée

Le keystore approuvé contient les certificats de tous les signataires approuvés. Si ce chemin est vide, l'application utilisateur obtient le chemin à partir de la propriété Système javax.net.ssl.trustStore. Si le chemin n'y est pas, il est supposé être jre/lib/security/cacerts.

Mot de passe de la banque approuvée

Si ce champ est vierge, l'application utilisateur obtient le mot de passe à partir de la propriété système javax.net.ssl.trustStorePassword. S'il n'y a aucune valeur, changeit est utilisé. Ce mot de passe est codé, en fonction de la clé maîtresse.

Keystore de type JKS

Indique le type de signature numérique à utiliser. Si ce paramètre est sélectionné, cela signifie que le chemin de la zone de stockage approuvée est de type JKS.

Keystore de type PKCS12

Indique le type de signature numérique à utiliser. Si ce paramètre est sélectionné, cela signifie que le chemin de la zone de stockage approuvée est de type PKCS12.

Clé de certificat et signature numérique Novell Audit

 

Contient la clé de signature numérique et le certificat pour le service d'audit.

 

Certificat de signature numérique Novell Audit

Affiche le certificat de signature numérique pour le service d'audit.

 

Clé privée de signature numérique Novell Audit

Affiche la clé privée de signature numérique. Cette clé est codée, en fonction de la clé maîtresse.

Paramètres Access Manager

Logout simultané activé

Si cette option est activée, l'application utilisateur prend en charge le logout simultané de l'application utilisateur et de Novell Access Manager ou d'iChain. L'application utilisateur vérifie la présence du cookie Novell Access Manager ou iChain durant le logout ; s'il est présent, l'utilisateur est renvoyé à la page de logout simultané.

Page de Logout simultané

L'URL pointant vers la page de logout de Novell Access Manager ou iChain, lorsque l'URL est un nom d'hôte attendu par Novell Access Manager ou iChain. Si la consignation ICS est activée et qu'un utilisateur se délogue de l'application utilisateur, il est réacheminé vers cette page.

Configuration du serveur de messagerie

HÔTE du modèle de notification

Indiquez le serveur d'applications hébergeant l'application utilisateur Identity Manager. Par exemple :

myapplication serverServer

Cette valeur remplace le jeton $HOST$ des modèles de courrier électronique. L'URL construite est la liaison aux tâches de requête de provisioning et aux notifications d'approbation.

PORT du modèle de notification

Utilisé pour remplacer le jeton $PORT$ des modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.

PORT SÉCURISÉ du modèle de notification

Utilisé pour remplacer le jeton $SECURE_PORT$ des modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.

PROTOCOLE du modèle de notification

Se rapporte à un protocole non sécurisé, HTTP. Utilisé pour remplacer le jeton $PROTOCOL$ des modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.

PROTOCOLE SÉCURISÉ du modèle de notification

Se rapporte à un protocole sécurisé, HTTPS. Utilisé pour remplacer le jeton $SECURE_PROTOCOL$ des modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.

Notification SMTP - expéditeur du courrier électronique

Indiquez l'utilisateur expéditeur du courrier électronique dans le message de provisioning.

Nom du serveur SMTP

Indiquez l'utilisateur destinataire du courrier électronique dans le message de provisioning. Il peut s'agir d'une adresse IP ou d'un nom DNS.

Gestion des mots de passe

 

 

Utiliser le WAR de mots de passe externe

Cette fonction permet d'indiquer une page Mot de passe oublié qui réside dans un WAR Mot de passe oublié externe et une URL que le WAR Mot de passe oublié externe utilise pour rappeler l'application utilisateur grâce à un service Web.

Si vous sélectionnez Utiliser le WAR de mot de passe externe, vous devez indiquer des valeurs pour les paramètres Lien Mot de passe oublié, Lien Retour mot de passe oublié et URL du service Web de mot de passe oublié.

Si vous ne sélectionnez pas Utiliser le WAR de mot de passe externe, Identity Manager utilise la fonction de gestion des mots de passe interne par défaut ./jsps/pwdmgt/ForgotPassword.jsp (sans le protocole http(s) au début). Cela redirige l'utilisateur vers la fonction Mot de passe oublié intégrée à l'application utilisateur, plutôt que vers un WAR externe.

Liaison Mot de passe oublié

Cette URL pointe vers la page de fonction Mot de passe oublié. Indiquez un fichier ForgotPassword.jsp dans un fichier WAR de gestion des mots de passe externe ou interne.

 

Lien Retour mot de passe oublié

Définissez le paramètre Lien Retour mot de passe oublié afin que l'utilisateur puisse cliquer dessus après une opération de type Mot de passe oublié.

URL du service Web de mot de passe oublié

Il s'agit de l'URL que le fichier WAR externe de mot de passe oublié utilise pour revenir à l'application utilisateur en vue d'exécuter les fonctions de base de mot de passe oublié. Le format de cette URL est le suivant :

https://<idmhost>:<sslport>/<idm>/pwdmgt/service

Divers

Timeout de session

Le timeout de session de l'application.

OCSP URI

Si l'installation client utilise le protocole OCSP (protocole de propriété d'état de certificat en ligne), fournissez un identificateur de ressource uniforme (URI). Par exemple, le format est http://host:port/ocspLocal. L'URI OCSP met à jour le statut des certificats approuvés en ligne.

Chemin de configuration d'autorisation

Nom complet du fichier de configuration de l'autorisation.

 

Créer un index de coffre-fort d'identité

Cochez cette case si vous souhaitez que l'utilitaire d'installation crée des index sur les attributs manager, ismanager et srvprvUUID. Sans index pour ces attributs, les utilisateurs de l'application utilisateur peuvent connaître la performance de l'application utilisateur se réduire, en particulier dans un environnement à grappes. Vous pouvez créer ces index manuellement en utilisant iManager après avoir installé l'application utilisateur. Reportez-vous à la Section 9.3.1, Création d'index dans eDirectory.

Pour que les performances soient optimales, la création de l'index doit être terminée. Les index doivent être en mode En ligne pour que vous puissiez rendre l'Application utilisateur disponible.

 

Supprimer l'index de coffre-fort d'identité

Supprime des index des attributs manager, ismanager et srvprvUUID.

 

DN du serveur

Sélectionnez le serveur eDirectory sur lequel les index doivent être créés ou duquel ils doivent être supprimés.

REMARQUE :pour configurer des index sur plusieurs serveurs eDirectory, vous devez exécuter l'utilitaire ConfigUpdate plusieurs fois. Vous ne pouvez indiquer qu'un seul serveur à la fois.

Objet Conteneur

Sélectionné

Sélectionnez chaque type d'objet Conteneur à utiliser.

Type d'objet Conteneur

Sélectionnez parmi les conteneurs standard suivants : lieu, pays, unité organisationnelle, organisation et domaine. Vous pouvez également définir vos propres conteneurs dans iManager et les ajouter sous Ajouter un nouvel objet Conteneur.

Nom de l'attribut Conteneur

Indique le nom de type d'attribut associé au type d'objet Conteneur.

Ajouter un nouvel objet Conteneur : type d'objet Conteneur

Indiquez le nom LDAP d'une classe d'objets du coffre-fort d'identité pouvant servir de conteneur.

Ajouter un nouvel objet Conteneur : nom d'attribut Conteneur

Donnez le nom d'attribut de l'objet Conteneur.