Pour fournir un accès Single Sign-on (SSO), Identity Manager utilise le service d'authentification NetIQ One SSO Provider (OSP). Vous devez utiliser OSP pour les composants suivants :
Administrateur de catalogue
Tableau de bord Identity Manager
Identity Reporting
Réinitialisation de mot de passe en self-service
Application utilisateur
Les fichiers image .iso pour Identity Manager et le programme d'installation intégré d'Identity Manager incluent une méthode d'installation d'OSP. Pour plus d'informations sur l'installation d'OSP, reportez-vous au Section 32.0, Installation du composant de gestion des mots de passe pour Identity Manager.
OSP prend en charge la spécification OAuth2 et requiert un serveur d'authentification LDAP qui utilise le protocole OAuth pour l'authentification. Par défaut, Identity Manager utilise le coffre-fort d'identité (eDirectory). OSP peut communiquer d'autres types de sources d'authentification, ou coffres-forts d'identité, pour gérer les demandes d'authentification. Toutefois, la source spécifique doit utiliser le protocole OAuth. Vous pouvez configurer le type d'authentification qu'OSP doit utiliser : nom d'utilisateur et mot de passe, Kerberos ou SAML. Toutefois, OSP ne prend pas en charge les tickets de connexion MIT Kerberos ni SAP.
Si vous utilisez le coffre-fort d'identité comme service d'authentification et que les conteneurs spécifiés dans le coffre-fort d'identité comportent des CN et des mots de passe, les utilisateurs autorisés peuvent se connecter à Identity Manager immédiatement après l'installation. Sans ces comptes de connexion, seul l'administrateur que vous spécifiez durant l'installation peut se connecter immédiatement.
Lorsqu'un utilisateur se connecte à l'un des composants de type navigateur, le processus redirige la paire nom d'utilisateur/mot de passe de l'utilisateur vers le service OSP qui interroge le serveur d'authentification. Le serveur valide les références de l'utilisateur. OSP émet ensuite un jeton d'accès OAuth2 pour le composant et le navigateur. Le navigateur utilise le jeton pendant la session de l'utilisateur pour fournir un accès SSO à l'ensemble des composants de type navigateur.
Si vous utilisez Kerberos ou SAML, OSP accepte l'authentification du serveur de tickets Kerberos ou du fournisseur d'identité SAML, puis émet un jeton d'accès OAuth2 pour le composant auquel l'utilisateur s'est connecté.
OSP et Kerberos veillent à ce que les utilisateurs puissent se connecter une fois pour ouvrir une session à l'aide de l'une des applications d'identité et d'Identity Reporting. Si la session de l'utilisateur expire, l'autorisation se produit automatiquement sans intervention de l'utilisateur. Après la déconnexion, les utilisateurs doivent toujours fermer le navigateur pour clôturer leur session. Dans le cas contraire, l'application redirige l'utilisateur vers la fenêtre de connexion et OSP donne de nouveau accès à la session de l'utilisateur.
Pour qu'OSP et SSO fonctionnent, vous devez installer OSP. Indiquez ensuite l'URL d'accès du client à chaque composant, l'URL qui redirige les requêtes de validation vers OSP ainsi que les paramètres du serveur d'authentification. Vous pouvez fournir ces informations lors de l'installation ou ultérieurement à l'aide de l'utilitaire de configuration RBPM. Vous pouvez également spécifier les paramètres de votre serveur de tickets Kerberos ou de votre fournisseur d'identité SAML.
Pour plus d'informations sur la configuration de l'authentification et de l'accès Single Sign-on, reportez-vous à la Section XV, Configuration de l'accès Single Sign-on dans Identity Manager. Dans une grappe, les paramètres de configuration doivent être identiques pour tous les membres de la grappe.
Identity Manager utilise un fichier Keystore qui prend en charge les communications http et https entre le service OSP et le serveur d'authentification. Vous créez le fichier Keystore lors de l'installation d'OSP. Vous créez également un mot de passe que le service OSP utilise pour les interactions autorisées avec le serveur d'authentification. Pour plus d'informations, reportez-vous au Section 32.0, Installation du composant de gestion des mots de passe pour Identity Manager.
OSP génère un événement unique pour indiquer qu'un utilisateur se connecte ou se déconnecte de l'application utilisateur ou d'Identity Reporting :
003E0204 lors d'une connexion
003E0201 lors d'une déconnexion
La taxonomie XDAS interprète ensuite ces événements OSP comme une connexion/déconnexion réussie ou un appel SOAP destiné à l'application utilisateur ou un événement « autre qu'une réussite ».