L'utilitaire de configuration des applications d'identité vous permet de gérer les paramètres des pilotes de l'application utilisateur et des applications d'identité. Le programme d'installation des applications d'identité invoque une version de cet utilitaire et vous permet ainsi de configurer rapidement les applications. Vous pouvez également modifier la plupart de ces paramètres une fois l'installation terminée.
Le fichier pour l'exécution de l'utilitaire de configuration (configupdate.bat) est situé par défaut dans un sous-répertoire d'installation des applications d'identité (C:\NetIQ\idm\apps\UserApplication).
REMARQUE :dans une grappe, les paramètres de configuration doivent être identiques pour tous les membres de la grappe.
Cette section décrit les paramètres de l'utilitaire de configuration. Les paramètres sont organisés par onglets. Si vous installez Identity Reporting, le processus ajoute des paramètres de création de rapports à l'utilitaire.
Ouvrez le fichier configupdate.properties dans un éditeur de texte et vérifiez que les options suivantes sont configurées :
edit_admin="true"
use_console="false"
À l'invite de commande, exécutez l'utilitaire de configuration (configupdate.bat).
REMARQUE :vous devrez peut-être attendre quelques minutes pour que l'utilitaire démarre.
Lors de la configuration des applications d'identité, cet onglet permet de définir les valeurs utilisées par les applications pour communiquer avec le coffre-fort d'identité. Certains paramètres sont requis pour terminer la procédure d'installation.
Par défaut, l'onglet affiche les options de base. Pour afficher tous les paramètres, cliquez sur Afficher les options avancées. En outre, cet onglet comporte les groupes de paramètres suivants :
Cette section définit les paramètres qui permettent aux applications d'identité d'accéder aux identités utilisateur et aux rôles dans le coffre-fort d'identité. Certains paramètres sont requis pour terminer la procédure d'installation.
Requis
Indique le nom d'hôte ou l'adresse IP de votre serveur LDAP. Par exemple : myLDAPhost.
Permet de spécifier le port sur lequel le coffre-fort d'identité doit être à l'écoute des requêtes LDAP en texte clair. La valeur par défaut est 389.
Permet de spécifier le port sur lequel le coffre-fort d'identité doit être à l'écoute des requêtes LDAP à l'aide du protocole SSL (Secure Sockets Layer). La valeur par défaut est 636.
Si un service déjà chargé sur le serveur (avant l'installation d'eDirectory) utilise ce port par défaut, vous devez spécifier un autre port.
Requis
Indique les références de l'administrateur LDAP. Par exemple, cn=admin. Cet utilisateur doit déjà exister dans le coffre-fort d'identité.
Les applications d'identité utilisent ce compte pour établir une connexion administrative avec le coffre-fort d'identité. Cette valeur est codée, en fonction de la clé principale.
Requis
Permet de spécifier le mot de passe associé l'administrateur LDAP. Ce mot de passe est codé, en fonction de la clé principale.
Permet de spécifier si les utilisateurs non connectés peuvent accéder au compte anonyme public LDAP.
Indique si RBPM utilise le protocole SSL pour toutes les communications associées au compte administrateur. Cette configuration permet également d'exécuter des opérations qui ne nécessitent pas SSL.
REMARQUE :cette option peut affecter les performances.
Indique si RBPM utilise le protocole TLS/SSL pour toutes les communications associées au compte de l'utilisateur connecté. Ce paramètre permet d'effectuer des opérations qui ne nécessitent pas TLS/SSL pour fonctionner sans le protocole.
REMARQUE :cette option peut affecter les performances.
Cette section définit les noms distinctifs des conteneurs et des comptes utilisateur qui permettent la communication entre les applications d'identité et les autres composants Identity Manager. Certains paramètres sont requis pour terminer la procédure d'installation.
Requis
Indique le nom distinctif LDAP du conteneur racine. Celui-ci est utilisé comme racine de recherche de définition d'entité par défaut lorsqu'aucune racine n'est indiquée dans la couche d'abstraction d'annuaire. Exemple : o=mycompany.
Requis
Si vous affichez les options avancées, l'utilitaire affiche ce paramètre sous Identité de l'utilisateur du coffre-fort d'identité.
Indique le nom distinctif (DN) LDAP ou le nom LDAP complet du conteneur utilisateur. Ce paramètre présente les caractéristiques suivantes :
Les utilisateurs de ce conteneur (et ses sous-conteneurs) sont autorisés à se connecter aux applications d'identité.
Si vous avez démarré l'instance Tomcat hébergeant les applications d'identité, vous ne pouvez pas modifier ce paramètre à l'aide du fichier configupdate.bat.
Ce conteneur doit inclure l'administrateur de l'application utilisateur que vous avez spécifié lors de la configuration du pilote de l'application utilisateur. Dans le cas contraire, le compte ne peut pas exécuter les workflows.
Requis
Si vous affichez les options avancées, l'utilitaire affiche ce paramètre sous Groupes d'utilisateurs du coffre-fort d'identité.
Indiquez le nom distinctif (DN) LDAP ou le nom LDAP complet du conteneur d'utilisateurs. Ce paramètre présente les caractéristiques suivantes :
Les définitions d'entité de la couche d'abstraction d'annuaire utilisent ce DN.
Si vous avez démarré l'instance Tomcat hébergeant les applications d'identité, vous ne pouvez pas modifier ce paramètre à l'aide du fichier configupdate.bat.
Requis
Indique le nom distinctif du pilote de l'application utilisateur.
Par exemple, si votre pilote est UserApplicationDriver et si votre ensemble de pilotes est appelé myDriverSet, et si l'ensemble de pilotes est dans un contexte de o=myCompany, indiquez cn=UserApplicationDriver,cn=myDriverSet,o=myCompany.
Requis
Permet d'indiquer un compte utilisateur existant dans le coffre-fort d'identité qui dispose des droits pour effectuer des tâches administratives pour le conteneur d'utilisateurs spécifié de l'application utilisateur. Ce paramètre présente les caractéristiques suivantes :
Si vous avez démarré l'instance Tomcat hébergeant l'application utilisateur, vous ne pouvez pas modifier ce paramètre à l'aide du fichier configupdate.bat.
Pour modifier cette assignation après avoir déployé l'application utilisateur, utilisez les pages Administration > Sécurité de l'application utilisateur.
Ce compte utilisateur est autorisé à utiliser l'onglet Administration de l'application utilisateur pour administrer le portail.
Si l'administrateur de l'application utilisateur participe aux tâches d'administration du workflow exposées dans iManager, Designer ou l'application utilisateur (onglet Requêtes et approbations), vous devez accorder à cet administrateur des autorisations d'ayant droit sur les instances d'objets contenues dans le pilote de l'application utilisateur. Pour plus d'informations, reportez-vous au manuel User Application Administration Guide (Guide d'administration de l'application utilisateur).
Permet d'indiquer un compte utilisateur existant dans le coffre-fort d'identité qui gère les fonctions de workflow de provisioning disponibles dans l'application utilisateur.
Pour modifier cette assignation après avoir déployé l'application utilisateur, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.
Indique un compte existant dans le coffre-fort d'identité qui exécute un rôle système pour permettre aux membres d'exécuter toutes les fonctions de l'onglet Conformité. Ce paramètre présente les caractéristiques suivantes :
Pour modifier cette assignation après avoir déployé les applications d'identité, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.
Lors d'une mise à jour de la configuration, les modifications apportées à cette valeur prennent effet uniquement si aucun administrateur de conformité valide n'est assigné. Si un administrateur de conformité valide existe, vos modifications ne sont pas enregistrées.
Spécifie le rôle qui permet aux membres de créer, de supprimer ou de modifier l'ensemble des rôles, ainsi que d'accorder ou de révoquer les assignations de rôle des utilisateurs, des groupes ou des conteneurs. Il permet également à ses membres d'exécuter des rapports pour n'importe quel utilisateur. Ce paramètre présente les caractéristiques suivantes :
Par défaut, ce rôle est assigné à l'administrateur de l'application utilisateur.
Pour modifier cette assignation après avoir déployé les applications d'identité, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.
Lors d'une mise à jour de la configuration, les modifications apportées à cette valeur prennent effet uniquement si aucun administrateur de rôles valide n'est assigné. Si un administrateur de rôles valide existe, vos modifications ne sont pas enregistrées.
Spécifie le rôle qui permet aux membres d'accéder à toutes les fonctionnalités du domaine Sécurité. Ce paramètre présente les caractéristiques suivantes :
L'administrateur de la sécurité peut effectuer toutes les opérations possibles sur tous les objets au sein du domaine Sécurité. Le domaine Sécurité permet également à l'administrateur de la sécurité de configurer des autorisations d'accès pour tous les objets dans tous les domaines de RBPM. L'administrateur de la sécurité peut configurer des équipes et assigner des administrateurs de domaine, des administrateurs délégués et d'autres administrateurs de la sécurité.
Pour modifier cette assignation après avoir déployé les applications d'identité, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.
Spécifie le rôle qui permet aux membres d'accéder à toutes les fonctionnalités du domaine Ressource. Ce paramètre présente les caractéristiques suivantes :
L'administrateur de ressources peut effectuer toutes les opérations possibles pour tous les objets au sein du domaine Ressource.
Pour modifier cette assignation après avoir déployé les applications d'identité, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.
Spécifie le rôle qui permet aux membres d'accéder à toutes les fonctionnalités du domaine Configuration. Ce paramètre présente les caractéristiques suivantes :
L'administrateur de la configuration RBPM peut effectuer toutes les opérations possibles pour tous les objets au sein du domaine Configuration. L'administrateur de la configuration RBPM contrôle l'accès aux éléments de navigation dans RBPM. En outre, l'administrateur de la configuration RBPM configure le service proxy et de délégation, l'interface utilisateur de provisioning et le moteur de workflow.
Pour modifier cette assignation après avoir déployé les applications d'identité, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.
Spécifie l'administrateur de la création de rapports. Par défaut, le programme d'installation définit cette valeur sur le même utilisateur que celui renseigné dans les autres champs de sécurité.
Cette section définit les valeurs qui permettent aux applications d'identité de communiquer avec un conteneur d'utilisateurs dans le coffre-fort d'identité. Certains paramètres sont requis pour terminer la procédure d'installation.
L'utilitaire n'affiche ces paramètres que lorsque vous sélectionnez Aff. options avancées.
Requis
Lorsque cette option n'est pas présente les options avancées, l'utilitaire affiche ce paramètre sous DN du coffre-fort d'identité.
Indique le nom distinctif (DN) LDAP ou le nom LDAP complet du conteneur utilisateur. Ce paramètre présente les caractéristiques suivantes :
Les utilisateurs de ce conteneur (et ses sous-conteneurs) sont autorisés à se connecter aux applications d'identité.
Si vous avez démarré l'instance Tomcat hébergeant les applications d'identité, vous ne pouvez pas modifier ce paramètre à l'aide du fichier configupdate.bat.
Ce conteneur doit inclure l'administrateur de l'application utilisateur que vous avez spécifié lors de la configuration du pilote de l'application utilisateur. Dans le cas contraire, le compte ne peut pas exécuter les workflows.
Permet de définir la mesure dans laquelle les utilisateurs du coffre-fort d'identité peuvent effectuer des recherches dans le conteneur.
Indique la classe d'objet de l'utilisateur LDAP. La classe est généralement inetOrgPerson.
Spécifie l'attribut LDAP qui représente le nom de connexion de l'utilisateur. Exemple : cn
Spécifie l'attribut LDAP utilisé comme identifiant lors de la consultation d'utilisateurs ou de groupes. Ce n'est pas le même que l'attribut de connexion, qui n'est utilisé que lors de la connexion. Exemple : cn
(Facultatif) Spécifie l'attribut LDAP qui représente l'adhésion à un groupe de l'utilisateur. N'utilisez pas d'espaces pour le nom.
Cette section définit les valeurs qui permettent aux applications d'identité de communiquer avec un conteneur de groupes dans le coffre-fort d'identité. Certains paramètres sont requis pour terminer la procédure d'installation.
L'utilitaire n'affiche ces paramètres que lorsque vous sélectionnez Aff. options avancées.
Requis
Lorsque cette option n'est pas présente les options avancées, l'utilitaire affiche ce paramètre sous DN du coffre-fort d'identité.
Indiquez le nom distinctif (DN) LDAP ou le nom LDAP complet du conteneur d'utilisateurs. Ce paramètre présente les caractéristiques suivantes :
Les définitions d'entité de la couche d'abstraction d'annuaire utilisent ce DN.
Si vous avez démarré l'instance Tomcat hébergeant les applications d'identité, vous ne pouvez pas modifier ce paramètre à l'aide du fichier configupdate.bat.
Permet de définir la mesure dans laquelle les utilisateurs du coffre-fort d'identité peuvent effectuer des recherches dans le conteneur de groupes.
Indique la classe d'objet du groupe LDAP. La classe est généralement groupofNames.
(Facultatif) Spécifie l'adhésion à un groupe de l'utilisateur. N'utilisez pas d'espaces pour le nom.
Indique si vous souhaitez utiliser des groupes dynamiques.
Vous devez aussi spécifier une valeur pour Classe d'objet Groupe dynamique.
Ne s'applique que lorsque vous sélectionnez l'option Utiliser des groupes dynamiques.
Indique la classe d'objet du groupe dynamique LDAP. La classe est généralement dynamicGroup.
Cette section définit le chemin d'accès et le mot de passe pour le keystore du JRE. Certains paramètres sont requis pour terminer la procédure d'installation.
Requis
Indique le chemin d'accès complet au fichier (cacerts) de votre keystore du JRE utilisé par Tomcat. Vous pouvez entrer manuellement le chemin d'accès ou parcourir l'arborescence jusqu'au fichier cacerts. Ce paramètre présente les caractéristiques suivantes :
Dans les environnements, vous devez indiquer le répertoire d'installation de RBPM. La valeur par défaut est définie sur l'emplacement correct.
Le programme d'installation des applications d'identité modifie le fichier keystore. Sous Linux, l'utilisateur doit avoir l'autorisation d'écrire dans ce fichier.
Requis
Spécifie le mot de passe pour le fichier keystore. L'unité par défaut est changeit.
Cette section décrit les valeurs permettant de configurer des notifications par message électronique que vous pouvez utiliser pour les approbations. Pour plus d'informations, reportez-vous à la section Enabling Support for Digital Signatures
(Activation de la prise en charge des signatures numériques) du NetIQ Identity Manager - Administrator's Guide to the Identity Applications (NetIQ Identity Manager - Guide de l'administrateur des applications d'identité) et à la section Manage Approvals by Email
(Gestion des approbations par courrier électronique) dans l'Aide des applications d'identité.
Spécifie le nom ou l'adresse IP de l'instance Tomcat qui héberge les applications d'identité. Par exemple, myapplication serverServer.
Cette valeur remplace le jeton $HOST$ des modèles de courrier électronique. Le programme d'installation utilise ces informations pour créer une URL conduisant aux tâches de requête de provisioning et aux notifications d'approbation.
Spécifie le numéro de port de l'instance Tomcat qui héberge les applications d'identité.
Cette valeur remplace le jeton $PORT$ dans les modèles de message électronique qui sont utilisés dans des tâches de requête de provisioning et les notifications d'approbation.
Spécifie le numéro de port sécurisé de l'instance Tomcat qui héberge les applications d'identité.
Cette valeur remplace le jeton $SECURE_PORT$ dans les modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.
Indique un protocole non sécurisé inclus dans l'URL lors de l'envoi de courrier électronique à l'utilisateur. Exemple : http.
Cette valeur remplace le jeton $PROTOCOL$ dans les modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.
Indique le protocole sécurisé inclus dans l'URL lors de l'envoi de courrier électronique à l'utilisateur. Exemple : https.
Cette valeur remplace le jeton $SECURE_PROTOCOL$ dans les modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.
Indique le compte de messagerie électronique utilisé par les applications d'identité pour envoyer des notifications par courrier électronique.
Indique l'adresse IP ou le nom DNS de l'hôte de messagerie SMTP utilisé par les applications d'identité pour les messages électroniques de provisioning. N'utilisez pas localhost.
Indique si vous souhaitez que le serveur demande une authentification.
Vous devez également spécifier des références pour le serveur de messagerie.
Applicable uniquement si vous activez l'option Le serveur requiert une authentification.
Permet d'indiquer le nom d'un compte de connexion au serveur de messagerie.
Applicable uniquement si vous activez l'option Le serveur requiert une authentification.
Permet d'indiquer le mot de passe d'un compte de connexion pour le serveur de messagerie.
Indique si vous souhaitez sécuriser le contenu des messages lors de leur transmission entre les serveurs de messagerie.
Indique le chemin d'accès à l'image que vous souhaitez inclure dans les notifications par message électronique. Par exemple, http://localhost:8080/IDMProv/images.
Indique si vous souhaitez ajouter une signature numérique aux messages sortants.
Si vous activez cette option, vous devez également spécifier les paramètres du fichier Keystore et de la clé de signature.
Applicable uniquement lorsque vous activez l'option Signer le message électronique.
Spécifie le chemin d'accès complet au fichier Keystore (cacerts) que vous souhaitez utiliser pour ajouter une signature numérique à un message électronique. Vous pouvez entrer manuellement le chemin d'accès ou parcourir l'arborescence jusqu'au fichier cacerts.
Par exemple : C:\NetIQ\idm\apps\jre\lib\security\cacerts.
Applicable uniquement lorsque vous activez l'option Signer le message électronique.
Spécifie le mot de passe pour le fichier keystore. Par exemple : changeit.
Applicable uniquement lorsque vous activez l'option Signer le message électronique.
Spécifie l'alias de la clé de signature dans le keystore. Par exemple : idmapptest.
Applicable uniquement lorsque vous activez l'option Signer le message électronique.
Spécifie le mot de passe qui protège le fichier contenant la clé de signature. Par exemple : changeit.
Cette section définit les valeurs du keystore approuvé pour les applications d'identité. L'utilitaire n'affiche ces paramètres que lorsque vous sélectionnez Aff. options avancées.
Indique le chemin d'accès au keystore approuvé qui contient tous les certificats de signataires approuvés. Si ce chemin est vide, les applications d'identité obtiennent le chemin à partir de la propriété système javax.net.ssl.trustStore. Si la propriété système ne peut pas renseigner le chemin, le programme d'installation est défini par défaut sur jre/lib/security/cacerts.
Spécifie le mot de passe du keystore approuvé. Si ce champ est vide, les applications d'identité obtiennent le mot de passe à partir de la propriété système javax.net.ssl.trustStorePassword. Si la propriété système ne peut pas fournir le chemin, le programme d'installation est défini par défaut sur changeit.
Ce mot de passe est codé, en fonction de la clé principale.
Indique si le chemin d'accès à la zone de stockage approuvée utilise un keystore Java (JKS) ou PKCS12 pour la signature numérique.
Cette section définit les valeurs qui permettent à Identity Manager de communiquer avec Sentinel pour l'audit des événements. L'utilitaire n'affiche ces paramètres que lorsque vous sélectionnez Aff. options avancées.
Répertorie les certificats de clé publique personnalisés utilisables par le serveur OAuth pour authentifier les messages d'audit envoyés à Sentinel.
Indique le chemin d'accès au fichier de clé privée personnalisé utilisable par le serveur OAuth pour authentifier les messages d'audit envoyés à Sentinel.
L'utilitaire n'affiche ces paramètres que lorsque vous sélectionnez Aff. options avancées.
Spécifie l'URI à utiliser lorsque l'installation client utilise le protocole OCSP (On-Line Certificate Status Protocol). Par exemple, http://host:port/ocspLocal.
L'URI OCSP met à jour le statut des certificats approuvés en ligne.
Indique le nom complet du fichier de configuration de l'autorisation.
Au cours de l'installation, permet d'indiquer si vous souhaitez que le programme d'installation crée des index sur les attributs manager, ismanager, and srvprvUUID attributes. Après l'installation, vous pouvez modifier les paramètres afin qu'ils pointent vers un nouvel emplacement des index. Ce paramètre présente les caractéristiques suivantes :
En l'absence d'index pour ces attributs, les utilisateurs peuvent être confrontés à des baisses de performances des applications d'identité.
Vous pouvez créer ces index manuellement à l'aide d'iManager après avoir installé les applications d'identité.
Pour des performances optimales, nous vous conseillons de créer l'index de l'aide au cours de l'installation.
Les index doivent être en mode en ligne pour que vous puissiez rendre les applications d'identité accessibles aux utilisateurs.
Pour créer ou supprimer un index, vous devez aussi spécifier une valeur pour DN du serveur.
Ne s'applique que lorsque vous souhaitez créer ou supprimer un index du coffre-fort d'identité.
Spécifie le serveur eDirectory sur lequel vous voulez créer ou supprimer les index.
Vous ne pouvez spécifier qu'un seul serveur à la fois. Pour configurer des index sur plusieurs serveurs eDirectory, vous devez exécuter l'utilitaire de configuration RBPM plusieurs fois.
Indique si vous voulez réinitialiser la sécurité RBPM lorsque l'installation est terminée. Vous devez également redéployer les applications d'identité.
Indique l'URL du module de création de rapports d'Identity Manager. Par exemple, http://hostnamport/IDMRPT.
Spécifie le nom du thème personnalisé que vous souhaitez utiliser pour l'affichage des applications d'identité dans le navigateur.
Permet de définir la valeur à utiliser dans le modèle de présentation pour les appenders CONSOLE et FILE dans le fichier idmuserapp_logging.xml. La valeur par défaut est RBPM.
Indique si vous voulez modifier le nom du contexte de RBPM.
Vous devez également spécifier les nouveaux nom et DN du pilote de rôles et de ressources.
Ne s'applique que lorsque vous sélectionnez Modifier le nom du contexte RBPM.
Indique le nouveau nom du contexte pour RBPM.
Ne s'applique que lorsque vous sélectionnez Modifier le nom du contexte RBPM.
Indique le DN du pilote de rôles et de ressources.
Ces paramètres ne s'appliquent qu'au cours de l'installation.
Cette section vous permet de définir les valeurs des objets Conteneur ou de créer de nouveaux objets Conteneur.
Indique les types d'objets Conteneur que vous souhaitez utiliser.
Indique le conteneur : lieu, pays, unité organisationnelle, organisation ou domaine.
Vous pouvez également définir vos propres conteneurs dans iManager et les ajouter sous Ajouter un nouvel objet du conteneur.
Spécifie le nom du type d'attribut associé au type d'objet Conteneur spécifié.
Indique le nom LDAP d'une classe d'objets du coffre-fort d'identité pouvant servir de conteneur.
Spécifie le nom du type d'attribut associé au nouveau type d'objet Conteneur.
Lors de la configuration des applications d'identité, cet onglet permet de définir les valeurs pour la gestion d'Identity Reporting. L'utilitaire ajoute cet onglet lorsque vous installez Identity Reporting.
Par défaut, l'onglet affiche les options de base. Pour afficher tous les paramètres, cliquez sur Afficher les options avancées. En outre, cet onglet comporte les groupes de paramètres suivants :
Cette section définit les valeurs pour l'envoi de notifications.
Permet de spécifier le nom DNS ou l'adresse IP du serveur de messagerie qu'Identity Reporting doit utiliser pour envoyer des notifications. N'utilisez pas localhost.
Permet d'indiquer le numéro de port du serveur SMTP.
Permet d'indiquer si vous voulez utiliser le protocole TLS/SSL pour les communications avec le serveur de messagerie.
Permet d'indiquer si vous souhaitez utiliser l'authentification pour les communications avec le serveur de messagerie.
Permet de spécifier l'adresse de messagerie à utiliser pour l'authentification.
Vous devez spécifier une valeur. Si le serveur ne nécessite pas d'authentification, vous pouvez spécifier une adresse non valide.
Ne s'applique que lorsque vous indiquez que le serveur nécessite l'authentification.
Permet d'indiquer le mot de passe du compte utilisateur SMTP.
Permet de spécifier l'adresse électronique à partir de laquelle Identity Reporting envoie les notifications par message électronique.
Cette section définit les valeurs associées au stockage des rapports finalisés.
Permet d'indiquer pendant combien de temps Identity Reporting conserve les rapports avant de les supprimer. Par exemple, pour spécifier six mois, entrez 6 dans le champ Durée de vie du rapport, puis sélectionnez Mois dans le champ Unité du rapport.
Permet d'indiquer où vous voulez stocker les définitions de rapport. Par exemple : C:\NetIQ\idm\apps\IdentityReporting.
Cette section définit les valeurs pour la langue que doit utiliser Identity Reporting. Identity Reporting utilise ce paramètre local dans les recherches. Pour plus d'informations, reportez-vous au Guide de l'administrateur de NetIQ Identity Reporting.
Cette section définit les valeurs des sources d'authentification utilisées par Identity Reporting pour générer des rapports.
Permet d'indiquer le type de source d'authentification que vous voulez ajouter pour créer des rapports. Ces sources d'authentification peuvent être les suivantes :
Par défaut
Annuaire LDAP
Fichier
Lors de la configuration des applications d'identité, cet onglet permet de définir les valeurs que Tomcat utilise pour diriger les utilisateurs vers les pages de gestion des mots de passe et des applications d'identité.
Par défaut, l'onglet affiche les options de base. Pour afficher tous les paramètres, cliquez sur Afficher les options avancées. En outre, cet onglet comporte les groupes de paramètres suivants :
Cette section définit les paramètres des applications d'identité pour vous connecter au serveur d'authentification.
Requis
Permet d'indiquer l'URL relative du serveur d'authentification qui émet les jetons pour OSP. Par exemple, 192.168.0.1.
Permet de spécifier le port du serveur d'authentification.
Indique si le serveur d'authentification utilise le protocole TLS/SSL pour la communication.
S'applique uniquement si vous sélectionnez Le serveur OAuth utilise TLS/SSL. et que l'utilitaire affiche les options avancées.
S'applique uniquement si vous sélectionnez Le serveur OAuth utilise TLS/SSL. et que l'utilitaire affiche les options avancées.
Spécifie le mot de passe utilisé pour charger le fichier keystore pour le serveur d'authentification TLS/SSL.
REMARQUE :si vous ne spécifiez pas le chemin et le mot de passe du fichier Keystore et si le certificat approuvé pour le serveur d'authentification n'est pas dans le Truststore JRE (cacerts), les applications d'identité ne parviennent pas à se connecter au service d'authentification qui utilise le protocole TLS/SSL.
Cette section définit les paramètres pour le serveur d'authentification.
Requis
Spécifie le nom distinctif du conteneur du coffre-fort d'identité qui contient des objets Administrateur à authentifier par OSP. Par exemple, ou=sa,o=data.
Spécifie le nom de l'attribut LDAP utilisé pour différencier plusieurs objets Utilisateur eDirectory avec la même valeur cn. La valeur par défaut est mail.
Indique si des recherches dans les conteneurs d'utilisateurs et d'administrateurs du coffre-fort d'identité sont limitées aux objets Utilisateur de ces conteneurs ou si ces recherches doivent également inclure les sous-conteneurs.
Indique le nombre de minutes d'inactivité dans une session avant que le serveur ne déclenche l'expiration de la session de l'utilisateur. La valeur par défaut est de 20 minutes.
Spécifie le nombre de secondes de validité d'un jeton d'accès OSP. La valeur par défaut est de 60 secondes.
Spécifie le nombre de secondes de validité d'un jeton de rafraîchissement OSP. Le jeton de rafraîchissement est utilisé en interne par OSP. La valeur par défaut est 48 heures.
Cette section définit les valeurs qui permettent à OSP d'authentifier les utilisateurs qui se connectent aux composants Identity Manager basés sur des navigateurs.
Indique le type d'authentification que vous souhaitez qu'Identity Manager emploie lorsqu'un utilisateur se connecte.
Nom et mot de passe : OSP vérifie l'authentification avec le coffre-fort d'identité.
Kerberos : OSP accepte l'authentification de la part d'un serveur de ticket Kerberos et du coffre-fort d'identité. Vous devez aussi spécifier une valeur pour Nom d'attribut de mappage.
SAML 2.0 : OSP accepte l'authentification de la part d'un fournisseur d'identité SAML et du coffre-fort d'identité. Vous devez également spécifier des valeurs pour Nom d'attribut de mappage et URL des métadonnées.
Ne s'applique que lorsque vous indiquez Kerberos ou SAML.
Spécifie le nom de l'attribut qui opère le mappage au serveur du ticket Kerberos ou aux représentations SAML auprès du fournisseur d'identité.
Ne s'applique que lorsque vous indiquez SAML.
Indique l'URL utilisée par OSP pour rediriger la requête d'authentification vers SAML.
Cette section définit les valeurs qui permettent aux utilisateurs de modifier leur mot de passe en tant qu'opération en self-service
Spécifie le type de système de gestion des mots de passe que vous voulez utiliser.
Application utilisateur (héritée) : permet d'utiliser le programme de gestion des mots de passe employé habituellement par Identity Manager. Cette option vous permet d'utiliser un programme de gestion des mots de passe externe.
Ce paramètre s'applique uniquement lorsque vous souhaitez utiliser SSPR.
Permet d'indiquer si vous souhaitez que les utilisateurs récupèrent un mot de passe oublié sans qu'il soit nécessaire de contacter le centre d'assistance.
Vous devez également configurer les stratégies de réponse de vérification d'identité pour la fonction Mot de passe oublié. Pour plus d'informations, reportez-vous au manuel NetIQ Self Service Password Reset Administration Guide (Guide d'administration de NetIQ SSPR)
Cette liste ne s'applique que lorsque vous sélectionnez Application utilisateur (héritée).
Permet d'indiquer si vous voulez utiliser le système de gestion des mots de passe intégré à l'application utilisateur ou un système externe.
Interne : permet d'utiliser la fonction de gestion des mots de passe interne par défaut, /jsps/pwdmgt/ForgotPassword.jsp (sans le protocole http(s) au début). Cela redirige l'utilisateur vers la fonction Mot de passe oublié intégrée à l'application utilisateur, plutôt que vers un WAR externe.
Externe : permet d'utiliser un fichier WAR de mot de passe oublié externe pour rappeler l'application utilisateur par le biais d'un service Web. Vous devez également définir les paramètres pour le système externe.
Ne s'applique que si vous souhaitez utiliser un système de gestion des mots de passe externe.
Permet d'indiquer l'URL pointant vers la page de la fonction Mot de passe oublié. Indiquez un fichier ForgotPassword.jsp dans un fichier WAR de gestion des mots de passe externe ou interne.
Ne s'applique que si vous souhaitez utiliser un système de gestion des mots de passe externe.
Permet de définir le paramètre Lien Retour mot de passe oublié sur lequel l'utilisateur peut cliquer après une opération de type Mot de passe oublié.
Ne s'applique que si vous souhaitez utiliser un système de gestion des mots de passe externe.
Représente l'URL que le fichier WAR externe de mot de passe oublié utilise pour revenir à l'application utilisateur en vue d'exécuter les fonctions de base de mot de passe oublié. utilisez le format suivant :
https://<idmhost>:<sslport>/<idm>/ pwdmgt/service
Cette section définit les valeurs qui permettent à Identity Manager de communiquer avec Sentinel pour l'audit des événements.
Permet de spécifier un certificat de clé publique que vous souhaitez que le serveur OSP utilise pour authentifier les messages d'audit envoyés au système d'audit.
Pour plus d'informations sur la configuration des certificats pour Novell Audit, reportez-vous à la section Managing Certificates (Gestion des certificats) du manuel Novell Audit Administration Guide (Guide d'administration de Novell Audit).
Indique le chemin d'accès au fichier de clé privée personnalisé utilisable par le serveur OSP pour authentifier les messages d'audit envoyés au système d'audit.
Lors de la configuration des applications d'identité, cet onglet permet de définir les valeurs pour la gestion d'un accès Single Sign-On aux applications.
Par défaut, l'onglet affiche les options de base. Pour afficher tous les paramètres, cliquez sur Afficher les options avancées. En outre, cet onglet comporte les groupes de paramètres suivants :
Cette section décrit les valeurs d'URL dont les utilisateurs ont besoin pour accéder au tableau de bord Identity Manager, lequel constitue le principal emplacement de connexion pour les applications d'identité.
Figure 15-2 Tableau de bord IDM
Requis
Spécifie le nom servant à identifier le client SSO pour le tableau de bord auprès du serveur d'authentification. La valeur par défaut est idmdash.
Requis
Spécifie le mot de passe du client SSO pour le tableau de bord.
Requis
Indique l'URL absolue vers laquelle le serveur d'authentification redirige un client de navigateur une fois l'authentification terminée.
Utilisez le format suivant : protocol//serveur:port/chemin. Par exemple : https://192.168.0.1:8543/idmdash/oauth.html.
Cette section définit les valeurs pour l'URL dont les utilisateurs ont besoin pour accéder à la page de l'administrateur d'Identity Manager.
Requis
Indique le nom à utiliser pour identifier le client Single Sign-on pour l'administrateur Identity Manager auprès du serveur d'authentification. La valeur par défaut est idmadmin.
Requis
Indique le mot de passe du client Single Sign-on pour l'administrateur Identity Manager.
Requis
Indique l'URL absolue vers laquelle le serveur d'authentification redirige un client de navigateur une fois l'authentification terminée.
Utilisez le format suivant : protocol//serveur:port/chemin. Par exemple : https://192.168.0.1:8543/idmadmin/oauth.html.
Cette section définit les valeurs pour l'URL dont les utilisateurs ont besoin pour accéder à l'application utilisateur.
Figure 15-3 RBPM
Requis
Permet d'indiquer le nom servant à identifier le client SSO pour l'application utilisateur auprès du serveur d'authentification. La valeur par défaut est rbpm.
Requis
Permet d'indiquer le mot de passe du client SSO pour l'application utilisateur.
Requis
Spécifie l'URL relative permettant d'accéder au tableau de bord à partir de l'application utilisateur. La valeur par défaut est /landing.
Requis
Indique l'URL absolue vers laquelle le serveur d'authentification redirige un client de navigateur une fois l'authentification terminée.
Utilisez le format suivant : protocol//serveur:port/chemin. Par exemple : https://192.168.0.1:8543/IDMProv/oauth.
Requis
Indique le RBPM pour les paramètres SAML eDirectory requis pour l'authentification SSO.
Cette section définit les valeurs pour l'URL dont les utilisateurs ont besoin pour accéder à Identity Reporting. L'utilitaire n'affiche ces valeurs que si vous ajoutez Identity Reporting à votre solution Identity Manager.
Figure 15-4 Création de rapports
Requis
Permet d'indiquer le nom servant à identifier le client SSO pour Identity Reporting auprès du serveur d'authentification. La valeur par défaut est rpt.
Requis
Spécifie le mot de passe du client Single Sign-On pour Identity Reporting.
Requis
Spécifie l'URL relative permettant d'accéder au tableau de bord à partir d'Identity Reporting. La valeur par défaut est /idmdash/#/landing.
Si vous avez installé Identity Reporting et les applications d'identité dans des serveurs distincts, indiquez une URL absolue. Utilisez le format suivant : protocol//serveur:port/chemin. Par exemple : https://192.168.0.1:8543/IDMRPT/oauth.
Requis
Indique l'URL absolue vers laquelle le serveur d'authentification redirige un client de navigateur une fois l'authentification terminée.
Utilisez le format suivant : protocol//serveur:port/chemin. Par exemple : https://192.168.0.1:8543/IDMRPT/oauth.
Cette section définit les valeurs pour l'URL dont les utilisateurs ont besoin pour accéder au service de collecte de données d'Identity Manager.
Requis
Indique le nom à utiliser pour identifier le client Single Sign-on pour le service de collecte de données d'Identity Manager auprès du serveur d'authentification. La valeur par défaut est idmdcs.
Requis
Indique le mot de passe du client Single Sign-on pour le service de collecte de données d'Identity Manager.
Requis
Indique l'URL absolue vers laquelle le serveur d'authentification redirige un client de navigateur une fois l'authentification terminée.
Utilisez le format suivant : protocol//serveur:port/chemin. Par exemple : https://192.168.0.1:8543/idmdcs/oauth.html.
Cette section définit les valeurs pour la gestion du pilote de services de collecte de données.
Figure 15-5
Permet d'indiquer le nom servant à identifier le client SSO pour le pilote du service de collecte de données auprès du serveur d'authentification. La valeur par défaut de ce paramètre est dcsdrv.
Permet d'indiquer le mot de passe du client SSO pour le pilote du service de collecte de données.
Cette section définit les valeurs pour l'URL dont les utilisateurs ont besoin pour accéder à SSPR.
Requis
Permet d'indiquer le nom servant à identifier le client SSO pour SSPR auprès du serveur d'authentification. La valeur par défaut est sspr.
Requis
Spécifie le mot de passe du client SSO pour SSPR.
Requis
Indique l'URL absolue vers laquelle le serveur d'authentification redirige un client de navigateur une fois l'authentification terminée.
Utilisez le format suivant : protocol//serveur:port/chemin. Par exemple : https://192.168.0.1:8543/sspr/public/oauth.html.
Cette section définit les valeurs pour gérer les paramètres de l'audit CEF.
Indique si vous souhaitez utiliser CEF pour auditer les événements dans les applications d'identité.
Spécifie le nom DNS ou l'adresse IP du serveur d'audit.
Indique le port du serveur d'audit.
Indique le protocole réseau utilisé par le serveur d'audit pour recevoir les événements CEF.
S'applique uniquement lorsque vous souhaitez utiliser TCP comme protocole réseau.
Indique si le serveur d'audit est configuré pour utiliser TLS avec TCP.
Indique l'emplacement du répertoire du cache, avant que les événements CEF soient envoyés au serveur d'audit.
REMARQUE :assurez-vous que les autorisations novlua sont définies pour le répertoire du cache. Dans le cas contraire, vous ne pourrez pas accéder aux applications IDMDash et IDMProv. En outre, aucun des événements OSP ne sera consigné dans le répertoire du cache. Par exemple, vous pouvez modifier l'autorisation et la propriété du répertoire à l'aide de la commande chown novlua:novlua /<chemin_répertoire>, dans lequel <chemin_répertoire> est le chemin de répertoire du fichier du cache.