15.8 Configuration des paramètres pour les applications d'identité

L'utilitaire de configuration des applications d'identité vous permet de gérer les paramètres des pilotes de l'application utilisateur et des applications d'identité. Le programme d'installation des applications d'identité invoque une version de cet utilitaire et vous permet ainsi de configurer rapidement les applications. Vous pouvez également modifier la plupart de ces paramètres une fois l'installation terminée.

Le fichier pour l'exécution de l'utilitaire de configuration (configupdate.bat) est situé par défaut dans un sous-répertoire d'installation des applications d'identité (C:\NetIQ\idm\apps\UserApplication).

REMARQUE :dans une grappe, les paramètres de configuration doivent être identiques pour tous les membres de la grappe.

Cette section décrit les paramètres de l'utilitaire de configuration. Les paramètres sont organisés par onglets. Si vous installez Identity Reporting, le processus ajoute des paramètres de création de rapports à l'utilitaire.

15.8.1 Exécution de l'utilitaire de configuration des applications d'identité

  1. Ouvrez le fichier configupdate.properties dans un éditeur de texte et vérifiez que les options suivantes sont configurées :

    edit_admin="true"
    use_console="false"
  2. À l'invite de commande, exécutez l'utilitaire de configuration (configupdate.bat).

    REMARQUE :vous devrez peut-être attendre quelques minutes pour que l'utilitaire démarre.

15.8.2 Paramètres de l'application utilisateur

Lors de la configuration des applications d'identité, cet onglet permet de définir les valeurs utilisées par les applications pour communiquer avec le coffre-fort d'identité. Certains paramètres sont requis pour terminer la procédure d'installation.

Par défaut, l'onglet affiche les options de base. Pour afficher tous les paramètres, cliquez sur Afficher les options avancées. En outre, cet onglet comporte les groupes de paramètres suivants :

Paramètres du coffre-fort d'identité

Cette section définit les paramètres qui permettent aux applications d'identité d'accéder aux identités utilisateur et aux rôles dans le coffre-fort d'identité. Certains paramètres sont requis pour terminer la procédure d'installation.

Serveur du coffre-fort d'identité

Requis

Indique le nom d'hôte ou l'adresse IP de votre serveur LDAP. Par exemple : myLDAPhost.

Port LDAP

Permet de spécifier le port sur lequel le coffre-fort d'identité doit être à l'écoute des requêtes LDAP en texte clair. La valeur par défaut est 389.

Port sécurisé LDAP

Permet de spécifier le port sur lequel le coffre-fort d'identité doit être à l'écoute des requêtes LDAP à l'aide du protocole SSL (Secure Sockets Layer). La valeur par défaut est 636.

Si un service déjà chargé sur le serveur (avant l'installation d'eDirectory) utilise ce port par défaut, vous devez spécifier un autre port.

Administrateur du coffre-fort d'identité

Requis

Indique les références de l'administrateur LDAP. Par exemple, cn=admin. Cet utilisateur doit déjà exister dans le coffre-fort d'identité.

Les applications d'identité utilisent ce compte pour établir une connexion administrative avec le coffre-fort d'identité. Cette valeur est codée, en fonction de la clé principale.

Mot de passe de l'administrateur du coffre-fort d'identité

Requis

Permet de spécifier le mot de passe associé l'administrateur LDAP. Ce mot de passe est codé, en fonction de la clé principale.

Utiliser un compte anonyme public

Permet de spécifier si les utilisateurs non connectés peuvent accéder au compte anonyme public LDAP.

Connexion Admin sécurisée

Indique si RBPM utilise le protocole SSL pour toutes les communications associées au compte administrateur. Cette configuration permet également d'exécuter des opérations qui ne nécessitent pas SSL.

REMARQUE :cette option peut affecter les performances.

Connexion utilisateur sécurisée

Indique si RBPM utilise le protocole TLS/SSL pour toutes les communications associées au compte de l'utilisateur connecté. Ce paramètre permet d'effectuer des opérations qui ne nécessitent pas TLS/SSL pour fonctionner sans le protocole.

REMARQUE :cette option peut affecter les performances.

DN du coffre-fort d'identité

Cette section définit les noms distinctifs des conteneurs et des comptes utilisateur qui permettent la communication entre les applications d'identité et les autres composants Identity Manager. Certains paramètres sont requis pour terminer la procédure d'installation.

DN du conteneur racine

Requis

Indique le nom distinctif LDAP du conteneur racine. Celui-ci est utilisé comme racine de recherche de définition d'entité par défaut lorsqu'aucune racine n'est indiquée dans la couche d'abstraction d'annuaire. Exemple : o=mycompany.

DN du conteneur de l'utilisateur

Requis

Si vous affichez les options avancées, l'utilitaire affiche ce paramètre sous Identité de l'utilisateur du coffre-fort d'identité.

Indique le nom distinctif (DN) LDAP ou le nom LDAP complet du conteneur utilisateur. Ce paramètre présente les caractéristiques suivantes :

  • Les utilisateurs de ce conteneur (et ses sous-conteneurs) sont autorisés à se connecter aux applications d'identité.

  • Si vous avez démarré l'instance Tomcat hébergeant les applications d'identité, vous ne pouvez pas modifier ce paramètre à l'aide du fichier configupdate.bat.

  • Ce conteneur doit inclure l'administrateur de l'application utilisateur que vous avez spécifié lors de la configuration du pilote de l'application utilisateur. Dans le cas contraire, le compte ne peut pas exécuter les workflows.

DN du conteneur du groupe

Requis

Si vous affichez les options avancées, l'utilitaire affiche ce paramètre sous Groupes d'utilisateurs du coffre-fort d'identité.

Indiquez le nom distinctif (DN) LDAP ou le nom LDAP complet du conteneur d'utilisateurs. Ce paramètre présente les caractéristiques suivantes :

  • Les définitions d'entité de la couche d'abstraction d'annuaire utilisent ce DN.

  • Si vous avez démarré l'instance Tomcat hébergeant les applications d'identité, vous ne pouvez pas modifier ce paramètre à l'aide du fichier configupdate.bat.

Pilote d'application utilisateur

Requis

Indique le nom distinctif du pilote de l'application utilisateur.

Par exemple, si votre pilote est UserApplicationDriver et si votre ensemble de pilotes est appelé myDriverSet, et si l'ensemble de pilotes est dans un contexte de o=myCompany, indiquez cn=UserApplicationDriver,cn=myDriverSet,o=myCompany.

Administrateur de l'application utilisateur

Requis

Permet d'indiquer un compte utilisateur existant dans le coffre-fort d'identité qui dispose des droits pour effectuer des tâches administratives pour le conteneur d'utilisateurs spécifié de l'application utilisateur. Ce paramètre présente les caractéristiques suivantes :

  • Si vous avez démarré l'instance Tomcat hébergeant l'application utilisateur, vous ne pouvez pas modifier ce paramètre à l'aide du fichier configupdate.bat.

  • Pour modifier cette assignation après avoir déployé l'application utilisateur, utilisez les pages Administration > Sécurité de l'application utilisateur.

  • Ce compte utilisateur est autorisé à utiliser l'onglet Administration de l'application utilisateur pour administrer le portail.

  • Si l'administrateur de l'application utilisateur participe aux tâches d'administration du workflow exposées dans iManager, Designer ou l'application utilisateur (onglet Requêtes et approbations), vous devez accorder à cet administrateur des autorisations d'ayant droit sur les instances d'objets contenues dans le pilote de l'application utilisateur. Pour plus d'informations, reportez-vous au manuel User Application Administration Guide (Guide d'administration de l'application utilisateur).

Administrateur du provisioning

Permet d'indiquer un compte utilisateur existant dans le coffre-fort d'identité qui gère les fonctions de workflow de provisioning disponibles dans l'application utilisateur.

Pour modifier cette assignation après avoir déployé l'application utilisateur, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.

Administrateur de conformité

Indique un compte existant dans le coffre-fort d'identité qui exécute un rôle système pour permettre aux membres d'exécuter toutes les fonctions de l'onglet Conformité. Ce paramètre présente les caractéristiques suivantes :

  • Pour modifier cette assignation après avoir déployé les applications d'identité, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.

  • Lors d'une mise à jour de la configuration, les modifications apportées à cette valeur prennent effet uniquement si aucun administrateur de conformité valide n'est assigné. Si un administrateur de conformité valide existe, vos modifications ne sont pas enregistrées.

Administrateur de rôles

Spécifie le rôle qui permet aux membres de créer, de supprimer ou de modifier l'ensemble des rôles, ainsi que d'accorder ou de révoquer les assignations de rôle des utilisateurs, des groupes ou des conteneurs. Il permet également à ses membres d'exécuter des rapports pour n'importe quel utilisateur. Ce paramètre présente les caractéristiques suivantes :

  • Par défaut, ce rôle est assigné à l'administrateur de l'application utilisateur.

  • Pour modifier cette assignation après avoir déployé les applications d'identité, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.

  • Lors d'une mise à jour de la configuration, les modifications apportées à cette valeur prennent effet uniquement si aucun administrateur de rôles valide n'est assigné. Si un administrateur de rôles valide existe, vos modifications ne sont pas enregistrées.

Administrateur de la sécurité

Spécifie le rôle qui permet aux membres d'accéder à toutes les fonctionnalités du domaine Sécurité. Ce paramètre présente les caractéristiques suivantes :

  • L'administrateur de la sécurité peut effectuer toutes les opérations possibles sur tous les objets au sein du domaine Sécurité. Le domaine Sécurité permet également à l'administrateur de la sécurité de configurer des autorisations d'accès pour tous les objets dans tous les domaines de RBPM. L'administrateur de la sécurité peut configurer des équipes et assigner des administrateurs de domaine, des administrateurs délégués et d'autres administrateurs de la sécurité.

  • Pour modifier cette assignation après avoir déployé les applications d'identité, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.

Administrateur de ressources

Spécifie le rôle qui permet aux membres d'accéder à toutes les fonctionnalités du domaine Ressource. Ce paramètre présente les caractéristiques suivantes :

  • L'administrateur de ressources peut effectuer toutes les opérations possibles pour tous les objets au sein du domaine Ressource.

  • Pour modifier cette assignation après avoir déployé les applications d'identité, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.

Administrateur de la configuration RBPM

Spécifie le rôle qui permet aux membres d'accéder à toutes les fonctionnalités du domaine Configuration. Ce paramètre présente les caractéristiques suivantes :

  • L'administrateur de la configuration RBPM peut effectuer toutes les opérations possibles pour tous les objets au sein du domaine Configuration. L'administrateur de la configuration RBPM contrôle l'accès aux éléments de navigation dans RBPM. En outre, l'administrateur de la configuration RBPM configure le service proxy et de délégation, l'interface utilisateur de provisioning et le moteur de workflow.

  • Pour modifier cette assignation après avoir déployé les applications d'identité, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.

Administrateur de la création de rapports RBPM

Spécifie l'administrateur de la création de rapports. Par défaut, le programme d'installation définit cette valeur sur le même utilisateur que celui renseigné dans les autres champs de sécurité.

Identité de l'utilisateur du coffre-fort d'identité

Cette section définit les valeurs qui permettent aux applications d'identité de communiquer avec un conteneur d'utilisateurs dans le coffre-fort d'identité. Certains paramètres sont requis pour terminer la procédure d'installation.

L'utilitaire n'affiche ces paramètres que lorsque vous sélectionnez Aff. options avancées.

DN du conteneur de l'utilisateur

Requis

Lorsque cette option n'est pas présente les options avancées, l'utilitaire affiche ce paramètre sous DN du coffre-fort d'identité.

Indique le nom distinctif (DN) LDAP ou le nom LDAP complet du conteneur utilisateur. Ce paramètre présente les caractéristiques suivantes :

  • Les utilisateurs de ce conteneur (et ses sous-conteneurs) sont autorisés à se connecter aux applications d'identité.

  • Si vous avez démarré l'instance Tomcat hébergeant les applications d'identité, vous ne pouvez pas modifier ce paramètre à l'aide du fichier configupdate.bat.

  • Ce conteneur doit inclure l'administrateur de l'application utilisateur que vous avez spécifié lors de la configuration du pilote de l'application utilisateur. Dans le cas contraire, le compte ne peut pas exécuter les workflows.

Étendue de la recherche d'utilisateurs

Permet de définir la mesure dans laquelle les utilisateurs du coffre-fort d'identité peuvent effectuer des recherches dans le conteneur.

Classe d'objets Utilisateur

Indique la classe d'objet de l'utilisateur LDAP. La classe est généralement inetOrgPerson.

Attribut de connexion

Spécifie l'attribut LDAP qui représente le nom de connexion de l'utilisateur. Exemple : cn

Attribut d'assignation de nom

Spécifie l'attribut LDAP utilisé comme identifiant lors de la consultation d'utilisateurs ou de groupes. Ce n'est pas le même que l'attribut de connexion, qui n'est utilisé que lors de la connexion. Exemple : cn

Attribut d'adhésion de l'utilisateur

(Facultatif) Spécifie l'attribut LDAP qui représente l'adhésion à un groupe de l'utilisateur. N'utilisez pas d'espaces pour le nom.

Groupes d'utilisateurs du coffre-fort d'identité

Cette section définit les valeurs qui permettent aux applications d'identité de communiquer avec un conteneur de groupes dans le coffre-fort d'identité. Certains paramètres sont requis pour terminer la procédure d'installation.

L'utilitaire n'affiche ces paramètres que lorsque vous sélectionnez Aff. options avancées.

DN du conteneur du groupe

Requis

Lorsque cette option n'est pas présente les options avancées, l'utilitaire affiche ce paramètre sous DN du coffre-fort d'identité.

Indiquez le nom distinctif (DN) LDAP ou le nom LDAP complet du conteneur d'utilisateurs. Ce paramètre présente les caractéristiques suivantes :

  • Les définitions d'entité de la couche d'abstraction d'annuaire utilisent ce DN.

  • Si vous avez démarré l'instance Tomcat hébergeant les applications d'identité, vous ne pouvez pas modifier ce paramètre à l'aide du fichier configupdate.bat.

Étendue du conteneur de groupes

Permet de définir la mesure dans laquelle les utilisateurs du coffre-fort d'identité peuvent effectuer des recherches dans le conteneur de groupes.

Classe de l'objet Groupe

Indique la classe d'objet du groupe LDAP. La classe est généralement groupofNames.

Attribut d'adhésion à un groupe

(Facultatif) Spécifie l'adhésion à un groupe de l'utilisateur. N'utilisez pas d'espaces pour le nom.

Utiliser des groupes dynamiques

Indique si vous souhaitez utiliser des groupes dynamiques.

Vous devez aussi spécifier une valeur pour Classe d'objet Groupe dynamique.

Classe d'objet Groupe dynamique

Ne s'applique que lorsque vous sélectionnez l'option Utiliser des groupes dynamiques.

Indique la classe d'objet du groupe dynamique LDAP. La classe est généralement dynamicGroup.

Certificats du coffre-fort d'identité

Cette section définit le chemin d'accès et le mot de passe pour le keystore du JRE. Certains paramètres sont requis pour terminer la procédure d'installation.

Chemin du fichier Keystore

Requis

Indique le chemin d'accès complet au fichier (cacerts) de votre keystore du JRE utilisé par Tomcat. Vous pouvez entrer manuellement le chemin d'accès ou parcourir l'arborescence jusqu'au fichier cacerts. Ce paramètre présente les caractéristiques suivantes :

  • Dans les environnements, vous devez indiquer le répertoire d'installation de RBPM. La valeur par défaut est définie sur l'emplacement correct.

  • Le programme d'installation des applications d'identité modifie le fichier keystore. Sous Linux, l'utilisateur doit avoir l'autorisation d'écrire dans ce fichier.

Mot de passe Keystore

Requis

Spécifie le mot de passe pour le fichier keystore. L'unité par défaut est changeit.

Configuration du serveur de messagerie

Cette section décrit les valeurs permettant de configurer des notifications par message électronique que vous pouvez utiliser pour les approbations. Pour plus d'informations, reportez-vous à la section Enabling Support for Digital Signatures (Activation de la prise en charge des signatures numériques) du NetIQ Identity Manager - Administrator's Guide to the Identity Applications (NetIQ Identity Manager - Guide de l'administrateur des applications d'identité) et à la section Manage Approvals by Email (Gestion des approbations par courrier électronique) dans l'Aide des applications d'identité.

Hôte du modèle de notification

Spécifie le nom ou l'adresse IP de l'instance Tomcat qui héberge les applications d'identité. Par exemple, myapplication serverServer.

Cette valeur remplace le jeton $HOST$ des modèles de courrier électronique. Le programme d'installation utilise ces informations pour créer une URL conduisant aux tâches de requête de provisioning et aux notifications d'approbation.

Port du modèle de notification

Spécifie le numéro de port de l'instance Tomcat qui héberge les applications d'identité.

Cette valeur remplace le jeton $PORT$ dans les modèles de message électronique qui sont utilisés dans des tâches de requête de provisioning et les notifications d'approbation.

Port sécurisé du modèle de notification

Spécifie le numéro de port sécurisé de l'instance Tomcat qui héberge les applications d'identité.

Cette valeur remplace le jeton $SECURE_PORT$ dans les modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.

Protocole du modèle de notification

Indique un protocole non sécurisé inclus dans l'URL lors de l'envoi de courrier électronique à l'utilisateur. Exemple : http.

Cette valeur remplace le jeton $PROTOCOL$ dans les modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.

Protocole sécurisé du modèle de notification

Indique le protocole sécurisé inclus dans l'URL lors de l'envoi de courrier électronique à l'utilisateur. Exemple : https.

Cette valeur remplace le jeton $SECURE_PROTOCOL$ dans les modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.

Expéditeur du message SMTP de notification

Indique le compte de messagerie électronique utilisé par les applications d'identité pour envoyer des notifications par courrier électronique.

Nom du serveur SMTP

Indique l'adresse IP ou le nom DNS de l'hôte de messagerie SMTP utilisé par les applications d'identité pour les messages électroniques de provisioning. N'utilisez pas localhost.

Le serveur requiert une authentification.

Indique si vous souhaitez que le serveur demande une authentification.

Vous devez également spécifier des références pour le serveur de messagerie.

Nom d'utilisateur

Applicable uniquement si vous activez l'option Le serveur requiert une authentification.

Permet d'indiquer le nom d'un compte de connexion au serveur de messagerie.

Mot de passe

Applicable uniquement si vous activez l'option Le serveur requiert une authentification.

Permet d'indiquer le mot de passe d'un compte de connexion pour le serveur de messagerie.

Utiliser SMTP TLS

Indique si vous souhaitez sécuriser le contenu des messages lors de leur transmission entre les serveurs de messagerie.

Emplacement de l'image de notification par message électronique

Indique le chemin d'accès à l'image que vous souhaitez inclure dans les notifications par message électronique. Par exemple, http://localhost:8080/IDMProv/images.

Signer le message électronique

Indique si vous souhaitez ajouter une signature numérique aux messages sortants.

Si vous activez cette option, vous devez également spécifier les paramètres du fichier Keystore et de la clé de signature.

Chemin du fichier Keystore

Applicable uniquement lorsque vous activez l'option Signer le message électronique.

Spécifie le chemin d'accès complet au fichier Keystore (cacerts) que vous souhaitez utiliser pour ajouter une signature numérique à un message électronique. Vous pouvez entrer manuellement le chemin d'accès ou parcourir l'arborescence jusqu'au fichier cacerts.

Par exemple : C:\NetIQ\idm\apps\jre\lib\security\cacerts.

Mot de passe Keystore

Applicable uniquement lorsque vous activez l'option Signer le message électronique.

Spécifie le mot de passe pour le fichier keystore. Par exemple : changeit.

Alias de la clé de signature

Applicable uniquement lorsque vous activez l'option Signer le message électronique.

Spécifie l'alias de la clé de signature dans le keystore. Par exemple : idmapptest.

Mot de passe de clé de signature

Applicable uniquement lorsque vous activez l'option Signer le message électronique.

Spécifie le mot de passe qui protège le fichier contenant la clé de signature. Par exemple : changeit.

Banque de clés approuvée

Cette section définit les valeurs du keystore approuvé pour les applications d'identité. L'utilitaire n'affiche ces paramètres que lorsque vous sélectionnez Aff. options avancées.

Chemin d'accès à la banque approuvée

Indique le chemin d'accès au keystore approuvé qui contient tous les certificats de signataires approuvés. Si ce chemin est vide, les applications d'identité obtiennent le chemin à partir de la propriété système javax.net.ssl.trustStore. Si la propriété système ne peut pas renseigner le chemin, le programme d'installation est défini par défaut sur jre/lib/security/cacerts.

Mot de passe de la banque approuvée

Spécifie le mot de passe du keystore approuvé. Si ce champ est vide, les applications d'identité obtiennent le mot de passe à partir de la propriété système javax.net.ssl.trustStorePassword. Si la propriété système ne peut pas fournir le chemin, le programme d'installation est défini par défaut sur changeit.

Ce mot de passe est codé, en fonction de la clé principale.

Type de zone de stockage approuvée

Indique si le chemin d'accès à la zone de stockage approuvée utilise un keystore Java (JKS) ou PKCS12 pour la signature numérique.

Clé et certificat de signature numérique de NetIQ Sentinel

Cette section définit les valeurs qui permettent à Identity Manager de communiquer avec Sentinel pour l'audit des événements. L'utilitaire n'affiche ces paramètres que lorsque vous sélectionnez Aff. options avancées.

Certificat de signature numérique de Sentinel

Répertorie les certificats de clé publique personnalisés utilisables par le serveur OAuth pour authentifier les messages d'audit envoyés à Sentinel.

Clé privée de signature numérique de Sentinel

Indique le chemin d'accès au fichier de clé privée personnalisé utilisable par le serveur OAuth pour authentifier les messages d'audit envoyés à Sentinel.

Divers

L'utilitaire n'affiche ces paramètres que lorsque vous sélectionnez Aff. options avancées.

URI OCSP

Spécifie l'URI à utiliser lorsque l'installation client utilise le protocole OCSP (On-Line Certificate Status Protocol). Par exemple, http://host:port/ocspLocal.

L'URI OCSP met à jour le statut des certificats approuvés en ligne.

Chemin de configuration d'autorisation

Indique le nom complet du fichier de configuration de l'autorisation.

Index du coffre-fort d'identité

Au cours de l'installation, permet d'indiquer si vous souhaitez que le programme d'installation crée des index sur les attributs manager, ismanager, and srvprvUUID attributes. Après l'installation, vous pouvez modifier les paramètres afin qu'ils pointent vers un nouvel emplacement des index. Ce paramètre présente les caractéristiques suivantes :

  • En l'absence d'index pour ces attributs, les utilisateurs peuvent être confrontés à des baisses de performances des applications d'identité.

  • Vous pouvez créer ces index manuellement à l'aide d'iManager après avoir installé les applications d'identité.

  • Pour des performances optimales, nous vous conseillons de créer l'index de l'aide au cours de l'installation.

  • Les index doivent être en mode en ligne pour que vous puissiez rendre les applications d'identité accessibles aux utilisateurs.

  • Pour créer ou supprimer un index, vous devez aussi spécifier une valeur pour DN du serveur.

DN du serveur

Ne s'applique que lorsque vous souhaitez créer ou supprimer un index du coffre-fort d'identité.

Spécifie le serveur eDirectory sur lequel vous voulez créer ou supprimer les index.

Vous ne pouvez spécifier qu'un seul serveur à la fois. Pour configurer des index sur plusieurs serveurs eDirectory, vous devez exécuter l'utilitaire de configuration RBPM plusieurs fois.

Réinitialiser la sécurité RBPM

Indique si vous voulez réinitialiser la sécurité RBPM lorsque l'installation est terminée. Vous devez également redéployer les applications d'identité.

URL IDMReport

Indique l'URL du module de création de rapports d'Identity Manager. Par exemple, http://hostnamport/IDMRPT.

Nom du contexte des thèmes personnalisés

Spécifie le nom du thème personnalisé que vous souhaitez utiliser pour l'affichage des applications d'identité dans le navigateur.

Préfixe de l'identificateur du message de journal

Permet de définir la valeur à utiliser dans le modèle de présentation pour les appenders CONSOLE et FILE dans le fichier idmuserapp_logging.xml. La valeur par défaut est RBPM.

Modifier le nom du contexte RBPM

Indique si vous voulez modifier le nom du contexte de RBPM.

Vous devez également spécifier les nouveaux nom et DN du pilote de rôles et de ressources.

Nom du contexte RBPM

Ne s'applique que lorsque vous sélectionnez Modifier le nom du contexte RBPM.

Indique le nouveau nom du contexte pour RBPM.

DN du pilote de rôle

Ne s'applique que lorsque vous sélectionnez Modifier le nom du contexte RBPM.

Indique le DN du pilote de rôles et de ressources.

Objet Conteneur

Ces paramètres ne s'appliquent qu'au cours de l'installation.

Cette section vous permet de définir les valeurs des objets Conteneur ou de créer de nouveaux objets Conteneur.

Sélectionné

Indique les types d'objets Conteneur que vous souhaitez utiliser.

Type d'objet Conteneur

Indique le conteneur : lieu, pays, unité organisationnelle, organisation ou domaine.

Vous pouvez également définir vos propres conteneurs dans iManager et les ajouter sous Ajouter un nouvel objet du conteneur.

Nom d'attribut du conteneur

Spécifie le nom du type d'attribut associé au type d'objet Conteneur spécifié.

Ajouter un nouvel objet du conteneur : type d'objet Conteneur

Indique le nom LDAP d'une classe d'objets du coffre-fort d'identité pouvant servir de conteneur.

Ajouter un nouvel objet du conteneur : nom d'attribut du conteneur

Spécifie le nom du type d'attribut associé au nouveau type d'objet Conteneur.

15.8.3 Paramètres de création de rapports

Lors de la configuration des applications d'identité, cet onglet permet de définir les valeurs pour la gestion d'Identity Reporting. L'utilitaire ajoute cet onglet lorsque vous installez Identity Reporting.

Par défaut, l'onglet affiche les options de base. Pour afficher tous les paramètres, cliquez sur Afficher les options avancées. En outre, cet onglet comporte les groupes de paramètres suivants :

Configuration de l'envoi par message électronique

Cette section définit les valeurs pour l'envoi de notifications.

Nom d'hôte du serveur SMTP

Permet de spécifier le nom DNS ou l'adresse IP du serveur de messagerie qu'Identity Reporting doit utiliser pour envoyer des notifications. N'utilisez pas localhost.

Port du serveur SMTP

Permet d'indiquer le numéro de port du serveur SMTP.

SMTP utilise SSL

Permet d'indiquer si vous voulez utiliser le protocole TLS/SSL pour les communications avec le serveur de messagerie.

Le serveur nécessite une authentification.

Permet d'indiquer si vous souhaitez utiliser l'authentification pour les communications avec le serveur de messagerie.

Nom d'utilisateur SMTP

Permet de spécifier l'adresse de messagerie à utiliser pour l'authentification.

Vous devez spécifier une valeur. Si le serveur ne nécessite pas d'authentification, vous pouvez spécifier une adresse non valide.

Mot de passe de l'utilisateur SMTP

Ne s'applique que lorsque vous indiquez que le serveur nécessite l'authentification.

Permet d'indiquer le mot de passe du compte utilisateur SMTP.

Adresse électronique par défaut

Permet de spécifier l'adresse électronique à partir de laquelle Identity Reporting envoie les notifications par message électronique.

Valeurs de conservation du rapport

Cette section définit les valeurs associées au stockage des rapports finalisés.

Unité du rapport, Durée de vie du rapport

Permet d'indiquer pendant combien de temps Identity Reporting conserve les rapports avant de les supprimer. Par exemple, pour spécifier six mois, entrez 6 dans le champ Durée de vie du rapport, puis sélectionnez Mois dans le champ Unité du rapport.

Emplacement des rapports

Permet d'indiquer où vous voulez stocker les définitions de rapport. Par exemple : C:\NetIQ\idm\apps\IdentityReporting.

Modifier le paramètre local

Cette section définit les valeurs pour la langue que doit utiliser Identity Reporting. Identity Reporting utilise ce paramètre local dans les recherches. Pour plus d'informations, reportez-vous au Guide de l'administrateur de NetIQ Identity Reporting.

Configuration du rôle

Cette section définit les valeurs des sources d'authentification utilisées par Identity Reporting pour générer des rapports.

Ajouter une source d'authentification

Permet d'indiquer le type de source d'authentification que vous voulez ajouter pour créer des rapports. Ces sources d'authentification peuvent être les suivantes :

  • Par défaut

  • Annuaire LDAP

  • Fichier

15.8.4 Paramètres d'authentification

Lors de la configuration des applications d'identité, cet onglet permet de définir les valeurs que Tomcat utilise pour diriger les utilisateurs vers les pages de gestion des mots de passe et des applications d'identité.

Par défaut, l'onglet affiche les options de base. Pour afficher tous les paramètres, cliquez sur Afficher les options avancées. En outre, cet onglet comporte les groupes de paramètres suivants :

Serveur d'authentification

Cette section définit les paramètres des applications d'identité pour vous connecter au serveur d'authentification.

Identificateur de l'hôte du serveur OAuth

Requis

Permet d'indiquer l'URL relative du serveur d'authentification qui émet les jetons pour OSP. Par exemple, 192.168.0.1.

Port TCP du serveur OAuth

Permet de spécifier le port du serveur d'authentification.

Le serveur OAuth utilise TLS/SSL.

Indique si le serveur d'authentification utilise le protocole TLS/SSL pour la communication.

Fichier Truststore TLS/SSL facultatif

S'applique uniquement si vous sélectionnez Le serveur OAuth utilise TLS/SSL. et que l'utilitaire affiche les options avancées.

Mot de passe Truststore TLS/SSL facultatif

S'applique uniquement si vous sélectionnez Le serveur OAuth utilise TLS/SSL. et que l'utilitaire affiche les options avancées.

Spécifie le mot de passe utilisé pour charger le fichier keystore pour le serveur d'authentification TLS/SSL.

REMARQUE :si vous ne spécifiez pas le chemin et le mot de passe du fichier Keystore et si le certificat approuvé pour le serveur d'authentification n'est pas dans le Truststore JRE (cacerts), les applications d'identité ne parviennent pas à se connecter au service d'authentification qui utilise le protocole TLS/SSL.

Configuration de l'authentification

Cette section définit les paramètres pour le serveur d'authentification.

DN LDAP du conteneur des administrateurs

Requis

Spécifie le nom distinctif du conteneur du coffre-fort d'identité qui contient des objets Administrateur à authentifier par OSP. Par exemple, ou=sa,o=data.

Attribut d'assignation de nom de résolution en double

Spécifie le nom de l'attribut LDAP utilisé pour différencier plusieurs objets Utilisateur eDirectory avec la même valeur cn. La valeur par défaut est mail.

Restreindre les sources d'authentification aux contextes

Indique si des recherches dans les conteneurs d'utilisateurs et d'administrateurs du coffre-fort d'identité sont limitées aux objets Utilisateur de ces conteneurs ou si ces recherches doivent également inclure les sous-conteneurs.

Timeout de la session (minutes)

Indique le nombre de minutes d'inactivité dans une session avant que le serveur ne déclenche l'expiration de la session de l'utilisateur. La valeur par défaut est de 20 minutes.

Durée de vie du jeton d'accès (en secondes)

Spécifie le nombre de secondes de validité d'un jeton d'accès OSP. La valeur par défaut est de 60 secondes.

Durée de vie du jeton de rafraîchissement (en heures)

Spécifie le nombre de secondes de validité d'un jeton de rafraîchissement OSP. Le jeton de rafraîchissement est utilisé en interne par OSP. La valeur par défaut est 48 heures.

Méthode d'authentification

Cette section définit les valeurs qui permettent à OSP d'authentifier les utilisateurs qui se connectent aux composants Identity Manager basés sur des navigateurs.

Méthode

Indique le type d'authentification que vous souhaitez qu'Identity Manager emploie lorsqu'un utilisateur se connecte.

  • Nom et mot de passe : OSP vérifie l'authentification avec le coffre-fort d'identité.

  • Kerberos : OSP accepte l'authentification de la part d'un serveur de ticket Kerberos et du coffre-fort d'identité. Vous devez aussi spécifier une valeur pour Nom d'attribut de mappage.

  • SAML 2.0 : OSP accepte l'authentification de la part d'un fournisseur d'identité SAML et du coffre-fort d'identité. Vous devez également spécifier des valeurs pour Nom d'attribut de mappage et URL des métadonnées.

Nom d'attribut de mappage

Ne s'applique que lorsque vous indiquez Kerberos ou SAML.

Spécifie le nom de l'attribut qui opère le mappage au serveur du ticket Kerberos ou aux représentations SAML auprès du fournisseur d'identité.

URL des métadonnées

Ne s'applique que lorsque vous indiquez SAML.

Indique l'URL utilisée par OSP pour rediriger la requête d'authentification vers SAML.

Gestion des mots de passe

Cette section définit les valeurs qui permettent aux utilisateurs de modifier leur mot de passe en tant qu'opération en self-service

Fournisseur de gestion des mots de passe

Spécifie le type de système de gestion des mots de passe que vous voulez utiliser.

Application utilisateur (héritée) : permet d'utiliser le programme de gestion des mots de passe employé habituellement par Identity Manager. Cette option vous permet d'utiliser un programme de gestion des mots de passe externe.

Mot de passe oublié

Ce paramètre s'applique uniquement lorsque vous souhaitez utiliser SSPR.

Permet d'indiquer si vous souhaitez que les utilisateurs récupèrent un mot de passe oublié sans qu'il soit nécessaire de contacter le centre d'assistance.

Vous devez également configurer les stratégies de réponse de vérification d'identité pour la fonction Mot de passe oublié. Pour plus d'informations, reportez-vous au manuel NetIQ Self Service Password Reset Administration Guide (Guide d'administration de NetIQ SSPR)

Mot de passe oublié

Cette liste ne s'applique que lorsque vous sélectionnez Application utilisateur (héritée).

Permet d'indiquer si vous voulez utiliser le système de gestion des mots de passe intégré à l'application utilisateur ou un système externe.

  • Interne : permet d'utiliser la fonction de gestion des mots de passe interne par défaut, /jsps/pwdmgt/ForgotPassword.jsp (sans le protocole http(s) au début). Cela redirige l'utilisateur vers la fonction Mot de passe oublié intégrée à l'application utilisateur, plutôt que vers un WAR externe.

  • Externe : permet d'utiliser un fichier WAR de mot de passe oublié externe pour rappeler l'application utilisateur par le biais d'un service Web. Vous devez également définir les paramètres pour le système externe.

Lien Mot de passe oublié

Ne s'applique que si vous souhaitez utiliser un système de gestion des mots de passe externe.

Permet d'indiquer l'URL pointant vers la page de la fonction Mot de passe oublié. Indiquez un fichier ForgotPassword.jsp dans un fichier WAR de gestion des mots de passe externe ou interne.

Lien Retour mot de passe oublié

Ne s'applique que si vous souhaitez utiliser un système de gestion des mots de passe externe.

Permet de définir le paramètre Lien Retour mot de passe oublié sur lequel l'utilisateur peut cliquer après une opération de type Mot de passe oublié.

URL du service Web de mot de passe oublié

Ne s'applique que si vous souhaitez utiliser un système de gestion des mots de passe externe.

Représente l'URL que le fichier WAR externe de mot de passe oublié utilise pour revenir à l'application utilisateur en vue d'exécuter les fonctions de base de mot de passe oublié. utilisez le format suivant :

https://<idmhost>:<sslport>/<idm>/
pwdmgt/service

Clé et certificat de signature numérique de Sentinel

Cette section définit les valeurs qui permettent à Identity Manager de communiquer avec Sentinel pour l'audit des événements.

Certificat de signature numérique de Sentinel

Permet de spécifier un certificat de clé publique que vous souhaitez que le serveur OSP utilise pour authentifier les messages d'audit envoyés au système d'audit.

Pour plus d'informations sur la configuration des certificats pour Novell Audit, reportez-vous à la section Managing Certificates (Gestion des certificats) du manuel Novell Audit Administration Guide (Guide d'administration de Novell Audit).

Clé privée de signature numérique de Sentinel

Indique le chemin d'accès au fichier de clé privée personnalisé utilisable par le serveur OSP pour authentifier les messages d'audit envoyés au système d'audit.

15.8.5 Paramètres des clients SSO

Lors de la configuration des applications d'identité, cet onglet permet de définir les valeurs pour la gestion d'un accès Single Sign-On aux applications.

Par défaut, l'onglet affiche les options de base. Pour afficher tous les paramètres, cliquez sur Afficher les options avancées. En outre, cet onglet comporte les groupes de paramètres suivants :

Tableau de bord IDM

Cette section décrit les valeurs d'URL dont les utilisateurs ont besoin pour accéder au tableau de bord Identity Manager, lequel constitue le principal emplacement de connexion pour les applications d'identité.

Figure 15-2 Tableau de bord IDM

ID du client OAuth

Requis

Spécifie le nom servant à identifier le client SSO pour le tableau de bord auprès du serveur d'authentification. La valeur par défaut est idmdash.

Secret du client OAuth

Requis

Spécifie le mot de passe du client SSO pour le tableau de bord.

URL de réacheminement OAuth OSP

Requis

Indique l'URL absolue vers laquelle le serveur d'authentification redirige un client de navigateur une fois l'authentification terminée.

Utilisez le format suivant : protocol//serveur:port/chemin. Par exemple : https://192.168.0.1:8543/idmdash/oauth.html.

Administrateur IDM

Cette section définit les valeurs pour l'URL dont les utilisateurs ont besoin pour accéder à la page de l'administrateur d'Identity Manager.

ID du client OAuth

Requis

Indique le nom à utiliser pour identifier le client Single Sign-on pour l'administrateur Identity Manager auprès du serveur d'authentification. La valeur par défaut est idmadmin.

Secret du client OAuth

Requis

Indique le mot de passe du client Single Sign-on pour l'administrateur Identity Manager.

URL de redirection OAuth OSP

Requis

Indique l'URL absolue vers laquelle le serveur d'authentification redirige un client de navigateur une fois l'authentification terminée.

Utilisez le format suivant : protocol//serveur:port/chemin. Par exemple : https://192.168.0.1:8543/idmadmin/oauth.html.

RBPM

Cette section définit les valeurs pour l'URL dont les utilisateurs ont besoin pour accéder à l'application utilisateur.

Figure 15-3 RBPM

ID du client OAuth

Requis

Permet d'indiquer le nom servant à identifier le client SSO pour l'application utilisateur auprès du serveur d'authentification. La valeur par défaut est rbpm.

Secret du client OAuth

Requis

Permet d'indiquer le mot de passe du client SSO pour l'application utilisateur.

Lien URL vers la page de renvoi

Requis

Spécifie l'URL relative permettant d'accéder au tableau de bord à partir de l'application utilisateur. La valeur par défaut est /landing.

URL de redirection OAuth OSP

Requis

Indique l'URL absolue vers laquelle le serveur d'authentification redirige un client de navigateur une fois l'authentification terminée.

Utilisez le format suivant : protocol//serveur:port/chemin. Par exemple : https://192.168.0.1:8543/IDMProv/oauth.

Configuration de RBPM à eDirectory SAML

Requis

Indique le RBPM pour les paramètres SAML eDirectory requis pour l'authentification SSO.

Création de rapports

Cette section définit les valeurs pour l'URL dont les utilisateurs ont besoin pour accéder à Identity Reporting. L'utilitaire n'affiche ces valeurs que si vous ajoutez Identity Reporting à votre solution Identity Manager.

Figure 15-4 Création de rapports

ID du client OAuth

Requis

Permet d'indiquer le nom servant à identifier le client SSO pour Identity Reporting auprès du serveur d'authentification. La valeur par défaut est rpt.

Secret du client OAuth

Requis

Spécifie le mot de passe du client Single Sign-On pour Identity Reporting.

Lien URL vers la page de renvoi

Requis

Spécifie l'URL relative permettant d'accéder au tableau de bord à partir d'Identity Reporting. La valeur par défaut est /idmdash/#/landing.

Si vous avez installé Identity Reporting et les applications d'identité dans des serveurs distincts, indiquez une URL absolue. Utilisez le format suivant : protocol//serveur:port/chemin. Par exemple : https://192.168.0.1:8543/IDMRPT/oauth.

URL de redirection OAuth OSP

Requis

Indique l'URL absolue vers laquelle le serveur d'authentification redirige un client de navigateur une fois l'authentification terminée.

Utilisez le format suivant : protocol//serveur:port/chemin. Par exemple : https://192.168.0.1:8543/IDMRPT/oauth.

Service de collecte de données d'IDM

Cette section définit les valeurs pour l'URL dont les utilisateurs ont besoin pour accéder au service de collecte de données d'Identity Manager.

ID du client OAuth

Requis

Indique le nom à utiliser pour identifier le client Single Sign-on pour le service de collecte de données d'Identity Manager auprès du serveur d'authentification. La valeur par défaut est idmdcs.

Secret du client OAuth

Requis

Indique le mot de passe du client Single Sign-on pour le service de collecte de données d'Identity Manager.

URL de redirection OAuth OSP

Requis

Indique l'URL absolue vers laquelle le serveur d'authentification redirige un client de navigateur une fois l'authentification terminée.

Utilisez le format suivant : protocol//serveur:port/chemin. Par exemple : https://192.168.0.1:8543/idmdcs/oauth.html.

Pilote DCS

Cette section définit les valeurs pour la gestion du pilote de services de collecte de données.

Figure 15-5

ID du client OAuth

Permet d'indiquer le nom servant à identifier le client SSO pour le pilote du service de collecte de données auprès du serveur d'authentification. La valeur par défaut de ce paramètre est dcsdrv.

Secret du client OAuth

Permet d'indiquer le mot de passe du client SSO pour le pilote du service de collecte de données.

Self Service Password Reset

Cette section définit les valeurs pour l'URL dont les utilisateurs ont besoin pour accéder à SSPR.

ID du client OAuth

Requis

Permet d'indiquer le nom servant à identifier le client SSO pour SSPR auprès du serveur d'authentification. La valeur par défaut est sspr.

Secret du client OAuth

Requis

Spécifie le mot de passe du client SSO pour SSPR.

URL de redirection OAuth OSP

Requis

Indique l'URL absolue vers laquelle le serveur d'authentification redirige un client de navigateur une fois l'authentification terminée.

Utilisez le format suivant : protocol//serveur:port/chemin. Par exemple : https://192.168.0.1:8543/sspr/public/oauth.html.

15.8.6 Paramètres de l'audit CEF

Cette section définit les valeurs pour gérer les paramètres de l'audit CEF.

Envoyer des événements d'audit

Indique si vous souhaitez utiliser CEF pour auditer les événements dans les applications d'identité.

Hôte de destination

Spécifie le nom DNS ou l'adresse IP du serveur d'audit.

Port de destination

Indique le port du serveur d'audit.

Protocole réseau

Indique le protocole réseau utilisé par le serveur d'audit pour recevoir les événements CEF.

Utiliser TLS

S'applique uniquement lorsque vous souhaitez utiliser TCP comme protocole réseau.

Indique si le serveur d'audit est configuré pour utiliser TLS avec TCP.

Répertoire de stockage intermédiaire des événements

Indique l'emplacement du répertoire du cache, avant que les événements CEF soient envoyés au serveur d'audit.

REMARQUE :assurez-vous que les autorisations novlua sont définies pour le répertoire du cache. Dans le cas contraire, vous ne pourrez pas accéder aux applications IDMDash et IDMProv. En outre, aucun des événements OSP ne sera consigné dans le répertoire du cache. Par exemple, vous pouvez modifier l'autorisation et la propriété du répertoire à l'aide de la commande chown novlua:novlua /<chemin_répertoire>, dans lequel <chemin_répertoire> est le chemin de répertoire du fichier du cache.