Le programme d'installation d'Identity Manager inclut Self Service Password Reset pour vous aider à gérer le processus de réinitialisation des mots de passe oubliés. Sinon, vous pouvez utiliser un système de gestion des mots de passe externe.
Dans la plupart des cas, vous pouvez activer la fonctionnalité de gestion des mots de passe oubliés lors de l'installation de SSPR et d'Identity Applications. Toutefois, vous n'avez peut-être pas spécifié l'URL de la page de renvoi pour Identity Applications vers laquelle SSPR renvoie les utilisateurs après une modification de mot de passe. Vous devrez peut-être également activer la gestion de mot de passe oublié. Cette section contient les informations suivantes :
Cette section fournit des informations sur la configuration d'Identity Manager pour l'utilisation de SSPR.
Connectez-vous au serveur sur lequel vous avez installé Identity Applications.
Exécutez l'utilitaire de configuration de RBPM. Pour plus d'informations, reportez-vous à la Exécution de l'utilitaire de configuration d'Identity Applications.
Dans l'utilitaire, accédez à Authentification > Gestion des mots de passe.
Pour Fournisseur de gestion des mots de passe, indiquez SSPR.
Sélectionnez Mot de passe oublié.
Accédez à Clients SSO > Self Service Password Reset.
Pour l'ID du client OSP, spécifiez le nom à utiliser pour identifier le client Single Sign-On pour SSPR vis-à-vis du serveur d'authentification. La valeur par défaut est sspr.
Pour le secret du client OSP, indiquez le mot de passe pour le client Single Sign-On pour SSPR.
Pour l'URL de redirection OSP, spécifiez l'URL absolue vers laquelle le serveur d'authentification redirige un client de navigateur une fois l'authentification effectuée.
Utilisez le format suivant : protocole://serveur:port/chemin. Par exemple : http://10.10.10.48:8180/sspr/public/oauth.
Enregistrez les modifications, puis fermez l'utilitaire.
Cette section fournit des informations sur la configuration de SSPR afin que cet utilitaire fonctionne avec Identity Manager. Par exemple, vous pouvez modifier les stratégies de mot de passe et de questions de vérification d'identité.
Lorsque vous avez installé SSPR avec Identity Manager, vous avez spécifié un mot de passe qu'un administrateur peut utiliser pour configurer l'application. NetIQ vous recommande de modifier les paramètres de SSPR, puis de spécifier le compte d'administrateur ou le groupe en mesure de configurer SSPR.
REMARQUE :si vous installez SSPR sur un serveur différent de celui du serveur d'applications utilisateur, assurez-vous que le certificat de l'application SSPR est ajouté à l'application utilisateur cacerts.
Connectez-vous à SSPR à l'aide du mot de passe de configuration que vous avez spécifié au cours de l'installation.
Sur la page Paramètres, modifiez les paramètres de la stratégie de mot de passe et de questions de vérification d'identité. Pour plus d'informations sur la configuration des valeurs par défaut des paramètres SSPR, reportez-vous à la section Configuring Self Service Password Reset (Configuration de SSPR) du manuel NetIQ Self Service Password Reset Administration Guide (Guide d'administration de NetIQ SSPR).
Verrouillez le fichier de configuration de SSPR (SSPRConfiguration.xml). Pour plus d'informations sur le verrouillage du fichier de configuration, reportez-vous à la section Verrouillage de la configuration de SSPR.
(Facultatif) Pour modifier les paramètres de SSPR après avoir verrouillé la configuration, vous devez définir le paramètre configIsEditable sur true dans le fichier SSPRConfiguration.xml.
Déconnectez-vous de SSPR.
Pour que les modifications prennent effet, redémarrez Tomcat.
Accédez à http://<IP/nom DNS>:<port>/sspr. Ce lien vous permet d'accéder au portail SSPR.
Connectez-vous à Identity Manager avec un compte d'administrateur ou connectez-vous avec vos références de connexion existantes.
Cliquez sur Gestionnaire de configuration en haut de la page et entrez le mot de passe de configuration spécifié au cours de l'installation.
Cliquez sur Éditeur de configuration et accédez à Paramètres > Paramètres LDAP.
Verrouillez le fichier de configuration de SSPR (SSPRConfiguration.xml).
Dans la section relative aux autorisations d'administrateur, définissez un filtre au format LDAP pour un utilisateur ou un groupe qui dispose de droits d'administrateur pour SSPR dans le coffre-fort d'identité. Par défaut, le filtre est défini sur groupMembership=cn=Admins,ou=Groups,o=example.
Par exemple, réglez-le sur uaadmin (cn=uaadmin) pour l'administrateur de l'application utilisateur.
Cela empêche les utilisateurs de modifier la configuration de SSPR, à l'exception de l'administrateur SSPR qui dispose de droits d'accès complets pour modifier les paramètres.
Pour garantir que la requête LDAP renvoie des résultats, cliquez sur View Matches (Afficher les correspondances).
Si le paramètre présente une erreur, vous ne pouvez pas passer à l'option de configuration suivante. SSPR affiche les détails de l'erreur afin de vous aider à résoudre le problème.
Cliquez sur Enregistrer.
Dans la fenêtre de confirmation qui s'affiche, cliquez sur OK.
Lorsque SSPR est verrouillé, l'administrateur peut afficher d'autres options dans l'interface utilisateur d'administration, telles que le tableau de bord, l'activité de l'utilisateur, l'analyse des données, etc., qui n'étaient pas disponibles avant le verrouillage de SSPR.
(Facultatif) Pour modifier les paramètres de SSPR après avoir verrouillé la configuration, vous devez définir le paramètre configIsEditable sur true dans le fichier SSPRConfiguration.xml.
Déconnectez-vous de SSPR.
Reconnectez-vous ensuite à SSPR avec les références d'administrateur définies à l'Étape 3.
Cliquez sur Close Configuration (Fermer la configuration), puis sur OK pour confirmer les modifications.
Pour que les modifications prennent effet, redémarrez Tomcat.
Pour utiliser un système externe, vous devez spécifier l'emplacement d'un fichier WAR contenant la fonction de mot de passe oublié. Cette procédure implique les opérations suivantes :
Si vous ne spécifiez pas ces valeurs lors de l'installation et que vous souhaitez modifier les paramètres, vous pouvez employer l'utilitaire de configuration de RBPM ou apporter les modifications dans l'application utilisateur en tant qu'administrateur.
(Facultatif) Pour modifier les paramètres de l'utilitaire de configuration de RBPM, procédez comme suit :
Connectez-vous au serveur sur lequel vous avez installé Identity Applications.
Exécutez l'utilitaire de configuration de RBPM. Pour plus d'informations, reportez-vous à la Exécution de l'utilitaire de configuration d'Identity Applications.
Dans l'utilitaire, accédez à Authentification > Gestion des mots de passe.
Pour Fournisseur de gestion des mots de passe, spécifiez Application utilisateur (héritée).
(Facultatif) Pour modifier les paramètres dans l'application utilisateur, procédez comme suit :
Connectez-vous en tant qu'administrateur de l'application utilisateur.
Accédez à Administration > Configuration de l'application > Config. module mot de passe > Login.
Pour Mot de passe oublié, spécifiez Externe.
Pour Lien Mot de passe oublié, spécifiez le lien affiché lorsque l'utilisateur clique sur Mot de passe oublié sur la page de connexion. Lorsque l'utilisateur clique sur ce lien, l'application dirige l'utilisateur vers le système de gestion des mots de passe externe. Exemple :
http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp
Pour l'option Lien Retour mot de passe oublié, indiquez le lien qui s'affiche lorsque l'utilisateur a terminé la procédure de mot de passe oublié. Lorsque l'utilisateur clique sur ce lien, il est redirigé vers le lien spécifié. Exemple :
http://localhost/IDMProv
Pour l'option URL du service Web de mot de passe oublié, indiquez l'URL du service Web utilisée par le fichier WAR externe de mot de passe oublié pour revenir à Identity Applications. Utilisez le format suivant :
https://idmhost:sslport/idm/pwdmgt/service
Le lien de retour doit utiliser SSL pour assurer une communication sécurisée des services Web avec Identity Applications. Pour plus d'informations, reportez-vous à la section Configuration de la communication SSL entre serveurs d'applications.
Copiez manuellement ExternalPwd.war dans le répertoire de déploiement du serveur d'applications distant qui exécute la fonction WAR de mots de passe externe.
Si vous disposez d'un fichier WAR de mots de passe externe et souhaitez y accéder pour tester la fonction Mot de passe oublié, vous le trouverez à l'emplacement suivant :
Directement dans un navigateur. Accédez à la page Mot de passe oublié dans le fichier WAR de mots de passe externe. Exemple : http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp.
Sur la page de connexion de l'application utilisateur, cliquez sur le lien Mot de passe oublié.
Si vous utilisez un système externe de gestion des mots de passe, vous devez configurer la communication SSL entre les instances Tomcat sur lesquelles vous déployez Identity Applications et le fichier WAR externe de gestion des mots de passe oubliés. Pour plus d'informations, reportez-vous à la documentation Tomcat.
La procédure d'installation suppose que vous déployez SSPR sur le même serveur d'applications qu'Identity Applications et Identity Reporting. Par défaut, les liens intégrés sur la page Applications du tableau de bord utilisent une URL relative pointant vers SSPR sur le système local. Par exemple : \sspr\private\changepassword. Si vous installez les applications dans un environnement en grappe ou distribué, vous devez mettre à jour les URL des liens SSPR.
Pour plus d'informations, reportez-vous à l'Aide relative à Identity Applications.
Connectez-vous au tableau de bord en tant qu'administrateur. Par exemple, connectez-vous en tant que uaadmin.
Cliquez sur Éditer.
Sur la page Modifier les éléments d'accueil, pointez sur l'élément que vous souhaitez mettre à jour, puis cliquez sur l'icône d'édition. Par exemple, sélectionnez Modifier mon mot de passe.
Pour Lien, indiquez l'URL absolue. Par exemple : http://10.10.10.48:8180/sspr/changepassword.
Cliquez sur Enregistrer.
Répétez cette opération pour chaque lien SSPR à mettre à jour.
Une fois l'opération terminée, cliquez sur J'ai terminé.
Déconnectez-vous, puis reconnectez-vous en tant qu'utilisateur normal pour tester les modifications.