L'utilitaire de configuration d'Identity Applications vous permet de gérer les paramètres des pilotes de l'application utilisateur et d'Identity Applications. Le programme d'installation d'Identity Applications invoque une version de cet utilitaire et vous permet ainsi de configurer rapidement les applications. Vous pouvez également modifier la plupart de ces paramètres une fois l'installation terminée.
Le fichier pour l'exécution de l'utilitaire de configuration (configupdate.bat) est situé par défaut dans un sous-répertoire d'installation d'Identity Applications (C:\NetIQ\idm\apps\UserApplication).
REMARQUE :dans une grappe, les paramètres de configuration doivent être identiques pour tous les membres de la grappe.
Cette section décrit les paramètres de l'utilitaire de configuration. Les paramètres sont organisés par onglets. Si vous installez Identity Reporting, le processus ajoute des paramètres de création de rapports à l'utilitaire.
Ouvrez le fichier configupdate.properties dans un éditeur de texte et vérifiez que les options suivantes sont configurées :
edit_admin="true"
use_console="false"
À l'invite de commande, exécutez l'utilitaire de configuration (configupdate.bat).
REMARQUE :vous devrez peut-être attendre quelques minutes pour que l'utilitaire démarre.
Lors de la configuration d'Identity Applications, cet onglet permet de définir les valeurs utilisées par les applications pour communiquer avec le coffre-fort d'identité. Certains paramètres sont requis pour terminer la procédure d'installation.
Par défaut, l'onglet affiche les options de base. Pour afficher tous les paramètres, cliquez sur Afficher les options avancées. En outre, cet onglet comporte les groupes de paramètres suivants :
Cette section définit les paramètres qui permettent à Identity Applications d'accéder aux identités utilisateur et aux rôles dans le coffre-fort d'identité. Certains paramètres sont requis pour terminer la procédure d'installation.
Requis
Indique le nom d'hôte ou l'adresse IP de votre serveur LDAP. Par exemple : myLDAPhost.
Permet de spécifier le port sur lequel le coffre-fort d'identité doit être à l'écoute des requêtes LDAP en texte clair. La valeur par défaut est 389.
Permet de spécifier le port sur lequel le coffre-fort d'identité doit être à l'écoute des requêtes LDAP à l'aide du protocole SSL (Secure Sockets Layer). La valeur par défaut est 636.
Si un service déjà chargé sur le serveur (avant l'installation d'eDirectory) utilise ce port par défaut, vous devez spécifier un autre port.
Requis
Indique les références de l'administrateur LDAP. Par exemple, cn=admin. Cet utilisateur doit déjà exister dans le coffre-fort d'identité.
Identity Applications utilise ce compte pour établir une connexion administrative avec le coffre-fort d'identité. Cette valeur est chiffrée en fonction de la clé principale.
Requis
Permet de spécifier le mot de passe associé l'administrateur LDAP. Ce mot de passe est chiffré en fonction de la clé principale.
Permet de spécifier si les utilisateurs non connectés peuvent accéder au compte anonyme public LDAP.
Indique si RBPM utilise le protocole SSL pour toutes les communications associées au compte administrateur. Cette configuration permet également d'exécuter des opérations qui ne nécessitent pas SSL.
REMARQUE :cette option peut affecter les performances.
Indique si RBPM utilise le protocole TLS/SSL pour toutes les communications associées au compte de l'utilisateur connecté. Ce paramètre permet d'effectuer des opérations qui ne nécessitent pas TLS/SSL pour fonctionner sans le protocole.
REMARQUE :cette option peut affecter les performances.
Cette section définit les noms distinctifs des conteneurs et des comptes utilisateur qui permettent la communication entre Identity Applications et les autres composants Identity Manager. Certains paramètres sont requis pour terminer la procédure d'installation.
Requis
Indique le nom distinctif LDAP du conteneur racine. Celui-ci est utilisé comme racine de recherche de définition d'entité par défaut lorsqu'aucune racine n'est indiquée dans la couche d'abstraction d'annuaire. Exemple : o=mycompany.
Requis
Si vous affichez les options avancées, l'utilitaire affiche ce paramètre sous Identité de l'utilisateur du coffre-fort d'identité.
Indique le nom distinctif (DN) LDAP ou le nom LDAP complet du conteneur utilisateur. Ce paramètre présente les caractéristiques suivantes :
Les utilisateurs de ce conteneur (et ses sous-conteneurs) sont autorisés à se connecter à Identity Applications.
Si vous avez démarré l'instance Tomcat hébergeant les instances d'Identity Applications, vous ne pouvez pas modifier ce paramètre à l'aide du fichier configupdate.bat.
Ce conteneur doit inclure l'administrateur de l'application utilisateur que vous avez spécifié lors de la configuration du pilote de l'application utilisateur. Dans le cas contraire, le compte ne peut pas exécuter les workflows.
Requis
Si vous affichez les options avancées, l'utilitaire affiche ce paramètre sous Groupes d'utilisateurs du coffre-fort d'identité.
Indiquez le nom distinctif (DN) LDAP ou le nom LDAP complet du conteneur d'utilisateurs. Ce paramètre présente les caractéristiques suivantes :
Les définitions d'entité de la couche d'abstraction d'annuaire utilisent ce DN.
Si vous avez démarré l'instance Tomcat hébergeant les instances d'Identity Applications, vous ne pouvez pas modifier ce paramètre à l'aide du fichier configupdate.bat.
Requis
Indique le nom distinctif du pilote de l'application utilisateur.
Par exemple, si votre pilote est UserApplicationDriver et si votre ensemble de pilotes est appelé myDriverSet, et si l'ensemble de pilotes est dans un contexte de o=myCompany, indiquez cn=UserApplicationDriver,cn=myDriverSet,o=myCompany.
Requis
Permet d'indiquer un compte utilisateur existant dans le coffre-fort d'identité qui dispose des droits pour effectuer des tâches administratives pour le conteneur d'utilisateurs spécifié de l'application utilisateur. Ce paramètre présente les caractéristiques suivantes :
Si vous avez démarré l'instance Tomcat hébergeant l'application utilisateur, vous ne pouvez pas modifier ce paramètre à l'aide du fichier configupdate.bat.
Pour modifier cette assignation après avoir déployé l'application utilisateur, utilisez les pages Administration > Sécurité de l'application utilisateur.
Ce compte utilisateur est autorisé à utiliser l'onglet Administration de l'application utilisateur pour administrer le portail.
Si l'administrateur de l'application utilisateur participe aux tâches d'administration du workflow exposées dans iManager, Designer ou l'application utilisateur (onglet Requêtes et approbations), vous devez accorder à cet administrateur des autorisations d'ayant droit sur les instances d'objets contenues dans le pilote de l'application utilisateur. Pour plus d'informations, reportez-vous au User Application Administration Guide (Guide d'administration de l'application utilisateur).
Permet d'indiquer un compte utilisateur existant dans le coffre-fort d'identité qui gère les fonctions de workflow de provisioning disponibles dans l'application utilisateur.
Pour modifier cette assignation après avoir déployé l'application utilisateur, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.
Indique un compte existant dans le coffre-fort d'identité qui exécute un rôle système pour permettre aux membres d'exécuter toutes les fonctions de l'onglet Conformité. Ce paramètre présente les caractéristiques suivantes :
Pour modifier cette assignation après avoir déployé Identity Applications, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.
Lors d'une mise à jour de la configuration, les modifications apportées à cette valeur prennent effet uniquement si aucun administrateur de conformité valide n'est assigné. Si un administrateur de conformité valide existe, vos modifications ne sont pas enregistrées.
Spécifie le rôle qui permet aux membres de créer, de supprimer ou de modifier l'ensemble des rôles, ainsi que d'accorder ou de révoquer les assignations de rôle des utilisateurs, des groupes ou des conteneurs. Il permet également à ses membres d'exécuter des rapports pour n'importe quel utilisateur. Ce paramètre présente les caractéristiques suivantes :
Par défaut, ce rôle est assigné à l'administrateur de l'application utilisateur.
Pour modifier cette assignation après avoir déployé Identity Applications, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.
Lors d'une mise à jour de la configuration, les modifications apportées à cette valeur prennent effet uniquement si aucun administrateur de rôles valide n'est assigné. Si un administrateur de rôles valide existe, vos modifications ne sont pas enregistrées.
Spécifie le rôle qui permet aux membres d'accéder à toutes les fonctionnalités du domaine Sécurité. Ce paramètre présente les caractéristiques suivantes :
L'administrateur de la sécurité peut effectuer toutes les opérations possibles sur tous les objets au sein du domaine Sécurité. Le domaine Sécurité permet également à l'administrateur de la sécurité de configurer des autorisations d'accès pour tous les objets dans tous les domaines de RBPM. L'administrateur de la sécurité peut configurer des équipes et assigner des administrateurs de domaine, des administrateurs délégués et d'autres administrateurs de la sécurité.
Pour modifier cette assignation après avoir déployé Identity Applications, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.
Spécifie le rôle qui permet aux membres d'accéder à toutes les fonctionnalités du domaine Ressource. Ce paramètre présente les caractéristiques suivantes :
L'administrateur de ressources peut effectuer toutes les opérations possibles pour tous les objets au sein du domaine Ressource.
Pour modifier cette assignation après avoir déployé Identity Applications, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.
Spécifie le rôle qui permet aux membres d'accéder à toutes les fonctionnalités du domaine Configuration. Ce paramètre présente les caractéristiques suivantes :
L'administrateur de la configuration RBPM peut effectuer toutes les opérations possibles pour tous les objets au sein du domaine Configuration. L'administrateur de la configuration RBPM contrôle l'accès aux éléments de navigation dans RBPM. En outre, l'administrateur de la configuration RBPM configure le service proxy et de délégation, l'interface utilisateur de provisioning et le moteur de workflow.
Pour modifier cette assignation après avoir déployé Identity Applications, utilisez la page Administration > Assignations de l'administrateur de l'application utilisateur.
Spécifie l'administrateur de la création de rapports. Par défaut, le programme d'installation définit cette valeur sur le même utilisateur que celui renseigné dans les autres champs de sécurité.
Cette section définit les valeurs qui permettent à Identity Applications de communiquer avec un conteneur d'utilisateurs dans le coffre-fort d'identité. Certains paramètres sont requis pour terminer la procédure d'installation.
L'utilitaire n'affiche ces paramètres que lorsque vous sélectionnez Aff. options avancées.
Requis
Lorsque cette option n'est pas présente les options avancées, l'utilitaire affiche ce paramètre sous DN du coffre-fort d'identité.
Indique le nom distinctif (DN) LDAP ou le nom LDAP complet du conteneur utilisateur. Ce paramètre présente les caractéristiques suivantes :
Les utilisateurs de ce conteneur (et ses sous-conteneurs) sont autorisés à se connecter à Identity Applications.
Si vous avez démarré l'instance Tomcat hébergeant les instances d'Identity Applications, vous ne pouvez pas modifier ce paramètre à l'aide du fichier configupdate.bat.
Ce conteneur doit inclure l'administrateur de l'application utilisateur que vous avez spécifié lors de la configuration du pilote de l'application utilisateur. Dans le cas contraire, le compte ne peut pas exécuter les workflows.
Permet de définir la mesure dans laquelle les utilisateurs du coffre-fort d'identité peuvent effectuer des recherches dans le conteneur.
Indique la classe d'objet de l'utilisateur LDAP. La classe est généralement inetOrgPerson.
Spécifie l'attribut LDAP qui représente le nom de connexion de l'utilisateur. Exemple : cn
Spécifie l'attribut LDAP utilisé comme identifiant lors de la consultation d'utilisateurs ou de groupes. Ce n'est pas le même que l'attribut de connexion, qui n'est utilisé que lors de la connexion. Exemple : cn
(Facultatif) Spécifie l'attribut LDAP qui représente l'adhésion à un groupe de l'utilisateur. N'utilisez pas d'espaces pour le nom.
Cette section définit les valeurs qui permettent à Identity Applications de communiquer avec un conteneur de groupes dans le coffre-fort d'identité. Certains paramètres sont requis pour terminer la procédure d'installation.
L'utilitaire n'affiche ces paramètres que lorsque vous sélectionnez Aff. options avancées.
Requis
Lorsque cette option n'est pas présente les options avancées, l'utilitaire affiche ce paramètre sous DN du coffre-fort d'identité.
Indiquez le nom distinctif (DN) LDAP ou le nom LDAP complet du conteneur d'utilisateurs. Ce paramètre présente les caractéristiques suivantes :
Les définitions d'entité de la couche d'abstraction d'annuaire utilisent ce DN.
Si vous avez démarré l'instance Tomcat hébergeant les instances d'Identity Applications, vous ne pouvez pas modifier ce paramètre à l'aide du fichier configupdate.bat.
Permet de définir la mesure dans laquelle les utilisateurs du coffre-fort d'identité peuvent effectuer des recherches dans le conteneur de groupes.
Indique la classe d'objet du groupe LDAP. La classe est généralement groupofNames.
(Facultatif) Spécifie l'adhésion à un groupe de l'utilisateur. N'utilisez pas d'espaces pour le nom.
Indique si vous souhaitez utiliser des groupes dynamiques.
Vous devez aussi spécifier une valeur pour Classe d'objet Groupe dynamique.
Ne s'applique que lorsque vous sélectionnez l'option Utiliser des groupes dynamiques.
Indique la classe d'objet du groupe dynamique LDAP. La classe est généralement dynamicGroup.
Cette section définit le chemin d'accès et le mot de passe pour le keystore du JRE. Certains paramètres sont requis pour terminer la procédure d'installation.
Requis
Indique le chemin d'accès complet au fichier (cacerts) de votre keystore du JRE utilisé par Tomcat. Vous pouvez entrer manuellement le chemin d'accès ou parcourir l'arborescence jusqu'au fichier cacerts. Ce paramètre présente les caractéristiques suivantes :
Dans les environnements, vous devez indiquer le répertoire d'installation de RBPM. La valeur par défaut est définie sur l'emplacement correct.
Le programme d'installation d'Identity Applications modifie le fichier keystore.
Requis
Spécifie le mot de passe pour le fichier keystore. L'unité par défaut est changeit.
Cette section décrit les valeurs permettant de configurer des notifications par message électronique que vous pouvez utiliser pour les approbations. Pour plus d'informations, reportez-vous au manuel NetIQ Identity Manager - Administrator's Guide to the Identity Applications (NetIQ Identity Manager - Guide de l'administrateur d'Identity Applications).
Spécifie le nom ou l'adresse IP de l'instance Tomcat qui héberge Identity Applications. Par exemple, myapplication serverServer.
Cette valeur remplace le jeton $HOST$ des modèles de courrier électronique. Le programme d'installation utilise ces informations pour créer une URL conduisant aux tâches de requête de provisioning et aux notifications d'approbation.
Spécifie le numéro de port de l'instance Tomcat qui héberge Identity Applications.
Cette valeur remplace le jeton $PORT$ dans les modèles de message électronique qui sont utilisés dans des tâches de requête de provisioning et les notifications d'approbation.
Spécifie le numéro de port sécurisé de l'instance Tomcat qui héberge Identity Applications.
Cette valeur remplace le jeton $SECURE_PORT$ dans les modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.
Indique un protocole non sécurisé inclus dans l'URL lors de l'envoi de courrier électronique à l'utilisateur. Exemple : http.
Cette valeur remplace le jeton $PROTOCOL$ dans les modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.
Indique le protocole sécurisé inclus dans l'URL lors de l'envoi de courrier électronique à l'utilisateur. Exemple : https.
Cette valeur remplace le jeton $SECURE_PROTOCOL$ dans les modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.
Indique le compte de messagerie électronique utilisé par Identity Applications pour envoyer des notifications par courrier électronique.
Indique l'adresse IP ou le nom DNS de l'hôte de messagerie SMTP utilisé par Identity Applications pour les messages électroniques de provisioning. N'utilisez pas localhost.
Indique si vous souhaitez que le serveur demande une authentification.
Vous devez également spécifier des références pour le serveur de messagerie.
Applicable uniquement si vous activez l'option Le serveur requiert une authentification.
Permet d'indiquer le nom d'un compte de connexion au serveur de messagerie.
Applicable uniquement si vous activez l'option Le serveur requiert une authentification.
Permet d'indiquer le mot de passe d'un compte de connexion pour le serveur de messagerie.
Indique si vous souhaitez sécuriser le contenu des messages lors de leur transmission entre les serveurs de messagerie.
Indique le chemin de l'image que vous souhaitez inclure dans les notifications par message électronique.
Lorsque le serveur Identity Applications et le serveur de messagerie sont tous deux configurés pour utiliser une connexion sécurisée, vérifiez que les conditions suivantes sont respectées :
Le certificat utilisé pour établir une connexion sécurisée entre le serveur Identity Applications et le serveur de messagerie est un certificat approuvé par une autorité de certification.
Utilisez https dans le chemin de l'image. Par exemple, https://localhost:8543/IDMProv/images
Si Identity Applications fonctionne sur un serveur qui utilise http pour la communication en texte brut, remplacez https par http dans le chemin de l'image. Exemple de chemin de l'image : http://localhost:8080/IDMProv/images
Indique si vous souhaitez ajouter une signature numérique aux messages sortants.
Si vous activez cette option, vous devez également spécifier les paramètres du fichier Keystore et de la clé de signature.
Applicable uniquement lorsque vous activez l'option Signer le message électronique.
Spécifie le chemin d'accès complet au fichier Keystore (cacerts) que vous souhaitez utiliser pour ajouter une signature numérique à un message électronique. Vous pouvez entrer manuellement le chemin d'accès ou parcourir l'arborescence jusqu'au fichier cacerts.
Par exemple : C:\NetIQ\idm\apps\jre\lib\security\cacerts.
Applicable uniquement lorsque vous activez l'option Signer le message électronique.
Spécifie le mot de passe pour le fichier keystore. Par exemple : changeit.
Applicable uniquement lorsque vous activez l'option Signer le message électronique.
Spécifie l'alias de la clé de signature dans le keystore. Par exemple : idmapptest.
Applicable uniquement lorsque vous activez l'option Signer le message électronique.
Spécifie le mot de passe qui protège le fichier contenant la clé de signature. Par exemple : changeit.
Cette section définit les valeurs du keystore approuvé pour Identity Applications. L'utilitaire n'affiche ces paramètres que lorsque vous sélectionnez Aff. options avancées.
Indique le chemin d'accès au keystore approuvé qui contient tous les certificats de signataires approuvés. Si ce chemin est vide, Identity Applications obtient le chemin à partir de la propriété système javax.net.ssl.trustStore. Si la propriété système ne peut pas renseigner le chemin, le programme d'installation est défini par défaut sur jre/lib/security/cacerts.
Spécifie le mot de passe du keystore approuvé. Si ce champ est vide, Identity Applications obtient le mot de passe à partir de la propriété système javax.net.ssl.trustStorePassword. Si la propriété système ne peut pas fournir le chemin, le programme d'installation est défini par défaut sur changeit.
Ce mot de passe est chiffré en fonction de la clé principale.
Indique si le chemin d'accès à la zone de stockage approuvée utilise un keystore Java (JKS) ou PKCS12 pour la signature numérique.
Cette section définit les valeurs qui permettent à Identity Manager de communiquer avec Sentinel pour l'audit des événements. L'utilitaire n'affiche ces paramètres que lorsque vous sélectionnez Aff. options avancées.
Répertorie les certificats de clé publique personnalisés utilisables par le serveur OAuth pour authentifier les messages d'audit envoyés à Sentinel.
Indique le chemin d'accès au fichier de clé privée personnalisé utilisable par le serveur OAuth pour authentifier les messages d'audit envoyés à Sentinel.
L'utilitaire n'affiche ces paramètres que lorsque vous sélectionnez Aff. options avancées.
Spécifie l'URI à utiliser lorsque l'installation client utilise le protocole OCSP (On-Line Certificate Status Protocol). Par exemple, http://host:port/ocspLocal.
L'URI OCSP met à jour le statut des certificats approuvés en ligne.
Indique le nom complet du fichier de configuration de l'autorisation.
Au cours de l'installation, permet d'indiquer si vous souhaitez que le programme d'installation crée des index sur les attributs manager, ismanager, and srvprvUUID attributes. Après l'installation, vous pouvez modifier les paramètres afin qu'ils pointent vers un nouvel emplacement des index. Ce paramètre présente les caractéristiques suivantes :
En l'absence d'index pour ces attributs, les utilisateurs peuvent être confrontés à des baisses de performances d'Identity Applications.
Vous pouvez créer ces index manuellement à l'aide d'iManager après avoir installé Identity Applications.
Pour des performances optimales, nous vous conseillons de créer l'index de l'aide au cours de l'installation.
Les index doivent être en mode en ligne pour que vous puissiez rendre Identity Applications accessible aux utilisateurs.
Pour créer ou supprimer un index, vous devez aussi spécifier une valeur pour DN du serveur.
Ne s'applique que lorsque vous souhaitez créer ou supprimer un index du coffre-fort d'identité.
Spécifie le serveur eDirectory sur lequel vous voulez créer ou supprimer les index.
Vous ne pouvez spécifier qu'un seul serveur à la fois. Pour configurer des index sur plusieurs serveurs eDirectory, vous devez exécuter l'utilitaire de configuration RBPM plusieurs fois.
Indique si vous voulez réinitialiser la sécurité RBPM lorsque l'installation est terminée. Vous devez également redéployer Identity Applications.
Indique l'URL du module de création de rapports d'Identity Manager. Par exemple, http://nom_hôte:port/IDMRPT.
Spécifie le nom du thème personnalisé que vous souhaitez utiliser pour l'affichage d'Identity Applications dans le navigateur.
Permet de définir la valeur à utiliser dans le modèle de présentation pour les appenders CONSOLE et FILE dans le fichier idmuserapp_logging.xml. La valeur par défaut est RBPM.
Indique si vous voulez modifier le nom du contexte de RBPM.
Vous devez également spécifier les nouveaux nom et DN du pilote de rôles et de ressources.
Ne s'applique que lorsque vous sélectionnez Modifier le nom du contexte RBPM.
Indique le nouveau nom du contexte pour RBPM.
Ne s'applique que lorsque vous sélectionnez Modifier le nom du contexte RBPM.
Indique le DN du pilote de rôles et de ressources.
Ces paramètres ne s'appliquent qu'au cours de l'installation.
Cette section vous permet de définir les valeurs des objets Conteneur ou de créer de nouveaux objets Conteneur.
Indique les types d'objets Conteneur que vous souhaitez utiliser.
Indique le conteneur : lieu, pays, unité organisationnelle, organisation ou domaine.
Vous pouvez également définir vos propres conteneurs dans iManager et les ajouter sous Ajouter un nouvel objet du conteneur.
Spécifie le nom du type d'attribut associé au type d'objet Conteneur spécifié.
Indique le nom LDAP d'une classe d'objets du coffre-fort d'identité pouvant servir de conteneur.
Spécifie le nom du type d'attribut associé au nouveau type d'objet Conteneur.
Lors de la configuration d'Identity Applications, cet onglet permet de définir les valeurs pour la gestion d'Identity Reporting. L'utilitaire ajoute cet onglet lorsque vous installez Identity Reporting.
Par défaut, l'onglet affiche les options de base. Pour afficher tous les paramètres, cliquez sur Afficher les options avancées. En outre, cet onglet comporte les groupes de paramètres suivants :
Cette section définit les valeurs pour l'envoi de notifications.
Permet de spécifier le nom DNS ou l'adresse IP du serveur de messagerie qu'Identity Reporting doit utiliser pour envoyer des notifications. N'utilisez pas localhost.
Permet d'indiquer le numéro de port du serveur SMTP.
Permet d'indiquer si vous voulez utiliser le protocole TLS/SSL pour les communications avec le serveur de messagerie.
Permet d'indiquer si vous souhaitez utiliser l'authentification pour les communications avec le serveur de messagerie.
Permet de spécifier l'adresse de messagerie à utiliser pour l'authentification.
Vous devez spécifier une valeur. Si le serveur ne nécessite pas d'authentification, vous pouvez spécifier une adresse non valide.
Ne s'applique que lorsque vous indiquez que le serveur nécessite l'authentification.
Permet d'indiquer le mot de passe du compte utilisateur SMTP.
Permet de spécifier l'adresse électronique à partir de laquelle Identity Reporting envoie les notifications par message électronique.
Cette section définit les valeurs associées au stockage des rapports finalisés.
Permet d'indiquer pendant combien de temps Identity Reporting conserve les rapports avant de les supprimer. Par exemple, pour spécifier six mois, entrez 6 dans le champ Durée de vie du rapport, puis sélectionnez Mois dans le champ Unité du rapport.
Permet d'indiquer où vous voulez stocker les définitions de rapport. Par exemple : C:\NetIQ\idm\apps\IdentityReporting.
Cette section définit les valeurs pour la langue que doit utiliser Identity Reporting. Identity Reporting utilise ce paramètre local dans les recherches. Pour plus d'informations, reportez-vous au Guide de l'administrateur de NetIQ Identity Reporting.
Cette section définit les valeurs des sources d'authentification utilisées par Identity Reporting pour générer des rapports.
Permet d'indiquer le type de source d'authentification que vous voulez ajouter pour créer des rapports. Ces sources d'authentification peuvent être les suivantes :
Par défaut
Annuaire LDAP
Fichier
S'applique uniquement lorsque vous utilisez Identity Manager 4.8.1 ou une version ultérieure.
Cette section définit les valeurs à utiliser pour le serveur proxy inverse employé par Identity Reporting pour télécharger des rapports.
Spécifie l'option pour utiliser le serveur proxy inverse pour la création de rapports.
Nom d'hôte ou adresse IP
Port
Utiliser TLS
S'applique uniquement lorsque vous souhaitez utiliser TCP comme protocole réseau.
Lors de la configuration d'Identity Applications, cet onglet permet de définir les valeurs que Tomcat utilise pour diriger les utilisateurs vers les pages de gestion des mots de passe et d'Identity Applications.
Par défaut, l'onglet affiche les options de base. Pour afficher tous les paramètres, cliquez sur Afficher les options avancées. En outre, cet onglet comporte les groupes de paramètres suivants :
Cette section définit les paramètres pour permettre à Identity Applications de se connecter au serveur d'authentification.
Requis
Permet d'indiquer l'URL relative du serveur d'authentification qui émet les jetons pour OSP. Par exemple, 192.168.0.1.
Permet de spécifier le port du serveur d'authentification.
La conversion d'OSP en NAM pour OAuth n'est pas prise en charge sous l'onglet Authentification de l'utilitaire de mise à jour de la configuration. Pour masquer cette option, attribuez à no_nam_oauth la valeur true (vrai) dans le fichier configupdate.sh.properties.
Indique si le serveur d'authentification utilise le protocole TLS/SSL pour la communication.
S'applique uniquement si vous sélectionnez Le serveur OAuth utilise TLS/SSL. et que l'utilitaire affiche les options avancées.
S'applique uniquement si vous sélectionnez Le serveur OAuth utilise TLS/SSL. et que l'utilitaire affiche les options avancées.
Spécifie le mot de passe utilisé pour charger le fichier keystore pour le serveur d'authentification TLS/SSL.
REMARQUE :si vous ne spécifiez pas le chemin et le mot de passe du fichier Keystore et si le certificat approuvé pour le serveur d'authentification n'est pas dans le Truststore JRE (cacerts), Identity Applications ne parvient pas à se connecter au service d'authentification qui utilise le protocole TLS/SSL.
Cette section définit les paramètres pour le serveur d'authentification.
Requis
Spécifie le nom distinctif du conteneur du coffre-fort d'identité qui contient des objets Administrateur à authentifier par OSP. Par exemple, ou=sa,o=data.
Spécifie le nom de l'attribut LDAP utilisé pour différencier plusieurs objets Utilisateur eDirectory avec la même valeur cn. La valeur par défaut est mail.
Indique si des recherches dans les conteneurs d'utilisateurs et d'administrateurs du coffre-fort d'identité sont limitées aux objets Utilisateur de ces conteneurs ou si ces recherches doivent également inclure les sous-conteneurs.
Indique le nombre de minutes d'inactivité dans une session avant que le serveur ne déclenche l'expiration de la session de l'utilisateur. La valeur par défaut est de 20 minutes.
Spécifie le nombre de secondes de validité d'un jeton d'accès OSP. La valeur par défaut est de 60 secondes.
Spécifie le nombre de secondes de validité d'un jeton de rafraîchissement OSP. Le jeton de rafraîchissement est utilisé en interne par OSP. La valeur par défaut est 48 heures.
Cette section définit les valeurs qui permettent à OSP d'authentifier les utilisateurs qui se connectent aux composants Identity Manager basés sur des navigateurs.
Indique le type d'authentification que vous souhaitez qu'Identity Manager emploie lorsqu'un utilisateur se connecte.
Nom et mot de passe : OSP vérifie l'authentification avec le coffre-fort d'identité.
Kerberos : OSP accepte l'authentification de la part d'un serveur de ticket Kerberos et du coffre-fort d'identité. Vous devez aussi spécifier une valeur pour Nom d'attribut de mappage.
SAML 2.0 : OSP accepte l'authentification de la part d'un fournisseur d'identité SAML et du coffre-fort d'identité. Vous devez également spécifier des valeurs pour Nom d'attribut de mappage et URL des métadonnées.
Ne s'applique que lorsque vous indiquez Kerberos ou SAML.
Spécifie le nom de l'attribut qui opère le mappage au serveur du ticket Kerberos ou aux représentations SAML auprès du fournisseur d'identité.
Ne s'applique que lorsque vous indiquez SAML.
Indique l'URL utilisée par OSP pour rediriger la requête d'authentification vers SAML.
Cette section définit les valeurs qui permettent aux utilisateurs de modifier leur mot de passe en tant qu'opération en self-service
Spécifie le type de système de gestion des mots de passe que vous voulez utiliser.
Application utilisateur (héritée) : permet d'utiliser le programme de gestion des mots de passe employé habituellement par Identity Manager. Cette option vous permet d'utiliser un programme de gestion des mots de passe externe.
Self Service Password Reset (SSPR): utilisez le service Self Service Password Reset de NetIQ inclus avec Identity Applications. Ce service aide les utilisateurs à réinitialiser leur mot de passe sans intervention administrative. Vous pouvez sélectionner les liens qui s'afficheront sur la page de connexion du tableau de bord Identity Applications, ce qui permet aux utilisateurs de sélectionner l'action appropriée pour réinitialiser l'accès à la connexion en fonction de leurs besoins. Pour plus d'informations, reportez-vous à la section Interface utilisateur.
SSPR est la sélection par défaut pour le champ Fournisseur de gestion des mots de passe.
Cette liste ne s'applique que lorsque vous sélectionnez Application utilisateur (héritée).
Permet d'indiquer si vous voulez utiliser le système de gestion des mots de passe intégré à l'application utilisateur ou un système externe.
Interne : permet d'utiliser la fonction de gestion des mots de passe interne par défaut, /jsps/pwdmgt/ForgotPassword.jsp (sans le protocole http(s) au début). Cela redirige l'utilisateur vers la fonction Mot de passe oublié intégrée à l'application utilisateur, plutôt que vers un WAR externe.
Externe : permet d'utiliser un fichier WAR de mot de passe oublié externe pour rappeler l'application utilisateur par le biais d'un service Web. Vous devez également définir les paramètres pour le système externe.
Ne s'applique que si vous souhaitez utiliser un système de gestion des mots de passe externe.
Permet d'indiquer l'URL pointant vers la page de la fonction Mot de passe oublié. Indiquez un fichier ForgotPassword.jsp dans un fichier WAR de gestion des mots de passe externe ou interne.
Ne s'applique que si vous souhaitez utiliser un système de gestion des mots de passe externe.
Permet de définir le paramètre Lien Retour mot de passe oublié sur lequel l'utilisateur peut cliquer après une opération de type Mot de passe oublié.
Ne s'applique que si vous souhaitez utiliser un système de gestion des mots de passe externe.
Représente l'URL que le fichier WAR externe de mot de passe oublié utilise pour revenir à l'application utilisateur en vue d'exécuter les fonctions de base de mot de passe oublié. utilisez le format suivant :
https://<idmhost>:<sslport>/<idm>/ pwdmgt/service
Cette liste de menus s'applique uniquement lorsque vous sélectionnez Self Service Password Reset (SSPR).
Spécifie les liens que vous souhaitez afficher sur la page de connexion du tableau de bord Identity Applications. La sélection par défaut Connexion impossible ? affiche un lien commun pour réinitialiser le nom d'utilisateur ou le mot de passe, ou pour enregistrer l'autorisation d'accès sur la page de connexion. Si vous sélectionnez Aucun, l'utilisateur ne sera pas autorisé à réinitialiser le mot de passe lui-même.
Lorsque vous sélectionnez Autres liens
, les options suivantes sont disponibles :
Mot de passe oublié : fournit un lien sur lequel un utilisateur existant peut cliquer pour réinitialiser son mot de passe en cas d'oubli.
Nom d'utilisateur oublié : fournit un lien sur lequel un utilisateur existant peut cliquer pour réinitialiser son nom d'utilisateur et son mot de passe en cas d'oubli.
Activer le compte : fournit un lien sur lequel l'utilisateur peut cliquer pour créer un nouveau compte utilisateur afin d'avoir accès à Identity Applications.
Cette section définit les valeurs qui permettent à Identity Manager de communiquer avec Sentinel pour l'audit des événements.
Permet de spécifier un certificat de clé publique que vous souhaitez que le serveur OSP utilise pour authentifier les messages d'audit envoyés au système d'audit.
Pour plus d'informations sur la configuration des certificats pour Novell Audit, reportez-vous à la section Managing Certificates (Gestion des certificats) du manuel Novell Audit Administration Guide (Guide d'administration de Novell Audit).
Indique le chemin d'accès au fichier de clé privée personnalisé utilisable par le serveur OSP pour authentifier les messages d'audit envoyés au système d'audit.
Lors de la configuration d'Identity Applications, cet onglet permet de définir les valeurs pour la gestion d'un accès Single Sign-On aux applications.
Par défaut, l'onglet affiche les options de base. Pour afficher tous les paramètres, cliquez sur Afficher les options avancées. En outre, cet onglet comporte les groupes de paramètres suivants :
Cette section décrit les valeurs d'URL dont les utilisateurs ont besoin pour accéder au tableau de bord Identity Manager, lequel constitue le principal emplacement de connexion pour Identity Applications.
Requis
Spécifie le nom servant à identifier le client SSO pour le tableau de bord auprès du serveur d'authentification. La valeur par défaut est idmdash.
Requis
Spécifie le mot de passe du client SSO pour le tableau de bord.
Requis
Indique l'URL absolue vers laquelle le serveur d'authentification redirige un client de navigateur une fois l'authentification terminée.
Utilisez le format suivant : protocol//serveur:port/chemin. Par exemple : https://192.168.0.1:8543/idmdash/oauth.html.
Cette section définit les valeurs pour l'URL dont les utilisateurs ont besoin pour accéder à la page de l'administrateur d'Identity Manager.
Requis
Permet d'indiquer le nom servant à identifier le client Single Sign-on pour l'administrateur Identity Manager auprès du serveur d'authentification. La valeur par défaut est idmadmin.
Requis
Permet d'indiquer le mot de passe du client Single Sign-on pour l'administrateur Identity Manager.
Requis
Indique l'URL absolue vers laquelle le serveur d'authentification redirige un client de navigateur une fois l'authentification terminée.
Utilisez le format suivant : protocol//serveur:port/chemin. Par exemple : https://192.168.0.1:8543/idmadmin/oauth.html.
Cette section définit les valeurs pour l'URL dont les utilisateurs ont besoin pour accéder à l'application utilisateur.
Requis
Permet d'indiquer le nom servant à identifier le client SSO pour l'application utilisateur auprès du serveur d'authentification. La valeur par défaut est rbpm.
Requis
Permet d'indiquer le mot de passe du client SSO pour l'application utilisateur.
Requis
Spécifie l'URL relative permettant d'accéder au tableau de bord à partir de l'application utilisateur. La valeur par défaut est /landing.
Requis
Indique l'URL absolue vers laquelle le serveur d'authentification redirige un client de navigateur une fois l'authentification terminée.
Utilisez le format suivant : protocol//serveur:port/chemin. Par exemple : https://192.168.0.1:8543/IDMProv/oauth.
Requis
Indique le RBPM pour les paramètres SAML eDirectory requis pour l'authentification SSO.
Cette section définit les valeurs pour l'URL dont les utilisateurs ont besoin pour accéder à Identity Reporting. L'utilitaire n'affiche ces valeurs que si vous ajoutez Identity Reporting à votre solution Identity Manager.
Requis
Permet d'indiquer le nom servant à identifier le client SSO pour Identity Reporting auprès du serveur d'authentification. La valeur par défaut est rpt.
Requis
Spécifie le mot de passe du client Single Sign-On pour Identity Reporting.
Requis
Spécifie l'URL relative permettant d'accéder au tableau de bord à partir d'Identity Reporting. La valeur par défaut est /idmdash/#/landing.
Si vous avez installé Identity Reporting et Identity Applications sur des serveurs distincts, indiquez une URL absolue. Utilisez le format suivant : protocol//serveur:port/chemin. Par exemple : https://192.168.0.1:8543/IDMRPT/oauth.
Requis
Indique l'URL absolue vers laquelle le serveur d'authentification redirige un client de navigateur une fois l'authentification terminée.
Utilisez le format suivant : protocol//serveur:port/chemin. Par exemple : https://192.168.0.1:8543/IDMRPT/oauth.
Cette section définit les valeurs pour l'URL dont les utilisateurs ont besoin pour accéder au service de collecte de données d'Identity Manager.
Requis
Permet d'indiquer le nom que vous souhaitez utiliser pour identifier le client Single Sign-on pour le service de collecte de données d'Identity Manager auprès du serveur d'authentification. La valeur par défaut est idmdcs.
Requis
Permet d'indiquer le mot de passe du client Single Sign-on pour le service de collecte de données d'Identity Manager.
Requis
Indique l'URL absolue vers laquelle le serveur d'authentification redirige un client de navigateur une fois l'authentification terminée.
Utilisez le format suivant : protocol//serveur:port/chemin. Par exemple : https://192.168.0.1:8543/idmdcs/oauth.html.
Cette section définit les valeurs pour la gestion du pilote de services de collecte de données.
Figure 4-1
Permet d'indiquer le nom servant à identifier le client SSO pour le pilote du service de collecte de données auprès du serveur d'authentification. La valeur par défaut de ce paramètre est dcsdrv.
Permet d'indiquer le mot de passe du client SSO pour le pilote du service de collecte de données.
Cette section définit les valeurs pour l'URL dont les utilisateurs ont besoin pour accéder à SSPR.
Requis
Permet d'indiquer le nom servant à identifier le client SSO pour SSPR auprès du serveur d'authentification. La valeur par défaut est sspr.
Requis
Spécifie le mot de passe du client SSO pour SSPR.
Requis
Indique l'URL absolue vers laquelle le serveur d'authentification redirige un client de navigateur une fois l'authentification terminée.
Utilisez le format suivant : protocol//serveur:port/chemin. Par exemple : https://192.168.0.1:8543/sspr/public/oauth.html.
Cette section définit les valeurs pour gérer les paramètres de l'audit CEF.
Indique si vous souhaitez utiliser CEF pour auditer les événements dans Identity Applications.
Spécifie le nom DNS ou l'adresse IP du serveur d'audit.
Indique le port du serveur d'audit.
Indique le protocole réseau utilisé par le serveur d'audit pour recevoir les événements CEF.
S'applique uniquement lorsque vous souhaitez utiliser TCP comme protocole réseau.
Indique si le serveur d'audit est configuré pour utiliser TLS avec TCP.
Indique l'emplacement du répertoire du cache, avant que les événements CEF soient envoyés au serveur d'audit.
REMARQUE :assurez-vous que les autorisations novlua sont définies pour le répertoire de banque d'événements intermédiaire. Dans le cas contraire, vous ne pourrez pas accéder aux applications IDMDash et IDMProv. En outre, aucun des événements OSP ne sera consigné dans le répertoire de banque d'événements intermédiaire. Par exemple, vous pouvez modifier l'autorisation et la propriété du répertoire à l'aide de la commande chown novlua:novlua <chemin_répertoire>, dans laquelle <chemin_répertoire> désigne le chemin de banque d'événements intermédiaire.
Les composants Identity Applications intègrent plusieurs API REST qui activent différentes fonctionnalités dans Identity Applications. Les services REST utilisent le protocole OAUTH2 pour fournir une authentification. Vous pouvez appeler ces API à l'aide d'un navigateur ou d'une commande curl dans des scripts pour automatiser les tâches administratives. Les API REST et la documentation correspondante sont disponibles dans le fichier idmappsdoc.war. Le fichier WAR est automatiquement déployé lors de l'installation d'Identity Applications. Pour plus d'informations, consultez la documentation des API REST.
Pour accéder à la documentation des API REST sur le serveur qui héberge Identity Applications, spécifiez https://<nom du serveur Identity Applications>:<Port>/idmappsdoc dans la barre d'adresse de votre navigateur. Par exemple : https://192.168.0.1:8543/idmappsdoc.
Vous pouvez vous connecter à la base de données Oracle à l'aide de l'ID système (SID) Oracle ou du nom du service Oracle. Le programme d'installation d'Identity Applications accepte uniquement le SID. Si vous souhaitez accéder à la base de données à l'aide d'un nom de service, effectuez l'installation d'Identity Applications sur une instance de base de données unique en vous connectant via le SID. Une fois l'installation terminée, effectuez les opérations suivantes :
Créez un nom de service dans la base de données Oracle en exécutant la commande suivante :
alter system set service_names='SERVICE1' scope=both sid='*';
où SERVICE 1 est le nom du service Oracle.
REMARQUE :vous pouvez spécifier le nom du service en majuscules ou en minuscules. La recherche ne respecte la casse.
Définissez le nom du service dans le fichier server.xml de Tomcat en modifiant les détails de la source de données Oracle dans le fichier :
url="jdbc:oracle:thin:@IP:PORT/service1"
Relancez Tomcat.
Vérifiez que le nom du service est inclus dans le fichier journal catalina.out.
Vérifiez qu'Identity Applications est correctement connecté à la base de données.
Lorsque vous installez Identity Applications, vous pouvez repousser la connexion à la base de données ou créer des tables dans la base de données. Si vous ne disposez pas d'autorisations pour la base de données, vous pouvez être amené à sélectionner cette option. Le programme d'installation crée un fichier SQL que vous pouvez utiliser pour créer le schéma de base de données. Une fois l'installation terminée, vous avez également la possibilité de recréer les tables de la base de données sans toutefois devoir réinstaller. Pour ce faire, supprimez la base de données d'Identity Applications et créez-en une nouvelle portant le même nom.
Cette section présume que le programme d'installation a créé un fichier SQL que vous pouvez exécuter pour créer le schéma de base de données. Si vous ne disposez pas du fichier SQL, reportez-vous à la section Création manuelle du fichier SQL pour générer le schéma de base de données.
REMARQUE :n'utilisez pas SQL*Plus pour exécuter le fichier SQL. La longueur des lignes du fichier dépasse 4 000 caractères.
Arrêtez le serveur d'applications.
Connectez-vous au serveur de base de données.
Supprimez la base de données utilisée par Identity Applications.
Créez une nouvelle base de données portant le même nom que celle supprimée à l'Étape 3.
Accédez au script SQL créé par la procédure d'installation, situé par défaut dans le répertoire/chemin_installation/userapp/sql.
(Conditionnel) Pour une base de données Oracle, insérez une barre oblique (/) après la définition de la fonction CONCAT_BLOB. Exemple :
-- Changeset icfg-data-load.xml::700::IDMRBPM CREATE OR REPLACE FUNCTION CONCAT_BLOB(A IN BLOB, B IN BLOB) RETURN BLOB AS C BLOB; BEGIN DBMS_LOB.CREATETEMPORARY(C, TRUE); DBMS_LOB.APPEND(C, A); DBMS_LOB.APPEND(C, B); RETURN c; END; /
Faites en sorte que l'administrateur de la base de données exécute le script SQL pour créer et configurer la base de données de l'application utilisateur.
Relancez Tomcat.
Vous pouvez recréer les tables de base de données après l'installation, sans qu'il soit nécessaire de réinstaller et sans avoir le fichier SQL. Cette section vous aide à créer le schéma de base de données dans le cas où vous n'avez pas le fichier SQL.
Arrêtez Tomcat.
Connectez-vous au serveur qui héberge votre base de données d'Identity Applications.
Supprimez la base de données existante.
Créez une nouvelle base de données portant le même nom que celle que vous avez supprimée à l'Étape 3.
Dans un éditeur de texte, ouvrez le fichier NetIQ-Custom-Install.log. Il est situé par défaut à la racine du répertoire d'installation d'Identity Applications. Exemple :
C:\NetIQ\idm\apps\UserApplication
Recherchez et copiez la commande ci-dessous à partir du fichier NetIQ-Custom-Install.log.
C:\NetIQ\idm\jre\bin\java -Xms256m -Xmx256m -Dwar.context.name=IDMProv -Ddriver.dn="cn=User Application Driver,cn=driverset1,o=system" - Duser.container="o=data" -jar C:\NetIQ\idm\jre\liquibase.jar -- databaseClass=liquibase.database.core.PostgresDatabase -- driver=org.postgresql.Driver -- classpath=C:\NetIQ\idm\apps\postgresql\postgresql-9.4.1212jdbc42.jar C:\NetIQ\idm\apps\UserApplication\IDMProv.war -- changeLogFile=DatabaseChangeLog.xml --url="jdbc:postgresql://localhost:5432/ idmuserappdb" --contexts="prov,newdb" --logLevel=info -- logFile=C:\NetIQ\idm\apps\UserApplication\db.out --username=******** -- password=******** update
Connectez-vous au serveur sur lequel vous avez installé la base de données d'Identity Applications.
Dans un terminal, collez la chaîne de commande que vous avez copiée.
REMARQUE :la commande doit être updateSQL. Si seule la mention update est indiquée, remplacez la commande par updateSQL.
Dans la commande, remplacez les astérisques (*) qui représentent le nom d'utilisateur et mot de passe d'accès à la base de données par les valeurs réelles requises pour l'authentification. En outre, vérifiez que le nom du fichier SQL n'est pas déjà utilisé.
Exécutez la commande.
(Facultatif) Si le processus génère un fichier SQL au lieu d'alimenter la base de données, indiquez à votre administrateur de base de données le fichier à importer sur le serveur de la base de données. Pour plus d'informations, reportez-vous à la section Utilisation du fichier SQL pour générer le schéma de base de données.
Une fois que l'administrateur de la base de données a importé le fichier SQL, démarrez Tomcat.
Le processus d'installation installe un service d'authentification (OSP) pour un accès Single Sign-on à Identity Manager. Toutefois, vous pouvez également configurer le serveur d'authentification OSP pour qu'il accepte l'authentification du serveur des tickets Kerberos ou de SAML. Pour configurer les paramètres Single Sign-on pour Identity Applications après l'installation, reportez-vous à la section Configuring Single Sign-on Access in Identity Manager (Configuration de l'accès Single Sign-on dans Identity Manager) du manuel NetIQ Identity Manager - Administrator's Guide to the Identity Applications (NetIQ Identity Manager - Guide de l'administrateur d'Identity Applications).
Veillez à redémarrer les services Tomcat et ActiveMQ après avoir configuré Identity Applications.
systemctl restart netiq-tomcat
systemctl restart netiq-activemq
Les considérations suivantes s'appliquent à la configuration et à l'utilisation initiale d'Identity Applications.
Au cours de l'installation, le programme d'installation écrit des fichiers journaux dans le répertoire d'installation. Ces fichiers contiennent des informations relatives à votre configuration. Une fois que vous avez configuré votre environnement Identity Applications, envisagez de supprimer ces fichiers journaux ou de les stocker à un emplacement sécurisé. Au cours de l'installation, vous avez la possibilité d'écrire le schéma de base de données dans un fichier. Étant donné que ce fichier contient des informations descriptives sur votre base de données, il est conseillé de le déplacer vers un emplacement sécurisé une fois la procédure d'installation terminée.
(Conditionnel) Pour auditer Identity Applications, Identity Reporting et un service d'audit doivent être installés dans votre environnement et configurés pour capturer les événements. Vous devez également configurer Identity Applications à des fins d'audit.
Pour que les utilisateurs puissent accéder à Identity Applications, vous devez effectuer les opérations suivantes :
Assurez-vous que tous les pilotes Identity Manager nécessaires sont installés.
Activez les cookies dans tous les navigateurs. Les applications ne fonctionnent pas si les cookies sont désactivés.
Si vous avez installé Identity Applications et SSPR sur des serveurs différents, vous devez importer le certificat approuvé de SSPR avec le CN défini sur Identity Applications dans le fichier cacerts du serveur Identity Applications.