Le programme d'installation d'Identity Manager comprend une fonction de réinitialisation des mots de passe en self-service pour vous aider à gérer le processus de réinitialisation des mots de passe oubliés. Sinon, vous pouvez utiliser un système de gestion des mots de passe externe.
Dans la plupart des cas, vous pouvez activer la gestion de mot de passe oublié lorsque vous installez SSPR et les applications d'identité. Toutefois, vous n'avez peut-être pas spécifié l'URL de la page de renvoi pour les applications d'identité vers laquelle SSPR renvoie les utilisateurs après une modification de mot de passe. Vous devrez peut-être également activer la gestion de mot de passe oublié. Cette section contient les informations suivantes :
Cette section fournit des informations sur la configuration d'Identity Manager pour l'utilisation de SSPR.
Connectez-vous au serveur sur lequel vous avez installé les applications d'identité.
Exécutez l'utilitaire de configuration de RBPM. Pour plus d'informations, reportez-vous à la Section 36.1, Exécution de l'utilitaire de configuration des applications d'identité.
Dans l'utilitaire, accédez à Authentification > Gestion des mots de passe.
Pour Fournisseur de gestion des mots de passe, indiquez SSPR.
Sélectionnez Mot de passe oublié.
Accédez à Clients SSO > Réinitialisation de mot de passe en self-service.
Pour l'ID du client OSP, spécifiez le nom à utiliser pour identifier le client Single Sign-On pour SSPR vis-à-vis du serveur d'authentification. La valeur par défaut est sspr.
Pour le secret du client OSP, indiquez le mot de passe pour le client Single Sign-On pour SSPR.
Pour l'URL de redirection OSP, spécifiez l'URL absolue vers laquelle le serveur d'authentification redirige un client de navigateur une fois l'authentification effectuée.
Utilisez le format suivant : protocol//serveur:port/chemin. Exemple : http://123.45.678:8180/sspr/public/oauth.
Enregistrez les modifications, puis fermez l'utilitaire.
Cette section fournit des informations sur la configuration de SSPR afin que cet utilitaire fonctionne avec Identity Manager. Par exemple, vous pouvez modifier les stratégies de mot de passe et de questions de vérification d'identité.
Lorsque vous avez installé SSPR avec Identity Manager, vous avez spécifié un mot de passe qu'un administrateur peut utiliser pour configurer l'application. NetIQ vous recommande de modifier les paramètres de SSPR, puis de spécifier le compte d'administrateur ou le groupe en mesure de configurer SSPR. Pour plus d'informations sur la configuration du mot de passe, reportez-vous au Section 28.0, Installation des modules Single Sign-On et Gestion des mots de passe pour Identity Manager.
Connectez-vous à SSPR à l'aide du mot de passe de configuration que vous avez spécifié au cours de l'installation.
Sur la page Paramètres, modifiez les paramètres de la stratégie de mot de passe et de questions de vérification d'identité. Pour plus d'informations sur la configuration des valeurs par défaut des paramètres SSPR, reportez-vous à la section Configuring Self Service Password Reset (Configuration de la réinitialisation de mot de passe en self-service) du manuel NetIQ Self Service Password Reset Administration Guide (Guide d'administration de NetIQ SSPR).
Verrouillez le fichier de configuration de SSPR (SSPRConfiguartion.xml). Pour plus d'informations sur le verrouillage du fichier de configuration, reportez-vous à la section Verrouillage de la configuration de SSPR.
(Facultatif) Pour modifier les paramètres de SSPR après avoir verrouillé la configuration, vous devez définir le paramètre configIsEditable sur vrai dans le fichier SSPRConfiguartion.xml.
Déconnectez-vous de SSPR.
Pour que les modifications prennent effet, redémarrez Tomcat.
Accédez à http://<IP/nom DNS>:<port>/sspr. Ce lien vous permet d'accéder au portail SSPR.
Connectez-vous à Identity Manager avec un compte d'administrateur ou connectez-vous avec vos références de connexion existantes.
Cliquez sur Gestionnaire de configuration en haut de la page et entrez le mot de passe de configuration spécifié au cours de l'installation.
Cliquez sur Éditeur de configuration et accédez à Paramètres > Paramètres LDAP.
Verrouillez le fichier de configuration de SSPR (SSPRConfiguartion.xml).
Dans la section relative aux autorisations d'administrateur, définissez un filtre au format LDAP pour un utilisateur ou un groupe qui dispose de droits d'administrateur pour SSPR dans le coffre-fort d'identité. Par défaut, le filtre est défini sur groupMembership=cn=Admins,ou=Groups,o=example.
Par exemple, réglez-le sur uaadmin (cn=uaadmin) pour l'administrateur de l'application utilisateur.
Cela empêche les utilisateurs de modifier la configuration de SSPR, à l'exception de l'administrateur SSPR qui dispose de droits d'accès complets pour modifier les paramètres.
Pour garantir que la requête LDAP renvoie des résultats, cliquez sur View Matches (Afficher les correspondances).
Si le paramètre présente une erreur, vous ne pouvez pas passer à l'option de configuration suivante. SSPR affiche les détails de l'erreur afin de vous aider à résoudre le problème.
Cliquez sur Enregistrer.
Dans la fenêtre de confirmation qui s'affiche, cliquez sur OK.
Lorsque SSPR est verrouillé, l'administrateur peut afficher d'autres options dans l'interface utilisateur d'administration, telles que le tableau de bord, l'activité de l'utilisateur, l'analyse des données, etc., qui n'étaient pas disponibles avant le verrouillage de SSPR.
(Facultatif) Pour modifier les paramètres de SSPR après avoir verrouillé la configuration, vous devez définir le paramètre configIsEditable sur vrai dans le fichier SSPRConfiguartion.xml.
Déconnectez-vous de SSPR.
Reconnectez-vous ensuite à SSPR avec les références d'administrateur définies à l'Étape 3.
Cliquez sur Close Configuration (Fermer la configuration), puis sur OK pour confirmer les modifications.
Pour que les modifications prennent effet, redémarrez Tomcat.
Au lieu de SSPR, vous pouvez utiliser le fournisseur hérité d'Identity Manager pour la gestion des mots de passe oubliés. Si vous choisissez ce fournisseur, vous n'avez pas besoin d'installer SSPR. Toutefois, vous devez réassigner les autorisations des utilisateurs pour accéder aux pages partagées pour la gestion des mots de passe. Cette section présente la procédure nécessaire pour effectuer ces opérations :
Pour plus d'informations sur le fournisseur hérité, reportez-vous à la Section 4.4.2, Présentation du fournisseur hérité pour la gestion des mots de passe. Pour plus d'informations à propos des pages partagées et des autorisations, reportez-vous à la section Page Administration
(Administration des pages) du manuel NetIQ Identity Manager User Application: Administration Guide (Guide d'administration de l'application utilisateur de NetIQ Identity Manager).
Connectez-vous au serveur sur lequel vous avez installé les applications d'identité.
Exécutez l'utilitaire de configuration de RBPM. Pour plus d'informations, reportez-vous à la Section 36.1, Exécution de l'utilitaire de configuration des applications d'identité.
Dans l'utilitaire, accédez à Authentification > Gestion des mots de passe.
Pour Fournisseur de gestion des mots de passe, spécifiez Application utilisateur (héritée).
Pour Mot de passe oublié, spécifiez Interne.
Accédez à Clients SSO > Réinitialisation de mot de passe en self-service.
Pour l'URL de redirection OSP, spécifiez l'URL absolue vers laquelle le serveur d'authentification redirige un client de navigateur une fois l'authentification effectuée.
Utilisez le format suivant : protocol//serveur:port/chemin. Exemple : http://123.45.678:8180/landing.
Enregistrez les modifications, puis fermez l'utilitaire.
Les paramètres pour les applications d'identité sont définis par défaut sur SSPR au cours de l'installation. Vous devez assigner ou réassigner les autorisations concernant les utilisateurs, les groupes ou les conteneurs auxquels vous souhaitez accorder l'accès aux pages partagées de gestion des mots de passe oubliés. Lorsque vous assignez à des utilisateurs l'autorisation Afficher pour une page de conteneur ou une page partagée, les utilisateurs peuvent accéder à cette page et la visualiser dans une liste de pages disponibles.
Vérifiez qu'Identity Manager utilise le fournisseur hérité. Pour plus d'informations, reportez-vous à la section Configuration du fournisseur hérité de gestion des mots de passe oubliés.
Connectez-vous à l'application utilisateur en tant qu'administrateur. Par exemple, connectez-vous en tant que uaadmin.
Accédez à Administration > Admin. des pages.
Dans le volet Pages partagées, accédez à Gestion des mots de passe.
Sélectionnez la page pour laquelle vous souhaitez définir des autorisations. Par exemple, Modifier le mot de passe ou Réponse de vérification d'identité de mot de passe.
Dans le volet de droite, cliquez sur Assigner des autorisations.
Dans Afficher, sélectionnez les utilisateurs, les groupes ou les conteneurs à assigner à la page.
(Facultatif) Pour que seul un administrateur de l'application puisse accéder à la page spécifiée, sélectionnez Autorisation d'affichage accordée à l'administrateur uniquement.
Cliquez sur Enregistrer.
Répétez la procédure de l'Étape 5 à l'Étape 9 pour chaque page à configurer.
Revenez à la page d'accueil d'Identity Manager.
Cliquez sur Éditer.
Sur la page Modifier les éléments d'accueil, remplacez le lien vers la page SSPR par le lien vers la gestion des mots de passe de l'application utilisateur.
Pour plus d'informations, reportez-vous à la Section 35.6.4, Mise à jour des liens SSPR sur la page d'accueil d'un environnement distribué ou en grappe.
Déconnectez-vous, puis redémarrez le serveur d'applications.
Pour utiliser un système externe, vous devez spécifier l'emplacement d'un fichier WAR contenant la fonction de mot de passe oublié. Ce processus comprend les opérations suivantes :
Si vous ne spécifiez pas cette valeur lors de l'installation et que vous souhaitez modifier les paramètres, vous pouvez utiliser l'utilitaire de configuration de RBPM ou apporter les modifications dans l'application utilisateur en tant qu'administrateur.
(Facultatif) Pour modifier les paramètres de l'utilitaire de configuration de RBPM, procédez comme suit :
Connectez-vous au serveur sur lequel vous avez installé les applications d'identité.
Exécutez l'utilitaire de configuration de RBPM. Pour plus d'informations, reportez-vous à la Section 36.1, Exécution de l'utilitaire de configuration des applications d'identité.
Dans l'utilitaire, accédez à Authentification > Gestion des mots de passe.
Pour Fournisseur de gestion des mots de passe, spécifiez Application utilisateur (héritée).
(Facultatif) Pour modifier les paramètres dans l'application utilisateur, procédez comme suit :
Connectez-vous en tant qu'administrateur de l'application utilisateur.
Accédez à Administration > Configuration de l'application > Config. module mot de passe > Login.
Pour Mot de passe oublié, spécifiez Externe.
Pour Lien Mot de passe oublié, spécifiez le lien affiché lorsque l'utilisateur clique sur Mot de passe oublié sur la page de connexion. Lorsque l'utilisateur clique sur ce lien, l'application dirige l'utilisateur vers le système de gestion des mots de passe externe. Exemple :
http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp
Pour l'option Lien Retour mot de passe oublié, indiquez le lien qui s'affiche lorsque l'utilisateur a terminé la procédure de mot de passe oublié. Lorsque l'utilisateur clique sur ce lien, il est redirigé vers le lien spécifié. Exemple :
http://localhost/IDMProv
Pour l'option URL du service Web de mot de passe oublié, indiquez l'URL du service Web utilisée par le fichier WAR externe de mot de passe oublié pour revenir aux applications d'identité. Utilisez le format suivant :
https://idmhost:sslport/idm/pwdmgt/service
Le lien de retour doit utiliser SSL pour assurer une communication sécurisée des services Web avec les applications d'identité. Pour plus d'informations, reportez-vous à la section Configuration de la communication SSL entre serveurs d'applications.
Copiez manuellement ExternalPwd.war dans le répertoire de déploiement du serveur d'applications distant qui exécute la fonction WAR de mots de passe externe.
Si vous disposez d'un fichier WAR de mots de passe externe et souhaitez y accéder pour tester la fonction Mot de passe oublié, vous le trouverez à l'emplacement suivant :
Directement dans un navigateur. Accédez à la page Mot de passe oublié dans le fichier WAR de mots de passe externe. Exemple : http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp.
Sur la page de connexion de l'application utilisateur, cliquez sur le lien Mot de passe oublié.
Si vous utilisez un système de gestion des mots de passe externe, vous devez configurer la communication SSL entre les serveurs d'applications sur lesquels vous déployez les applications d'identité et le fichier WAR externe de gestion des mots de passe oubliés. Reportez-vous à la documentation du serveur d'applications.
Le processus d'installation suppose que vous déployez SSPR sur le même serveur d'applications que les applications d'identité et Identity Reporting. Par défaut, les liens intégrés sur la page d'accueil d'Identity Manager utilisent une URL relative pointant vers SSPR sur le système local. Par exemple, /sspr/private/changepassword. Si vous installez les applications dans un environnement en grappe ou distribué, vous devez mettre à jour les URL des liens SSPR.
Connectez-vous en tant qu'administrateur à l'accueil d'Identity Manager. Par exemple, connectez-vous en tant que uaadmin.
Cliquez sur Éditer.
Sur la page Modifier les éléments d'accueil, pointez sur l'élément que vous souhaitez mettre à jour, puis cliquez sur l'icône d'édition. Par exemple, sélectionnez Modifier mon mot de passe.
Pour Lien, indiquez l'URL absolue. Par exemple, http://123.45.678:8180/sspr/changepassword.
Cliquez sur Enregistrer.
Répétez cette opération pour chaque lien SSPR à mettre à jour.
Une fois l'opération terminée, cliquez sur J'ai terminé.
Déconnectez-vous, puis reconnectez-vous en tant qu'utilisateur normal pour tester les modifications.