Aquera (alimentation RH et approvisionnement)
Introduction
La plateforme Aquera Platform as a Service est un service cloud qui fournit des services de passerelle SCIM polyvalents et des connecteurs prêts à l'emploi pour le provisionnement/déprovisionnement d'utilisateurs, l'onboarding/maîtrise d'utilisateurs d'applications RH, l'agrégation delta de comptes, les opérations de fichiers et l'automatisation de la conformité, la synchronisation de mots de passe, et la validation et rotation de mots de passe de comptes privilégiés.
IBM Security Verify est une plateforme IDaaS née dans le cloud, fournit des capacités complètes de gestion des identités et des accès depuis le cloud. Il s'agit de la plateforme IDaaS de nouvelle génération livrant des cas d'usage de gestion des identités et des accès pour les employés (B2E), les entreprises (B2B) et les consommateurs (CIAM). Tirer parti d'Aquera comme passerelle SCIM avec IBM Security Verify offre une intégration entrante transparente avec les applications RH telles que Workday, Successfactors, BambooHR, Oracle HCM Cloud, SAP HR. De plus, IBM Security Verify fournit un modèle d'application SCIM pour le provisionnement sortant qui permet la connectivité avec Aquera et prend en charge le provisionnement sortant avec les adaptateurs de provisionnement activés par Aquera.
L'intégration est globalement divisée en deux types de cas d'usage :
- Intégration RH entrante
- Provisionnement sortant

Intégration RH entrante
Le pont d'onboarding RH d'Aquera maîtrise les utilisateurs (importe les employés ou clients) depuis toute application de gestion du capital humain, système de suivi des candidatures, ou CRM dans IBM Security Verify. Le pont permet l'onboarding et l'offboarding automatisés, en temps réel, pilotés par les RH des employés ou clients depuis vos applications IT et votre infrastructure.
Quand un employé rejoint une organisation et est créé dans l'application RH, la personne est automatiquement provisionnée dans le Répertoire cloud d'IBM Security Verify par le pont d'onboarding Aquera. De là, la personne peut être davantage auto-provisionnée vers les diverses applications Cloud ou on-premises activées avec l'accès de droit de naissance.
De même, quand une personne est marquée comme partante dans l'application RH, le pont d'onboarding Aquera met automatiquement à jour IBM Security Verify. L'accès de la personne est automatiquement révoqué d'IBM Security Verify et des applications provisionnées respectives.
Consultez les applications RH prêtes à l'emploi prises en charge par Aquera.
Provisionnement sortant
La plateforme IBM Security Verify fournit un ensemble d'adaptateurs prêts à l'emploi pour le provisionnement vers les applications SaaS. Le provisionnement vers les référentiels on-premises comme Active Directory est fourni par un pont de provisionnement d'identité conteneurisé léger. De plus, le modèle d'application personnalisée fournit un client SCIM qui permet à toute application activée SCIM d'être intégrée pour le provisionnement sortant. Ce même client SCIM qui peut être configuré avec la passerelle de provisionnement de comptes d'Aquera pour s'intégrer avec les adaptateurs de provisionnement sortant pris en charge par Aquera.
La passerelle de provisionnement de comptes Aquera traduit les requêtes SCIM de la plateforme de gestion des identités en appels d'API basés sur REST, appels d'API basés sur SOAP/webservice, commandes SQL, opérations LDAP, automatisations robotiques, appels de bibliothèque SDK et messages de file d'attente à travers toute votre infrastructure IT couvrant tous les endroits où vos utilisateurs ont des comptes.
Consultez la passerelle de provisionnement de comptes fournie par Aquera.
Prérequis
Création du domaine Aquera
Assurez-vous d'avoir créé un compte Aquera et d'avoir un accès administratif pour celui-ci. Si vous n'avez pas de compte Aquera, vous devrez contacter le support Aquera via https://www.aquera.com/.
Une fois que vous avez le compte Aquera, il peut être accessible en utilisant : https://<votre_domaine>.aquera.io
Obtenir un compte IBM Security Verify
Assurez-vous d'avoir créé un tenant IBM Security Verify.
Synchronisation des données d'employés vers Verify depuis les applications RH via Aquera
La plateforme d'intégration d'identité Aquera as a Service comble les lacunes de connectivité pour les flux de travail de gouvernance des identités et de gestion du cycle de vie en temps réel. La plateforme offre des services de passerelle SCIM pour le provisionnement et l'agrégation de comptes. Aquera fournit une connectivité prête à l'emploi depuis toute application RH vers IBM Security Verify.
Aquera agira comme un pont entre IBM Security Verify et les applications RH. Suivez les étapes ci-dessous pour orchestrer la synchronisation des données d'employés à travers IBM Security Verify et l'application RH.
Onboarding d'IBM Security Verify avec Aquera
Étapes
- Connectez-vous à votre compte Aquera en utilisant : https://<votre_domaine>.aquera.io.
- Cliquez sur "Applications"
- Cliquez sur "Add Application"

- Recherchez "Verify" dans le catalogue
- Cliquez sur l'icône "IBM Security Verify"

- Fournissez les détails pour :
- Display Name : Tout nom de votre choix
- Tenant : Nom de domaine pleinement qualifié du tenant Verify
- Username : Client ID du client API
- Password : Client secret du client API

- Cliquez sur "Save Changes"
- Cliquez sur l'onglet Data.
Si les détails de configuration sont corrects, les enregistrements d'utilisateurs seront récupérés depuis le tenant IBM Security Verify.

Configuration d'une intégration RH entrante
Il existe de nombreuses solutions HRMS populaires disponibles sur le marché aujourd'hui telles que SuccessFactors, Workday, BambooHR etc. Il est essentiel de pouvoir synchroniser les données d'employés des fournisseurs HRMS avec IBM Security Verify. Ceci peut être facilement fait en utilisant le pont d'onboarding RH Aquera.
Cette section décrit les étapes détaillées requises pour configurer BambooHR comme application HRMS source qui alimente les données d'employés à IBM Security Verify.
Synchronisation des données d'employés BambooHR avec Verify via Aquera
- Connectez-vous à votre compte Aquera en utilisant : https://<votre_domaine>.aquera.io.
- Cliquez sur "Applications"
- Cliquez sur "Add Application"
- Recherchez "BambooHR" dans le catalogue
- Cliquez sur l'icône "BambooHR"

- Fournissez les détails pour Name, Description, Tenant et Token. Vous devrez obtenir le Token depuis le portail BambooHR. Pour les étapes détaillées, référez-vous à la documentation Aquera pour BambooHR à : https://support.aquera.com/hc/en-us/articles/360020300534-BambooHR-Configuration-Guide.

- Sauvegardez les changements
- Cliquez sur l'onglet Data.
Si les détails Token et Tenant sont corrects, les détails des employés seront récupérés depuis BambooHR.

- Validez l'importation réussie des employés dans le tenant Aquera
Configurer une orchestration Aquera avec Verify
Pour orchestrer la synchronisation des employés, suivez les étapes ci-dessous :
- Connectez-vous à votre compte Aquera en utilisant : https://<votre_domaine>.aquera.io.
- Cliquez sur "Orchestration"
- Cliquez sur "Create Orchestration"

- Sur l'onglet "Configuration" fournissez les "Basic Details" tels que :
- Name
- Orchestrations Type : ScimToScim
- Source Application : application BambooHR créée ci-dessus
- Target Application : application IBM Security Verify créée ci-dessus
- Décochez la case "Report only"
- Update limit : Unlimited
- Match expression : SOURCE[ENT].employeeNumber == DEST[ENT].employeeNumber
- Import limit : Unlimited
- Assurez-vous d'activer la "Group management" afin de définir les "Group Rules"

- Sauvegardez les changements
- Sur l'onglet "Attribute Map" validez le mappage d'attributs de Source vers Target. Mettez à jour le mappage selon les besoins.

Mappage d'attributs
Assurez-vous de mapper l'attribut approprié pour "emails[work].value" afin que l'utilisateur nouvellement importé puisse recevoir un e-mail avec son mot de passe initial.

- Sauvegardez les changements
- Gardez les onglets "Tables" et "Group Rules" par défaut
- Sur l'onglet "Schedule", définissez le planning pour l'orchestration selon les besoins
- Sauvegardez les changements
Exécuter l'orchestration
Pour initier l'orchestration Aquera avec IBM Security Verify :
- Connectez-vous à votre compte Aquera en utilisant : https://<votre_domaine>.aquera.io.
- Cliquez sur "Orchestration"
- Cliquez sur l'action "Execute" contre l'orchestration nouvellement créée

- Surveillez le progrès de la synchronisation en naviguant vers l'onglet Logs > Orchestration
- Cliquez sur la ligne pour voir les détails des logs

- Validez les détails de l'enregistrement d'employé créé / mis à jour / supprimé dans les logs
Valider l'importation d'employés dans Verify
- Connectez-vous à Security Verify en tant qu'administrateur
- Accédez à la console d'administration
- Naviguez vers Users and Groups
- Validez que les utilisateurs ont été importés dans Verify
- Vérifiez également que chaque utilisateur nouvellement créé reçoit l'e-mail contenant le mot de passe pour la connexion Verify

E-mail de mot de passe
Note : Le nouvel utilisateur recevra l'e-mail de mot de passe seulement si l'utilisateur a une adresse e-mail valide renseignée pendant la synchronisation d'utilisateur.
Cycle de vie des comptes d'utilisateurs sortants
IBM Verify prend en charge le provisionnement prêt à l'emploi pour de nombreuses applications telles qu'Active Directory, Salesforce etc. Cependant, certaines applications peuvent ne pas avoir de support de cycle de vie de compte prêt à l'emploi utilisant Verify. Aquera peut combler le gap du cycle de vie des comptes.
La passerelle de provisionnement de comptes d'Aquera traduit les requêtes SCIM d'IBM Security Verify en appels d'API basés sur REST, appels d'API basés sur SOAP/webservice, commandes SQL, opérations LDAP, automatisations robotiques, appels de bibliothèque SDK et messages de file d'attente à travers l'infrastructure IT couvrant tous les endroits où les utilisateurs ont des comptes.
La passerelle crée, met à jour, supprime ou désactive les comptes depuis toute application, base de données, répertoire, ou périphérique. De plus, la passerelle synchronise les mots de passe dans vos applications qui utilisent l'authentification web sécurisée (SWA) ou dans vos applications client épaisses.
Pour démontrer la capacité, ci-dessous sont les étapes détaillées pour la gestion du cycle de vie des comptes MySQL.
Installer et configurer le serveur MySQL
Installez le serveur MySQL sur votre système on-premises qui est derrière le pare-feu. Il est recommandé de créer un utilisateur admin qui a les privilèges pour administrer le serveur MySQL. Pour cette démonstration, un utilisateur "sqladmin" est créé et utilisé ci-après.
Validez que l'utilisateur admin peut se connecter à votre serveur MySQL et gérer les utilisateurs. Les permissions utilisateur peuvent être validées en utilisant une commande telle que :
select * from mysql.user

Installer l'agent Aquera
Connectez-vous au portail Aquera et téléchargez l'agent qui doit être installé sur le serveur MySQL qui est derrière le pare-feu d'entreprise

Note : Pour l'instant, Aquera prend en charge l'installation d'agent seulement pour la plateforme Windows.
Maintenant installez l'"agent Aquera" sur le serveur MySQL en utilisant l'installateur téléchargé à l'étape ci-dessus.
Après l'installation réussie ouvrez les services Windows pour valider que le service "Aquera Agent" fonctionne.

Cycle de vie des comptes d'utilisateurs MySQL utilisant Verify via Aquera
Une fois que les applications requises sont disponibles, il est temps de les connecter ensemble pour gérer les divers comptes d'utilisateurs de MySQL.
Onboarding de l'application MySQL avec Aquera
- Connectez-vous à votre compte Aquera en utilisant l'URL : https://<votre_domaine>.aquera.io.
- Cliquez sur "Applications"
- Cliquez sur "Add Application"
- Recherchez "MySQL" dans le catalogue
- Cliquez sur l'icône "MySQL"

- Fournissez les détails pour Name, Description, Tenant et Token
o Fournissez le nom Tenant comme "proxy" si le serveur MySQL est au-delà du pare-feu
o Fournissez Username et Password sous "Credential To Access mysql"
o Sélectionnez "Connection" comme "Aquera Agent" car le serveur est au-delà du pare-feu
o Fournissez les détails de "Hostname" et "Port"

- Sauvegardez les changements
- Copiez l'URL SCIM depuis la page de configuration de l'application ci-dessus. Cette URL sera requise lors de la configuration de l'application dans IBM Verify
- Cliquez sur "Test Connection"
- Validez que la connexion est réussie

- Cliquez sur l'onglet Data. Si les détails d'intégration sont corrects alors les détails d'utilisateur seront récupérés depuis MySQL.
- Validez l'importation réussie des employés dans le tenant Aquera

Créer une application personnalisée dans Verify
L'étape suivante est de créer une application dans IBM Verify qui sera utilisée pour le cycle de vie des comptes d'utilisateurs MySQL.
- Connectez-vous à IBM Verify en tant qu'administrateur
- Sur la page ISV Applications, cliquez sur le bouton Add application

- Sur la boîte de dialogue Select Application Type, cliquez sur "Custom Application"

- Cliquez sur "Add application"
- Sur l'onglet "General", fournissez "Company name"

- Sur l'onglet "Sign-on" fournissez quelques valeurs factices pour les champs obligatoires. Pour l'instant c'est la solution de contournement pour sauvegarder l'application personnalisée car ces attributs ne sont pas requis pour le cycle de vie des comptes d'utilisateurs.

- Sur l'onglet "Account lifecycle"
o définissez "Provision accounts" et "Deprovision accounts" comme "Automatic"
o Définissez "SCIM base URL" comme l'URL copiée depuis l'application MySQL dans le portail Aquera
o Sélectionnez "Authentication type" comme "Basic Authentication"
o Fournissez "Username" et "Password" de l'admin MySQL

-
Cliquez sur "Test connection" pour valider la connectivité à travers le tenant Aquera
-
Si tous les composants sont capables de communiquer correctement alors le message de succès s'affiche comme :
"The connection test was successful" -
Sauvegardez les changements
-
Faites défiler plus bas et validez les "API attribute mappings" comme
o userName = preferred_username
o name.givenName = given_name
o name.familyName = family_name
o employeeNumber = employee_id
o Email = email
o phoneNumbers = mobile_number -
Optionnellement sélectionnez la case "Keep value updated" contre chaque attribut si la valeur de l'attribut est requise pour être maintenue à jour avec les données source

- Cliquez sur l'onglet "Account sync"
- Cliquez sur "+ Attribute pairs" pour ajouter la règle d'attribut à utiliser pour faire correspondre les utilisateurs de salesforce avec les utilisateurs existants dans ISV. Définissez les règles comme :
o userName = preferred_username

- Cliquez sur le bouton Save
- Cliquez sur l'onglet "Entitlements"
- Sélectionnez "Access Type" comme "Select users and groups, and assign individual accesses"

- Cliquez sur "Add"
- Recherchez le groupe "Sales" dans la popup "Select User/Group"
- Sélectionnez le groupe "Sales" (qui devrait avoir été créé avant)

- Cliquez sur "OK"
- Sauvegardez l'application
Créer un utilisateur avec provisionnement de compte MySQL
- Connectez-vous à votre tenant ISV en tant qu'utilisateur administratif
- Allez à Users & groups
- Cliquez sur le bouton Add user
- Créez un utilisateur. Vous pouvez créer tout utilisateur que vous voulez (tant qu'il n'entre pas en conflit avec les existants). Par exemple :
o Identity Source = Cloud Directory
o User name = podrick@localhost
o Given name = Podrick
o Surname = Payne
o Email = une adresse e-mail réelle valide (telle que l'e-mail lié à l'utilisateur admin pour ce tenant ISV)

- Cliquez sur le bouton Save pour créer l'utilisateur

L'utilisateur est maintenant créé.
Ajouter l'utilisateur au groupe Sales
Notez que nous avons habilité le groupe "Sales" avec "Automatic access" pour l'application MySQL. Maintenant afin de provisionner un nouveau compte MySQL pour l'utilisateur nouvellement créé, nous pouvons faire du nouvel utilisateur un membre du groupe "Sales". Ceci déclenchera le provisionnement automatique pour le compte MySQL.
- Retournez à l'interface admin Security Verify en tant qu'utilisateur admin
- Dans la fonction Users & groups, cliquez sur l'onglet Groups
- Survolez le groupe Sales et cliquez sur l'icône Edit

- Cliquez sur le bouton Add à côté de Group Members
- Recherchez le nom du nouvel utilisateur qui sera listé dans les "Search results". Sélectionnez-le et cliquez sur Select, ceci déplacera l'utilisateur vers "Selected users & groups" :

- Cliquez sur le bouton OK pour les ajouter, puis Save sur la boîte de dialogue Edit Group
Vérifier le nouvel utilisateur dans MySQL
- Ouvrez MySQL workbench avec connexion au serveur MySQL en utilisant le privilège administratif
- Recherchez les utilisateurs disponibles par commande :
select * from mysql.user

- Validez qu'un nouvel utilisateur a été créé dans MySQL
- Également, la tâche de provisionnement d'utilisateur peut être surveillée par l'admin Verify depuis la console Admin
- Naviguez vers l'onglet Governance > Operation results

Nilesh Atal, IBM Security
Updated 21 days ago