HomeUse CasesConceptsConfig GuidesDeveloper GuidesAPI Reference
Content

Application des accès sur site

Suggest Edits

Introduction

La gestion des comptes et des privilèges sur des cibles et des applications inaccessibles dans le Cloud, telles que LDAP, Active Directory ou Oracle DB déployées sur site, est un problème courant.

Pour ce faire, IBM Security Verify utilise Verify Bridge for Provisioning, qui exige que les images des conteneurs soient déployées dans un environnement capable d'accéder aux cibles. Il y a 3 composants impliqués, tous disponibles pour fonctionner dans un environnement Docker ou tout autre environnement d'orchestration de conteneurs, tel que kubernetes :

  • Verify Bridge: Ce composant fait office de proxy pour la cible et communique avec le locataire de Verify à l'aide d'un mécanisme d'interrogation longue. Ainsi, la communication se fait de l'agent vers le locataire et ne nécessite aucun investissement supplémentaire, comme les technologies VPN.
  • Vérifier le courtage d'identité: Ce composant orchestre la récupération et le provisionnement des comptes et des autorisations à grain fin pour la cible.
  • Identity Brokerage DB ( Postgres ): Ce composant conserve l'état du provisionnement pendant le processus, en particulier pendant le processus de réconciliation. Il contient également les profils de configuration de l'adaptateur.

Le courtage d'identité gère certaines cibles (comme Active Directory ) par l'intermédiaire d'agents, mais pour d'autres (comme LDAP ou Oracle ), il utilise des adaptateurs fonctionnant sur IBM Security Directory Integrator.

Il s'agit des mêmes adaptateurs que ceux utilisés par le produit IBM Security Governance (anciennement IBM Security Identity Governance and Intelligence ou IGI). Cela permet aux services, aux partenaires commerciaux et aux clients de réutiliser les adaptateurs personnalisés existants et les aide également à migrer facilement vers la plateforme SaaS.

1238

Configurer l'agent d'identité dans Verify

Les agents d'identité sont un pont qui relie les référentiels d'utilisateurs externes à IBM® Security Verify pour effectuer l'authentification ou le provisionnement. En utilisant l'agent d'identité, l'application native reste sur place, mais IBM® Security Verify peut gérer la même chose à partir d'un locataire basé dans le nuage.

Pour configurer l'agent d'identité, suivez les étapes ci-dessous :

  • Se connecter à IBM® Security Verify en tant qu'administrateur de locataire (Scott)
  • Dans la console d'administration, naviguez vers l'onglet Configuration > Agents d'identité
1916
  • Cliquez sur Créer une configuration d'agent
  • Dans l'assistant de configuration de l'agent, sélectionnez l'objectif Provisionnement et le type de configuration Provisionnement sur site.
1128
  • Cliquez sur Suivant
  • A l'étape des paramètres de connexion, fournissez les détails pour :
    o Hôte et port du courtier d'identité- Il s'agit du nom d'hôte et du port que la passerelle utilisera pour se connecter au courtier. Dans un déploiement standard de docker-compose, ce sera identity-brokerage:8443.
    o Nom d'utilisateur du courtier d'identité- fournir un nom d'utilisateur (vous l'utiliserez lors de la configuration du courtier)
    o Mot de passe du courtier d'identité- fournir un mot de passe (vous l'utiliserez lors de la configuration du courtier)
1222
  • Copiez la commande docker-compose qui sera utilisée pour télécharger les images docker dans les étapes suivantes
  • Cliquez sur Suivant
  • Finaliser la configuration de l'agent en fournissant le nom de l'agent et la description facultative
1028

  • Cliquez sur Créer une configuration d'agent

  • Lorsque l'agent est sauvegardé, le site Détails de la connexion est présenté à l'administrateur, qui dispose d'un bouton permettant d'accéder au fichier Télécharger Docker Compose YAML et aux détails du site commande docker-compose.

1687
  • Cliquez sur Download Docker Compose YAML pour télécharger le fichier YAML pré-rempli.
    • Examinez le fichier YAML téléchargé, qui contiendra des informations détaillées :
  • SCIM_USER- Il s'agit du "nom d'utilisateur du courtier en identité" défini lors de la configuration de l'agent d'identité dans l'ISV
  • SCIM_USER_PASSWORD- Il s'agit du "mot de passe du courtier en identité" défini lors de la configuration de l'agent d'identité dans l'ISV
  • TENANT_URI- URL complète de votre locataire ISV
  • CLIENT_ID- ID du client copié après la configuration de l'agent dans ISV
  • CLIENT_SECRET- Secret du client copié après la configuration de l'agent dans ISV

Installation des composants sur site

Pour gérer les applications sur site telles que LDAP, Active Directory ou Oracle qui résident normalement dans les locaux de l'entreprise, il faut quelques composants qui serviront de pont pour la communication avec IBM Security Verify. Les composants requis sont les suivants :

  1. Conteneurs Docker pour :
    • Base de données PostgreSQL
    • Identity Brokerage
    • Vérifier le pont
  2. Télécharger l'adaptateur IBM Security Identity Adapter for LDAP, Oracle ou Active Directory en fonction de l'application à créer
  3. Créer un profil d'application dans verify

Installation des conteneurs

Afin de déployer des images de conteneurs, un serveur Linux est nécessaire avec la configuration suivante :
Système d'exploitation : Système d'exploitation basé sur Linux prenant en charge les conteneurs basés sur Linux. Voir le guide d'installation Docker
CPU : Quatre cœurs réservés.
Mémoire système : 16 Go réservés.
Espace disque : Au moins 100 Go d'espace libre sur le disque dur
Moteur Docker: 19.03.0 ou supérieur.
Docker Compose: Voir Docker compose install
Connectivité réseau à un locataire IBM® Security Verify avec abonnement Identity Governance.

Copiez sur le serveur Linux le fichier YAML téléchargé après la configuration de l'Identity Agent. Utilisez la commande ci-dessous pour créer les différents conteneurs nécessaires :

docker-compose -f docker-compose.yml up -d

Assurez-vous que les 3 conteneurs démarrent et affichent le statut "running" en utilisant la commande "docker ps -a " :

[root@xxxxxxxx ~]# docker ps -a
CONTAINER ID        IMAGE                              COMMAND                  CREATED STATUS              PORTS                                        NAMES
722165e62ae9        ibmcom/verify-bridge:latest        "/sbin/bootstrap.sh"     4 months ago        Up 4 weeks                                                       verify-bridge
f26aade1cec6        postgres:12-alpine                 "docker-entrypoint..."   5 months ago        Up 4 weeks          0.0.0.0:5432->5432/tcp                       ibdb
1b45372dc651        ibmcom/identity-brokerage:latest   "/sbin/bootstrap.sh"     6 months ago        Up 12 days          9080/tcp, 0.0.0.0:8443->8443/tcp, 9443/tcp   identity-brokerage
[root@xxxxxxxx ~]#

Télécharger le profil de l'adaptateur LDAP (pour gérer IBM Directory Server uniquement)

  • Reportez-vous à la référence de l'adaptateur pour obtenir le numéro de pièce des adaptateurs LDAP.
    • Téléchargez le " IBM Security Verify Adapter for LDAP" à partir de Passport Advantage. Recherche par numéro de pièce en utilisant M0BMYML.
    • Télécharger les fichiers JAR du profil

Télécharger le profil de l'adaptateur Oracle (pour gérer la base de données Oracle uniquement)

  • Reportez-vous à la référence de l'adaptateur pour obtenir le numéro de pièce des adaptateurs Oracle.
    • Téléchargez le " IBM Security Verify Adapter for Oracle Database " à partir de Passport Advantage. Recherche par numéro de pièce comme M0BMZML.
    • Télécharger les fichiers JAR du profil

Créer un profil d'application dans verify

  • Se connecter à IBM® Security Verify en tant qu'administrateur du locataire (Scott)
  • Naviguer vers la page Applications > Profils d'application
  • Cliquez sur le bouton Créer un profil
1862
  • Cliquez sur Profil de l'adaptateur d'identité
  • Donner un nom de profil
  • Télécharger le fichier JAR du profil de l'adaptateur d'identité téléchargé précédemment
517
  • Cliquez sur Créer un profil
1565
  • Le nouveau profil est créé à l'état de projet. Attendre qu'il soit prêt à être publié
  • Une fois le profil prêt, publiez-le en cliquant sur Publier
  • Une fois le profil publié, l'administrateur peut consulter les sections Paramètres généraux et Attributs
1180 1147

Facultatif : installation de Security Directory Integrator (SDI)

  • Téléchargez le Security Directory Integrator (SDI) v7.2 de Passport Advantage. Recherchez par numéro de pièce en utilisant CJ30YML et téléchargez les binaires pour le système d'exploitation requis
  • Suivez le guide d'installation pour installer le produit Directory Integrator sur votre système.
  • Une fois le produit installé avec succès, vous pouvez le valider sur le système de fichiers. Le répertoire d'installation par défaut sous Linux est /opt/IBM/TDI/V7.2
[root@xxxxxxxx V7.2]# pwd
/opt/IBM/TDI/V7.2
[root@xxxxxxxx V7.2]# ls
amc  docs      ibmdisrv       idisrv.sth  jvm       license  maintenance  properties  shortcutFiles.dat  tools    xsl
bin  etc       ibmditk        jars        LDAPSync  logs     osgi         SCIM        testserver.der     _uninst  XSLT
ce   examples  IDILoader.jar  jscript     libs      lwi      performance  serverapi   testserver.jks     xsd

ℹ️

Port SDI

Note : Lorsque SDI est installé, il crée un "serveur par défaut" qui écoute sur le port 1099. Cela peut poser des problèmes lors de l'installation du RMI Dispatcher (dans les étapes suivantes) qui a besoin du même port.

Il faut donc arrêter le "serveur par défaut" avant d'installer le RMI Dispatcher.

Installer le dernier fixpack SDI

Une fois le SDI installé avec succès, mettez à jour le serveur avec le dernier fixpack 7.2.0-ISS-SDI-FP0009 ).
Vous pouvez télécharger le Fixpack à partir d' IBM Fix Central.

Installer l'adaptateur d'identité RMI Dispatcher

  • Téléchargez le " IBM Security Identity Adpater RMI Dispatcher v7.1.40” à partir de Passport Advantage. Recherche par numéro de pièce en utilisant CC7ZMML.
  • Extraire le SIA_RMI_7140_SDI_7X_MP_ML.zip téléchargé
  • Suivez le guide d'installation du Dispatcher pour installer l'adaptateur

Pour Linux, les détails de l'installation en mode GUI sont les suivants :

[root@xxxxxxxx RMI]# cd /opt/IBM/TDI/V7.2/jvm/jre/bin/
[root@xxxxxxxx bin]# ./java -jar /root/Downloads/SDI_Installer/RMI/DispatcherInstall.jar
821 825 820 822 820 822

ℹ️

Suivre la configuration SSL

Veillez à suivre le guide d'installation si vous cochez la case " Activer SSL ""

822 820 820 821

Après l'installation, ouvrez le fichier " IBM.2/timsol/solution.properties " et mettez à jour les propriétés suivantes :

  • com.ibm.di.dispatcher.objectPort=1094
  • java.rmi.server.hostname=

Redémarrez maintenant le RMI Dispatcher à l'aide des commandes ci-dessous :

[root@xxxxxxxx /]# cd /opt/IBM/TDI/V7.2/timsol/
[root@xxxxxxxx timsol]# ./ITIMAd restart
Platform is Linux
Shutting down the IBM Tivoli Identity Manager Adapter service
PID File Exists

IBM Tivoli Identity Manager Adapter Service successfully stopped!
Going to delete PID file...

Platform is Linux
Starting IBM Tivoli Identity Manager Adapter service...
No TDI processes running
Service not running.... Creating the service
Starting Service with Process ID:
15360
nohup: redirecting stderr to stdout

IBM Tivoli Identity Manager Adapter Service start request successfully issued!
PID File Created

Configuration de la politique de vérification du mot de passe

Il est important de configurer la politique de vérification des mots de passe de manière à ce qu'elle soit conforme aux règles de mot de passe du serveur cible.
Ceci est nécessaire pour s'assurer que les nouveaux mots de passe des comptes d'utilisateurs reçoivent un nouveau mot de passe approprié.

  • Se connecter à Verify en tant qu'administrateur du locataire (Scott)
  • Dans la console d'administration, naviguez vers Sécurité > Stratégies de mot de passe
  • Modifier la politique de mot de passe par défaut
  • Cliquez sur la source d'identité Cloud Directory
  • Définir la force du mot de passe qui correspond aux règles de mot de passe de l'application sur site à gérer
987

Updated about 1 month ago

What’s Next

Maintenant que vous avez mis en place l'infrastructure de provisionnement sur site, vous pouvez configurer le provisionnement de vos systèmes sur site.