Active Directory provisionnement

Introduction

Ce document fournit des instructions pour configurer IBM® Security Verify User Lifecycle Management pour un Microsoft® Active Directory sur site.

Plusieurs éléments doivent être mis en place pour gérer le provisionnement avec Active Directory :

  • Adaptateur IBM Security Identity Adapter for Windows Active Directory
  • Composants on-prem (Identity Brokerage, base de données Postgres, agent Verify) — à installer en conteneurs
  • Profil LDAP Adapter pour Identity Brokerage
  • Configuration de l’agent d’identité dans IBM Security Verify

Consultez la page provisionnement sur site pour l’installation des prérequis.

Installation de l’adaptateur d’identité IBM pour Windows Active Directory

L’adaptateur Active Directory crée et gère les comptes sur Microsoft AD via l’API ADSI et PowerShell. Il est utilisé pour toutes les demandes de provisionnement via Verify Govern.

Téléchargez la dernière version :

https://www.ibm.com/support/pages/ibm-security-verify-governance-adapters-v10x

Recherchez IBM Security Identity Adapter for Windows AD 64-bit with optional Exchange and Lync Support, relevez la référence, puis téléchargez-le sur IBM Passport Advantage.

Installez l’adaptateur sur le serveur AD. Après installation, il crée le service ISIM Active Directory Adapter (port 45580 par défaut — notez-le s’il est modifié). Vérifiez qu’il est démarré dans la console Services Windows.

1548

Configurer l’application Active Directory pour le provisionnement

Créer l’application Active Directory

  1. Connectez-vous à IBM® Security Verify en tant qu’admin tenant Scott.

  2. ApplicationsAjouter une application
    [block:image]
    {
    "images": [
    {
    "image": [
    "https://files.readme.io/8c5d021-lifecycle-active-directory-AD_prov2.png",
    "lifecycle-active-directory-AD_prov2.png",
    1857,
    423,
    "#000000"
    ]
    }
    ]
    }
    [/block]

  3. Dans Sélectionner le type d’application, recherchez active
    [block:image]
    {
    "images": [
    {
    "image": [
    "https://files.readme.io/fb53e0f-lifecycle-active-directory-AD_prov3.png",
    "lifecycle-active-directory-AD_prov3.png",
    957,
    513,
    "#000000"
    ]
    }
    ]
    }
    [/block]

  4. Sélectionnez Active Directory puis Ajouter une application.

  5. Renseignez le Nom de l’entreprise, puis Ajouter un propriétaire.
    [block:image]
    {
    "images": [
    {
    "image": [
    "https://files.readme.io/f6062bb-lifecycle-active-directory-AD_prov4.png",
    "lifecycle-active-directory-AD_prov4.png",
    1153,
    698,
    "#000000"
    ]
    }
    ]
    }
    [/block]

  6. Dans le sélecteur, recherchez Jacob, sélectionnez et OK.
    [block:image]
    {
    "images": [
    {
    "image": [
    "https://files.readme.io/5fb980e-lifecycle-active-directory-AD_prov5.png",
    "lifecycle-active-directory-AD_prov5.png",
    1031,
    545,
    "#000000"
    ]
    }
    ]
    }
    [/block]

Cycle de vie du compte

  • Cycle de vie du compte → activer Provisioning et Deprovisioning, définir Période de grâce et Action de déprovisionnement.
    [block:image]
    {
    "images": [
    {
    "image": [
    "https://files.readme.io/05cbd10-lifecycle-active-directory-AD_prov6.png",
    "lifecycle-active-directory-AD_prov6.png",
    1035,
    712,
    "#000000"
    ]
    }
    ]
    }
    [/block]

  • Renseignez l’authentification de l’API :

    • Agent URL – URL de l’adaptateur AD
    • Agent usernameagent (ou personnalisé)
    • Agent password – mot de passe de cet utilisateur
    • Sélectionnez l’Agent d’identité
      [block:image]
      {
      "images": [
      {
      "image": [
      "https://files.readme.io/fa4dbce-lifecycle-active-directory-AD_prov7.png",
      "lifecycle-active-directory-AD_prov7.png",
      1065,
      808,
      "#000000"
      ]
      }
      ]
      }
      [/block]
  • (Optionnel) Base DN utilisateur / groupe. Sans valeur, le DN racine est utilisé.

  • Tester la connexionLe test de connexion a réussi si tout est OK.
    [block:image]
    {
    "images": [
    {
    "image": [
    "https://files.readme.io/e3fc6da-lifecycle-active-directory-AD_prov8.png",
    "lifecycle-active-directory-AD_prov8.png",
    1111,
    806,
    "#000000"
    ]
    }
    ]
    }
    [/block]

  • Mappages d’attributs API :

    Attribut ADSource Verify
    sAMAccountNamepreferred_username
    givenNamegiven_name
    snfamily_name
    mailemail
    telephoneNumbermobile_number

    Cochez Maintain value up to date si nécessaire.
    [block:image]
    {
    "images": [
    {
    "image": [
    "https://files.readme.io/af58758-lifecycle-active-directory-AD_prov9.png",
    "lifecycle-active-directory-AD_prov9.png",
    1077,
    813,
    "#000000"
    ]
    }
    ]
    }
    [/block]

  • Enregistrer.

Politique d’adoption (Account sync)

  • Account sync+ Attribute pairs
    • sAMAccountName =preferred_username
    • givenName =given_name
      [block:image]
      {
      "images": [
      {
      "image": [
      "https://files.readme.io/3cd3b5c-lifecycle-active-directory-AD_prov10.png",
      "lifecycle-active-directory-AD_prov10.png",
      1316,
      530,
      "#000000"
      ]
      }
      ]
      }
      [/block]
    935

📘

Règle de synchronisation de compte

Les comptes sont appariés selon les attributs définis dans la politique d’adoption. Configurez-les avec précaution.

  • Enregistrer

Politique de remédiation

  • Toujours dans Account sync :
    Sélectionnez Mettre à jour IBM Security Verify avec les valeurs de l’application cible.
    [block:image]
    {
    "images": [
    {
    "image": [
    "https://files.readme.io/74d623d-lifecycle-active-directory-AD_prov12.png",
    "lifecycle-active-directory-AD_prov12.png",
    1213,
    312,
    "#000000"
    ]
    }
    ]
    }
    [/block]

  • Enregistrer

Reverse Attribute Mapping (facultatif)

  • + Add attribute mapping, puis Enregistrer.
    [block:image]
    {
    "images": [
    {
    "image": [
    "https://files.readme.io/4da595c-lifecycle-active-directory-AD_prov13.png",
    "lifecycle-active-directory-AD_prov13.png",
    1161,
    303,
    "#000000"
    ]
    }
    ]
    }
    [/block]

Droits / Owner

  • Nouvel onglet Entitlements

    • Approval required for all users and groups
    • Approveur : Application owner
      [block:image]
      {
      "images": [
      {
      "image": [
      "https://files.readme.io/8f516b7-lifecycle-active-directory-AD_prov14.png",
      "lifecycle-active-directory-AD_prov14.png",
      852,
      508,
      "#000000"
      ]
      }
      ]
      }
      [/block]
  • Enregistrer

L’application Active Directory est configurée.

Synchronisation des comptes avec Active Directory

Admin Scott peut maintenant lancer la synchronisation des comptes.

Conditions : un utilisateur Jessica existe dans Verify (preferred_username = Jessica) et dans AD (sAMAccountName = Jessica).

510
  1. Applications → menu Comptes de Active Directory
    [block:image]
    {
    "images": [
    {
    "image": [
    "https://files.readme.io/e9afcc9-lifecycle-active-directory-AD_prov_acc2.png",
    "lifecycle-active-directory-AD_prov_acc2.png",
    1842,
    557,
    "#000000"
    ]
    }
    ]
    }
    [/block]

  2. Start account sync
    [block:image]
    {
    "images": [
    {
    "image": [
    "https://files.readme.io/4d27821-lifecycle-active-directory-AD_prov_acc3.png",
    "lifecycle-active-directory-AD_prov_acc3.png",
    1838,
    476,
    "#000000"
    ]
    }
    ]
    }
    [/block]

  3. GovernanceAccount syncRefresh jusqu’au statut Completed.
    [block:image]
    {
    "images": [
    {
    "image": [
    "https://files.readme.io/c8864f5-lifecycle-active-directory-AD_prov_acc4.png",
    "lifecycle-active-directory-AD_prov_acc4.png",
    1453,
    432,
    "#000000"
    ]
    }
    ]
    }
    [/block]

La vue détaille : Compliant, Non-compliant, Unmatched, Failed.

1882

📘

Règle de synchronisation des comptes

L’appariement suit la politique d’adoption — assurez-vous que les attributs choisis sont fiables.

Provisioning : cas d’usage

Création d’un utilisateur Verify

  1. Admin ScottUsers & GroupsAdd user.
    Exemple : Podrick Payne, source Cloud Directory, e-mail valide.
    [block:image]
    {
    "images": [
    {
    "image": [
    "https://files.readme.io/66703bd-lifecycle-active-directory-AD_prov_acc10.png",
    "lifecycle-active-directory-AD_prov_acc10.png",
    933,
    725,
    "#000000"
    ]
    }
    ]
    }
    [/block]

  2. L’e-mail contient le mot de passe initial. L’utilisateur se connecte, change le mot de passe et voit le Launchpad.
    [block:image]
    {
    "images": [
    {
    "image": [
    "https://files.readme.io/277b0a8-lifecycle-active-directory-AD_prov_acc13.png",
    "lifecycle-active-directory-AD_prov_acc13.png",
    1911,
    432,
    "#000000"
    ]
    }
    ]
    }
    [/block]

Demande d’accès (Podrick)

  1. LaunchpadAdd application +Active DirectoryRequest access (ajoutez une justification).
    [block:image]
    {
    "images": [
    {
    "image": [
    "https://files.readme.io/d46fde5-lifecycle-active-directory-AD_prov_acc14.png",
    "lifecycle-active-directory-AD_prov_acc14.png",
    1898,
    451,
    "#000000"
    ]
    }
    ]
    }
    [/block]

    958
  2. La demande apparaît Pending.
    [block:image]
    {
    "images": [
    {
    "image": [
    "https://files.readme.io/80917c1-lifecycle-active-directory-AD_prov_acc16.png",
    "lifecycle-active-directory-AD_prov_acc16.png",
    1862,
    347,
    "#000000"
    ]
    }
    ]
    }
    [/block]

Approbation (Jacob)

Jacob reçoit un e-mail, se connecte, Task Manager → ouvre la demande → Approve.

1871 887

Après approbation, Podrick reçoit l’e-mail de confirmation et le compte AD est provisionné :

1911

L’administrateur peut vérifier le job Provision account dans Governance > Operation results.

1910

Suspendre un compte

Admin ScottUsers & GroupsPodrickEdit user information → Status = DisabledSave.
Dans l’application AD « Comptes », le statut devient Suspended.

1034

Cas d’utilisation du déprovisionnement

Admin ScottUsers & Groups → supprimer Podrick.
Governance > Operation results montre l’opération Deprovision account en Scheduled.

1440

💎

Nilesh Atal, IBM Security