Active Directory provisionnement

Introduction

Ce document fournit des instructions pour configurer IBM® Security Verify User Lifecycle Management pour un Microsoft® Active Directory sur site.

Plusieurs éléments doivent être mis en place pour gérer le provisionnement avec Active Directory :

• Adaptateur IBM Security Identity Adapter for Windows Active Directory
• Composants on-prem (Identity Brokerage, base de données Postgres, agent Verify) — à installer en conteneurs
• Profil LDAP Adapter pour Identity Brokerage
• Configuration de l’agent d’identité dans IBM Security Verify

Consultez la page provisionnement sur site pour l’installation des prérequis.

Installation de l’adaptateur d’identité IBM pour Windows Active Directory

L’adaptateur Active Directory crée et gère les comptes sur Microsoft AD via l’API ADSI et PowerShell. Il est utilisé pour toutes les demandes de provisionnement via Verify Govern.

Téléchargez la dernière version :

https://www.ibm.com/support/pages/ibm-security-verify-governance-adapters-v10x

Recherchez IBM Security Identity Adapter for Windows AD 64-bit with optional Exchange and Lync Support, relevez la référence, puis téléchargez-le sur IBM Passport Advantage.

Installez l’adaptateur sur le serveur AD. Après installation, il crée le service ISIM Active Directory Adapter (port 45580 par défaut — notez-le s’il est modifié). Vérifiez qu’il est démarré dans la console Services Windows.

Configurer l’application Active Directory pour le provisionnement

Créer l’application Active Directory

1. Connectez-vous à IBM® Security Verify en tant qu’admin tenant Scott.

2. Applications → Ajouter une application
   [block:image]
   {
   "images": [
   {
   "image": [
   "https://files.readme.io/8c5d021-lifecycle-active-directory-AD_prov2.png",
   "lifecycle-active-directory-AD_prov2.png",
   1857,
   423,
   "#000000"
   ]
   }
   ]
   }
   [/block]

3. Dans Sélectionner le type d’application, recherchez active
   [block:image]
   {
   "images": [
   {
   "image": [
   "https://files.readme.io/fb53e0f-lifecycle-active-directory-AD_prov3.png",
   "lifecycle-active-directory-AD_prov3.png",
   957,
   513,
   "#000000"
   ]
   }
   ]
   }
   [/block]

4. Sélectionnez Active Directory puis Ajouter une application.

5. Renseignez le Nom de l’entreprise, puis Ajouter un propriétaire.
   [block:image]
   {
   "images": [
   {
   "image": [
   "https://files.readme.io/f6062bb-lifecycle-active-directory-AD_prov4.png",
   "lifecycle-active-directory-AD_prov4.png",
   1153,
   698,
   "#000000"
   ]
   }
   ]
   }
   [/block]

6. Dans le sélecteur, recherchez Jacob, sélectionnez et OK.
   [block:image]
   {
   "images": [
   {
   "image": [
   "https://files.readme.io/5fb980e-lifecycle-active-directory-AD_prov5.png",
   "lifecycle-active-directory-AD_prov5.png",
   1031,
   545,
   "#000000"
   ]
   }
   ]
   }
   [/block]

Cycle de vie du compte

• Cycle de vie du compte → activer Provisioning et Deprovisioning, définir Période de grâce et Action de déprovisionnement.
  [block:image]
  {
  "images": [
  {
  "image": [
  "https://files.readme.io/05cbd10-lifecycle-active-directory-AD_prov6.png",
  "lifecycle-active-directory-AD_prov6.png",
  1035,
  712,
  "#000000"
  ]
  }
  ]
  }
  [/block]

• Renseignez l’authentification de l’API :

  • Agent URL – URL de l’adaptateur AD
  • Agent username – agent (ou personnalisé)
  • Agent password – mot de passe de cet utilisateur
  • Sélectionnez l’Agent d’identité
    [block:image]
    {
    "images": [
    {
    "image": [
    "https://files.readme.io/fa4dbce-lifecycle-active-directory-AD_prov7.png",
    "lifecycle-active-directory-AD_prov7.png",
    1065,
    808,
    "#000000"
    ]
    }
    ]
    }
    [/block]

• (Optionnel) Base DN utilisateur / groupe. Sans valeur, le DN racine est utilisé.

• Tester la connexion → Le test de connexion a réussi si tout est OK.
  [block:image]
  {
  "images": [
  {
  "image": [
  "https://files.readme.io/e3fc6da-lifecycle-active-directory-AD_prov8.png",
  "lifecycle-active-directory-AD_prov8.png",
  1111,
  806,
  "#000000"
  ]
  }
  ]
  }
  [/block]

• Mappages d’attributs API :

  Attribut AD	Source Verify
  sAMAccountName	preferred_username
  givenName	given_name
  sn	family_name
  mail	email
  telephoneNumber	mobile_number

  Cochez Maintain value up to date si nécessaire.
  [block:image]
  {
  "images": [
  {
  "image": [
  "https://files.readme.io/af58758-lifecycle-active-directory-AD_prov9.png",
  "lifecycle-active-directory-AD_prov9.png",
  1077,
  813,
  "#000000"
  ]
  }
  ]
  }
  [/block]

• Enregistrer.

Politique d’adoption (Account sync)

• Account sync → + Attribute pairs
  • sAMAccountName =preferred_username
  • givenName =given_name
    [block:image]
    {
    "images": [
    {
    "image": [
    "https://files.readme.io/3cd3b5c-lifecycle-active-directory-AD_prov10.png",
    "lifecycle-active-directory-AD_prov10.png",
    1316,
    530,
    "#000000"
    ]
    }
    ]
    }
    [/block]
  

📘

Règle de synchronisation de compte

Les comptes sont appariés selon les attributs définis dans la politique d’adoption. Configurez-les avec précaution.

• Enregistrer

Politique de remédiation

• Toujours dans Account sync :
  Sélectionnez Mettre à jour IBM Security Verify avec les valeurs de l’application cible.
  [block:image]
  {
  "images": [
  {
  "image": [
  "https://files.readme.io/74d623d-lifecycle-active-directory-AD_prov12.png",
  "lifecycle-active-directory-AD_prov12.png",
  1213,
  312,
  "#000000"
  ]
  }
  ]
  }
  [/block]

• Enregistrer

Reverse Attribute Mapping (facultatif)

• + Add attribute mapping, puis Enregistrer.
  [block:image]
  {
  "images": [
  {
  "image": [
  "https://files.readme.io/4da595c-lifecycle-active-directory-AD_prov13.png",
  "lifecycle-active-directory-AD_prov13.png",
  1161,
  303,
  "#000000"
  ]
  }
  ]
  }
  [/block]

Droits / Owner

• Nouvel onglet Entitlements →

  • Approval required for all users and groups
  • Approveur : Application owner
    [block:image]
    {
    "images": [
    {
    "image": [
    "https://files.readme.io/8f516b7-lifecycle-active-directory-AD_prov14.png",
    "lifecycle-active-directory-AD_prov14.png",
    852,
    508,
    "#000000"
    ]
    }
    ]
    }
    [/block]

• Enregistrer

L’application Active Directory est configurée.

Synchronisation des comptes avec Active Directory

Admin Scott peut maintenant lancer la synchronisation des comptes.

Conditions : un utilisateur Jessica existe dans Verify (preferred_username = Jessica) et dans AD (sAMAccountName = Jessica).

1. Applications → menu Comptes de Active Directory
   [block:image]
   {
   "images": [
   {
   "image": [
   "https://files.readme.io/e9afcc9-lifecycle-active-directory-AD_prov_acc2.png",
   "lifecycle-active-directory-AD_prov_acc2.png",
   1842,
   557,
   "#000000"
   ]
   }
   ]
   }
   [/block]

2. Start account sync
   [block:image]
   {
   "images": [
   {
   "image": [
   "https://files.readme.io/4d27821-lifecycle-active-directory-AD_prov_acc3.png",
   "lifecycle-active-directory-AD_prov_acc3.png",
   1838,
   476,
   "#000000"
   ]
   }
   ]
   }
   [/block]

3. Governance → Account sync → Refresh jusqu’au statut Completed.
   [block:image]
   {
   "images": [
   {
   "image": [
   "https://files.readme.io/c8864f5-lifecycle-active-directory-AD_prov_acc4.png",
   "lifecycle-active-directory-AD_prov_acc4.png",
   1453,
   432,
   "#000000"
   ]
   }
   ]
   }
   [/block]

La vue détaille : Compliant, Non-compliant, Unmatched, Failed.

📘

Règle de synchronisation des comptes

L’appariement suit la politique d’adoption — assurez-vous que les attributs choisis sont fiables.

Provisioning : cas d’usage

Création d’un utilisateur Verify

1. Admin Scott → Users & Groups → Add user.
   Exemple : Podrick Payne, source Cloud Directory, e-mail valide.
   [block:image]
   {
   "images": [
   {
   "image": [
   "https://files.readme.io/66703bd-lifecycle-active-directory-AD_prov_acc10.png",
   "lifecycle-active-directory-AD_prov_acc10.png",
   933,
   725,
   "#000000"
   ]
   }
   ]
   }
   [/block]

2. L’e-mail contient le mot de passe initial. L’utilisateur se connecte, change le mot de passe et voit le Launchpad.
   [block:image]
   {
   "images": [
   {
   "image": [
   "https://files.readme.io/277b0a8-lifecycle-active-directory-AD_prov_acc13.png",
   "lifecycle-active-directory-AD_prov_acc13.png",
   1911,
   432,
   "#000000"
   ]
   }
   ]
   }
   [/block]

Demande d’accès (Podrick)

1. Launchpad → Add application + → Active Directory → Request access (ajoutez une justification).
   [block:image]
   {
   "images": [
   {
   "image": [
   "https://files.readme.io/d46fde5-lifecycle-active-directory-AD_prov_acc14.png",
   "lifecycle-active-directory-AD_prov_acc14.png",
   1898,
   451,
   "#000000"
   ]
   }
   ]
   }
   [/block]

   

2. La demande apparaît Pending.
   [block:image]
   {
   "images": [
   {
   "image": [
   "https://files.readme.io/80917c1-lifecycle-active-directory-AD_prov_acc16.png",
   "lifecycle-active-directory-AD_prov_acc16.png",
   1862,
   347,
   "#000000"
   ]
   }
   ]
   }
   [/block]

Approbation (Jacob)

Jacob reçoit un e-mail, se connecte, Task Manager → ouvre la demande → Approve.

Après approbation, Podrick reçoit l’e-mail de confirmation et le compte AD est provisionné :

L’administrateur peut vérifier le job Provision account dans Governance > Operation results.

Suspendre un compte

Admin Scott → Users & Groups → Podrick → Edit user information → Status = Disabled → Save.
Dans l’application AD « Comptes », le statut devient Suspended.

Cas d’utilisation du déprovisionnement

Admin Scott → Users & Groups → supprimer Podrick.
Governance > Operation results montre l’opération Deprovision account en Scheduled.

💎

Nilesh Atal, IBM Security