iSeriesアプリケーションのオンボード

オンラインで編集

Verifyからオンプレミスアダプターへの iSeries® プロビジョニングユーザー

始める前に

  1. Verify で認証用の ID エージェントを構成します。 Verifyユーザーインターフェースによる設定方法をご覧ください。
  2. IBM® VerifyIdentity Brokerage On-Premises コンポーネントをデプロイして構成する。

手順

  1. IBM Verify に管理者としてログインする。
  2. アプリケーションアプリケーションを選択し、 「アプリケーションを追加」 をクリックします。
  3. メニューから、アップロードしたアプリケーション・プロファイルに設定されている名前としてアプリケーションの種類を検索し、アプリケーションの追加をクリックします。
    例えば、iSeriesプロファイルがiSeries,という名前でアップロードされた場合、アプリケーションはiSeries(custom)で検索されます。
  4. アプリケーションの追加ページで「一般タブを選択し、必要な詳細を指定する。
  5. アカウントのライフサイクルタブを選択します。
  6. プロビジョニング・ポリシーとプロビジョニング解除ポリシーを指定します。
    パラメーター 説明
    アカウントのプロビジョン

    プロビジョン・アカウントはデフォルトで無効になっており、アカウント作成は'IBM Verify外部で行われる。

    資格がユーザーに割り当てられたときにアカウントを自動的にプロビジョンするには、有効オプションを選択します。 IBM Verify使用して作成されたアカウントでは、パスワードの生成と電子メール通知機能が利用可能です。
    アカウントのプロビジョン解除

    デプロビジョン・アカウントはデフォルトで無効になっており、アカウントの削除は'IBM Verify外部で実行される。

    ユーザーからエンタイトルメントが削除されたときに、自動的にアカウントをデプロビジョニングするには、[Enabled]オプションを選択します。
    アカウントのパスワード
    ユーザーのクラウド・ディレクトリー・パスワードの同期
    このオプションは、クラウド・ディレクトリーでパスワード同期が有効になっている場合に使用できます。 これは、通常のユーザーがアプリケーションにプロビジョンされたときに、クラウド・ディレクトリー・パスワードを使用します。 連携ユーザーは、アプリケーションへのプロビジョン時に、生成されたパスワードを受け取ります。
    パスワードの生成
    このオプションは、プロビジョンされたアカウント用のランダム・パスワードを生成します。 パスワードは、クラウド・ディレクトリーのパスワード・ポリシーに基づきます。
    なし
    このオプションは、パスワードなしでアカウントをプロビジョンします。
    E メール通知の送信 このオプションは、「パスワードの生成」 オプションを選択した場合に使用可能になります。 電子メール通知を送信]オプションを選択すると、アカウントが正常にプロビジョニングされた後、自動生成されたパスワードが記載された電子メール通知がお客様の電子メールアドレスに送信されます。
    猶予期間 (日) デプロビジョニングされたアカウントが永久に削除される前に一時停止される猶予期間を日数で設定します。
    プロビジョン解除アクション アカウントを削除します。 このフィールドは、deprovision accountフィールドが有効になっている場合にのみ利用できる。
  7. Generalセクションで、ドロップダウンからApplication profileを選択します。 プロファイルが存在しない場合は、作成する必要があります。 詳細については、 「アイデンティティアダプタアプリケーションプロファイルの管理」 を参照してください。
  8. API 認証の詳細を指定します。
    パラメーター 説明
    Tivoli® Directory Integrator のロケーション IBM VerifyDirectory Integrator インスタンスURL。 例えば、rmi://<ip-address>:<port>/ITDIDispatcherのように、ip-addressは'IBM VerifyDirectory Integratorホスト、portはRMI Dispatcherのポート番号です。
    URL IBM iシステム上のディレクトリ・サーバーの場所とポート番号を指定します。 有効な構文は、ldap://:<port>で、ip-addressは IBM iサーバー・ホスト、portは IBM iLDAPポート番号である。 例えば、 URL ldap://irvas02.eng.irvine.ibm.com:389 のように指定することができます。

    SSLが有効になっている場合、構文は次のようになる:ldaps://ip-address:SSLPort。 例えば、 URL ldaps://irvas02.eng.irvine.ibm.com:636 のように指定するかもしれません
    管理者名 iSeriesユーザー ID を指定します。
    注:ユーザープロファイルは、'*SECADM、'*ALLOBJ特別な権限を持っている必要があります
    ユーザー・コンテナー・ベース DN ユーザー・プロファイルが格納されるコンテナーまたは基本ポイントの識別名 (DN) を指定します。 アダプターは、新規ユーザーをこの DN に作成します。 また検索操作は、ユーザー・アカウントのエントリーをこの DN に戻します。 たとえば、DNをcn=accounts,os400-sys=irvas02eng.irvine.ibm.comのように指定します。
    削除する OWNOBJOPT パラメーターの値 削除するユーザー・プロファイルの所有オブジェクトに対して実行する操作のタイプを指定します。 このフィールドはテキスト・フィールドで、有効な値は以下のいずれかです。 *NODLT

    ユーザーが、ユーザー・プロファイルに関連付けられているメッセージ・キュー以外のオブジェクトを所有する場合は、そのユーザー・プロファイルの所有オブジェクトは変更されません。 ユーザー・プロファイルは削除されません。 ユーザーが、プロファイルに関連付けられているメッセージ・キューのみを所有する場合は、そのメッセージ・キューとプロファイルが削除されます。 *DLT

    ユーザー・プロファイル所有のオブジェクトが削除されます。 オブジェクトの削除に成功すると、'OfficeVision*. *CHGOWN username

    ユーザー・プロファイルの所有オブジェクトは、username で指定されたユーザー・プロファイルに所有権が移されます。 すべての所有オブジェクトの転送が成功すると、ユーザー・プロファイルが削除されます。
    パスワード 管理者のパスワードを指定します。
    ID エージェント アプリケーションプロファイルを検出するプロビジョニングタイプの Identity Agent をドロップダウンから選択します。
    説明 オプション・フィールド。 必要に応じて説明を追加します。
    SSL を使用した LDAP との通信 このチェックボックスを使用して、Security Directory IntegratorとIBM iDirectory Server 間で SSL 認証を使用するかどうかを指定します
  9. Test Connectionをクリックして、構内iSeriesへの接続をテストする。 iSeriesアプリケーションでアカウントをプロビジョニングまたは照合するには、接続が成功する必要があります。
  10. 必要に応じて、対象のiSeries属性を Verify 属性にマップする。 ターゲットの更新が必要な属性の更新保持チェックボックスを選択します。
  11. アカウント同期タブを選択します。
  12. Adoption policyセクションで、Verify でiSeriesアカウントをそれぞれのアカウント所有者に割り当てるためのアカウント同期プロセスで一致する必要がある 1 つ以上の属性ペアを追加します。
  13. Remediation Policiesセクションで、非準拠アカウントを自動的に修復するための修復ポリシーを選択します。
  14. 保存をクリックする。
  15. アプリケーションが保存されたら、[Entitlements]タブで認可ポリシーを指定します。