4 Cliquez sur Suivant.
4.14 Configuration de l'application utilisateur
Le programme d'installation de l'application utilisateur permet de configurer les paramètres de configuration de l'application utilisateur. La plupart de ces paramètres sont également éditables avec configupdate.sh ou configupdate.bat après l'installation ; les exceptions sont notées dans les descriptions des paramètres.
Pour une grappe, indiquez les paramètres de configuration identiques de l'application utilisateur pour chaque membre de la grappe.
1 Définissez les paramètres de configuration de base de l'application utilisateur décrits dans le
Installation de JBoss depuis une interface graphique
53
54
Guide d'installation du module de provisioning basé sur les rôles d'Identity Manager version 3.6
Tableau 4-1
Configuration de l'application utilisateur : paramètres de base
Type de paramètre Champ
Paramètres de connexion eDirectory
Hôte LDAP
Port non sécurisé LDAP
Port sécurisé LDAP
Administrateur LDAP
Description
Requis. Indiquez le nom d'hôte ou l'adresse IP de votre serveur LDAP et son port sécurisé.
Par exemple : myLDAPhost
Indiquez le port non sécurisé de votre serveur
LDAP. Par exemple : 389.
Indiquez le port sécurisé de votre serveur
LDAP. Par exemple : 636.
Requis. Indiquez les références de l'administrateur LDAP. Cet utilisateur doit déjà exister. L'application utilisateur utilise ce compte pour effectuer une connexion administrative au coffre-fort d'identité. Cette valeur est codée, en fonction de la clé maîtresse.
Mot de passe administrateur
LDAP
Utiliser le compte anonyme
public
Guest LDAP
Requis. Indiquez le mot de passe administrateur LDAP. Ce mot de passe est codé, en fonction de la clé maîtresse.
Permet aux utilisateurs non logués d'accéder au compte anonyme public LDAP.
Permet aux utilisateurs non logués d'accéder à des portlets autorisés. Ce compte utilisateur doit déjà exister dans le coffre-fort d'identité.
Pour activer l'invité LDAP, vous devez désactiver Utiliser un compte anonyme public.
Pour désactiver l'utilisateur invité, sélectionnez
Utiliser un compte anonyme public.
Mot de passe Guest LDAP Indiquez le mot de passe Guest LDAP.
Connexion admin. sécurisée Sélectionnez cette option pour que toutes les communications utilisant le compte administrateur soient effectuées à l'aide d'un socket sécurisé (cette option peut nuire aux performances). Cette configuration permet
également d'exécuter des opérations qui ne nécessitent pas SSL.
Login utilisateur sécurisé Sélectionnez cette option pour que toutes les communications utilisant le compte de l'utilisateur logué soient effectuées à l'aide d'un socket sécurisé (cette option peut nuire aux performances). Cette configuration permet
également d'exécuter des opérations qui ne nécessitent pas SSL.
Installation de JBoss depuis une interface graphique
55
Type de paramètre Champ
DN eDirectory DN du conteneur racine
Description
DN du pilote de provisioning Requis. Indiquez le nom distinctif du pilote de l'application utilisateur que vous avez créé auparavant dans
Section 3.1, « Création du pilote d'application utilisateur dans iManager », page 33
. Par exemple, si votre pilote est
UserApplicationDriver et si votre ensemble de pilotes est appelé myDriverSet, et si l'ensemble de pilotes est dans un contexte de o=myCompany, vous saisiriez une valeur de : cn=UserApplicationDriver,cn=myD riverSet,o=myCompany
Admin. application utilisateur Requis. Un utilisateur existant dans le coffrefort d'identité qui dispose des droits pour effectuer des tâches administratives pour le conteneur d'utilisateurs de l'application utilisateur spécifié. Cet utilisateur peut utiliser l'onglet Administration de l'application utilisateur pour administrer le portail.
Admin. application
provisioning
Requis. Indiquez le nom distinctif LDAP du conteneur racine. Celui-ci est utilisé comme racine de recherche de définition d'entité par défaut lorsqu'aucune racine n'est indiquée dans la couche d'abstraction d'annuaire.
Si l'administrateur de l'application utilisateur participe aux tâches d'administration du workflow exposées dans iManager, le concepteur Novell pour Identity Manager ou l'application utilisateur (onglet Requêtes et
approbations), vous devez accorder à cet administrateur des droits d'ayant droit sur les instances d'objets contenues dans le pilote de l'application utilisateur. Reportez-vous au
Guide d'administration de l'application
utilisateur IDM pour en savoir plus.
Pour modifier cette assignation après avoir déployé l'application utilisateur, vous devez utiliser les pages Administration > Sécurité de l'application utilisateur.
L'administrateur de l'application de provisioning utilise l'onglet Provisioning (sous l'onglet
Administration) pour gérer les fonctions de workflow du provisioning. Ces fonctions sont accessibles aux utilisateurs en passant par l'onglet Requêtes et approbations de l'application utilisateur. Cet utilisateur doit exister dans le coffre-fort d'identité avant d'être désigné administrateur de l'application
Provisioning.
Pour modifier cette assignation après avoir déployé l'application utilisateur, vous devez utiliser les pages Administration > Sécurité de l'application utilisateur.
56
Guide d'installation du module de provisioning basé sur les rôles d'Identity Manager version 3.6
Type de paramètre Champ
DN eDirectory
(suite)
Administrateur de rôles
Description
Ce rôle est disponible dans le module de provisioning basé sur les rôles de Novell d'Identity Manager. Il permet aux membres de créer, de supprimer ou de modifier l'ensemble des rôles, ainsi que de révoquer les assignations de rôles des utilisateurs, des groupes ou des conteneurs. Il permet
également à ses membres d'exécuter des rapports pour n'importe quel utilisateur. Par défaut, ce rôle est assigné à l'administrateur de l'application utilisateur.
Pour modifier cette assignation après avoir déployé l'application utilisateur, utilisez la page
Rôles > Assignations de rôles de l'application utilisateur.
DN du conteneur d'utilisateurs Requis. Indiquez le nom distinctif (DN) LDAP ou le nom LDAP complet du conteneur utilisateur. Cela définit l'étendue de recherche d'utilisateurs et de groupes. Les utilisateurs de ce conteneur (et en-dessous) sont autorisés à se loguer à l'application utilisateur.
Certificats eDirectory
Important : assurez-vous que l'administrateur de l'application utilisateur spécifié lors de la configuration des pilotes de l'application utilisateur existe dans ce conteneur si vous souhaitez que cet utilisateur soit en mesure d'exécuter les workflows.
DN de conteneur de groupes Requis. Indiquez le nom distinctif (DN) LDAP ou le nom LDAP complet du conteneur de groupes.
Utilisé par les définitions d'entités au sein de la couche d'abstraction d'annuaire.
Chemin d'accès au Keystore Requis. Indiquez le chemin d'accès complet au fichier (cacerts) de votre keystore du JDK que le serveur d'applications utilise pour fonctionner, ou bien cliquez sur le petit bouton du navigateur pour trouver le fichier cacerts .
Sous Linux ou Solaris, l'utilisateur doit avoir une autorisation pour écrire sur ce fichier.
Mot de passe Keystore/
Confirmer mot de passe
Keystore
Requis. Indiquez le mot de passe cacerts.
L'unité par défaut est changeit.
Installation de JBoss depuis une interface graphique
57
Type de paramètre Champ Description
Courrier
électronique
Jeton de l'hôte du modèle de
notification
Indiquez le serveur d'applications hébergeant l'application utilisateur Identity Manager. Par exemple : myapplication serverServer
Cette valeur remplace le jeton $HOST$ des modèles de courrier électronique. L'URL construite est la liaison aux tâches de requête de provisioning et aux notifications d'approbation.
Jeton du port du modèle de
notification
Jeton du port sécurisé du
modèle de notification
Utilisé pour remplacer le jeton $PORT$ des modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.
Utilisé pour remplacer le jeton
$SECURE_PORT$ des modèles de courrier
électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.
Indiquez l'utilisateur expéditeur du courrier
électronique dans le message de provisioning.
Notification SMTP - expéditeur du courrier
électronique
Notification SMTP - destinataire du courrier
électronique
Gestion des mots de passe
Utiliser le WAR de mots de
passe externe
Indiquez l'utilisateur destinataire du courrier
électronique dans le message de provisioning.
Il peut s'agir d'une adresse IP ou d'un nom
DNS.
Cette fonction permet d'indiquer une page Mot de passe oublié qui réside dans un WAR Mot de passe oublié externe et une URL que le
WAR Mot de passe oublié externe utilise pour rappeler l'application utilisateur grâce à un service Web.
Si vous sélectionnez Utiliser le WAR de mot de
passe externe, vous devez fournir des valeurs pour Lien Mot de passe oublié et Lien Retour
mot de passe oublié.
Si vous ne sélectionnez pas Utiliser le WAR de
mot de passe externe, IDM utilise la fonction de gestion des mots de passe interne par défaut.
/jsps/pwdmgt/ForgotPassword.jsf
(sans le protocole http(s) au début). Cela redirige l'utilisateur vers la fonction Mot de passe oublié intégrée à l'application utilisateur, plutôt que vers un WAR externe.
58
Guide d'installation du module de provisioning basé sur les rôles d'Identity Manager version 3.6
Type de paramètre Champ Description
Liaison Mot de passe oublié Cette URL pointe vers la page de fonction Mot de passe oublié. Indiquez un fichier
ForgotPassword.jsf dans un WAR de gestion des mots de passe externe ou interne.
Pour plus de détails, reportez-vous à
« Utilisation des WAR de mots de passe » page 67
.
Liaison de retour Mot de
passe oublié
Si vous utilisez un WAR de gestion des mots de passe externe, indiquez le chemin d'accès que le WAR de gestion des mots de passe externe utilise pour rappeler l'application utilisateur par des services Web, par exemple https:// idmhost:sslport/idm .
2 Si vous souhaitez définir d'autres paramètres de configuration de l'application utilisateur, cliquez sur Afficher les options avancées. (Faites défiler pour afficher tout le panneau.) Le
décrit les paramètres des options avancées.
Si vous ne souhaitez pas définir d'autres paramètres décrits dans cette étape, passez à l' Étape 3 .
Installation de JBoss depuis une interface graphique
59
Tableau 4-2
Configuration de l'application utilisateur : tous les paramètres
Type de paramètre
Paramètres de connexion eDirectory
Champ Description
Hôte LDAP
Port sécurisé LDAP myLDAPhost
Port non sécurisé LDAP Indiquez le port non sécurisé de votre serveur
LDAP. Par exemple : 389.
Indiquez le port sécurisé de votre serveur
LDAP. Par exemple : 636.
Administrateur LDAP Requis. Indiquez les références de l'administrateur LDAP. Cet utilisateur doit déjà exister. L'application utilisateur utilise ce compte pour effectuer une connexion administrative au coffre-fort d'identité. Cette valeur est codée, en fonction de la clé maîtresse.
Mot de passe
administrateur LDAP
Requis. Indiquez le nom d'hôte ou l'adresse IP de votre serveur LDAP. Par exemple :
Utiliser le compte
anonyme public
Guest LDAP
Requis. Indiquez le mot de passe administrateur LDAP. Ce mot de passe est codé, en fonction de la clé maîtresse.
Permet aux utilisateurs non logués d'accéder au compte anonyme public LDAP.
Permet aux utilisateurs non logués d'accéder à des portlets autorisés. Ce compte utilisateur doit déjà exister dans le coffre-fort d'identité.
Pour activer Guest LDAP, vous devez désélectionner Utiliser le compte anonyme
public. Pour désactiver l'utilisateur Guest, sélectionnez Utiliser le compte anonyme
public.
Indiquez le mot de passe Guest LDAP.
Mot de passe Guest
LDAP
Connexion admin.
sécurisée
Login utilisateur
sécurisé
Sélectionnez cette option pour que toutes les communications utilisant le compte administrateur soient effectuées à l'aide d'un socket sécurisé (cette option peut nuire aux performances). Cette configuration permet
également d'exécuter des opérations qui ne nécessitent pas SSL.
Sélectionnez cette option pour que toutes les communications sur le compte de l'utilisateur logué soient effectuées à l'aide d'un socket sécurisé (cette option peut nuire aux performances). Cette configuration permet
également d'exécuter des opérations qui ne nécessitent pas SSL.
60
Guide d'installation du module de provisioning basé sur les rôles d'Identity Manager version 3.6
Type de paramètre
DN eDirectory
Champ Description
DN du conteneur racine Requis. Indiquez le nom distinctif LDAP du conteneur racine. Celui-ci est utilisé comme racine de recherche de définition d'entité par défaut lorsqu'aucune racine n'est indiquée dans la couche d'abstraction d'annuaire.
DN du pilote de
provisioning
Admin. application
utilisateur
Requis. Indiquez le nom distinctif du pilote de l'application utilisateur que vous avez créé auparavant dans
Section 3.1, « Création du pilote d'application utilisateur dans iManager », page 33
. Par exemple, si votre pilote est
UserApplicationDriver et si votre ensemble de pilotes est appelé myDriverSet, et si l'ensemble de pilotes est dans un contexte de o=myCompany, vous saisissez une valeur de : cn=UserApplicationDriver,cn=myD riverSet,o=myCompany
Requis. Un utilisateur existant dans le coffrefort d'identité qui dispose des droits pour effectuer des tâches administratives pour le conteneur d'utilisateurs de l'application utilisateur spécifié. Cet utilisateur peut utiliser l'onglet Administration de l'application utilisateur pour administrer le portail.
Si l'administrateur de l'application utilisateur participe aux tâches d'administration du workflow exposées dans iManager, le concepteur Novell pour Identity Manager ou l'application utilisateur (onglet Requêtes et
approbations), vous devez accorder à cet administrateur des droits d'ayant droit sur les instances d'objets contenues dans le pilote de l'application utilisateur. Reportez-vous au
Guide d'administration de l'application
utilisateur IDM pour en savoir plus.
Admin. application
provisioning
Pour modifier cette assignation après avoir déployé l'application utilisateur, vous devez utiliser les pages Administration > Sécurité de l'application utilisateur.
L'administration de l'application de provisioning gère les fonctions de workflow du provisioning accessibles par l'onglet Requêtes et
approbations de l'application utilisateur. Cet utilisateur doit exister dans le coffre-fort d'identité avant d'être désigné administrateur de l'application Provisioning.
Pour modifier cette assignation après avoir déployé l'application utilisateur, vous devez utiliser les pages Administration > Sécurité de l'application utilisateur.
Installation de JBoss depuis une interface graphique
61
Type de paramètre
Identité utilisateur du méta-annuaire
Champ
DN du conteneur
d'utilisateurs
Classe d'objets
Utilisateur
Attribut de login
Description
Requis. Indiquez le nom distinctif (DN) LDAP ou le nom LDAP complet du conteneur d'utilisateurs.
Cela définit l'étendue de recherche d'utilisateurs et de groupes.
Les utilisateurs de ce conteneur (et endessous) sont autorisés à se loguer à l'application utilisateur.
Important : assurez-vous que l'administrateur de l'application utilisateur spécifié lors de la configuration des pilotes de l'application utilisateur existe dans ce conteneur si vous souhaitez que cet utilisateur soit en mesure d'exécuter les workflows.
La classe d'objets utilisateur LDAP
(généralement inetOrgPerson).
L'attribut LDAP (par exemple, CN) qui représente le nom de login de l'utilisateur.
Attribut de l'adhésion
utilisateur la consultation d'utilisateurs ou de groupes. Il est différent de l'attribut de login, qui n'est utilisé que lors du login, et non pas lors des recherches d'utilisateurs/de groupes.
Facultatif. L'attribut LDAP qui représente l'adhésion à un groupe de l'utilisateur. N'utilisez pas d'espace pour ce nom.
Administrateur de rôles Ce rôle est disponible dans le module de provisioning basé sur les rôles de Novell d'Identity Manager. Il permet aux membres de créer, de supprimer ou de modifier l'ensemble des rôles, ainsi que de révoquer les assignations de rôles des utilisateurs, des groupes ou des conteneurs. Il permet
également à ses membres d'exécuter des rapports pour n'importe quel utilisateur. Par défaut, ce rôle est assigné à l'administrateur de l'application utilisateur.
Pour modifier cette assignation après avoir déployé l'application utilisateur, utilisez la page
Rôles > Assignations de rôles de l'application utilisateur.
62
Guide d'installation du module de provisioning basé sur les rôles d'Identity Manager version 3.6
Type de paramètre
Groupes d'utilisateurs du méta-annuaire
Certificats eDirectory
Keystore privé
Champ Description
DN de conteneur de
groupes
Requis. Indiquez le nom distinctif (DN) LDAP ou le nom LDAP complet du conteneur de groupes. Utilisé par les définitions d'entités au sein de la couche d'abstraction d'annuaire.
Classe d'objets Groupe La classe d'objets Groupe LDAP
(généralement groupofNames).
Attribut d'adhésion à un
groupe
L'attribut qui représente l'adhésion d'un utilisateur à un groupe. N'utilisez pas d'espaces pour le nom.
Utiliser des groupes
dynamiques
Sélectionnez cette option si vous souhaitez utiliser des groupes dynamiques.
Classe d'objets Groupe
dynamique
La classe d'objets Groupe dynamique LDAP
(généralement dynamicGroup).
Chemin d'accès au
Keystore
Requis. Indiquez le chemin d'accès complet au fichier (cacerts) de votre keystore du JRE que le serveur d'applications utilise pour fonctionner, ou bien cliquez sur le petit bouton du navigateur pour trouver le fichier cacerts .
L'installation de l'application utilisateur modifie le fichier keystore. Sous Linux ou Solaris, l'utilisateur doit avoir une autorisation pour
écrire sur ce fichier.
Mot de passe Keystore Requis. Indiquez le mot de passe cacerts.
L'unité par défaut est changeit.
Confirmer le mot de
passe Keystore
Chemin d'accès au
keystore privé
Le keystore privé contient la clé privée et les certificats de l'application utilisateur. Réservé.
Si vous laissez ce champ vierge, ce chemin d'accès est /jre/lib/security/cacerts par défaut.
Mot de passe Keystore
privé
Ce mot de passe est changeit, à moins d'indication contraire. Ce mot de passe est codé, en fonction de la clé maîtresse.
Mot de passe de la clé
privée d'indication contraire.
Ce mot de passe est nove1lIDM, à moins d'indication contraire. Ce mot de passe est codé, en fonction de la clé maîtresse.
Installation de JBoss depuis une interface graphique
63
Type de paramètre
Banque de clés approuvée
Clé de certificat et signature numérique
Novell Audit
Champ
Chemin d'accès à la
banque approuvée
Mot de passe de la
banque approuvée
Description
La banque de clés approuvées contient tous les certificats approuvés des signataires utilisés pour valider les signatures numériques.
Si ce chemin est vide, l'application utilisateur obtient le chemin à partir de la propriété
Système javax.net.ssl.trustStore. Si le chemin n'y est pas, il est supposé être jre/ lib/security/cacerts.
Si ce champ est vierge, l'application utilisateur obtient le mot de passe à partir de la propriété système javax.net.ssl.trustStorePassword.
S'il n'y a aucune valeur, changeit est utilisé.
Ce mot de passe est codé, en fonction de la clé maîtresse.
Contient le certificat et la clé de signature numérique Novell Audit.
Paramètres Access
Manager et iChain
Certificat de signature
numérique Novell Audit
Affiche le certificat de signature numérique.
Clé privée de signature
numérique Novell Audit
Affiche la clé privée de signature numérique.
Cette clé est codée, en fonction de la clé maîtresse.
Logout simultané activé Si cette option est activée, l'application utilisateur prend en charge le logout simultané de l'application utilisateur et de Novell Access
Manager ou d'iChain. L'application utilisateur vérifie la présence du cookie iChain ou Novell
Access Manager durant le logout ; s'il est présent, elle redirige l'utilisateur vers la page de logout simultané.
Page de Logout
simultané
L'URL pointant vers la page de logout de
Novell Access Manager ou iChain, lorsque l'URL est un nom d'hôte attendu par Novell
Access Manager ou iChain. Si la fonction de logout simultané est activée et si un utilisateur se délogue de l'application utilisateur, l'utilisateur est redirigé vers cette page. L'une des URL ci-dessous doit diriger la fonction de logout simultané vers la page correcte en fonction de l'environnement.
Access Manager : https:// votreServeurDePasserelleAccess/
AGLogout iChain : https://votreServeurIChain/ cmd/ICSLogout
64
Guide d'installation du module de provisioning basé sur les rôles d'Identity Manager version 3.6
Type de paramètre
Courrier électronique
Champ Description
Jeton de l'hôte du
modèle de notification
Indiquez le serveur d'applications hébergeant l'application utilisateur Identity Manager. Par exemple : myapplication serverServer
Cette valeur remplace le jeton $HOST$ des modèles de courrier électronique. L'URL construite est la liaison aux tâches de requête de provisioning et aux notifications d'approbation.
Jeton du port du modèle
de notification
Utilisé pour remplacer le jeton $PORT$ des modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.
Jeton du port sécurisé du modèle de
notification
Jeton du protocole du
modèle de notification
Jeton du protocole sécurisé du modèle de
notification
Notification SMTP - expéditeur du courrier
électronique
Utilisé pour remplacer le jeton
$SECURE_PORT$ des modèles de courrier
électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.
Se rapporte à un protocole non sécurisé,
HTTP. Utilisé pour remplacer le jeton
$PROTOCOL$ des modèles de courrier
électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.
Se rapporte à un protocole sécurisé, HTTPS.
Utilisé pour remplacer le jeton
$SECURE_PROTOCOL$ des modèles de courrier électronique utilisés dans les tâches de requête de provisioning et les notifications d'approbation.
Indiquez l'utilisateur expéditeur du courrier
électronique dans le message de provisioning.
Notification SMTP - destinataire du courrier
électronique
Indiquez l'utilisateur destinataire du courrier
électronique dans le message de provisioning.
Il peut s'agir d'une adresse IP ou d'un nom
DNS.
Installation de JBoss depuis une interface graphique
65
Type de paramètre
Gestion des mots de passe
Divers
Champ Description
Utiliser le WAR de mots
de passe externe
Cette fonction permet d'indiquer une page Mot de passe oublié qui réside dans un WAR Mot de passe oublié externe et une URL que le
WAR Mot de passe oublié externe utilise pour rappeler l'application utilisateur grâce à un service Web.
Liaison Mot de passe
oublié
Si vous sélectionnez Utiliser le WAR de mot de
passe externe, vous devez fournir des valeurs pour Lien Mot de passe oublié et Lien Retour
mot de passe oublié.
Si vous ne sélectionnez pas Utiliser le WAR de
mot de passe externe, IDM utilise la fonction de gestion des mots de passe interne par défaut.
/jsps/pwdmgt/ForgotPassword.jsf
(sans le protocole http(s) au début). Cela redirige l'utilisateur vers la fonction Mot de passe oublié intégrée à l'application utilisateur, plutôt que vers un WAR externe.
Cette URL pointe vers la page de fonction Mot de passe oublié. Indiquez un fichier
ForgotPassword.jsf dans un WAR de gestion des mots de passe externe ou interne.
Pour plus de détails, reportez-vous à
« Utilisation des WAR de mots de passe » page 67
.
Liaison de retour Mot de
passe oublié
Si vous utilisez un WAR de gestion des mots de passe externe, indiquez le chemin d'accès que le WAR de gestion des mots de passe externe utilise pour rappeler l'application utilisateur par des services Web, par exemple https:// idmhost:sslport/idm .
Timeout de session
OCSP URI
Chemin de configuration
d'autorisation
Le timeout de session de l'application.
Si l'installation client utilise le protocole OCSP
(protocole de propriété d'état de certificat en ligne), fournissez un identificateur de ressource uniforme (URI). Par exemple, le format est http://host:port/ocspLocal. L'URI OCSP met à jour le statut des certificats approuvés en ligne.
Nom complet du fichier de configuration de l'autorisation.
66
Guide d'installation du module de provisioning basé sur les rôles d'Identity Manager version 3.6
Link pubblico aggiornato
Il link pubblico alla tua chat è stato aggiornato.