IBM Tivoli Access Manager for e-business
IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění Verze 5.1
SC09-3713-00
IBM Tivoli Access Manager for e-business
IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění Verze 5.1
SC09-3713-00
Poznámka Před tím, než budete používat tyto informace a produkt, které podporují, přečtěte si informace v dodatku “Upozornění”, na stránce 71.
První vydání (Listopad 2003) Toto vydání platí pro verzi 5.1 produktu IBM Tivoli Access Manager (číslo produktu 5724-C08) a pro všechna následující vydání a modifikace, pokud nebude jinak indikováno v nových vydáních. © Copyright International Business Machines Corporation 2003. Všechna práva vyhrazena.
Obsah Úvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v Kdo by měl číst tuto publikaci . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v Co tato publikace obsahuje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v Publikace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vi Informace o vydání . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vi Základní informace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vi Informace o zabezpečení webu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vi Odkazy pro vývojáře . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii Technické přílohy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . viii Související publikace. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . viii Zpřístupnění publikací online . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi Přístupnost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii Obracení se na softwarovou podporu . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii Konvence použité v této publikaci . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii Konvence typu písma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii Rozdíly v operačních systémech . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii
Kapitola 1. Přehled integračních úloh . . . . . . . . . . . . . . . . . . . . . . . 1 Základní integrační úlohy . . . . . . . . . . . . Úlohy produktu Tivoli Identity Manager související s integrací . Specializované integrační úlohy . . . . . . . . . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. 1 . 2 . 3
Kapitola 2. Instalace kolekce funkce zajišťování rychlého spuštění . . . . . . . . . . . 5 Před spuštěním instalačního programu . . . . . Požadavky pro instalační program . . . . . Požadavky pro úlohy a ukázky . . . . . . Výběr automatizovaných úloh a ukázek k instalaci Spuštění instalačního programu . . . . . . . Kontrola předpokladů . . . . . . . . . Výběr položek k instalaci. . . . . . . . Konfigurace a instalace . . . . . . . . Po spuštění instalačního programu . . . . . . Odinstalace . . . . . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. . . . . . . . . .
. 5 . 5 . 6 . 6 . 11 . 11 . 14 . 15 . 15 . 15
Kapitola 3. Vytvoření služeb a předvolené politiky zajišťování produktu Tivoli Access Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Automatizovaná konfigurace . . . . . Služba . . . . . . . . . . . Předvolená politika zajišťování . . . . Úlohy prováděné po konfiguraci . . . . Zobrazení nebo modifikace služby . . . Přizpůsobení předvolené politiky zajišťování
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
17 17 18 19 19 19
Kapitola 4. Konfigurace produktu Tivoli Identity Manager pro jednotné přihlášení pro server WebSEAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Automatizovaná konfigurace . . . . . . . . . . . . . . . . . . . Spojení WebSEAL pro jednotné přihlášení . . . . . . . . . . . . . . Soubory vlastností produktu Tivoli Identity Manager související s jednotným přihlášením Úlohy prováděné po konfiguraci . . . . . . . . . . . . . . . . . . Spuštění automatizovaných úloh v klastrovaném prostředí . . . . . . . . . . Změna relace v prodlevě Tivoli Identity Manager . . . . . . . . . . . . Konfigurace certifikátu SSL pro spojení SSL . . . . . . . . . . . . . . Modifikace ACL pro spojení. . . . . . . . . . . . . . . . . . . Zaměření se na záležitosti zabezpečení . . . . . . . . . . . . . . . . © Copyright IBM Corp. 2003
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
22 22 22 23 23 24 24 25 25
iii
Změna konfigurované stránky pro odhlášení . . . . . . Přístup ke stránce pro přihlášení do Tivoli Identity Manager .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. 26 . 27
Kapitola 5. Import a synchronizace uživatelských dat . . . . . . . . . . . . . . . . 29 Obslužný program IBM Directory Integrator AssemblyLine Samples. . . . . . . . . . . Instalace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Požadavky pro instalaci . . . . . . . . . . . . . . . . . . . . . . . Instalované komponenty . . . . . . . . . . . . . . . . . . . . . . . Konfigurace . . . . . . . . . . . . . . . . . . . . . . . . . . . Vytvoření služby IDI Data Feed v produktu Tivoli Identity Manager . . . . . . . . . . Konfigurace souborů vlastností . . . . . . . . . . . . . . . . . . . . . Konfigurace konektorů . . . . . . . . . . . . . . . . . . . . . . . Zaměření se na záležitosti zabezpečení . . . . . . . . . . . . . . . . . . . Zaměření se na posouzení výkonu . . . . . . . . . . . . . . . . . . . . Spuštění obslužného programu . . . . . . . . . . . . . . . . . . . . . . Import uživatelů Tivoli Access Manager (v jednoduché doméně) do Tivoli Identity Manager . . Import uživatelů Tivoli Access Manager (ve vícenásobné doméně) do Tivoli Identity Manager . . Import uživatelů ze stávajícího společného adresáře . . . . . . . . . . . . . . . Synchronizace atributů uživatele Tivoli Identity Manager s atributy uživatele Tivoli Access Manager
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
29 30 30 30 32 32 33 38 38 38 38 38 40 42 44
Kapitola 6. Vytvoření webového rozhraní pro samosprávu uživatelů. . . . . . . . . . 47 Produkt Web Application Sample . . . . . . . . . . . . . . . Znalost předpokladů pro použití Ukázky . . . . . . . . . . . . Předem požadovaný software a konfigurace pro použití Ukázky . . . . . Funkce Ukázky . . . . . . . . . . . . . . . . . . . Instalace . . . . . . . . . . . . . . . . . . . . . . . Požadavky pro instalaci . . . . . . . . . . . . . . . . . Instalační metody . . . . . . . . . . . . . . . . . . . Konfigurace . . . . . . . . . . . . . . . . . . . . . Zajištění řádného přístupu k JSP . . . . . . . . . . . . . . Konfigurace upozornění na e-mail v produktu Tivoli Identity Manager . . . Konfigurace funkce Přihlášení . . . . . . . . . . . . . . . Konfigurace hlavní (domovské) stránky . . . . . . . . . . . . Konfigurace funkce hesla . . . . . . . . . . . . . . . . Konfigurace funkce Samostatná registrace . . . . . . . . . . . Konfigurace funkce Osobní péče . . . . . . . . . . . . . . Konfigurace funkce Přiřazení aplikace . . . . . . . . . . . . . Konfigurace funkce Výzva/Odezva . . . . . . . . . . . . . . Konfigurace funkce Odhlášení . . . . . . . . . . . . . . . Konfigurace Ukázky pro použití s jednotným přihlášením pro server WebSEAL Přizpůsobení . . . . . . . . . . . . . . . . . . . . . Přizpůsobení banneru . . . . . . . . . . . . . . . . . . Přizpůsobení řazení formátovacích sad za sebou . . . . . . . . . . Přizpůsobení stránek serveru Java (JSP) . . . . . . . . . . . . Přizpůsobení servletů . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .
47 47 48 48 48 49 49 53 53 54 54 55 55 59 62 63 65 65 65 68 68 68 68 68
Dodatek. Upozornění . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 Ochranné známky .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 72
Rejstřík . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
iv
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Úvod IBM® Tivoli® Access Manager (Tivoli Access Manager) je základní software, který je požadován ke spuštění aplikací v sadě produktů IBM Tivoli Access Manager. Umožňuje integraci aplikací produktu IBM Tivoli Access Manager, které poskytují široký rozsah řešení přidělování práv a správy. Prodávány jako integrované řešení, tyto produkty poskytují řešení správy řízení přístupu, které soustřeďuje bezpečnostní politiku sítě a aplikací pro aplikace e-business. Poznámka: IBM Tivoli Access Manager je nové jméno dříve vydaného softwaru nazvaného Tivoli SecureWay® Policy Director. Rovněž, pro uživatele obeznámené se softwarem a dokumentací Tivoli SecureWay Policy Director, se nyní na server správy odkazuje jako na server politiky. Produkt Tivoli Access Manager lze integrovat s produktem IBM Tivoli Identity Manager, aby se mohla využít jeho správa totožnosti a funkce zajišťování. Sledujíce stručný přehled úloh, které můžete provést, abyste integrovali IBM Tivoli Identity Manager a IBM Tivoli Access Manager for e-business, tato příručka poskytuje instrukce k instalaci a použití kolekce funkce zajišťování rychlého spuštění. Kolekce funkce zajišťování rychlého spuštění se skládá z automatizovaných úloh, obslužných programů a ukázek, které by vám mohly pomoci při integraci produktů Tivoli Identity Manager a Tivoli Access Manager for e-business.
Kdo by měl číst tuto publikaci Tato příručka je určena pro systémové administrátory a administrátory zabezpečení odpovědné za integraci produktu Tivoli Access Manager s produktem Tivoli Identity Manager. Čtenáři této publikace by měli mít zkušenosti s rozšířenou administrativou produktů: v Tivoli Access Manager for e-business a jeho předpoklady v Tivoli Identity Manager a jeho předpoklady Poznámka: Kapitola 6, “Vytvoření webového rozhraní pro samosprávu uživatelů”, na stránce 47 je napsána pro vývojáře webových aplikací, kteří mají zkušenosti s aplikačním serverem WebSphere, servlety Java a stránkami serveru Java.
Co tato publikace obsahuje Tato příručka obsahuje následující sekce: v Kapitola 1, “Přehled integračních úloh”, na stránce 1. Poskytuje přehled úloh souvisejících s integrací produktů Tivoli Access Manager a Tivoli Identity Manager a seznamuje s kolekcí funkce zajišťování rychlého spuštění. v Kapitola 2, “Instalace kolekce funkce zajišťování rychlého spuštění”, na stránce 5. Popisuje, jak instalovat kolekci funkce zajišťování rychlého spuštění prostřednictvím instalačního programu funkce zajišťování rychlého spuštění. v Kapitola 3, “Vytvoření služeb a předvolené politiky zajišťování produktu Tivoli Access Manager”, na stránce 17. Popisuje automatizovanou úlohu pro vytvoření služeb a politiky zajišťování produktu Tivoli Access Manager.
© Copyright IBM Corp. 2003
v
v Kapitola 4, “Konfigurace produktu Tivoli Identity Manager pro jednotné přihlášení pro server WebSEAL”, na stránce 21. Popisuje automatizovanou úlohu, která umožní, aby produkt Tivoli Identity Manager používal jednotné přihlášení pro server WebSEAL. v Kapitola 5, “Import a synchronizace uživatelských dat”, na stránce 29. Popisuje obslužný program IBM Directory Integrator AssemblyLine Samples a jak jej používat k importu a synchronizaci uživatelských dat. v Kapitola 6, “Vytvoření webového rozhraní pro samosprávu uživatelů”, na stránce 47. Popisuje produkt Web Application Sample a jak jej můžete používat, aby vaši uživatelé mohli spravovat svá vlastní ID uživatele a hesla v produktu Tivoli Identity Manager.
Publikace Prohlédněte si popisy knihovny Tivoli Access Manager, publikace předpokladů a související publikace, abyste zjistili, které publikace by vám mohly pomoci. Poté, co zjistíte, jaké publikace potřebujete, podívejte se na instrukce pro zpřístupnění publikací online. Další informace o produktu IBM Tivoli Access Manager for e-business jako takovém lze nalézt na: http://www.ibm.com/software/tivoli/products/access-mgr-e-bus/ Knihovna Tivoli Access Manager je organizována do následujících kategorií: v “Informace o vydání” v v v v
“Základní informace” “Informace o zabezpečení webu” “Odkazy pro vývojáře” na stránce vii “Technické přílohy” na stránce viii
Informace o vydání v IBM Tivoli Access Manager for e-business Čtěte jako první (GI11-2930-00) Poskytuje informace pro instalaci a zahájení práce s produktem Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Release Notes (GI11-4156-00) Poskytuje doplňující informace jako softwarová omezení, způsoby, jak obejít problémy, a aktualizace dokumentace.
Základní informace v IBM Tivoli Access Manager Base Installation Guide (SC32-1362-00) Vysvětluje, jak instalovat a konfigurovat základní software Tivoli Access Manager včetně rozhraní Web Portal Manager. Tato publikace je podmnožinou IBM Tivoli Access Manager for e-business Web Security Installation Guide a je určena k použití s jinými produkty Tivoli Access Manager, jako jsou IBM Tivoli Access Manager for Business Integration a IBM Tivoli Access Manager for Operating Systems. v IBM Tivoli Access Manager Base: Administrativní příručka (SC09-3708-00) Popisuje koncepty a procedury pro použití služeb Tivoli Access Manager. Poskytuje instrukce k provádění úloh z rozhraní Web Portal Manager a použitím příkazu pdadmin.
Informace o zabezpečení webu v IBM Tivoli Access Manager for e-business Web Security Installation Guide (SC32-1361-00)
vi
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
v
v
v
v
v
v
v
Poskytuje instrukce k instalaci, konfiguraci a odstranění základního softwaru Tivoli Access Manager a také komponent zabezpečení webu. Tato publikace je přídavkem k IBM Tivoli Access Manager Base Installation Guide. IBM Tivoli Access Manager Upgrade Guide (SC32-1369-00) Vysvětluje, jak přejít z Tivoli SecureWay Policy Director verze 3.8 nebo předchozích verzí produktu Tivoli Access Manager na Tivoli Access Manager verze 5.1. IBM Tivoli Access Manager for e-business WebSEAL: Administrativní příručka (SC09-3709-00) Poskytuje podrobné materiály, administrativní procedury a technické reference pro použití serveru WebSEAL ke správě prostředků vaší zabezpečené webové domény. IBM Tivoli Access Manager for e-business IBM WebSphere Application Server: Integrační příručka (SC09-3710-00) Poskytuje instrukce k instalaci, odstranění a administrativě pro integraci Tivoli Access Manager s aplikačním serverem IBM WebSphere®. IBM Tivoli Access Manager for e-business IBM WebSphere Edge Server Integration Guide (SC32-1367-00) Poskytuje instrukce k instalaci, odstranění a administrativě pro integraci produktu Tivoli Access Manager s aplikací IBM WebSphere Edge Server. IBM Tivoli Access Manager for e-business Plug-in for Web Servers: Integrační příručka (SC09-3712-00) Poskytuje instrukce k instalaci, administrativní procedury a technické reference pro zabezpečení vaší webové domény pomocí plug-inu pro webové servery. IBM Tivoli Access Manager for e-business BEA WebLogic Server: Integrační příručka (SC09-3711-00) Poskytuje instrukce k instalaci, odstranění a administrativě pro integraci produktu Tivoli Access Manager se serverem BEA WebLogic. IBM Tivoli Access Manager for e-business IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění (SC09-3713-00) Poskytuje přehled úloh souvisejících se sloučením produktů Tivoli Access Manager a Tivoli Identity Manager a vysvětluje, jak používat a instalovat kolekci funkce zajišťování rychlého spuštění.
Odkazy pro vývojáře v IBM Tivoli Access Manager for e-business Authorization C API Developer Reference (SC32-1355-00) Poskytuje referenční materiál, který popisuje, jak používat přidělování práv C API (rozhraní aplikačních programů) produktu Tivoli Access Manager a rozhraní plug-inu služby Tivoli Access Manager k přidání zabezpečení Tivoli Access Manager pro aplikace. v IBM Tivoli Access Manager for e-business Authorization Java Classes Developer Reference (SC32-1350-00) Poskytuje referenční informace pro použití implementace jazyka Java™ autorizace API, aby se aplikaci umožnilo používat zabezpečení produktu Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Administration C API Developer Reference (SC32-1357-00) Poskytuje referenční informace o použití administrativy API, aby se aplikaci umožnilo provádět administrativní úlohy produktu Tivoli Access Manager. Tento dokument popisuje implementaci jazyka C administrativy API. v IBM Tivoli Access Manager for e-business Administration Java Classes Developer Reference (SC32-1356-00)
Úvod
vii
Poskytuje referenční informace pro použití implementace jazyka Java administrativy API, aby se aplikaci umožnilo provádět administrativní úlohy produktu Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Web Security Developer Reference (SC32-1358-00) Poskytuje administrativu a informace o programování pro CDAS (cross-domain authentication service), CDMF (cross-domain mapping framework) a modul odolnosti hesla.
Technické přílohy v IBM Tivoli Access Manager for e-business Command Reference (SC32-1354-00) Poskytuje informace o obslužných programech příkazového řádku a skriptech poskytovaných s produktem Tivoli Access Manager. v IBM Tivoli Access Manager Error Message Reference (SC32-1353-00) Poskytuje vysvětlení a doporučené akce pro zprávy vytvořené produktem Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Problem Determination Guide (SC32-1352-00) Poskytuje informace k určení problému pro produkt Tivoli Access Manager. v IBM Tivoli Access Manager for e-business Performance Tuning Guide (SC32-1351-00) Poskytuje informace k dolaďování výkonu pro prostředí skládající se z produktu Tivoli Access Manager se serverem adresářů IBM Tivoli Directory Server jakožto registrem uživatelů.
Související publikace Tato sekce zobrazuje seznam publikací souvisejících s knihovnou Tivoli Access Manager. Knihovna softwaru pro platformu Tivoli poskytuje výběr publikací o Tivoli jako dokumenty typu white papers a redbooks, tabulky s daty, demonstrace a oznamovací dopisy. Knihovna softwaru pro platformu Tivoli je k dispozici na webu na adrese: http://www.ibm.com/software/tivoli/library/ Nástroj Slovníček softwaru pro platformu Tivoli zahrnuje definice pro mnoho technických termínů vztahujících se k softwaru Tivoli. Slovníček softwaru pro platformu Tivoli je k dispozici (pouze v angličtině) prostřednictvím odkazu Slovníček na levé straně webové stránky slovníčku softwaru pro platformu Tivoli http://www.ibm.com/software/tivoli/library/
IBM Global Security Kit Tivoli Access Manager poskytuje šifrování dat pomocí produktu IBM Global Security Kit (GSKit) verze 7.0. GSKit je zahrnut na CD IBM Tivoli Access Manager Base pro vaši konkrétní platformu jakož i na CD IBM Tivoli Access Manager Web Security, IBM Tivoli Access Manager Web Administration Interfaces a IBM Tivoli Access Manager Directory Server. Sada programů GSKit poskytuje obslužný program správy klíčů iKeyman, gsk7ikm, který se používá k vytváření databází klíčů, párů klíčů veřejný-soukromý a požadavků certifikace. Následující dokument je k dispozici na webovém serveru Tivoli Information Center ve stejné sekci jako dokumentace produktu IBM Tivoli Access Manager: v IBM Global Security Kit Secure Sockets Layer and iKeyman User’s Guide (SC32-1363-00) Poskytuje informace pro administrátory zabezpečení sítě nebo systému, kteří mají v úmyslu aktivovat komunikaci SSL v jejich prostředí produktu Tivoli Access Manager.
viii
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
IBM Tivoli Directory Server IBM Tivoli Directory Server verze 5.2 je začleněn na CD IBM Tivoli Access Manager Directory Server pro požadovaný operační systém. Poznámka: IBM Tivoli Directory Server je nové jméno pro dříve vydaný software známý jako: v IBM Directory Server (verze 4.1 a verze 5.1) v IBM SecureWay Directory Server (verze 3.2.2) IBM Directory Server verze 4.1, IBM Directory Server verze 5.1 a IBM Tivoli Directory Server verze 5.2 jsou podporovány produktem IBM Tivoli Access Manager verze 5.1. Další informace o produktu IBM Tivoli Directory Server lze nalézt na: http://www.ibm.com/software/network/directory/library/
IBM DB2 Universal Database IBM DB2® Universal Database™ Enterprise Server Edition verze 8.1 je poskytnuta na CD IBM Tivoli Access Manager Directory Server a je instalována se softwarem IBM Tivoli Directory Server. DB2 je požadováno při použití serverů LDAP IBM Tivoli Directory Server, z/OS™ nebo OS/390® jakožto registrů uživatelů pro Tivoli Access Manager. Další informace o DB2 lze nalézt na: http://www.ibm.com/software/data/db2/
IBM WebSphere Application Server Produkt IBM WebSphere Application Server, Advanced Single Server Edition 5.0 je začleněn na CD IBM Tivoli Access Manager Web Administration Interfaces pro požadovaný operační systém. WebSphere Application Server umožňuje podporu jak rozhraní Web Portal Manager, které se používá ke správě Tivoli Access Manager, tak nástroje Web Administration Tool, který se používá ke správě IBM Tivoli Directory Server. IBM WebSphere Application Server Fix Pack 2 je také požadován produktem Tivoli Access Manager a je poskytnut na CD IBM Tivoli Access Manager WebSphere Fix Pack. Další informace o produktu IBM WebSphere Application Server lze nalézt na: http://www.ibm.com/software/webservers/appserv/infocenter.html
IBM Tivoli Access Manager for Business Integration IBM Tivoli Access Manager for Business Integration, dostupný jako samostatně objednatelný produkt, poskytuje řešení zabezpečení pro zprávy k produktům IBM MQSeries® verze 5.2 a IBM WebSphere® MQ verze 5.3. IBM Tivoli Access Manager for Business Integration umožňuje aplikacím WebSphere MQSeries odesílat data pomocí klíčů přidružených aplikacím pro odesílání a přijímání tak, aby tato data byla utajená a zachovala se jejich integrita. Jako WebSEAL a IBM Tivoli Access Manager for Operating Systems, IBM Tivoli Access Manager for Business Integration je jedním ze správců zdrojů, které využívají služeb produktu IBM Tivoli Access Manager. Další informace o produktu IBM Tivoli Access Manager for Business Integration lze nalézt na: http://www.ibm.com/software/tivoli/products/access-mgr-bus-integration/ Následující dokumenty vztahující se k produktu IBM Tivoli Access Manager for Business Integration verze 5.1 jsou k dispozici na webovém serveru Tivoli Information Center: Úvod
ix
v IBM Tivoli Access Manager for Business Integration Administration Guide (SC23-4831-01) v IBM Tivoli Access Manager for Business Integration Problem Determination Guide (GC23-1328-00) v IBM Tivoli Access Manager for Business Integration Release Notes (GI11-0957-01) v IBM Tivoli Access Manager for Business Integration Read This First (GI11-4202-00)
IBM Tivoli Access Manager for WebSphere Business Integration Brokers IBM Tivoli Access Manager for WebSphere Business Integration Brokers, dostupný jako část produktu IBM Tivoli Access Manager for Business Integration, poskytuje řešení zabezpečení pro WebSphere Business Integration Message Broker verze 5.0 a WebSphere Business Integration Event Broker verze 5.0. IBM Tivoli Access Manager for WebSphere Business Integration Brokers pracuje ve spojení s produktem Tivoli Access Manager, aby poskytnutím autentizace založené na heslu a pověřeních, centrálně-definovaným přidělováním práv a monitorovacími službami zabezpečil aplikace typu uveřejnit/podepsat JMS. Další informace o produktu IBM Tivoli Access Manager for WebSphere Integration Brokers lze nalézt na: http://www.ibm.com/software/tivoli/products/access-mgr-bus-integration/ Následující dokumenty vztahující se k produktu IBM Tivoli Access Manager for WebSphere Integration Brokers verze 5.1 jsou k dispozici na webovém serveru Tivoli Information Center: v IBM Tivoli Access Manager for WebSphere Business Integration Brokers Administration Guide (SC32-1347-00) v IBM Tivoli Access Manager for WebSphere Business Integration Brokers Release Notes (GI11-4154-00) v IBM Tivoli Access Manager for Business Integration Read This First (GI11-4202-00)
IBM Tivoli Access Manager for Operating Systems IBM Tivoli Access Manager for Operating Systems, dostupný jako samostatně objednatelný produkt, poskytuje mimo uplatnění, která jsou poskytnuta původním operačním systémem, řadu uplatnění politiky přidělování práv na systémech UNIX. IBM Tivoli Access Manager for Operating Systems, jako WebSEAL a IBM Tivoli Access Manager for Business Integration, je jedním ze správců zdrojů, které využívají služeb produktu IBM Tivoli Access Manager. Další informace o produktu IBM Tivoli Access Manager for Operating Systems lze nalézt na: http://www.ibm.com/software/tivoli/products/access-mgr-operating-sys/ Následující dokumenty vztahující se k produktu IBM Tivoli Access Manager for Operating Systems verze 5.1 jsou k dispozici na webovém serveru Tivoli Information Center: v IBM Tivoli Access Manager for Operating Systems Installation Guide (SC23-4829-00) v IBM Tivoli Access Manager for Operating Systems Administration Guide (SC23-4827-00) v IBM Tivoli Access Manager for Operating Systems Problem Determination Guide (SC23-4828-00) v IBM Tivoli Access Manager for Operating Systems Release Notes (GI11-0951-00) v IBM Tivoli Access Manager for Operating Systems Read Me First (GI11-0949-00)
IBM Tivoli Identity Manager IBM Tivoli Identity Manager verze 4.5, dostupný jako samostatně objednatelný produkt, vám umožňuje centrálně spravovat uživatele (například ID uživatelů a hesla) a zajišťovat (to
x
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
znamená poskytovat nebo rušit přístup k aplikacím, prostředkům nebo operačním systémům). Tivoli Identity Manager lze integrovat s produktem Tivoli Access Manager prostřednictvím Agenta Tivoli Access Manager. Abyste získali další informace o zakoupení Agenta, obraťte se na vašeho reprezentanta konta IBM. Další informace o produktu IBM Tivoli Identity Manager lze nalézt na: http://www.ibm.com/software/tivoli/products/identity-mgr/ Následující dokumenty vztahující se k produktu IBM Tivoli Identity Manager verze 4.5 jsou k dispozici na webovém serveru Tivoli Information Center: v IBM Tivoli Identity Manager Release Notes (GI11-4212-00) v IBM Tivoli Identity Manager Server Installation Guide on UNIX using WebSphere (SC32-1147-02) v IBM Tivoli Identity Manager Server Installation Guide on Windows 2000 using WebSphere (SC32-1148-01) v IBM Tivoli Identity Manager Server Installation Guide on UNIX using WebLogic (SC32-1334-00) v IBM Tivoli Identity Manager Server Installation Guide on Windows 2000 using WebLogic (SC32-1335-00) v IBM Tivoli Identity Manager Policy and Organization Administration Guide (SC32-1149-01) v IBM Tivoli Identity Manager End User Guide (SC32-1152-01) v IBM Tivoli Identity Manager Server Configuration Guide (SC32-1150-02) v IBM Tivoli Identity Manager Server Troubleshooting Guide (SC32-1151-01) v IBM Tivoli Identity Manager Access Manager Agent for Windows Installation Guide (SC32-1165-03) v IBM Tivoli Identity Manager Lotus Notes Agent Installation Guide (SC32-1157-03) v IBM Tivoli Identity Manager Sybase Agent for Windows Installation Guide (SC32-1161-03) v IBM Tivoli Identity Manager Oracle Agent for Windows Installation Guide (SC32-1155-03) v IBM Tivoli Identity Manager Windows 2000 Agent Installation Guide (SC32-1153-03) v IBM Tivoli Identity Manager Windows NT Agent Installation Guide (SC32-1154-03) v IBM Tivoli Identity Manager AIX Agent Installation Guide (SC32-1162-03) v IBM Tivoli Identity Manager Exchange 2000 Agent Installation Guide (SC32-1156-03) v IBM Tivoli Identity Manager Novell NetWare Agent Installation Guide (SC32-1158-03) v IBM Tivoli Identity Manager Universal Provisioning Agent Installation Guide (SC32-1159-03)
Zpřístupnění publikací online Publikace pro tento produkt jsou k dispozici online ve formátu PDF (Portable Document Format) nebo formátu HTML (Hypertext Markup Language) nebo v obou formátech v knihovně softwaru pro platformu Tivoli: http://www.ibm.com/software/tivoli/library Abyste v knihovně nalezli publikace k produktu, klepněte na odkaz Manuály k produktu na levé straně stránky knihovny. Potom na stránce softwarového informačního centra Tivoli vyhledejte produkt a klepněte na jeho jméno. Publikace k produktům zahrnují poznámky k vydání, instalační příručky, uživatelské příručky, příručky administrátorů a odkazy vývojářů. Úvod
xi
Poznámka: Pro zajištění správného vytištění publikací PDF vyberte zaškrtávací pole Vtěsnat na stránku (Fit to page) v okně tisku Adobe Acrobat Print (které je dostupné, když klepnete na menu Soubor (File) → Tisk (Print)).
Přístupnost Funkce přístupnosti pomáhají uživateli, který má fyzický handicap jako omezenou pohyblivost nebo špatný zrak, úspěšně používat softwarové produkty. S tímto produktem můžete používat podpůrné technologie, abyste slyšeli a pohybovali se rozhraním. K obsluze všech funkcí grafického uživatelského rozhraní můžete namísto myši použít klávesnici.
Obracení se na softwarovou podporu Před tím, než se s problémem obrátíte na softwarovou podporu IBM Tivoli, podívejte se na server IBM Tivoli Software Support klepnutím na odkaz Tivoli support na následujícím webovém serveru: http://www.ibm.com/software/support/ Pokud potřebujete další pomoc, obraťte se na softwarovou podporu pomocí metod popsaných v příručce IBM Software Support Guide na následujícím webovém serveru: http://techsupport.services.ibm.com/guides/handbook.html Tato příručka poskytuje následující informace: v Požadavky na registraci a způsobilost pro získání podpory v Telefonní čísla v závislosti na zemi, v níž se nalézáte v Seznam informací, které byste měli před tím, než se obrátíte na zákaznickou podporu, shromáždit
Konvence použité v této publikaci Tato reference používá několik konvencí pro speciální výrazy, akce a pro příkazy a cesty závisející na operačním systému.
Konvence typu písma V této referenci jsou použity následující konvence typu písma: Tučné písmo Příkazy malými nebo smíšenými písmeny, které se obtížně odlišují od okolního textu, klíčová slova, parametry, volby, jména tříd Java a objekty jsou tučným písmem. Kurzíva Proměnné, názvy publikací a speciální slova nebo fráze, které jsou zdůrazněny, jsou kurzívou. Monospace Příklady kódu, příkazové řádky, výstupy obrazovky, jména souborů a adresářů, která se obtížně odlišují od okolního textu, systémové zprávy, text, který musí uživatel zadat, a hodnoty pro parametry nebo volby příkazů jsou psány písmem typu monospace.
Rozdíly v operačních systémech Tato publikace používá konvenci operačního systému UNIX pro uvádění proměnných prostředí a pro označení adresářů. Pokud používáte příkazový řádek systému Windows,
xii
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
nahraďte $proměnnou za %proměnnou% pro proměnné prostředí a v cestách k adresářům nahraďte každé lomítko (/) zpětným lomítkem (\). Používáte-li shell bash v systému Windows, můžete používat konvence systému UNIX.
Úvod
xiii
xiv
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Kapitola 1. Přehled integračních úloh IBM Tivoli Access Manager for e-business poskytuje na politice založené řízení přístupu k podnikovým aplikacím, webovým aplikacím a zdrojům. IBM Tivoli Identity Manager poskytuje na politice založenou správu totožnosti (správa ID uživatelů a hesel) a zajišťování (poskytování nebo rušení přístupu k aplikacím, zdrojům nebo operačním systémům) v rámci podniku. Když použijete tyto produkty společně v integrovaném prostředí, budete nadále spravovat přístup k aplikacím a zdrojům pomocí Tivoli Access Manager, ale budete používat Tivoli Identity Manager ke správě uživatelů Tivoli Access Manager a ke správě zajišťování aplikací a zdrojů těmto uživatelům. Abyste integrovali tyto produkty, musíte provést některé základní integrační úlohy a některé úlohy Tivoli Identity Manager. V závislosti na vašem integrovaném prostředí budete možná potřebovat provést některé specializované integrační úlohy. Některé z těchto úloh byly automatizovány a jsou poskytnuty v kolekci obslužných programů nazvané Kolekce funkce zajišťování rychlého spuštění. Použití obslužných programů v kolekci je volitelné; avšak nejspíš zjistíte, že šetří váš čas a úsilí. Kolekce a její instalační program se nacházejí na CD IBM Tivoli Access Manager Base produktu IBM Tivoli Access Manager for e-business verze 5.1. Tato kapitola přehledu poskytuje shrnutí úloh, které musíte provést, abyste integrovali produkty Tivoli Access Manager a Tivoli Identity Manager. Avšak zbývající část příručky popisuje pouze ty úlohy, které jsou podporované kolekcí funkce zajišťování rychlého spuštění.
Základní integrační úlohy Tivoli Identity Manager lze integrovat s mnoha typy systémů (jako se systémy Lotus Notes, Novell NetWare, Tivoli Access Manager a dalšími). Proces integrace se bez ohledu na typ systému, který je integrován, skládá z několika základních úloh. Těmito základními úlohami jsou: 1. Instalace a konfigurace produktu Tivoli Identity Manager verze 4.5. (Možná také budete chtít instalovat produkt IBM Directory Integrator, který je dodáván s produktem Tivoli Identity Manager.) 2. Instalace a konfigurace softwaru pro jiný systém jako Tivoli Access Manager for e-business. 3. Nalezení a instalace softwaru agenta. Agenti jsou komponenty produktu Tivoli Identity Manager a jsou k dispozici pro každý typ systému, který lze integrovat s produktem Tivoli Identity Manager. Agenti jsou požadováni pro integraci, protože aktivují propojitelnost mezi serverem Tivoli Identity Manager a systémem, který bude spravován produktem Tivoli Identity Manager. Agent Tivoli Access Manager je k dispozici na webovém serveru IBM. Obraťte se na vašeho reprezentanta konta IBM, aby vám sdělil webovou adresu a instrukce ke stažení agenta. 4. Aktivace agenta. 5. Konfigurace komunikačních protokolů agenta, aby se agentovi umožnilo komunikovat se serverem Tivoli Identity Manager. 6. Instalace profilu agenta na server Tivoli Identity Manager. Profil definuje typ systému, který bude spravován produktem Tivoli Identity Manager. Například, pokud bude Tivoli Identity Manager spravovat jeden nebo více systémů Tivoli
© Copyright IBM Corp. 2003
1
Access Manager, profil Tivoli Access Manager musí být instalován na serveru Tivoli Identity Manager, aby Tivoli Identity Manager rozpoznal Tivoli Access Manager. Podrobné informace o provedení těchto předcházejících kroků jsou v příručce IBM Tivoli Identity Manager: IBM Tivoli Access Manager Agent Installation Guide. Integrujete-li produkt Tivoli Identity Manager s více než jednou doménou Tivoli Access Manager, budete tyto kroky muset opakovat pro každou doménu. Posledním krokem v Příručce agenta je konfigurace serveru Tivoli Identity Manager, aby rozeznal agenta jako službu. Tímto krokem začíná další fáze integrace.
Úlohy produktu Tivoli Identity Manager související s integrací Pro další fázi integrace budete muset použít Tivoli Identity Manager a jeho rozhraní k provedení následujících úloh. Úlohy, které lze provést pomocí automatizované úlohy nebo ukázky poskytnuté kolekcí funkce zajišťování rychlého spuštění, jsou indikovány označením Rychlé spuštění.
Upozornění Při dokončení této fáze byste ke správě uživatelů systému Tivoli Access Manager měli použít Tivoli Identity Manager místo nástroje Web Portal Manager nebo příkazu pdadmin v produktu Tivoli Access Manager. 1. Přidání služby Tivoli Access Manager do Tivoli Identity Manager, aby Tivoli Identity Manager mohl spravovat účty Tivoli Access Manager. Každý systém, který bude spravován produktem Tivoli Identity Manager, musí být přiřazen do Tivoli Identity Manager jako služba. Pokud bude Tivoli Identity Manager spravovat více než jeden systém Tivoli Access Manager, budete muset vytvořit službu pro každý systém Tivoli Access Manager. Rychlé spuštění: Tuto úlohu můžete provést pomocí odpovídající automatizované úlohy dostupné v kolekci funkce zajišťování rychlého spuštění. Abyste získali další informace, podívejte se na část Kapitola 3, “Vytvoření služeb a předvolené politiky zajišťování produktu Tivoli Access Manager”, na stránce 17. Poznámka: Pokud vaše prostředí Tivoli Access Manager zahrnuje zdroje, které povolují přístup pomocí globálního přihlašování (GSO) (to znamená zdroje GSO a skupiny zdrojů GSO), určitě nainstalujte Agenta GSO produktu Tivoli Access Manager. Tento agent vám umožňuje vytvořit služby pro zdroje GSO a skupiny zdrojů GSO. Agent a jeho dokumentace je k dispozici na webovém serveru IBM. Abyste získali další informace, obraťte se na vašeho reprezentanta konta IBM. 2. Vytvoření politiky totožnosti pro systém Tivoli Access Manager, aby se definovalo, jak bude Tivoli Identity Manager vytvářet ID uživatelů. 3. Vytvoření politiky hesla pro systém Tivoli Access Manager, aby Tivoli Identity Manager věděl, jak spravovat odolnost hesla, přihlášení do systému a synchronizaci. Poznámka: Pokud máte politiku hesla pro Tivoli Identity Manager a politiku hesla pro Tivoli Access Manager, budete se muset ujistit, že jsou vzájemně shodné. Pokud používáte server WebSEAL a chcete synchronizovat změny hesel, které byly učiněny prostřednictvím serveru WebSEAL, instalujte Zpětnou synchronizaci hesel pro Agenta serveru WebSEAL Tivoli Access Manager, který je k dispozici jako část sady programů Agenta Tivoli Access Manager na webovém serveru IBM. Abyste získali další informace, obraťte se na vašeho reprezentanta konta IBM.
2
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
4. Vytvoření politiky zajišťování pro systém Tivoli Access Manager. Rychlé spuštění: Můžete získat výhodu na začátku vytváření vaší vlastní politiky zajišťování použitím automatizované úlohy (dostupné v kolekci funkce zajišťování rychlého spuštění), která vytvoří základní politiku zajišťování. Abyste získali další informace, podívejte se na část Kapitola 3, “Vytvoření služeb a předvolené politiky zajišťování produktu Tivoli Access Manager”, na stránce 17. 5. Vytvoření údajů o osobách (uživatelích) v Tivoli Identity Manager. Abyste mohli spravovat uživatele pomocí Tivoli Identity Manager, musíte definovat uživatele v registru uživatelů Tivoli Identity Manager vytvořením údajů o osobách. Rychlé spuštění: Pro vytvoření údajů o osobách v Tivoli Identity Manager ze stávajícího registru uživatelů Tivoli Access Manager nebo ze stávajícího společného adresáře zvažte použití obslužného programu IBM Directory Integrator AssemblyLine Samples. Tento obslužný program je částí kolekce funkce zajišťování rychlého spuštění a je popsán v sekci “Specializované integrační úlohy” a v části Kapitola 5, “Import a synchronizace uživatelských dat”, na stránce 29. Poté, co jste definovali uživatele v Tivoli Identity Manager a provedli jste správu těchto uživatelů pomocí Tivoli Identity Manager, můžete také použít produkt IBM Directory Integrator AssemblyLine Samples k synchronizaci změn, které jste provedli v záznamech uživatelů (osob) v Tivoli Identity Manager, s odpovídajícími záznamy uživatelů nebo záznamy uživatelů ve společném adresáři produktu Tivoli Access Manager. 6. Vytvoření účtů pro uživatele Tivoli Access Manager, které budete spravovat produktem Tivoli Identity Manager. Jedním ze způsobů, jak vytvořit účty pro stávající uživatele, je prostřednictvím funkce sladění v Tivoli Identity Manager. Abyste získali další informace o sladění, prohlédněte si IBM Tivoli Identity Manager Policy and Organization Administration Guide. Většina z těchto úloh jsou manuální procedury, které jsou popsány v IBM Tivoli Identity Manager Policy and Organization Administration Guide. Avšak kolekce funkce zajišťování rychlého spuštění a instalační program poskytují automatizované úlohy pro vytvoření služby a pro vytvoření základní politiky zajišťování, kterou můžete použít jako základ pro vaši vlastní politiku. Také poskytuje obslužný program, který vám může pomoci vytvořit záznamy osob. Použití automatizovaných úloh nebo obslužného programu je volitelné, avšak tyto nástroje jsou určeny k tomu, aby vaši integraci učinily jednodušší. Kapitola 2, “Instalace kolekce funkce zajišťování rychlého spuštění”, na stránce 5 poskytuje podrobnosti ke spuštění těchto úloh a instalaci obslužného programu. Kapitola 3, “Vytvoření služeb a předvolené politiky zajišťování produktu Tivoli Access Manager”, na stránce 17 poskytuje podrobnosti o tom, co se stane, když se úlohy spustí, a jaké úlohy by měly být provedeny po spuštění úloh. Kapitola 5, “Import a synchronizace uživatelských dat”, na stránce 29 poskytuje podrobnosti o použití obslužného programu k vytvoření uživatelů v produktu Tivoli Identity Manager.
Specializované integrační úlohy V závislosti na složitosti vašeho integrovaného prostředí nebo vašem stávajícím systému Tivoli Access Manager možná budete muset dokončit specializované úlohy související s integrací. Některé příklady specializovaných úloh zahrnují: v Konfiguraci produktu Tivoli Identity Manager pro jednotné přihlášení pro server WebSEAL.
Kapitola 1. Přehled integračních úloh
3
v Import uživatelských dat do Tivoli Identity Manager ze stávajícího prostředí Tivoli Access Manager nebo ze stávajícího společného adresáře. v Synchronizaci uživatelských dat Tivoli Identity Manager s uživatelskými daty Tivoli Access Manager. v Vytvoření webového rozhraní, z něhož uživatelé mohou sami spravovat svá ID uživatelů a hesla a žádat o přístup k aplikacím nebo zdrojům. Kolekce funkce zajišťování rychlého spuštění vám jako pomoc s provedením těchto úloh nabízí následující úlohu, obslužný program a ukázky: v Aktivace jednotného přihlášení Prohlédněte si část Kapitola 4, “Konfigurace produktu Tivoli Identity Manager pro jednotné přihlášení pro server WebSEAL”, na stránce 21. v Obslužný program IBM Directory Integrator AssemblyLine Samples Prohlédněte si část Kapitola 5, “Import a synchronizace uživatelských dat”, na stránce 29. v Produkt Web Application Sample Prohlédněte si část Kapitola 6, “Vytvoření webového rozhraní pro samosprávu uživatelů”, na stránce 47. Kapitola 2, “Instalace kolekce funkce zajišťování rychlého spuštění”, na stránce 5 vám může pomoci rozhodnout, které položky v kolekci instalovat, zajistit, abyste měli předem požadovaný software, který každá z položek vyžaduje, a instalovat položky. Zbývající kapitoly v této příručce popisují úlohy, které jsou buď automatizované v kolekci, nebo které jsou podporovány obslužnými programy a ukázkami v kolekci.
4
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Kapitola 2. Instalace kolekce funkce zajišťování rychlého spuštění Aby byla integrace produktů Tivoli Access Manager a Tivoli Identity Manager snadnější, je s produktem Tivoli Access Manager for e-business verze 5.1. poskytnuta kolekce automatizovaných úloh a ukázek (nazvaná kolekce funkce zajišťování rychlého spuštění). Ačkoliv je použití položek v kolekci volitelné, možná dojdete k tomu, že vám ušetří čas a námahu. Pro spuštění úloh nebo instalaci ukázek či obslužných programů v kolekci budete používat instalační program funkce zajišťování rychlého spuštění (dále jen instalační program).
Před spuštěním instalačního programu Před spuštěním instalačního programu funkce zajišťování rychlého spuštění z CD IBM Tivoli Access Manager Base se musíte: 1. Ujistit, že máte splněny předpoklady ke spuštění instalačního programu a že jste splnili obecné požadavky pro instalaci úloh a ukázek. 2. Rozhodnout, které automatizované úlohy a ukázky vyhoví vašim potřebám. Jako část tohoto kroku se také musíte: a. Ujistit, že máte předem požadovaný software nebo konfiguraci, kterou tyto úlohy, obslužné programy a ukázky vyžadují. b. Rozhodnout, kam tyto úlohy a ukázky instalovat. (Každá úloha a ukázka má určité požadavky na to, kam má být instalována.)
Požadavky pro instalační program Ke spuštění instalačního programu potřebujete následující hardware, software a autorizaci:
Operační systém Instalační program lze spustit na následujících operačních systémech: v Microsoft Windows 2000 nebo Windows NT v Sun Solaris Operating Environment verze 7 nebo novější v AIX verze 4.3 nebo novější
Hardwarové požadavky Instalační program je zahrnut na CD Tivoli Access Manager Base produktu Tivoli Access Manager for e-business verze 5.1. K použití tohoto CD potřebujete jednotku CD-ROM, která dokáže číst data z kompaktních disků CD-R (CD-Recordable).
Požadavek Java Runtime Musíte mít instalované IBM Java Runtime Environment verze 1.3.1 nebo novější (se soubory ibmjceprovider.jar a jaas.jar). (Verze 1.3.1 je zahrnuta s produktem Tivoli Access Manager for e-business). Poznámka: Pokud spustíte instalační program na systému, na němž je JRE (Java Runtime Environment) verze 1.3.1 částí vaší instalace produktu WebSphere Application Server, obdržíte chybovou zprávu. V důsledku toho budete muset ke spuštění instalačního programu provést následující dodatečné kroky:
© Copyright IBM Corp. 2003
5
1. Nalezněte soubor PD.jar v adresáři $WAS_HOME/AppServer/java/jre/lib/ext (kde $WAS_HOME je adresář, v němž je nainstalován WebSphere Application Server). 2. Pokud je WebSphere Application Server spuštěn v systému Windows, před provedením dalšího kroku WebSphere Application Server zastavte; jinak se vyskytne chyba narušení sdílení. 3. Přemístěte soubor PD.jar mimo adresář $WAS_HOME/AppServer/java/jre/lib/ext (kde $WAS_HOME je adresář, v němž je nainstalován WebSphere Application Server). Ve většině případů můžete soubor PD.jar po spuštění instalačního programu přemístit zpět do jeho původního umístění. Avšak během instalace můžete mít volbu vytvořit novou konfiguraci JRE (pro JRE, které se bude používat pro podporu úloh nebo ukázek, které instalujete). Zvolíte-li vytvoření nové konfigurace JRE, nepřemísťujte starý soubor PD.jar zpět do jeho původního umístění, protože tím přepíšete nový soubor PD.jar, který byl vytvořen v nové konfiguraci.
Oprávnění systémového administrátora Na systému, v němž spouštíte instalační program, musíte mít oprávnění systémového administrátora (root nebo administrator).
Požadavky pro úlohy a ukázky Úlohy a ukázky v kolekci funkce zajišťování rychlého spuštění souvisejí s integrací produktů Tivoli Identity Manager a Tivoli Access Manager. V důsledku toho použití mnoha úloh a ukázek vyžaduje, aby byl nainstalován následující software: v Tivoli Access Manager for e-business, veze 5.1 (a jeho předpoklady) v Tivoli Identity Manager, verze 4.5 (a jeho předpoklady) v Agent Tivoli Access Manager Avšak na seznam určitých předpokladů pro každou položku v kolekci funkce zajišťování rychlého spuštění se podívejte do sekcí, které odpovídají úlohám v sekci “Výběr automatizovaných úloh a ukázek k instalaci”.
Výběr automatizovaných úloh a ukázek k instalaci Rozhodování, které úlohy a ukázky instalovat a používat, závisí na tom, jak jsou nastavena vaše prostředí Tivoli Access Manager a Tivoli Identity Manager. Všechny úlohy a ukázky v kolekci funkce zajišťování rychlého spuštění jsou volitelné. Jsou poskytnuty, aby plně nebo částečně automatizovaly některé manuální kroky, které byste jinak museli provést. Jako u jakéhokoliv nového nástroje nebo konfigurace, zvažte spuštění těchto úloh nebo instalaci těchto ukázek a obslužných programů v testovacím nebo ověřovacím prostředí, než je použijete ve vašem produkčním prostředí. Následující sekce vypisují specializované nebo automatizované úlohy, které možná budete chtít dokončit, odpovídající položku, kterou byste v instalačním programu měli vybrat, akci provedenou instalačním programem a další předem požadovaný software, který úloha nebo ukázka vyžaduje. Poznámka: Instalační program funkce zajišťování rychlého spuštění určí konfiguraci softwaru a agenta na vašem systému před předložením seznamu položek, z nichž si můžete vybírat. V důsledku toho instalační program zobrazí pouze ty položky, které lze spustit anebo instalovat na vašem systému.
6
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Vytvoření služby Tivoli Access Manager a základní politiky zajišťování Pro přidání služby a politiky zajišťování v produktu Tivoli Identity Manager může být místo manuálních úloh použita tato automatizovaná úloha. (Manuální úlohy jsou popsány v IBM Tivoli Identity Manager Policy and Organization Administration Guide.) Základní politika zajišťování vytvořená touto úlohou zahrnuje minimální atributy potřebné v politice zajišťování a je pro vás navržena tak, abyste ji mohli použít jako základ pro vytvoření vaší vlastní politiky zajišťování. Položka na výběr v instalačním programu: Ke spuštění této automatizované úlohy vyberte následující položku v instalačním programu: Politika zajišťování a služeb Access Manager Předpoklady: Následující prostředí musí být před spuštěním této úlohy na svém místě: v Tivoli Access Manager for e-business, verze 5.1 v Tivoli Identity Manager verze 4.5 v Agent Tivoli Access Manager (a profil, který je vytvořen jako část instalační procedury agenta) v Připojení k registru uživatelů Tivoli Identity Manager. (K tomuto registru musíte znát heslo.) Umístění pro spuštění instalačního programu: Tuto úlohu spusťte na serveru Tivoli Identity Manager. Akce provedené instalačním programem: Když vyberete Politika zajišťování a služeb Access Manager, instalační program provede následující konfiguraci: v Přidá službu Tivoli Access Manager do Tivoli Identity Manager, pokud již nebyla vytvořena. v Instaluje základní politiku zajišťování, abyste mohli začít. Poznámka: Tuto základní politiku si přizpůsobíte po jejím nainstalování. Abyste získali další informace o politice zajišťování a služeb Access Manager, která je vytvořena, prohlédněte si část Kapitola 3, “Vytvoření služeb a předvolené politiky zajišťování produktu Tivoli Access Manager”, na stránce 17.
Konfigurace produktu Tivoli Identity Manager pro jednotné přihlášení pro server WebSEAL Tato automatizovaná úloha odpovídá dvěma výběrům v instalačním programu. Nahrazuje mnoho kroků v manuální proceduře pro ″Konfiguraci jednotného přihlášení pro server WebSEAL″, která je dokumentována v IBM Tivoli Identity Manager Server Configuration Guide.
Upozornění: Před spuštěním této úlohy v instalačním programu si znovu prohlédněte souhrnnou úlohu v části Kapitola 4, “Konfigurace produktu Tivoli Identity Manager pro jednotné přihlášení pro server WebSEAL”, na stránce 21.
Kapitola 2. Instalace kolekce funkce zajišťování rychlého spuštění
7
Položky na výběr v instalačním programu: Ke spuštění této automatizované úlohy vyberte následující položky v instalačním programu: v Aktivace jednotného přihlášení – Konfigurace spojení WebSEAL – Konfigurace Identity Manager Předpoklady: Následující prostředí musí být před spuštěním této úlohy na svém místě: v Tivoli Access Manager for e-business, verze 5.1 (s instalovaným a konfigurovaným serverem WebSEAL) v Tivoli Identity Manager verze 4.5 (server, který bude spravován serverem WebSEAL.) v Agent Tivoli Access Manager v Služba a účet Tivoli Access Manager (instalované a konfigurované) v Účet Tivoli Access Manager musí být přiřazen administrátorovi Tivoli Identity Manager. Další předpoklady pro tuto úlohu jsou popsány v IBM Tivoli Identity Manager Server Configuration Guide. Umístění pro spuštění instalačního programu: Tuto úlohu spusťte na serveru Tivoli Identity Manager. Akce provedené instalačním programem: Když vyberete Aktivace jednotného přihlášení: Konfigurace spojení WebSEAL, instalační program provede následující konfiguraci: v Konfiguruje buď spojení WebSEAL TCP, nebo spojení WebSEAL SSL, aby se aktivovala schopnost jednotného přihlášení pro Tivoli Identity Manager. Abyste získali další informace o spojeních WebSEAL, podívejte se do IBM Tivoli Access Manager for e-business WebSEAL Administration Guide. v Tato automatizovaná úloha navíc vytvoří předvolená ACL pro spojení. Abyste získali další informace o spojení, které je vytvářeno, prohlédněte si část Kapitola 4, “Konfigurace produktu Tivoli Identity Manager pro jednotné přihlášení pro server WebSEAL”, na stránce 21. Když vyberete Aktivace jednotného přihlášení: Konfigurace Identity Manager, instalační program provede následující konfiguraci: v Aktualizuje soubor vlastností produktu Tivoli Identity Manager, aby bylo podporováno jednotné přihlášení pro server WebSEAL. Abyste získali další informace o konfigurovaných vlastnostech, prohlédněte si část Kapitola 4, “Konfigurace produktu Tivoli Identity Manager pro jednotné přihlášení pro server WebSEAL”, na stránce 21.
Import nebo synchronizace uživatelských dat Pro provedení této úlohy musíte nejprve použít instalační program k instalaci obslužného programu IBM Directory Integrator AssemblyLine Samples, který je k dispozici v kolekci funkce zajišťování rychlého spuštění. Obslužný program můžete použít k: v Importu uživatelů Tivoli Access Manager (v jednoduché doméně) do Tivoli Identity Manager. v Importu uživatelů Tivoli Access Manager (ve vícenásobné doméně) do Tivoli Identity Manager. v Importu uživatelů ze stávajícího společného adresáře do Tivoli Identity Manager.
8
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
v Synchronizaci atributů uživatelů Tivoli Identity Manager s atributy uživatelů Tivoli Access Manager. Položka na výběr v instalačním programu: Pro instalaci tohoto obslužného programu vyberte následující položku v instalačním programu: IBM Directory Integrator AssemblyLine Samples Předpoklady: Pro instalaci obslužného programu již musíte mít nainstalovaný IBM Directory Integrator 5.1.2 nebo novější. Kromě toho musí být v závislosti na tom, jaké úlohy plánujete pomocí obslužného programu dokončit, umístěna následující prostředí: v Tivoli Access Manager for e-business, verze 5.1 a připojení k registru uživatelů Tivoli Access Manager (pokud budete importovat uživatele Tivoli Access Manager do Tivoli Identity Manager nebo budete synchronizovat registr uživatelů Tivoli Identity Manager s registrem uživatelů Tivoli Access Manager). v Tivoli Identity Manager veze 4.5 s vytvořenou službou IDI Data Feed (jak je popsáno v sekci “Vytvoření služby IDI Data Feed v produktu Tivoli Identity Manager” na stránce 32.) v Připojení ke společnému adresáři (pokud importujete uživatele ze společného adresáře do Tivoli Identity Manager). v Aktivace changelog LDAP registru uživatelů Tivoli Identity Manager, pokud synchronizujete uživatele Tivoli Identity Manager s uživateli Tivoli Access Manager. Abyste získali další informace, prohlédněte si sekci “Synchronizace atributů uživatele Tivoli Identity Manager s atributy uživatele Tivoli Access Manager” na stránce 44. Umístění pro spuštění instalačního programu: Pro instalaci souborů obslužného programu do správného umístění spusťte instalační program na počítači, kde je nainstalován IBM Directory Integrator. Pokud je LDAP nebo Active Directory registrem uživatelů pro Tivoli Access Manager, IBM Directory Integrator a obslužný program by navíc měly být instalovány na server nebo pracovní stanici, která může vzdáleně přistupovat k registrům Tivoli Access Manager a serveru Tivoli Identity Manager. Pokud je registrem uživatelů pro Tivoli Access Manager server Lotus Domino, IBM Directory Integrator a obslužný program by měly být společně instalovány na klienta Lotus Notes, který může přistupovat k serveru Domino. Akce provedené instalačním programem: Když vyberete IBM Directory Integrator AssemblyLine Samples, instalační program vytvoří následující adresář a zkopíruje do něj soubory obslužného programu: $IDI_HOME/TAMTIMIntegration (kde $IDI_HOME je kořenový adresář pro IBM Directory Integrator. Abyste získali další informace o obslužném programu, prohlédněte si část Kapitola 5, “Import a synchronizace uživatelských dat”, na stránce 29.
Vytvoření webového rozhraní pro samosprávu uživatelů prostřednictvím produktu Tivoli Identity Manager Používáte-li Tivoli Identity Manager a Tivoli Access Manager v integrovaném prostředí a chtěli byste, aby vaši uživatelé mohli spravovat svá vlastní ID uživatelů a hesla a aby mohli podávat požadavky na přístup k aplikacím společnosti, které jsou chráněny produktem Tivoli Access Manager, můžete mít prospěch z používání vámi spravované stránky webového portálu. Kapitola 2. Instalace kolekce funkce zajišťování rychlého spuštění
9
Kolekce funkce zajišťování rychlého spuštění poskytuje sadu ukázek (společně nazvanou Web Application Sample), kterou můžete použít pro vytvoření stránky webového portálu. K instalaci produktu Web Application Sample můžete použít instalační program. Avšak potřebujete-li Ukázku (Sample) instalovat v klastrovaném prostředí nebo ji chcete instalovat na počítač, na kterém není instalován Tivoli Identity Manager, prohlédněte si další instrukce k instalaci v části Kapitola 6, “Vytvoření webového rozhraní pro samosprávu uživatelů”, na stránce 47. Položka na výběr v instalačním programu: Pro instalaci Ukázky vyberte následující položku v instalačním programu: Tivoli Identity Manager Web Application Sample Předpoklady: Pro použití Ukázky musíte mít instalovaný následující software: v WebSphere Application Server 5.0.2 a opravné programy uvedené v IBM Tivoli Identity Manager Version 4.5 Release Notes. Poznámka: Ujistěte se, že zabezpečení (security) je na serveru WebSphere před spuštěním instalačního programu zakázané. Instalační program Ukázku nenainstaluje, pokud je zabezpečení aktivní, protože když je zabezpečení aktivní, instalační program nemůže určit stav aplikačních serverů WebSphere. v Tivoli Identity Manager verze 4.5 Pokud máte konfigurována i následující prostředí, můžete použít další funkce Ukázky: v Tivoli Access Manager for e-business, verze 5.1 v WebSEAL (pro použití k jednotnému přihlášení do Tivoli Identity Manager) v Agent Tivoli Access Manager Umístění pro spuštění instalačního programu: Pro instalaci Ukázky spusťte instalační program na počítači, kde je instalován produkt WebSphere Application Server verze 5.0.2. Poznámka: Pokud chcete Ukázku instalovat v klastrovaném prostředí nebo pokud chcete Ukázku instalovat na počítači, který nemá nainstalovaný Tivoli Identity Manager, prohlédněte si sekci “Instalační metody” na stránce 49. Akce provedené instalačním programem: Když vyberete Tivoli Identity Manager Web Application Sample, instalační program instaluje stránky Ukázky a servlety, aby se mohly propojit s produktem Tivoli Identity Manager. Abyste získali další informace o Ukázce, prohlédněte si část Kapitola 6, “Vytvoření webového rozhraní pro samosprávu uživatelů”, na stránce 47. Poté, co jste určili, které úlohy chcete dokončit, a nainstalovali jste předem požadovaný software, možná si budete chtít znovu prohlédnout kapitoly v této příručce, které se vztahují k těmto úlohám. Informace v těchto kapitolách vám pomohou porozumět úlohám a uvědomí vás o jakýchkoliv dodatečných instrukcích k instalaci a krocích prováděných po konfiguraci. Po konfrontaci těchto informací jste připraveni na spuštění instalačního programu. Na instrukce k instalaci se podívejte do sekce “Spuštění instalačního programu” na stránce 11.
10
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Spuštění instalačního programu Následující instrukce vysvětlují, jak spustit instalační program. Při použití instalačního programu si klepnutím na tlačítko Nápověda v panelech instalačního programu zobrazte online nápovědu. Okno nápovědy zůstane otevřené a při přemísťování panely instalačního programu se bude text nápovědy měnit, aby odpovídal panelu, který je zobrazen. Pro spuštění instalačního programu funkce zajišťování rychlého spuštění produktu Tivoli Access Manager: 1. Spustíte-li instalační program na počítači, kde je instalován WebSphere Application Server, ujistěte se, že před pokračováním této procedury zakážete zabezpečení na serveru WebSphere. Abyste získali další informace, prohlédněte si sekci “Požadavky pro instalaci” na stránce 49. 2. Zkontrolujte předpoklady pro položky, které chcete instalovat. Potom vložte CDTivoli Access Manager Base CD do jednotky CD-ROM odpovídajícího počítače.
3.
4. 5.
6.
Poznámka: Potřebujete-li instalovat položky na různých počítačích, budete muset spustit instalační program na každém z těchto počítačů. Nalezněte a dvakrát klepněte na ikonu install_ampfs nebo otevřete příkazový řádek, přepněte se na jednotku CD-ROM a zapište install_ampfs. Zobrazí se okno výběru jazyka. Vyberte svůj jazyk. Zobrazí se uvítací panel. Pro pokračování v instalaci klepněte na tlačítko Další. Zobrazí se licenční panel. Jste požádáni, abyste přijali podmínky licenčního ujednání. Pokud chcete pokračovat v instalaci, přijměte tyto podmínky. Klepněte na tlačítko Další.
Po tomto kroku procesu instalace se v zobrazeném pořadí vykonají následující fáze: 1. Kontrola předpokladů 2. Výběr položek k instalaci 3. Konfigurace a instalace
Kontrola předpokladů Poznámka: Instalační program funkce zajišťování rychlého spuštění zjistí konfiguraci softwaru a agenta ve vašem systému před tím, než předloží seznam položek, z nichž si můžete vybírat. V důsledku toho instalační program zobrazí pouze ty položky, které lze spustit anebo instalovat na vašem systému. Položky k instalaci nebudete moci vybírat do té doby, než bude dokončena fáze kontroly předpokladů. Během fáze kontroly předpokladů instalační program zjistí, zda máte určitý software nebo konfigurace. Měli byste vědět, jaké položky plánujete instalovat, a před pokračováním byste měli být obeznámeni s předpoklady pro tyto položky. Jestliže potřebujete pomoc, podívejte se do sekce “Výběr automatizovaných úloh a ukázek k instalaci” na stránce 6.
Kontrola 1: WebSphere Application Server WebSphere Application Server je požadován produktem Web Application Sample. Instalační program určí, zda máte nainstalovaný WebSphere Application Server. Pokud ano, instalační program načte seznam serverů WebSphere ve vašem prostředí a spustí jakékoliv servery, které již nejsou spuštěny. Kapitola 2. Instalace kolekce funkce zajišťování rychlého spuštění
11
Nemáte-li v prostředí, kde spouštíte instalační program, nainstalovaný WebSphere Application Server nebo nelze-li spustit servery WebSphere, nebudete moci instalovat Web Application Sample. Tento závěr pro vás může být přijatelný, pokud neplánujete instalovat Ukázku. Po této kontrole předpokladů instalační program automaticky zobrazí další kontrolu předpokladů.
Kontrola 2: Platné připojení k registru uživatelů produktu Tivoli Identity Manager Poznámka: Tato kontrola předpokladů je požadována, pokud chcete instalovat Politiku zajišťování a služeb Access Manager. Informace, které jsou zde požadovány, lze také použít jako část konfigurace produktu Web Application Sample, ačkoliv pro ni nejsou požadovány. Nebudete-li instalovat Politiku zajišťování a služeb Access Manager nebo nepotřebujete-li, aby tyto informace byly automaticky konfigurovány pro Web Application Sample, klepejte na tlačítko Další , dokud nedosáhnete panelu, který kontroluje Tivoli Access Manager Java Runtime Environment, které je popsáno v sekci “Kontrola 3: Tivoli Access Manager Java Runtime Environment”. Pokud instalační program nalezne účet administrátora pro registr uživatelů, zažádá o heslo k tomuto účtu, aby potvrdil připojení k interní objektové databázi (inventáři). 1. Zapište heslo do polí hesla. 2. Klepněte na tlačítko Další. Jestliže před poskytnutím hesla klepnete na tlačítko Další, nebudete moci instalovat Politiku zajišťování a služeb Access Manager.
Kontrola 3: Tivoli Access Manager Java Runtime Environment Instalační program vyhledává Tivoli Access Manager Java Runtime Environment, které je požadováno pro instalaci Aktivace jednotného přihlášení. Panel, který je zobrazen během této kontroly předpokladů, závisí na tom, které z následujících podmínek platí pro Tivoli Access Manager Java Runtime Environment: v Instalováno a konfigurováno v Instalováno, ale nekonfigurováno v Neinstalováno
12
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Instalováno a konfigurováno Poznámka: Pokud nebudete instalovat Aktivaci jednotného přihlášení, přeskočte tuto kontrolu předpokladů klepáním na tlačítko Další, dokud nedosáhnete panelu, který oznamuje, že kontroly předpokladů byly dokončeny. Pokud je Tivoli Access Manager Java Runtime Environment již nainstalováno a konfigurováno, panel vás požádá o zadání informací pro ustanovení spojení mezi instalačním programem a serverem Tivoli Access Manager Policy Server, který používá Tivoli Access Manager Runtime Environment. Pro dokončení tohoto panelu máte dvě volby: v Vytvořit nový konfigurační soubor: Vyberte tuto volbu, pokud nemůžete uvést informace pro stávající konfiguraci. 1. Vyberte zaškrtávací pole Vytvoření nové konfigurace a klepněte na tlačítko Další. 2. Na dalším panelu jste požádáni o poskytnutí informací o konfiguraci pro Tivoli Access Manager Application Server. Vyplňte pole. Pokud potřebujete popisy polí, klepněte na tlačítko Nápověda. 3. Jakmile jste vyplnili pole, klepněte na tlačítko Další. Pokračujte kroky v sekci “Výběr položek k instalaci” na stránce 14. v Použít stávající konfigurační soubor: Pokud chcete použít stávající konfiguraci Tivoli Access Manager Java Runtime Environment: 1. Vyplňte pole. Pokud potřebujete popisy polí, podívejte se do online nápovědy. 2. Potom klepněte na tlačítko Další. Pokračujte kroky v sekci “Výběr položek k instalaci” na stránce 14.
Instalováno, ale nekonfigurováno Poznámka: Pokud nebudete instalovat Aktivaci jednotného přihlášení, přeskočte tuto kontrolu předpokladů klepáním na tlačítko Další, dokud nedosáhnete panelu, který oznamuje, že kontroly předpokladů byly dokončeny. Je-li Tivoli Access Manager Java Runtime Environment již nainstalováno, ale není konfigurováno: 1. Panel vás požádá o zadání informací pro konfiguraci běhového prostředí. Vyplňte pole. Pro popisy polí klepněte na tlačítko Nápověda. 2. Klepněte na tlačítko Další. 3. Potom budete požádáni o ustanovení komunikace s Tivoli Access Manager Runtime Environment. Pokračujte kroky v sekci “Instalováno a konfigurováno”.
Kapitola 2. Instalace kolekce funkce zajišťování rychlého spuštění
13
Neinstalováno Poznámka: Pokud nebudete instalovat Aktivaci jednotného přihlášení, přeskočte tuto kontrolu předpokladů klepnutím na tlačítko Ne, když jste vyzváni k instalaci Java Runtime Environment, a potom klepejte na tlačítko Další, dokud nedosáhnete panelu, který oznamuje, že kontroly předpokladů byly dokončeny. Pokud Tivoli Access Manager Java Runtime Environment není nainstalováno, panel se vás dotáže, zda chcete, aby Java Runtime Environment bylo nainstalováno. Klepněte buď na přepínač Ano, nebo Ne. v Klepnete-li na tlačítko Ne, Aktivace jednotného přihlášení nebude v seznamu instalovatelných položek. Klepněte na tlačítko Další a pokračujte kroky v sekci “Výběr položek k instalaci”. v Klepnete-li na tlačítko Ano, Tivoli Access Manager Java Runtime Environment bude instalováno na váš systém. Jakmile je instalace dokončena, zpráva indikuje, zda instalace byla úspěšná. Dokončete odpovídající krok: – Pokud instalace byla úspěšná, klepněte na tlačítko OK. Konfigurační panel se zobrazí. Pokračujte kroky v sekci “Instalováno, ale nekonfigurováno” na stránce 13. – Pokud došlo k selhání instalace Tivoli Access Manager Java Runtime Environment, můžete jej zkusit znovu instalovat, nebo můžete pokračovat celkovou instalací klepnutím na tlačítko Další, dokud nedosáhnete panelu, který oznamuje, že kontrola předpokladů je dokončena; avšak, jestliže JRE nenainstalujete, nemůžete instalovat Aktivaci jednotného přihlášení.
Výběr položek k instalaci Jakmile byly dokončeny všechny kontroly předpokladů, zobrazený panel zobrazí seznam jakýchkoliv položek, které nebudete moci instalovat, protože chybí patřičné předpoklady. Rovněž jsou označeny chybějící předpoklady. Na tomto panelu proveďte jednu z následujících možností: v Klepněte na tlačítko Zrušit pro ukončení instalačního programu a instalujte jakékoliv chybějící předpoklady, a potom restartujte instalační program. v Klepněte na tlačítko Zpět pro provedení změn informací, které jste dodali během kontrol předpokladů. v Klepněte na tlačítko Další, abyste pokračovali v instalaci. Pokud klepnete na tlačítko Další, zobrazený panel zobrazí seznam položek, které můžete instalovat. Na tomto panelu: 1. Zaškrtávací značky indikují, které položky jsou již vybrány pro instalaci (výběry byly provedeny na základě kontrol předpokladů). Odstraňte zaškrtávací značku od jakékoliv položky, kterou nechcete instalovat. Mějte na paměti, že instalační program určil konfiguraci softwaru a agenta na vašem systému před tím, než předložil tyto výběry. V důsledku toho instalační program zobrazí pouze ty položky, které lze spustit anebo instalovat na vašem systému. Některé z výběrů uvedených níže nemusí být zobrazeny. v IBM Directory Integrator AssemblyLine Samples v Web Application Sample v Aktivace jednotného přihlášení
14
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
– Konfigurace spojení WebSEAL (Pro výběr této položky musí být vybrána Aktivace jednotného přihlášení.) – Konfigurace Identity Manager (Pro výběr této položky musí být vybrána Aktivace jednotného přihlášení.) v Politika zajišťování a služeb Access Manager 2. Po té, co jste provedli vaše výběry, budete mít před tím, než budete pokračovat, příležitost navrátit se na tento panel a změnit vaše výběry. 3. Jakmile jste připraveni poskytnout jakékoliv informace o konfiguraci požadované pro položky, které jste vybrali, klepněte na tlačítko Další.
Konfigurace a instalace Vybrali-li jste jakékoliv z následujících položek, instalační program se vás dotáže na další informace o konfiguraci: v Aktivace jednotného přihlášení (s konfigurací spojení WebSEAL) v Politiky zajišťování a služeb Access Manager v Tivoli Identity Manager Web Application Sample Poznámka: Pokud jste vybrali Web Application Sample a server Tivoli Identity Manager nebyl detekován, budete během této fáze konfigurace navíc vyzváni, abyste o něm poskytli informace. Abyste získali pomoc s dokončením těchto konfiguračních panelů, podívejte se na online nápovědu. Jakmile budete hotovi, klepněte na tlačítko Další na posledním konfiguračním panelu pro dokončení instalace.
Po spuštění instalačního programu V závislosti na úlohách, které jste spustili, nebo nainstalovaných ukázkách možná budete muset provést dodatečné konfigurační úlohy. Abyste získali další informace, prohlédněte si kapitoly v této příručce odpovídající úloze, kterou jste spustili, nebo ukázkám, které jste instalovali: v Politika zajišťování a služeb Access Manager. Prohlédněte si část Kapitola 3, “Vytvoření služeb a předvolené politiky zajišťování produktu Tivoli Access Manager”, na stránce 17. v Aktivace jednotného přihlášení: Spojení WebSEAL a konfigurace Identity Manager. Prohlédněte si část Kapitola 4, “Konfigurace produktu Tivoli Identity Manager pro jednotné přihlášení pro server WebSEAL”, na stránce 21. v IBM Directory Integrator AssemblyLine Samples. Prohlédněte si část Kapitola 5, “Import a synchronizace uživatelských dat”, na stránce 29. v Web Application Sample. Prohlédněte si část Kapitola 6, “Vytvoření webového rozhraní pro samosprávu uživatelů”, na stránce 47.
Odinstalace Pokud odinstalujete kolekci funkce zajišťování rychlého spuštění, budou odstraněny následující instalované položky: v IBM Directory Integrator AssemblyLine Samples v Web Application Sample v Aktivace jednotného přihlášení – Konfigurace spojení WebSEAL (Spojení se odstraní. Avšak ACL jsou odstraněna pouze tehdy, pokud nejsou používána.)
Kapitola 2. Instalace kolekce funkce zajišťování rychlého spuštění
15
– Konfigurace Identity Manager (Hodnoty v souborech vlastností, které byly změněny, když jste spustili instalační program, jsou vráceny na jejich předvolené hodnoty.) Poznámka: Politika zajišťování a služeb Access Manager není odinstalována. Pro odinstalování kolekce funkce zajišťování rychlého spuštění: v V systému Windows proveďte jednu z následujících možností: – Spusťte soubor uninstaller.exe v adresáři C:\Program Files\IBM\TivoliAccessManagerProvisioningFastStart\_uninst. – Ve složce Ovládací panel klepněte na Přidat/Odstranit programy. Vyberte Funkce zajišťování rychlého spuštění. Potom klepněte na tlačítko OK. v V systémech AIX nebo Solaris: Spusťte uninstaller.bin v adresáři /opt/IBM/TivoliAccessManagerProvisioningFastStart/_uninst. Po spuštění programu k odinstalování můžete odstranit adresář /opt/IBM/TivoliAccessManagerProvisioningFastStart a jeho podadresáře.
16
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Kapitola 3. Vytvoření služeb a předvolené politiky zajišťování produktu Tivoli Access Manager Tato automatizovaná úloha, která je spuštěna pomocí instalačního programu, nahrazuje manuální úlohy pro přidání služby a pro přidání politiky zajišťování v produktu Tivoli Identity Manager. (Manuální úlohy jsou popsány v IBM Tivoli Identity Manager Policy and Organization Administration Guide.) Kroky pro spuštění automatizované úlohy jsou v části Kapitola 2, “Instalace kolekce funkce zajišťování rychlého spuštění”, na stránce 5. Vysvětlení toho, k čemu došlo po spuštění této automatizované úlohy, je popsáno v sekci “Automatizovaná konfigurace”. Kroky, které možná budete muset dokončit po spuštění této automatizované úlohy, jsou popsány v sekci “Úlohy prováděné po konfiguraci” na stránce 19.
Automatizovaná konfigurace Jestliže jste při spuštění instalačního programu vybrali úlohu Politika zajišťování a služeb Access Manager, služba Tivoli Access Manager a předvolená politika zajišťování byly přidány do Tivoli Identity Manager.
Služba Po spuštění úlohy pro vytvoření služby v instalačním programu byla služba Tivoli Access Manager přidána do Tivoli Identity Manager stejně tak, jako kdyby jste pracovali podle procedury ″Přidání služby″ popsané v IBM Tivoli Identity Manager Policy and Organization Administration Guide. Následující pole byla konfigurována hodnotami, které jste poskytli ve fázi konfigurace a instalace procesu instalačního programu: Jméno služby URL ID uživatele Heslo Paměť certifikátů CA Soubor certifikátů Následující pole, která jsou používána pro některé služby, nebyla ve službě Tivoli Access Manager použita: Soukromý soubor klíčů Vlastník Předpoklad služby Vzdálená časová zóna Jméno serveru domény
© Copyright IBM Corp. 2003
17
Předvolená politika zajišťování Po spuštění úlohy pro vytvoření politiky zajišťování v instalačním programu je vytvořena politika zajišťování stejně tak, jako kdyby jste pracovali podle procedury ″Přidání politiky zajišťování″ v IBM Tivoli Identity Manager Policy and Organization Administration Guide. Tato předvolená politika zajišťování byla konfigurována pomocí následujících informací: v obecné informace v členství v nároky
Obecné informace Nastavení pro obecné informace předvolené politiky zajišťování jsou: Jméno politiky Nastaveno na uživatelskou hodnotu, kterou jste definovali při spuštění instalačního programu. Záhlaví Nenastaveno. Popis
Nenastaveno.
Stav
Nastaveno na předvolenou hodnotu aktivní.
Klíčová slova Nenastaveno. Rozsah rozlišení služby Nenastaveno. Priorita Nastaveno na předvolenou hodnotu 1; nejnižší číslo priority má přednost, pokud máte více než jednu politiku zajišťování
Členství Členství uvádí, kdo je řízen politikou zajišťování. Členství v předvolené politice zajišťování je ALL; tato hodnota uvádí, že členství v politice lze poskytnout všem lidem v organizaci.
Nároky Nároky uvádějí: v zda je politika uplatňována manuálně, nebo automaticky v službu nebo typy služeb používané v politice zajišťování v parametry zajišťování (hodnoty, které jsou použity na účet, když je pořízen uživateli) v sdružování s pracovním postupem Nároky v předvolené politice zajišťování jsou: Typ
Nastaveno na uživatelskou hodnotu, kterou jste definovali při spuštění instalačního programu.
Typ cíle Nastaveno na předvolenou hodnotu služba (service). Typ služby a jméno služby Nastaveno na předvolenou hodnotu Služba Access Manager (Access Manager Service). Seznam parametrů zajišťování Nenastaveno.
18
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Rozšířený seznam parametrů zajišťování Nastaveno na následující: sn: subject.getProperty("cn")[0] erpassword: subject.getProperty("sn")[0] ertam4dn: "cn="+subject.getProperty("cn")[0]+","+tamDn ertam4passwordpolicy: TRUE ertam4singlesign: TRUE cn: subject.getProperty("cn")[0]
Definice procesu Nenastaveno. Priorita Nastaveno na předvolenou hodnotu 1; nejnižší číslo priority má přednost, pokud máte více než jednu politiku zajišťování. Abyste získali další informace o zobrazení a modifikaci politiky zajišťování, prohlédněte si IBM Tivoli Identity Manager Policy and Organization Administration Guide.
Úlohy prováděné po konfiguraci Před používáním politiky zajišťování a služeb možná budete muset dokončit následující dodatečné úlohy: v zobrazení nebo modifikace služby v přizpůsobení předvolené politiky zajišťování
Zobrazení nebo modifikace služby Žádná další konfigurace této služby není požadována; avšak pomocí rozhraní Tivoli Identity Manager můžete přidat jiné služby nebo upravit či vymazat tuto službu. Abyste získali další informace o správě služeb, podívejte se do IBM Tivoli Identity Manager Policy and Organization Administration Guide.
Přizpůsobení předvolené politiky zajišťování Protože tato politika zajišťování konfiguruje pouze minimální hodnoty, budete ji po jejím vytvoření chtít upravit. Abyste získali další informace o modifikaci politik zajišťování, prohlédněte si IBM Tivoli Identity Manager Policy and Organization Administration Guide.
Kapitola 3. Vytvoření služeb a předvolené politiky zajišťování produktu Tivoli Access Manager
19
20
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Kapitola 4. Konfigurace produktu Tivoli Identity Manager pro jednotné přihlášení pro server WebSEAL Kolekce funkce zajišťování rychlého spuštění poskytuje dvě automatizované úlohy, které jsou částí souhrnné úlohy pro konfiguraci Tivoli Identity Manager pro jednotné přihlášení pro server WebSEAL. Vysvětlení toho, proč byste mohli chtít provést tuto souhrnnou úlohu a manuální kroky pro provedení této úlohy, je popsáno v kapitole ″Řešení konfigurace jednotného přihlášení″ publikace IBM Tivoli Identity Manager Server Configuration Guide. Použijete-li automatizovanou úlohu poskytnutou v kolekci funkce zajišťování rychlého spuštění, kroky v souhrnné úloze jsou následující: 1. Ještě jednou si prohlédněte kapitolu ″Řešení konfigurace jednotného přihlášení″ v publikaci IBM Tivoli Identity Manager Server Configuration Guide. 2. Konfigurujte server WebSEAL následujícím způsobem: v Předávat všechny atributy domény v hlavičkách cookie. v Rozeznávat pouze řetězce zakódované UTF-8 Abyste získali další informace, podívejte se do IBM Tivoli Access Manager for e-business WebSEAL Administration Guide. 3. Opatřete administrátorovi Tivoli Identity Manager účet Tivoli Access Manager. Abyste získali další informace, podívejte se do IBM Tivoli Identity Manager Policy and Organization Administration Guide.
4.
5.
6. 7.
Poznámka: Do produktu Tivoli Access Manager se nemůžete přihlásit předvoleným ID administrátora Tivoli Identity Manager, itim manager, protože Tivoli Access Manager nepodporuje ID uživatelů, která obsahují mezery. K předvolenému ID administrátora itim manager můžete přiřadit jakékoliv ID uživatele Tivoli Access Manager, pokud jste konfigurovali soubor vlastností Tivoli Identity Manager, enRoleAuthentication.properties, aby se aktivoval vnitřní algoritmus mapování totožnosti. Abyste získali další informace, prohlédněte si sekci “Soubory vlastností produktu Tivoli Identity Manager související s jednotným přihlášením” na stránce 22. Spusťte instalační program funkce zajišťování rychlého spuštění, jak je popsáno v části Kapitola 2, “Instalace kolekce funkce zajišťování rychlého spuštění”, na stránce 5, a vyberte: v Jednotné přihlášení: konfigurace spojení WebSEAL, které vytvoří buď spojení WebSEAL TCP, nebo spojení WebSEAL SSL, a dvě předvolená ACL pro spojení. v Jednotné přihlášení: konfigurace Identity Manager, která podle potřeby aktualizuje soubory vlastností Tivoli Identity Manager pro podporu jednotného přihlášení. Upravte předvolená ACL, která byla vytvořena pro spojení. Například můžete chtít přidat skupiny a oprávnění k ACL. (Pro podrobnosti si prohlédněte sekci “Modifikace ACL pro spojení” na stránce 25.) Změňte relaci v prodlevě Tivoli Identity Manager. (Pro podrobnosti si prohlédněte sekci “Změna relace v prodlevě Tivoli Identity Manager” na stránce 24.) Pokud instalační program instaluje spojení SSL, nezapomeňte aktualizovat a konfigurovat vaše certifikáty SSL. Pro podrobnosti si prohlédněte sekci “Konfigurace certifikátu SSL pro spojení SSL” na stránce 24.)
Kroky pro spuštění automatizovaných úloh jsou v části Kapitola 2, “Instalace kolekce funkce zajišťování rychlého spuštění”, na stránce 5. Vysvětlení toho, k čemu došlo po spuštění těchto © Copyright IBM Corp. 2003
21
automatizovaných úloh, je popsáno v sekci “Automatizovaná konfigurace”. Kroky, které možná budete muset dokončit po spuštění této automatizované úlohy (jako například krok 5, krok 6 a krok 7 na stránce 21), jsou popsány v sekci “Úlohy prováděné po konfiguraci” na stránce 23.
Automatizovaná konfigurace Pokud jste při spuštění instalačního programu zvolili Jednotné přihlášení: konfigurace spojení WebSEAL, spojení WebSEAL bylo konfigurováno a ACL byla přidružena ke spojení. Prohlédněte si “Spojení WebSEAL pro jednotné přihlášení”. Pokud jste při spuštění instalačního programu zvolili Jednotné přihlášení: konfigurace Identity Manager, soubory vlastností Tivoli Identity Manager byly aktualizovány pro aktivaci jednotného přihlášení. Prohlédněte si sekci “Soubory vlastností produktu Tivoli Identity Manager související s jednotným přihlášením”.
Spojení WebSEAL pro jednotné přihlášení Po spuštění automatizované úlohy Jednotné přihlášení: konfigurace spojení WebSEAL bylo vytvořeno buď spojení WebSEAL TCP, nebo spojení WebSEAL SSL s následujícími přidruženými ACL: v ItimProtected pro ověřovaný přístup. Toto ACL je přidruženo ke všem aplikacím v prostoru chráněných objektů serveru WebSEAL, které vyžadují, aby se uživatel přihlásil. Server Tivoli Identity Manager a jeho rozhraní jsou přidruženy k tomuto ACL. v ItimUnprotected pro neověřovaný přístup. Toto ACL je přidruženo ke všem aplikacím, k nimž má uživatel přístup bez přihlášení. Tato ACL nemají přiřazené skupiny. Chcete-li k nim přiřadit skupiny Tivoli Access Manager, budete muset upravit ACL. Prohlédněte si sekci “Modifikace ACL pro spojení” na stránce 25. Poznámka: Spojení WebSEAL, které je vytvořeno touto úlohou, bude také podporovat jednotné přihlášení pro Web Application Sample (jež je popsáno v části Kapitola 6, “Vytvoření webového rozhraní pro samosprávu uživatelů”, na stránce 47) a pro Web Portal Manager, který je dodáván s Tivoli Access Manager. Jestliže používáte WebSEAL ke správě produktu Web Portal Manager, můžete použít toto spojení a dokončit následující kroky, aby se aktivovalo jednotné přihlášení pro Web Portal Manager: 1. Nalezněte soubor pdwpm.conf na serveru Tivoli Access Manager a otevřete jej v textovém editoru. 2. Změňte hodnotu atributu authMethod na SSO. 3. Uložte změny a zavřete soubor. 4. Zastavte a poté restartujte WebSphere Application Server.
Soubory vlastností produktu Tivoli Identity Manager související s jednotným přihlášením Po spuštění automatizované úlohy Konfigurace Identity Manager jsou některé soubory vlastností Tivoli Identity Manager (v adresáři $ITIM_HOME/data) a atributy aktualizovány pro aktivaci jednotného přihlášení, a to následujícím způsobem: v Soubor vlastností: ui.properties – enrole.ui.ssoEnabled=true – enrole.ui.logoffURL=ssoLogout.jsp v Soubor vlastností: enRoleAuthentication.properties
22
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
– enrole.authentication.idsEqual= Hodnotu pro tento atribut jste vybrali Vy při spuštění instalačního programu. true
Uvádí, že ID uživatele Tivoli Access Manager je vždy stejné jako ID uživatele Tivoli Identity Manager. Poznámka: Při jednotném přihlášení pro server WebSEAL budou uživatelé používat svá ID uživatele pro své účty Tivoli Access Manager. Avšak Tivoli Identity Manager bude muset ověřit identitu uživatele.
Uvádí, že ID uživatele Tivoli Access Manager není vždy stejné jako ID uživatele Tivoli Identity Manager. Pokud jste vybrali hodnotu false, použije se vnitřní algoritmus mapování totožnosti k mapování ID uživatele uživatelova účtu Tivoli Access Manager na ID uživatele uživatelova účtu Tivoli Identity Manager.
false
Úlohy prováděné po konfiguraci Po zpracování těchto automatizovaných úloh v instalačním programu budete možná, v závislosti na vašem prostředí, muset dokončit další úlohy: v spuštění automatizovaných úloh v klastrovaném prostředí v změna relace v prodlevě v konfigurace certifikátu SSL pro spojení SSL v modifikace ACL pro spojení v zaměření se na záležitosti zabezpečení v konfigurace stránky pro odhlášení v přístup ke stránce pro přihlášení do Tivoli Identity Manager
Spuštění automatizovaných úloh v klastrovaném prostředí Server Tivoli Identity Manager lze instalovat buď v konfiguraci pro jednotlivý server, nebo klastrovou konfiguraci. V obou případech je jediné spojení WebSEAL schopno podporovat jednotné přihlášení pro celou konfiguraci serveru Tivoli Identity Manager. Procedura ″Konfigurace jednotného přihlášení pro server WebSEAL″ v publikaci IBM Tivoli Identity Manager Server Configuration Guide a dvě automatizované úlohy popsané v části Kapitola 2, “Instalace kolekce funkce zajišťování rychlého spuštění”, na stránce 5 této příručky představují kroky požadované pro konfiguraci jednotlivého serveru. Aktivace Tivoli Identity Manager pro jednotné přihlášení pro server WebSEAL v klastrovaném prostředí vyžaduje, abyste úlohy provedli na více systémech, a to následujícím způsobem: 1. Ještě jednou si prohlédněte kapitolu ″Řešení konfigurace jednotného přihlášení″ v publikaci IBM Tivoli Identity Manager Server Configuration Guide. 2. Konfigurujte WebSEAL následujícím způsobem: v Předejte všechny atributy domény v hlavičkách cookie. v Rozeznávejte pouze řetězce zakódované UTF-8 Abyste získali další informace, podívejte se do IBM Tivoli Access Manager for e-business WebSEAL Administration Guide. 3. Opatřete administrátorovi Tivoli Identity Manager účet Tivoli Access Manager. Abyste získali další informace, podívejte se do IBM Tivoli Identity Manager Policy and Organization Administration Guide. 4. Na jednom ze systémů ve skupině: Kapitola 4. Konfigurace produktu Tivoli Identity Manager pro jednotné přihlášení pro server WebSEAL
23
v Spusťte instalační program funkce zajišťování rychlého spuštění, jak je popsáno v části Kapitola 2, “Instalace kolekce funkce zajišťování rychlého spuštění”, na stránce 5, a vyberte: – Konfigurace spojení WebSEAL, která vytvoří buď spojení WebSEAL TCP, nebo spojení WebSEAL SSL. – Konfigurace Identity Manager, která podle potřeby aktualizuje soubory vlastností Tivoli Identity Manager pro podporu jednotného přihlášení. v Změňte relaci v prodlevě Tivoli Identity Manager. (Pro podrobnosti si prohlédněte kapitolu ″Konfigurace jednotného přihlášení pro server WebSEAL″ publikace IBM Tivoli Identity Manager Server Configuration Guide.) v Pokud instalační program vytvoří spojení SSL, nezapomeňte aktualizovat a konfigurovat vaše certifikáty SSL. Prohlédněte si sekci “Konfigurace certifikátu SSL pro spojení SSL”. 5. Na zbývajících systémech serverů Tivoli Identity Manager ve skupině použijte instalační program funkce zajišťování rychlého spuštění produktu Tivoli Access Manager a vyberte Konfigurace Identity Manager, čímž aktualizujete soubory vlastností Tivoli Identity Manager. Abyste získali podrobnější popis kroků instalace, podívejte se do části Kapitola 2, “Instalace kolekce funkce zajišťování rychlého spuštění”, na stránce 5. 6. Na všech počítačích v klastrovaném prostředí také nezapomeňte konfigurovat relaci v prodlevě. Prohlédněte si sekci “Změna relace v prodlevě Tivoli Identity Manager”.
Změna relace v prodlevě Tivoli Identity Manager Pro zabránění vystavení se riziku v oblasti zabezpečení ve sdíleném prostředí pracovní stanice byste měli změnit předvolenou hodnotu relace v prodlevě Tivoli Identity Manager na hodnotu odpovídající jedné z následujících hodnot: v Tivoli Identity Manager překročí časový limit kvůli nečinnosti v Tivoli Identity Manager překročí časový limit ve stejnou dobu nebo dříve, než WebSEAL překročí časový limit kvůli nečinnosti Pro změnu nastavení: 1. Otevřete administrativní konzoli WebSphere. 2. Klepněte na Aplikace. 3. Klepněte na Podnikové aplikace. 4. Klepněte na enRole. Posuňte se směrem dolu na Další vlastnosti a klepněte na Správa relace. 5. Změňte hodnotu relace v prodlevě na odpovídající hodnotu (jak je popsáno výše). 6. Uložte změnu. 7. Zastavte a restartujte enRole.
Konfigurace certifikátu SSL pro spojení SSL Pokud instalační program při spuštění této úlohy vytvořil spojení WebSEAL SSL, musíte před tím, než můžete použít spojení, použít GSKit ke konfiguraci certifikátu SSL. Poznámka: Před započetím této procedury se ujistěte, že jste GSKit konfigurovali podle popisu v publikaci IBM Tivoli Access Manager for e-business Web Security Installation Guide, která je dostupná jako část IBM Tivoli Access Manager for e-business library. 1. Spusťte obslužný program iKeyman pro WebSphere Application Server. 2. Vyberte Otevřít v úloze Soubor databáze klíčů (Key Database File).
24
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
3. Otevřete soubor DummyServerKeyFile.jks umístěný v adresáři $WAS_HOME/etc. Zobrazí se výzva k zadání hesla. Používáte-li fiktivní soubor, heslo je ″WebAS″. 4. Vyberte certifikát websphere dummy server, a potom klepněte na tlačítko Vyjmutí certifikátu. 5. V okně Vyjmutí certifikátu do souboru zadejte následující: v Typ dat: Vyberte Base64-encoded ASCII data. v Jméno souboru certifikátu: Zadejte jméno souboru pro certifikát. v Umístění: Zadejte cestu k adresáři, do něhož má být certifikát uložen. Pro tento příklad zadejte WebSphereServerCert.arm pro jméno souboru certifikátu a uložte certifikát do adresáře $WAS_HOME/etc. 6. Klepněte na tlačítko OK. Poté, co byl certifikát uložen, musí být přenesen na server WebSEAL. Jestliže jste definovali vaše vlastní soubory klíčů pro server WebSphere a získali jste certifikát od CA (vydavatele certifikátu), musíte jej v následujících krocích použít místo certifikátu kořenového CA, který podepsal váš certifikát WebSphere. 7. Zavřete grafické uživatelské rozhraní WebSphere IBM Key Management. 8. Na serveru WebSEAL spusťte spustitelný soubor GSKit iKeyman. 9. Vyberte Otevřít v úloze Soubor databáze klíčů (Key Database File). 10. Tento příklad používá předvolenou databázi WebSEAL. Nasměrujte se na soubor $WebSEAL_root/www-WebSEAL_instance/certs/pdsrv.kdb a klepněte na tlačítko Otevřít. (kde $WebSEAL_root je adresář, kde je instalovaný WebSEAL, a WebSEAL_instance je jméno instance WebSEAL, v níž je umístěna databáze). 11. Jakmile se objeví výzva k zadání hesla, zadejte heslo. (Heslo pro předvolenou databázi WebSEAL je pdsrv.) 12. Jakmile se databáze otevře, vyberte Certifikáty podpisovatele. 13. Klepněte na tlačítko Přidat. Zobrazí se okno Přidání certifikátu CA ze souboru. 14. V okně Přidání certifikátu CA ze souboru proveďte následující: v Typ dat: Vyberte Base64-encoded ASCII v Jméno souboru certifikátu: Klepněte na tlačítko Procházet pro vyhledání jména souboru certifikátu. Tento příklad používá soubor WebSphereServerCert.arm umístěný v adresáři $WAS_HOME/etc. 15. Klepněte na tlačítko OK. Zobrazí se výzva pro jméno označení k uložení certifikátu. Tento příklad používá záznam WAS 5 Server. 16. Klepněte na tlačítko OK. Zobrazí se panel IBM Key Management se seznamem certifikátů podpisovatele zahrnujícím jméno označení, které jste zadali. 17. Zavřete grafické uživatelské rozhraní IBM Key Management.
Modifikace ACL pro spojení Pokud chcete modifikovat předvolená ACL, která byla vytvořena při vytvoření spojení, použijte příkaz acl modify, a to buď pomocí pdadmin, jak je popsáno v publikaci IBM Tivoli Access Manager Command Reference, nebo pomocí produktu Web Portal Manager, jak je popsáno v publikaci IBM Tivoli Access Manager Base Administration Guide.
Zaměření se na záležitosti zabezpečení Je-li server Tivoli Identity Manager konfigurován pro jednotné přihlášení, používá hlavičku HTTP iv_user k identifikaci ověřeného uživatele. Neexistuje však nezávislý mechanismus pro ověření, že tato hlavička HTTP byla přijata z důvěryhodného zdroje, jako jsou Tivoli Access Manager WebSEAL nebo plug-iny. Jestliže uživatelé mají přímý přístup přes síť k serveru Tivoli Identity Manager, je možné zosobnit jiného uživatele. Toho lze docílit vytvořením požadavku HTTP s hlavičkou iv_user rovnající se jinému ID uživatele a Kapitola 4. Konfigurace produktu Tivoli Identity Manager pro jednotné přihlášení pro server WebSEAL
25
odesláním tohoto požadavku stránce pro přihlášení serveru Tivoli Identity Manager. Chcete-li se zaměřit na tuto záležitost zabezpečení, podívejte se na sekci ″Přehled schopností jednotného přihlášení″ kapitoly ″Řešení konfigurace jednotného přihlášení″ publikace IBM Tivoli Identity Manager Server Configuration Guide.
Změna konfigurované stránky pro odhlášení Tivoli Identity Manager je dodáván s několika soubory a jakýkoliv z nich lze definovat jako stránku pro odhlášení pro grafické uživatelské rozhraní Tivoli Identity Manager. Tyto soubory jsou v adresáři $WAS_HOME/AppServer/installedApps/$NODE_NAME/enRole.ear/app_web.war directory (kde $WAS_HOME je adresář, v němž je nainstalován WebSphere Application Server). Když jste spustili instalační program, jako stránka pro odhlášení byl nastaven soubor ssoLogout.jsp. Chcete-li použít odlišnou stránku, budete muset následujícím způsobem modifikovat soubor ui.properties: 1. Otevřete soubor Tivoli Identity Manager $ITIM_HOME/data/ui.properties v textovém editoru. 2. Pro vlastnost enrole.ui.logoffURL uveďte jednu ze stránek pro odhlášení popsaných v následují tabulce. Poznámka: Soubory ssoLogout.jsp a websealLogout.jsp jsou ukázkové soubory, které zobrazují ukázkový kód požadovaný pro použití tlačítka pro odhlášení grafického uživatelského rozhraní Tivoli Identity Manager, když je aktivováno jednotné přihlášení pro server WebSEAL. Tyto soubory můžete editovat (včetně jazyka), aby prováděly libovolné funkce odpovídající vašemu prostředí. Tabulka 1. Stránky pro odhlášení websealLogout.jsp
Tento ukázkový soubor je nejvíce zabezpečený. Použijte jej, pokud chcete následující kombinované chování, když uživatel klepne na tlačítko Odhlásit: v Ukončení relace přihlášení do Tivoli Identity Manager. v Ukončení relace přihlášení do Tivoli Access Manager (vyvolá se funkce pkmslogout). pkmslogout funguje pouze pro klienty používající mechanismus autentizace, který s každým požadavkem nedodává data autentizace. pkmslogout například nefunguje na klientech používajících základní autentizaci, certifikáty nebo informace o IP adrese. V těchto případech musíte pro odhlášení zavřít prohledávací program. pkmslogout tyto informace poskytne uživateli ve zprávě, která se objeví na stránce pro odhlášení. Tento soubor můžete editovat, abyste přizpůsobili možnost použití ukázky pro odhlášení.
26
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Tabulka 1. Stránky pro odhlášení (pokračování) logoff.html
Předvolené chování při odhlášení z Tivoli Identity Manager: SSO je zakázáno: v Poté, co uživatel klepne na tlačítko Odhlásit, se zobrazí stránka pro přihlášení do Tivoli Identity Manager. SSO je povoleno: v Poté, co uživatel klepne na tlačítko Odhlásit, je vrácen do grafického uživatelského rozhraní Tivoli Identity Manager, protože informace o autentizaci z Tivoli Access Manager (v hlavičce HTTP iv-user) jsou stále k dispozici.
ssoLogout.jsp
Použijte tuto ukázku, pokud chcete následující kombinované chování, když uživatel klepne na tlačítko Odhlásit: v Ukončení aktuální relace přihlášení do Tivoli Identity Manager a poskytnutí odkazu pro návrat do grafického uživatelského rozhraní Tivoli Identity Manager. v Setrvání ve stavu připojení do Tivoli Access Manager (informace hlavičky HTTP iv-user jsou stále k dispozici). To například umožňuje pokračovat v používání stránky portálu nebo navrátit se do Tivoli Identity Manager bez výzvy k přihlášení. Tento soubor můžete editovat, abyste přizpůsobili možnost použití ukázky pro odhlášení.
Přístup ke stránce pro přihlášení do Tivoli Identity Manager Po vytvoření spojení WebSEAL bylo změněno URL pro přístup ke stránce pro přihlášení pro rozhraní Tivoli Identity Manager. Nové URL je jedno z těchto dvou: http://hostname/JunctionName/enrole/logon https://hostname/JunctionName/enrole/logon
(kde hostname je umístění serveru Tivoli Identity Manager a JunctionName je jméno, které jste při spuštění instalačního programu uvedli pro spojení.
Kapitola 4. Konfigurace produktu Tivoli Identity Manager pro jednotné přihlášení pro server WebSEAL
27
28
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Kapitola 5. Import a synchronizace uživatelských dat Tivoli Identity Manager je navržen tak, aby byl centrálním umístěním pro společnou správu totožnosti. Avšak ve vašem prostředí již mohly být instalovány jiné aplikace zabezpečení IBM Tivoli se správou uživatelů (jako například Tivoli Access Manager) a mohou současně existovat s Tivoli Identity Manager. Proto může pro stejného uživatele existovat několik záznamů uživatelských dat. Protože Tivoli Identity Manager vyžaduje svůj vlastní registr uživatelů a nemůže sdílet objekty uživatelů, které jsou v registru uživatelů jiné aplikace (jako například Tivoli Access Manager nebo společný adresář), v Tivoli Identity Manager budete muset vytvořit nové záznamy uživatelů nebo importovat stávající záznamy uživatelských dat z jiných zdrojů dat do Tivoli Identity Manager, pokud chcete, aby Tivoli Identity Manager spravoval tyto uživatele. Jestliže Tivoli Access Manager nebo jiné aplikace se záznamy uživatelských dat existují společně s Tivoli Identity Manager a aktuální atributy uživatelů jsou pro tyto aplikace potřebné, data Tivoli Identity Manager budou muset být dynamicky synchronizována se záznamy uživatelů v těchto aplikacích.
Obslužný program IBM Directory Integrator AssemblyLine Samples Obslužný program IBM Directory Integrator AssemblyLine Samples je zahrnut v kolekci funkce zajišťování rychlého spuštění. Obslužný program používá IBM Directory Integrator, který je podporován v Tivoli Identity Manager verze 4.5, aby importoval uživatele Tivoli Access Manager a společného adresáře do Tivoli Identity Manager a aby synchronizoval atributy uživatelů Tivoli Identity Manager s atributy v Tivoli Access Manager. Directory Integrator je navržen, aby synchronizoval data totožnosti umístěná v adresářích, databázích, spolupracujících systémech, aplikacích používaných pro lidské zdroje (HR), správě vztahů zákazníků (CRM), podnikovém plánování prostředků (ERP) a dalších podnikových aplikacích. V produktu Tivoli Identity Manager verze 4.5 je typ služby zajišťování nazvaný IBM Directory Integrator (IDI) Data Feed podporován pro výměnu uživatelských dat mezi produktem Directory Integrator a serverem Tivoli Identity Manager. Služba IDI Data Feed používá ke komunikaci s produktem Directory Integrator formát DSMLv2 (Directory Services Markup Language verze 2). V produktu Directory Integrator verze 5.1.2 jsou přidány DSMLv2 EventHandler a podpora DSMLv2 v konektoru JNDI. To velmi rozšiřuje schopnost integrace mezi Directory Integrator a Tivoli Identity Manager. V tomto obslužném programu je k importu záznamů uživatelů do Tivoli Identity Manager používán konektor JNDI s ovladačem DSML2InitialContextFactory. Poznámka: Před použitím obslužného programu se musíte dobře vyznat v konceptech IBM Directory Integrator, a to včetně AssemblyLines, konektorů, konfiguračních souborů a souborů vlastností. Abyste získali další informace, podívejte se do IBM Directory Integrator Getting Started Guide. Navštivte následující webový server: http://www.ibm.com/software/tivoli/library. Klepněte na tlačítko Manuály k produktům, a potom nalezněte a klepněte na odkaz IBM Directory Integrator. Obslužný program používá konektor LDAP IBM Directory Integrator, konektor DSMLv2 JNDI a jiné pro načtení uživatelských dat Tivoli Access Manager nebo společných dat lidských zdrojů ze serveru registrů a přímo je dodává produktu Tivoli Identity Manager.
© Copyright IBM Corp. 2003
29
Hlavní funkce tohoto obslužného programu zahrnují: v Import uživatelů Tivoli Access Manager (v jednoduché doméně) do Tivoli Identity Manager. Prohlédněte si sekci “Import uživatelů Tivoli Access Manager (v jednoduché doméně) do Tivoli Identity Manager” na stránce 38. v Import uživatelů Tivoli Access Manager (ve vícenásobné doméně) do Tivoli Identity Manager. Prohlédněte si sekci “Import uživatelů Tivoli Access Manager (ve vícenásobné doméně) do Tivoli Identity Manager” na stránce 40. v Import uživatelů ze stávajícího společného adresáře do Tivoli Identity Manager. Prohlédněte si sekci “Import uživatelů ze stávajícího společného adresáře” na stránce 42. v Synchronizace atributů uživatelů Tivoli Identity Manager s atributy uživatelů Tivoli Access Manager. Prohlédněte si sekci “Synchronizace atributů uživatele Tivoli Identity Manager s atributy uživatele Tivoli Access Manager” na stránce 44.
Instalace Instalujte obslužný program pomocí instrukcí v části Kapitola 2, “Instalace kolekce funkce zajišťování rychlého spuštění”, na stránce 5.
Požadavky pro instalaci Jak je popsáno v sekci “Import nebo synchronizace uživatelských dat” na stránce 8, instalační program funkce zajišťování rychlého spuštění Tivoli Access Manager kopíruje soubory obslužného programu do správného umístění, když vyberete IBM Directory Integrator AssemblyLine Samples. Poznámka: Instalační program určí, zda je IBM Directory Integrator instalován a zda je to správná verze. Pokud není instalován nebo pokud se nejedná o správnou verzi, výběr instalace obslužného programu IBM Directory Integrator AssemblyLine nebude zobrazen. Jak je popsáno v sekci “Import nebo synchronizace uživatelských dat” na stránce 8, před spuštěním instalačního programu byste měli posoudit následující podmínky, abyste zajistili, že obslužný program bude umístěn do správného umístění: v Instalujte obslužný program na server nebo pracovní stanici, kde je instalován IBM Directory Integrator 5.1.2 nebo novější. v Pokud je LDAP nebo Active Directory registrem uživatelů pro Tivoli Access Manager, instalujte IBM Directory Integrator (pokud není nainstalován) a obslužný program na jakýkoliv server nebo pracovní stanici ve společné síti intranetu, který může vzdáleně přistupovat k registrům Tivoli Access Manager a serveru Tivoli Identity Manager. v Pokud je server Lotus Domino registrem uživatelů pro Tivoli Access Manager, pro přístup k uživatelským datům v serveru Domino se používá konektor Lotus Notes. V tomto případě instalujte IBM Directory Integrator (pokud není nainstalován) a obslužný program na klienta Notes, který může přistupovat k serveru Domino. Můžete použít buď klienta Notes instalovaného pro server politiky Tivoli Access Manager, nebo nově instalovaného a konfigurovaného klienta Notes.
Instalované komponenty Po spuštění instalačního programu je vytvořen podadresář, do něhož jsou umístěny soubory obslužného programu.
Podadresář TIMTAMIntegration Instalační program funkce zajišťování rychlého spuštění vytvoří podadresář TIMTAMIntegration pod kořenovým adresářem $IDI_HOME produktu IBM Directory Integrator. Například: C:\Progra~1\ibm\IDI_HOME\TIMTAMIntegration
30
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Soubory obslužného programu Instalační program zkopíruje všechny soubory obslužného programu do tohoto podadresáře. Soubory obslužného programu zahrnují jeden konfigurační soubor a jeden odpovídající soubor vlastností pro každou hlavní úlohu. Jak již bylo dříve uvedeno, existují čtyři hlavní úlohy. Tyto úlohy a s nimi související konfigurační soubory a soubory vlastností jsou následující: Úloha: Import uživatelských dat jednoduché domény Tivoli Access Manager do Tivoli Identity Manager: v Soubor vlastností: TAMtoTIMImport.properties Abyste získali další informace, prohlédněte si sekci “TAMtoTIMImport.properties” na stránce 33. v Konfigurační soubor: TAMtoTIMImport.xml, který obsahuje následující AssemblyLines: – AssemblyLine: LDAPImport – AssemblyLine: ADImport – AssemblyLine: DominoImport Úloha: Import uživatelských dat vícenásobné domény Tivoli Access Manager do Tivoli Identity Manager: Poznámka: Tivoli Access Manager podporuje vícenásobnou doménu pouze na adresáři LDAP. v Soubor vlastností: MDTAMtoTIMImport.properties Abyste získali další informace, prohlédněte si sekci “MDTAMtoTIMImport.properties” na stránce 34. v Konfigurační soubor: MDTAMtoTIMImport.xml, který obsahuje následující AssemblyLine: – AssemblyLine: LDAPMDImport Úloha: Import uživatelských dat Directory do Tivoli Identity Manager: v Soubor vlastností: DirectorytoTIMImport.properties Abyste získali další informace, prohlédněte si sekci “DirectorytoTIMImport.properties” na stránce 35. v Konfigurační soubor: DirectorytoTIMImport.xml, který obsahuje následující AssemblyLines: – AssemblyLine: LDAPUserstoTIM – AssemblyLine: ADUserstoTIM Úloha: Synchronizace atributů uživatelů Tivoli Identity Manager s uživateli Tivoli Access Manager: v Soubor vlastností: TIMtoTAMsync.properties v Konfigurační soubor: TIMtoTAMSync.xml, který obsahuje následující AssemblyLines: – AssemblyLine: synchtamdirect – AssemblyLine: synctambychangelog v Koncový soubor: TIMtoTAMsyncexit, který obsahuje předvolené a dynamické číslo changelog pro TIMtoTAMsync. Abyste získali další informace, prohlédněte si sekci “TIMtoTAMsync.properties” na stránce 36. Poznámka: Abyste pochopili, jak jsou konfigurační soubory a soubory vlastností používány, podívejte se do IBM Directory Integrator: Getting Started Guide. Kapitola 5. Import a synchronizace uživatelských dat
31
Všechny tyto soubory vlastností musí být konfigurovány před spuštěním obslužného programu.
Konfigurace Po instalaci obslužného programu budete muset před tím, než jej můžete použít, provést některé další konfigurace.
Vytvoření služby IDI Data Feed v produktu Tivoli Identity Manager Před použitím tohoto obslužného programu pro import uživatelů musíte vytvořit službu IDI Data Feed v produktu Tivoli Identity Manager 4.5. Poznámka: Služba IDI Data Feed není požadována k provedení úlohy synchronizace. Pro vytvoření služby: 1. Přihlašte se do Tivoli Identity Manager jako administrátor Tivoli Identity Manager. 2. Přejděte na Zajišťování → Služby správy → Přidat a vyberte Služba IDI Data jako typ služby. 3. Definujte následující parametry pro službu: Jméno služby: Jakákoliv hodnota. URL: URL serveru Directory Integrator, volitelné ID uživatele: Jakékoliv Heslo: Jakákoliv hodnota. Kontext pojmenování: Jakákoliv hodnota. Atribut jména: Použijte uid jako předvolenou hodnotu. Použijte hodnoty, které jste definovali v této službě, jako hodnoty pro odpovídající atributy v souboru vlastností pro úlohy importu (jmenovitě TAMtoTIMImport.properties, MDTAMtoTIMImport.properties a DirectorytoTIMImport.properties). Například v souboru MDTAMtoTIMImport.properties by měly mít stejné hodnoty následující odpovídající atributy: Atribut souboru MDTAMtoTIMImport.properties
Hodnota odpovídající služby
TIM_DSMLv2_URL
URL
TIM_DSMLv2_Login
ID uživatele
TIM_DSMLv2_PW
Heslo
TIM_DSMLv2_SearchBase
Kontext pojmenování
Abyste získali další informace o konfigurování souborů vlastností, prohlédněte si sekci “Konfigurace souborů vlastností” na stránce 33.
32
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Konfigurace souborů vlastností Čtyři soubory vlastností pro čtyři odlišné úlohy v obslužném programu obsahují individuální parametry prostředí a výchozí nastavení programu. Jména souborů vlastností odpovídají jménům konfiguračních souborů. Před tím, než spustíte obslužný program, musíte tyto soubory vlastností přizpůsobit. Zobrazte a editujte soubory vlastností pomocí textového editoru jako Poznámkový blok (Notepad). Nastavení souborů vlastností jsou popsána v následujících tabulkách.
TAMtoTIMImport.properties Následující tabulka popisuje atributy použité v tomto souboru vlastností. Tabulka 2. Atributy v souboru TAMtoTIMImport.properties Atribut
Popis
TIM_DSMLv2_URL
Vzdálené URL ovladače DSMLv2 Tivoli Identity Manager ve formátu: http://hostname:portname/enrole/ dsml2_event_handler/tenant kde: v Hostname je jméno hostitele serveru Tivoli Identity Manager. v Portname je jméno portu Tivoli Identity Manager, předvolba je 9080 v Tenant je jméno domény serveru Tivoli Identity Manager
TIM_DSMLv2_Login
ID uživatele služby IDI Data Feed Tivoli Identity Manager.
TIM_DSMLv2_PW
Heslo uživatele služby IDI Data Feed Tivoli Identity Manager.
TIM_DSMLv2_SearchBase
Kontexty pojmenování služby IDI Data Feed Tivoli Identity Manager.
Poznámka: ID uživatele, heslo a kontexty pojmenování služby IDI Data Feed Tivoli Identity Manager jsou definovány v serveru Tivoli Identity Manager, když je vytvořena služba IDI Data Feed. Abyste získali podrobnější informace, podívejte se do README for IDI Integration Examples. Toto Čti mne má umístění: $ITIM_HOME/extensions/examples/idi_integration/Readme.html kde $ITIM_HOME je adresář, kde byl instalován Tivoli Identity Manager.
Následující tabulka popisuje atributy, které jsou požadovány, pokud je registr uživatelů Tivoli Access Manager v adresáři LDAP: Tabulka 3. Atributy požadované v souboru TAMtoTIMImport.properties pro registr uživatelů LDAP Tivoli Access Manager Atribut
Popis
TAM_LDAP_URL
Vzdálené URL LDAP Tivoli Access Manager ve formátu: ldap://hostname:portnumber
TAM_LDAP_Login
Vzdálené ID uživatele LDAP Tivoli Access Manager - například cn=root.
Kapitola 5. Import a synchronizace uživatelských dat
33
Tabulka 3. Atributy požadované v souboru TAMtoTIMImport.properties pro registr uživatelů LDAP Tivoli Access Manager (pokračování) Atribut
Popis
TAM_LDAP_PW
Vzdálené heslo uživatele LDAP Tivoli Access Manager.
Následující tabulka popisuje atributy, které jsou požadovány, pokud je registr uživatelů Tivoli Access Manager v registru Active Directory: Tabulka 4. Atributy požadované v souboru TAMtoTIMImport.properties pro registr uživatelů Active Directory Tivoli Access Manager Atribut
Popis
TAM_AD_URL
Vzdálené URL Active Directory ve formátu: ldap://hostname:portnumber
TAM_AD_Username
Vzdálené jméno uživatele Active Directory.
TAM_AD_password
Vzdálené heslo uživatele Active Directory.
TAM_AD_SearchBase
Vzdálené jméno domény Active Directory Tivoli Access Manager ve formátu: cn=Users,cn=default,cn=tivoli pdomains,dc=domainname,dc=com. Všimněte si, že zde musíte nahradit pouze domainname.
TAM_AD_SearchFilter
Vzdálený filtr prohledávání Active Directory Tivoli Access Manager ve formátu: objectCategory=cn=urafuser, cn=schema,cn=configuration, dc=domainname,dc=com Všimněte si, že zde musíte nahradit pouze domainname.
TAM_AD_RetrieveBase
Vzdálené jméno domény Active Directory Tivoli Access Manager ve formátu dc=domainname,dc=com. Všimněte si, že zde musíte nahradit pouze domainname.
Následující tabulka popisuje atributy, které jsou požadovány, pokud je registr uživatelů Tivoli Access Manager v registru Domino: Tabulka 5. Atributy požadované v souboru TAMtoTIMImport.properties pro registr uživatelů DominoTivoli Access Manager Atribut
Popis
TAM_Domino_Hostname
Vzdálené jméno hostitele serveru Domino.
TAM_Domino_UserID
Vzdálené ID uživatele serveru Domino.
TAM_Domino_Password
Vzdálené heslo uživatele serveru Domino.
TAM_Domino_Servername
Vzdálené jméno serveru Domino.
MDTAMtoTIMImport.properties Následující tabulka popisuje atributy použité v tomto souboru vlastností. Poznámka: Tivoli Access Manager podporuje vícenásobnou doménu pouze u adresáře LDAP.
34
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Tabulka 6. Atributy v souboru MDTAMtoTIMImport.properties Atribut
Popis
TIM_DSMLv2_URL
Vzdálené URL ovladače DSMLv2 Tivoli Identity Manager ve formátu: http://hostname:portname/enrole/ dsml2_event_handler/tenant kde: v Hostname je jméno hostitele serveru Tivoli Identity Manager. v Portname je jméno portu Tivoli Identity Manager, předvolba je 9080 v Tenant je jméno domény serveru Tivoli Identity Manager
TIM_DSMLv2_Login
ID uživatele služby IDI Data Feed Tivoli Identity Manager.
TIM_DSMLv2_PW
Heslo uživatele služby IDI Data Feed Tivoli Identity Manager
TIM_DSMLv2_SearchBase
Kontexty pojmenování služby IDI Data Feed Tivoli Identity Manager
Poznámka: ID uživatele, heslo a kontexty pojmenování služby IDI Data Feed Tivoli Identity Manager jsou definovány v serveru Tivoli Identity Manager, když je vytvořena služba IDI Data Feed. Abyste získali podrobnější informace, podívejte se do README for IDI Integration Examples. Toto Čti mne má umístění: $ITIM_HOME/extensions/examples/idi_integration/Readme.html kde $ITIM_HOME je adresář, kde byl instalován Tivoli Identity Manager. TAM_LDAP_URL
Vzdálené URL LDAP Tivoli Access Manager ve formátu: ldap://hostname:portnumber
TAM_LDAP_Login
Vzdálené ID uživatele LDAP Tivoli Access Manager - například cn=root.
TAM_LDAP_PW
Vzdálené heslo uživatele LDAP Tivoli Access Manager.
DirectorytoTIMImport.properties Následující tabulka popisuje atributy použité v tomto souboru vlastností. Tabulka 7. Atributy v souboru DirectorytoTIMImport.properties Atribut
Popis
TIM_DSMLv2_URL
Vzdálené URL ovladače DSMLv2 Tivoli Identity Manager ve formátu: http://hostname:portname/enrole/ dsml2_event_handler/tenant kde: v Hostname je jméno hostitele serveru Tivoli Identity Manager. v Portname je jméno portu Tivoli Identity Manager, předvolba je 9080 v Tenant je jméno domény serveru Tivoli Identity Manager
Kapitola 5. Import a synchronizace uživatelských dat
35
Tabulka 7. Atributy v souboru DirectorytoTIMImport.properties (pokračování) Atribut
Popis
TIM_DSMLv2_Login
ID uživatele služby IDI Data Feed Tivoli Identity Manager.
TIM_DSMLv2_PW
Heslo uživatele služby IDI Data Feed Tivoli Identity Manager.
TIM_DSMLv2_SearchBase
Kontexty pojmenování služby IDI Data Feed Tivoli Identity Manager.
Poznámka: ID uživatele, heslo a kontexty pojmenování služby IDI Data Feed Tivoli Identity Manager jsou definovány v serveru Tivoli Identity Manager, když je vytvořena služba IDI Data Feed. Abyste získali podrobnější informace, podívejte se do README for IDI Integration Examples. Toto Čti mne má umístění: $ITIM_HOME/extensions/examples/idi_integration/Readme.html kde $ITIM_HOME je adresář, kde byl instalován Tivoli Identity Manager.
Následující tabulka popisuje atributy, které jsou požadovány, pokud je registr uživatelů v adresáři LDAP: Tabulka 8. Atributy požadované v souboru DirectorytoTIMImport.properties pro registr uživatelů LDAP Atribut
Popis
LDAP_URL
Vzdálené URL společného LDAP ve formátu: ldap//:hostname:portnumber
LDAP_Login
Vzdálené ID uživatele společného LDAP.
LDAP_PW
Vzdálené heslo uživatele společného LDAP
LDAP_SearchBase
Vzdálená báze prohledávání společného LDAP.
Následující tabulka popisuje atributy, které jsou požadovány, pokud je registr uživatelů v registru Active Directory: Tabulka 9. Atributy požadované v souboru DirectorytoTIMImport.properties pro registr uživatelů Active Directory Atribut
Popis
AD_URL
Vzdálené URL Active Directory ve formátu: ldap//:hostname:portnumber
AD_Username
Vzdálené jméno uživatele Active Directory.
AD_password
Vzdálené heslo uživatele Active Directory.
AD_SearchBase
Vzdálené jméno domény Active Directory ve formátu: cn=Users,cn=default,cn=tivoli pdomains,dc=domainname,dc=com. Všimněte si, že zde musíte nahradit pouze domainname.
TIMtoTAMsync.properties Následující tabulka popisuje atributy použité v tomto souboru vlastností.
36
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Poznámka: Funkci synchronizace lze použít pouze s adresáři LDAP. Tabulka 10. Atributy v souboru TIMtoTAMsync.properties Atribut
Popis
TIM_LDAP_URL
Vzdálené URL LDAP Tivoli Identity Manager ve formátu: ldap://hostname:portnumber
TIM_LDAP_Login
Přihlášení uživatele LDAP Tivoli Identity Manager.
TIM_LDAP_PW
Heslo uživatele LDAP Tivoli Identity Manager.
TAM_LDAP_URL
Vzdálené URL LDAP Tivoli Access Manager ve formátu: ldap://hostname:portnumber
TAM_LDAP_Login
Vzdálené ID uživatele LDAP Tivoli Access Manager - například cn=root.
TAM_LDAP_PW
Vzdálené heslo uživatele LDAP Tivoli Access Manager.
SYNC_Start
Naplánovaný čas spuštění pro synchronizaci. Použijte formát: <měsíc><den><dentýdne>
<minuta> v měsíc 0–11 v den 1–31 v dentýdne 1–7 v hodina 0–23 v minuta 0–59 Mezi každou proměnnou je mezera. Použijte * pro jakoukoliv hodnotu dané proměnné. Například * * * * 15 definuje, že naplánovaný čas spuštění je každých 15 minut od začátku hodiny.
SYNC_Timeout
Uvádí maximální dobu ve vteřinách, po kterou má konektor changelog čekat na další nový changelog.
SYNC_Sleeptime
Uvádí počet vteřin, po které má být konektor changelog v nečinnosti, pokud neexistuje žádný nový changelog. Poznámky: 1. Pokud je SYNC_Timout nastaveno na 0 a SYNC_Sleeptime na nenulovou hodnotu, konektor changelog bude na nový changelog vyčkávat nekonečně dlouhou dobu. V tomto případě nebude číslo změny aktualizováno, pokud bude AL zastaveno manuálně. 2. Formát a rozsah SYNC_Timout a SYNC_Sleeptime jsou definovány produktem IBM Directory Integrator. Jsou to celá čísla a jejich rozsah je velmi velký.
K zobrazení a zašifrování těchto souborů vlastností také můžete použít nástroj IDI Admin Tool, pokud je to nezbytné. Abyste získali další informace, podívejte se do IBM Directory Integrator: Administrator Interface.
Kapitola 5. Import a synchronizace uživatelských dat
37
Konfigurace konektorů Většina konektorů, které pracují s obslužným programem, je připravena k použití. Avšak používáte-li Lotus Notes jako váš zdroj dat, musíte zkopírovat soubor Notes.jar do $IDI_HOME/jars (kde $IDI_HOME je umístění, kde je instalován Directory Integrator). Také byste měli upravit cestu ke třídě ve spouštěcím skriptu IBM Directory Integrator ibmditk, aby zahrnovala tyto nové soubory JAR a aby řádně pracoval konektor Lotus Notes.
Zaměření se na záležitosti zabezpečení Pro zvýšení zabezpečení při použití tohoto obslužného programu pro import nebo synchronizaci uživatelských dat proveďte následující procedury: v Zabezpečte konfigurační soubor a individuální nastavení. Můžete nastavit heslo pro konfigurační soubor a vybrat volbu šifrování pro soubor vlastností. Abyste získali instrukce, podívejte se do IBM Directory Integrator Reference Guide. v Aktivujte SSL mezi adresářem a produktem Directory Integrator. Abyste získali instrukce, podívejte se do IBM Directory Integrator Reference Guide. v Aktivujte SSL mezi produkty Directory Integrator a Tivoli Identity Manager. Abyste získali instrukce, podívejte se do IBM Tivoli Identity Manager Server Configuration Guide.
Zaměření se na posouzení výkonu Pro zajištění nejlepšího výkonu si prohlédněte informace v IBM Directory Integrator Reference Guide. Při spuštění obslužného programu IBM Directory Integrator AssemblyLine Samples aktivujte protokolování chyb pouze tehdy, ladíte-li program.
Spuštění obslužného programu Čtyři úlohy, které můžete spustit pomocí tohoto obslužného programu, jsou: v “Import uživatelů Tivoli Access Manager (v jednoduché doméně) do Tivoli Identity Manager”. v “Import uživatelů Tivoli Access Manager (ve vícenásobné doméně) do Tivoli Identity Manager” na stránce 40. v “Import uživatelů ze stávajícího společného adresáře” na stránce 42. v “Synchronizace atributů uživatele Tivoli Identity Manager s atributy uživatele Tivoli Access Manager” na stránce 44. Poznámka: Před použitím obslužného programu v produkčním prostředí použijte simulované prostředí ke spuštění ověřovacího testu pro každou ze čtyř úloh, které plánujete používat v produkčním prostředí. Když spustíte ověřovací test, budete chtít ověřit: v Nastavení prostředí v Připojení serveru adresářů v Připojení DSMLv2EventHandler serveru Tivoli Identity Manager v Dostupnost a mapování atributů
Import uživatelů Tivoli Access Manager (v jednoduché doméně) do Tivoli Identity Manager Tato úloha předpokládá, že začnete se stávajícím prostředím jednoduché domény Tivoli Access Manager, které má uživatele definované v registru uživatelů, potom nainstalujete Tivoli Identity Manager, a pak importujete všechny definované uživatele Tivoli Access Manager do Tivoli Identity Manager, aby Tivoli Identity Manager mohl tyto uživatele spravovat.
38
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
(Je nezbytné importovat všechny definované uživatele Tivoli Access Manager do Tivoli Identity Manager, aby Tivoli Identity Manager mohl tyto uživatele spravovat.) Obslužný program vyjme všechny informace o uživateli z registru Tivoli Access Manager, namapuje atributy uživatele od uživatelů Tivoli Access Manager uživatelům Tivoli Identity Manager (údaje o osobách) a vytvoří platný vstup, který může služba Tivoli Identity Manager rozpoznat. Potom můžete údajům o osobách přiřadit účty provedením sladění, jak je popsáno v IBM Tivoli Identity Manager Policy and Organization Administration Guide. Před tím, než můžete importovat uživatele Tivoli Access Manager do Tivoli Identity Manager, se předpokládá následující: v Tivoli Access Manager byl instalován a konfigurován. v Bylo vytvořeno několik uživatelů v jednom z následujících adresářů registru uživatelů Tivoli Access Manager: – IBM Tivoli Directory Server 5.2 – IBM Directory Server 5.1 – IBM Directory Server 4.1 – IBM SecureWay Directory 3.2 – SUN ONE Directory (iPlanet) 5.0 a vyšší – Novell eDirectory – Microsoft Active Directory v serverech Windows 2000 – Server Domino 5.0 a vyšší
v v v v
(Chcete importovat všechny uživatele Tivoli Access Manager z registru uživatelů do Tivoli Identity Manager.) Agent Tivoli Access Manager byl instalován a konfigurován. Tivoli Identity Manager byl instalován a konfigurován. IBM Directory Integrator a tento obslužný program byly instalovány. Služba IDI Data Feed je vytvořena a konfigurována, jak je popsáno v sekci “Vytvoření služby IDI Data Feed v produktu Tivoli Identity Manager” na stránce 32.
Konfigurační soubor pro tuto úlohu je TAMtoTIMImport.xml. Obslužný program načte uživatelská data Tivoli Access Manager z registrů uživatelů Tivoli Access Manager jako LDAP, Active Directory a adresář Domino a importuje je do Tivoli Identity Manager.
Použití nástroje Directory Integrator Admin Tool Ke spuštění této úlohy: 1. Spusťte nástroj Directory Integrator Admin Tool: v Ve Windows klepněte na Start → Programy → IBM Directory Integrator → IBM Directory Integrator. v V AIX nebo Solaris přejděte v příkazovém řádku do adresáře instalace IBM Tivoli Directory Integrator a zapište ./ibmditk 2. Klepněte na Soubor → Otevřít. Potom vyberte podadresář TIMTAMIntegration. 3. Otevřete konfigurační soubor TAMtoTIMImport.xml. 4. Vyberte AssemblyLine pro úlohu: v Pokud chcete importovat uživatelská data z registru uživatelů LDAP v prostředí jednoduché domény, vyberte LDAPImport. v Pokud chcete importovat uživatelská data z registru uživatelů Active Directory v prostředí jednoduché domény, vyberte ADImport. Kapitola 5. Import a synchronizace uživatelských dat
39
v Pokud chcete importovat uživatelská data z registru uživatelů Domino v prostředí jednoduché domény, vyberte DominoImport. 5. Klepněte na tlačítko Spustit v horním rohu na pravé straně. Informace o zpracovávání jsou zobrazeny v okně spuštění.
Použití příkazového řádku Ke spuštění této úlohy pomocí příkazového řádku: 1. Spusťte AssemblyLine z příkazového řádku. 2. Zapište následující příkaz z adresáře instalace produktu Directory Integrator: ibmdisrv -c"Jméno_konfiguračního_souboru" -r"Jméno_AssemblyLine" -m
Poznámka: Volby příkazového řádku musí mít hodnoty zadané tak, aby následovaly okamžitě za volbami. Nevkládejte mezeru mezi volbu a její hodnotu. -c
Konfigurační soubor; TAMtoTIMImport.xml
-l
Soubor protokolu (předvolený výstup konzole). Pro změnu souboru protokolu pro většinu protokolování změňte soubor log4j.properties.
-r
Seznam jmen AssemblyLines ke spuštění: v Pokud chcete importovat uživatelská data z registru uživatelů LDAP v prostředí jednoduché domény, použijte -rLDAPImport. v Pokud chcete importovat uživatelská data z registru uživatelů Active Directory v prostředí jednoduché domény, použijte -rADImport. v Pokud chcete importovat uživatelská data z registru uživatelů Domino v prostředí jednoduché domény, použijte -rDominoImport.
-P Heslo. Vložte heslo, pokud je konfigurační soubor zašifrován a chráněn heslem. -m Spustit server AMC (Administration and Monitor Console). Po vytvoření uživatelů Tivoli Identity Manager můžete spustit operaci sladění Tivoli Identity Manager pro vytvoření shodných účtů Tivoli Access Manager v Tivoli Identity Manager. Shoda mezi uživatelem Tivoli Identity Manager a účtem Tivoli Access Manager je ustanovena atributem aliases v záznamu uživatele Tivoli Identity Manager, který je definován obslužným programem. Poté, co jsou produkty Tivoli Identity Manager a Tivoli Access Manager integrovány, můžete, pokud potřebujete synchronizovat atributy uživatelů Tivoli Identity Manager a Tivoli Access Manager, použít synchronizační úlohu, abyste přímo nebo dynamicky zavedli tuto úlohu. Prohlédněte si sekci “Synchronizace atributů uživatele Tivoli Identity Manager s atributy uživatele Tivoli Access Manager” na stránce 44.
Import uživatelů Tivoli Access Manager (ve vícenásobné doméně) do Tivoli Identity Manager Tato úloha předpokládá, že začnete se stávajícím prostředím vícenásobné domény Tivoli Access Manager, které má uživatele definované v registru uživatelů, potom nainstalujete Tivoli Identity Manager, a pak importujete všechny definované uživatele Tivoli Access Manager do Tivoli Identity Manager, aby Tivoli Identity Manager mohl tyto uživatele spravovat. (Je nezbytné importovat všechny definované uživatele Tivoli Access Manager do Tivoli Identity Manager, aby Tivoli Identity Manager mohl tyto uživatele spravovat.) Obslužný program vyjme všechny informace o uživateli z registru Tivoli Access Manager, namapuje atributy uživatele od uživatelů Tivoli Access Manager uživatelům Tivoli Identity
40
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Manager (údaje o osobách) a vytvoří platný vstup, který může služba Tivoli Identity Manager rozpoznat. Potom můžete údajům o osobách přiřadit účty provedením sladění, jak je popsáno v IBM Tivoli Identity Manager Policy and Organization Administration Guide. Před tím, než můžete importovat uživatele Tivoli Access Manager do Tivoli Identity Manager, se předpokládá následující: v Tivoli Access Manager byl instalován a konfigurován. v Bylo vytvořeno několik uživatelů v jednom z následujících adresářů registru uživatelů LDAP Tivoli Access Manager: – IBM Tivoli Directory Server 5.2 – IBM Directory Server 5.1 – IBM Directory Server 4.1 – IBM SecureWay Directory 3.2 – SUN ONE Directory (iPlanet) 5.0 a vyšší – Novell eDirectory
v v v v
(Chcete importovat všechny uživatele Tivoli Access Manager z registru uživatelů do Tivoli Identity Manager.) Agent Tivoli Access Manager byl instalován a konfigurován. Tivoli Identity Manager byl instalován a konfigurován. IBM Directory Integrator a tento obslužný program byly instalovány. Konfigurovali jste službu IDI Data Feed, jak je popsáno v sekci “Vytvoření služby IDI Data Feed v produktu Tivoli Identity Manager” na stránce 32.
Konfigurační soubor pro tuto úlohu je MDTAMtoTIMImport.xml. Obslužný program načte uživatelská data Tivoli Access Manager z registrů uživatelů LDAP Tivoli Access Manager a importuje je do Tivoli Identity Manager.
Použití nástroje Directory Integrator Admin Tool Ke spuštění této úlohy: 1. Spusťte nástroj Directory Integrator Admin Tool: v Ve Windows klepněte na Start → Programy → IBM Directory Integrator → IBM Directory Integrator. v V AIX nebo Solaris přejděte v příkazovém řádku do adresáře instalace IBM Tivoli Directory Integrator a zapište ./ibmditk 2. Klepněte na Soubor → Otevřít. Potom vyberte podadresář TIMTAMIntegration. 3. Otevřete konfigurační soubor MDTAMtoTIMImport.xml. 4. Vyberte AssemblyLine LDAPMDImport. 5. Klepněte na tlačítko Spustit v horním rohu na pravé straně. Informace o zpracovávání jsou zobrazeny v okně spuštění.
Použití příkazového řádku Ke spuštění této úlohy pomocí příkazového řádku: 1. Spusťte AssemblyLine z příkazového řádku. 2. Zapište následující příkaz z adresáře instalace produktu Directory Integrator: ibmdisrv -c"Jméno_konfiguračního_souboru" -r"Jméno_AssemblyLine" -m
Poznámka: Volby příkazového řádku musí mít hodnoty zadané tak, aby následovaly okamžitě za volbami. Nevkládejte mezeru mezi volbu a její hodnotu.
Kapitola 5. Import a synchronizace uživatelských dat
41
-c
Konfigurační soubor: MDTAMtoTIMImport.xml
-l
Soubor protokolu (předvolený výstup konzole). Pro změnu souboru protokolu pro většinu protokolování změňte soubor log4j.properties.
-r
Seznam jmen AssemblyLines ke spuštění: -rLDAPMDImport
-P Heslo. Vložte heslo, pokud je konfigurační soubor zašifrován a chráněn heslem. -m Spustit server AMC (Administration and Monitor Console). Po vytvoření uživatelů Tivoli Identity Manager můžete spustit operaci sladění Tivoli Identity Manager pro vytvoření shodných účtů Tivoli Access Manager v Tivoli Identity Manager. Shoda mezi uživatelem Tivoli Identity Manager a účtem Tivoli Access Manager je ustanovena atributem aliases v záznamu uživatele Tivoli Identity Manager, který je definován obslužným programem. Abyste získali další informace o sladění, prohlédněte si IBM Tivoli Identity Manager Policy and Organization Administration Guide. Poté, co jsou produkty Tivoli Identity Manager a Tivoli Access Manager integrovány, můžete, pokud potřebujete synchronizovat atributy uživatelů Tivoli Identity Manager a Tivoli Access Manager, použít synchronizační úlohu, abyste přímo nebo dynamicky zavedli tuto úlohu. Prohlédněte si sekci “Synchronizace atributů uživatele Tivoli Identity Manager s atributy uživatele Tivoli Access Manager” na stránce 44.
Import uživatelů ze stávajícího společného adresáře Tato úloha předpokládá, že vaše společnost používá pro správu svých lidských zdrojů nebo dat společného adresáře registr jako LDAP. Obslužný program lze použít k importu všech nebo části stávajících dat uživatele z tohoto společného registru do integrovaného prostředí Tivoli Identity Manager. Uživatelé Tivoli Identity Manager (údaje o osobách) budou vytvořeni prostřednictvím obslužného programu a účtů Tivoli Access Manager, nebo mohou být pro každou osobu vytvořeny jiné účty pomocí politiky zajišťování Tivoli Identity Manager. Pro tuto úlohu používá obslužný program konfigurační soubor DirectorytoTIMImport.xml pro mapování atributů uživatelů a jejich importu do Tivoli Identity Manager. Před tím, než můžete importovat uživatele adresáře do Tivoli Identity Manager, se předpokládá následující: v Bylo vytvořeno několik uživatelů v jednom z následujících adresářů registru uživatelů: – IBM Tivoli Directory Server 5.2 – IBM Directory Server 5.1 – IBM Directory Server 4.1 – IBM SecureWay Directory 3.2 – SUN ONE Directory (iPlanet) 5.0 a vyšší – Novell eDirectory – Microsoft Active Directory v serverech Windows 2000
v v v v v
42
(Chcete importovat všechny uživatele Tivoli Access Manager z registru uživatelů do Tivoli Identity Manager.) Můžete přistupovat ke společnému adresáři a znáte datový strom. Víte, jak mapovat atributy uživatele adresáře atributům Tivoli Identity Manager. Tivoli Identity Manager je instalován. IBM Directory Integrator a tento obslužný program byly instalovány. Konfigurovali jste službu IDI Data Feed, jak je popsáno v sekci “Vytvoření služby IDI Data Feed v produktu Tivoli Identity Manager” na stránce 32.
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
v Také byste měli mít instalovaný Tivoli Access Manager a měli byste dokončit následující kroky pro prostředí Tivoli Access Manager: 1. Instalujte profil služby Tivoli Access Manager v Tivoli Identity Manager (instalací a konfigurací agenta, jak je popsáno v IBM Tivoli Identity Manager IBM Tivoli Access Manager Agent Installation Guide). 2. Vytvořte službu Tivoli Access Manager v Tivoli Identity Manager. 3. Definujte politiku zajišťování v Tivoli Identity Manager, aby se vytvořil účet Tivoli Access Manager, když jsou vytvářeni uživatelé Tivoli Identity Manager. Tímto způsobem, kdy se používá DirectorytoTIMImport.xml k importu uživatelů společného adresáře do integrovaného prostředí Tivoli Identity Manager a Tivoli Access Manager, budou pro každý záznam uživatele vytvářeni uživatelé Tivoli Identity Manager a účty Tivoli Access Manager. Uživatelé Tivoli Access Manager budou také vytvářeni automaticky, když bude vytvořena osoba v Tivoli Identity Manager.
Použití nástroje Directory Integrator Admin Tool Ke spuštění této úlohy: 1. Spusťte nástroj Directory Integrator Admin Tool: v Ve Windows klepněte na Start → Programy → IBM Directory Integrator → IBM Directory Integrator. v V AIX nebo Solaris přejděte v příkazovém řádku do adresáře instalace IBM Tivoli Directory Integrator a zapište ./ibmditk 2. Klepněte na Soubor → Otevřít. Potom vyberte podadresář TIMTAMIntegration. 3. Otevřete konfigurační soubor: DirectorytoTIMImport.xml. 4. Vyberte AssemblyLine nebo EventHandler pro úlohu: v Pokud chcete importovat uživatelská data z registru uživatelů LDAP v prostředí jednoduché domény, vyberte LDAPUserstoTIM. v Pokud chcete importovat uživatelská data z registru uživatelů Active Directory v prostředí jednoduché domény, vyberte ADUserstoTIM. 5. Klepněte na tlačítko Spustit v horním rohu na pravé straně. Informace o zpracovávání jsou zobrazeny v okně spuštění.
Použití příkazového řádku 1. Spusťte AssemblyLine z příkazového řádku. 2. Zapište následující příkaz z adresáře instalace produktu Directory Integrator: ibmdisrv -c"Jméno_konfiguračního_souboru" -r"Jméno_AssemblyLine" -m
Poznámka: Volby příkazového řádku musí mít hodnoty zadané tak, aby následovaly okamžitě za volbami. Nevkládejte mezeru mezi volbu a její hodnotu. -c
Konfigurační soubor; použijte DirectorytoTIMImport.xml
-l
Soubor protokolu (předvolený výstup konzole). Pro změnu souboru protokolu pro většinu protokolování změňte soubor log4j.properties.
-r
Seznam jmen AssemblyLines ke spuštění: v Pokud chcete importovat uživatelská data z registru uživatelů LDAP v prostředí jednoduché domény, použijte -rLDAPUserstoTIM. v Pokud chcete importovat uživatelská data z registru uživatelů Active Directory v prostředí jednoduché domény, použijte -rADUserstoTIM.
-P Heslo. Vložte heslo, pokud je konfigurační soubor zašifrován a chráněn heslem. -m Spustit server AMC (Administration and Monitor Console).
Kapitola 5. Import a synchronizace uživatelských dat
43
Synchronizace atributů uživatele Tivoli Identity Manager s atributy uživatele Tivoli Access Manager Pokud jste již instalovali a integrovali Tivoli Identity Manager a Tivoli Access Manager, automatická synchronizace atributů uživatelů Tivoli Identity Manager s atributy uživatelů Tivoli Access Manager může být velmi výhodná, aby server WebSEAL a jiné aplikace založené na produktu Tivoli Access Manager mohly používat atributy synchronizované produktem Tivoli Identity Manager pro nastavení uživatelských přístupových autentizací nebo pro jiné účely. Protože Tivoli Access Manager neposkytuje způsob, jakým by šlo aktualizovat atributy uživatelů, můžete navíc použít tuto synchronizační úlohu pro změnu atributů v Tivoli Identity Manager, a potom tyto změny atributů synchronizovat do registru uživatelů Tivoli Access Manager. Před tím, než můžete synchronizovat atributy uživatelů Tivoli Identity Manager do odpovídajících záznamů uživatelů Tivoli Access Manager, se předpokládá následující: v V adresáři registru uživatelů Tivoli Identity Manager byl vytvořen či modifikován jeden nebo více uživatelů Tivoli Identity Manager. v Chcete importovat všechny atributy uživatelů z registru uživatelů Tivoli Identity Manager do odpovídajících záznamů uživatelů v jednom z následujících uživatelských adresářů Tivoli Access Manager: – IBM Tivoli Directory Server 5.2 – IBM Directory Server 5.1 – IBM Directory Server 4.1 – IBM SecureWay Directory 3.2 – SUN ONE Directory (iPlanet) 5.0 a vyšší – Novell eDirectory v IBM Directory Integrator a tento obslužný program byly instalovány.
Použití nástroje Directory Integrator Admin Tool Pro synchronizaci atributů uživatelů: 1. Spusťte nástroj Directory Integrator Admin Tool: v Ve Windows klepněte na Start → Programy → IBM Directory Integrator → IBM Directory Integrator. v V AIX nebo Solaris přejděte v příkazovém řádku do adresáře instalace IBM Tivoli Directory Integrator a zapište ./ibmditk 2. Klepněte na Soubor → Otevřít. Potom vyberte podadresář TIMTAMIntegration. 3. Otevřete konfigurační soubor: TIMtoTAMSync.xml. 4. Vyberte AssemblyLine nebo EventHandler pro úlohu: v Pokud chcete synchronizovat uživatelská data Tivoli Identity Manager s uživatelskými daty Tivoli Access Manager, vyberte synchtamdirect. v Pokud chcete monitorovat změny atributů uživatelů Tivoli Identity Manager a chcete těmito změnami automaticky aktualizovat atributy uživatelů Tivoli Access Manager (to znamená automaticky synchronizovat), vyberte synchtamchangelog. Poznámka: Pro použití této AssemblyLine musí být spuštěn changelog LDAP. Abyste spustili changelog, použijte rozhraní LDAP. Tuto úlohu také můžete spustit pomocí správce událostí ScheduleSync. Abyste získali další informace o plánování událostí pomocí správce událostí ScheduleSync, podívejte se do IBM Directory Integrator Getting Started Guide.
44
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
5. Klepněte na tlačítko Spustit v horním rohu na pravé straně. Informace o zpracovávání jsou zobrazeny v okně spuštění.
Použití příkazového řádku 1. Spusťte AssemblyLine z příkazového řádku. 2. Zapište následující příkaz z adresáře instalace produktu Directory Integrator: ibmdisrv -c"Jméno_konfiguračního_souboru" -r"Jméno_AssemblyLine" -m
Poznámka: Volby příkazového řádku musí mít hodnoty zadané tak, aby následovaly okamžitě za volbami. Nevkládejte mezeru mezi volbu a její hodnotu. -c
Konfigurační soubor; použijte TIMtoTAMSync.xml
-l
Soubor protokolu (předvolený výstup konzole). Pro změnu souboru protokolu pro většinu protokolování změňte soubor log4j.properties.
-r
Seznam jmen AssemblyLines ke spuštění: v Pokud chcete synchronizovat uživatelská data Tivoli Identity Manager s uživatelskými daty Tivoli Access Manager, použijte -rsynchtamdirect. v Pokud chcete monitorovat změny atributů uživatelů Tivoli Identity Manager a chcete těmito změnami automaticky aktualizovat atributy uživatelů Tivoli Access Manager (to znamená automaticky synchronizovat), použijte -rsynchtamchangelog. Poznámka: Pro použití této AssemblyLine musí být spuštěn changelog LDAP. Abyste spustili changelog, použijte rozhraní LDAP. Tuto úlohu také můžete spustit pomocí správce událostí ScheduleSync. Abyste získali další informace o plánování událostí pomocí správce událostí ScheduleSync, podívejte se do IBM Directory Integrator Getting Started Guide.
-P Heslo. Vložte heslo, pokud je konfigurační soubor zašifrován a chráněn heslem. -m Spustit server AMC (Administration and Monitor Console). Podle předvolby jsou mapovány následující atributy, když spustíte AssemblyLine synchtamdirect: GivenName Homephone Homepostaladdress Mail Mobile Pager Postaladdress Postalcode Roomnumber St Street Telephonenumber title
Kapitola 5. Import a synchronizace uživatelských dat
45
Tyto atributy mapování můžete zobrazit, upravit nebo vymazat pomocí nástroje Directory Integrator Admin Tool. Abyste získali další informace, podívejte se do IBM Directory Integrator Reference Manual.
46
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Kapitola 6. Vytvoření webového rozhraní pro samosprávu uživatelů Pokud používáte Tivoli Identity Manager ke správě účtů uživatelů a chtěli byste, aby vaši uživatelé mohli spravovat svá vlastní ID uživatelů a hesla, můžete mít prospěch z používání vámi spravované stránky webového portálu. Tím, že uživatelům umožníte provádět tyto typy úloh samosprávy, lze zredukovat počet volání na helpdesk za účelem požadování těchto úloh. Kolekce funkce zajišťování rychlého spuštění poskytuje sadu servletů Java, stránek serveru Java a souborů HTML (společně nazvaných Web Application Sample), které ukazují, jak vytvořit webovou aplikaci určenou k tomu, aby se o sebe uživatelé mohli sami starat, a to včetně toho, aby se sami mohli zaregistrovat, aktualizovat osobní údaje, změnit si heslo, znovu si nastavit heslo prostřednictvím výzvy/odezvy a žádat o přístup k aplikacím. Produkt Web Sample používá rozhraní aplikačních programů (API) Tivoli Identity Manager verze 4.5 a standardní rozhraní WebSphere pro webové aplikace.
Produkt Web Application Sample Produkt Web Application Sample: v Lze použít jako příklad, jak vytvořit webové aplikace používající API Tivoli Identity Manager 4.5 v Lze přizpůsobit ve vzhledu a funkci, aby vyhověl vašim obchodním potřebám v Podporuje jednotné přihlášení (SSO) ze serveru WebSEAL (pokud bylo SSO aktivováno v Tivoli Identity Manager) Ukázka (Sample) je poskytnuta pro samosprávu uživatelů a nemá nahradit grafické uživatelské rozhraní Tivoli Identity Manager, které je poskytnuto pro administrativní účely.
Znalost předpokladů pro použití Ukázky Pro použití této Ukázky byste měli být zkušeným vývojářem webových aplikací, který je obeznámen s: v produktem WebSphere Application Server v J2EE (Java Platform 2 Enterprise Edition) včetně servletů Java a stránek serveru Java v službou autentizace a autorizace Java v API Tivoli Identity Manager verze 4.5: – Podívejte se do dokumentů Java v následujícím umístění adresáře, do něhož jste instalovali Tivoli Identity Manager: $ITIM_HOME/extensions/api/index.html (kde $ITIM_HOME je adresář, kde byl instalován Tivoli Identity Manager). – Také se podívejte do dokumentu přehledu Tivoli Identity Manager v následujícím umístění adresáře, do něhož jste instalovali Tivoli Identity Manager: $ITIM_HOME/extensions/doc/applications/applications.html (kde $ITIM_HOME je adresář, kde byl instalován Tivoli Identity Manager). Když je Web Application Sample zabezpečen produktem Tivoli Access Manager (prostřednictvím serveru WebSEAL nebo plug-inu pro webové servery), musíte být obeznámeni s integrovaným prostředím Tivoli Identity Manager a Tivoli Access Manager, v němž budete používat tyto stránky.
© Copyright IBM Corp. 2003
47
Předem požadovaný software a konfigurace pro použití Ukázky Pro použití funkcí v Ukázce by také měla být instalována a konfigurována následující prostředí: v WebSphere Application Server verze 5.0 s opravným programem 2 (také nazýváno 5.0.2) a jakékoliv další opravné programy, které jsou uvedeny v IBM Tivoli Identity Manager Version 4.5 Release Notes. v Tivoli Identity Manager verze 4.5 (a jeho předpoklady). v Tivoli Access Manager verze 5.1 (a jeho předpoklady) a agent Tivoli Access Manager, pokud Tivoli Identity Manager spravuje účty Tivoli Access Manager. v Uživatelé, kteří budou používat webové stránky v Ukázce, musí mít účet Tivoli Identity Manager. v Jestliže se do Ukázky bude vstupovat prostřednictvím jednotného přihlášení pro server WebSEAL, uživatelé také musí mít účet Tivoli Access Manager. Poznámka: Pokud chcete umožnit, aby Ukázka používala jednotné přihlášení pro server WebSEAL, budete muset mít instalovaný a konfigurovaný server WebSEAL a budete muset produktu Tivoli Identity Manager umožnit, aby používal jednotné přihlášení, jak je popsáno v části Kapitola 4, “Konfigurace produktu Tivoli Identity Manager pro jednotné přihlášení pro server WebSEAL”, na stránce 21. Když používáte jednotné přihlášení pro server WebSEAL, nepoužívejte funkci Změna hesla (Change Password) v Ukázce. Místo toho byste měli instalovat a používat funkci poskytnutou Zpětnou synchronizací hesel (Reverse Password Synchronization) pro agenta WebSEAL Tivoli Access Manager, který je částí sady agentů Tivoli Access Manager, která je dostupná z webového serveru IBM. Abyste získali další informace, obraťte se na vašeho reprezentanta konta IBM.
Funkce Ukázky Produkt Web Application Sample poskytuje následující funkce: v Přihlášení (Logon) (které může podporovat buď autentizaci ID uživatele a hesla, nebo jednotné přihlášení pro server WebSEAL), prohlédněte si sekci “Konfigurace funkce Přihlášení” na stránce 54. v Domů (Main (Home)), prohlédněte si sekci “Konfigurace hlavní (domovské) stránky” na stránce 55. v Změna hesla (Change Password), prohlédněte si sekci “Konfigurace funkce hesla” na stránce 55. v Zapomněl jsem heslo (Forgot My Password) (pomocí Challenge Response), prohlédněte si sekci “Konfigurace funkce hesla” na stránce 55. v Osobní péče (Self-Care), prohlédněte si sekci “Konfigurace funkce Osobní péče” na stránce 62. v Samostatná registrace (Self-Registration), prohlédněte si sekci “Konfigurace funkce Samostatná registrace” na stránce 59 v Přiřazení aplikace (Application Subscription), prohlédněte si sekci “Konfigurace funkce Přiřazení aplikace” na stránce 63. v Nastavení odezvy výzvy (Set Challenge Response), prohlédněte si sekci “Konfigurace funkce Výzva/Odezva” na stránce 65 v Odhlášení (Logout), prohlédněte si sekci “Konfigurace funkce Odhlášení” na stránce 65.
Instalace Před tím, než instalujete Ukázku, byste měli být obeznámeni s požadavky pro její instalaci a metodami, které si můžete vybrat pro instalaci.
48
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Požadavky pro instalaci Ukázku musíte instalovat na systém, který již má instalovaný WebSphere Application Server verze 5.0.2. Navíc musíte mít instalované opravné programy WebSphere Application Server, které jsou uvedeny v IBM Tivoli Identity Manager Version 4.5 Release Notes. Pro instalaci opravných programů použijte instrukce k instalaci v těchto poznámkách k vydání. Poznámka: Pokud jako instalační metodu použijete instalační program funkce zajišťování rychlého spuštění, musíte zakázat Zabezpečení v produktu WebSphere Application Server. Tak jako tak budete muset provést následující kroky před i po instalaci: 1. Zakažte Zabezpečení ve WebSphere Application Server. Abyste získali instrukce, podívejte se do dokumentace k serveru WebSphere. 2. Instalujte Ukázku (jak je popsáno v části Kapitola 2, “Instalace kolekce funkce zajišťování rychlého spuštění”, na stránce 5). 3. Manuálně konfigurujte Ukázku následujícím způsobem (aby mohla pracovat s aktivovaným Zabezpečením WebSphere): a. Na následující cestě vytvořte soubor nazvaný was.policy: $WAS_HOME/AppServer/config/cells/cellname/applications/ itim_expi.ear/deployments/enrole/META-INF/
kde $WAS_HOME je adresář, kde je instalován WebSphere Application Server, a cellname je jméno buňky. b. Přidejte následující řádky do souboru was.policy: grant codeBase "file:$application" { permission java.security.AllPermission; };
kde application je jméno webové aplikace, k níž se politika vztahuje. 4. Pomocí Administrativní konzole WebSphere znovu aktivujte Zabezpečení v produktu WebSphere Application Server. Abyste získali instrukce, podívejte se do dokumentace administrativní konzole.
Instalační metody Pro instalaci Ukázky můžete použít jednu z následujících voleb: v základní instalace pomocí instalačního programu funkce zajišťování rychlého spuštění v instalace na systém, kde není instalován Tivoli Identity Manager v instalace v klastrovaném prostředí Vyberte si metodu, která odpovídá vašemu prostředí.
Základní instalace pomocí instalačního programu funkce zajišťování rychlého spuštění Instalace produktu Web Application Sample je poskytnuta prostřednictvím souboru EAR, který je vložen do instalačního programu funkce zajišťování rychlého spuštění. Abyste získali další informace, prohlédněte si část Kapitola 2, “Instalace kolekce funkce zajišťování rychlého spuštění”, na stránce 5. Pokud jste použili tuto základní instalační metodu, Web Application Sample lze odinstalovat, když je odinstalována kolekce funkce zajišťování rychlého spuštění. Abyste získali podrobnosti, prohlédněte si sekci “Odinstalace” na stránce 15. Poznámka: Když spustíte instalační program, heslo, které je nastaveno ve vlastnosti Tivoli Identity Manager enrole.appServer.ejbuser.credentials, je zkopírováno do souboru vlastností pro Ukázku. Pokud jste však použili příkaz pro zašifrování Kapitola 6. Vytvoření webového rozhraní pro samosprávu uživatelů
49
hesla runConfig v Tivoli Identity Manager, Ukázka jej nebude schopna použít. V takovém případě budete muset následujícím způsobem manuálně přidat nezašifrované heslo do souboru vlastností pro Ukázku: 1. Po spuštění instalačního programu otevřete v textovém editoru soubor itim_expi.properties. 2. Pro hodnotu vlastnosti platform.credentials zapište heslo enRole, které je uvedeno ve vlastnosti enrole.appServer.ejbuser.credentials souboru enrole.properties. 3. Uložte a zavřete soubor. 4. Použijte Administrativní konzoli WebSphere k ukončení a spuštění itim_expi.ear.
Instalace, kde není instalován produkt Tivoli Identity Manager Pro instalaci produktu Web Application Sample na systém, kde není instalován Tivoli Identity Manager, sledujte instrukce v části Kapitola 2, “Instalace kolekce funkce zajišťování rychlého spuštění”, na stránce 5. Později, když je instalace dokončena, musíte: 1. Zkopírovat soubory JAR API Tivoli Identity Manager ze systému, kde je instalován Tivoli Identity Manager, do systému, kde je instalován produkt Web Application Sample. Soubory JAR jsou umístěny v adresáři EAR Tivoli Identity Manager na cestě $WAS_HOME/AppServer/InstalledApps/enRole.ear/ (kde $WAS_HOME je adresář, kde je instalován WebSphere Application Server.) Následující seznam je seznamem souborů JAR, které musí být zkopírovány: v api_ejb.jar v itim_api.jar v ldapjdk.jar 2. Umístěte tyto soubory JAR do adresáře systému, kde je instalován produkt Web Application Sample: $WAS_HOME/AppServer/InstalledApps/ itim_expi.ear/itim_expi.war/WEB-INF/lib (kde $WAS_HOME je adresář, kde je instalován WebSphere Application Server.) 3. Zkopírujte soubor itim_expi.properties z adresáře itim_expi.ear/itim_expi.war/WEBINF/lib do adresářeWebSphere/AppServer/properties. 4. Editujte soubor itim_expi.properties a klíčové prvky nastavte následujícím způsobem: Nastavení držitele a držitele DN: tenantid= tenantdn=
Předvolená organizace (kořenová v Tivoli Identity Manager): default.org=kořenová organizace v Tivoli Identity Manager platform.url=iiop://jméno hostitele serveru Tivoli Identity Manager:port (URL, kde je instalován Tivoli Identity Manager) platform.principal=jméno uživatele EJB (předvolba= "rasweb") platform.credentials=pověření uživatele EJB (předvolba = <čisté>)
Hodnoty pro tyto prvky můžete zjistit, když se podíváte na odpovídající hodnoty v souboru enrole.properties, který je umístěn v adresáři $ITIM_HOME/data/ (kde $ITIM_HOME je adresář, kde je instalován Tivoli Identity Manager). Prvky a odpovídající hodnoty jsou popsány v následující tabulce.
50
Prvek v souboru itim_expi.properties
Odpovídající hodnota v souboru enrole.properties
tenantid
Použijte hodnotu pro enrole.defaulttenant.id.
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Prvek v souboru itim_expi.properties
Odpovídající hodnota v souboru enrole.properties
tenantdn
Použijte hodnotu ’ou=tenantid’ kombinovanou s hodnotou enrole.ldapserver.root. Například "tenantdn=ou=myco,dc=com".
default.org
Použijte ’ou=tenantid’.
platform.url
Použijte URL pro server Tivoli Identity Manager s portem používaným serverem WebSphere pro IIOP.
platform.principal
Použijte jméno uživatele, jemuž byla přiřazena role ITIM_SYSTEM. (Tato hodnota je obvykle stejná jako enrole.appServer.ejbuser.principal.)
platform.credentials
Použijte heslo uživatele platform.principal. (Obvykle je tato hodnota stejná jako enrole.appServer.ejbuser.credentials.) Poznámka: Pokud jste v Tivoli Identity Manager použili příkaz runConfig pro zašifrování hesla nastaveného v enrole.appServer.ejbuser.credentials, budete muset manuálně přidat nezašifrované heslo jako hodnotu pro vlastnost platform.credentials.
Následují příklady hodnot pro tyto klíčové prvky v souboru itim_expi.properties: #-----------------------------------------------------# Organizační informace #-----------------------------------------------------tenantid=myco tenantdn=ou=myco,dc=com default.org=ou=myco # Application Server platform.url=iiop://itimserver.myco.com:2809 platform.principal=enroleUser platform.credentials=enroleUserPassword
Instalace v klastrovaném prostředí Pro instalaci Ukázky v klastrovaném prostředí: 1. Změňte příponu instalačního programu funkce zajišťování rychlého spuštění na .jar. 2. Otevřete soubor instalačního programu pomocí obslužného programu k archivaci (jako WinZip) a vyjměte soubor itim_expi.ear. 3. Ve správci Network Deployment Manager použijte WebSphere pro manuální instalaci souboru EAR na klastr nebo jednoduchý uzel: v Pokud je Tivoli Identity Manager nasazen pomocí modelu ″řádný klastr″, instalujte Ukázku na stejný klastr. v Pokud je Tivoli Identity Manager nasazen pomocí modelu ″funkční klastr″, instalujte Ukázku na klastr uživatelského rozhraní Tivoli Identity Manager. Použijte Administrativní konzoli WebSphere k manuální instalaci EAR. Abyste získali instrukce, prohlédněte si dokumentaci administrativní konzole. 4. Zkopírujte následující soubory JAR ze serveru Tivoli Identity Manager do itim_expi.ear/itim_expi.war/WEB-INF/lib na WebSphere Application Server (appserver), na všech aplikačních serverech, které jsou členy klastru: v itim_api.jar v ldapjdk.jar Kapitola 6. Vytvoření webového rozhraní pro samosprávu uživatelů
51
v api_ejb.jar 5. Zkopírujte soubor itim_expi.properties z adresáře itim_expi.ear/itim_expi.war/WEBINF/lib do adresáře WebSphere/AppServer/properties, a to na všech aplikačních serverech, které jsou členy klastru. 6. Editujte soubor itim_expi.properties a klíčové prvky nastavte následujícím způsobem: Nastavení držitele a držitele DN: tenantid= tenantdn=
Předvolená organizace (kořenová v Tivoli Identity Manager): default.org=kořenová organizace v Tivoli Identity Manager platform.url=iiop://jméno hostitele serveru Tivoli Identity Manager:port/ cell/clusters/jméno_klastru (URL, kde je instalován Tivoli Identity Manager) platform.principal=jméno uživatele EJB (předvolba= "rasweb") platform.credentials=pověření uživatele EJB (předvolba = <čisté>)
Hodnoty pro tyto prvky můžete zjistit, když se podíváte na odpovídající hodnoty v souboru enrole.properties, který je umístěn v adresáři $ITIM_HOME/data/ (kde $ITIM_HOME je adresář, kde je instalován Tivoli Identity Manager). Prvky a odpovídající hodnoty jsou popsány v následující tabulce. Prvek v souboru itim_expi.properties
Odpovídající hodnota v souboru enrole.properties
tenantid
Použijte hodnotu pro enrole.defaulttenant.id.
tenantdn
Použijte hodnotu ’ou=tenantid’ kombinovanou s hodnotou enrole.ldapserver.root. Například "tenantdn=ou=myco,dc=com".
default.org
Použijte ’ou=tenantid’.
platform.url
Použijte URL pro server Tivoli Identity Manager s portem používaným serverem WebSphere pro IIOP.
platform.principal
Použijte jméno uživatele, jemuž byla přiřazena role ITIM_SYSTEM. (Tato hodnota je obvykle stejná jako enrole.appServer.ejbuser.principal.)
platform.credentials
Použijte heslo uživatele platform.principal. (Obvykle je tato hodnota stejná jako enrole.appServer.ejbuser.credentials.)
Následují příklady hodnot pro tyto klíčové prvky v souboru itim_expi.properties: #-----------------------------------------------------# Organizační informace #-----------------------------------------------------tenantid=myco tenantdn=ou=myco,dc=com default.org=ou=myco # Application Server platform.url=iiop://itimserver.myco.com:2809/cell/clusters/ITIM-UI-CLUSTER platform.principal=enroleUser platform.credentials=enroleUserPassword
7. Spusťte aplikaci itim_expi pomocí Administrativní konzole WebSphere.
52
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Konfigurace Následující funkce (a jejich související JSP a odpovídající servlety) byly instalovány během instalace Ukázky: v Přihlášení v Domů v Změna hesla v Zapomněl jsem heslo (pomocí Challenge Response) v v v v v
Osobní péče Samostatná registrace Přiřazení aplikace Nastavení odezvy výzvy Odhlášení
Tato sekce popisuje konfiguraci provedenou instalačním programem a jakoukoliv dodatečnou konfiguraci, kterou musíte udělat, pokud jste Ukázku neinstalovali pomocí instalačního programu. Všechny vlastností, které pro tyto funkce budete muset konfigurovat, jsou uloženy v souboru vlastností itim_expi.properties, který byl instalován do adresáře /WebSphere/Appserver/properties. (Tento adresář je částí standardní CESTY KE TŘÍDĚ, která se používá k nalezení souboru vlastností.) Soubor vlastností obsahuje: v Vlastnosti pro následující funkce: – Změna hesla – Zapomněl jsem heslo – Osobní péče – Samostatná registrace v Jména URL (JSP) pro každou ze stránek. Například: logonpage=expilogon.jsp homepage=home.html challengeresponseanswer=cranswer.html changepassword=changepassword.jsp
v Atributy pro skupiny Tivoli Access Manager a jména aplikací. v Atributy k tomu, aby se Ukázce umožnilo použití se serverem WebSEAL a produktem Tivoli Identity Manager. v Komentáře, které vám pomohou porozumět vlastnostem, a co tyto vlastnosti konfigurují. Soubor vlastností je prostý textový soubor a pro změnu vlastností, které obsahuje, byste měli použít textový editor. Po provedení změn souboru vlastností použijte Administrativní konzoli WebSphere k zastavení a spuštění itim_expi.ear.
Zajištění řádného přístupu k JSP Několik stránek vyžaduje ověřování identity uživatele: v Změna hesla v Osobní péče Kapitola 6. Vytvoření webového rozhraní pro samosprávu uživatelů
53
v Hlavní stránka v Challenge/Response v Odhlášení Přístup bez ověřování identity je dostačující pro následující stránky: v Přihlášení v Samostatná registrace v Zapomněl jsem heslo
Konfigurace upozornění na e-mail v produktu Tivoli Identity Manager Nejspíš budete chtít změnit upozornění na e-mail, které uživatelé přijímají od Tivoli Identity Manager, aby obsahovalo URL stránky pro přihlášení do Ukázky. Pro změnu upozornění na e-mail: 1. Editujte soubor notifytemplate.html v adresáři $ITIM_HOME/data/workflow_systemprocess. 2. Nahraďte URL v šabloně URL stránky pro přihlášení, kterou používáte pro tuto Ukázku. 3. Uložte a zavřete soubor. 4. Zastavte a poté restartujte Tivoli Identity Manager.
Konfigurace funkce Přihlášení Soubory vztahující se k funkci Přihlášení jsou: JSP:
logon.jsp
Servlet: logonServlet.java Funkce Přihlášení podporuje dva typy autentizace: v ID uživatele a heslo. v Jednotné přihlášení prostřednictvím serveru WebSEAL. (Tato funkce vyžaduje, aby v Tivoli Identity Manager bylo aktivováno jednotné přihlášení. Abyste získali další informace, prohlédněte si část Kapitola 4, “Konfigurace produktu Tivoli Identity Manager pro jednotné přihlášení pro server WebSEAL”, na stránce 21.) Když jste spustili instalační program, atribut ssoenabled v souboru itim_expi.properties byl nastaven na jednu z následujících hodnot. Jestliže jste nespustili instalační program, můžete tento atribut upravit editací souboru vlastností. v Pro použití autentizace ID uživatele a hesla musí být atribut nastaven na false. Funkce Přihlášení použije JAAS pro ověřování identity do Tivoli Identity Manager. v Pro použití jednotného přihlášení ze serveru WebSEAL musí být atribut nastaven na true. Autentizace bude provedena serverem WebSEAL a servlet Přihlášení prohledá hlavičku požadavku pro hodnotu uvedenou pro iv-user. V Ukázce byste navíc neměli používat funkci Změna hesla. Místo toho byste měli použít agenta Zpětná synchronizace hesel (Reverse Password Synchronization) a funkci pro změnu hesla serveru WebSEAL. Abyste získali další informace, prohlédněte si sekci “Konfigurace funkce hesla” na stránce 55. Stránka Přihlášení také poskytuje odkazy na následující ostatní stránky v Ukázce: v Změna hesla v Zapomněl jsem heslo v Samostatná registrace
54
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Konfigurace hlavní (domovské) stránky Soubory vztahující se k hlavní (domovské) stránce jsou: JSP:
main.jsp
Servlet: main.java Na jiných JSP se na tuto hlavní stránku odkazuje jako na ″domovskou stránku″. Jedná se o jednoduché JSP, které v Ukázce funguje jako stránka ″Vítejte″ a obsahuje odkazy na jiná JSP v Ukázce: v Stránka Osobní péče v Stránka Změna hesla v Stránka Odhlášení v Stránka Přiřazení aplikace (pokud máte konfigurovaný Tivoli Access Manager) Abyste vyhověli vašim potřebám, můžete na tuto stránku přidat další odkazy. Avšak žádná další konfigurace se nepožaduje.
Konfigurace funkce hesla Před tím, než budete konfigurovat funkci Změna hesla nebo funkci Zapomněl jsem heslo, uvažte následující postupy správy hesel, které se vztahují k použití ukázek v integrovaném prostředí: v Pravidla odolnosti hesla Ujistěte se, že pravidla odolnosti hesla (která jsou částí politiky hesla), se shodují jak Tivoli Identity Manager, tak v Tivoli Access Manager. Pro zajištění, že se tato pravidla shodují, uvažte následující: – Pravidla hesla v Tivoli Identity Manager nejsou konfigurována předvolbou. Avšak v produktu Tivoli Access Manager jsou konfigurována předvolbou. Použijete-li API Tivoli Identity Manager pro změnu hesla uživatele Tivoli Access Manager, aniž byste se ujistili, že se pravidla hesla shodují, změna hesla může být úspěšná v Tivoli Identity Manager, avšak neúspěšná v Tivoli Access Manager. – Používáte-li prostředí WebSEAL a nechcete vést dvě sady hesel (jednu v Tivoli Identity Manager a jednu v Tivoli Access Manager), můžete vypnout pravidla hesla v Tivoli Access Manager, pokud můžete zajistit, že uživatelé mohou měnit svá hesla pouze prostřednictvím Zpětné synchronizace hesel pro agenta WebSEAL Tivoli Access Manager (pokud používáte WebSEAL), nebo prostřednictvím Tivoli Identity Manager, pokud nepoužíváte WebSEAL. Agent Zpětná synchronizace hesel kontroluje heslo vůči pravidlům hesla Tivoli Identity Manager. Agent Zpětná synchronizace hesel je k dispozici v sadě agentů Tivoli Access Manager. Abyste získali další informace, obraťte se na vašeho reprezentanta konta IBM. v Synchronizace hesel Hesla k účtům v produktech Tivoli Identity Manager a Tivoli Access Manager by měla být po celou dobu synchronizována. Pro zajištění této synchronizace: – Aktivujte synchronizaci hesel v Tivoli Identity Manager. Podívejte se do kapitoly ″Vlastnosti konfigurace″ v IBM Tivoli Identity Manager Policy and Organization Administration Guide. V Ukázce kontrolují API Tivoli Identity Manager, která se používají ke změně hesla uživatele, konfiguraci Tivoli Identity Manager, aby se určilo, zda změnit všechna hesla uživatele, nebo pouze heslo Tivoli Identity Manager. – Mějte na paměti, že pokud budete Ukázku konfigurovat pro použití s jednotným přihlášením, uživatel se přihlásí heslem pro účet Tivoli Access Manager, avšak API Tivoli Identity Manager, která jsou používána ke změně hesla uživatele, vyžadují heslo pro účet Tivoli Identity Manager. Kapitola 6. Vytvoření webového rozhraní pro samosprávu uživatelů
55
– Zajistěte, aby hesla vytvářená pro nové účty Tivoli Identity Manager a nové účty Tivoli Access Manager byla stejná. Abyste získali další informace, podívejte se do “Synchronizace hesel při použití jednotného přihlášení s funkcí Samostatná registrace” na stránce 60. v Speciální pokyny k použití funkcí hesel v prostředí jednotného přihlášení pro server WebSEAL Pokud budete tuto Ukázku používat v prostředí jednotného přihlášení pro server WebSEAL, instalujte a konfigurujte agenta Zpětná synchronizace hesel pro server WebSEAL Tivoli Access Manager na server Tivoli Identity Manager. (Abyste získali informace o získání tohoto agenta, obraťte se na vašeho zástupce IBM.) Po instalaci tohoto agenta si buďte vědomi následujících pokynů: – Uživatelé by měli měnit svá hesla prostřednictvím serveru WebSEAL namísto prostřednictvím funkce Změna hesla v této Ukázce. – Po té, co uživatelé požádají o změnu hesla, agent Zpětná synchronizace hesel před provedením změny zkontroluje nově zvolené heslo vůči pravidlům odolnosti hesla Tivoli Identity Manager. – Pravidla hesla v produktu Tivoli Identity Manager verze 4.5 potlačují při vytváření hesel pro nové účty politiku zajišťování. Tato situace může způsobit problémy v integrovaných prostředích, když se použije jednotné přihlášení. Například, pokud jste konfigurovali politiku zajišťování tak, že nastavuje hesla uživatelů Tivoli Identity Manager a Tivoli Access Manager na secret, a nemáte aktivována žádná pravidla hesla v Tivoli Identity Manager, potom budou účty Tivoli Identity Manager a Tivoli Access Manager vytvořeny s heslem secret, jak se předpokládá. Avšak pokud pak definujete politiku hesla s jakýmikoliv pravidly, účty Tivoli Identity Manager a Tivoli Access Manager nebudou vytvářeny s heslem secret a místo toho budou hesla účtů Tivoli Identity Manager a Tivoli Access Manager nastavena na odlišná, náhodně generovaná hesla. V neprodukčním prostředí byste tuto situaci mohli obejít nedefinováním pravidel hesla v Tivoli Identity Manager a nastavením hesla pro účty Tivoli Identity Manager a Tivoli Access Manager na konstantní hodnotu. (Tato metoda je popsána v sekci “Synchronizace hesel při použití jednotného přihlášení s funkcí Samostatná registrace” na stránce 60.) Další metoda, kterou byste mohli použít, abyste se této situaci vyhnuli, spočívá v přinucení uživatelů, aby při výchozím přihlášení do systému změnili svá hesla, a zajištění, aby pro změnu hesla mohli použít pouze server WebSEAL s instalovaným agentem Zpětná synchronizace hesel; to znamená, aby pro změnu hesla nepoužili Tivoli Identity Manager nebo funkci Ukázky Změna hesla. Mějte navíc na paměti, že uživatelé obdrží e-mail, když jsou vytvořeny jejich účty Tivoli Identity Manager a Tivoli Access Manager (obdrží samostatný e-mail pro každý účet). Pokud jsou hesla pro každý účet odlišná, uživatelé mohou být zmateni z toho, jaké heslo mají při přihlašování použít. Produkt Tivoli Identity Manager lze přizpůsobit tak, aby odeslal e-mail pouze tehdy, když je vytvořen účet Tivoli Access Manager; avšak toto přizpůsobení zahrnuje napsání přizpůsobených pracovních postupů. Abyste získali informace o pracovních postupech, prohlédněte si IBM Tivoli Identity Manager Policy and Organization Administration Guide.
Konfigurace funkce Změna hesla Soubory vztahující se k funkci Změna hesla jsou: JSP: changepwd.jsp changepwdinfo.jsp pwdrulesinfo.jsp selfchangepwd.jsp selfchangepwdinfo.jsp
56
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Servlet: ChangePasswordServlet.java Tato funkce uživatelům umožňuje změnit nebo znovu nastavit jejich hesla. Tato funkce může být v Ukázce použita dvěma způsoby: v Odkaz Změnit mé heslo (Change My Password) na stránce Přihlášení: To uživatelům umožňuje rychle změnit jejich heslo bez toho, aby se museli přihlásit do aplikace nebo aby museli změnit heslo, když vyprší jeho platnost. v Odkaz Změnit mé heslo (Change My Password) na hlavní (domovské) stránce: To uživatelům umožňuje změnit jejich heslo po přihlášení do aplikace. Poznámka: Používáte-li WebSEAL, existují další pokyny, které musíte učinit. Například uživatelé by měli změnit svá hesla prostřednictvím rozhraní serveru WebSEAL namísto použití stránky Změna hesla v Ukázce. Abyste získali další informace, prohlédněte si sekci “Konfigurace funkce hesla” na stránce 55 a sekci “Konfigurace Ukázky pro použití s jednotným přihlášením pro server WebSEAL” na stránce 65. Konfigurace potřebná pro tuto funkci je popsána v následujících sekcích. Konfigurace toho, které heslo bude změněno: Když jste spustili instalační program, konfigurovali jste servlet tak, aby změna hesla uživatele ovlivnila buď: v Pouze heslo Tivoli Identity Manager v Všechna hesla, která má uživatel povoleno změnit Avšak pokud jste nespustili instalační program nebo chcete změnit vámi zvolená nastavení, můžete použít textový editor a změnit hodnotu atributu changeonlytimpassword v souboru itim_expi.properties. Nastavení atributu na hodnotu true znamená, že bude změněno pouze heslo Tivoli Identity Manager. Nastavení na hodnotu false znamená, že všechna hesla, která má uživatel povoleno změnit, budou nastavena na nové heslo. Poznámka: Pokud jste tento atribut nastavili na false, musíte také následujícím způsobem změnit nastavení v serveruTivoli Identity Manager: 1. Přihlašte se do rozhraní Tivoli Identity Manager. 2. Klepněte na ouško Konfigurace (Configuration). 3. Vyberte okénko Aktivace synchronizace hesel (Enable password synchronization). (Okénko není předvoleně vybráno.) Vytvoření ACI pro funkci Změna hesla: ACI účtu je požadováno, aby se uživatelům umožnilo změnit všechny jejich účty opatřené heslem kromě hesla účtu Tivoli Identity Manager. Pokud ACI není vytvořeno, uživatelé budou moci změnit pouze jejich heslo účtu Tivoli Identity Manager, i když bude aktivní synchronizace hesel v Tivoli Identity Manager a atribut changeOnlyTimPassword v souboru itim_expi.properties bude nastaven na hodnotu false. ACI je vytvořeno pomocí grafického uživatelského rozhraní Tivoli Identity Manager následujícím způsobem: 1. Z Moje organizace (My Organization) vyberte Řízení přístupu (Control Access). 2. Klepněte na Přidat (Add). 3. Vyberte Účet (Account) (potom vyberte Účet PD (PD Account), máte-li konfigurovánu více než jednu sadu účtů.) Kapitola 6. Vytvoření webového rozhraní pro samosprávu uživatelů
57
4. Klepněte na Pokračovat (Continue). 5. Zadejte jméno ACI (například EXPI — Account ACI — Password) a pro snadnost použití vyberte Podstrom (Sub-tree). 6. Vyberte Oprávnění atributů (Attribute Permissions) a minimálně výsady Udělit privilegia ke čtení a zápisu pro heslo (Grant Read and Write privileges for Password). 7. Klepněte na Pokračovat (Continue). 8. Udělte Privilegia k vyhledání a upravení operace (Search and Modify Operation privileges). 9. Klepněte na Zadat (Submit).
Konfigurace funkce Zapomněl jsem heslo Soubory vztahující se k funkci Zapomněl jsem heslo jsou: JSP: forgotpwd.jsp forgotpwdinfo.jsp
Servlet: ForgotPasswordServlet.java Tato funkce umožňuje uživatelům, kteří zapomněli své heslo, znovu si nastavit heslo. Heslo je generováno produktem Tivoli Identity Manager pomocí pravidel hesla, která jsou definována pro účty uživatele nebo, pokud nejsou definována žádná pravidla hesla, pomocí vestavěných pravidel v Tivoli Identity Manager. Nově generované heslo je buď zobrazeno na obrazovce, nebo odesláno uživatelům na jejich adresu elektronické pošty záznamu (na základě konfigurace vlastností, jak je popsáno v sekci “Konfigurace vlastností funkce Zapomněl jsem heslo”). V prostředí serveru WebSEAL můžete použít funkci Zapomněl jsem heslo tak, že změníte stránku pro přihlášení serveru WebSEAL, aby obsahovala odkaz, který ukazuje na URL, kde je tato stránka umístěna v Ukázce. Aktivace a konfigurace nastavení odezvy na výzvu v produktu Tivoli Identity Manager: Nastavení pro stránku Zapomněl jsem heslo závisejí na konfiguraci nastavení odezvy na výzvu v Tivoli Identity Manager. Předvolbou je, že Tivoli Identity Manager má odezvu na výzvu zablokovanou. Ukázka podporuje odezvu na výzvu s režimem definice výzvy nastaveným na ADMIN-DEFINED a režimem výzvy administrátora nastaveným na PRE-DEFINED. Proto před konfigurací nebo použitím stránky Zapomněl jsem heslo v této Ukázce musíte dokončit následující kroky: 1. Aktivovat odezvu na výzvu, jak je popsáno v IBM Tivoli Identity Manager Policy and Organization Administration Guide. 2. Nastavit režim definice výzvy na ADMIN-DEFINED a definovat výzvy. 3. Nastavit režim výzvy administrátora na PRE-DEFINED a definovat výzvy. Jakmile dokončíte tyto kroky, můžete konfigurovat vlastnosti funkce Zapomněl jsem heslo, jak je popsáno v sekci “Konfigurace vlastností funkce Zapomněl jsem heslo”. Konfigurace vlastností funkce Zapomněl jsem heslo: Instalační program vám umožňuje konfigurovat vlastnosti pro funkci Zapomněl jsem heslo během konfigurační fáze instalace. Avšak pokud jste nespustili instalační program nebo pokud chcete změnit vaše výběry, můžete upravit vlastnosti v souboru itim_expi.properties. Vlastnosti jsou následující: v displaypassword - Tato vlastnost uvádí, zda se nové heslo zobrazí na obrazovce, nebo zda se elektronickou poštou odešle uživateli. Pokud je hodnota true, nově generované
58
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
heslo se uživateli zobrazí při úspěšném dokončení funkce výzvy/odezvy. Pokud je hodnota false, nově generované heslo je uživateli odesláno elektronickou poštou při úspěšném dokončení funkce výzvy/odezvy. v changeonlytimpassword - Tato vlastnost uvádí, zda se při úspěšném dokončení funkce výzvy/odezvy má změnit pouze heslo Tivoli Identity Manager. Pokud je hodnota true, bude změněno pouze heslo Tivoli Identity Manager. Pokud je hodnota false, všechna hesla, která má uživatel povoleno změnit, budou nastavena na nové heslo. Vytvoření ACI pro funkci Zapomněl jsem heslo: ACI účtu je požadováno, aby se uživatelům umožnilo změnit všechny jejich účty opatřené heslem kromě hesla účtu Tivoli Identity Manager. Pokud ACI není vytvořeno, uživatelé budou moci změnit pouze jejich heslo účtu Tivoli Identity Manager, i když bude aktivní synchronizace hesel v Tivoli Identity Manager a atribut changeonlytimpassword v souboru itim_expi.properties bude nastaven na hodnotu false. ACI je vytvořeno pomocí grafického uživatelského rozhraní Tivoli Identity Manager následujícím způsobem: 1. Z Moje organizace (My Organization) vyberte Řízení přístupu (Control Access). 2. Klepněte na Přidat (Add). 3. Vyberte Účet (Account) (potom vyberte účet Tivoli Access Manager, máte-li konfigurovánu více než jednu sadu účtů.) 4. Klepněte na Pokračovat (Continue). 5. Zadejte jméno ACI (například EXPI — Account ACI — Password) a pro snadnost použití vyberte Podstrom (Sub-tree). 6. Vyberte Oprávnění atributů (Attribute Permissions) a minimálně Udělit privilegia ke čtení a zápisu pro heslo (Grant Read and Write privileges for Password). 7. Klepněte na Pokračovat (Continue). 8. Udělte Privilegia k vyhledání a upravení operace (Search and Modify Operation privileges). 9. Klepněte na Zadat (Submit).
Konfigurace funkce Samostatná registrace Soubory vztahující se k funkci Samostatná registrace jsou: JSP: selfregister.jsp selfregsub.jsp
Servlety: registerServlet.java Tato funkce uživateli umožňuje ″zaregistrovat se jako nový uživatel″. Když se uživatel sám zaregistruje, vytvoří se Osoba v Tivoli Identity Manager spolu s jakýmikoliv automatickými nároky uvedenými v politice zajišťování. Tato schopnost závisí na konfiguraci Tivoli Identity Manager a může být pro každou instalaci odlišná. (Abyste získali další informace o konfiguracích zajišťování, prohlédněte si sekci “Přidání automatického zajišťování pro účty Tivoli Identity Manager” a sekci “Přidání automatického zajišťování pro účty Tivoli Access Manager” na stránce 62.) Jako část této funkce JSP zobrazí formulář, kterým uživatele požádá, aby poskytl minimální množství dat, která jsou potřebná k vytvoření záznamu osoby v Tivoli Identity Manager. ID uživatele a heslo pro uživatele jsou generovány automaticky a při dalším pokusu o přihlášení uživatele bude uživatel vyzván, aby konfiguroval odpovědi funkce Výzva/Odezva. Kapitola 6. Vytvoření webového rozhraní pro samosprávu uživatelů
59
Po vytvoření záznamu osoby v Tivoli Identity Manager uživatelé obdrží e-mail, který je informuje o úspěchu nebo selhání jejich požadavku na samostatnou registraci. Protože samostatná registrace ovlivňuje nastavení v Tivoli Identity Manager i v Tivoli Access Manager, požaduje se dodatečná konfigurace. Abyste získali další informace, podívejte se do sekcí níže.
Synchronizace hesel při použití jednotného přihlášení s funkcí Samostatná registrace Poznámka: Před modifikací jakýchkoliv funkcí souvisejících s hesly si určitě prohlédněte informace v sekci “Konfigurace funkce hesla” na stránce 55. Protože následující instrukce souvisejí s jednotným přihlášením pro server WebSEAL, navíc byste si měli prohlédnout informace v sekci “Konfigurace Ukázky pro použití s jednotným přihlášením pro server WebSEAL” na stránce 65. Pokud v Ukázce používáte jednotné přihlášení pro server WebSEAL spolu s funkcí Samostatná registrace, musíte se ujistit, že hesla pro účet Tivoli Identity Manager a účet Tivoli Access Manager jsou vždy synchronizována, zejména když jsou generována během samostatné registrace. Jednou z možností, jak hesla udržovat synchronizována, je nastavit hodnotu hesla v politice zajišťování pro účet Tivoli Identity Manager a účet Tivoli Access Manager na konstantní hodnotu.
Upozornění: Následující procedura představuje riziko v oblasti zabezpečení a neměla by být použita v produkčním prostředí. V produkčním prostředí použijte skript Java pro vytvoření algoritmu, který bude generovat hesla tak, aby obě byla stejná.
Použití rozhraní Tivoli Identity Manager: 1. Klepněte na Zajišťování (Provisioning) v hlavním menu navigačního panelu. 2. Postupujte Organizačním stromem (Organization Tree) a klepněte na jméno větve, v níž je umístěna požadovaná politika zajišťování (Provisioning Policy). 3. Klepněte na Definovat politiky zajišťování (Define Provisioning Policies) na hlavním panelu. Otevře se stránka seznamu politik zajišťování. 4. Klepněte na jméno politiky zajišťování, kterou chcete upravit. 5. Klepněte na ouško Nároky (Entitlements). 6. Klepněte na službu Tivoli Identity Manager. 7. Klepněte na odkaz Získat podrobnosti (Get Detail) vedle seznamu rozšířených parametrů zajišťování (Advanced Provisioning Parameter List). 8. Klepněte na Přidat (Add). 9. Vyberte okénko vedle Heslo (Password), a potom klepněte na Přidat (Add). 10. Zapište konstantní hodnotu, která vyhovuje pravidlům hesla pro účty, které budou používat tuto politiku zajišťování. 11. Zadejte změny klepnutím na tlačítko Zadat (Submit) na každém otevřeném panelu. 12. Opakujte kroky pro politiku zajišťování Tivoli Access Manager. Klepněte na Definovat politiky zajišťování (Define Provisioning Policies) na hlavním panelu. Otevře se stránka seznamu politik zajišťování.
60
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
13. 14. 15. 16. 17. 18. 19. 20.
Klepněte na jméno politiky zajišťování, kterou chcete upravit. Klepněte na ouško Nároky (Entitlements). Klepněte na službu Tivoli Access Manager. Klepněte na odkaz Získat podrobnosti (Get Detail) vedle seznamu rozšířených parametrů zajišťování (Advanced Provisioning Parameter List). Klepněte na Přidat (Add). Vyberte okénko vedle Heslo (Password), a potom klepněte na Přidat (Add). Zapište konstantní hodnotu, která vyhovuje pravidlům hesla pro účty, které budou používat tuto politiku zajišťování. Zadejte změny klepnutím na tlačítko Zadat (Submit) na každém otevřeném panelu.
Po výchozím vytvoření hesla během samostatné registrace můžete uživatele donutit, aby při dalším přihlášení změnili svá hesla. Pro nastavení ″vynucené″ změny hesla budete potřebovat nastavit dvě vlastnosti: v Změna hesla při dalším přihlášení (v politice zajišťování Tivoli Identity Manager) v ertam4expirepass (v politice zajišťování Tivoli Identity Manager) Použijte proceduru pro modifikaci politik zajišťování v IBM Tivoli Identity Manager Policy and Organization Administration Guide.
Vytvoření objektu Umístění v produktu Tivoli Identity Manager pro samostatnou registraci Objekt Umístění musí být vytvořen někde v organizačním stromě Tivoli Identity Manager a musí být uveden v souboru itim_expi.properties. Objekt Umístění, reprezentovaný atributem LDAP l, se používá v mechanizmech pracovních postupů Tivoli Identity Manager pro umístění objektu samostatně registrované osoby do organizačního stromu. Podle předvolby jsou stránky konfigurovány se jménem objektu Umístění nastaveným na selfregisterhere. Pro použití předvoleného jména použijte rozhraní Tivoli Identity Manager k vytvoření Location=selfregisterhere ve vašem organizačním stromě a všichni samostatně registrovaní uživatelé zde budou umístěni. Pokud jste vytvořili odlišný objekt Umístění v Tivoli Identity Manager, změňte soubor itim_expi.properties, aby se umístění shodovala. Níže je výňatek nastavení v souboru vlastností, která ovlivňují proces samostatné registrace. #-----------------------------------------------------# Self-Registration specific information # - l = an LDAP attribute that represents a location reference # in the attribute Person object. (this must match # the attribute that is configured in the WorkFlow for # LOCATIONSEARCH - the default name of a workflow script # in the selfRegister entity object). # - org = the name of the Location object created in ITIM # where the self-registered users will be placed # by default. #-----------------------------------------------------orgContainer.selfregister.location.attr=l orgContainer.selfregister.location.org=selfregisterhere
Přidání automatického zajišťování pro účty Tivoli Identity Manager Automatické zajišťování je požadováno pro vytvoření účtů Tivoli Identity Manager pro každý objekt Osoba vytvořený prostřednictvím samostatné registrace, která nově vytvořenému uživateli umožní přihlásit se do Tivoli Identity Manager (buď přímo, nebo prostřednictvím stránky pro přihlášení ukázky).
Kapitola 6. Vytvoření webového rozhraní pro samosprávu uživatelů
61
Podle předvolby je politika zajišťování Tivoli Identity Manager pro účty Tivoli Identity Manager nastavena na manual. Existují dvě volby pro dosažení toho, aby Ukázky byly rychle konfigurovány a pracovaly: v Modifikace předvolené politiky zajišťování Tivoli Identity Manager pro automatické vytváření účtů Tivoli Identity Manager. v Vytvoření nové politiky zajišťování Tivoli Identity Manager (na odpovídající úrovni organizace stromu), která bude automaticky zajišťovat účty Tivoli Identity Manager.
Přidání automatického zajišťování pro účty Tivoli Access Manager Automatické zajišťování pro účty Tivoli Access Manager v Tivoli Identity Manager je nastaveno pouze tehdy, pokud je aktivováno v politice zajišťování. Jestliže jste při spuštění instalačního programu zvolili Politika zajišťování a služeb Access Manager (jak je popsáno v části Kapitola 3, “Vytvoření služeb a předvolené politiky zajišťování produktu Tivoli Access Manager”, na stránce 17), uvedli jste nastavení pro automatické zajišťování během konfigurační části instalace. Pokud jste politiku zajišťování vytvořili bez instalačního programu, podívejte se do IBM Tivoli Identity Manager Policy and Organization Administration Guide na instrukce pro aktivaci automatického zajišťování.
Konfigurace funkce Osobní péče Soubory vztahující se k funkci Osobní péče jsou: JSP: selfcare.jsp selfcaresub.jsp
Servlety: selfCareServlet.java Funkce Osobní péče uživatelům umožňuje spravovat osobní data v jejich objektu Osoba. Například stránka osobní péče může uživatelům umožnit aktualizovat jejich telefonní čísla nebo umístění kanceláře v jejich definici osoby. Tato osobní data jsou částí vlastností v objektu Osoba uživatele v Tivoli Identity Manager. Tivoli Identity Manager používá informace řízení přístupu (Access Control Information), které jsou nastaveny pro tuto stránku, aby určil, zda uživatel může přistupovat k těmto vlastnostem. Navíc můžete přizpůsobit množinu vlastností zobrazenou na této stránce.
Konfigurace vlastností pro osobní péči Mnoho vlastností Osoby je k dispozici v Tivoli Identity Manager. Avšak ve scénáři osobní péče můžete chtít omezit vlastnosti, které uživatel může spravovat, na podmnožinu dostupných vlastností z Tivoli Identity Manager. Množina vlastností pro správu je obsažena v souboru itim_expi.properties. Soubor vlastností definuje označení atributu, přesné jméno, jak jej lze nalézt v Tivoli Identity Manager, a komentovaný popis textu pro atribut.
Vytvoření ACI pro funkci Osobní péče ACI Osoby musí být vytvořeno pomocí grafického uživatelského rozhraní Tivoli Identity Manager, aby se poskytlo pro prohledávání a modifikaci vlastností, k nimž uživatelé mohou přistupovat prostřednictvím osobní péče. Objekt Osoba musí mít přístup ke všem vlastnostem, které jsou prostřednictvím servletů Ukázky vystaveny uživateli a které jsou definovány v souboru itim_expi.properties. Minimálně musí ACI poskytovat přístup umožňující zápis a čtení (Read and Write access) pro všechny vlastnosti, s nimiž zachází část Osobní péče ukázek. Použijte úlohy “Moje organizace (My Organization)” a “Řízení přístupu (Control Access)” v grafickém uživatelském rozhraní Tivoli Identity Manager pro vytvoření ACI pro objekty Osoba, které uděluje přístup umožňující čtení a zápis do vlastností osoby.
62
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
ACI je vytvořeno pomocí grafického uživatelského rozhraní Tivoli Identity Manager následujícím způsobem: 1. Z Moje organizace (My Organization) vyberte Řízení přístupu (Control Access). 2. Klepněte na Přidat (Add). 3. Vyberte Osoba (Person) (potom vyberte Účet PD (PD Account), máte-li konfigurovánu více než jednu sadu účtů.) 4. Klepněte na Pokračovat (Continue). 5. Zadejte jméno ACI (například EXPI — Person ACI — Self-Care) a pro snadnost použití vyberte Podstrom (Sub-tree). 6. Vyberte Oprávnění atributů (Attribute Permissions) a minimálně Udělit privilegia ke čtení a zápisu pro heslo (Grant Read and Write privileges for Password). 7. Klepněte na Pokračovat (Continue). 8. Udělte Privilegia k vyhledání a upravení operace (Search and Modify Operation privileges). 9. Klepněte na Zadat (Submit).
Konfigurace funkce Přiřazení aplikace Soubory vztahující se k funkci Přiřazení aplikace: JSP:
applications.jsp
Servlety: applicationServlet.java Tato funkce uživatelům umožňuje požadovat přístup k aplikacím společnosti, které jsou spravovány prostřednictvím Tivoli Access Manager. Stránka je určena pro to, abyste do JSP přidali kontrolní seznam aplikací, aby si z něj uživatelé mohli vybrat a žádat o přístup k aplikacím, nebo aby mohli zrušit výběr pro ukončení jejich přístupu. Tivoli Access Manager řídí přístup k aplikacím společnosti tím, že uživatelům zamezí, aby si prohlíželi aplikaci, pokud nemají přidělena práva. Přístupové seznamy (ACL) Tivoli Access Manager, které řídí přístup k aplikacím spravovaným produktem Tivoli Access Manager, jsou obvykle definovány pomocí skupin. Administrátoři mohou uživatelům jednoduše udělit přístup k aplikaci tím, že je učiní členy skupiny Tivoli Access Manager použité v ACL. Stránka Přiřazení aplikace pracuje tak, že na základě skupin, které si uživatel na stránce vybere, upravuje atribut groups účtu uživatele Tivoli Access Manager. Poznámka: JSP, které je instalováno jako část Ukázky, automaticky nepřidává skupiny, které jsou podporovány produktem Tivoli Access Manager. Musíte je explicitně definovat a klasifikovat. Servlet Přiřazení aplikace zahrnuje komentované fragmenty kódu, které vám pomohou vypracovat seznam aplikací.
Konfigurace jména a DN služby produktu Tivoli Access Manager Jména skupin a aplikací použitá v JSP Přiřazení aplikace jsou definována v souboru itim_expi.properties. Odkaz Přiřazení k aplikaci (Subscribe to Applications) na stránce je poskytnut pouze tehdy, když je služba Tivoli Access Manager nalezena na serveru Tivoli Identity Manager. Služba Tivoli Access Manager je zadána jménem a celým rozlišeným jménem (DN) služby. Pokud není služba Tivoli Access Manager nalezena, odkaz Přiřazení k aplikaci nebude zobrazen na hlavní stránce (main.jsp). Pokud byl profil Tivoli Access Manager instalován před spuštěním instalačního programu funkce zajišťování rychlého spuštění Tivoli Access Manager, vlastnosti application.service.name a application.service.dn budou nastaveny automaticky. (Profil je obvykle instalován jako část instalační procedury agenta Tivoli Access Manager.) Kapitola 6. Vytvoření webového rozhraní pro samosprávu uživatelů
63
Jestliže profil nebyl instalován před tím, než jste spustili instalační program, musíte informace poskytnout manuálně, pomocí modifikace souboru vlastností, a to následujícím způsobem: 1. Abyste získali application.service.name, použijte nástroj Directory Management Tool nebo podobný prohlížeč LDAP, aby se vyhledal odpovídající objekt. Například procházejte strom Tivoli Identity Manager, dokud se nedostanete na ou=services. DN, které použijete, okamžitě následuje ou=services. DN v následujícím příkladu je označeno v <erglobalid=[plně kvalifikované DN služby Tivoli Access Manager]>: <erglobalid=000000000000000000> <erglobalid=[plně kvalifikované DN služby Tivoli Access Manager]>
2. Otevřete itim_expi.properties pomocí textového editoru. 3. Uveďte jméno služby Tivoli Access Manager pro následující atribut: application.service.name=jméno_služby
4. Uveďte DN pro službu Tivoli Access Manager pro následující atribut: application.service.dn=jméno_DN
5. Ujistěte se, že je zadán následující atribut a hodnota: application.service.attribute=ertamgroupmember
6. Přidejte seznam jmen odkazů pro vlastnosti, které budou obsahovat jméno popisu aplikace (okomentované), které je zobrazeno v application.jsp. Tento seznam také bude označovat skupiny, jimž popis odpovídá: application.list=skupina1,skupina2,skupina3,skupina4 Jména aplikací: application.group1.name=Expi_Application_1 application.group2.name=Expi_Application_2 application.group3.name=Expi_Application_3 application.group4.name=Expi_Application_4
7. Přidejte seznam odkazů na skupiny Tivoli Access Manager, které odpovídají stejným jménům aplikací uvedeným v předchozím kroku. Poznámka: Tyto skupiny již musí existovat v Tivoli Access Manager. application.group1.dn=tamgrp1 application.group2.dn=tamgrp2 application.group3.dn=tamgrp3 application.group4.dn=tamgrp4
Vytvoření ACI pro funkci Přiřazení aplikace ACI účtu je požadováno, aby se uživatelům umožnilo přistupovat ke stránce aplikací (skupin Tivoli Access Manager). ACI účtu uživatelům poskytuje přístup k účtu Tivoli Access Manager v Tivoli Identity Manager. Pokud ACI není vytvořeno, Ukázka nezobrazí odkaz Přiřazení k aplikaci na hlavní stránce. ACI je vytvořeno pomocí grafického uživatelského rozhraní Tivoli Identity Manager následujícím způsobem: 1. Z Moje organizace (My Organization) vyberte Řízení přístupu (Control Access). 2. Klepněte na Přidat (Add). 3. Vyberte Účet (Account) (potom vyberte Účet PD (PD Account), máte-li konfigurovánu více než jednu sadu účtů.) 4. Klepněte na Pokračovat (Continue). 5. Zadejte jméno ACI (například EXPI — Account ACI — Application Subscriptions) a pro snadnost použití vyberte Podstrom (Sub-tree).
64
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
6. Vyberte Oprávnění atributů (Attribute Permissions) a minimálně Udělit privilegia ke čtení a zápisu pro heslo (Grant Read and Write privileges for Password). 7. Klepněte na Pokračovat (Continue). 8. Udělte Privilegia k vyhledání a upravení operace (Search and Modify Operation privileges). 9. Klepněte na Zadat (Submit). Tato množina operací poskytuje přístup k účtům Tivoli Access Manager a výslovně k Přiřazením aplikací (atribut Skupina). Když jsou operace provedeny a uživatel se přihlásí do systému a má účet Tivoli Access Manager, objeví se další odkaz (Přiřazení k aplikaci) na hlavní stránce.
Konfigurace funkce Výzva/Odezva Soubory vztahující se k funkci výzvy/odezvy jsou: JSP: cranswers.jsp cranswersinfo.jsp
Servlet: ChangeChallengeResponseServlet.java Stránka Výzva/Odezva umožňuje uživatelům nastavit odpovědi na výzvy k zadání hesla definované administrátorem, které jsou nastaveny v Tivoli Identity Manager. Na tuto stránku existuje odkaz z hlavní stránky. Hlavní stránka zobrazí varovnou zprávu, pokud odpovědi uživatele na výzvu a odezvu potřebují aktualizovat. Varování se může vyskytnout, když odpovědi na výzvu a odezvu nejsou nastaveny uživatelem nebo když administrátor změnil otázky na výzvu a odezvu.
Konfigurace funkce Odhlášení Soubory vztahující se k funkci Odhlášení jsou: JSP:
logout.jsp
Servlet: žádný Tato funkce uživateli umožňuje odhlásit se z aplikace Ukázka. Stránka může být konfigurována, aby předvoleně směrovala uživatele na určité URL. Stránka je navržena tak, aby byla použita v prostředí, které nepoužívá jednotné přihlášení. Pokud je pro použití s Ukázkou aktivováno jednotné přihlášení, logout.jsp zavolá příkaz serveru WebSEAL pkmslogout. Abyste získali další informace o příkazu pkmslogout, podívejte se do IBM Tivoli Access Manager for e-business WebSEAL Administration Guide.
Konfigurace Ukázky pro použití s jednotným přihlášením pro server WebSEAL Poznámka: Když používáte jednotné přihlášení pro server WebSEAL s Ukázkou, ujistěte se, že jste obeznámeni s informacemi v sekci“Konfigurace funkce hesla” na stránce 55 a v sekci “Synchronizace hesel při použití jednotného přihlášení s funkcí Samostatná registrace” na stránce 60. Když spustíte instalační program, jste požádáni o poskytnutí informací o konfiguraci, které mohou umožnit, aby Ukázka byla použita s jednotným přihlášením (SSO) pro server Kapitola 6. Vytvoření webového rozhraní pro samosprávu uživatelů
65
WebSEAL. Pokud jste nespustili instalační program nebo pokud chcete změnit nastavení, můžete Ukázku aktivovat následujícím způsobem: 1. Nastavte servlety portálu na režim SSO následujícím způsobem: a. Otevřete itim_expi.properties. b. Změňte nastavení ssoenabled na true. (Předvolba je false). 2. Aktivujte jednotné přihlášení v serveru WebSEAL, jak je popsáno v části Kapitola 4, “Konfigurace produktu Tivoli Identity Manager pro jednotné přihlášení pro server WebSEAL”, na stránce 21. 3. Konfigurujte spojení v serveru WebSEAL a poskytněte stránku pro jednotné přihlášení. (Stránka pro přihlášení se stane částí konfigurace serveru WebSEAL.) Můžete použít stránku Přihlášení poskytnutou s touto ukázkou, nebo můžete použít přizpůsobenou stránku pro přihlášení. Abyste získali informace, prohlédněte si sekci “Konfigurace stránky pro přihlášení serveru WebSEAL” na stránce 67. Pro podporu jednotného přihlášení také musí být náležitě konfigurován Tivoli Identity Manager. Abyste získali další informace, prohlédněte si část Kapitola 4, “Konfigurace produktu Tivoli Identity Manager pro jednotné přihlášení pro server WebSEAL”, na stránce 21. Poznámka: Pokud jste konfigurovali jednotné přihlášení, nemůžete se přihlásit do Tivoli Access Manager předvoleným ID administrátora Tivoli Identity Manager itim manager, protože Tivoli Access Manager nepodporuje ID uživatelů, která obsahují mezery. K předvolenému ID administrátora itim manager můžete přiřadit jakékoliv ID uživatele Tivoli Access Manager, pokud jste konfigurovali soubor vlastností Tivoli Identity Manager, enRoleAuthentication.properties, aby se aktivoval vnitřní algoritmus mapování totožnosti. Abyste získali další informace, prohlédněte si sekci “Soubory vlastností produktu Tivoli Identity Manager související s jednotným přihlášením” na stránce 22.
Konverze ID Tivoli Access Manager na ID Tivoli Identity Manager Pokud jsou všechna ID uživatelů v účtech Tivoli Identity Manager a Tivoli Access Manager stejná, konverze ID není potřebná. Avšak pokud ID uživatelů nejsou stejná, uživatelé serveru WebSEAL budou používat jejich ID uživatele Tivoli Access Manager pro přihlášení k serveru WebSEAL a ID nebudou rozpoznána produktem Tivoli Identity Manager. V důsledku toho budete muset konfigurovat Tivoli Identity Manager tak, aby konvertoval ID uživatelů Tivoli Access Manager na ID uživatelů Tivoli Identity Manager. Poznámka: Neprovádějte tuto konfiguraci, jestliže jsou ID uživatelů ve vašem integrovaném prostředí stejná. Může dojít k tomu, že bude nepříznivě ovlivněn výkon. Abyste konfigurovali Tivoli Identity Manager tak, aby konverze ID byla možná: 1. Otevřete soubor enRoleAuthentication.properites v textovém editoru. 2. Změňte hodnotu pro enrole.authentication.idsEqual na false. 3. Zastavte a restartujte server Tivoli Identity Manager server.
Řízení přístupu k Ukázce prostřednictvím spojení WebSEAL Následující příklad ukazuje, jak je spojení WebSEAL používáno pro řízení přístupu k Ukázce v prostředí jednotného přihlášení. Příklad chráněných a nechráněných stránek je zobrazen níže. Spojení je vytvořeno instalačním programem, pokud je instalována Aktivace jednotného přihlášení v instalačním programu funkce zajišťování rychlého spuštění. Použijte příkaz pdadmin acl attach pro vytvoření následujících připojení. Abyste získali podrobnosti o použití tohoto příkazu, podívejte se do IBM Tivoli Access Manager for e-business Command Reference.
66
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Připojte následující objekt k ACL ItimProtected: /WebSEAL/junction_name/itim_expi/
Připojte následující objekty k ACL ItimUnprotected: /WebSEAL/webseal_server/junction_name/itim_expi/index.html /WebSEAL/webseal_server/junction_name/itim_expi/ForgotPasswordServlet /WebSEAL/webseal_server/junction_name/itim_expi/selfregister.jsp /WebSEAL/webseal_server/junction_name/itim_expi/forgotpwd.jsp /WebSEAL/webseal_server/junction_name/itim_expi/images /WebSEAL/webseal_server/junction_name/itim_expi/css /WebSEAL/webseal_server/junction_name/itim_expi/ssoerror.jsp /WebSEAL/webseal_server/junction_name/itim_expi/registerServlet /WebSEAL/webseal_server/junction_name/itim_expi/selfregsub.jsp /WebSEAL/webseal_server/junction_name/itim_expi/selfchangepwd.jsp /WebSEAL/webseal_server/junction_name/itim_expi/ChangePasswordServlet /WebSEAL/webseal_server/junction_name/itim_expi/forgotpwdinfo.jsp /WebSEAL/webseal_server/images /WebSEAL/webseal_server/css
Svá vlastní ACL také můžete vytvářet pomocí příkazu pdadmin acl create, a potom tyto objekty připojit jako odpovídající. Abyste získali další informace o použití tohoto příkazu, podívejte se do IBM Tivoli Access Manager for e-business Command Reference.
Konfigurace stránky pro přihlášení serveru WebSEAL Instalace Ukázky instaluje stránku pro přihlášení, kterou lze použít se serverem WebSEAL spolu se všemi nezbytnými podpůrnými soubory (GIF, CSS a tak dále). Tyto soubory jsou poskytnuty v souboru itim_exp.ear v adresáři WebSEAL. Pro použití stránky pro přihlášení serveru WebSEAL Ukázky: 1. Nahraďte soubor login.html serveru WebSEAL tam, kde je instalován WebSEAL (například: /PDWeb/www-default/docs/), souborem login.html v adresáři, v němž je instalována Ukázka (například: itim_expi.ear/itim_expi.war/WebSEAL/login.html) 2. Editujte soubor login.html, který jste zkopírovali do adresáře WebSEAL, a nahraďte všechny instance JUNCTION_NAME v tomto souboru jménem spojení WebSEAL, které používáte s Ukázkou. 3. Zkopírujte následující podadresáře do adresáře, kde je instalován WebSEAL: itim_expi.ear/itim_expi.war/WebSEAL/css itim_expi.ear/itim_expi.war/WebSEAL/images
Například v systému Windows tyto adresáře zkopírujte do: C:\Program Files\Tivoli\PDWeb\www-default\docs\ Obsah těchto adresářů je: cs/ * (adresář obsahující data formátovací sady) css/imperative.css (formátovací sada používaná souborem login.html a servlety) images/* (adresář obsahující obrázkové soubory typu "gif") images/welcome.gif images/ibm_banner.gif images/img_bkg.gif images/img_clear.gif images/logo.gif images/logo_tivoli.gif images/messages_background.gif images/message_error.gif images/message_information.gif images/message_warning.gif images/mosaic_banner,gif images/button_gradient.gif
4. Editujte soubor webseald-default.conf (v adresáři, kde je instalován WebSEAL) následujícím způsobem: Kapitola 6. Vytvoření webového rozhraní pro samosprávu uživatelů
67
forms-auth = both ba-auth = none
Abyste získali informace o těchto parametrech a konfiguračním souboru, podívejte se do IBM Tivoli Access Manager for e-business WebSEAL Administration Guide.
Spuštění servletů prostřednictvím spojení Pro spuštění Ukázky prostřednictvím spojení WebSEAL zadejte následující URL ve vašem prohledávacím programu webu: http://junction_name/itim_expi/
Přizpůsobení Existují čtyři způsoby pro přizpůsobení produktu Web Application Sample: 1. přizpůsobení banneru 2. přizpůsobení řazení formátovacích sad za sebou, které řídí velikost fontu, typ písma a barvy 3. přizpůsobení stránek serveru Java (JSP) 4. přizpůsobení servletů
Přizpůsobení banneru Pro přizpůsobení banneru editujte soubor expi_header.html v adresáři WAR a změňte obrázky.
Přizpůsobení řazení formátovacích sad za sebou Pro přizpůsobení řazení formátovacích sad za sebou editujte soubor css/imperative.css v adresáři WAR. Všimněte si, že abyste viděli změny, možná budete muset zastavit a spustit aplikaci a zavřít váš prohledávací program webu.
Přizpůsobení stránek serveru Java (JSP) Pro přizpůsobení JSP použijte editor, abyste je změnili. Až příště navštívíte tuto JSP, server WebSphere ji znovu zkompiluje i s vašimi změnami. JSP také můžete nahradit novým souborem. Zkopírujte soubor do adresáře WAR. Pak editujte soubor itim_expi.properties a nahraďte stávající záznam JSP vaším novým záznamem.
Přizpůsobení servletů Pro aktualizaci servletů můžete použít produkt WebSphere Studio Application Developer. Jestliže nemáte WebSphere Studio Application Developer, přesto můžete servlety přizpůsobit použitím kompilátoru Java, který je dodáván s produktem WebSphere Application Server. Pro použití kompilátoru Java, který je dodáván s produktem WebSphere Application Server: 1. Editujte soubor Java servletu, který chcete změnit. 2. Nastavte vaši CESTU KE TŘÍDĚ. Například v AIX: Použijte interpretační program příkazového jazyka C (jako tsch) pro nastavení následujících proměnných: setenv JAVA_HOME /opt/WebSphere/AppServer/java setenv ITIM_EAR /opt/WebSphere/AppServer/installedApps/sparrow/enRole.ear setenv WAS /opt/WebSphere/AppServer setenv CLASSPATH .:${JAVA_HOME}/lib/tools.jar:${JAVA_HOME}/jre/lib/ ext/jaas.jar:${ITIM_EAR}/itim_api.jar:${ITIM_EAR}/api_ejb.jar:${WAS}/ lib/j2ee.jar:${WAS}/lib/naming.jar:${WAS}/lib/namingclient.jar
68
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
(Ponechte každý příkaz setenv a nastavení na jednom řádku.) Například, pokud používáte shell program tcsh, umístěte předcházející atributy do souboru pojmenovaného setcp.tcsh. Potom z výzvy shell programu tcsh spusťte source setcp.tcsh 3. Z adresáře WAR spusťte: $WAS_HOME/AppServer/java/bin/javac examples/expi/*.java
(kde $WAS_HOME je adresář, kde je instalován WebSphere Application Server.) Pokud jste aplikaci Ukázka nastavili na ″aktivováno opětovné zavedení″ (reload enabled), takže třídy v produktu WebSphere Application Server jsou automaticky opětovně zaváděny, pak vaše změněné třídy budou opětovně zavedeny, jakmile skončí kompilace. Pokud nemáte aktivováno opětovné zavedení, pak musíte zastavit a spustit aplikaci Ukázka.
Kapitola 6. Vytvoření webového rozhraní pro samosprávu uživatelů
69
70
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Dodatek. Upozornění Tyto informace byly vypracovány pro produkty a služby nabízené v U.S.A. Společnost IBM nesmí v jiných zemích nabízet produkty, služby nebo části produktu probírané v tomto dokumentu. Poraďte se s vaším lokálním zástupcem IBM, aby vám podal informace o produktech a službách, které jsou ve vaší oblasti momentálně k dispozici. Jakýkoliv odkaz na produkt, program nebo službu společnosti IBM nemá konstatovat nebo znamenat, že může být použit pouze tento produkt, program či služba společnosti IBM. Lze použít jakýkoliv funkčně rovnocenný produkt, program nebo služba, která neporušuje jakékoliv právo intelektuálního vlastnictví společnosti IBM. Avšak je odpovědností uživatele, aby vyhodnotil a ověřil činnost jakéhokoliv produktu, programu nebo služby, která nepochází od společnosti IBM. Společnost IBM může vlastnit patenty nebo aplikace, jejichž patent čeká na vyřízení, pokrývající předmět smlouvy popsaný v tomto dokumentu. Opatření si tohoto dokumentu vám neposkytuje licenci k těmto patentům. Dotazy týkající se licence můžete písemnou formou zasílat na adresu: IBM Director of Licensing IBM Corporation 500 Columbus Avenue Thornwood, NY 10594 U.S.A Pokud máte zájem o licenci v zemi s dvoubajtovou znakovou sadou (DBCS), kontaktujte přímo zastoupení společnosti IBM ve své zemi, nebo písemně zastoupení společnosti IBM na adrese: IBM World Trade Asia Corporation Licensing 2-31 Roppongi 3-chome, Minato-ku Tokyo 106, Japan Následující odstavec se netýká Velké Británie nebo kterékoliv jiné země, kde taková opatření odporují místním zákonům: SPOLEČNOST INTERNATIONAL BUSINESS MACHINES CORPORATION TUTO PUBLIKACI POSKYTUJE TAKOVOU, ″JAKÁ JE″, BEZ JAKÝCHKOLIV ZÁRUK, VYJÁDŘENÝCH NEBO ODVOZENÝCH, VČETNĚ, AVŠAK NE VÝHRADNĚ, ODVOZENÝCH ZÁRUK PORUŠENÍ ZÁKONŮ, PRODEJNOSTI NEBO VHODNOSTI PRO URČITÝ ÚČEL. Některé právní řády nepřipouštějí omezení či vyvázání se ze záruk nebo odpovědnosti za následné či nepředvídatelné škody. V takovém případě se na vás výše uvedené omezení nevztahuje. Tato publikace může obsahovat technické nepřesnosti nebo typografické chyby. Informace zde uvedené jsou pravidelně aktualizovány a v příštích vydáních této publikace již budou tyto změny zahrnuty. Společnost IBM má právo kdykoliv bez upozornění zdokonalovat nebo měnit produkty a programy popsané v této publikaci. Všechny odkazy na tyto informace, uvedené na webových stránkách jiných provozovatelů než společnosti IBM, jsou poskytovány pouze pro vaši potřebu a v žádném případě neslouží k propagaci těchto webových stránek. Materiály uvedené na takovýchto webových stránkách nejsou součástí materiálů určených pro tento produkt IBM, a proto tyto webové stránky používáte pouze na vlastní riziko.
© Copyright IBM Corp. 2003
71
Společnost IBM může používat nebo distribuovat informace, které jí poskytnete způsobem, o kterém si myslí, že je odpovídající, bez dalších závazků k vám. Držitelé licence tohoto programu, kteří si přejí mít přístup i k informacím za účelem (i) výměny informací mezi nezávisle vytvořenými programy a jinými programy (včetně tohoto) a (ii) vzájemného použití sdílených informací, mohou kontaktovat: IBM Corporation 2Z4A/101 11400 Burnet Road Austin, TX 78758 USA Informace tohoto typu mohou být za odpovídajících podmínek dostupné. V některých případech připadá v úvahu zaplacení poplatku. Program popsaný v tomto dokumentu a všechny materiály s ním související, které podléhají licenci, jsou dodávány společností IBM v souladu s textem smlouvy mezi zákazníkem a společností IBM nebo ekvivalentní smlouvy. Všechny informace o provozu byly určeny v řízeném prostředí. Výsledky obdržené v jiném operačním prostředí se tudíž mohou výrazně lišit. Některá měření byla provedena v systémech s vývojovým prostředím a neexistuje žádná záruka, že tato měření budou stejná v obecně dostupných systémech. Některá měření byla odhadnuta extrapolací. Skutečné výsledky se mohou lišit. Uživatelé tohoto dokumentu by měli ověřit vhodnost dat pro svá specifická prostředí. Informace týkající se produktů jiných společností byly získány od dodavatelů těchto produktů, z jejich tištěných materiálů nebo z jiných veřejně dostupných zdrojů. Společnost IBM tyto produkty netestovala a nemůže potvrdit spolehlivost jejich provozu, kompatibilitu nebo jiné tvrzení týkající se těchto produktů. Otázky týkající se možností produktů jiných společností by měly být adresovány dodavatelům těchto produktů. Všechna tvrzení o budoucím zaměření nebo úmyslech společnosti IBM mohou být bez upozornění změněna nebo zrušena a představují pouze hrubý nástin cílů a podmínek společnosti. Tyto informace obsahují příklady dat a sestav používaných v běžných denních obchodních operacích. Aby tyto příklady byly maximálně úplné a demonstrativní, obsahují jména osob, společností, obchodních značek a produktů. Všechna tato jména jsou fiktivní a jakákoliv podobnost se jmény a adresami používanými skutečnými obchodními společnostmi je čistě náhodná.
Ochranné známky Následující termíny jsou ochranné známky společnosti International Business Machines Corporation v USA, v jiných zemích nebo obojí: AIX DB2 DB2 Universal Database Domino IBM Lotus MQSeries Notes OS/390
72
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
SecureWay Tivoli WebSphere z/OS Microsoft, Windows, Windows NT a logo Windows jsou ochranné známky společnosti Microsoft Corporation v USA, v jiných zemích nebo obojí. Java a všechny značky založené na termínu Java a loga jsou nebo registrované ochranné známky společnosti Sun Microsystems, Inc. v USA a jiných zemích. UNIX je registrovaná ochranná známka v USA a v dalších zemích, jejíž licenci poskytuje výhradně společnost X/Open Company Limited. Jiné názvy společností, výrobků a služeb mohou být ochrannými známkami jiných společností.
Dodatek. Upozornění
73
74
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Rejstřík A
B
ACI funkce Osobní péče 62 funkce Přiřazení aplikace 64 funkce Zapomněl jsem heslo 59 funkce Změna hesla 57 ACI Osoby 62 ACI účtu 64 ACL pro skupiny 63 pro spojení WebSEAL modifikace 25 odinstalace 15 v produktu Web Application Sample 66 vytvoření 22 agent Agent GSO produktu Tivoli Access Manager 2 Tivoli Access Manager 1 Zpětná synchronizace hesel 2, 48 Agent GSO produktu Tivoli Access Manager dostupnost 2 agent Tivoli Access Manager, popis 1 agent Zpětná synchronizace hesel dostupnost 2 požadavek v produktu Web Application Sample 48 aktivace jednotného přihlášení použití v konfiguraci Tivoli Identity Manager 21 požadavky pro instalaci 8 Aktivace jednotného přihlášení kontrola předpokladů 12 odinstalace 15 výběr v instalačním programu 14 algoritmus mapování, vnitřní 23 application.service.dn 63 application.service.name 63 atributy enrole.authentication.idsEqual 22 enrole.ui.logoffURL 22, 26 enrole.ui.ssoEnabled 22 import od uživatele Tivoli Access Manager 39 import od uživatele Tivoli Access Manager (vícenásobná doména) 40 import ze společného adresáře 42 konfigurace WebSEAL 21 modifikace uživatele 44 modifikace v Tivoli Access Manager 44 pro aktivaci jednotného přihlášení 22 pro skupiny 63 synchronizace uživatele 44 v DirectorytoTIMImport 35 v MDTAMtoTIMImport 34 v TAMtoTIMImport 33 v TIMtoTAMsync 36 atributy uživatele modifikace 44 modifikace v Tivoli Access Manager 44 synchronizace 44 atributy WebSEAL, konfigurace 21
banner, přizpůsobení
© Copyright IBM Corp. 2003
68
C CSS, přizpůsobení
68
D Directory Integrator AssemblyLine Samples Viz IBM Directory Integrator AssemblyLine Samples DirectorytoTIMImport.properties 31 DirectorytoTIMImport.xml 31
E enrole.authentication.idsEqual 22, 66 enrole.ui.ssoEnabled 22 enRoleAuthentication.properties 22
F funkce Challenge/Response přístup pro 54 funkce Odhlášení konfigurace 65 použití s hlavní stránkou 55 přístup pro 54 funkce Osobní péče konfigurace 62 konfigurace vlastností 62 použití s hlavní stránkou 55 přístup pro 53 funkce Přihlášení konfigurace 54 přístup pro 54 funkce Přiřazení aplikace konfigurace 63 soubory pro 63 vytvoření ACI pro 64 funkce Samostatná registrace automatické zajišťování pro účty Tivoli Access Manager 62 automatické zajišťování pro účty Tivoli Identity Manager 61 konfigurace 59 přístup pro 54 synchronizace hesel 60 vytvoření objektu Umístění pro 61 funkce Výzva/Odezva aktivace v Tivoli Identity Manager 58 použití s funkcí Samostatná registrace 59 použití s funkcí Zapomněl jsem heslo 58 soubory pro 65 funkce Zapomněl jsem heslo konfigurace 58 konfigurace vlastností pro 58 pokyny 55 přístup pro 54 vytvoření ACI pro 59
75
funkce Změna hesla pokyny 55 použití 57 použití s funkcí Přihlášení 54 použití s funkcí Samostatná registrace 54 použití s funkcí Zapomněl jsem heslo 54 použití s hlavní stránkou 55 použití spíše funkcí WebSEAL 56 přístup pro 53 soubory pro 56 vytvoření ACI pro 57
instalační program (pokračování) kontrola předpokladů (pokračování) pro politiku zajišťování a služeb Access Manager 12 pro Web Application Sample 12 registr uživatelů Tivoli Identity Manager 12 Web Application Sample 11 WebSphere Application Server 11 odinstalace 15 použití s nastavením Zabezpečení WebSphere Application Server 49 požadavek Java Runtime 5 požadavky ke spuštění 5 požadavky po spuštění 15 předinstalace 5 přehled 5 spuštění 11 úvod 1 výběr položek k instalaci 14 instalační program funkce zajišťování rychlého spuštění Viz instalační program integrace přehled 1 specializované úlohy 3 úlohy Tivoli Identity Manager pro 2 základní úlohy pro 1 itim_expi.properties 53 ItimProtected 22 ItimUnprotected 22 iv_user 25
H hesla funkce Zapomněl jsem heslo 58 funkce Změna hesla 56 pravidla odolnosti v produktu Web Application Sample 55 synchronizace 60 synchronizace v produktu Web Application Sample 55 Zpětná synchronizace hesel 2, 48 hlavní (domovská) stránka konfigurace 55 přístup pro 54
I IBM Directory Integrator AssemblyLine Samples import uživatelů z Tivoli Access Manager 38 import uživatelů z Tivoli Access Manager (vícenásobná doména) 40 import uživatelů ze společného adresáře 42 instalované komponenty 30 konfigurace konektorů pro 38 konfigurace předpokladu 33 konfigurace služby Directory Integrator Data Feed 32 odinstalace 15 ověřovací test pro 38 podporované úlohy 31 použití s adresářem LDAP 30 použití s registrem Active Directory 30 použití s registrem Lotus Domino 30 požadavky pro instalaci 9, 30 přehled 29 soubory vlastností 33 výběr v instalačním programu 14 výkon v 38 zabezpečení v 38 ID uživatelů generovaná během samostatné registrace 59 v produktu Web Application Sample autentizace 54 import uživatelských dat 29 instalace požadavky pro (přehled) 6 požadavky pro Aktivaci jednotného přihlášení 8 požadavky pro IBM Directory Integrator AssemblyLine Samples 9 požadavky pro politiku zajišťování a služeb Access Manager požadavky pro Web Application Sample 10, 49 výběr položek k instalaci 6 instalační program konfigurace a instalace 15 kontrola předpokladů 11 Aktivace jednotného přihlášení 12 Java Runtime Environment 12
76
J
7
Java Runtime Environment kontrola předpokladů 12 poznámka k použití 5 jednotné přihlášení aktivace v klastrovaném prostředí 23 aktivace v Tivoli Identity Manager 21 aktualizace souborů vlastností pro 22 konfigurace certifikátu SSL 24 konfigurace stránky pro odhlášení 26 konfigurace Web Sample pro 65 konverze ID 66 modifikace ACL 25 použití s funkcemi hesla Web Sample 56 použití s funkcí Přihlášení 54 použití s funkcí Samostatná registrace 60 použití s produktem Web Application Sample 48 použití se stránkou Odhlášení 65 přístup ke stránce pro přihlášení do Tivoli Identity Manager 27 přizpůsobená stránka pro přihlášení s produktem Web Application Sample 67 vytvoření spojení 22 zabezpečení v 25 změna relace v prodlevě 24 jednotné přihlášení pro server WebSEAL aktivace v klastrovaném prostředí 23 aktivace v Tivoli Identity Manager 21 aktualizace souborů vlastností pro 22 konfigurace certifikátu SSL 24 konfigurace stránky pro odhlášení 26 konfigurace Web Sample pro 65 konverze ID 66 modifikace ACL 25 použití s funkcemi hesla Web Sample 56 použití s funkcí Samostatná registrace 60 použití s produktem Web Application Sample 48
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
jednotné přihlášení pro server WebSEAL (pokračování) použití se stránkou Odhlášení 65 přístup ke stránce pro přihlášení do Tivoli Identity Manager 27 přizpůsobená stránka pro přihlášení s produktem Web Application Sample 67 vytvoření spojení 22 zabezpečení v 25 změna relace v prodlevě 24
K klastrované prostředí aktivace jednotného přihlášení v 23 instalace Web Application Sample 51 kolekce funkce zajišťování rychlého spuštění obecné požadavky 6 předinstalace 5 úvod 1 výběr položek k instalaci 6 konektor Lotus Notes 38 konektory, konfigurace 38 konfigurace a instalace 15 konfigurace certifikátu SSL 24 konfigurace Identity Manager odinstalace 15 použití v konfiguraci Tivoli Identity Manager 21 požadavky pro instalaci 8 výběr v instalačním programu 14 změny souboru vlastností 22 konfigurace předpokladu pro aktivaci jednotného přihlášení 21 pro IBM Directory Integrator AssemblyLine Samples 33 pro produkt Web Application Sample 48 konfigurace spojení WebSEAL automatizovaná úloha 22 odinstalace 15 použití v konfiguraci Tivoli Identity Manager 21 požadavky pro instalaci 8 kontrola předpokladů Aktivace jednotného přihlášení 12 Java Runtime Environment 12 pro politiku zajišťování a služeb Access Manager 12 pro Web Application Sample 12 přehled 11 registr uživatelů Tivoli Identity Manager 12 Web Application Sample 11 WebSphere Application Server 11
L logoff.html
27
M MDTAMtoTIMImport.properties MDTAMtoTIMImport.xml 31
O objekt Umístění 61 odinstalace 15
31
P podadresář TIMTAMIntegration 30 pokyny k funkci hesla 56 politika hesla, vytvoření 2 politika totožnosti, vytvoření 2 politika zajišťování automatické zajišťování pro účty Tivoli Access Manager 62 automatické zajišťování pro účty Tivoli Identity Manager 61 automatizovaná úloha 17 konfigurováno instalačním programem 18 použití k synchronizaci hesel 60 použití ve funkci Samostatná registrace 59 přizpůsobení 19 vytvoření (přehled) 3 vytvoření instalačním programem 17 vytvoření účtů s 43 politika zajišťování a služeb Access Manager automatizovaná úloha 17 dodatečná konfigurace 19 konfigurováno instalačním programem 7 kontrola předpokladů pro 12 požadavky pro instalaci 7 výběr v instalačním programu 14 vytvoření 17 profil, popis 1 předinstalace 5
R registr uživatelů import z Tivoli Access Manager 38 import z Tivoli Access Manager (vícenásobná doména) import ze společného adresáře 42 kontrola předpokladů 12 modifikace 44 synchronizace 44 Tivoli Identity Manager 12 v integrovaném prostředí 3
40
Ř řazení formátovací sady za sebou, přizpůsobení
68
S samospráva 47 servlety, přizpůsobení 68 sladění, přehled 3 služba automatizovaná úloha 17 konfigurováno instalačním programem 17 popis 1 přidání (přehled) 2 vytvoření instalačním programem 17 zobrazení nebo modifikace 19 služba Directory Integrator Data Feed Viz služba IBM Directory Integrator Data Feed služba IBM Directory Integrator Data Feed přehled 29 vytvoření 32 služba IDI Data Feed Viz služba IBM Directory Integrator Data Feed soubory vlastností IBM Directory Integrator AssemblyLine Samples DirectorytoTIMImport.properties 35 Rejstřík
77
soubory vlastností (pokračování) MDTAMtoTIMImport.properties 34 TAMtoTIMImport.properties 33 TIMtoTAMsync.properties 36 jednotné přihlášení pro server WebSEAL enRoleAuthentication.properties 22 ui.properties 22 Web Application Sample 53 Související publikace viii spojení WebSEAL konfigurace certifikátu SSL 24 modifikace ACL v 25 použití s produktem Web Application Sample 66 použití se servlety produktu Web Application Sample vytvoření 21 správa totožnosti, přehled 1 ssoLogout.jsp 27 stránka pro odhlášení, pro jednotné přihlášení pro server WebSEAL 26 stránky serveru Java přístup 53 přizpůsobení 68 synchronizace uživatelských dat 29
68
V
T TAMtoTIMImport.properties 31 TAMtoTIMImport.xml 31 TIMtoTAMsync.properties 31 TIMtoTAMSync.xml 31 TIMtoTAMsyncexit 31 Tivoli Access Manager import uživatelů (vícenásobná doména) do Tivoli Identity Manager 40 import uživatelů do Tivoli Identity Manager 38 integrace s produktem Tivoli Identity Manager 1 jméno a DN služby 63 modifikace atributů uživatele v 44 Tivoli Identity Manager aktivace výzvy/odezvy 58 import uživatelů (vícenásobná doména) z Tivoli Access Manager 40 import uživatelů z Tivoli Access Manager 38 import uživatelů ze společného adresáře 42 integrace s produktem Tivoli Access Manager 1 konfigurace pro jednotné přihlášení pro server WebSEAL 21 konfigurace služby Directory Integrator Data Feed pro 32 konfigurace upozornění na e-mail 54 stránka pro přihlášení (v SSO) 27 synchronizace atributů s Tivoli Access Manager 44 vytvoření objektu Umístění pro samostatnou registraci 61 změna relace v prodlevě 24 Tivoli Identity Manager Web Application Sample Viz Web Application Sample
U účty atributy skupiny pro 63 hesla v produktu Web Application Sample 55 porovnávání ID uživatelů v produktu Web Application Sample 54 přiřazení s politikou zajišťování 43 přiřazení údajům o osobách 39 přiřazení údajům o osobách (vícenásobná doména) 40 vytvoření během funkce Samostatná registrace 59
78
účty (pokračování) vytvoření během sladění 40, 42 vytvoření v Tivoli Identity Manager 3 údaje o osobách vytvoření od uživatelů Tivoli Access Manager 39 vytvoření od uživatelů Tivoli Access Manager (vícenásobná doména) 40 vytvoření v Tivoli Identity Manager 3 vytvoření ze společného adresáře 42 ui.properties 22 uživatelé pověření globálního přihlašování pro 2 samospráva 47 vytvoření v Tivoli Identity Manager 3 uživatelská data import 29 import z Tivoli Access Manager 38 import z Tivoli Access Manager (vícenásobná doména) 40 import ze společného adresáře 42 modifikace 44 modifikace v Tivoli Access Manager 44 synchronizace 29, 44
vlastnosti application.service.dn 63 application.service.name 63 displaypassword 58 enrole.authentication.idsEqual 66 ertam4expirepass 61 changeonlytimpassword 57, 58, 59 pro funkci Osobní péče 62 pro funkci Zapomněl jsem heslo 58, 59 pro funkci Změna hesla 57 pro objekt Umístění 61 pro samostatnou registraci 61 ssoenabled 54 změna hesla při dalším přihlášení 61 vnitřní algoritmus mapování 23 volba jazyka 11 výběr položek k instalaci 14 výkon, pro IBM Directory Integrator AssemblyLine Samples
38
W Web Application Sample autentizace ID uživatelů 54 funkce 47, 48 funkce Odhlášení 65 funkce Osobní péče 62 funkce Přihlášení 54 funkce Přiřazení aplikace 63 funkce Samostatná registrace 59 funkce Výzva/Odezva 65 funkce Zapomněl jsem heslo 58 funkce Změna hesla 56 hlavní (domovská) stránka 55 ID uživatelů ve funkci Samostatná registrace 59 instalace bez Tivoli Identity Manager 50 instalace pomocí instalačního programu 49 instalace v klastrovaném prostředí 51 konfigurace pro jednotné přihlášení pro server WebSEAL konfigurace předpokladu 48 konfigurace upozornění na e-mail 54 kontrola předpokladů 11
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
65
Web Application Sample (pokračování) odinstalace 15 pokyny k funkci hesla 55 požadavek pro agenta Zpětná synchronizace hesel požadavky pro instalaci 10, 49 přehled 47 přístup ke stránkám serveru Java 53 přizpůsobení 68 soubory vlastností 53 synchronizace hesel 55 výběr v instalačním programu 14 znalost předpokladů 47 Web Portal Manager, vytvoření spojení pro 22 websealLogout.jsp 26 WebSphere Application Server kontrola předpokladů 11 použití nastavení Zabezpečení 49 požadavek Java Runtime 5
48
Z zabezpečení nastavení v produktu WebSphere Application Server 10, 49 pro IBM Directory Integrator AssemblyLine Samples 38 pro jednotné přihlášení pro server WebSEAL 25 zajišťování, popis 1 znalost předpokladů, pro produkt Web Application Sample 47
Rejstřík
79
80
IBM Tivoli Access Manager for e-business: IBM Tivoli Identity Manager: Příručka k funkci zajištění rychlého spuštění
Vytištěno v Dánsku společností IBM Danmark A/S.
SC09-3713-00