ii Přehled o produktu

򔻐򗗠򙳰 Přehled o produktu

ii

Přehled o produktu

Obsah Přehled o produktu . . . . . . . . . . 1 Informace o výchozím přihlášení a heslu . . . . Správa přístupu pomocí produktu IBM Tivoli Identity Manager a dalších produktů . . . . . . . . Podpora korporátní řídicí slučitelnosti . . . . . Řízení identity . . . . . . . . . . . . Informace o vydání . . . . . . . . . . . Co je nového v tomto vydání?. . . . . . . Hardwarové a softwarové požadavky . . . . Instalační obrazy a opravné sady . . . . . Známá omezení, problémy a jejich řešení . . . Technický přehled . . . . . . . . . . . Uživatelé, autorizace a prostředky . . . . . Hlavní komponenty . . . . . . . . . Přehled osob . . . . . . . . . . . Přehled prostředků. . . . . . . . . . Přehled zabezpečení systému . . . . . . Přehled organizačního stromu . . . . . . Přehled zásad . . . . . . . . . . .

. . . . . . . . . . .

.

. 1

. . . . .

. 1 . 3 . 7 . 8 . 8 . 13 . 18 . 18 . 35 . 35 . 36 . 38 . 40 . 43 . 47 . 49

Přehled sledu prací . . . . . . . Přehled funkcí . . . . . . . . . . Vylepšené uživatelské rozhraní . . . . Recertifikace . . . . . . . . . Sestavy . . . . . . . . . . . Statické a dynamické role . . . . . Samostatná správa . . . . . . . . Funkce zajišování . . . . . . . Zajišování prostředků . . . . . . O těchto informacích . . . . . . . . Komu jsou určeny . . . . . . . . Příručky . . . . . . . . . . . Technické školení Tivoli . . . . . . Informace o podpoře . . . . . . . Konvence používané v těchto informacích Oznámení . . . . . . . . . . Usnadnění přístupu . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

50 51 52 53 53 54 54 54 58 59 59 59 60 60 60 63 66

Rejstřík . . . . . . . . . . . . . . 67

iii

iv

Přehled o produktu

Přehled o produktu Tato témata popisují produkt s jeho obchodním a technologickým kontextem. Obsahují informace, týkající se: v Konkrétního vydání produktu, jako například nové nebo zamítnuté funkce produktu. v Otevřených standardů, technologií a architektury, na kterých je produkt založen. v Uživatelského modelu a rolí, vytvářejících funkce produktu. v Grafických rozhraní a nástrojů, zajišujících podporu různých uživatelských rolí. v Informačního centra, kde je možné zobrazit dokumentaci.

Informace o výchozím přihlášení a heslu Pokud chcete produkt IBM® Tivoli Identity Manager po instalaci začít používat, potřebujete znát adresu URL pro přihlášení a výchozí ID uživatele a heslo.

Přihlašovací adresa URL Přihlašovací adresa URL vám umožňuje přístup k webovému rozhraní produktu IBM Tivoli Identity Manager. Přihlašovací adresa URL administrativní konzoly produktu IBM Tivoli Identity Manager: http://ip-address:port/itim/console/main/

Kde adresa_IP je adresa IP nebo adresa DNS serveru IBM Tivoli Identity Manager a port je číslo portu. Výchozí port nové instalace IBM Tivoli Identity Manager je 9080. Přihlašovací adresa URL samoobslužné konzoly produktu IBM Tivoli Identity Manager je: http://ip-address:port/itim/self

Kde adresa_IP je adresa IP nebo adresa DNS serveru IBM Tivoli Identity Manager a port je číslo portu. Výchozí port nové instalace IBM Tivoli Identity Manager je 9080.

Výchozí ID uživatele a heslo Výchozí ID uživatele a heslo pro ověření totožnosti v produktu IBM Tivoli Identity Manager je: Tabulka 1. Výchozí ID uživatele a heslo pro IBM Tivoli Identity Manager ID uživatele

Heslo

itim manager

secret

Správa přístupu pomocí produktu IBM Tivoli Identity Manager a dalších produktů V životním cyklu zabezpečení poskytuje IBM Tivoli Identity Manager a některé další produkty správu přístupů, která vám umožní určit, kdo může vstoupit do vašich chráněných systémů, k čemu může mít přístup a zajistit, aby uživatelé přistupovali pouze k těm prostředkům, které vyžadují jejich obchodní úlohy.

1

Správa přístupů řeší z obchodního pohledu tři otázky: v Kdo může vstoupit do mých systémů? v Co tam může provádět? v Mohu jednoduše zjistit, co bylo využitím tohoto přístupu provedeno? Tyto produkty ověřují důvěryhodnost všech uživatelů s přístupem k prostředkům a zajistí správné, konzistentně vynucované řízení přístupů: v IBM Tivoli Identity Manager Poskytuje bezpečné, automatizované a zásadami řízené řešení správy uživatelů, napomáhající efektivní správě identit uživatelů v průběhu životního cyklu přejatých prostředí i prostředí e-business. IBM Tivoli Identity Manager poskytuje centralizovaný přístup uživatelů k různým prostředkům v organizaci, využívající zásad a funkcí, které zjednodušují operace související s uživatelským přístupem. V důsledku toho organizace získá mnoho výhod, například: – Webová samoobsluha a obnovy a synchronizace hesel; uživatelé mohou sami spravovat svá hesla pomocí pravidel zásad správy hesel, aby bylo možné řídit přístup k více aplikacím. Synchronizace hesla umožňuje uživateli použít jedno heslo pro všechny účty, které IBM Tivoli Identity Manager spravuje. – Rychlá odezva na audity a řídicí směrnice. –

Automatizace obchodních procesů vztahujících se ke změnám v identitách uživatelů zajištěním správy životního cyklu. – Centralizovaná správa a místní autonomie. – – – – –

Rozšířená integrace využitím mnoha rozhraní API. Volby správy cílových systémů pomocí přístupu s agentem nebo bez agenta. Snízení nákladů na středisko podpory. Zvýšené zabezpečení přístupu redukcí osiřelých účtů. Snížení administrativních nákladů na zajišování uživatelů použitím softwarové automatizace. – Snížení nákladů a prodlev souvisejících se schvalováním přístupů k prostředkům pro nové a změněné uživatele. v Tivoli Access Manager Umožňuje vaší organizaci používat centralizované bezpečnostní zásady pro určité skupiny uživatelů pro správu autorizace přístupů přes sí, včetně zranitelných internetových webových serverů. Tivoli Access Manager může být pevně svázán s produktem IBM Tivoli Identity Manager, ke sladění skupin uživatelů a účtů, spravovaných produktem Tivoli Access Manager, s identitami spravovanými produktem IBM Tivoli Identity Manager, k zajištění integrovaného řešení řízení přístupu k prostředkům. Tivoli Access Manager přináší: – Unifikovaný přístup ověřování a autorizace k odlišným webovým aplikacím v rámci celého podniku. – Flexibilní jednotné přihlašování do prostředí webových, Microsoft® telnet a mainframe aplikací. – Rychlá a rozšiřitelná implementace webových aplikací s podporou standardizovaných aplikací Java™ 2 Enterprise Edition (J2EE). – Flexibilita návrhu zajištěná rozšiřitelnou architekturou proxy a jednoduše instalovatelných modulů plug-in do webového serveru, řízení přístupu dle pravidel a rolí, podpora předních platforem a pokročilých API pro vlastní úpravy zabezpečení. v Tivoli Federated Identity Manager Obsluhuje veškeré konfigurační informace pro meziorganizační federaci, včetně partnerských vztahů, mapování identit a správy tokenů identit.

2

Přehled o produktu

Produkt Tivoli Federated Identity Manager umožňuje, aby organizace sdílela služby s partnerskými obchodními organizacemi a získala důvěryhodné informace o identitách třetí strany, jako jsou zákazníci, dodavatelé a zaměstnanci klienta. Informace o uživatelích můžete získat bez vytváření, zápisů nebo správy účtů identit, pro organizace, poskytující přístup ke službám, které používá vaše organizace. Následně jsou uživatelé ušetřeni nutnosti registrovat se na serverech partnera a pamatovat si další přihlašovací jména a hesla. Výsledkem je vylepšená integrace a komunikace mezi vaší organizací a dodavateli, obchodními partnery a zákazníky. Pokud chcete získat další informace, jak přistupovat k produktům správy vhodným pro velká řešení zabezpečení životního cyklu, navštivte webový server Tivoli Security Management na adrese: http://www.ibm.com/software/tivoli/solutions/security/ Publikace IBM Redbooks a Redpapers také popisují implementaci IBM Tivoli Identity Manager do portfolia produktů zabezpečení IBM.

Podpora korporátní řídicí slučitelnosti IBM Tivoli Identity Manager poskytuje podporu korporátní řídicí slučitelnosti.

Oblasti slučitelnosti Tivoli Identity Manager řeší korporátní řídicí slučitelnost v těchto hlavních oblastech: v zajišování a procesy schvalování sledů prací v sledování záznamů pro audit v rozšířená míra shody v zásada a slučitelnost hesel v autorizace a vynucení zajištění účtu a přístupu v zásada a zpracování recertifikace v sestavy

Zajišování a procesy schvalování sledů prací Tivoli Identity Manager poskytuje podporu zajišování uživatelských účtů a přístupů k různým prostředkům. Je-li Tivoli Identity Manager implementován jako jediný ze sady bezpečnostních produktů, hraje klíčovou roli v zajištění prostředků pouze pro autorizované osoby, dohlíží přitom na přesnost a úplnost metod zpracovávajících informace a uděluje autorizovaným uživatelům přístup k informacím a souvisejícím součástem. Tivoli Identity Manager poskytuje integrované softwarové řešení správy zajišování služeb, aplikací a řízení zaměstnanců, obchodních partnerů, dodavatelů a jiných, souvisejících s vaší společností programově, organizačně nebo geograficky. Funkcí zajišování můžete využít k řízení instalace a údržby uživatelských přístupů do systému a vytváření účtů pro spravované prostředky. Na nejvyšší úrovni řešení správy identit automatizuje a centralizuje procesy zajišování prostředků, jako například operačních systémů a aplikací a osob pracujících v organizaci. Organizační struktura může být změněna tak, aby odpovídala zásadám a procedurám zajišování. Organizační diagram, použitý pro zajišování prostředků, však nemusí nezbytně odrážet materiální strukturu organizace. Administrátoři na všech úrovních mohou používat standardní procedury pro správu uživatelských pověření. Některé úrovně administrace lze redukovat nebo eliminovat, v závislosti na šíři použitého řešení správy zajišování. Dále můžete bezpečně distribuovat schopnosti administrace, ručně nebo automaticky mezi více organizací.

Přehled o produktu

3

Proces schvalování lze přiřadit k různým typům požadavků na zajišování, včetně požadavků na zajišování účtů a přístupů. Operace životního cyklu lze také přizpůsobit, aby se začlenily do schvalovacího procesu. Modely zajiš
ování V závislosti na obchodních potřebách Tivoli Identity Manager poskytuje alternativy k zajišování prostředků pro oprávněné uživatele dle požadavků, dle rolí nebo hybridní modely. Schvalovací sledy prací Během zajišování účtů a přístupů jsou vyvolávány sledy prací pro požadavky na účty a přístupy. Sledy prací pro požadavky na účty a přístupy se typicky využívají k definování schvalovacích sledů prací pro zajišování účtů a přístupů. Sledy prací požadavků na účty poskytují rozhodovací proces, který řídí, zda má být udělen zásadou zajišování poskytnutý nárok. Zásadou zajišování poskytnutý nárok uvádí sled prací požadavku na účet, který platí pro sadu uživatelů, členů zásady zajišování. Pokud pro jednoho uživatele a stejnou cílovou službu platí více zásad zajišování a pro každou zásadu zajišování jsou rozdílné sledy prací požadavků na účet, bude vyvolaný sled prací pro uživatele určen podle priority zásady zajišování. Jestliže pro zásadu zajišování nebyl přiřazen sled prací a zásada uděluje nárok účtu, spustí se operace související s požadavkem okamžitě. Operace může například přidat účet. Má-li zásada zajišování přiřazený sled prací, spustí se tento sled prací předtím, než zásada udělí nárok. Jestliže sled prací vrátí výsledek Schváleno, udělí zásada nárok. Pokud sled prací vrátí výsledek Zamítnuto, nebude nárok udělen. Sled prací může například požadovat schválení správcem. Dokud nebude zadáno schválení a sled prací nebude dokončen, nebude účet zajišován. Když navrhujete sled prací, zvažte použití zásady zajišování a použití nároku samotného.

Sledování Tivoli Identity Manager poskytuje informace pro sledování záznamů pro audit, jak a proč získal uživatel přístup. Na základě žádosti produkt Tivoli Identity Manager proces za účelem udělení, upravení a odebrání přístupu prostředkům pomocí obchodu a zavedení efektivného záznamu pro audit pomocí automatizovaných zpráv. Postup celého procesu, včetně schvalování a zajišování účtů, je protokolován do záznamů pro audit, k tomu jsou do databáze generovány odpovídající události auditu, které se využijí v sestavách auditu. Do záznamů pro audit se také protokolují události správy životního cyklu uživatelů a účtů, včetně změn uživatelů a účtů, výstrahy recertifikace a porušení slučitelnosti.

Vylepšená míra shody Produkt Tivoli Identity Manager poskytuje vylepšenou míru shody na položkách, jako jsou nečinné a osiřelé účty, míru shody zásady zajišování, stav recertifikace a mnoho zpráv. v Nečinné účty. Seznam nečinných účtů můžete zobrazit pomocí funkce sestav. Tivoli Identity Manager obsahuje atribut nečinného účtu pro typy služeb, které můžete využít k vyhledávání a správě nepoužívaných účtů na službách. v Osiřelé účty. Účty na spravovaných prostředcích, jejichž vlastníka v produktu Tivoli Identity Manager Server nelze určit, jsou osiřelé účty, které jsou označeny během sladění, když vhodné pravidlo převzetí nemůže úspěšně určit vlastníka účtu.

4

Přehled o produktu

v Stav slučitelnosti zásady zajiš
ování. Stav slučitelnosti, založený na specifikaci zásady zajišování, je k dispozici pro účty i pro přístupy. Účet může být bu slučitelný, neslučitelný díky překročení hodnoty atributu, nebo nepovolený. Přístup je bu slučitelný, nebo nepovolený. v Stav recertifikace. Stav recertifikace je k dispozici pro uživatele, účet a cílové typy přístupu, které označují, zda je cílový typ certifikován, odmítnut nebo nově certifikován. K dispozici je také časové razítko recertifikace.

Zásada a slučitelnost hesel Tivoli Identity Manager poskytuje schopnost vytvořit a spravovat zásady hesel. Zásada hesla definuje pravidla odolnosti hesla, která se používají k určení, zda je nové heslo platné. Pravidlo odolnosti hesla je pravidlem, které musí heslo splňovat. Pravidla odolnosti hesla mohou například uvádět, že minimální počet znaků v hesle musí být pět a maximální počet znaků musí být deset. Administrátor Tivoli Identity Manager může také vytvářet nová pravidla pro zásady hesla. Je-li aktivována synchronizace hesel, administrátor vyžaduje jistotu, že zásady hesla nejsou v konfliktu s pravidly odolnosti hesla. Když je aktivována synchronizace hesel, Tivoli Identity Manager při určování použitého hesla kombinuje zásady pro všechny uživatelem vlastněné účty. Pokud jsou mezi zásadami hesel konflikty, heslo nesmí být nastaveno.

Zásada zajišování a vynucení zásady Zásada zajišování uděluje přístup k mnoha typům spravovaných prostředků, například serverům Tivoli Identity Manager server, Windows NT®, serverům Solaris a podobně. Parametry zásady zajišování pomáhají administrátorům systému definovat hodnoty atributů, které jsou potřebné a hodnoty, které jsou povolené. Vynucení zásady je chování, při kterém Tivoli Identity Manager povoluje nebo zakazuje účty, které porušují zásady zajišování. Pro účet s neslučitelným atributem můžete uvést provedení jedné z následujících akcí vynucení zásady. Označení Nastaví označení účtu, který má neslučitelný atribut. Pozastavení Pozastaví účet, který má neslučitelný atribut. Oprava Nahradí neslučitelný atribut účtu správným atributem. Výstraha Vydá výstrahu pro účet, který má neslučitelný atribut.

Zásada a zpracování recertifikace Zásada recertifikace zahrnuje aktivity k ujištění, že uživatelé potvrdí, že stále mají zájem o uvedený cílový typ (uživatel, účet a přístup). Zásada definuje, jak často musí uživatelé přetrvávající zájem ověřit. Dále tato zásada definuje operace, které nastanou, když příjemce odmítne nebo nereaguje na požadavek recertifikace. Tivoli Identity Manager podporuje zásady recertifikace, které používají sadu upozornění pro vyvolání aktivit pracovního postupu, které jsou obsaženy v procesu recertifikace. V závislosti na odezvě uživatele může

Přehled o produktu

5

zásada recertifikace označit role uživatele, účty, skupiny nebo přístupy jako recertifikované, pozastavit nebo odstranit účet nebo odstranit roli, skupinu nebo přístup. Audity, které jsou specifické pro recertifikace, jsou vytvářeny pro využití sestavami souvisejícími s recertifikací: Recertifikace nevyřízených účtů, přístupů nebo uživatelů Poskytuje seznam nedokončených recertifikací. Historie recertifikace Poskytuje historický seznam recertifikací pro uvedený cílový typ. Zásady recertifikace Poskytuje seznam všech zásad recertifikace. Historie recertifikace uživatele Poskytuje historii recertifikace uživatele. Zásada recertifikace uživatele Poskytuje seznam všech zásad recertifikace uživatele.

Sestavy Administrátoři zabezpečení, auditoři, správci a vlastníci služeb ve vaší organizaci mohou použít jednu nebo více z následujících sestav k řízení nebo podpoře korporátní řídicí slučitelnosti: v Sestava přístupů, která vypíše všechny definice přístupu v systému. v Sestava schválení a zamítnutí, která zobrazuje aktivity schválených nebo zamítnutých požadavků. v Sestava nečinných účtů, která vypíše delší dobu nepoužívané účty. v Nároky udělené individuální sestavě, která vypíše všechny uživatele se zásadami zajišování, pro které jsou určeny. v Sestava nevyhovujících účtů, která vypíše všechny nevyhovující účty. v Sestava osiřelých účtů, která vypíše všechny účty bez vlastníka. v Sestava nevyřízené recertifikace, která zvýrazní události recertifikace, které mohou nastat, pokud osoba recertifikace neprovede s účtem nebo přístupem žádnou akci. Tato sestava podporuje filtrování dat podle specifického typu služby nebo specifické instance služby. v Sestava historie změn recertifikace, která ukazuje historii přístupů (včetně účtů) a kdy byly naposledy recertifikovány. Tato sestava slouží jako evidence minulých recertifikací. v Sestava zásad recertifikace, která zobrazuje aktuální konfiguraci recertifikace pro poskytnutý přístup nebo službu. v Sestava definice zásad dělení činností, která vypíše definice zásad dělení činností. v Sestava narušení zásad dělení činností, která obsahuje osobu, zásadu a pravidla, schválení a odůvednění (je-li uvedeno) a kdo vyžádal narušující změnu. v Sestava služeb, která vypíše momentálně definované služby v systému. v Sestava souhrnu účtů ve službě, která vypíše souhrn účtů v uvedené službě definované v systému. v Sestava pozastavených účtů, která vypíše pozastavené účty. v Sestava historie recertifikace, která vypíše historii recertifikací uživatelů provedených manuálně (podle specifických recertifikátorů) nebo automaticky (kvůli vypršené akci). v Sestava definic zásad recertifikace uživatelů, která vypíše definice zásad recertifikace uživatelů.

6

Přehled o produktu

Všechny sestavy jsou k dispozici všem uživatelům, je-li nakonfigurováno odpovídající řízení přístupu. Určité sestavy jsou však navrženy speciálně pro určité skupiny uživatelů. Tabulka 2. Souhrn sestav Navrženo pro

Dostupné sestavy

Administrátoři zabezpečení

v nečinné účty v osiřelé účty v nevyřízené recertifikace v historie recertifikace v zásady recertifikace v historie recertifikace uživatelů v zásady recertifikace uživatelů

Správci

v nevyřízené recertifikace v historie recertifikace v zásady recertifikace v historie recertifikace uživatelů v zásady recertifikace uživatelů

Vlastníci služeb

v nečinné účty v osiřelé účty v nevyřízené recertifikace v historie recertifikace v zásady recertifikace v historie recertifikace uživatelů v zásady recertifikace uživatelů

Auditoři

v nečinné účty v osiřelé účty v nevyřízené recertifikace v historie recertifikace v zásady recertifikace v historie recertifikace uživatelů v zásady recertifikace uživatelů

Koncoví uživatelé, středisko podpory a vývojáři

Žádné

Řízení identity Produkt IBM Tivoli Identity Manager rozšíří schopnosti řízení správy identity se zaměřením na správu provozních rolí. Použití rolí zjednoduší správu přístupu k prostředkům IT. Řízení identity zahrnuje tyto funkce produktu Tivoli Identity Manager: Správa rolí Spravuje uživatelský přístup k prostředkům, ale narozdíl od zajišování uživatelů, správa rolí neuděluje ani neodebírá uživatelské přístupy. Namísto toho nastaví strukturu rolí, která to provádí mnohem efektivněji. Správa nároků Administrací a vynucením jemných autorizací zjednodušuje řízení přístupu.

Přehled o produktu

7

Certifikace přístupu Poskytuje stálou kontrolu a ověřování přístupu k prostředkům na úrovni role nebo úrovni nároku. Správa privilegovaného uživatele Poskytuje vylepšenou administraci uživatele a monitorování systému nebo účtů administrátora, které mají zvýšená oprávnění. Dělení činností Zjišuje a zabraňuje specifickým obchodním konfliktům na úrovni role nebo úrovni nároku.

Informace o vydání Tato sekce popisuje nové funkce a požadavky hardwaru a softwaru na produkt IBM Tivoli Identity Manager.

Co je nového v tomto vydání? Produkt IBM Tivoli Identity Manager pokračuje v doručování nových schopností správce identity ve shodě s obecnými standardy a nejlepšími postupy. Toto vydání rozšíří schopnosti řízení správy identity se zaměřením na slučitelnost.

Schopnosti správy role Role spravují uživatelský přístup k prostředkům, ale podobně jako zajišování uživatelů, správa role neudělí nebo neodebere uživatelský přístup. Namísto toho nastaví strukturu rolí, která to provádí mnohem efektivněji. Produkt verze 5.1 IBM Tivoli Identity Manager rozšíří schopnosti řízení správy identity se zaměřením na správu operační role. Správa přístupu k prostředkům IT pomocí rolí je zjednodušena a vylepšena těmito schopnostmi správy rolí: Hierarchie rolí Hierarchie rolí umožňuje administrátorům zabezpečení sestavit a plánovat logické hierarchie rolí a sestavit významnější vztahy rolí. v Lze použít vztahy rolí. v Okamžité vztahy nadřízených-podřízených rolí lze vysledovat a přejít na ně. v Dělení činností lze vyhodnotit, když se použije hierarchie rolí. Vztahy rolí Vztahy rolí umožňují, aby se na role logicky odkazovalo povolením vztahů nadřízených-podřízených rolí v hierarchii, ve které podřízené role zdědí nároky rolí nadřízených. v Nadřízená role může mít více podřízených rolí. v Podřízená role může mít více nadřízených rolí. v Vztahy rolí lze vyhodnotit, aby se mohlo určit, které nároky jsou zděděny a uděleny. v Chování zajišování lze změnit přiřazením hierarchie rolí; například tím, že se role odvětví stane podřízenou role aplikací. Klasifikace role Klasifikace rolí je schopnost klasifikovat roli z důvodů přizpůsobení sledu prací a zásad. v Výchozí typy role jsou obchodní a aplikační typy. v Obchodní role zahrnují druh pracovní pozice, kterou osoba dělá. v Aplikační role zahrnují druh přístupu, který osoba vyžaduje.

8

Přehled o produktu

v Vztahy rolí a klasifikace rolí lze použít k definování, jak odlišně se vztahují typy rolí Vlastnictví rolí a schválení Vlastníci rolí mohou být uživatelé nebo další role. v Role mohou mít více vlastníků. v Účastníci sledu prací a položky řízení přístupu (ACI) jsou vylepšeny, aby se vyřešili účastníci rolí. Administrace rolí Organizační role představují způsob, jak poskytnout uživatelům nároky ke spravovaným prostředkům tak, že určíte, které prostředky jsou opatřeny pro uživatele nebo sadu uživatelů, kteří mají stejné povinnosti. Role je funkce pracovní pozice, která označuje úlohy, které může osoba provést, a prostředky, ke kterým má dotyčná osoba přístup.

Schopnosti dělení činností Dělení činností je funkce řízená zásadou ke spravování možných nebo existujících konfliktů rolí. Zásada dělení činností je logický kontejner pravidel dělení, které definují ústně výlučné vztahy mezi rolemi. Zásady dělení činností jsou definovány podle jednoho nebo více pravidel, která vylučují uživatele z členství ve více rolích, které mohou znázorňovat obchodní konflikt. Účel zásady dělení činností je seskupit pravidla pro snadnou administraci. Například, můžete přiřadit sadu administrátorů k zásadě tak, že učiníte administrátory odpovědné za sledování porušení sady pravidel. Schopnosti dělení činností zahrnují: v Sledování narušení pomocí administrativní konzole, která poskytuje řízení identity a prokazatelnost přístupu v Auditování narušení a vyloučení pomocí sestav, což pomáhá chránit nebo zvýraznit nesprávné používání oprávnění v Schválení sledu prací pro dělení činností, které pomáhá dosáhnout cílů slučitelnosti v Nové položky řízení přístupu (ACI), které znázorňují nové cíle zásady dělení činností v Vyhodnocení zásady dělení činností, když se sled prací použije pro dodání identity v Ochrana neplatných nebo nekonzistentních (s obchodní zásadou) kombinací rolí, které zakazují vztahy nadřízený-podřízený v zásadě dělení činností v Typ ba sledu prací (Vlastník zásady SoD) v Entita porušení sledu prací a přizpůsobení upozornění v Proces schválení, který umožňuje vyloučení, když se vyskytne narušení; vyloučení je možné vyvolat později Zásady dělení činností Zásada dělení činností je logický kontejner pravidel dělení, která definují ústně výlučné vztahy mezi rolemi. Zásady dělení činností jsou definovány podle jednoho nebo více pravidel, která vylučují uživatele z členství ve více rolích, které mohou znázorňovat obchodní konflikt. Sestavy zásad dělení činností Tato sekce popisuje různé sestavy zásad dělení činností. Sestava narušení dělení činností Tato sekce popisuje sestavu narušení dělení činností. Tato sestava obsahuje osobu, schválení a pravidla, schválení a zdůvodnění (je-li uvedeno) a kdo vyžádal narušující změnu.

Přehled o produktu

9

SeparationOfDutyRuleViolation Objekt, který poskytuje informace o specifickém překročení pravidel dělení činností. Použijte tento objekt, abyste získali specifické informace o překročení zásad dělení činností. Tento objekt nemůže uživatel vytvořit k použití. Uživatel může pracovat pouze s objekty SeparationOfDutyRuleViolation, které systém vygeneroval jako část sledu prací approveSoDViolation. ParticipantType Konstanty typu účastníka sledu prací.

Recertifikace uživatele Produkt IBM Tivoli Identity Manager poskytuje schopnost certifikovat a ověřit uživatelský přístup k prostředkům IT v pravidelném intervalu. Recertifikace uživatelů je typem procesu recertifikace, který slučuje recertifikaci uživatelských účtů, skupinových členství účtů a členství rolí do jediné aktivity. Aktivity recertifikace uživatelů jsou dokončeny uvedeným účastníkem, jako je správce nebo vlastník aplikace. Každá aktivita recertifikace uživatelů vypíše účty, členství ve skupině a členství v roli, která vlastní uživatel. Skupiny, které jsou povoleny jako přístup, jsou zobrazeny v aktivitě pomocí informací o přístupu, raději než informací o skupině. Účastník může individuálně schválit nebo odmítnout, zda uživatel stále požaduje každý účet, členství ve skupině nebo členství v roli. Lze provést několik akcí, když je prostředek nebo členství zamítnuté, včetně pozastavení prostředku nebo odstranění členství. Zásada recertifikace uživatelů poskytuje volby pro konfiguraci oblasti recertifikace, aktivit sledu práce, upozornění a chování vypršení a odmítnutí. Zásady recertifikace Recertifikace zjednodušuje a automatizuje proces pravidelného opětovného ověření platnosti typu cíle (účet nebo přístup) nebo členství (role nebo skupina prostředků). Proces recertifikace ověří, zda cílový typ nebo členství jsou stále vyžadovány z platného obchodního důvodu. Proces odešle upozornění na recertifikaci a události schválení účastníkům, které uvedete. Zásada recertifikace zahrnuje aktivity, aby bylo možné se ujistit, že uživatelé poskytují potvrzení, že stále trvá jejich zájem o uvedený prostředek nebo členství. Vytvoření zásady recertifikace uživatelů Jako administrátor můžete vytvořit zásadu recertifikace uživatelů, abyste recertifikovali účty, členství ve skupině a členství uživatelů. Sestava historie recertifikace uživatelů Tato sekce popisuje sestavu, která vypíše historii recertifikací uživatele provedených ručně (podle specifických recertifikátorů) nebo automaticky (kvůli vypršené akci). Sestava definice zásad recertifikace uživatelů Tato sekce popisuje sestavu, která vypíše informace o zásadách recertifikace uživatele definovaných v systému.

Schopnosti správy skupin Produkt IBM Tivoli Identity Manager poskytuje další zabezpečující vylepšení administrace pomocí nových schopností správy skupin. Schopnosti správy skupin zahrnují: v Schopnost vytvořit, změnit, odstranit skupiny na cílovém prostředku tak dlouho, co bude instalován adaptér verze 5.1. produktu Tivoli Identity Manager.

10

Přehled o produktu

v Zajišování synchronních skupin do cílového prostředku pro vytvoření, úpravu a odstranění skupin v Zefektivněná navigace v administrativní konzoli pro správu skupin v Adaptéry a profily nové verze 5.1 mají výhodu schopností správy skupin Administrace skupin Produkt IBM Tivoli Identity Manager poskytuje předem definované skupiny. Můžete také vytvořit a upravit přizpůsobené skupiny.

Produkt Tivoli Common Reporting Produkt IBM Tivoli Identity Manager vykazuje nové schopnosti vytváření sestav pro účely auditování a poskytuje sestavy založené na komponentě obecných sestav IBM Tivoli Common Reporting. Tato komponenta je založena na produktu Eclipse Business Intelligence Reporting Tool a poskytuje skládání vlastních sestav, distribuci sestav, schopnosti plánování sestav a možnost spouštět a spravovat sestavy z více produktů IBM Tivoli. Tivoli Common Reporting je funkce vytváření sestav, která je k dispozici vlastníkům produktů Tivoli. Produkt Tivoli Common Reporting nabídne zákazníkům Tivoli obecný přístup ke zobrazování a administraci sestav. Produkty Tivoli poskytují balíky sestav, vycházející z Tivoli Common Reporting, takže sestavy mají běžný vzhled a chování ve všech produktech Tivoli. Abyste získali další podrobnosti o komponentě Tivoli Common Reporting, prohlédněte dokumentaci k DVD produktu Tivoli Common Reporting. Abyste získali další informace o dostupnosti sestav produktu Tivoli Identity Manager, prohlédněte webové stránky podpory produktu Tivoli Identity Manager.

Sestavy zahrnuté v komponentě Tivoli Common Reporting v sestavy přístupů v sestavy schválení a zamítnutí v sestava nečinných účtů v sestava nároků udělených jednotlivci v sestava nevyhovujících účtů v v v v v v v

sestava osiřelých účtů sestava definic zásad dělení činností sestava narušení zásad dělení činností sestava souhrnu služeb o účtech na službách sestava pozastavených účtů sestava historie recertifikace uživatelů sestava definic zásad recertifikace uživatelů Konfigurace a administrace produktu IBM Tivoli Common Reporting Produkt IBM Tivoli Common Reporting (nazývaný také balík sestav) je zaměřen na informace o účtech, službách a požadavcích.

Nová rozhraní API Nová rozhraní API jsou k dispozici pro podporu nových funkcí produktu IBM Tivoli Identity Manager, verze 5.1. v Skupina v GroupEntity v GroupFactory v GroupManager Přehled o produktu

11

v v v v v

GroupMO GroupSearch GroupService Nové metody na třídy Role, RoleEntity a RoleMO SeparationOfDutyPolicy

v v v v v

SeparationOfDutyPolicyManager SeparationOfDutyPolicyMO SeparationOfDutyRule UserRecertificationCompletionImpact UserRecertificationWorkflowAssignmentMO

Nové rozšíření sledu prací Tato nová rozšíření sledu prací jsou k dispozici, aby podporovala nové funkce verze 5.1 produktu IBM Tivoli Identity Manager. v approveRolesByOwner v approveRolesWithOperation v callApprovalOperation v addSeparationOfDutyPolicy v callSODApprovalOperation v constructApprovalDocument v remediateAccountsAndGroups v remediateRoleMemberships v updateRecertificationStatusAllApproved v updateRecertificationStatusEmptyDocument Vzorový sled prací: sekvenční schválení recertifikace uživatelů pomocí zabaleného uzlu schválení Tento scénář ukazuje zásady organizace, které požadují, aby byla recertifikace uživatelů schválena dvěma úrovněmi schvalovatelů. První schvalovatel odešle rozhodnutí, která jsou přezkoumána druhým schvalovatelem. Druhý schvalovatel může změnit rozhodnutí učiněná prvním schvalovatelem a pak odeslat finální rozhodnutí. Žádost v tomto scénáři je pro schválení recertifikace prostředků uživatele (účty, skupiny nebo role). Vzorový sled prací: schválení členství rolí recertifikace uživatelů podle vlastníka rolí Tento scénář ukazuje organizaci pomocí zásady, která vyžaduje, aby recertifikace členství rolí byly dokončeny podle individuálních vlastníků rolí, zatímco účty a skupiny uživatelů jsou recertifikovány správcem. Jakmile budou všechna schválení dokončena, individuální rozhodnutí prostředků budou kombinována a napravena.

Nové funkce JavaScript Tyto nové funkce JavaScript™ jsou k dispozici, aby podporovaly nové funkce verze 5.1 produktu IBM Tivoli Identity Manager. v PackagedApprovalDocument v PackagedApprovalItem v RecertificationWorkflow v SeparationOfDutyRuleViolation PackagedApprovalDocument Důležitý datový objekt použitý ve schválení více položek, použitý výlučně ve sledech

12

Přehled o produktu

prací recertifikace uživatelů. Tento objekt je vytvořen z více objektů PackagedApprovalItem ze schválení recertifikace uživatelů a povoluje vyhledávání a načtení položek recertifikace. PackagedApprovalItem Důležitý datový objekt použitý ve schválení více položek produktu IBM Tivoli Identity Manager, použitý výhradně ve sledech prací recertifikace uživatele. Tento objekt znázorňuje individuální role, účty a skupiny, které jsou prezentovány uživateli během procesu recertifikace. Některé položky mohou obsahovat kód rozhodnutí označující volbu schvalovatelů pro tuto položku. Každá položka také obsahuje seznam podřízených položek, které se používají ke znázornění vztahů mezi účty a skupinami. RecertificationWorkflow Poskytuje rozšířené schopnosti pro sledy prací recertifikace uživatelů, včetně podpory auditu pro funkce vytvážření sestav a zobrazování požadavků. SeparationOfDutyRuleViolation Objekt, který poskytuje informace o specifickém překročení pravidel dělení činností. Použijte tento objekt, abyste získali specifické informace o překročení zásad dělení činností. Tento objekt nemůže uživatel vytvořit k použití. Uživatel může pracovat pouze s objekty SeparationOfDutyRuleViolation, které systém vygeneroval jako část sledu prací approveSoDViolation.

Hardwarové a softwarové požadavky Zde uvedené hardwarové a softwarové požadavky produktu IBM Tivoli Identity Manager mají přednost před jinými zmíněnými v ostatních publikacích produktu IBM Tivoli Identity Manager. Tyto požadavky byly aktuální v době vydání této publikace. Možné aktualizace těchto informací hledejte u zástupce zákaznické podpory.

Požadavky na operační systém Instalační program IBM Tivoli Identity Manager před zahájením procesu instalace zkontroluje, zda jsou přítomny správné operační systémy včetně úrovní. Tabulka 3 identifikuje operační systémy, opravy a minimální požadavky na instalaci: Tabulka 3. Požadavky IBM Tivoli Identity Manager na operační systém Operační systém

Požadavky na opravu nebo úroveň údržby

AIX verze 5.3

Žádné

AIX verze 6.1

Žádné

Sun Server Solaris 10 (SPARC)

Žádné

Standardní edice a Podniková edice serveruWindows® 2003

Žádné

Windows Server 2008 Standard Edition a Enterprise Edition

Žádné

Red Hat Linux® Enterprise 4.0 for Intel®, System p a System z

Žádné

Red Hat Linux Enterprise 5.0 for Intel, System p a System z

Žádné

SUSE Linux Enterprise Server 10.0 for Intel, System p a System z

Žádné

Přehled o produktu

13

Hardwarové požadavky IBM Tivoli Identity Manager má tyto hardwarové požadavky: Tabulka 4. Hardwarové požadavky IBM Tivoli Identity Manager Komponenty systému

Minimální hodnoty*

Doporučené hodnoty**

Systémová pamě (RAM)

2 gigabajty

4 gigabajty

Rychlost procesoru

Jednoduchý 2.0 gigahertzový procesor Intel nebo pSeries

Duální 3.2 gigahertzový procesor Intel nebo pSeries

Diskový prostor pro produkt a jím předpokládané produkty

20 gigabajtů

25 gigabajtů

* Minimální hodnoty: Tyto hodnoty umožní základní použití IBM Tivoli Identity Manager. ** Doporučené hodnoty: Někdy je pro vaše produkční prostředí vhodnější použít vyšší hodnoty.

Softwarové předpoklady IBM Tivoli Identity Manager má následující softwarové předpoklady: Požadavky na prostředí JRE (Java Runtime Environment): Produkt IBM Tivoli Identity Manager vyžaduje produkt verze 1.5 JRE SR9, který je instalován v adresáři java WAS_HOME/, když je instalována opravná sada 23 produktu WebSphere Application Server. Použití nezávisle nainstalovaného vývojového nástroje Java od IBM nebo jiného dodavatele není podporováno. Požadavky JRE na využití prohlížeče k vytvoření připojení klienta k serveru IBM Tivoli Identity Manager jsou jiné, než požadavky JRE pro spuštění WebSphere Application Server. Požadavky WebSphere Application Server: Následující tabulka vypisuje požadované verze WebSphere Application Server a veškeré použitelné opravné sady nebo požadavky APAR. Tabulka 5. Požadavky na použití WebSphere Application Server s produktem IBM Tivoli Identity Manager Aplikační server

Požadavky opravné sady, opravy a úrovně údržby

Kumulativní oprava Další APAR

WebSphere Application Server, verze 6.1

Opravná sada 23

Žádné

Žádné

Požadavky databázového serveru: IBM Tivoli Identity Manager má tyto požadavky na databázový server: Tabulka 6. Požadavky databázového serveru Databázový Požadavky AIX server opravné sady, 5.3 opravy a úrovně údržby IBM DB2 Enterprise verze 9.1

14

Přehled o produktu

Opravná sada 4

Solaris 10

Windows Server 2003

Windows Server 2008

Red Hat SUSE Linux4.0 a Linux 5.0 verze 10.0

Tabulka 6. Požadavky databázového serveru (pokračování) Databázový Požadavky AIX server opravné sady, 5.3 opravy a úrovně údržby IBM DB2 Enterprise, verze 9.5

Solaris 10

Windows Server 2003

Windows Server 2008

Red Hat SUSE Linux4.0 a Linux 5.0 verze 10.0

Opravná sada 3b

Microsoft SQL Server 2005, Enterprise Edition Oracle 10g vydání 2 (verze 10.2.0.1) Oracle 11g

Poznámky: 1. IBM DB2 Enterprise, verze 9.5 není podporována na 32 bitových operačních systémech Linux nebo na libovolných operačních systémech Linux na hardwaru pSeries. 2. Produkt Tivoli Identity Manager musí být spuštěn na podporovaném operačním systému Windows, pokud se použije server Microsoft pro databázi produktu Tivoli Identity Manager. 3. Ovladač databáze 11.1.0.7 se požaduje pro databáze Oracle 10gR2 a Oracle 11g. Požadavky na adresářový server: IBM Tivoli Identity Manager má následující požadavky na adresářový server: Tabulka 7. Požadavky na adresářový server Adresářový server

Požadavky opravné sady, opravy a úrovně údržby

IBM Tivoli Directory Server, verze 6.1

Opravná sada 3 (nepovinné)

Server IBM Tivoli Directory Server, verze 6.2

Opravná sada 1

AIX 5.3

Solaris 10 Windows Red Hat Server 2003 Linux4.0 a 5.0

SUSE Linux verze 10.0

Sun Java System Directory Server Enterprise Edition 6.3

Přehled o produktu

15

Požadavky na integrátor adresáře: Volitelně můžete instalovat verzi 6.1.1 nebo verzi 7.0 produktu IBM Tivoli Directory Integrator pro použití s produktem IBM Tivoli Identity Manager. Pro adaptér UNIX® a Linux vyžaduje produkt IBM Tivoli Identity Manager: Verzi 6.1.1, opravnou sadu FP0006 nebo vyšší Verzi 7.0, opravnou verzi FP0001 nebo vyšší Produkt IBM Tivoli Directory Integrator se použije, aby byla umožněna komunikace mezi instalovanými adaptéry a produktem IBM Tivoli Identity Manager. Chcete-li získat další informace o adaptérech, prohlédněte IBM Tivoli Identity Manager Installation and Configuration Guide. Požadavky serveru sestav: Následující tabulka vypíše požadovanou verzi serveru Tivoli Common Reporting Server a všechny vhodné opravné sady nebo požadavky opravy APAR. Tabulka 8. Požadavky na použití Tivoli Reporting Server s produktem IBM Tivoli Identity Manager Server sestav

Požadavky opravné sady, opravy a úrovně údržby

Kumulativní oprava Další APAR

Tivoli Common Reporting Server, verze 1.2.0.1

Prozatimní oprava 02 opravné sady 2

Žádné

Žádné

Poslední opravy pro Tivoli Common Reporting Server můžete stáhnout z webového serveru centrálních oprav na http://www.ibm.com/support/fixcentral/ Požadavky na prohlížeč, související s připojením klientů: IBM Tivoli Identity Manager má pro připojení klientů určité požadavky na prohlížeč. Úloha návrhu formulářů IBM Tivoli Identity Manager používá aplet, vyžadující modul plug-in Java Sun Microsystems JRE verze 1.5 nebo vyšší. Jakmile je vybrána úloha návrhu formulářů, prohlížeč se pomocí modulu Java plug-in pokusí zavést aplet. Není-li v systému při výběru úlohy přítomné požadované prostředí JRE, prohlížeč vyzve uživatele k zadání správného modulu Java plug-in, jinak není schopen dokončit zobrazení položek v okně. Úloha návrhu formulářů je v rámci uživatelského rozhraní IBM Tivoli Identity Manager jedinou, která vyžaduje JRE společnosti Sun Microsystems. Poznámka: Prostředí JRE společnosti Sun Microsystems je požadováno pro úlohy návrhu formulářů, přestože je prohlížeč spuštěn místně na stejném systému jako IBM Tivoli Identity Manager. IBM Tivoli Identity Manager běží v prostředí WebSphere Application Server, které využívá jiné JRE. Prohlížeč musí mít zapnutu podporu souborů cookie, aby mohl navázat relaci s produktem IBM Tivoli Identity Manager. Poznámka: Nespouštějte dvě nebo více samostatných relací prohlížeče z jednoho klientského počítače. Tyto dvě relace jsou vedeny pod jedním ID relace, což působí problémy s daty. Následující tabulka uvádí prohlížeče a jejich verze, které jsou produktem IBM Tivoli Identity Manager podporovány. Podporované prohlížeče nejsou zahrnuty v instalaci produktu.

16

Přehled o produktu

Tabulka 9. Rozšíření prohlížeče Prohlížeč

Požadavky AIX opravné sady, 5.3 opravy a úrovně údržby

Microsoft Internet Explorer, verze 7.0

Žádné

Firefox, verze 3.0

Žádné

AIX Solaris verze 10 6.1

Windows Windows Red Hat Server Server Linux4.0 2003 2008 a 5.0

SUSE Linux verze 10.0

Podporované úrovně adaptérů IBM Tivoli Identity Manager podporuje použití adaptérů bez agentů i adaptérů založených na agentech. Instalační program IBM Tivoli Identity Manager vždy nainstaluje následující profily adaptérů: v Profil AIX (adaptér UNIX a Linux) v Profil Solaris (adaptér UNIX a Linux) v Profil HP-UX (adaptér UNIX a Linux) v Profil Linux (adaptér UNIX a Linux) v Profily LDAP (adaptér LDAP) Instalační program IBM Tivoli Identity Manager volitelně nainstaluje profily pro adaptér bez agenta pro adaptér IBM Tivoli Identity Manager LDAP a adaptér IBM Tivoli Identity Manager UNIX a Linux. Než začnete adaptér používat, je doporučena instalace nejnovějšího profilu adaptéru. Jestliže jste adaptéry neinstalovali během instalaceIBM Tivoli Identity Manager nebo pokud není adaptér nainstalován jako profil služby s IBM Tivoli Identity Manager, budete je muset nainstalovat. Adaptér LDAP podporuje adresář LDAP, využívající schéma RFC 2798, které umožňuje komunikaci mezi IBM Tivoli Identity Manager a systémy, na kterých běží adresářový server IBM IBM Tivoli Directory Server nebo Sun ONE. Publikace IBM Tivoli Identity Manager LDAP Adapter Installation Guide popisuje, jak konfigurovat adaptér LDAP. Následující tabulka uvádí systémy UNIX a Linux a jejich verze, podporované adaptérem UNIX a Linux. Tabulka 10. Předpoklady spuštění adaptéru UNIX a Linux Operační systém

Verze

AIX

AIX 5.1, AIX 5.2, AIX 5.3

HP-UX

HP-UX 11i Trusted, HP-UX 11i Non-Trusted

Red Hat Linux

Red Hat Enterprise Linux Advanced Server 3.0 Red Hat Enterprise Linux Advanced Server 4.0 Red Hat Enterprise Linux Enterprise Server 3.0 Red Hat Enterprise Linux Enterprise Server 4.0

Solaris

Solaris 9, Solaris 10

SUSE Linux

SLES 8, SLES 9 Přehled o produktu

17

Adaptéry jsou k dispozici na webové stránce IBM Passport Advantage: http://www.ibm.com/software/sw-lotus/services/cwepassport.nsf/wdocs/passporthome Instalační a konfigurační příručky pro adaptéry můžete vyhledat na webové stránce Informačního centra produktu Tivoli Identity Manager: http://publib.boulder.ibm.com/tividd/td/IdentityManager5.0.html

Instalační obrazy a opravné sady Instalační soubory a opravné sady IBM Tivoli Identity Manager lze získat z webové stránky IBM Passport Advantage případně jinak i jako disky CD nebo DVD, jak je dodává váš obchodní zástupce IBM. Webová stránka Passport Advantage poskytuje balíky, označované eAssembly, pro různé produkty IBM. Instalační a konfigurační příručka produktu IBM Tivoli Identity Manager poskytuje úplné instrukce pro instalaci a konfiguraci produktu IBM Tivoli Identity Manager a předpokládaných middlewarových produktů. Procedura, která je vhodná pro vaši organizaci, závisí na následujících podmínkách: v operační systém, použitý produktem IBM Tivoli Identity Manager v jazykové požadavky pro použití produktu v typ instalace, kterou budete provádět: eAssembly pro produkt a všechny požadavky Instalační program IBM Tivoli Identity Manager vám umožňuje nainstalovat IBM Tivoli Identity Manager, předpokládané produkty a požadované opravné sady, jak popisuje IBM Tivoli Identity Manager Installation and Configuration Guide. Tento typ instalace je doporučen, pokud vaše organizace aktuálně nepoužívá jeden nebo více produktů, které IBM Tivoli Identity Manager vyžaduje. eAssembly pro ruční instalaci IBM Tivoli Identity Manager můžete nainstalovat odděleně od předpokladů a samostatně můžete nainstalovat jakékoli předpokládané produkty, které nejsou dosud nainstalovány. Dále musíte ověřit, že je každý předpokládaný produkt provozován na požadované úrovni sady oprav.

Známá omezení, problémy a jejich řešení IBM Tivoli Identity Manager má tato známá omezení, problémy a řešení. Když jsou zjištěny a analyzovány omezení a problémy, tým softwarové podpory IBM aktualizuje online znalostní bázi. Vyhledáním znalostní báze můžete nalézt náhradní řešení nebo jiné řešení problémů, se kterými máte zkušenost. Následující odkaz spustí upravený dotaz znalostní báze živé Podpory pro položky specifické pro verzi 5.0: Tivoli Identity Manager Technické poznámky verze 5.0 Pokud chcete vytvořit vlastní dotaz, přejděte na stránku Rozšířeného vyhledávání na webovém serveru softwarové podpory IBM.

18

Přehled o produktu

Instalace produktu, aktualizace a omezení odebrání, problémy a náhradní řešení Během instalace, upgradu nebo odstraňování instalace IBM Tivoli Identity Manager Server můžete narazit na následující problémy a použít tato řešení: v Problém: Symbol dolaru ($) má speciální význam v základních strukturách instalačního programu použitých operačními platformami IBM Tivoli Identity Manager Server anon-Windows. Základní struktura instalačního programu může provést proměnnou substituci hodnoty. Například, na platformách podobných UNIX se symbol $$ nahradí ID procesu. Instalátory, založené na ISMP (InstallShield Multiplatform), nahradí znaky $$ jedním znakem $. Náhradní řešení: Vyvarujte se užívání znaku $ jako hodnoty v libovolném poli na instalační nebo konfigurační stránce serveru IBM Tivoli Identity Manager Server. v Problém: Pokud odinstalujete a ihned znovu nainstalujete IBM Tivoli Identity Manager Server, výkon grafického uživatelského rozhraní bude značně degradován a může se stát i nepoužitelným. Poklesnout může i výkon serveru WebSphere Application Server. Přestože příčinou není stroj na rozesílání zpráv, symptomem je zpráva, podobná následující: CWSIT0019E: Na sběrnici itim_bus není dostupný žádný vhodný stroj na posílání zpráv

Řešení: Odeberte soubory transakčního protokolu WebSphere Application Server. V adresáři WAS_PROFILE_HOME/tranlog/název_buňky/název_uzlu/název_serveru/ transaction/tranlog/ jsou soubory nazvány log1 a log2. Dále v adresáři WAS_PROFILE_HOME/tranlog/název_buňky/název_uzlu/název_serveru/ transaction/partnerlog/ jsou soubory log1 a log2. Příčina problému je, že po reinstalaci se nemusí správně dokončit obnova transakcí. Příčinou je problém v transakčním protokolu. Stroj na rozesílání zpráv zjistí tuto podmínku jako identifikátory v transakčním protokolu, které zůstanou z předchozí instalace IBM Tivoli Identity Manager Server a liší se od aktuální databáze. v Problém: Při migraci skupin uživatelů z verze 4.6 produktu IBM Tivoli Identity Manager Express je asistent střediska podpory v produktu IBM Tivoli Identity Manager verze 5 schopen změnit roli člena skupiny, ne však účet IBM Tivoli Identity Manager. Řešení: V produktu IBM Tivoli Identity Manager Express verze 4.6 nebyly skupiny a role odděleny. Uživatel střediska podpory mohl přiřadit libovolného uživatele jakékoli skupině změnou uživatelského osobního profilu, protože se skupinami a rolemi se zacházelo stejně. Ve verzi 4.6 by však uživatel střediska podpory neměl aktualizovat nebo požadovat účet IBM Tivoli Identity Manager. K provedení změny oprávnění vytvořte novou položku řízení přístupu, která je směrována na účty IBM Tivoli Identity Manager a tato oprávnění uděluje. v Problém: Po přechodu z IBM Tivoli Identity Manager Express verze 4.6 na IBM Tivoli Identity Manager verze 5, potřebuje správce spravovat své podřízené a klepne na Správa uživatelů, získá tyto výsledky: – Zobrazí se všichni uživatelé IBM Tivoli Identity Manager. – Podrobnosti podřízených byly pouze pro čtení. Řešení: Okamžitě po přechodu z verze 4.6 na verzi 5 nastavte jako administrátor zobrazení a položky řízení přístupu pro správce, což povede ke správným výsledkům: zobrazení IBM Tivoli Identity Manager Express verze 4.6 poskytovala nezávislá nastavení zobrazení pro spravované úlohy. Tyto nezávislé úlohy již v produktu IBM Tivoli Identity Manager verze 5 neexistují. Namísto toho používají správci stejné úlohy jako asistenti střediska podpory. V tomto scénáři již úloha Změna profilu podřízeného neexistuje. Po aktualizaci musíte povolit Změnu uživatele v zobrazení správce. To se použije pro ostatní úlohy specifického správce z produktu IBM Tivoli Identity Manager Express, verze 4.6, jako je vyžadování, změna nebo odstranění účtu.

Přehled o produktu

19

položky řízení přístupu Položky řízení přístupu *default* v produktu IBM Tivoli Identity Manager Express verze 4.6 umožňovaly správcům vyhledávat všechny uživatele, ale logika úloh správců, například Změny profilu podřízeného, zobrazovala pouze správcovy podřízené. Protože tyto speciální úlohy již v produktu IBM Tivoli Identity Manager verze 5 neexistují, musíte nastavit položky řízení přístupu, aby správci mohli vyhledávat pouze své podřízené. v Problém: Po přechodu z IBM Tivoli Identity Manager Express verze 4.6 na IBM Tivoli Identity Manager verze 5, je pro uživatele, vytvořené na verzi 4.6, v uživatelském profilu na stránce Osobních informací ve verzi 5 zobrazováno pole ID pro přihlášení ke správci identit. Pro výchozího administrátora systému, který je systémem generovanou osobou, není atribut ID pro přihlášení ke správci identit zobrazen. Vytvoření nového uživatele na verzi 5, se pole ID pro přihlášení ke správci identit také nezobrazuje. Řešení: Přechod na vyšší verzi zablokuje výchozí zásadu identit pro službu ITIM, která je zodpovědná za naplnění atributu erpersonuid (ID pro přihlášení ke správci identit), když je vytvářen uživatel. Chcete-li skrýt pole pro uživatele, vytvořené dříve na verzi 4.6, použijte návrh formulářů, pomocí kterého na formuláři osoby pole ID pro přihlášení ke správci identit skryjete. Chcete-li toto pole zapnout pro všechny dřívější i současné uživatele, povolte zásadu identity IBM Tivoli Identity Manager Express verze 4.6, která kopíruje ID uživatele do tohoto atributu. Pole ID pro přihlášení ke správci identit se používalo v produktu IBM Tivoli Identity Manager Express verze 4.6, protože účet IBM Tivoli Identity Manager Express byl skrytý a uživatelé potřebovali pole, které zobrazovalo jejich uživatelské ID. Po přechodu na verzi 5, již účty IBM Tivoli Identity Manager nejsou skryté, takže toto pole není potřeba. Uživatelé mohou vyhledat své uživatelské ID v účtech IBM Tivoli Identity Manager. Zásada identit však nemusí fungovat, pokud migrujete implementaci z IBM Tivoli Identity Manager Express verze 4.6 s jedním serverem do prostředí klastru na verzi 5, protože prostředí klastru používá mazipamě, bránící kolizím ID, které by měly být jedinečné pro každého člena klastru. v Problém: Objevují se konfigurační chyby middleware, pokud používáte InstallShield MultiPlatform k instalaci IBM Tivoli Identity Manager na RedHat Enterprise Linux verze 5.0, který poskytuje 64bitový JVM. Například se může vyskytnou chyba: Instalátor nemůže být spuštěn v grafickém režimu. Zkuste instalační program spustit s příznakem -console nebo -silent.

Dále nemusí fungovat některé programy v zobrazení X. Řešení: Během instalace na RedHat Enterprise Linux verze 5.0, konfigurační nástroj middleware pro InstallShield MultiPlatform vyžaduje 32bitový JVM, včetně 32bitové verze libXmu.so.6, který musí být v adresáři /usr/lib. Tyto 32bitové knihovny nejsou standardně instalovány. Před instalací IBM Tivoli Identity Manager si opatřete následující soubory a uložte je do adresáře /usr/lib: – 64bitové systémy zLinux libXmu-1.0.2-5.s390.rpm – 64bitové systémy X86 libXmu-1.0.2-5.i386.rpm v Problém: Když aktualizujete verzi 5.0 IBM Tivoli Identity Manager, můžete provádět úlohy podobné tomuto scénáři: 1. Vytvořit novou organizaci a v ní nové uživatele. 2. Vytvořit hostovanou službu ITIM a přiřadit alespoň jednomu nově vytvořenému uživateli účet na službě. Řekněme, že nově vytvořený účet uživatele má ID uživatele ″helpdeskuser″. 3. Přidat uživatele helpdeskuser do skupiny asistentů střediska podpory. 4. Odhlásit se a přihlásit se jako helpdeskuser.

20

Přehled o produktu

5. Přejít na správu uživatelů v portfoliu a vyhledat uživatele. Přestože uživatelé již existují, vyhledání dle členů střediska podpory nezobrazí žádné uživatele. Výchozí vyhledávací stránka nevyhledá automaticky přihlášenou organizaci uživatele. Řešení: K výběru nové organizace a provedení hledání použijte funkci pokročilé vyhledávání. Uživatelé již budou nalezeni a vypsáni v seznamu. v Problém: Po přechodu z předchozí verze Tivoli Identity Manager mohou nastat chyby při pokusu o zobrazení požadavků, vytvořených před přechodem. Podobné chyby také nastávají při zobrazování požadavků, pokud jste vytvořili stejně pojmenované služby a pak jste je odstranili. Řešení: Čeká se na opravu, metoda ve vyhledání služby vrací položky z koše. Toto opravíte odebráním všech položek služeb z koše. Chcete-li odebrat záznam služby, postupujte takto: 1. Pomocí prohlížeče ldap se připojte na adresářový server. 2. Rozbalte položky pod ″ou=recycleBin, ou=itim, ″, kde hodnota je aktuální DN. 3. Pod ″ou=recycleBin, ou=itim, ″ odstraňte položku, odpovídající atributu ″objectClass=erServiceItem″. v Problém: Problémy mohou vyvstat z nesprávné konfigurace ovladače JDBC během upgradu IBM Tivoli Identity Manager. Během upgradu se instalace IBM Tivoli Identity Manager zeptá na umístění ovladače JDBC pro IBM Tivoli Identity Manager, který jej využívá pro připojení do databáze. Pokud administrátor neodkáže na ovladač Oracle 10.x JDBC (ojdbc14.jar), mohou se vyskytnout problémy, když uživatele zkusí urovnat služby následující po aktulizaci Oracle z verze 9.x na 10.x. Chyba vyvolá zprávu podobnou této: CTGIMU552E Došlo k chybě při komunikaci se serverem.

Řešení: IBM Tivoli Identity Manager vyžaduje, aby ovladač JDBC odpovídal úrovni databázového serveru, proto je nutné provést aktualizaci na ovladač Oracle 10.x. Nahrate soubor ojdbc14.jar v ITIM_HOME/lib souborem JAR, dodaným instalací Oracle verze 10.x a poté restartujte WebSphere Application Server. Úroveň ovladače JDBC, kterou WebSphere Application Server používá, je vypsána do protokolu SystemOut.log během spouštění serveru. Následuje příklad záznamu protokolu ze SystemOut.log pro ovladač JDBC Oracle 9.x, což je nevhodný ovladač: [12/6/07 10:32:02:369 EST] 00000156 DSConfigurati I DSRA8205I: JDBC driver name : Oracle JDBC driver [12/6/07 10:32:02:372 EST] 00000156 DSConfigurati I DSRA8206I: JDBC driver version : 9.2.0.7.0

Toto je příklad záznamu protokolu v SystemOut.log pro ovladač JDBC Oracle 10.x, což je správný ovladač: [12/6/07 10:54:41:913 EST] 00000024 InternalOracl I DSRA8205I: JDBC driver name : Oracle JDBC driver [12/6/07 10:54:41:918 EST] 00000024 InternalOracl I DSRA8206I: JDBC driver version : 10.2.0.1.0

v Problém: Jestliže v serveru WebSphere Application Server existují dva nebo více uzlů, obsahujících soubory node.xml, mohou nastat chyby, když instalační program IBM Tivoli Identity Manager kontroluje v abecedním pořadí existenci adresáře NODE_NAME jako uzlu, který by měl WebSphere Application Server použít jako cílový server pro implementaci IBM Tivoli Identity Manager. Například se může vyskytnout chyba podobná této: Název serveru není platný

Toto je kritické selhání. Přestože instalační proces bude pokračovat, instalace později selže. Na serveru WebSphere Application Server je soubor node.xml v adresáři: Přehled o produktu

21

WAS_HOME/config/cells/CELL_NAME/nodes/ NODE_NAME/servers/SERVER_NAME/

kde: WAS_HOME Instalační adresář, například /opt/IBM/WebSphere/AppServer/profiles/AppSrv01. CELL_NAME Název buňky, například tivmvs12Node01Cell. NODE_NAME Název uzlu, například tivmvs12Node01. SERVER_NAME Název serveru, například server1. Řešení: Provete tyto úkony: 1. Zazálohujte si posloupnost vyplněním instalačních panelů až po předchozí panel. 2. Dočasně přejmenujte soubory node.xml, které existují ve špatných uzlech, aby mohl instalační program vyhledat správný soubor node.xml. 3. Pokračujte instalačními panely vpřed, přičemž přejdete chybovou zprávu ″Název serveru je neplatný″, aby mohla instalace pokračovat. 4. Jakmile je instalace dokončena, přejmenujte soubory zpět na původní názvy. Přejmenování souboru node.xml provete například takto: – systémy Windows: rename node.xml node.xml.original

– systémy UNIX/Linux: mv node.xml node.xml.original

v Problém: Při spouštění ruční odinstalace IBM Tivoli Identity Manager, verze 5.0 z adresáře ITIM_HOME\itim\itimUninstallerData, objeví se zprávy Příprava instalace BEZOBSLUŽNÉHO režimu... a Instalace dokončena. Tyto zprávy nemají oznamovat správnou funkci odinstalačního programu. Omezení: Toto je známé omezení platformy InstallAnywhere, která je použita k upravení ruční odinstalace IBM Tivoli Identity Manager. v Problém: Po aktualizaci produktu IBM Tivoli Identity Manager, verze 4.6 a zobrazení žádostí v konzoli Identity Manager se vydá toto varování v protokolu trasování: Nelze analyzovat hodnotu atributu ’erworkflow’ pro žádosti zobrazení -- pomocí výchozího dotazu. Tato zpráva se vyskytne, protože formátování předvoleb žádostí o zobrazení uživatelů bylo změněno mezi vydáními. Tato položka trasování označuje, že předvolby nemohou být analyzovány, a je nahrazena výchozím dotazem. Omezení: Toto je jednorázový výskyt každého uživatele, když používají funkci žádostí o zobrazení po aktualizaci. Zprávu lze bezpečně ignorovat. Uživatelské preference jsou aktualizovány pomocí výchozího dotazu jako výchozí bod. v Problém: Hesla se mohou zobrazit jasně v souboru s instalačním protokolem itim_install.stderr. Omezení: Toto je jednorázový soubor s instalačním protokolem. Po úspěšné instalaci může být protokol odstraněn. v Problém: Skriptové soubory changeCipher a startIncrementalSynchronizerCMD_WAS nefungují správně. Náhradní řešení: Pokud chcete použít skripty changeCipher.sh, changeCipher.bat, startIncrementalSynchronizerCMD_WAS.sh a startIncrementalSynchronizerCMD_WAS.bat, musíte nejprve nastavit proměnné ITIM_HOME a WAS_HOME ve skriptech.

22

Přehled o produktu

Omezení, problémy a řešení v rámci IBM Tivoli Identity Manager Server V rámci produktu IBM Tivoli Identity Manager Server se vyskytují následující omezení, problémy a jejich řešení: v Problém: Opravy APAR, které byly opraveny v IBM Tivoli Identity Manager, verze 4.6 a v IBM Tivoli Identity Manager Express, verze 4.6 jsou stále nevyřízené pro IBM Tivoli Identity Manager, verze 5.0. Omezení: Sestavy APAR, které ještě nejsou ve verzi 5.0 dořešeny: IY86885, IY86991, IY88093, IY91022, IY91040, IY91106, IY91896, IY92097, IY92176, IY92227, IY92688, IY92841, IY92851, IY93514, IY94096, IY94415, IY94425, IY94471, IY94616, IY94708, IY94774, IY94978, IY94980, IY94986, IY95478, IY95684, IY95834, IY96118, IY96257, IY96616, IY96967, IY97292, IY97340, IY97662, IY97665, IY97769, IY98312, IY98464, IY98612, IY99084, IY99175, IY99208, IY99295, IY99300, IY99416, IY99624, IY99659, IY99660, IY99813, IY99826, IZ00148, IZ00153, IZ00195, IZ00197, IZ00311, IZ00318, IZ00812, IZ00815, IZ01021, IZ01059, IZ01074, IZ01107, IZ01112, IZ01125, IZ01187, IZ01588, IZ01602, IZ01654, IZ01763, IZ01768, IZ01799, IZ01890, IZ01953, IZ02057, IZ02355, IZ02621, IZ02744, IZ03822, IZ03983, IZ04263, IZ04631, IZ47646, IZ04801, IZ05063, IZ05103, IZ05313, IZ05732, IZ05951, IZ06712, IZ07364, IZ07571, IZ08011, IZ08157, IZ08190, IZ08287, IZ08459 v Problém: Jestliže použijete opravnou sadu IBM Tivoli Identity Manager Server pro LdapUpgrade, aplikace opravné sady selže s chybou 80, pokud byl do IBM Tivoli Identity Manager Server integrován TAM-ESSO Tivoli Access Manager for Enterprise Single Sign-On Provisioning Adapter. Proces integrace TAM-ESSO zavádí nové atributy do tříd erAccountItem a erServiceItem systémového objektu IBM Tivoli Identity Manager Server. LdapUpgrade selže se zprávou Chyba v zavedení schématu - LDAP: kód chyby 80-Ostatní. Výjimka NamingException by měla být protokolována do souboru ITIM_HOME/install_logs/ldapUpgrade.stdout. Omezení: Chybu vyřešíte provedením těchto ručních úkonů: 1. Při výskytu chybové zprávy o zavedení schématu klepněte na tlačítko OK. 2. Po dokončení použití opravné sady aktualizujte soubor ITIM_HOME/config/ldap/erschema.dsml úpravou tříd objektu IBM Tivoli Identity Manager Server erAccountItem a erServiceItem. a. Za identifikátor-objektu1.3.6.1.4.1.6054.1.2.2 identifikátor-objektu pro položku erAccountItem, přidejte tyto záznamy:
ref="vgoAdminID" required="false" /> ref="vgoAdminPWD" required="false" /> ref="vgoApplicationDescription" required="false" /> ref="vgoApplicationID" required="false" /> ref="vgoApplicationPWD" required="false" /> ref="vgoCredAttribute1" required="false" /> ref="vgoCredAttribute2" required="false" /> ref="vgoSSOUserID" required="false" />

b. Za identifikátor-objektu1.3.6.1.4.1.6054.1.2.6identifikátor-objektu pro položku erServiceItem, přidejte tyto záznamy:
ref="vgoApplicationIDMeta" required="false" /> ref="vgoSSOUserIDMeta" required="false" /> ref="vgoApplicationDescriptionMeta" required="false"/> ref="vgoCredAttribute1Meta" required="false" /> ref="vgoCredAttribute2Meta" required="false" /> ref="vgoApplicationUserIDMeta" required="false" />

c. Spuste ITIM_HOME/bin/ldapUpgrade. v Problém: Návrh formulářů poskytuje možnost upravit šablonu formuláře osoby. Během relace úprav můžete pod kartou Osobní nahradit textové pole iniciály, rozevíracím modulem widget pro heslo. Pole pak bude obsahovat iniciály osoby, které budou z důvodu Přehled o produktu

23

změny modulu widget šifrované. Po vytvoření instance osoby se však neobjeví správná chybová zpráva a pak se do textového pole vloží nesprávné iniciály. Omezení: Aby se zabránilo problémům se softwarem, blokujícím automaticky otevíraná okna, nespouští se panel změny hesla v novém okně. v Problém: Během operace změny nebo úpravy může modul widget hesla použitý na stránkách s vlastním formulářem způsobit zobrazení prázdného pole hesla, spíše než posloupnost hvězdiček (***). Jestliže je modul widget součástí první karty poznámkového bloku nebo prvním krokem průvodce, bude pole prázdné. Omezení: Použití prázdné hodnoty brání, aby uživatel zjistil hodnotu hesla zobrazením zdrojového souboru stránky. v Problém: Jak definovat výchozí hodnoty atributů, které se nezobrazují na formuláři účtu, pomocí modulu widget formuláře není popsáno. Řešení: Chcete-li použít modul widget formuláře k definování výchozích hodnot účtu, pokud nejsou atributy na formuláři, postupujte takto: 1. Přidejte atribut na formulář účtu, výběrem úlohy Konfigurace systému > Návrh formulářů. 2. Vyberte pro atribut modul widget a formulář uložte. 3. Definici výchozí hodnoty provete výběrem úlohy Správa služeb > Spravovat předvolby. Pro definování výchozí hodnoty můžete použít modul widget, nakonfigurovaný na formuláři pro daný atribut. 4. Odeberte atribut z formuláře účtu, pomocí úlohy Konfigurace systému > Návrh formulářů a formulář uložte. v Problém: Je-li v hesle na operačním systému Windows použit středník, dochází k chybám. Řešení: Při definování hesla nepoužívejte středník. v Problém: Spustíte-li aktivitu jako uživatel a během doby, kdy ještě není aktivita dokončena, odstraníte službu, pro kterou aktivita platí, zůstane aktivita v seznamu akitvit uživatele a při pokusu o zobrazení cílové aktivity se objeví chybová zpráva. Omezení: Po odstranění služby nedojde ihned vyčištění nevyřízených aktivit pro spouštění sledů prací, které se na službu odkazují. Pro běžící sledy prací není tato informace snadno zjistitelná (pokud vůbec je). Sled prací běží až do konce, nebo do výskytu chyby. Pokud je například sled prací přiřazen k vytvoření účtu pro danou službu a je požadován účet na této službě, spustí se tento sled prací. Je-li během provádění služba odstraněna, sled prací pro požadavek účtu se provádí dál, včetně jakýchkoli požadovaných schvalování a dalších operací. Když se sled prací pokusí vytvořit účet na odstraněné službě, sled prací selže, protože služba již neexistuje. v Problém: Ve dvojici klíč=hodnota, použité v souboru vlastností, například CustomLabels.properties, musíte uvést celý název klíče malými písmeny. Jinak dojde k chybě. Omezení: Protože metoda, načítající třídu schématu pro atribut vrací pouze malá písmena, musíte v jakémkoli souboru vlastností uvádět název klíče vždy malými písmeny. v Problém: Pokud pozastavíte účet a opět jej obnovíte, e-mailové oznámení o obnovení účtu neobsahuje heslo účtu. Toto nastává v případech, kdy osoba, spouštějící obnovu je vlastníkem účtu nebo pokud nebylo heslo jako součást operace obnovy změněno (účet je obnoven se stejným heslem jako měl dříve). Omezení: Toto chování upozornění pracuje tak, jak bylo navrženo. Osoba, která je vlastníkem obnoveného účtu a heslo si nezměnila, stále zná platné heslo. v Problém: Použití souborů LDAP Data Interchange Format (LDIF) pro import zálohovaných informací adresáře může způsobit problémy, pokud není systém zastaven nebo pokud nejsou sledy prací úplné.

24

Přehled o produktu

v

v

v

v

Řešení: Používáte-li soubory LDIF k importu zálohovaných informací adresáře, přesvědčte se, že byly zastaveny aplikační servery. Pokud import LDIF upravuje sledy prací nebo operace, před spuštěním importu se přesvědčte, že jsou všechny sledy prací úplné. Další informace o importu souborů LDIF vyhledejte v dokumentaci vašeho adresářového serveru. Problém: Pokud vytvoříte službu a přidáte atribut, může již existovat atribut se stejným názvem, který však ještě nemá uložena žádná uživatelská data. Jestliže přidáte duplicitní atribut se stejným názvem do jiného typu služby, změna atributu s duplicitním názvem ovlivní data v jiných profilech služby. Například přidáním jednohodnotového atributu v případě, že dříve existující atribut je vícehodnotový, dojde ke změně typu atributu na jednohodnotový ve všech profilech služby, ve kterých se tento atribut vyskytuje. Neexistují-li žádná data, nebude ani vydána žádná varovná zpráva. Řešení: Před vytvořením atributu pro službu se přesvědčte, že nový atribut neexistuje v jiných profilech služby. Problém: Při konfiguraci parametru nároku pro zásadu zajišování, je-li hodnota atributu definována jako typ JavaScript, ale je zadán pouze jediný řetězec, například moje heslo, bude řetězec automaticky převeden na typ Constant. Omezení: Jediný řetězec typu JavaScript je automaticky převeden na typ Constant, což platí pro atribut parametru nároku zásady zajišování. Problém: Při výběru objektů pro částečný export, systém automaticky přidá do exportu i ostatní objekty, na kterých vybrané objekty závisí. Pokud pak vybraný objekt odeberete, tak objekty, na kterých vybraný objekt závisí, nebudou automaticky odebrány ze seznamu pro export ani je nelze ručně odebrat. Řešení: Bu pokračujte v exportu seznamu a ignorujte objekty, které jsou navíc, nebo seznam uložte, pak objekt odstraňte a vytvořte nový částečný seznam pro export, bez objektu, který jste chtěli odstranit. Pak provete export. Problém: Jestliže má uživatel účet IBM Tivoli Identity Manager ve více IBM Tivoli Identity Manager skupinách, může e-mailové upozornění, které uživatel obdrží, obsahovat odkazy jak na administrátorské, tak na samoobslužné uživatelské rozhraní. Řešení: Použijte jeden z odkazů. Tato funkce pracuje, jak byla navržena. Dva odkazy jsou generovány, protože uživatel je členem ve dvou různých typech skupin IBM Tivoli Identity Manager, definovaných pomocí uživatelských účtů IBM Tivoli Identity Manager.

v Problém: Za některých okolností se po klepnutí na Test připojení pro službu dodání identity AD OrganizationalPerson, pokud jste zadali nesprávné informace, zobrazí chybová zpráva bez zbylého obsahu stránky. Řešení: Aktualizujte stránku v prohlížeči nebo úlohu ukončete a spuste ji znovu se správnými informacemi. v Problém: Konfigurace připojení SSL mezi produktem IBM Tivoli Identity Manager Server a adaptéry vyžaduje pro WebSphere Application Server definici následujících dvou parametrů, jako parametrů JVM. – javax.net.ssl.trustStore – javax.net.ssl.trustStorePassword Pokud požádáte o seznam procesů příkazem ps -ef, je ve výsledném výstupu obsaženo heslo pro Java Key Store. Řešení: Popište tyto parametry do souboru a soubor uvete pomocí volby -Xoptionsfile. Postupujte takto: 1. Vytvořte soubor, pak na jednom řádku popište tyto parametry: -Djavax.net.ssl.trustStore=/usr/IBM/itim/itim50.jks -Djavax.net.ssl.trustStorePassword=password

2. Jako parametr pro JVM uvete název souboru s volbou -Xoptionsfile. Přehled o produktu

25

a. Otevřete konzolu WebSphere Application Server Administrative Console. b. Vyberte Server → Aplikační server → název serveru → Definice procesu → Java Virtual Machine. c. Přidejte volbu -Xoptionsfile: -Xoptionsfile=/usr/IBM/itim/jksProps.txt

d. Restartujte WebSphere Application Server. v Problém: Změna filtru pravidla životního cyklu se při ručním spuštění neprojeví okamžitě. Operace s pravidlem životního cyklu mohou k dokončení potřebovat dlouhou dobu, aby zpracovaly úplnou sadu výsledků, dodaných filtrem pravidla životního cyklu, primárně díky ručním aktivitám sledu prací, přiřazeným k operacím. Další informace: Pravidla životního cyklu, která jsou přiřazena k profilům nebo kategoriím, mají provádění závislé na vlastnosti enrole.profile.timeout, která je definována v minutách, v souboru enRole.properties. I když je aktuální filtr pravidla životního cyklu upraven a spuštěn ručně, předchozí filtr spotřebuje maximální dobu, než uplyne interval obnovy, uvedený v minutách ve vlastnosti enrole.profile.timeout. Po uplynutí této doby je během provádění životního cyklu použita upravená hodnota filtru. v Problém: Vlastníci zablokovaných účtů IBM Tivoli Identity Manager stále přijímají e-mailová upozornění, která jsou jim zasílána jakožto účastníkům informačních nebo schvalovacích požadavků. Omezení: Toto je aktuální omezení. v Problém: Máte-li v produktu IBM Tivoli Identity Manager položky řízení přístupu pro entitu výchozí osoby a vlastní osoby (odvozenou z inetOrgPerson), pak položka řízení přístupu pro entitu výchozí osoby také ovlivní entitu vlastní osoby. Například, vlastní osobní entita, která je definována jako customPerson, se zdědí od inetOrgPerson. Jakékoli položky řízení přístupu, které platí pro entitu inetOrgPerson, platí také pro entitu customPerson, současně s položkami řízení přístupu, definovanámi pro entitu customPerson. Poznámka: Chování položek řízení přístupu se změnilo v produktu IBM Tivoli Identity Manager verze 4.6, aby se vynutila dědičnost. Položky řízení přístupu, definované třídu objectclass, neplatí pouze pro entity objectclass, ale také pro entity, patřící ke třídě objectclass, které zdědily tuto třídu objectclass, a už přímo nebo nepřímo. Řešení: Definujte položku řízení přístupu exkluzivně pro inetOrgPerson, aby platila pouze pro entitu výchozí osoby. Nastavte tento filtr cílů pro položku řízení přístupu: (!(objectclass=customPerson))

v Problém: chcete-li umožnit některým uživatelům měnit uživatelské role, mohli jste nakonfigurovat položky řízení přístupu pro objekty osoby a vlastní osoby, s přístupem pro čtení i zápis na erRoles (a také operace vyhledání/úprav). Další položka řízení přístupu by uživatelům umožnila vyhledávat organizační role. Když se však uživatel pokusí upravit atribut erRole, IBM Tivoli Identity Manager tuto úpravu nemusí povolit. Řešení: V případě organizační role vytvořte další položku řízení přístupu, která udělí uživatelům práva k úpravám. Chcete-li přiřadit organizační roli k osobě nebo odebrat osobu z organizační role, definujte vhodné položky řízení přístupu, které udělí uživateli následující oprávnění: – Oprávnění k zápisu atributu pro atribut erRoles osoby, která má být upravena. – Oprávnění k operaci úpravy pro osobu, která má být upravena. – Oprávnění k operaci úpravy pro organizační roli, která má být odebrána nebo přidána k osobě. v Problém: Chcete-li vytvořit roli pro vlastníka služby, musíte změnit pole Vlastník kategorie na formuláři služby, na statickou organizační roli. Není však doporučeno měnit

26

Přehled o produktu

typ vlastníka (z osoby na statickou organizační roli a opačně) profilu služby, jestliže byla pro tento profil definována jedna nebo více instancí služeb. Řešení: Jestliže potřebujete uvést statickou organizační roli na formuláři služby pro profil, který již má existující služby, odeberte vlastníka služby ze všech služeb profilu. Chcete-li například uvést statickou organizační roli pro službu WinLocal, musíte odebrat všechny vlastníky služby ze všech služeb Winlocal. v Problém: Při použití návrhu formulářů ke konfiguraci data na formuláři, můžete nakonfigurovat atribut a zkontrolovat, zda je hodnota zobrazena správně, dokud není v LDAP hodnota nastavena na null. Řešení: Typ DateInput umožňuje uživatelům vybrat výchozí nebo alternativní datum. Výchozí typ vstupních dat umožňuje uživateli zadat, že hodnota atributu nikdy nevyprší, zvolením ″Nikdy″ v administrativní konzoli nebo ″Nezvoleno žádné datum″ v samoobslužné konzoli. Alternativní typ vstupu data neumožňuje uživateli uvést, že hodnota platnosti atributu nikdy neexpiruje a měl by se používat pro případy, kdy hodnota atributu musí někdy expirovat. V případě výchozího data se nulová nebo prázdná hodnota atributu interpretuje jako atribut ″nikdy nevyprší″ a je zobrazena na administrativní konzoli se zvolením volby ″Nikdy″ a na samoobslužné konzoli se zvolenou volbou ″Není zvoleno žádné datum″. v Problém: Chcete-li zobrazit náhled zásady zajišování, velikost seznamu zobrazení ovlivněných účtů je omezena kombinací dvou vlastností v souboru ui.properties: enrole.ui.pageSize a enrole.ui.pageLinkMax. Limit velikosti seznamu účtů je určen hodnotou vlastnosti enrole.ui.pageSize, násobené hodnotou vlastnosti enrole.ui.pageLinkMax, plus 1 (jedna). Standardně je například enrole.ui.pageSize=50 a enrole.ui.pageLinkMax=10, pak maximální velikost seznamu ovlivněných účtů se spočte takto: 50 x 10 + 1 = 501

Řešení: Máte-li velký počet ovlivněných účtů, které chcete zobrazit jako náhled změny zásady zajišování, zvyšte vhodně tyto dvě vlastnosti. Začněte zvyšovat pouze hodnotu enrole.ui.pageLinkMax, protože zvyšování hodnoty enrole.ui.pageSize ovlivní i jiné části uživatelského rozhraní IBM Tivoli Identity Manager. v Problém: Náhled zásady zajišování skončí vypršením časového limitu, pokud je souhrnná stránka náhledu nečinná déle než 10 minut po dokončení vyhodnocení nebo pokud se vzdálíte mimo souhrnnou stránku náhledu na déle než 10 minut. Jakmile dojde k vypršení časového limitu, není možné ze souhrnné stránky získat podrobnosti. Po vypršení časového limitu můžete na stránce souhrnu stisknout pouze Zavřít. Řešení: Aby nedošlo k vypršení časového limitu, vyhněte se nečinnosti nebo přechodu mimo souhrnnou stránku náhledu na dobu delší než 10 minut. Jestliže se problém vyskytne, zadejte požadavek na náhled znovu. v Problém: Jestliže je definice přístupu pro skupinu na službě odkazována zásadou recertifikace a definice přístupu není pro skupinu definována, nebude zásada recertifikace úplně aktualizována odebráním definice přístupu. Cíl zásady recertifikace bude vypsán v uživatelském rozhraní jako null nebo Žádný, z důvodu nesprávné aktualizace zásady recertifikace pro odebrání přístupu. Ačkoli uživatelské rozhraní zásady recertifikace bude zobrazovat cíl jako Žádný, spuštění zásady recertifikace bude pokračovat v recertifikaci účtů, které využívají skupinu, pro niž byl definován přístup. Řešení: Pomocí uživatelského rozhraní opravte zásadu, která se odkazuje na definice přístupů, které mají být odstraněny: 1. Nejprve ze zásady recertifikace odeberte přístup, který má být odstraněn. Když je definice přístupu odstraněna před odebráním cíle ze zásady recertifikace, stránky zásad recertifikace se mohou použít k náhradnímu řešení problému. 2. Jakmile otevřete zásadu recertifikace v režimu úprav, přejděte na kartu Cíl přístupu a odeberte cíl, uvedený jako Žádný. Přehled o produktu

27

v

v

v

v

3. Zásadu recertifikace uložte, aby byla správně aktualizována. Jestliže jediný cíl zásady recertifikace je Žádný, můžete celou zásadu recertifikace odstranit, protože není využívána žádnými definicemi přístupů. Podobný problém může nastat, pokud upravíte definici přístupu, kde zrušíte označení Zobrazit v přístupovém seznamu. Není-li tato volba v definici přístupu označena, pak zásada recertifikace, která se odkazuje na tuto definici přístupu, nebude vyhledatelná podle názvu přístupu. Problém: Při správě identit se neobjeví žádná výchozí operace pro objekt osoby na úrovni entity. Operace se na úrovni typu entity nezobrazují. Pokud se však změní, budou operace nadále indikovat, že se jedná o systémem definované operace. Omezení: Toto je skutečné omezení. Dle návrhu nejsou operace, definované na úrovni typu entity zobrazeny, je-li vybrána úroveň entity. Operace systémem definované entity označují, že se jedná o systémem definované i poté, co uživatel operaci upravil. Problém: Když konfigurujete IBM Tivoli Identity Manager Integration for Maximo Service Request Manager, verze 7.1, vydá webová služba Maximo informaci o selhání volání, když se IBM Tivoli Identity Manager pokusí podporovat více než 10.000 uživatelů. Jeden až dva tucty uživatelů Maximo se v důsledku selhání volání nevytvoří. Avšak uživatelé se vytvoří, když se požadavky zadají znovu. Omezení: Toto je skutečné omezení. Další informace viz APAR IZ23893. Problém: Když odeberete uzel klastru z klastru a pak přidáte zpět uzel do klastru, administrativní konzola Tivoli Identity Manager nebude spuštěna. Náhradní řešení: Přidejte datový adresář ITIM_Home/ znovu do cesty ke třídě na serveru přidruženém k uzlu. Problém: Když použijete grafické uživatelské rozhraní (GUI) k odeslání atributu s úvodními a koncovými mezerami, server IBM Tivoli Identity Manager odstraní úvodní nebo koncovou mezeru hodnoty atributu.To se vyskytne o všech atributů kromě atributu hesla. Omezení: Toto je skutečné omezení.

Omezení, problémy a řešení v rámci WebSphere Application Server Pří použití WebSphere Application Server můžete narazit na následující problémy a použít tato řešení: v Problém: WebSphere Application Server a DB2 Universal Database jsou nainstalovány na témže počítači Windows. Služby WebSphere Application Server a DB2 Universal Database jsou nastaveny na automatické spouštění. Po restartu počítače jsou WebSphere Application Server a DB2 Universal Database úspěšně spuštěny, uživatele nebo účet však nelze vytvořit nebo upravit. Řešení: Stroj posílání zpráv se nespustí, protože WebSphere Application Server je spuštěn před spuštěním DB2 Universal Database. Jakmile se spustí WebSphere Application Server, je spuštěn stroj zasílání zpráv pro IBM Tivoli Identity Manager, jestliže je v danou chvíli k dispozici DB2 Universal Database. Po restartu počítače se ručně přesvědčte, že byl úspěšně spuštěn stroj pro zasílání zpráv IBM Tivoli Identity Manager. Na obrazovce WebSphere Application Server Administrative Console v oddílu topologie vyberte Integrace služeb > Sběrnice > itim_bus > Stroje zasílání zpráv. Není-li stroj pro zasílání zpráv spuštěn, spuste jej z této stránky. v Problém: Na operačním systému Sun Solaris 10 vytváří WebSphere Application Server JVM chybu jádra při pokusu o změnu velikosti haldy JVM během uvolňování paměti. Řešení Nastavte velikosti minima i maxima pro haldu JVM (Xms a Xmx) na stejné hodnoty.

28

Přehled o produktu

Známá omezení, problémy a jejich řešení v oblasti databázového serveru Pří použití databázového serveru IBM Tivoli Identity Manager můžete narazit na následující problémy a použít tato řešení: v Problém: IBM Tivoli Identity Manager se nenainstaluje na systém Windows, konfigurovaný v ruském jazyce. Konkrétně DB2 Universal Database nemůže určit administrátora Windows, pokud je ID uživatele uvedeno v ruštině. Řešení: Než se pokusíte spustit instalační program IBM Tivoli Identity Manager nebo obslužný program konfigurace middleware, otevřete správu uživatelů operačního systému a změňte ruský zápis uživatele ″Administrator″ a skupiny ″Administrators″ na anglický zápis. Zkuste instalaci zopakovat. v Problém: Produkt IBM Tivoli Identity Manager nepracuje s ovladačem SQL Server JDBC Driver 1.2, když je povolen FIPS. Náhradní řešení: vypněte FIPS. Produkt IBM Tivoli Identity Manager pracuje s ovladačem SQL Server JDBC Driver 1.2, když je FIPS vypnutý. Microsoft přijala tento problém jako defekt v ovladači SQL Server 2005 JDBC, verze 1.2.

Známá omezení, problémy a jejich řešení v oblasti adresářového serveru Pří použití adresářového serveru IBM Tivoli Identity Manager můžete narazit na následující problémy a použít tato řešení: v Problém: V některých prostředích Linux se může vyskytnout potenciálně ignorovatelná chybová zpráva během importu profilu služby. V souboru protokolu ibmslapd.log IBM Tivoli Directory Server se můžete setkat s chybovou zprávou selhání soketu: 07/22/07 16:06:11 GLPCOM001E Selhání vytvoření soketu; errno 4 (Volání systému přerušeno). 07/22/07 16:06:11 GLPCOM001E Selhání vytvoření soketu; errno 4 (Volání systému přerušeno). 07/22/07 16:06:11 GLPCOM001E Selhání vytvoření soketu; errno 4 (Volání systému přerušeno).

Náhradní řešení: Pokud bu Tivoli Identity Manager, nebo operace LDAP uspěla, ignorujte tyto zprávy, které jsou zapsány do souboru ibmslapd.log, ale neovlivňují požadovanou operaci. Jestliže operace selhala, spojte se s podporou Tivoli Identity Manager úrovně 2. v Problém: Server LDAP může po několikadenní aktivitě nebo během intervalu s velkým počtem uživatelů pozastavit činnost. Náhradní řešení: V adresářovém serveru nastavte proměnnou prostředí LDAP_WAITQ=NO, než spustíte server LDAP. Nastavení hodnoty LDAP_WAITQ na NO změní chování serveru LDAP, aby se použila metoda zacházení s prostředky verze 6.0. Další informace viz APAR IO07991.

Omezení, problémy a náhradní řešení pro Directory Integrator Používáte-li IBM Tivoli Directory Integrator, můžete narazit na následující problémy a použít tato řešení: v Problém: Je známo, že IBM Tivoli Directory Integrator ve verzi 6.1 se zastaví v případě velké zátěže při vysokém počtu požadavků na odstranění uživatelů. Například při pokusu odstranit 1.000 nebo více uživatelů najednou se může stát, že se IBM Tivoli Directory Integrator zastaví. Náhradní řešení: pokuste se odstranit najednou méně uživatelů, abyste se tomuto problému vyhnuli. Další informace uvádí oprava APAR IO09039.

Omezení, problémy a řešení v oblasti prohlížeče Můžete se setkat s následujícími omezeními nebo problémy prohlížeče a použít tato řešení: v Problém: Klepnete-li na Spravovat služby > Výběr služby a pak vyhledáte službu, tabulka Služby vrátí seznam služeb. Je-li název služby, uvedený jako odkaz v tabulce, příliš dlouhý, mohou znaky názvu zcela vpravo přetéci hranici pravého okraje tabulky.

Přehled o produktu

29

Omezení: Toto je omezení prohlížeče, který neumožní zalomení dlouhého názvu služby na hranici sloupce. v Problém: Pokud používáte prohlížeč Mozilla verze 1.7, můžete z nabídky na hlavním uzlu organizace vytvořit podřízený uzel, například umístění. Nový uzel bude zobrazen pod hlavním uzlem organizace. Pokud však sbalíte hlavní organizaci a vytvoříte druhý uzel, například další umístění, zobrazený strom organizace se rozbalí, ale druhý uzel se ve stromu neobjeví. Řešení: Sbalte uzel se stromem organizace a znovu jej rozbalte. Další uzel bude nyní zobrazen. v Problém: Při použití prohlížeče Mozilla verze 1.7 může po sladění služby a následném vypsání všech uživatelů služby dojít k přesahu posledního řádku tabulky Uživatelé do řádku souhrnu. Provete například: 1. Klepněte na Spravovat služby > Výběr služby a klepněte na Vyhledat, abyste vyhledali dostupné služby. V tabulce Služby vyberte službu. Poté v rozevírací nabídce klepněte na Sladit nyní. 2. Po úspěšném dokončení sladění klepněte na Spravovat uživatele > Výběr uživatele. Klepnutím na Vyhledat vyhledejte dostupné uživatele. Předpokládá se, že bude dostatečný počet uživatelů, aby zaplnil tabulku, přičemž poslední řádek tabulky Uživatelé přesahuje na řádek souhrnu. Omezení: Toto je známým omezením prohlížeče. v Problém: Při použití prohlížeče Internet Explorer se pro některé aktivity rozhodnete použít tlačítko Procházet, klepnutí na klávesu Enter však nespustí provedení požadované akce. Například stisknutí klávesy Enter nezpůsobí, aby klávesa Procházet zobrazila stránku Vyberte soubor během kroku sladění při vytváření služeb. Řešení: K výběru tlačítka Procházet místo klávesy Enter použijte mezerník. Toto je známé omezení prohlížeče. v Problém: Pokusíte-li se otevřít stránku s informacemi o IBM Tivoli Identity Manager pomocí prohlížeče Internet Explorer se zapnutým rozšířeným zabezpečením ESC (Enhanced Security Configuration), bude z důvodu zabezpečení zobrazení zablokováno. Stránka s informacemi o aplikaci obsahuje název serveru, číslo a datum sestavení produktu a další informace o produktu. Řešení: Aby bylo možné stránku zobrazit, přidejte umístění about:blank do seznamu důvěryhodných serverů prohlížeče. Není to však doporučeno, protože přidání about:blank jako důvěryhodného serveru sníží úroveň zabezpečení systému. v Problém: Když spravujete aktivity a chcete zobrazit a zamknout vaše aktivity, grafický obraz zámku se následně neobjeví vedle aktivity, kterou zamknete pro produkt IBM Tivoli Identity Manager, zobrazený prohlížečem Mozilla, verze 1.7.x. Řešení: chcete-li zobrazit symbol zámku, otevřete prohlížeč na jiné kartě a vrate se na stránku, na které jsou zobrazeny zamčené aktivity. v Problém: Klepnutím na tlačítko Zpět v prohlížeči během vstupu dat v uživatelském rozhraní může způsobit ztrátu vámi zadaných dat. Například klepnutím na tlačítko Zpět a poté na tlačítko Vpřed způsobí ztrátu dat, zadaných do polí. Omezení: Nepoužívejte tlačítka Zpět a Vpřed z nabídky prohlížeče, pro přechody z jednoho okna do druhého používejte pouze volby, poskytované v okně aplikace. v Problém: Uživatel nemůže otevřít více relací prohlížeče pomocí IBM Tivoli Identity Manager Server. Omezení: IBM Tivoli Identity Manager nepodporuje použití stejného prohlížeče ke spuštění více relací se serverem. v Problém: Posloupnost tabulátoru pro stránky obsahující přepínače není vždy v prohlížeči Internet Explorer správná.

30

Přehled o produktu

Omezení: Při přepínání do skupiny přepínačů by se měl fokus přesunout na aktuálně vybraný přepínač. V některých případech bude fokus nesprávně přesunut na nejbližší přepínač ve skupině a ne na aktuálně vybraný přepínač. v Problém: Při použití prohlížeče Firefox můžete narazit na problém s výběrem více položek v některých výběrových polích, používáte-li kombinaci kláves shift a šipka dolů. Příkladem může být pole Organizační role, umístěné na formuláři osoby. Tento problém se v prohlížeči Internet Explorer neobjevuje. Řešení: Více položek vyberte přidržením klávesy Control (Ctrl) nebo použitím shift a dolů rychle a opakovaně nebo výběrem první položky a použitím shift a klepnutí na jinou položku, čímž vyberete obě vybrané položky a všechny položky mezi nimi. v Problém: Při použití prohlížeče Internet Explorer verze 6 se SP2, mohou být tlačítka Zadat a Storno neaktivní, pokud zadáte během importu dat nesprávný název souboru a pokusíte se soubor importovat. Toto může například nastat, klepnete-li na Konfigurovat systém > Import dat a pak se pokusíte nahrát nesprávně uvedený soubor. Tento problém se nevyskytuje s prohlížečem Mozilla, ani u vyšších verzí prohlížeče Internet Explorer. Řešení: Zopakujte operaci a zadejte platný název souboru, který chcete importovat. v Problém: Titulek dialogového okna JavaScript se objeví jako ″[Aplikace JavaScript]″ místo ″Produkt IBM IBM Tivoli Identity Manager, verze 5.0″, když se ukončí instalační program příručního panelu. Omezení: Toto je známé omezení s titulky dialogových oken JavaScript při použití prohlížeče Mozilla nebo Firefox. Tento problém se nevyskytne u operačních systémů Windows. v Problém: Internet Explorer 7, spuštěný v operačním systému Windows, který není anglický, může opatřit rozbalovací seznam zkráceným obsahem. Omezení: Toto je známé omezení, které se nevyskytuje u prohlížeče FireFox nebo Internet Explorer spuštěného na operačních systémech s anglickou verzí.

Omezení, problémy a řešení v oblasti usnadnění Je možné, že se v rámci IBM Tivoli Identity Manager setkáte s těmito omezeními nebo problémy usnadnění. V tomto případě použijte tato řešení: v Problém: Odělující symbol, použitý mezi řetězci úloh, což je znak >, je čtecím zařízením, například JAWS, přečten jako ″větší než″. Čtecí zařízení narazí na tento symbol při čtení názvu úlohy z okna, které poskytuje IBM Tivoli Identity Manager. Čtecí zařízení může například číst Domů > Zobrazit nebo změnit profil jako slova ″Domů větší než Zobrazit nebo změnit profil.″ Omezení: Použitý znak oddělovače > je kódován jako znak větší než. Ekvivalentní zobrazitelný znak, který by byl čtecím zařízením vynechán, není v této verzi dostupný. v Problém: Při přepnutí na tlačítko pro odhlášení v pravém horním rohu stránky konzoly IBM Tivoli Identity Manager a stisku klávesy ENTER nedojde na odhlašovací obrazovce k odhlášení. Čtecí zařízení, například JAWS, nepřečte tlačítko pro odhlášení jako odkaz. Řešení: Před stiskem klávesy ENTER stiskněte klávesu Tab navíc ještě jednou. Jinak bude místo tlačítka pro odhlášení vybrána buňka, ve které se tlačítko nachází. Pro čtecí zařízení, například JAWS, není žádné náhradní řešení. Zrakově postižená osoba však nebude pravděpodobně přepínat mezi všemi rámci. Toto je nejspíš způsobeno tím, že osoba vyvolá seznam odkazů (klepnutím na Ins-F7) a vybere Odhlásit. v Problém: Čtecí zařízení, například JAWS, čte v prohlížeči Mozilla Firefox tlačítka, určená pouze pro čtení. Čtecí zařízení například přečte zašedlá tlačítka Změnit nebo Odstranit, jako by byla aktivní. Při použití prohlížeče Internet Explorer ve verzi 6.0, servisní balík 2 nebo novějšího, čtecí zařízení správně určí, že tlačítka pouze pro čtení jsou nedostupná. Omezení: Správné čtení nedostupných tlačítek pro slabozraké uživatele je schopen prohlížeč Internet Explorer. Přehled o produktu

31

v Problém: JAWS nepřečte v prohlížeči Internet Explorer správně vstupní pole pro soubory. Vstupy pro soubory sestávají z textového pole a tlačítka pro procházení. Při použití prohlížeče Internet Explorer s fokusem na textovém poli JAWs přečte oba objekty widget, pokud je fokus na tlačítku Procházet, nestane se nic. Čtecí zařízení například selže přečtením tlačítka Procházet, když by mělo být přečteno jako ″Tlačítko procházet, aktivujte stiskem mezery.″ Tyto problémy se nevyskytují při použití prohlížeče Mozilla FireFox. Omezení: Pro potřeby správného čtení prázdných polí a tlačítek Procházet mohou zrakově postižené osoby použít prohlížeč Mozilla FireFox. Mohou se však vyskytnout jiné problémy se čtením, které lze řešit použitím jiného prohlížeče. v Problém: čtecí zařízení obrazovky, například JAWS, přečte některá vstupní pole, například data zahájení a ukončení plánu, jakoby byla pouze pro čtení a ne jako pole, umožňující výběr nového data z ovládacího prvku kalendáře. Dále čtecí zařízení přečte pole, která byla naplněna tlačítky Vyhledat nebo Procházet, jako pole pouze pro čtení a ne jako pole, která lze klepnutím na tlačítka Vyhledat nebo Procházet změnit. Pokud například vyberete ve výsledcích hledání osobu, a klepnete na OK, program se vrátí na stránku, která má cílové pole a jméno vybrané osoby se nyní objeví v textovém poli, určeném pouze pro čtení. Podobný problém je pří klepnutí na tlačítko Vymazat, které vymaže hodnotu v textovém poli, určeném pouze pro čtení. Omezení: Zde není žádné řešení. Uživatel musí porozumět, kdy klepnout na odpovídající tlačítko z dalších informací v textu stránky nebo nápovědy, která je obsažena. v Problém: Pomocí prostředního podokna apletu Form Designer není možné používat klávesnici k přepínání mezi stránkou s vlastnostmi dialogového okna a atributy. Například klávesy Enter ani Tab nezpůsobí přepnutí fokusu. Náhradní řešení: Spuste aktivitu úprav klepnutím na odkaz spustit na nové stránce. Protože neexistuje žádná první úroveň (hlavní) záhlaví na stránkách konzoly IBM Tivoli Identity Manager, nemůžete použít funkce čtení, které aplikace Freedom Scientific JAWS poskytuje. Uživatelé, využívající čtecí zařízení by měli číst obrazovku pomocí JAWS funkcí pro čtení odstavců, řádků nebo celé stránky. Nejdůležitější rámce, které čtecí zařízení využívají: – Přepínač úloh, přepínající mezi aktivními úlohami na konzole. – Oblast portfolia k přístupu na seznam úloh, které se mají provést. – Pracovní oblast, což je aktuální aktivní stránka. v Problém: Některá čtecí zařízení pro prohlížeče, používaná lehce postiženými uživateli, mohou občas přečíst ovladač na stránce grafického uživatelského rozhraní IBM Tivoli Identity Manager verze 5 dvakrát. Toto se například stává při použití čtecího zařízení JAWS. Řešení: Druhé čtení ignorujte. Grafické uživatelské rozhraní IBM Tivoli Identity Manager verze 5 neobsahuje nikdy na jedné stránce více ovladačů se stejným názvem.

Omezení, problémy a řešení v oblasti sestav Během použití produktu IBM Tivoli Identity Manager můžete narazit na tyto problémy sestav a použít následující řešení. v Problém: Jakmile provedete synchronizaci dat a pak spustíte sestavu pro operace účtu se stavem Nevyřízeno, sestava nezobrazí nevyřízené požadavky na vytvoření účtů. Při spuštění sestavy je aktuální proces zajišování služeb ve stavu nevyřízeno/naplánováno a v tabulkách sledu prací není žádný proces na vytvoření účtu. Proces vytvoření účtu je vyvolán, když se spustí naplánovaný proces zajišování služeb. Protože v případě naplánovaného vytvoření účtu není žádný nevyřízený proces vytvoření účtu, není sestava schopna tento proces zachytit jako nevyřízenou žádost. Řešení: Existuje částečné řešení. Abyste zobrazili žádostí na vytvoření účtu pro typy služeb jiné než účty produktu Tivoli Identity Manager, vyberte Vytvořit účet jako typ

32

Přehled o produktu

žádosti a pak zvolte typ kořenového zpracování jako LIBOVOLNÝ nebo proces zajištění služeb. Vybrání LIBOVOLNÝ jako typ kořenového zpracování zobrazí všechny žádosti o vytvoření účtu, kde se kořenová zpracování mohou lišit od jiných. v Problém: Po instalaci japonštiny z jazykové sady, sestava po zvolení angličtiny při přihlášení k produktu Tivoli Identity Manager zobrazí chybné znaky. Pokud však vyberete pro přihlášení japonštinu, bude sestava zobrazena správně. Řešení: Tento problém nastává, pokud spustíte sestavu s nastaveným japonským jazykem, přičemž máte národní prostředí nastavené na angličtinu, protože výchozí anglické písmo nepodporuje znaky DBCS. Chcete-li zobrazit sestavy, generované v jazyku dvoubajtové znakové sady (DBCS), uvěte písmo, které je schopné zobrazit DBCS znaky. Toto řešení se týká jiných národních prostředí, než anglického, pokud odpovídající písmo nepodporuje DBCS znaky. Postupujte takto: 1. Otevřete soubor ITIM_HOME/data/enRoleFonts.properties. 2. Označte řádek $LOCALE=$font_name jako anglické písmo. Pokud jsou například znaky v sestavě v japonštině a $LOCALE = en, zadejte en=sans-serif. 3. Přidejte nový řádek pro $LOCALE=$DBCS_character_support_font_name. Jsou podporována tato písma: – japonština – zjednodušená_čínština – tradiční_čínština – korejština v Problém: V jazycích arabština nebo korejština zůstávají v sestavách PDF údaje datum a čas v angličtině. Omezení: Toto je omezením Java. Formát data času pro arabské a korejské jazyky se zobrazuje nesprávně, podle národního prostředí. v Problém: Sestavy pravidel životního cyklu se negenerují správně. Zdá se, že operace pravidel životního cyklu má kořenové zpracování LC. V sestavě operací účtu se všechny operace účtu, které jsou provedeny pro pravidlo životního cyklu, zobrazí s kořenovým zpracováním jako LC. Náhradní řešení: Změňte příkaz a přidejte příkaz do souboru ITIM_HOME/data/ reportingLabels.properties. Provete tyto kroky: 1. Otevřete soubor ITIM_HOME/data/reportingLabels.properties v libovolném textovém editoru. Pokud máte nainstalovanou jazykovou sadu, soubor, který upravujete, je soubor ITIM_HOME/data/reportingLabels_languagecode.properties, kde languagecode je specifický lokální kód, jako je en pro angličtinu. 2. Upravte následující příkaz nahrazením ls znaky lc. rootprocessview.type.ls=life Cycle Rule Execution

Po změně bude řádek vypadat takto: rootprocessview.type.lc=life Cycle Rule Execution

Pro jiné, než anglické jazyky se bude text za rovnítkem lišit. 3. Přidejte nové označení přidáním následujícího řádku: process.type.lc=Life Cycle Rule Execution

Pro jiné, než anglické jazyky se bude text za rovnítkem lišit. 4. Soubor uložte a ukončete textový editor. 5. Spuste sestavu znovu. v Problém: Skript CrystalTestWAS označuje problém s připojením mezi počítačem IBM Tivoli Identity Manager Server a počítačem Crystal Enterprise. Konkrétněji, skript Přehled o produktu

33

CrystalTestWAS.sh, který se se spouští z nastavení UNIX, které hostí produkt Tivoli Identity Manager Server selže při připojení k serveru Crystal Management instalovanému na počítači Windows. Chyba je podobná této zprávě: com.crystaldecisions.enterprise.ocaframework.OCAFrameworkException$AllServersDown: Všechny servery CMS, klastru a druhy cms jsou vypnuty nebo zablokovány

V důsledku této chyby nelze spouštět sestavy Crystal Reports z produktu Tivoli Identity Manager a produkt Tivoli Identity Manager a také nemůže importovat nové šablony Crystal Report. Náhradní řešení: Pokud se typ připojení uživatele Crystal Enterprise (vlastnost crystalEnterpriseUser v souboru ITIM_HOME/data/crystal.properties) vybere jako Souběžný uživatel, přístup k systému Crystal Enterprise pro souběžného uživatele bude záviset na počtu ostatních uživatelů, kteří jsou momentálně připojeni do systému Crystal. Toto někdy vede k situaci, kdy uživatel Crystal Enterprise, použitý v produktu Tivoli Identity Manager, se není schopen připojit na systém Crystal, protože server Crystal dosáhl limitu pro připojení. Jako důsledek se může tento typ chyby objevit při spuštění skriptu CrystalTestWAS. Provete tyto kroky: 1. Přihlaste se do systému Windows, kde je instalován systém Crystal Enterprise 10. Klepněte na Start → Programy → Crystal Enterprise 10 → Crystal Configuration Manager. Otevře se stránka zobrazující všechny služby sestav Crystal Report. Vyberte všechny služby, které jsou momentálně spuštěny, a restarujte je. 2. Přihlaste se do systému UNIX, který hostí produkt Tivoli Identity Manager jako nekořenový uživatel Crystal, který byl použit k instalaci komponent klienta Crystal Enterprise do systému UNIX. Přejděte na adresář komponent klienta (crystalHome property v souboru ITIM_HOME/data/crystal.properties) a spuste env.sh. 3. Ujistěte se, že všechny vlastnosti uvedené v souboru ITIM_HOME/data/ crystal.properties, jsou správné. 4. Spuste skript ITIM_HOME/bin/unix/CrystalTestWAS.sh znovu. v Problém: Generování sestavy schválení a zamítnutí serveru Tivoli Common Reporting Server může mít problémy s výkonností, když je zahrnuto příliš velké množství dat. Omezení: Toto je známé omezení při použití operátoru ″like″ v dotazu.

Ostatní omezení, problémy a řešení Můžete se setkat s těmito dalšími problémy a použít tato řešení: v Problém: Je-li v systému Windows XP zapnut vysoký kontrast, zobrazení apletu návrháře sledu prací IBM Tivoli Identity Manager se nezformátuje znovu, aby použilo schéma s vysokým kontrastem. Přepnete-li na vysoký kontrast, rámeček okna apletu se změní na vysoký kontrast. Pole v zobrazeném apletu však na změnu vysokého kontrastu nereagují. Řešení: Aktualizujte prohlížeč, aby se znovu načetl návrhář sledu prací, který se aktualizuje nastavením vysokého kontrastu. v Problém: Aktivní uživatelé získávají neočekávané výsledky, pokud se změní datum a čas v operačním systému, na kterém je nainstalován IBM Tivoli Identity Manager. Řešení: Pokud jakožto administrátor změníte datum a čas v operačním systému, na kterém je IBM Tivoli Identity Manager nainstalován, vždy se přesvědčte, že do IBM Tivoli Identity Manager Server nejsou přihlášeni žádní uživatelé. Pokud je změna významná, přihlášení uživatelé se mohou setkat s nepředvídatelnými výsledky. v Problém: Panel nápovědy pro rozšířené vyhledávání uživatele zobrazí další pole. Omezení: Panel nápovědy zobrazuje informace o dalších polích, která nejsou zobrazena na hledané stránce. Tato pole jsou specifická pro účet LDAP a lze je přidat pomocí odkazu Přidat jiné hledané pole.

34

Přehled o produktu

Poznámka: Informace o typu Účtu nesprávně hlásí, že typ nelze změnit. Typ účtu je možné změnit. v Problém: Panel nápovědy pro rozhraní Form designer vypíše motiv Tungsten jako výchozí motiv menu. Omezení: Správný název je Výchozí motiv. v Problém: Kontextuální nápověda stránky Porušení zásad dělení činností označuje, že se v tabulce zásad nachází sloupec Název osoby. Avšak tabulka nezahrnuje tento sloupec. Omezení: Toto je známé omezení v obsahu kontextuální nápovědy.

Technický přehled Produkt IBM Tivoli Identity Manager můžete využít ke správě záznamů identit, reprezentujících osoby v obchodní organizaci. Tento oddíl uvádí architekturu produktu a hlavní komponenty. IBM Tivoli Identity Manager je řešení správy identit, které centralizuje proces zajišování prostředků, jako je zajišování účtů na operačních systémech a aplikacích uživatelům. IBM Tivoli Identity Manager vám poskytuje možnost přidávat do základní správy uživatelů obchodní procesy a zásady zabezpečení, včetně schvalování uživatelských požadavků na přístup k prostředkům. Kromě toho produkt IBM Tivoli Identity Manager poskytuje uniformní způsob, jak spravovat uživatelské účty a delegovat administraci, včetně samoobslužného uživatelského rozhraní a rozhraní střediska podpory.

Uživatelé, autorizace a prostředky Administrátor používá entity, které IBM Tivoli Identity Manager poskytuje pro uživatele, autorizaci a prostředky pro poskytnutí výchozího a dalšího přístupu v měnící se organizaci.

Obrázek 1. Uživatelé, autorizace a prostředky

Identity Identita je podmnožinou dat profilu, která jednoznačně reprezentuje osobu v jednom nebo více úložištích a obsahuje i další informace, související s danou osobou. Účty

Účet je sada parametrů pro spravovaný prostředek, který definuje identitu, uživatelský profil a pověření.

Přehled o produktu

35

Uživatelé Uživatel je jedinec, který využívá IBM Tivoli Identity Manager ke správě svých účtů. Položky řízení přístupu Položka řízení přístupu představuje data, identifikující oprávnění, která mají uživatelé k danému typu prostředku. Vytvoříte položku řízení přístupu, která vám umožní uvést sadu operací a oprávnění a následně označit, které skupiny mohou položku řízení přístupu používat. Skupiny Skupina se používá k řízení přístupu uživatelů k funkcím a datům v produktu IBM Tivoli Identity Manager. Členství ve skupině IBM Tivoli Identity Manager poskytuje sadu výchozích oprávnění a operací, stejně tak i zobrazení, které členové skupiny potřebují. Zásady Zásada je sada pokynů, které ovlivňují chování spravovaného prostředku (v rámci produktu IBM Tivoli Identity Manager nazývaného služba) nebo uživatele. Zásada představuje sadu organizačních pravidel a logiky, kterou IBM Tivoli Identity Manager používá používá ke správě ostatních entit, například ID uživatele a použije na specifický spravovaný prostředek jako zásadu specifickou pro službu. Adaptéry Adaptér je softwarová komponenta, poskytující rozhraní mezi spravovaným prostředkem a IBM Tivoli Identity Manager Server. Služby Služba reprezentuje spravovaný prostředek, jako je operační systém, databázová aplikace nebo jiná aplikace, kterou spravuje IBM Tivoli Identity Manager. Spravovaným prostředkem může být například aplikace Lotus Notes. Uživatelé přistupují k těmto službám pomocí účtu na službě.

Hlavní komponenty Hlavní komponenty řešení IBM Tivoli Identity Manager zahrnují IBM Tivoli Identity Manager Server a nutné i volitelné komponenty middleware, včetně adaptérů, poskytujících rozhraní ke spravovaným prostředkům. V konfiguraci klastru zahrnují hlavní komponenty:

36

Přehled o produktu

Obrázek 2. Hlavní komponenty

Další informace o alternativách konfigurace viz IBM Tivoli Identity Manager Installation and Configuration Guide. Komponenty obsahují: Produkty databázového serveru IBM Tivoli Identity Manager ukládá transakční a historická data na databázový server, do relační databáze, která udržuje aktuální i historické stavy dat. Produkty adresářového serveru IBM Tivoli Identity Manager ukládá aktuální stav spravovaných identit do adresáře LDAP, včetně účtů uživatelů a organizačních dat. IBM Tivoli Directory Integrator IBM Tivoli Directory Integrator synchronizuje data identit, uložená v různých adresářích, databázích a aplikacích. IBM Tivoli Directory Integrator synchronizuje a spravuje výměnu informací mezi aplikacemi nebo adresářovými zdroji. WebSphere Application Server WebSphere Application Server je primární komponentou prostředí WebSphere. WebSphere Application Server spouští virtuální počítač Java, poskytující běhové prostředí pro kód aplikace. Aplikační server poskytuje zabezpečení komunikace, protokolování, rychlé posílání zpráv a webové služby. Modul plug-in pro HTTP server a webový server WebSphere HTTP server poskytuje správu IBM Tivoli Identity Manager pomocí klientského rozhraní ve webovém prohlížeči. IBM Tivoli Identity Manager vyžaduje instalaci modulu plug-in webového serveru WebSphere na HTTP server. Instalační program WebSphere Application Server může samostatně nainstalovat IBM HTTP Server a modul plug-in WebSphere Web Server. Adaptéry IBM Tivoli Identity Manager Adaptér je softwarová komponenta, poskytující rozhraní mezi spravovaným prostředkem a IBM Tivoli Identity Manager. Adaptér funguje jako důvěryhodný virtuální administrátor na spravovaném prostředku, provádí takové úlohy, jako je vytváření účtů, pozastavování účtů a další funkce, které administrátoři běžně provádějí. Přehled o produktu

37

Přehled osob Lidé, jako jsou zaměstnanci a dodavatelé, potřebují používat prostředky, které organizace poskytuje. Osoba, která má účet IBM Tivoli Identity Manager, je uživatelem IBM Tivoli Identity Manager. Uživatelé potřebují různé stupně přístupu k prostředkům v zaměstnání. Někteří uživatelé potřebují určité aplikace. Jiní uživatelé potřebují spravovat systém, který spojuje uživatele a prostředky, které vyžaduje jejich zaměstnání. IBM Tivoli Identity Manager spravuje uživatelské identity (ID uživatelů), účty, nároky přístupů k těmto účtům a uživatelská pověření jako například hesla.

Uživatelé Osoba, která je spravována produktem IBM Tivoli Identity Manager, je uživatel; uživatel, který má účet IBM Tivoli Identity Manager , je nazýván uživatelem IBM Tivoli Identity Manager a může používat IBM Tivoli Identity Manager ke správě svých účtů nebo provádět jiné administrativní úlohy. Uživatelé potřebují různé stupně přístupu k prostředkům v zaměstnání. Někteří uživatelé potřebují určité aplikace. Jiní uživatelé potřebují spravovat systém, který spojuje uživatele a prostředky, které vyžaduje jejich zaměstnání. Uživatel IBM Tivoli Identity Manager je přiřazen ke specifické skupině, která poskytuje přístup ke specifickým zobrazením a umožňuje uživateli provádět v rámci IBM Tivoli Identity Manager specifické úlohy. Jako administrátor vytváříte uživatele bu importem záznamů identity, nebo pomocí IBM Tivoli Identity Manager .

Identity Identita je součást dat profilu, která jedinečně reprezentuje osobu nebo entitu a je uložena v jednom nebo více úložištích. Identita může být například reprezentována jedinečnou kombinací křestního jména a příjmení osoby a čísla zaměstnance. Profil identity může také obsahovat další informace, jako například telefonní čísla, nadřízenou osobu a e-mailovou adresu.

Účty Účet je sada parametrů pro spravovaný prostředek, který definuje identitu, uživatelský profil a pověření. Účet definuje přihlašovací informace (například vaše ID uživatele a heslo) a přístup k určitému zdroji, k němuž je přidružen. V produktu IBM Tivoli Identity Manager jsou účty vytvářeny na službách, které znázorňují spravované prostředky, jako jsou operační systémy (UNIX), aplikace (Lotus Notes) nebo další prostředky. Účty mohou být aktivní nebo neaktivní. Účty musí být aktivní pro přihlášení do systému. Účet se stane neaktivním, je li pozastaven, což může nastat při zamítnutí požadavku na recertifikaci účtu a akce recertifikace je pozastavena. Pozastavené účty stále existují, ale nelze je použít pro přístup do systému. Administrátoři systému mohou obnovit a reaktivovat pozastavený účet, pokud nebyl účet odstraněn.

Přístup Přístup je vaše schopnost použít určitý prostředek, jako například sdílenou složku nebo aplikaci.

38

Přehled o produktu

V rámci IBM Tivoli Identity Manager je možné vytvořit přístup, reprezentující přístupy ke sdíleným složkám a aplikacím (jako například Lotus Notes), e-mailovým skupinám nebo jiným spravovaným prostředkům. Přístup se liší od účtu v tom, že účet je formou přístupu; účet je přístup k prostředku samotnému. Přístup je oprávnění využít prostředek a nárok na přístup definuje podmínky, které zaručí přístup uživateli pomocí sady hodnot atributů uživatelského účtu ke spravovanému prostředku. V rámci IBM Tivoli Identity Manager je přístup definován na existující skupině ke spravovanému prostředku. V tomto případě je přístup udělen uživateli vytvořením účtu pro službu a přiřazením uživatele do skupiny. Nárok přístupu může být také definován jako sada parametrů účtu služby, která využívá zásadu zajišování. Když uživatel požaduje nový přístup, je standardně vytvořen účet pro službu. Pokud účet již existuje, bude účet upraven tak, aby splnil nárok na přístup, například přiřazením účtu do skupiny, zajišující přístup k určitému typu přístupu. Pokud tento účet již existuje, je účet přiřazen k přístupu. Jestliže existuje více účtů, musíte vybrat ID uživatele účtu, ke kterému si přejete přístup přiřadit. Účet je často popisován výrazy, které jsou snadno srozumitelné pro obchodní uživatele.

Hesla Heslo je řetězec znaků, které se použijí k ověření přístupu uživatele do systému. ID a heslo uživatele jsou dva prvky, které udělí přístup do systému. Jako administrátor můžete spravovat hesla uživatelů a hesla, která jsou nastavena pro uživatele, které využívá IBM Tivoli Identity Manager . Informace pro případ zapomenutí hesla: Pokud uživatel zapomene heslo IBM Tivoli Identity Manager a vyžaduje jeho reset, musí uživatel ověřit svá pověření k systému. Toto je řešeno tak, že uživatel zodpoví sadu otázek pro případ zapomenutí hesla, jejichž odpovědi uživatel uvedl již dříve. Odpovědi zadané uživatelem se musí přesně shodovat s odpověmi, které uživatel dříve definoval, včetně velikosti písmen. Jako administrátor systému definujete, kolik musí být zodpovězeno otázek a zda jsou otázky předem definovány. v Pokud otázky po případ zapomenutí hesla předem definujete, uživatel definuje pouze jejich odpovědi. v Pokud otázky pro případ zapomenutí hesla nedefinujete předem, musí uživatel zadat jak otázky, tak odpovědi. Pokud se změní konfigurace systému, například z nedefinovaných otázek na předem definované otázky, bude muset uživatel uvést odpovědi na nově definované otázky. Synchronizace hesel: Synchronizace hesel je proces přiřazení a údržby jediného hesla pro všechny účty, které uživatel vlastní, což redukuje počet hesel, která si musí uživatel pamatovat. Systém můžete nakonfigurovat, aby automaticky synchronizoval hesla pro všechny účty, které uživatel vlastní. Pak si musí uživatel zapamatovat pouze jediné heslo. Uživatel má například dva účty: účet IBM Tivoli Identity Manager a účet Lotus Notes. Pokud uživatel změní nebo resetuje heslo účtu IBM Tivoli Identity Manager, heslo účtu Lotus Notes se automaticky Přehled o produktu

39

změní na stejné heslo, jako má účet IBM Tivoli Identity Manager. Hesla mohou být také synchronizována, pokud zajišujete účet nebo obnovíte pozastavený účet. Je-li zapnuta synchronizace hesel, nemůže uživatel pro své účty uvést různá hesla. Poznámka: Pokud zajistíte účet nebo obnovíte pozastavený účet, musíte pro účet zadat heslo. Je-li zapnuta synchronizace hesel, nebudete k zadání hesla vyzváni. Účtu bude automaticky přiřazeno stejné heslo, jako mají existující účty uživatele. Pravidla odolnosti hesla: Pravidlo odolnosti hesla je pravidlo nebo požadavek, jež musí heslo splňovat. Pravidla odolnosti hesla mohou například uvádět, že minimální počet znaků v hesle musí být pět a maximální počet znaků musí být deset. Pravidla odolnosti hesla můžete definovat v zásadě hesla.

Přehled prostředků Prostředky jsou aplikace, komponenty, procesy a další funkce, které uživatelé potřebují k dokončení jejich pracovních přiřazení. IBM Tivoli Identity Manager používá službu ke správě uživatelských účtů a pro přístup k prostředkům pomocí adaptérů, poskytujících důvěryhodnou datovou komunikaci mezi prostředky a IBM Tivoli Identity Manager.

Služby Služba označuje spravovaný prostředek, jako je operační systém, databázová aplikace nebo jiná aplikace, kterou spravuje IBM Tivoli Identity Manager. Například, spravovaný prostředek může být aplikace Lotus Notes. Uživatelé přistupují k těmto službám pomocí účtu na službě. Služby jsou vytvářeny z typů služeb, které znázorňují sadu spravovaných prostředků, které sdílejí podobné atributy. Například existuje předvolený typ služby, který představuje počítače Linux. Tyto typy služeb jsou bu instalovány při výchozím nastavení, když je instalován produkt IBM Tivoli Identity Manager, nebo jsou instalovány, když importujete soubory definice služeb pro adaptéry těchto spravovaných prostředků. Účty na službě označují uživatele služby. Účty obsahují přihlašovací a přístupové informace pro uživatele a umožňují použití specifických prostředků. Většina služeb používá k zajištění účtů IBM Tivoli Identity Manager, což obvykle vyžaduje úspěšné provedení některých sledů prací. Avšak manuální služby generují aktivitu pracovní objednávky, která definuje manuální intervenci, která je požadovaná k dokončení požadavku nebo k zajištění účtu pro uživatele. Vlastník služby vlastní a udržuje určitou službu v rámci produktu IBM Tivoli Identity Manager. Vlastník služeb může být bu osoba nebo statická organizační role. V případě statické organizační role všechny členové organizační role se budou považovat za vlastníky služeb. Když tato statická organizační role obsahuje ostatní role, pak se všichni členové těchto rolí považují za vlastníky služeb. Typy služeb: Typ služby je kategorie souvisejících služeb, které sdílejí stejná schémata. Definuje atributy schématu, které jsou společné v sadě podobně spravovaných prostředků.

40

Přehled o produktu

Typy služeb se používají k vytváření služeb pro určité instance spravovaných prostředků. Například můžete mít několik serverů Lotus Domino, k nimž uživatelé potřebují mít přístup; můžete vytvořit jednu službu pro každý server Lotus Domino pomocí typu služby Lotus Domino. Předem požadované služby: Pokud má služba definovanou další službu jako předpoklad, uživatel může získat nový účet pouze tehdy, pokud má existující účet na předpokladu služby. Například, služba B má předpoklad služby, službu A. Pokud uživatel požaduje účet na službě B, aby účet obdržel, musí mít nejprve účet na službě A. Soubor definic služby: Soubor definic služby, také znám jako profil adaptéru, definuje typ spravovaného prostředku, který může IBM Tivoli Identity Manager spravovat. Soubor definic služby vytvoří typy služeb na IBM Tivoli Identity Manager Server. Soubor definic služby je soubor typu JAR, který obsahuje následující informace: v Informace o službě, včetně definic operací zajišování uživatele, které lze provádět pro službu, jako je přidání, odstranění, pozastavení nebo obnova. v Informace poskytovatele služby, které definují základní implementaci, jak IBM Tivoli Identity Manager Server komunikuje se spravovaným prostředkem. Platní poskytovatelé služeb jsou Tivoli Directory Integrator a DSMLv2. v Informace schématu, včetně tříd a atributů LDAP. v Formuláře účtů a formuláře služeb spolu se souborem vlastností účtů a podpůrných dat, například skupiny služeb, definující označení pro atributy v těchto formulářích, které jsou zobrazeny v uživatelském rozhraní pro vytváření služeb a požadování účtů na těchto službách. Manuální služby: Manuální služba je typ služby, která k dokončení požadavku vyžaduje manuální intervenci. Například, jako manuální službu lze definovat nastavení hlasové pošty pro uživatele. Manuální služby generují aktivitu pracovní objednávky, která definuje požadovanou manuální intervenci. Nemůžete vytvořit manuální službu, když IBM Tivoli Identity Manager neposkytuje adaptér pro spravovaný prostředek, pro který chcete zajišovat účty. Vytvoříte-li manuální službu, přidáte nové třídy schématu a atributy pro manuální službu do adresáře LDAP.

Adaptéry Adaptér je softwarová komponenta poskytující rozhraní mezi spravovaným zdrojem a IBM Tivoli Identity Manager. Adaptér funguje jako důvěryhodný virtuální administrátor na spravovaném prostředku, provádí takové úlohy, jako je vytváření účtů, pozastavování účtů a další funkce, které administrátoři běžně provádějí. Adaptér sestává ze souboru definice služby a spustitelného kódu pro správu účtů.

Přehled o produktu

41

Adaptéry jsou implementovány dvěma způsoby: Adaptér založený na agentovi Adaptér založený na agentovi musí být kvůli správě účtů umístěn na spravovaném prostředku. Příkladem adaptéru založeného na agentovi je adaptér Lotus Notes pro AIX®. Adaptér bez agenta Adaptér bez agenta může být kvůli správě účtů umístěn na vzdáleném serveru. Příkladem adaptéru bez agenta je adaptér UNIX/Linux. Adaptéry jsou vytvářeny pomocí jedné ze dvou technologií: Adapter Development Kit (ADK) Adaptéry, vytvořené pomocí ADK jsou bu adaptéry založené na agentovi, nebo adaptéry bez agenta. ADK je základní komponenta adaptérů a sestává z běhové knihovny, funkčnosti filtrování a upozornění na události, nastavení protokolu a zaprotokolovaných informací. Nástroj ADK je pro různé adaptéry totožný. IBM Tivoli Directory Integrator Adaptéry, vytvořené pomocí IBM Tivoli Directory Integrator jsou adaptéry založené na agentovi nebo bez agenta. Tyto adaptéry jsou implementovány jako sestavy řádků, z nichž je každý jednou cestou pro přenos a transformaci dat. IBM Tivoli Directory Integrator může předávat data z jednoho řádku sestavy do dalšího řádku sestavy. Několik adaptérů bez agenta se nainstaluje automaticky při instalaci IBM Tivoli Identity Manager. Nainstalovat můžete i další adaptéry bez agenta nebo založené na agentovi.

Komunikace adaptéru se spravovanými prostředky Komunikace mezi serverem IBM Tivoli Identity Manager a spravovanými prostředky má několik řešení. Spravované prostředky Linux a UNIX používají adaptéry bez agentů, které jsou vytvořeny pomocí IBM Tivoli Directory Integrator. Ostatní spravované prostředky používají adaptéry ADK. Obrázek 3 na stránce 43 ilustruje, jak lze konfigurovat komunikační odkazy mezi softwarovými produkty a komponentami.

42

Přehled o produktu

Obrázek 3. Zabezpečená komunikace v prostředí IBM Tivoli Identity Manager

Přehled zabezpečení systému Organizace má prioritní potřebu řídit přístupy uživatelů a chránit citlivé informace. Pokud existuje ujednání o požadavcích zabezpečení obchodních potřeb, konfiguruje administrátor systému skupiny, zobrazení, položky řízení přístupu a formuláře, které IBM Tivoli Identity Manager poskytuje pro zabezpečení svých dat.

Charakteristiky modelu zabezpečení Organizace definuje model zabezpečení, který splňuje její obchodní požadavky. Model pak slouží jako základ k definici požadavků a aktuální implementace systému zabezpečení. Některé charakteristické cíle modelu zabezpečení zahrnují: v Ověření identity uživatelů, zajišované ověřovacími systémy, které zohledňují odolnost hesla a další faktory. v Umožnit oprávněným uživatelům přístup k prostředkům, zajišovaný ověřovacími systémy, které definují procesy dle požadavků nebo dle rolí a související zajišování. Prostředky například zahrnují účty, služby, uživatelské informace a funkce IBM Tivoli Identity Manager. Model zabezpečení také vyžaduje další procesy zajišování, které vyberou prostředky, ke kterým mají uživatelé přístup. v Administrace operací a oprávnění, které jsou uděleny účtům a uživatelům. v Delegování seznamu uživatelských aktivit na jiné uživatele na základě požadavku nebo přidělení. Přehled o produktu

43

v Ochranu citlivých informací, například seznamů uživatelů nebo atributů účtu. v Zajištění integrity komunikací a dat.

Obchodní požadavky Před implementací procesů, které IBM Tivoli Identity Manager poskytuje, vyžaduje obchod určíté sjednocení požadavků na zabezpečení. Definice požadavků mohou například zodpovědět tyto otázky: v Jaké skupiny uživatelů IBM Tivoli Identity Manager jsou definovány? v Jaké informace každá skupina uživatelů potřebuje zobrazit? v v v v

Jaké úlohy uživatelé v každé skupině potřebují provádět? Jaké role mají uživatelé v organizaci? Jaká přístupová oprávnění je třeba definovat? Jaké jsou pracovní vztahy, které vyžadují, aby někteří uživatelé měli jiné úrovně oprávnění?

v Jak může prevence a auditování zajistit opatření pro aktivity, které neodpovídají zavedeným zásadám? Zcela obecné obchodní potřeby často vyžadují, aby bylo definováno několik skupin, například správce, asistent střediska podpory, auditoři a vlastní skupiny, které provádí rozšířené nebo omezené sady úloh.

Přístup k prostředku z pohledu uživatele K zajištění bezpečnosti dat pro uživatele, který pracuje v určitém rozsahu úloh s určitými obchodními prostředky, IBM Tivoli Identity Manager může definovat jednu nebo více rolí a členství v jedné nebo více skupinách. Uživatel v obchodní jednotce má například pozici nebo roli, která má určitou zodpovědnost, například nákupčí. Uživatel může být také členem skupiny, zajišující sadu úloh, které může uživatel provádět, jako například nakupování, jak znázorňuje Obrázek 4:

Obrázek 4. Zabezpečení dat pro uživatelův přístup k prostředku

44

Přehled o produktu

Každá role má související zásadu zajišování a sled prací, udělující uživateli přístup k jednomu nebo více prostředkům, jako například účty. Každá skupina má přehled specifických úloh a jednu nebo více položek řízení přístupu, udělující specifické operace a oprávnění k provádění úloh. Pomocí apletu návrhu formulářů můžete také upravit uživatelské rozhraní, prezentované uživateli, například odebráním nepotřebných polí pro účet, službu nebo atributy uživatele. Skupiny: Skupina se používá k řízení přístupu uživatele k funkcím a datům v rámci IBM Tivoli Identity Manager. Členové skupiny mají účet pro službu IBM Tivoli Identity Manager. Členství ve skupině produktu IBM Tivoli Identity Manager poskytuje sadu výchozích oprávnění a operací, stejně jako zobrazení, která členové skupiny potřebují. Ve vaší lokalitě je také možné vytvořit vlastní skupiny. Dále mohou být někteří uživatelé členy skupiny služeb, která uděluje specifický přístup k určitým aplikacím nebo jiným funkcím. Například skupina služby může mít členy, kteří pracují přímo s daty účetní aplikace. Předdefinované skupiny, zobrazení a položky řízení přístupu: IBM Tivoli Identity Manager poskytuje předdefinované skupiny, pro které jsou přiřazena zobrazení a položky řízené přístupu. Jsou k dispozici dvě uživatelská rozhraní nebo konzoly: v Samoobslužná konzola pro všechny uživatele, pro aktivity týkající se vlastní osoby, jako je změna informací o osobním profilu, jako je telefonní číslo. v Administrativní konzola, pro vybrané uživatele, kteří náleží do jedné nebo více skupin, umožňujících rozsah administrativních úloh. Uživatel IBM Tivoli Identity Manager bez dalšího členství ve skupině má pro použití IBM Tivoli Identity Manager základní oprávnění. Tato sada uživatelů potřebuje pouze samoobslužnou konzolu se schopnostmi péče o sebe sama. Uživatelé nejsou v žádné označené skupině, jako je například skupina asistentů střediska podpory. Předdefinované skupiny jsou přiřazeny k předdefinovaným zobrazením a položkám řízení přístupu, zajišjícím, co členové skupiny mohou zobrazovat a provádět, jak ilustruje Obrázek 5 na stránce 46

Přehled o produktu

45

Obrázek 5. Předdefinované skupiny, zobrazení a položky řízení přístupu

Předdefinované skupiny jsou: Administrátor Skupina administrátorů nemá pomocí výchozích zobrazení a položek řízení přístupu nastavena žádná omezení a má tak přístup ke všem zobrazením a může provádět všechny operace IBM Tivoli Identity Manager. První uživatel administrátora systému se nazývá ″itim manager″. Auditor Členové skupiny auditorů mohou pro účely auditu požadovat sestavy. Asistent střediska podpory Členové skupiny Asistent střediska podpory mohou požadovat, měnit, pozastavovat, obnovovat a odstraňovat účty. Členové mohou požadovat, měnit a odstraňovat přístupy a také resetovat hesla, profily a účty. Dále mohou členové delegovat aktivity na určité uživatele. Správce Členové skupiny správců jsou uživatelé, kteří spravují účty, profily a hesla svých přímých podřízených. Vlastník služby Členové skupiny vlastníků služby spravují službu, včetně uživatelských účtů a požadavků na tuto službu. Zobrazení: Zobrazení je sada úloh, které může zobrazit konkrétní typ uživatele v uživatelském rozhraní, nemusí je však nezbytně provádět. Například úloha z portfolia každodenních aktivit, pro které uživatel potřebuje použít IBM Tivoli Identity Manager. Na samoobslužné konzoli i na administrativní konzoli můžete určit zobrazení, které uživatel vidí. Položky řízení přístupu:

46

Přehled o produktu

Položka řízení přístupu jsou data, která označují oprávnění uživatelů pro daný typ prostředku. Vytvoříte položku řízení přístupu, která vám umožní uvést sadu operací a oprávnění a následně označit, které skupiny mohou položku řízení přístupu používat. Položka řízení přístupů definuje tyto položky: v typy entit, pro které platí položka řízení přístupu v operace, které uživatelé mohou provádět na typech entit v atributy typů entit, které uživatelé mohou číst nebo zapisovat v sada uživatelů řízených položkou řízení přístupu IBM Tivoli Identity Manager poskytuje předvolené položky řízení přístupu. Také můžete vytvořit přizpůsobenou položku řízení přístupu, která vám umožní uvést sadu operací a oprávnění a následně označit, které skupiny položka řízení přístupu řídí. Například, přizpůsobená položka řízení přístupu může omezit schopnost určité skupiny asistentů střediska podpory měnit informace pro ostatní uživatele. Položka řízení přístupu může také uvádět vztahy, jako například Správce nebo Vlastník služby. Když vytváříte vlastní sestavy, musíte pro novou sestavu také ručně vytvořit položky řízení přístupu sestav a položky řízení přístupu entit, které umožní uživatelům, kteří nejsou administrátory, jako například auditorům, spouštět a zobrazovat data pomocí vlastních sestav. Jakmile vytvoříte položku řízení přístupu nebo změníte existující položku řízení přístupu, spuste synchronizaci dat, která zajistí že ostatní procesy Tivoli Identity Manager, například generátor sestav, budou používat novou nebo změněnou položku řízení přístupu. Formuláře: Formulář je okno uživatelského rozhraní, které se používá ke shromáždění a zobrazení hodnot pro atributy účtu, služby nebo uživatele. IBM Tivoli Identity Manager zahrnuje nástroj návrhář formulářů, který se spouští jako Java applet a vy jej můžete využít k úpravě existujících formulářů pro uživatele, službu a účet. Například můžete přidat atribut číslo účtu a související pole se záznamem, abyste zachytili dané číslo pro určitý účet, nebo můžete odstranit atribut účtu, který si vaše organizace nepřeje, aby uživatel viděl. Pokud odstraníte atribut z formuláře, je odstraněn kompletně; to znamená, že ani systémoví administrátoři jej neuvidí. Uvidíte jen atributy, které jsou na formuláři a pro jejichž čtení nebo zápis máte oprávnění (jak udělí položky řízení přístupu). Pomocí návrháře formulářů můžete také upravovat formuláře pro ostatní prvky organizačního stromu, například umístění organizační jednotky.

Přehled organizačního stromu Obchodní organizace mají různé konfigurace, obsahující podřízené jednotky, včetně služeb a zaměstnanců. Pro danou sadu obchodních potřeb můžete nakonfigurovat IBM Tivoli Identity Manager, aby byla zajištěna hierarchie služeb, organizací, uživatelů a dalších prvků ve stromu, které odpovídají potřebám plnění uživatelů. Poznámka: Toto vydání poskytuje rozšířené nabídky k vyhledání určitého uživatele, nemá však pro tuto potřebu grafický organizační strom. V tomto vydání nemůžete procházet a vytvářet entity procházením organizačního stromu. Přiřazení k obchodní jednotce v organizačním stromu je uvedeno během vytváření entity. Přehled o produktu

47

Uzly v organizačním stromu Organizační strom má uzly, obsahující organizace a podřízené obchodní jednotky a případné další prvky. Organizační strom může mít tyto uzly: Organizace Označuje nejvyšší úroveň hierarchie organizace, která může obsahovat přiřazené entity, jako například organizační jednotky, organizační jednotky obchodních partnerů a umístění. Nadřízeným uzlem na vrcholu stromu je organizace. Organizační jednotka Označuje část pobočky organizace, jako je divize nebo oddělení. Organizační jednotka může být podřízena jakémukoli jinému kontejneru, jako například organizaci, organizační jednotce, umístění a organizaci obchodního partnera. Organizační jednotka obchodního partnera Označuje organizaci obchodního partnera, kterým bývá typicky společnost mimo vaši organizaci, která má určitý vztah, jako například dodavatel, zákazník nebo investor. Umístění Označuje kontejner, který je geograficky odlišný, ale je obsažen uvnitř entity organizace. Administrativní doména Označuje část organizace jako oddělenou entitu s vlastními zásadami, službami a položkami řízení přístupu, včetně administrátora, jehož akce a zobrazení jsou omezeny na tuto doménu.

Typy entit přiřazené k obchodní jednotce V organizačním stromu lze obchodní jednotce přiřadit různé typy entit. Při vytvoření entity je uvedeno její přiřazení k obchodní jednotce. Entita po vytvoření obvykle nemůže měnit přiřazení obchodní jednotky. Jedinou výjimkou je entita uživatel. IBM Tivoli Identity Manager podporuje převod uživatelů mezi různými obchodními jednotkami. V organizačním stromu lze obchodní jednotce přiřadit tyto typy entit: v uživatel v skupina ITIM v v v v v v v

služba role zásada identit zásada hesel zásada zajišování zásada výběru služby zásada recertifikace

v sled prací požadavku na účet a přístup v položka řízení přístupu

Vyhledávání entit v organizačním stromu Toto vydání poskytuje nabídky k vyhledání určitého uživatele, nemá však grafický organizační strom, ve kterém by určitého uživatele zobrazil. K vyhledání určitého uživatele pomocí vyhledávacích nabídek použijte rozšířený filtr vyhledávání, pomocí kterého se bude hledat dle typu uživatele, jako například osoba nebo

48

Přehled o produktu

osoba obchodního partnera. V rámci vyhledávání také můžete vybrat obchodní jednotku, její podjednotky a stav uživatele, například aktivní. Dále můžete přidat další pole, pomocí kterých kvalifikujete vyhledávání, včetně filtrovacího příkazu LDAP.

Přehled zásad Zásada je sada pokynů, které ovlivňují chování spravovaného prostředku (v rámci produktu IBM Tivoli Identity Manager nazývaného služba) nebo uživatele. Zásada představuje sadu organizačních pravidel a logiku, kterou produkt Tivoli Identity Manager používá ke správě ostatních entit, jako jsou ID uživatele, a použije se pro specifický spravovaný prostředek jako zásada specifické služby. Tivoli Identity Manager umožňuje organizaci používat centralizované zásady zabezpečení pro určité skupiny uživatelů. Můžete použít zásady produktu Tivoli Identity Manager k centralizaci přístupu uživatelů upro různorodé prostředky v organizaci a k implementaci dalších zásad a funkcí, které urychlují operace přidružené k přístupu uživatelů k prostředkům. Tivoli Identity Manager podporuje následující typy zásad: v zásady osvojení v zásady totožnosti v v v v v

zásady hesel zásady zajišování zásady recertifikace zásady dělení činností zásady výběru služby

Zásada může být použita na jednu nebo více cílových služeb, které mohou být označeny bu typem služby, nebo explicitním výpisem služeb. Tyto zásady se nepoužívají pro služby, reprezentující dodání identit. v Zásady převzetí platí pro všechny služby. Globální zásada převzetí platí pro všechny služby určitého typu služby. v Zásady identit, zásady hesel a zásady zajišování se mohou použít na všechny typy služeb, na všechny služby daného typu služby nebo na specifické služby. v Zásady recertifikace nemohou vystupovat jako všechny typy služeb, můžete však tyto různé služby přidat pro určitou zásadu recertifikace. v Zásady dělení činností nepoužívejte přímo pro typy služeb a použijte je pouze pro členství rolí pro uživatele. v Zásady výběru služeb platí pouze na jeden typ služby.

Typy zásad a navigace Tabulka 11. Typy zásad a navigace Typ zásady

Navigace

Převzetí

Spravovat zásady > Spravovat zásady převzetí

Identita

Spravovat zásady > Spravovat zásady totožnosti

Heslo

Spravovat zásady > Spravovat zásady hesla

Zajišování

Spravovat zásady > Spravovat zásady zajiš
ování

Recertifikace

Spravovat zásady > Spravovat zásady recertifikace Přehled o produktu

49

Tabulka 11. Typy zásad a navigace (pokračování) Typ zásady

Navigace

Dělení činností

Spravovat zásady > Spravovat zásady dělení činností

Výběr služeb

Spravovat zásady > Spravovat zásady výběru služeb

Předvolby účtu Předvolby účtů definují výchozí hodnoty účtu během vytváření nového účtu. Předvolba může být definována na úrovni typu služby a platí pro všechny služby tohoto typu nebo na úrovni služby, která platí pouze pro tuto službu.

Vynucení zásad Globální vynucení zásady je chování, při kterém Tivoli Identity Manager globálně povoluje nebo blokuje účty, které narušují zásady zajišování. Je-li akce vynucení zásady globální, bude vynucení zásady pro jakoukoli službu definováno výchozím nastavením konfigurace. Pro účet s neslučitelným atributem můžete uvést provedení jedné z následujících akcí vynucení zásady. Poznámka: Pokud má služba specifické nastavení vynucení zásady, bude toto nastavení použito pro neslučitelné účty. Nastavení globálního vynucení zde neplatí. Vynucení zásady lze také nastavit pro specifickou službu. Označení Existující uživatelský účet staré služby je označen jako nepovolený a nový účet nebude na nové službě vytvořen. Pozastavení Existující uživatelský účet instance staré služby je označen jako nepovolený a nový účet nebude na nové službě vytvořen. Výstraha Administrátorovi příjemce je zaslána výstraha, potvrzující odebrání starého účtu na staré službě a vytvoření nového účtu na nové službě, pokud uživatel nemá na nové službě účet a nárok je automatický. Oprava Existující účty jsou odebrány na staré službě a pokud uživatel nemá účet na nové službě a nárok je automatický, nový účet je vytvořen na nové službě. Chcete-li pracovat s vynucením globální zásady, přejděte na navigační strom a vyberte Konfigurovat systém > Konfigurace vynucení globálních zásad. Poznámka: Chcete-li nastavit vynucení zásady služby, přejděte do navigačního stromu a vyberte Spravovat služby.

Přehled sledu prací Sled prací definuje sekvenci aktivit, reprezentujících obchodní proces. Sledy prací můžete využít k přizpůsobení zajišování účtů a přístupů a také ke správě životního cyklu. Sled prací je sada kroků nebo aktivit, definujících obchodní proces. Sledy prací IBM Tivoli Identity Manager můžete využít k přizpůsobení zajišování účtů a přístupů a také ke správě životního cyklu. Do procesů zajišování účtů nebo přístupů můžete například přidávat

50

Přehled o produktu

schválení a požadavky na informace, můžete také integrovat procesy správy životního cyklu (například přidání, odebrání a úrava osob a účtů v rámci Tivoli Identity Manager) pomocí externích systémů. Tivoli Identity Manager poskytuje tyto hlavní typy sledů prací: Sledy prací operací Sledy prací operací použijte k přizpůsobení správy životního cyklu účtů a osob nebo specifického typu služby, například všech systémů Linux. Sledy prací operací přidávají, odstraňují, upravují, obnovují a pozastavují systémové entity, například účty nebo osoby. Můžete také přidávat nové operace, které proces vyžaduje, například schvalování nových účtů. Můžete například uvést sled prací operací, definující aktivity ke schválení účtu, včetně upozornění a schvalování nadřízeným. Sledy prací pro požadavky na účty a přístupy Sledy prací pro požadavky na účty a přístupy použijte k ujištění, že jsou určité prostředky, například účty nebo služby, zajišovány uživatelům podle obchodních zásad vaší organizace. Poznámka: Výraz sled prací nároku byl dříve používán pro tento typ sledu prací v produktu Tivoli Identity Manager verze 4.6. v Sled prací pro požadavek na účet může být svázán s nárokem na přístup nebo účet. V zásadách zajišování sled prací nároků pro účty přidává k požadavkům na účty rozhodovací body, například přidávání nebo úprava účtu. Je-li požadavek schválen, bude zpracování pokračovat; pokud je požadavek zamítnut, bude požadavek zrušen. Sled prací požadavku na účet je vyvolán během požadavků zajišování účtů, včetne přidávání a úprav účtu, vytvořeného uživatelem Tivoli Identity Manager nebo vytvořeného během automatického zajišování. Sled prací požadavku na účet může být také vyvolán během požadavku na přístup, pokud není definován žádný sled prací pro požadavek na přístup. v Sled prací požadavku na přístup je definicí přístupu svázán s přístupem a ne se zásadou zajišování. Tento sled prací může uvádět kroky a schválení, opravňující k přístupu k prostředkům v požadavku. Sled prací s žádostí k přístupu se vyvolá pouze v případě žádostí k přístupu, které jsou učiněny uživatelem produktu Tivoli Identity Manager, ale nikoliv, když je přístup poskytnut uživateli jako výsledek žádosti externího nebo interního účtu. Externí požadavek na účet je požadavek na účet, vytvořený uživatelem Tivoli Identity Manager. Interní požadavek na účet je požadavek na účet, vytvořený systémem Tivoli Identity Manager; například automatické zajišování účtů, poskytující uživateli výchozí nebo povinnou skupinu, která je mapována na přístup.

Přehled funkcí IBM Tivoli Identity Manager dodává zjednodušenou možnost správy identit v řešení, které lze jednoduše nainstalovat, nasadit a spravovat. IBM Tivoli Identity Manager poskytuje nezbytnou správu hesel a možnosti pro zajišování uživatelů a auditování.

Přehled o produktu

51

Vylepšené uživatelské rozhraní IBM Tivoli Identity Manager představuje nové duální uživatelské rozhraní, které uživatelům zobrazuje pouze to, co ke své práci potřebují. Rozhraní jsou oddělena a uživatelé k nim přistupují pomocí odlišných adres. IBM Tivoli Identity Manager má dva typy uživatelského rozhraní, samoobslužné rozhraní a rozhraní administratvní konzoly. Samoobslužné uživatelské rozhraní Samoobslužné uživatelské rozhraní poskytuje jednodušší část osobních úloh, které jsou určeny pouze pro uživatele. Uživatelské rozhraní administrativní konzoly Uživatelské rozhraní administrativní konzoly poskytuje rozšířenou sadu administrativních úloh a má nové možnosti multitaskingu.

Uživatelské rozhraní administrativní konzoly Administrativní konzola poskytuje silnou sadu nástrojů pro správu organizace. Přizpůsobení konzoly uživateli Uživatelské rozhraní administrativní konzoly obsahuje celou sadu administrativních úloh, jako jsou například správa rolí, zásad a sestav. Tato uživatelská konzola poskytuje sadu úloh, z nichž je každá zaměřena na splnění potřeb výchozích typů administrativních uživatelů: v administrátor systému v vlastník služby v asistent střediska podpory v auditor v správce Administrátor systému může snadno nastavit, které úlohy mohou různé typy uživatelů provádět. Chcete-li řídit přístup uživatelů k účtům a úlohám, například použijete předvolenou sadu skupin uživatelů, položek řízení přístupu a zobrazení. Uživatelský přístup můžete také přizpůsobit definováním dalších skupin uživatelů, zobrazení a položek řízení přístupu. Řízení souběžného zpracování Průvodci v uživatelském rozhraní administrativní konzoly urychlují administrativní úlohy přidávání uživatelů, požadavků na účty a vytváření nových služeb. Administrátor může souběžně spravovat několik úloh. Rozšířené možnosti vyhledávání Uživatelské rozhraní administrativní konzoly také poskytuje výkonné pokročilé funkce vyhledávání.

Samoobslužné uživatelské rozhraní Pomocí samoobslužného rozhraní IBM Tivoli Identity Manager mohou uživatelé aktualizovat své osobní informace a hesla, zobrazit požadavky, dokončovat a delegovat aktivity a požadovat i spravovat své vlastní účty a přístupy. Samoobslužné uživatelské rozhraní poskytuje centrální umístění pro uživatele, kteří provádí různé jednoduché intuitivní úlohy. Z domovské stránky samoobslužného rozhraní jsou k dispozici následující panely, závislé na oprávnění, které administrátor udělil.

52

Přehled o produktu

Nutné akce Seznam úloh, které je nutné dokončit. Moje heslo Seznam úloh, které mění heslo. Pokud je aktivována synchronizace hesel, uživatelé mohou zadat jedno heslo, které bude synchronizováno pro všechny jejich účty. Uživatel může resetovat zapomenuté heslo úspěšným zodpovězením otázek pro případ zapomenutí hesla, pokud jsou tyto informace v systému nakonfigurovány. Můj přístup Seznam úloh, požadujících a spravujících přístupy ke složkám, aplikacím, rolím a jiným prostředkům. Můj profil Seznam úloh, určených ke zobrazení nebo aktualizaci osobních informací. Moje požadavky Seznam úloh, určených ke zobrazení požadavků, které uživatel zadal. Moje aktivity Seznam aktivit, vyžadujících akci uživatele. Uživatelé mohou aktivity také delegovat.

Recertifikace Recertifikace produktu IBM Tivoli Identity Manager Server zjednodušuje a automatizuje proces pravidelného opětného ověření uživatelů, účtů a přístupů. Proces recertifikace automatizuje ověření, zda jsou uživatelé, účty a přístupy stále vyžadovány pro platné obchodní účely. Proces odešle upozornění na recertifikaci a události schválení účastníkům, které uvedete.

Sestavy Sestavy IBM Tivoli Identity Manager snižují dobu přípravy na audity a poskytují konzolidovaný pohled na přístupová oprávnění a aktivity zajišování účtů pro všechny spravované osoby a systémy. Sestava je souhrn aktivit a prostředků IBM Tivoli Identity Manager. Sestavy můžete generovat dle požadavků, uživatelů a účtů, služeb nebo auditu a zabezpečení. Data sestavy projdou procesem synchronizace dat, který shromáždí data z úložiště informací adresáře IBM Tivoli Identity Manager a připraví je pro generátor sestav. Synchronizaci dat lze spustit příkazem nebo ji lze naplánovat, aby se prováděla pravidelně. K dispozici jsou tyto kategorie sestav: Požadavky Sestavy, poskytující data procesů sledu prací, například operací s účty, schvalování a zamítání. Uživatelé a účty Sestavy, poskytující data uživatelů a účtů, například individuální účty a přístupy, nevyřízené recertifikace a pozastavené jednotlivce. Služby Sestavy, poskytující data služeb, například statistiky sladění, seznamy služeb a souhrny účtů na službě. Audity a zabezpečení Sestavy, které poskytují data auditu a zabezpečení, například informace o řízení přístupu, události auditu a neslučitelné účty. Přehled o produktu

53

Statické a dynamické role Produkt IBM Tivoli Identity Manager poskytuje statické a dynamické role. V případě statických organizačních rolí je přiřazení osoby ke statické roli ruční proces. V případě dynamických rolí může být uveden rozsah přístupu pouze pro organizační jednotku nebo na organizační jednotku a její podjednotky. Dynamické organizační role při nastavení členství uživatelů ke specifické roli používají platné filtry LDAP. Například, dynamická role může používat filtr LDAP, aby poskytl přístup ke specifickým prostředkům uživatelům, kteří jsou členy oddělení auditování s názvem audit123. Například, zadejte: (departmentnumber=audit123)

Dynamické organizační role jsou vyhodnoceny v následujících případech: v Když je nový uživatel vytvořen v systému produktu Tivoli Identity Manager v Když informace o uživateli, jako je název nebo členství oddělení, změní v Když je vytvořena nová dynamická organizační role

Samostatná správa IBM Tivoli Identity Manager umožňuje uživatelům a administrátorům požadovat a spravovat přístupy k prostředkům, například sdíleným složkám, e-mailovým skupinám nebo k aplikacím. Přístupy se liší podle účtů. Jestliže účet existuje jako objekt na spravované službě, přístup je nárok na použití prostředku na spravované službě, například sdílená složka. Schopnost přistupovat k prostředku je založena na atributech skupiny, do které uživatel patří. Uživatelský přístup k prostředku je proto závislý na účtu a jeho mapování do skupiny. Je-li účet pozastaven, stane se jeho přístup neaktivní; podobně je-li účet obnoven, bude jeho přístup opět aktivován. Je-li účet odstraněn, přístup k prostředku bude pro tohoto uživatele odstraněn. Dojde-li k odebrání skupiny ze služby, bude také odebrán uživatelský přístup, mapující na tuto skupinu. Administrátor bude obvykle konfigurovat přístup k prostředkům na službě v závislosti na potřebách konkrétní uživatelské skupiny. Uživatelé mohou požadovat nebo odstranit přístup, což jim umožňuje spravovat jejich přístup k prostředkům, které používají, bez nutnosti porozumění základní technologii, například atributům účtu.

Funkce zajišování IBM Tivoli Identity Manager poskytuje podporu pro zajišování, což je proces zajištění, implementace a sledování služby nebo komponenty ve vašem podniku. Je-li implementován jako jeden ze sady produktů zabezpečení, Tivoli Identity Manager hraje klíčovou roli v zajištění, že prostředky budou přístupné pouze autorizovaným osobám, dohlíží přitom na přesnost a úplnost metod, zpracovávajících informace a uděluje autorizovaným uživatelům přístup k informacím a souvisejícím součástem.

Přehled Tivoli Identity Manager poskytuje integrované softwarové řešení pro správu zajišování služeb, aplikací a řízení zaměstnanců, obchodních partnerů, dodavatelů a jiných, souvisejících s vaší společností programově, organizačně nebo geograficky. Funkcí zajišování můžete využít k řízení instalace a údržby uživatelských přístupů do systému a vytváření účtů pro spravované prostředky. Dva hlavní typy informací jsou data osob a data účtů. Data osob představují osoby, jejichž účty jsou spravovány. Data účtů představují pověření osob a spravovaných prostředků, ke kterým byly osobám uděleny přístupy.

54

Přehled o produktu

Na nejvyšší úrovni řešení správy identit automatizuje a centralizuje procesy zajišování prostředků, jako například operačních systémů a aplikací a osob pracujících v organizaci. Organizační struktura může být změněna tak, aby odpovídala zásadám a procedurám zajišování. Organizační diagram, použitý pro zajišování prostředků, však nemusí nezbytně odrážet materiální strukturu organizace. Administrátoři na všech úrovních mohou používat standardní procedury pro správu uživatelských pověření. Některé úrovně administrace lze redukovat nebo eliminovat, v závislosti na šíři použitého řešení správy zajišování. Dále můžete bezpečně distribuovat schopnosti administrace, ručně nebo automaticky mezi více organizací. Administrátor domény může například obsluhovat osoby a prostředky v této doméně. Tento uživatel může provádět úlohy administrace a zajišování, není však oprávněn provádět úlohy konfigurace, například vytvářet sledy prací. Tivoli Identity Manager podporuje distribuované schopnosti administrace, které obsahují bezpečnou distribuci úloh zajišování mezi různými organizacemi, ruční nebo automatickou. Když distribuujete administrativní úlohy v organizaci, zlepšíte přesnost a efektivnost administrace a zlepšíte rovnováhu organizační pracovní zátěže. Tivoli Identity Manager řeší zajišování služeb podniku a komponent v následujících oblastech: v správa přístupu účtů v automatizace sledu prací a životního cyklu v zásady zajišování v řízení přístupu dle rolí v schopnosti dělení činností v automaticky řízená administrace uživatele v přizpůsobení

Správa přístupu k účtu a systém zajišování S efektivním řešením správy přístupu účtů může vaše organizace přesně sledovat, kdo má v organizaci přístup k jakým informacím. Řízení přístupu je kritickou funkcí centralizovaného systému zajišování v jednom bodě. Mimo ochrany citlivých informací odhaluje řízení přístupu existující účty, které mají neschválená oprávnění nebo které již nejsou potřebné. Osiřelé účty jsou aktivní účty, které nelze přiřadit k platným uživatelům. V případě osiřelých účtů na spravovaném prostředku nemůže být vlastník účtu systémem zajišování automaticky určen. Aby bylo možné řídít osiřelé účty, systém zajišování propojí informace účtů s informacemi o uživatelích, kteří účty vlastní. Informace o identitě uživatelů jsou obvykle spravovány v databázích lidských zdrojů. Nesprávně konfigurované účty jsou aktivní účty, přiřazené k platným uživatelům, které však mají nesprávně přidělená oprávnění, protože organizace umožňuje místním administrátorům přidávat nebo upravovat uživatele mimo produkt Tivoli Identity Manager. Schopnost zjistit nesprávné účty je mnohem obtížnějsí a vyžaduje na úrovni oprávnění účtu porovnání údajů “jak by to mělo být” a “jak to je”. Existence účtu nemusí nezbytně odhalit jeho schopnosti. Účty v sofistikovaných IT systémech zahrnují stovky parametrů, definujících oprávnění a tyto podrobnosti lze řídit systémem zajišování. Noví uživatelé mohou být identifikováni pomocí vložení dat, pocházejících z adresáře lidských zdrojů a schopnost schválení požadavku na přístup spustí procesy, které schvalují (nebo zamítají) jejich zajištění prostředků.

Přehled o produktu

55

Automatizace sledu prací a životního cyklu Jakmile je uživatel začleněn nebo zaměstnán v organizaci, začíná zde jeho životní cyklus. Vaše obchodní zásady a procesy, a už ruční nebo automatizované, zajišují uživateli přístup k určitým prostředkům dle jeho role a zodpovědnosti. Pokud se během času role a funkce uživatele změní, vaše obchodní zásady a procesy mohou zajistit prostředky, které by měl mít uživatel k dispozici. Případně uživatel nebude přičleněn k organizaci, přidružené účty budou pozastaveny a později odstraněny a životní cyklus uživatele v organizaci bude dokončen. Chcete-li přizpůsobit způsob zajišování účtů, správu životního cyklu uživatelů a účtů, například přidávání, odebírání a úpravy uživatelů a účtů, můžete využít sledy prací. Úplný systém sledů prací zajišování automaticky směruje požadavky na správné schvalovatele a preemptivně je eskaluje na alternativní schvalovatele, pokud nejsou prováděny akce dle požadavků. V rámci Tivoli Identity Manager můžete definovat dva typy sledů prací: sled prací nároku, který je používán k pro aktivity zajišování a provozní sledy prací, které se používají pro typy entit. Sled prací nároku definuje obchodní logiku, úzce související s akcemi zajišování ze zásad zajišování. Nárok zásady zajišování je provázán s akcemi zajišování sledů prací nároků. Sled prací nároků se například používá k definici schvalování při správě účtů. Provozní sled prací definuje obchodní logiku procesů životního cyklu pro typy entit a entity. K automatizaci klíčových aspektů zajišování životního cyklu, specificky schvalovacích procesů, využívaných ve vaší organizaci, můžete použít programovací nástroje pro sledy prací. Objekt sledu prací v organizačním stromu může obsahovat jednoho nebo více účastníků a eskalačních účastníků. Účastník je podpisová autorita, která schvaluje nebo zamítá zajišovací požadavek.

Zásady zajišování a auditování Entita organizační role je přidružena k jedné nebo více identit, když použijete řízení přístupu na základě role pro prostředky, které jsou spravovány produktem Tivoli Identity Manager. Organizační role je řízena zásadou zajišování, která představuje sadu organizačních pravidel, a dodává logiku, kterou produkt Tivoli Identity Manager Server používá ke správě prostředků jako aplikace nebo operační systémy. Pokud je role členem další organizační role v zásadě zajišování, pak tento člen role také získá oprávnění zásady zajišování. Zásada zajišování mapuje osoby v organizačních rolích do služeb, které představují odpovídající prostředky v produktu Tivoli Identity Manager, a nastaví nároky, které osoby mají při přístupu k službám. Zásady zajišování, které implementujete, musí odpovídat zásadám správy organizačních identit ve vašem plánu zabezpečení. Chcete-li implementovat efektivní zásady zajišování, musíte analyzovat a dokumentovat existující procesy obchodních schvalování ve vaší organizaci a určit, jaká je třeba v těchto procesech provést nastavení, aby bylo možné implementovat řešení automatizované správy identit. Zásada zajišování poskytuje klíčovou část struktury pro automatizaci správy životního cyklu identit. Tivoli Identity Manager poskytuje rozhraní API pro přístup k informacím o zásadách zajišování, definovaných v produktu Tivoli Identity Manager a rozhraní k přístupu, udělenému individuální úloze. Tato rozhraní API je možné efektivně využít pro generování dat auditu. Když je definována zásada zajišování, funkce sladění umožňuje vynucení pravidel zásad a brání, aby se podílející se systémy (produkt Tivoli Identity Manager Server i úložiště spravovaných prostředků) staly případně jednoduchým bodem nebo selhaly. Pokud jsou platné dvě nebo více zásad zajišování, direktiva sloučení definuje, jak zacházet s atributy. Dvě nebo více zásad může mít překrývající se rozsahy a direktiva sloučení udává, jaké akce se mají v případě překrytí provést.

56

Přehled o produktu

Zásady zajišování mohou být mapovány na odlišnou část nebo úroveň organizační hierarchie. Například, zásady mohou být definovány ve specifické organizační jednotce ovlivňující organizační role pouze této jednotky. Zásady výběru služeb rozšíří funkci zásady zajišování povolením zajišování účtů založených na atributech osoby. Zásada výběru služby je vynucena, pokud je definována jako cíl zásady zajišování. Zásada výběru služby definuje zajišování v závislosti na instrukcích JavaScript, které obsahuje skript. Logika ve skriptu JavaScript obvykle používá osobní atributy objektu k určení, kterou službu použít, které je často umístění osoby v organizačním řetězci.

řízení přístupu dle rolí Řízení přístupu dle rolí (RBAC) používá role a zásady zajišování k vyhodnocení, testování a vynucení vašich obchodních procesů a pravidel pro udělení přístupu uživatelům. Administrátoři vytváří zásady zajišování a přiřazují uživatele do rolí, což pro tyto role definuje sady nároků k prostředkům. Úlohy RBAC zavádí řízení přístupu k prostředkům dle rolí, což rozšiřuje řešení správy identit na softwarově založené procesy a redukuje ruční zásahy uživatele do procesu zajišování. Řízení přístupu dle rolí vyhodnocuje změny informací o uživatelích, aby bylo možné určit, zda změny ovlivní uživatelovo členství v roli. Je-li nutná změna, jsou zkontrolovány zásady a okamžitě dojde ke změně nároků. Podobně i změna definice sady prostředků v zásadě může také spustit změnu přiřazených nároků. Řízení přístupu dle rolí zahrnuje následující funkce: v povinné a volitelné nároky, přičemž volitelné nároky nejsou automaticky zajišovány, mohou však být požadovány uživatelem ve skupině v předpokládané služby, které musí uděleny před nastavením určitých přístupových oprávnění v předvolby a omezení nároků, kde může být každá charakteristika nároku nastavena na výchozí hodnotu nebo může být omezen její rozsah v závislosti na schopnostech nároku, který má být udělen v jeden účet s více oprávněními, ovládanými různými zásadami v soukromá filtrovaná zobrazení informací o uživatelích a dostupných prostředcích v přístupy k ověřování uživatelů, které jsou konzistentní s interními zásadami zabezpečení v distribuce komponent systému zajišování bezpečně v prostředích WAN a Internetu, včetně procházení bran firewall v ID uživatelů, využívající konzistentní, uživatelsky definované algoritmy

Automaticky řízená administrace uživatele Když organizace zahájí zajišování prostředků v rámci všech interních organizací, je nutné implementovat schopnost automaticky řízené administrace uživatelů, přinášející také výhody v zajišování uživatelů mezi organizačními hranicemi. V tomto prostředí je změna ve stavu uživatele automaticky znázorněna v přístupových právech napříč organizačními hranicemi a územími. Můžete tak snížit náklady na zajišování, zefektivnit procesy přístupů a schvalování a realizovat velký potenciál implementace řízení přístupů dle rolí do celé správy přístupů ve vaší organizaci. Pomocí automatizovaných procedur pro vedení zajišování uživatelů můžete snížit náklady na administraci, pomocí automatického vynucení zásad můžete zvýšit zabezpečení, zefektivnit a centralizovat správu životního cyklu uživatelů a zajišování prostředků ve velkých populacích uživatelů.

Přírůstkové zajišování a další možnosti přizpůsobení Váš tým může použít obchodní plány a požadavky k rozhodování o míře přizpůsobení Tivoli Identity Manager. Velký podnik například může pro sledy prací vyžadovat rozfázovaný plán a vlastní adaptéry, které jsou založeny na časové ose pro přírůstkově zajišované aplikace se Přehled o produktu

57

širokým geografickým využitím. Jiný plán přizpůsobení může po úspěšném testování poskytnout dvěma nebo více aplikacím zajišování v rámci celé organizace. Interakce uživatelské aplikace může být přizpůsobena a procedury zajišování prostředků mohou být upraveny tak, aby vyhověly automatizovanému zajišování. Chcete-li službu nebo komponentu odebrat, můžete zrušit její zajišování. Zrušení zajištování například účtu znamená, že účet bude odstraněn z prostředku.

Zajišování prostředků V závislosti na obchodních potřebách IBM Tivoli Identity Manager poskytuje alternativy k zajišování prostředků pro oprávněné uživatele dle požadavků, dle rolí nebo hybridní modely.

Přístup k prostředkům dle požadavků Na základě požadavku IBM Tivoli Identity Manager poskytuje proces pro udělení, úpravu a odstranění přístupu k prostředkům pomocí podniku a pro zavedení efektivního monitorování pomocí automatizovaných sestav. Při zajišování dle požadavků uživatelé a jejich správci vyhledávají a požadují přístup ke specifickým aplikacím, úrovním privilegií nebo prostředkům pomocí systému. Požadavky jsou ověřovány schvalováním, řízeným sledy prací a auditovány pro potřeby vykazování a slučitelnosti. Například uživatelé, nebo jejich správci, mohou požadovat přístup k novým účtům. Dále jsou upozorněni správci nebo jiní administrátoři na nevyužité účty, přičemž dostávají možnost odstranit účty pomocí procesu recertifikace. Tyto periodické kontroly oprávnění uživatelských přístupů zajistí, že dříve schválený přístup bude odstraněn, pokud nebude již dále potřebný.

Řízení přístupů a rolí V zákaznické implementaci podporuje organizační role různé modely řízení přístupu a zajišování přístupu. Organizační role se může mapovat do přístupových nároků produktu IBM Tivoli Identity Manager v zásadě zajišování, tak aby skupiny produktu Tivoli Identity Manager mohly být autorizovány nebo automaticky zajištěny pro uživatele, kteří jsou členy role. Pokud je role členem další organizační role v zásadě zajišování, pak tento člen role také získá oprávnění zásady zajišování. Skupiny produktu Tivoli Identity Manager se mohou použít k definování zobrazení a řízení přístupu pro různé typy entit, které jsou spravovány v produktu Tivoli Identity Manager.

Hybridní model zajišování Hybridní model zajišování prostředků kombinuje přístupy dle požadavků s přístupy dle rolí, které IBM Tivoli Identity Manager oba podporuje. Pro část zaměstnanců nebo spravovaných systémů může být požadován automatizovaný přístup s přiřazením dle role a pro všechny ostatní požadavky na přístupy má být použit model na základě požadavků. V některých případech se začíná ručním přiřazováním a přechází se k hybridnímu modelu, s budoucím záměrem implementace na základě rolí. Pro jiné společnosti je z obchodních důvodů nepraktické dosažení úplného zajišování dle rolí a zaměřují se na hybridní přístup. Mnoho společností může být však spokojeno se zajišováním pouze dle požadavků a nepřejí si investovat další úsilí do definice a správy automatizovaných zásad zajišování dle rolí.

58

Přehled o produktu

O těchto informacích Toto Informační centrum popisuje, jak instalovat, konfigurovat a spravovat IBM IBM Tivoli Identity Manager.

Komu jsou určeny Toto Informační centrum je navrženo pro administrátory systému a zabezpečení v organizacích, které používají IBM Tivoli Identity Manager. U čtenářů se předpokládá porozumění koncepcím administrace systému a zabezpečení. Dále musí čtenáři rozumět koncepcím administrace následujících typů produktů: v databázový server v adresářový server v aplikační server v podpora posílání zpráv v webový server

Příručky Přečtěte si popisy ke knihovně produktu a související příručky, abyste určili, které příručky budou pro vás vhodné. Jakmile zjistíte, které příručky potřebujete, nahlédněte do instrukcí, jak získat příručky.

Knihovna IBM Tivoli Identity Manager Produktovou dokumentaci můžete získat v Informačním centru produktu Tivoli Identity Manager. Informační centrum je k dispozici na adrese http://publib.boulder.ibm.com/infocenter/tivihelp/ v2r1/topic/com.ibm.itim.doc/welcome.htm. Informace o administraci jsou prezentovány v HTML. V souborech PDF jsou poskytovány následující informace: v IBM Tivoli Identity Manager Quick Start Guide v IBM Tivoli Identity Manager Installation and Configuration Guide v IBM Tivoli Identity Manager Message Reference v IBM Tivoli Identity Manager Database and Schema Reference v IBM Tivoli Identity Manager Performance Tuning Guide v Instalační a konfigurační příručky k adaptérům, podporovaným touto verzí Tivoli Identity Manager

Související příručky Související příručky můžete získat na těchto webových stránkách IBM. v Softwarová knihovna Tivoli poskytuje mnoho publikací Tivoli, jako například dokumenty White paper, ukázky, IBM Redbooks a oznamovací dopisy. Softwarová knihovna Tivoli je k dipozici na webové stránce: http://publib.boulder.ibm.com/tividd/td/tdprodlist.html v Softwarový slovníček Tivoli obsahuje definice mnoha technických výrazů, souvisejících se softwarem Tivoli. Softwarový slovníček Tivoli je k dispozici na adrese http://publib.boulder.ibm.com/tividd/glossary/tivoliglossarymst.htm

Přístup k příručkám online Příručky k tomuto produktu jsou v knihovně softwaru Tivoli k dispozici ve formátu Portable Document Format (PDF) nebo ve formátu Hypertext Markup Language (HTML) nebo obojí.

Přehled o produktu

59

Knihovna softwaru Tivoli je umístěna na adrese http://publib.boulder.ibm.com/tividd/td/ tdprodlist.html. Vyhledání příruček k produktu v knihovně provete klepnutím na první písmeno názvu produktu nebo posouváním, než narazíte na název produktu. Pak klepněte na název produktu. Příručky k produktu mohou obsahovat poznámky k vydání, instalační příručky, uživatelské příručky, administrátorské příručky a odkazy pro vývojáře. Poznámka: Správný tisk příruček PDF provedete označením zaškrtávacího pole Umístit na stránku v okně Adobe® Acrobat Print (které je k dispozici po klepnutí na Soubor → Tisk).

Objednání příruček Mnoho příruček Tivoli lze objednat online nebo telefonicky. Příručky můžete objednat na adrese http://www.elink.ibmlink.ibm.com/public/applications/ publications/cgibin/pbi.cgi. Také je můžete objednat telefonicky na číslech: v ve Spojených Státech: 800-879-2755 v v Kanadě: 800-426-4968 V ostatních zemích se podívejte na webovou stránku http://www.elink.ibmlink.ibm.com/ public/applications/publications/cgibin/pbi.cgi.

Technické školení Tivoli Informace o softwarovém školení Tivoli najdete na webové stránce IBM Tivoli Education. Adresa webové stránky je http://www.ibm.com/software/tivoli/education/.

Informace o podpoře Máte-li problém se softwarem IBM, potřebujete jej rychle vyřešit. IBM nabízí několik možností, jak získat potřebnou podporu.

Informace o této úloze Online Přejděte na webovou stránku softwarové podpory IBM na adrese http://www.ibm.com/software/support/probsub.html a dbejte uvedených instrukcí. IBM Support Assistant IBM Support Assistant (ISA) je místní nástroj pro obslužnost softwaru, který je zdarma a napomáhá vám při řešení otázek a problémů se softwarovými produkty IBM. ISA poskytuje rychlý přístup k informacím podpory a nástrojům obslužnosti pro určování problémů. Chcete-li nainstalovat software ISA, přejděte na stránku http://www.ibm.com/software/support/isa, přihlaste se a dle instrukcí stáhněte produkt IBM Support Assistant, určený pro váš operační systém. Po stažení a instalaci produktu IBM Support Assistant vyhledejte modul plug-in pro IBM Tivoli Identity Manager 5.0.

Konvence používané v těchto informacích Tyto informace používají několik konvencí pro speciální výrazy a akce a pro příkazy a cesty, závislé na operačním systému.

Konvence typů písma Tyto informace používají následující konvence typů písma. Tučné písmo

60

Přehled o produktu

v Příkazy malými písmeny a různými písmeny, které se jinak těžko odliší od okolního textu. v Ovládací prvky rozhraní (zaškrtávací pole, tlačítka, přepínače, otočné přepínače, pole, složky, ikony, okna se seznamy, položky v oknech se seznamy, vícesloupcové seznamy, zásobníky, volby nabídky, názvy nabídky, karty, listy vlastností), označení (jako je Tip a Posouzení operačního systému). v Klíčová slova a parametry v textu. Kurzíva v v v v

Slova definovaná v textu. Důraz na slova (slova jako slova). Nové termíny v textu (s výjimkou seznamu definic). Proměnné a hodnoty, které musíte zadat.

Znaky s mezerou v Příklady a příklady kódu. v Názvy souborů, klíčová slova programování a další prvky, které je obtížné odlišit od okolního textu. v Text zpráv a výzvy adresované uživateli. v Text, který musí uživatel zapsat. v Hodnoty pro parametry a volby příkazů.

Definice proměnných adresáře HOME a dalších Následující tabulka obsahuje výchozí definice, použité v těchto informacích pro reprezentaci úrovně adresáře HOME, používané v instalačních cestách různých produktů. Adresář HOME můžete přizpůsobit dle vlastní specifické implementace. V tomto případě potřebujete odpovídající substituci definice každé proměnné, znázorněné v této tabulce. Předvolená hodnota cesty se liší pro tyto operační systémy: v Pro systémy Windows je výchozí cestou jednotka:\Program Files. v Pro systémy Linux, Solaris a HP-UX (UNIX) je výchozí cestou /opt. v Pro systémy AIX je výchozí cestou /usr. Tabulka 12. Proměnné adresáře HOME a dalších adresářů Proměnná cesty DB_HOME

Výchozí definice Windows cesta\IBM\SQLLIB Linux, AIX, HP-UX a Solaris cesta/ibm/db2/V9.1

DB_INSTANCE_HOME

Windows jednotka\IBM\SQLLIB Linux, AIX a HP-UX /home/název_intance_db Solaris

Popis Adresář, který obsahuje databázi DB2 pro IBM Tivoli Identity Manager. Adresář, který obsahuje instanci databáze DB2 pro IBM Tivoli Identity Manager.

/export/home/ název_intance_db

Přehled o produktu

61

Tabulka 12. Proměnné adresáře HOME a dalších adresářů (pokračování) Proměnná cesty ITIM_HOME

Výchozí definice Windows cesta\IBM\itim Linux, AIX, HP-UX a Solaris cesta/IBM/itim

ITIM_UNINSTALL_HOME

Windows cesta\IBM\itim\ itimUninstallerData Linux, AIX, HP-UX a Solaris cesta/IBM/itim/ itimUninstallerData

WAS_HOME

Windows cesta\IBM\WebSphere\ AppServer

Popis Základní adresář, který obsahuje kód, konfiguraci a dokumentaci IBM Tivoli Identity Manager. Adresář, který obsahuje informace k odinstalaci programu IBM Tivoli Identity Manager.

Domovský adresář WebSphere Application Server

Linux, AIX, HP-UX a Solaris cesta/IBM/WebSphere/ AppServer ITDS_HOME

Windows cesta\IBM\LDAP\V6.x Linux, AIX, HP-UX a Solaris cesta/ibm/ldap/V6.x

Adresář, který obsahuje kód adresářového serveru. Číslo verze v cestě je 6.0 nebo 6.1 podle verze produktu IBM Tivoli Directory Server, který používáte.

ITDS_INSTANCE_HOME

Windows jednotka\ ibmslapdjméno_vlastníka_instance

Adresář, který obsahuje instaci Tivoli Directory Server.

Linux, AIX a HP-UX /home/jm_vlastníka_inst/ idsslapdjm_vlastníka_inst Solaris

/export/home/ jm_vlastníka_inst/ idsslapdjm_vlastníka_inst

Příkladem pro jméno_vlastníka_instance je ldapdb2, které používá instalační program IBM Tivoli Identity Manager. ITDI_HOME

Windows cesta\TDI\V6.1.1 Linux, AIX, HP-UX a Solaris cesta/IBM/TDI/V6.1.1

62

Přehled o produktu

Adresář, který obsahuje kód Tivoli Directory Integrator Server.

Tabulka 12. Proměnné adresáře HOME a dalších adresářů (pokračování) Proměnná cesty TIVOLI_COMMON_DIRECTORY

Výchozí definice

Popis

Centrální umístění všech souborů cesta\IBM\tivoli\common souvisejících se schopnostmi služeb, Linux, AIX, HP-UX a Solaris cesta/IBM/tivoli/common jako jsou protokoly a data zachycení prvního selhání. Windows

Poznámka: Pokud jste na tento systém nainstalovali jiný produkt Tivoli ještě před instalací produktu IBM Tivoli Identity Manager, bude váš společný adresář Tivoli: Windows: cesta\ibm\tivoli\ common\cfg\ log.properties Jiné systémy: /etc/ibm/tivoli/ common/cfg/ log.properties

Oznámení Tyto informace byly vyvinuty pro produkty a služby nabízené v U.S.A. Je možné, že IBM nebude v jiných zemích nabízet produkty, služby nebo funkce uvedené v tomto dokumentu. Informace o produktech a službách, které jsou momentálně ve vaší zemi dostupné, můžete získat od zástupce IBM pro vaši oblast. Žádný odkaz na produkt, program nebo službu IBM není míněn tak, že by bylo možné použít pouze produkt, program nebo službu IBM. Místo nich lze použít každý funkčně ekvivalentní produkt, program nebo službu, které nenarušují práva duševního vlastnictví IBM. Ohodnotit funkci produktu, programu nebo služby, které nejsou od IBM, je však povinností uživatele. IBM může mít patenty nebo dosud nevyřízené přihlášené patenty na předmětný obsah tohoto dokumentu. Obsah tohoto dokumentu vám neposkytuje žádná práva k těmto patentům. Písemné žádosti o licenci můžete posílat na adresu: IBM Director of Licensing IBM Corporation North Castle Drive Armonk, NY 10504-1785 U.S.A. Pokud máte zájem o licenci v zemi s dvoubajtovou znakovou sadou (DBCS), kontaktujte zastoupení IBM Intellectual Property Department ve vaší zemi nebo písemně kontaktujte:

Přehled o produktu

63

IBM World Trade Asia Corporation Licensing 2-31 Roppongi 3-chome, Minato-ku Tokyo 106-0032, Japan Následující odstavec se nevztahuje na Spojené království nebo jinou zemi, kde taková ustanovení nejsou v souladu s místními zákony: INTERNATIONAL BUSINESS MACHINES CORPORATION POSKYTUJE TUTO PUBLIKACI “TAKOVOU, JAKÁ JE”, BEZ ZÁRUKY JAKÉHOKOLI DRUHU, VYJÁDŘENÉ NEBO ODVOZENÉ, VČETNĚ, NE VŠAK POUZE, ODVOZENÝCH ZÁRUK NEZASAHOVÁNÍ, PRODEJNOSTI NEBO ZPŮSOBILOSTI PRO URČITÝ ÚČEL. Některé právní řády nepřipouštějí omezení či vyvázání se ze záruk nebo odpovědnosti za následné či nepředvídatelné škody. V takovém případě se na vás výše uvedené omezení nevztahuje. Tato publikace může obsahovat technické nepřesnosti nebo typografické chyby. Informace zde uvedené jsou pravidelně aktualizovány a v příštích vydáních této publikace již budou tyto změny zahrnuty. IBM má právo kdykoliv bez upozornění zdokonalovat nebo měnit produkty a programy popsané v této publikaci. Všechny odkazy na tyto informace, uvedené na webových stránkách jiných provozovatelů než IBM jsou poskytovány pouze pro vaši potřebu a v žádném případě neslouží k propagaci těchto webových stránek. Materiály, uvedené na takovýchto webových stránkách nejsou součástí materiálů, určených pro tento produkt IBM, a proto tyto webové stránky používáte pouze na vlastní riziko. IBM může používat nebo distribuovat informace, které jí poskytnete, způsobem, o kterém si myslí, že je odpovídající, bez dalších závazků k vám. Držitelé licence tohoto programu, kteří si přejí mít přístup i k informacím za účelem (i) výměny informací mezi nezávisle vytvořenými programy a jinými programy (včetně tohoto) a (ii) vzájemného použití sdílených informací, mohou kontaktovat: IBM Corporation 2Z4A/101 11400 Burnet Road Austin, TX 78758 USA Informace tohoto typu mohou být za odpovídajících podmínek dostupné. V některých případech připadá v úvahu zaplacení poplatku. Licencovaný program, popsaný v těchto informacích a všechny licenční materiály s ním související, které podléhají licenci, jsou dodávány společností IBM v souladu s textem smlouvy IBMCustomer Agreement, IBM International Program License Agreement nebo jiné ekvivalentní smlouvy. Jakákoli zde obsažená data o výkonnosti byla zjištěna v řízeném prostředí. Proto se výsledky získané v dalších provozních prostředích mohou významně lišit. Některá měření mohla být učiněna na systémech na úrovni vývoje a neexistuje záruka, že tato měření budou stejná na běžně dostupných systémech. Dále mohla být některá měření odhadnuta pomocí extrapolace. Skutečné výsledky se mohou lišit. Uživatelé tohoto dokumentu by měli ověřit vhodná data pro dané prostředí. Informace týkající se produktů jiných společností byly získány od dodavatelů těchto produktů, z jejich tištěných materiálů nebo z jiných veřejně dostupných zdrojů. IBM netestovala tyto produkty a nemůže potvrdit spolehlivost jejich provozu, kompatibilitu nebo

64

Přehled o produktu

jiné tvrzení týkající se těchto produktů. Otázky týkající se možností produktů jiných společností by měly být adresovány dodavatelům těchto produktů. Všechna prohlášení, týkající se budoucích směrů rozvoje IBM, podléhají změnám nebo odvoláním bez upozornění a reprezentují pouze cíle. Tyto informace obsahují příklady dat a sestav, použitých v každodenních obchodních operacích. Aby bylo možné je co nejlépe ilustrovat, obsahují příklady názvy osob, společností, poboček a produktů. Všechna tato jména jsou smyšlená a jakákoli podobnost jménům a adresám ve skutečném obchodním podniku je zcela náhodná.

Ochranné známky Následující výrazy jsou ochrannými známkami nebo registrovanými ochrannými známkami společnosti International Business Machines Corporation ve Spojených státech anebo jiných zemích: AIX DB2 developerWorks Domino IBM Lotus Lotus Notes Passport Advantage RACF Redbooks SP System p System z Tivoli WebSphere Adobe, Acrobat a Portable Document Format (PDF) jsou bu registrovanými ochrannými známkami nebo ochrannými známkami společnosti Adobe Systems Incorporated ve Spojených státech nebo jiných zemích. Intel je ochrannou známkou společnosti Intel Corporation ve Spojených státech nebo jiných zemích.

Java a všechny ochranné známky Java jsou ochrannými známkami Logo společnosti Sun Microsystems, Inc. ve Spojených státech nebo jiných zemích. Linux je ochranná známka Linus Torvalds ve Spojených státech anebo jiných zemích. Microsoft, Windows, Windows NT a logo Windows jsou ochranné známky společnosti Microsoft Corporation ve Spojených státech anebo jiných zemích. UNIX je registrovanou ochrannou známkou otevřené skupiny ve Spojených státech nebo jiných zemích.

Přehled o produktu

65

Další názvy společností, produktů nebo služeb mohou být ochrannými známkami nebo značkami služeb jiných společností.

Usnadnění přístupu Funkce usnadnění přístupu pomáhají uživateli s omezenou pohyblivostí nebo s omezeným zrakem, aby mohl úspěšně používat softwarový produkt. V tomto produktu můžete také využít pomocné technologie, které vám umožní slyšet i pohybovat se v rozhraní. Také můžete místo myši používat pouze klávesnici a plně využít všechny funkce grafického uživatelského rozhraní. IBM se snaží dodávat produkty, přístupné pro každého, bez ohledu na věk nebo schopnosti. Tento produkt používá standardní navigační klávesy Microsoft Windows. Další informace viz téma Informačního centra Funkce usnadnění přístupu pro IBM Tivoli Identity Manager.

66

Přehled o produktu

Rejstřík A

P

adaptéry 41, 42 API 12 autorizace 47

plánování skupiny 45 požadavky adresářový server 15 databázový server 14 hardwarové 13, 14 integrátor adresáře 16 Java Runtime Environment 14 JRE 14 podporované úrovně adaptérů 17 prohlížeče 16 server sestav 16 softwarové 13, 14 Tivoli Reporting Server 16 webový aplikační server 14 proces sledu prací schvalování 3 přehled organizace 47 typy entit 48 samostatná správa 54 přihlášení adresa URL 1 výchozí ID uživatele a heslo 1 přístup 39

D dělení činností

9

F formuláře 47 funkce 8

H hesla pravidla odolnosti 39, 40 synchronizace 39 heslo zapomenuté 39

I identita 38 informace pro případ zapomenutí hesla instalační obrazy 18

K korporátní slučitelnost přehled funkcí 3

L lidé

39

R

8

O opravné sady 18 organizace přehled 47 typy entit 48

Tivoli Common Reporting Tivoli Reporting Server požadavky 16 typy služeb 41

11

U účty 38 aktivní, neaktivní 38 vytvořené pro typy účtů usnadnění 66 uživatelé 38

vynucení zásady

recertifikace 10 recertifikace uživatele 10 role hierarchie 8 klasifikace 8 vlastníci 8 vztahy 8 rozhraní API 11 rozšíření sledu prací 12

38

řízení identity 7 řízení přístupu 47

S sestavy 11 skupiny 45 sled prací nároku 50 sled prací operace 50 sledování záznamu pro audit sledy prací nárok 50 operace 50

3

Z

Ř nové

T

V

38

N

slučitelnost dělení činností 9 slučitelnost, korporátní funkce 3 služby 40, 41 soubor definic služby 41 správa skupin 10 synchronizace hesel 39

3

zajišování přehled 54 zásada hesla a slučitelnost 3 zásada recertifikace 3 zásada zajišování 3 zásady dělení činností 9, 49 heslo 49 identita 49 převzetí 49 recertifikace 49 výběr služeb 49 zajišování 49 zásady dělení činností 49 zásady hesel 49 zásady identit 49 zásady osvojení 49 zásady recertifikace 49 zásady výběru služby 49 zásady zajišování 49 zobrazení předvolba 46

67