5.1 Présentation
Identity Manager propose la synchronisation bidirectionnelle des mots de passe, rendue possible par les mots de passe universels et la prise en charge des systèmes connectés pour l'abonnement aux mots de passe ou leur publication.
Comme pour d'autres attributs d'un compte utilisateur, vous avez le choix entre plusieurs sources de données expertes.
- Présentation des mots de passe
- Comparaison entre la version 1.0 de la synchronisation des mots de passe et la version fournie avec Identity Manager
- Définition de la synchronisation bidirectionnelle des mots de passe
- Fonctionnalités de la synchronisation des mots de passe Identity Manager
- Diagramme de présentation du déroulement de la synchronisation des mots de passe
5.1.1 Présentation des mots de passe
Les mots de passe NDS®, simples, de distribution et universels ont des usages différents. Dans les versions précédentes de eDirectory™ et Identity Manager, les systèmes connectés ne pouvaient actualiser que le mot de passe NDS, à travers une synchronisation unilatérale.
Identity Manager utilise un mot de passe universel, qui est réversible et peut être synchronisé avec les autres mots de passe du coffre-fort d'identité. Le mot de passe universel existe depuis la version 8.7.1 de eDirectory. Il est protégé par trois niveaux de codage.
NMAS™ contrôle le lien qui unit le mot de passe universel aux autres mots de passe du coffre-fort d'identité. Par exemple, il contrôle si le mot de passe universel reste synchronisé avec les mots de passe NDS, simple ou de distribution. Il intercepte les requêtes de changement de mot de passe entrantes et les gère conformément aux paramètres des stratégies de mot de passe NMAS.
Identity Manager contrôle la relation entre les mots de passe du coffre-fort d'identité et ceux des systèmes connectés. Il utilise pour cela le mot de passe de distribution, c'est-à-dire le mot de passe présent dans le coffre-fort d'identité qui peut être fourni aux systèmes connectés. À l'instar du mot de passe universel, le mot de passe de distribution est protégé par trois niveaux de codage et il est réversible.
Dans la stratégie de mot de passe NMAS, vous pouvez préciser si le mot de passe de distribution doit être identique au mot de passe universel en définissant le paramètre . Si le mot de passe de distribution est identique au mot de passe universel et si vous choisissez d'utiliser la synchronisation bidirectionnelle des mots de passe avec les systèmes connectés, n'oubliez pas que vous utilisez Identity Manager pour extraire le mot de passe universel de eDirectory et l'envoyer à d'autres systèmes connectés. Vous devez sécuriser le transport du mot de passe, de même que les systèmes connectés sur lesquels il sera stocké. Reportez-vous au Section 7.0, Sécurité : meilleures pratiques.
Si le mot de passe de distribution n'est pas identique au mot de passe universel, parce que vous avez désactivé le paramètre dans la stratégie de mot de passe NMAS, vous pouvez « tunnelliser » les mots de passe entre les systèmes connectés qui utilisent le mot de passe de distribution, sans utiliser ni affecter le mot de passe universel ou le mot de passe NDS. N'oubliez pas que la tunnellisation permet uniquement de synchroniser les mots de passe entre systèmes connectés. Si elle est activée, la tunnellisation ne définit pas le mot de passe du coffre-fort d'identité/universel.
Pour plus d'informations sur les différents mots de passe eDirectory, reportez-vous au Novell Modular Authentication Services (NMAS) 2.3 Administration Guide (Guide d'administration de Novell Modular Authentication Services (NMAS) 2.3). Afin d'obtenir différents exemples d'utilisation de la synchronisation des mots de passe avec Identity Manager, reportez-vous à la Section 5.8, Implémentation de la synchronisation des mots de passe.
5.1.2 Définition de la synchronisation bidirectionnelle des mots de passe
La synchronisation bidirectionnelle des mots de passe est la combinaison de l'acceptation par Identity Manager des mots de passe des systèmes connectés que vous spécifiez et de la distribution des mots de passe aux systèmes connectés que vous choisissez.
La disponibilité de la synchronisation bidirectionnelle des mots de passe sur un système connecté particulier dépend de ce que ce système prend en charge.
Certains systèmes connectés peuvent accepter des mots de passe nouveaux ou modifiés de la part de Identity Manager et peuvent aussi lui fournir le mot de passe de l'utilisateur. Ces systèmes connectés prennent en charge la synchronisation bidirectionnelle des mots de passe avec Identity Manager :
- Active Directory
- Novell® eDirectory
- NIS (Network Information Services - services d'informations réseau)
- NT Domain
Pour ces systèmes connectés, l'utilisateur peut modifier un mot de passe dans l'un des systèmes et procéder à la synchronisation de ce mot de passe avec les autres systèmes via Identity Manager. Toutefois, si vous utilisez les stratégies de mots de passe NMAS avancées, il vaut mieux que les utilisateurs modifient leurs mots de passe dans la console en libre-service de iManager, qui reste le meilleur endroit pour modifier les mots de passe car toutes les stratégies auxquels le mot de passe utilisateur doit se soumettre y sont répertoriés.
Les autres systèmes connectés ne peuvent pas fournir le mot de passe de l'utilisateur et ne prennent donc pas en charge la synchronisation bidirectionnelle des mots de passe. Ils peuvent toutefois fournir des données qui serviront à créer des mots de passe et les envoyer à Identity Manager, en définissant des stratégies au sein même de la configuration du pilote.
Plusieurs autres systèmes peuvent accepter des mots de passe Identity Manager, y compris définir un mot de passe initial pour un nouvel utilisateur ou modifier un mot de passe, voire les deux. Reportez-vous à la Section 5.2, Prise en charge par les systèmes connectés de la synchronisation des mots de passe.
5.1.3 Comparaison entre la version 1.0 de la synchronisation des mots de passe et la version fournie avec Identity Manager
Tableau 5-1 Comparaison : version 1.0 de la synchronisation des mots de passe et version fournie avec Identity Manager
|
Version 1.0 de la synchronisation des mots de passe |
Version de la synchronisation des mots de passe fournie avec Identity Manager 2 et 3 |
|---|---|---|
|
Version du produit |
Produit distinct Identity Manager. |
Fourni avec Identity Manager, non vendu séparément. |
|
Plates-formes |
|
Ces plates-formes prennent entièrement en charge la synchronisation bidirectionnelle des mots de passe :
Ces systèmes connectés prennent en charge la publication des mots de passe sur Identity Manager. Le mot de passe universel et le mot de passe de distribution sont réversibles ; Identity Manager peut donc les distribuer aux systèmes connectés. Tout système connecté prenant en charge l'élément de mot de passe Abonné peut souscrire à des mots de passe Identity Manager. Reportez-vous à la Section 5.2, Prise en charge par les systèmes connectés de la synchronisation des mots de passe. |
|
Mot de passe utilisé dans un coffre-fort d'identité |
Mot de passe NDS (non réversible) |
Mot de passe universel (réversible) ou mot de passe de distribution (réversible également). Si on le souhaite, le mot de passe NDS peut rester synchronisé. Pour consulter des exemples de scénarios, reportez-vous à la Section 5.8, Implémentation de la synchronisation des mots de passe. |
|
Fonctionnalité principale pour les systèmes Windows connectés |
Envoi de mots de passe à Identity Manager afin que le mot de passe du coffre fort d'identité soit synchronisé avec le mot de passe Windows. Les mots de passe n'ont pas été renvoyés à NT ou AD parce que le mot de passe NDS n'est pas réversible. |
Pour assurer la synchronisation bidirectionnelle des mots de passe. Les mots de passe peuvent être synchronisés dans les deux sens car le mot de passe universel et le mot de passe de distribution sont réversibles. |
|
Modifications de LDAP |
Non pris en charge. |
Pris en charge |
|
Client™ Novell® |
Obligatoire. |
Non obligatoire. |
|
Attribut nadLoginName |
Utilisé pour garantir la mise à jour des mots de passe. |
Non utilisé. |
|
Composant contenant la fonctionnalité de synchronisation des mots de passe |
Le pilote Identity Manager contenait la fonctionnalité destinée à la mise à jour de nadLoginName. |
Les stratégies Identity Manager de la configuration du pilote proposent la fonctionnalité de synchronisation des mots de passe. Le pilote ne fait que mener à bien les tâches qui lui ont été confiées par le moteur méta-annuaire, et qui sont issues de la logique des stratégies. Le manifeste du pilote, les valeurs de configuration globale (GCV) et les paramètres de filtre du pilote doivent également prendre en charge la synchronisation des mots de passe. Ces éléments sont compris dans les exemples de configuration du pilote ou peuvent être ajoutés à un pilote existant. Reportez-vous à la Section 5.7, Mise à niveau des configurations de pilote existantes pour la prise en charge de la synchronisation des mots de passe. |
|
Agents |
Partie distincte du logiciel. |
Aucun agent n'est installé : la fonctionnalité fait maintenant partie intégrante du pilote. |
5.1.4 Fonctionnalités de la synchronisation des mots de passe Identity Manager
La synchronisation des mots de passe Identity Manager se fait dans les deux sens. Les mots de passe peuvent être envoyés par des systèmes connectés et acceptés par Identity Manager, ou distribués par Identity Manager et acceptés par les systèmes connectés.
- Acceptation de mots de passe provenant des systèmes connectés
- Distribution des mots de passe aux systèmes connectés
- Application des stratégies de mot de passe dans la zone de stockage et sur les systèmes connectés
- Scénarios de synchronisation des mots de passe
- Notification des utilisateurs en cas d'échec de la synchronisation des mots de passe
- Vérification de l'état de synchronisation du mot de passe pour un utilisateur
Acceptation de mots de passe provenant des systèmes connectés
Comme dans les versions précédentes de DirXML® et Identity Manager, tout système connecté peut publier un mot de passe dans le coffre-fort d'identité.
Vous pouvez préciser les applications des systèmes connectés dont Identity Manager accepte les mots de passe. Vous pouvez même choisir si Identity Manager doit mettre à jour le mot de passe des utilisateurs dans le coffre-fort d'identité dans lequel s'exécute Identity Manager ou s'il doit simplement agir à la manière d'une conduite ou d'un « tunnel », en synchronisant les mots de passe uniquement entre les systèmes connectés. Cela implique qu'il est possible de distinguer le mot de passe du coffre-fort d'identité de celui distribué par Identity Manager aux systèmes connectés, si on le souhaite.
Certains systèmes connectés (AD, autres coffres-forts d'identité, NT et NIS) peuvent fournir le mot de passe de l'utilisateur. Dès lors, lorsqu'un utilisateur change de mot de passe sur un système connecté, la modification peut être synchronisée avec Identity Manager et avec les autres systèmes connectés.
D'autres systèmes connectés ne peuvent pas fournir le mot de passe de l'utilisateur ; ils peuvent toutefois être configurés pour fournir à Identity Manager un mot de passe créé à partir d'une feuille de style, par exemple un mot de passe initial basé sur le nom de famille ou l'ID du salarié.
Distribution des mots de passe aux systèmes connectés
La synchronisation des mots de passe Identity Manager permet de distribuer un mot de passe commun aux systèmes connectés.
Dans les versions précédentes Identity Manager, un pilote pouvait envoyer des mots de passe à Identity Manager depuis un compte utilisateur sur un système connecté. Le mot de passe pouvait être utilisé pour mettre à jour l'utilisateur correspondant dans eDirectory. Toutefois, le mot de passe NDS de eDirectory n'étant pas réversible, il était impossible de transférer un mot de passe du coffre-fort d'identité central Identity Manager vers plusieurs systèmes connectés. Pour se procurer le mot de passe eDirectory, il fallait le capturer avant qu'il ne soit stocké dans eDirectory, par exemple à travers le client Novell.
Le mot de passe universel fourni par eDirectory 8.7.3 est réversible. Il peut être distribué.
Identity Manager peut accepter un mot de passe d'un système connecté. Comme le mot de passe universel est réversible, Identity Manager peut le distribuer du coffre-fort d'identité aux systèmes connectés qui prennent en charge la définition initiale des mots de passe pour les nouveaux comptes, ainsi que leur modification.
Quelle que soit l'origine du mot de passe, Identity Manager utilise le mot de passe de distribution en tant que référentiel à partir duquel distribuer les mots de passe aux systèmes connectés. Le mot de passe de distribution, comme le mot de passe universel, permet d'appliquer les stratégies de mot de passe.
Pour plus d'informations sur l'utilisation du mot de passe universel et du mot de passe de distribution dans la synchronisation des mots de passe, reportez-vous à Implémentation de la synchronisation des mots de passe.
Comme pour tous les autres attributs des utilisateurs, vous pouvez décider quels sont les systèmes qui constituent des sources de mots de passe expertes. Identity Manager distribue les mots de passe de cette source aux autres systèmes connectés.
Vous pouvez établir la synchronisation bidirectionnelle des mots de passe entre des systèmes connectés qui la prennent en charge.
Application des stratégies de mot de passe dans la zone de stockage et sur les systèmes connectés
En appelant NMAS, Identity Manager peut appliquer les stratégies de mot de passe sur les mots de passe entrants. Si le mot de passe publié depuis un système connecté vers Identity Manager ne respecte pas les stratégies, vous pouvez paramétrer Identity Manager de sorte qu'il n'accepte pas le mot de passe dans le coffre-fort d'identité. Cela signifie aussi que les mots de passe non conformes aux stratégies ne seront pas distribués aux autres systèmes connectés.
De plus, Identity Manager peut appliquer les stratégies de mot de passe sur les systèmes connectés. Si le mot de passe publié vers Identity Manager ne respecte pas les règles de la stratégie, vous pouvez paramétrer Identity Manager de sorte qu'il n'accepte pas de distribuer le mot de passe et même qu'il réinitialise le mot de passe non conforme sur le système connecté à l'aide du mot de passe de distribution actuel présent dans le coffre-fort d'identité.
Supposons que vous souhaitiez que les mots de passe comprennent au moins un caractère numérique. Le système connecté, lui, n'a pas la capacité d'appliquer cette stratégie. Vous pouvez demander que Identity Manager réinitialise les mots de passe provenant du système connecté qui ne respectent pas les règles de la stratégie.
Si vous utilisez les règles de mots de passe avancées, ainsi que la synchronisation des mots de passe dans Identity Manager, nous vous conseillons de rechercher les stratégies de mot de passe de tous les systèmes connectés afin de vérifier que les règles avancées définies dans la stratégie de mot de passe eDirectory sont compatibles. Cette recherche garantit le bon déroulement de la synchronisation des mots de passe.
N'oubliez pas de vérifier que tous les utilisateurs à qui vous avez assigné des stratégies de mot de passe NMAS correspondent aux utilisateurs qui doivent participer à la synchronisation des mots de passe entre les systèmes connectés.
Les stratégies de mot de passe NMAS sont assignées dans une perspective centrée sur l'arborescence. La synchronisation des mots de passe, en revanche, est définie pilote par pilote. Par ailleurs, les pilotes sont installés pour chaque serveur et ne peuvent gérer que les utilisateurs se trouvant sur une réplique principale ou en lecture/écriture. Pour que la synchronisation des mots de passe donne les résultats escomptés, vérifiez que les conteneurs situés dans une réplique principale ou en lecture/écriture sur le serveur sur lequel s'exécutent les pilotes auxquels s'applique la synchronisation correspondent aux conteneurs pour lesquels vous avez assigné des stratégies de mot de passe avec le mot de passe universel activé. L'assignation d'une stratégie de mot de passe au conteneur racine d'une partition garantit que cette stratégie s'applique à tous les utilisateurs de ces conteneurs et sous-conteneurs.
Pour plus d'informations sur l'assignation des stratégies de mot de passe NMAS aux utilisateurs, reportez-vous à la section « Assigning Password Policies to Users (Assignation de stratégies de mot de passe aux utilisateurs) » du Password Management Administration Guide (Guide d'administration pour la gestion des mots de passe).
Scénarios de synchronisation des mots de passe
Identity Manager permet de spécifier quels sont les systèmes qui constituent des sources de mots de passe expertes. Vous pouvez également décider du flux des mots de passe.
La plupart des fonctionnalités de la synchronisation des mots de passe dans Identity Manager repose sur le mot de passe universel, la fonction de mot de passe réversible du coffre-fort d'identité. Toutefois, certains scénarios fonctionnent sans déploiement du mot de passe universel.
La synchronisation des mots de passe dans Identity Manager s'appuie également sur le mot de passe de distribution. Comme pour le mot de passe universel, une stratégie peut être appliquée au mot de passe de distribution.
Pour les principales méthodes d'implémentation de la synchronisation des mots de passe, reportez-vous à Implémentation de la synchronisation des mots de passe. Ces scénarios peuvent être associés pour répondre aux besoins de votre environnement.
Synchronisation des mots de passe sous Windows sans le client Novell
Un client Novell n'est plus nécessaire pour synchroniser les mots de passe avec Active Directory et NT Domain.
Notification des utilisateurs en cas d'échec de la synchronisation des mots de passe
Application des stratégies de mot de passe dans la zone de stockage et sur les systèmes connectés explique comment Identity Manager peut appliquer les stratégies de mot de passe en refusant les mots de passe non conformes en provenance des systèmes connectés.
Grâce à la fonctionnalité de notification par message électronique, vous pouvez demander à Identity Manager d'avertir l'utilisateur en cas d'échec d'une modification du mot de passe.
Scénario.Vous avez configuré Identity Manager pour qu'il refuse les mots de passe entrants de NT Domain s'ils ne respectent pas vos stratégies de mots de passe. Vous avez activé la notification par message électronique. L'une des règles de votre stratégie de mots de passe NMAS spécifie que le nom de la société ne peut servir de mot de passe. Un utilisateur remplace le mot de passe du système connecté de NT Domain par le nom de la société. NMAS n'accepte pas le mot de passe et Identity Manager envoie un message électronique à l'utilisateur indiquant que le nouveau mot de passe n'a pas été synchronisé.
Vous devez configurer le serveur de messagerie et les modèles avant d'utiliser cette fonctionnalité. Vous pouvez personnaliser les éléments suivants :
- Texte des messages envoyés par Identity Manager
- Notification, pour en envoyer une copie à l'administrateur
Pour plus d'informations, reportez-vous à Configuration de la notification par message électronique.
Vérification de l'état de synchronisation du mot de passe pour un utilisateur
Identity Manager permet d'interroger les systèmes connectés pour vérifier l'état de synchronisation des mots de passe d'un utilisateur. Si le système connecté prend en charge la vérification du mot de passe, vous saurez si la synchronisation des mots de passe a réussi.
Pour plus d'informations sur la vérification des mots de passe, reportez-vous à Vérification de l'état de synchronisation du mot de passe pour un utilisateur.
Afin d'obtenir une liste des systèmes qui prennent en charge la vérification des mots de passe, reportez-vous à Prise en charge par les systèmes connectés de la synchronisation des mots de passe.
5.1.5 Diagramme de présentation du déroulement de la synchronisation des mots de passe
Le diagramme suivant décrit la publication de mots de passe vers Identity Manager par les systèmes connectés.
Figure 5-1 Publication de mots de passe vers Identity Manager par les systèmes connectés.
Le diagramme suivant décrit la distribution de mots de passe aux systèmes connectés par Identity Manager.
Figure 5-2 Distribution de mots de passe aux systèmes connectés par Identity Manager
5.1.6 Affichage des illustrations
Dans cette documentation, des illustrations accompagnent fréquemment les procédures pour décrire les options de iManager. La façon dont ces options s'affichent sur votre ordinateur dépend de votre navigateur.
Par exemple, Internet Explorer affiche les options iManager sous forme d'onglets.
Figure 5-3 Onglets dans iManager
En revanche, le navigateur Firefox affiche les options iManager dans une liste déroulante.
Figure 5-4 Liste déroulante dans iManager
Dans cette documentation, les illustrations représentent les options telles qu'elles apparaissent dans le navigateur Firefox.