2.2 Planification des scénarios d'installation courants

Les scénarios suivants sont des exemples de l'environnement dans lequel Identity Manager pourrait être utilisé. Pour chaque scénarioso, des directives sont fournies pour vous aider dans votre mise en oeuvre.

2.2.1 Nouvelle installation d'Identity Manager

Figure 2-1 Nouvelle installation

Identity Manager  est une solution de partage des données qui exploite votre coffre-fort d'identité pour synchroniser, transformer et distribuer automatiquement les informations entre les applications, les bases de données et les annuaires.

Votre solution Identity Manager comprend les composants suivants :

Coffre-fort d'identité avec Identity Manager

Le coffre-fort d'identité contient les données de l'utilisateur ou de l'objet que vous voulez partager ou synchroniser avec d'autres systèmes connectés. Il est conseillé d'installer Identity Manager dans sa propre instance eDirectory™ et de l'utiliser comme coffre-fort d'identité.

iManager Server avec les plug-ins Identity Manager

Vous utilisez Novell iManager et les plug-ins Identity Manager pour administrer votre solution Identity Manager.

Systèmes connectés

Les systèmes connectés peuvent comprendre d'autres applications, répertoires et bases de données dont vous voulez partager ou synchroniser les données avec le coffre-fort d'identité. Pour établir un login depuis votre coffre-fort d'identité vers le système connecté, installez le pilote approprié à ce système connecté. Reportez-vous aux guides de mise en oeuvre des pilotes pour obtenir des instructions spécifiques.

Tâches courantes d'Identity Manager

  • Installation de composants système : comme votre solution Identity Manager peut être distribuée sur plusieurs ordinateurs, serveurs ou plates-formes, vous devez exécuter le programme d'installation et installer les composants appropriés au système. Reportez-vous à Section 1.4, Programmes d'installation et services Identity Manager pour plus d'informations.

  • Configuration de systèmes connectés : reportez-vous à Section 1.4, Programmes d'installation et services Identity Manager et aux guides de mise en oeuvre des pilotes pour obtenir des instructions spécifiques.

  • Activation de votre solution : les produits Identity Manager (professionnels, éditions serveur, modules d'intégration et applications utilisateur) requièrent une activation sous 90 jours suivant l'installation. Reportez-vous à Section 6.0, Activation des produits Novell Identity Manager.

  • Définition de stratégies commerciales : les stratégies commerciales permettent de personnaliser le flux d'informations entrant et sortant du coffre-fort d'identité pour un environnement particulier. Les stratégies créent aussi de nouveaux objets, mettent à jour des valeurs d'attributs, apportent des transformations aux schémas, définissent des critères de correspondance, gèrent des associations Identity Manager, etc. Un guide détaillé des stratégies est fourni dans Stratégies d'iManager pour Identity Manager 3.5.1.

  • Configuration de la gestion des mots de passe : grâce à des stratégies de mots de passe, vous pouvez configurer des règles de création de mots de passe par les utilisateurs pour augmenter la sécurité. Pour réduire les coûts d'assistance technique, vous pouvez également fournir aux utilisateurs des options de libre service pour les mots de passe oubliés et pour la réinitialisation de mots de passe. Pour obtenir des informations détaillées sur la gestion des mots de passe, reportez-vous à Gestion des mots de passe à l'aide de stratégies de mots de passe.

  • Configurer les droits : les définitions des droits permettent d'accorder des droits sur des systèmes connectés à un groupe défini d'utilisateurs dans le coffre-fort d'identité. Les stratégies de droit permettent de rationaliser la gestion des stratégies d'entreprise et de limiter la configuration des pilotes Identity Manager nécessaires. Pour plus d'informations, reportez-vous à « Création et utilisation de droits » dans le Guide d'administration Novell Identity Manager 3.5.1.

  • Consignation d'événements avec Novell Audit : identity Manager est paramétré pour utiliser Novell Audit à des fins d'audit et de création de rapport. Novell Audit est un recueil de technologies fournissant des capacités de surveillance, de consignation, de création de rapports et de notification. Grâce à l'intégration avec Novell Audit, Identity Manager fournit des informations détaillées sur l'état actuel et passé de l'activité du pilote et du moteur. Ces informations sont fournies par un ensemble de rapports préconfigurés, de services de notification standard et d'une consignation définie par l'utilisateur. Reportez-vous à « Utilisation des journaux d'état » dans Consignation et rapports dans Identity Manager 3.5.1.

  • Approbation de workflow et application utilisateur : l'application utilisateur Novell Identity Manager est une application Web puissante (avec des outils de prise en charge), conçue pour fournir une expérience riche, intuitive, hautement configurable et hautement administrable sur une structure sophistiquée de services d'identité. Utilisée conjointement au module de provisioning pour Identity Manager et à Novell Audit, l'application utilisateur Identity Manager offre une solution complète de provisioning de bout en bout qui est à la fois sécurisée, évolutive et facile à gérer. Reportez-vous à la Documentation sur l'application utilisateur.

2.2.2 Utilisation d'Identity Manager et de DirXML 1.1a dans le même environnement

Figure 2-2 Installation d'Identity Manager dans la même arborescence que DirXML 1.1a

Si vous exécutez Identity Manager et DirXML® 1.1a dans le même environnement, n'oubliez pas ce qui suit :

Création d'un coffre-fort d'identité

Il est conseillé d'installer Identity Manager dans une instance eDirectory distincte et de l'utiliser comme coffre-fort d'identité.

Outils de gestion

  • ConsoleOne® est pris en charge pour DirXML 1.1a, mais pas pour Identity Manager.

  • Deux serveurs iManager sont nécessaires, un pour les plug-ins DirXML 1.1a et un pour les plug-ins Identity Manager. Les plug-ins ont été améliorés et Identity Manager utilise le script DirXML.

  • Les plug-ins iManager pour DirXML 1.1a ne peuvent pas lire le script DirXML, qui est utilisé dans la configuration du pilote définie pour la plupart des pilotes Identity Manager.

  • Le concepteur est un outil qui permet de concevoir, tester, mettre à jour et documenter les pilotes Identity Manager.

Compatibilité avec les versions précédentes

  • Vous pouvez exécuter les modules d'interface et les configurations des pilotes DirXML 1.1a sur un serveur Identity Manager et vous pouvez afficher les pilotes dans iManager dans la présentation Identity Manager de l'ensemble des pilotes. Cependant, les plug-ins Identity Manager ne permettent pas d'afficher ni de modifier la configuration des pilotes avant de les avoir convertis au format Identity Manager.

    Dans les plug-ins Identity Manager, si vous cliquez sur un pilote qui est au format 1.1a, vous êtes invité à effectuer la conversion. Il s'agit d'un processus simple effectué avec un assistant et cela ne modifie pas la fonction de la configuration des pilotes. Dans le cadre du processus, une copie de sauvegarde de la version DirXML 1.1a est enregistrée.

  • L'activation des pilotes DirXML 1.1a est toujours valide lors de leur exécution avec le moteur Identity Manager. Cependant, si vous mettez à niveau le module d'interface pilote vers une version d'Identity Manager, vous devez obtenir une nouvelle référence d'activation. Reportez-vous à Section 6.0, Activation des produits Novell Identity Manager pour plus d'informations.

  • Dans la plupart des cas, un module d'interface pilote Identity Manager peut être exécuté avec une configuration DirXML 1.1a. Reportez-vous aux guides de mise en oeuvre des pilotes individuels pour obtenir des informations sur la mise à niveau.

    Une exception notable est que la version 1.0 de la synchronisation des mots de passe n'est pas correctement exécutée sous Windows AD et Windows NT après la mise à niveau du module d'interface pilote à moins d'ajouter des stratégies de pilote. Pour obtenir des instructions, reportez-vous aux sections sur la version de la synchronisation des mots de passe dans les guides de mise en oeuvre des pilotes pour les pilotes Identity Manager pour Active Directory et NT Domain.

  • L'exécution des configurations de pilote et des modules d'interface pilote Identity Manager avec le moteur DirXML 1.1a n'est pas prise en charge.

  • L'exécution des configurations de pilote Identity Manager avec les modules d'interface pilote DirXML 1.1a n'est pas prise en charge.

  • Si vous exécutez la même configuration pilote Identity Manager sur plusieurs serveurs, veillez à ce que les serveurs exécutent la même version d'Identity Manager, et la même version d'eDirectory.

Gestion des mots de passe

2.2.3 Mise à niveau depuis le Starter Pack vers Identity Manager

Figure 2-3 Mise à niveau depuis le Starter Pack vers Identity Manager

Les solutions du Starter Pack Identity Manager incluses avec d'autres produits Novell offrent une synchronisation licenciée des informations contenues dans les domaines NT, Active Directory et eDirectory. De plus, des pilotes d'évaluation pour plusieurs autres systèmes, y compris PeopleSoft, GroupWise® et Lotus Notes, sont fournis pour permettre d'explorer la synchronisation des données de vos autres systèmes.

Cette solution permet également de synchroniser les mots de passe utilisateur. Avec PasswordSync, un utilisateur ne doit se rappeler que d'un mot de passe pour se loguer à n'importe lequel de ces systèmes. Les administrateurs peuvent gérer les mots de passe du système de leur choix. À chaque fois qu'un mot de passe est changé dans l'un de ces environnements, il est mis à jour dans tous les autres.

Les Starter Packs Identity Manager fournis avec NetWare 6.5 et Nterprise™ Linux Services 1.0 étaient basés sur la technologie DirXML 1.1a. Lors de la mise à niveau depuis un Starter Pack vers la dernière version d'Identity Manager, n'oubliez pas ce qui suit :

Compatibilité avec les versions précédentes

  • Vous pouvez exécuter les modules d'interface et les configurations des pilotes DirXML 1.1a sur un serveur Identity Manager et vous pouvez afficher les pilotes dans iManager dans la présentation Identity Manager de l'ensemble des pilotes. Cependant, les plug-ins Identity Manager ne permettent pas d'afficher ni de modifier la configuration des pilotes avant de les avoir convertis au format Identity Manager.

    Dans les plug-ins Identity Manager, si vous cliquez sur un pilote qui est au format 1.1a, vous êtes invité à effectuer la conversion. Il s'agit d'un processus simple effectué avec un assistant et cela ne modifie pas la fonction de la configuration des pilotes. Dans le cadre du processus, une copie de sauvegarde de la version DirXML 1.1a est enregistrée.

  • L'activation des pilotes DirXML 1.1a est toujours valide lors de leur exécution avec le moteur Identity Manager. Cependant, si vous mettez à niveau le module d'interface pilote vers une version d'Identity Manager, vous devez obtenir une nouvelle activation.

  • Dans la plupart des cas, un module d'interface pilote Identity Manager peut être exécuté avec une configuration DirXML 1.1a. Reportez-vous aux guides de mise en oeuvre des pilotes individuels pour obtenir des informations sur la mise à niveau.

    Une exception notable est que la version 1.0 de la synchronisation des mots de passe n'est pas correctement exécutée sous Windows AD et Windows NT après la mise à niveau du module d'interface pilote à moins d'ajouter des stratégies de pilote. Pour obtenir des instructions, reportez-vous aux sections sur la version de la synchronisation des mots de passe dans les guides de mise en oeuvre des pilotes pour les pilotes Identity Manager pour Active Directory et NT Domain.

  • L'exécution des configurations de pilote et des modules d'interface pilote Identity Manager avec le moteur DirXML 1.1a n'est pas prise en charge.

  • L'exécution des configurations de pilote Identity Manager avec les modules d'interface pilote DirXML 1.1a n'est pas prise en charge.

  • Si vous exécutez la même configuration pilote Identity Manager sur plusieurs serveurs, veillez à ce que les serveurs exécutent la même version d'Identity Manager, et la même version d'eDirectory.

Gestion des mots de passe

Activation

  • Tous les produits Identity Manager doivent être activés dans un délai de 90 jours. Lorsque vous avez acheté d'autres logiciels Novell, le Starter Pack DirXML comportait des activations pour le moteur DirXML 1.1a et les pilotes NT, AD et eDirectory. Lors de la mise à niveau depuis le Starter Pack Identity Manager, vous devrez peut-être appliquer à nouveau vos références d'activation pour ces pilotes.

    Pour plus d'informations sur l'activation, reportez-vous à Section 6.0, Activation des produits Novell Identity Manager.

2.2.4 Mise à niveau depuis la version 1.0 de la synchronisation des mots de passe vers la version Identity Manager

Figure 2-4 Mise à niveau depuis la version 1.0 de la synchronisation des mots de passe vers la version Identity Manager

La synchronisation des mots de passe Identity Manager offre de nombreuses fonctions, y compris la synchronisation bidirectionnelle des mots de passe, des plates-formes supplémentaires et une notification par courrier électronique lors d'un échec de synchronisation des mots de passe.

Si vous utilisez la version 1.0 de la synchronisation des mots de passe avec Active Directory ou NT Domain, il est très important de relire les instructions de mise à niveau avant d'installer les nouveaux modules d'interface pilote.

Si vous exécutez Identity Manager 2.x avec la version 2.0 de la synchronisation des mots de passe, il n'est pas nécessaire de suivre cette procédure.

Pour obtenir des informations sur la version Identity Manager de la synchronisation des mots de passe en général, reportez-vous à « Synchronisation des mots de passe dans les systèmes connectés » dans le Guide d'administration Novell Identity Manager 3.5.1. Cette section contient des informations conceptuelles, y compris une comparaison des fonctions anciennes et nouvelles, des prérequis, une liste des fonctions prises en charge pour chaque système connecté, des instructions sur l'ajout de prise en charge aux pilotes existants et plusieurs scénarios indiquant comment utiliser les nouvelles fonctions.

Dans cette section :

Mise à niveau de la synchronisation des mots de passe pour Active Directory ou Windows NT

La nouvelle fonction de synchronisation des mots de passe est assurée par des stratégies de pilotes et non pas par un agent séparé. Cela signifie que, si vous installez le nouveau module d'interface pilote sans mettre à niveau la configuration du pilote en même temps, la version 1.0 de la synchronisation des mots de passe ne continue de fonctionner que pour les utilisateurs existants. Les utilisateurs nouveaux, déplacés ou renommés ne participent pas à la synchronisation des mots de passe avant la mise à niveau complète de la configuration des pilotes.

Suivez les étapes générales suivantes pour la mise à niveau :

  1. Mettez votre environnement à niveau de façon à ce qu'il prenne en charge le mot de passe universel, dont la mise à niveau de Novell Client™ si vous l'utilisez.

  2. Installez le module d'interface pilote Identity Manager 3.5.1 pour remplacer le module d'interface pilote DirXML 1.1a pour Active Directory ou Windows NT.

  3. Créez immédiatement une compatibilité avec la version 1.0 de la synchronisation des mots de passe, en ajoutant une nouvelle stratégie à la configuration des pilotes.

    Cette étape permet à la version 1.0 de la synchronisation des mots de passe de continuer à fonctionner correctement jusqu'à ce que vous passiez à la version Identity Manager de la synchronisation des mots de passe.

  4. Utilisez des stratégies de pilotes pour ajouter la prise en charge de la nouvelle version Identity Manager de la synchronisation des mots de passe.

  5. Installez et configurez les nouveaux filtres de la synchronisation des mots de passe.

  6. Configurez SSL, si nécessaire.

  7. Activez le mot de passe universel via des stratégies de mot de passe, si nécessaire.

  8. Configurez le scénarioso de synchronisation des mots de passe Identity Manager que vous souhaitez utiliser.

    Reportez-vous à « Mise en oeuvre de la version de la synchronisation des mots de passe » dans le Guide d'administration Novell Identity Manager 3.5.1.

  9. Supprimez la version 1.0 de la synchronisation des mots de passe.

Pour obtenir des informations détaillées, reportez-vous aux guides de mise en oeuvre des pilotes des pilotes Identity Manager pour Active Directory et NT Domain.

Mise à niveau de la version de la synchronisation des mots de passe pour eDirectory

La mise à niveau pour eDirectory est relativement simple. Le module d'interface pilote doit fonctionner avec votre configuration de pilote DirXML 1.1a existante sans changement, en supposant que votre module d'interface pilote et votre configuration disposent des derniers correctifs. Pour obtenir des instructions, reportez-vous à Pilote Identity Manager 3.5.1 pour eDirectory : guide de mise en oeuvre.

Mise à niveau d'autres pilotes de systèmes connectés

La version Identity Manager de la synchronisation des mots de passe prend en charge plus de systèmes connectés que la version 1.0.

Pour obtenir une liste des fonctions prises en charge pour d'autres systèmes, reportez-vous à « Prise en charge de système connecté pour la synchronisation des mots de passe » dans le Guide d'administration Novell Identity Manager 3.5.1.

Des « recouvrements » de stratégie de pilote sont fournis pour vous aider à ajouter une fonction bidirectionnelle de synchronisation des mots de passe aux pilotes existants pour les systèmes connectés non pris en charge auparavant. Reportez-vous à « Mise à niveau des configurations pilote existantes pour prendre en charge la version de la synchronisation des mots de passe » dans le Guide d'administration Novell Identity Manager 3.5.1.

Gestion des donnés sensibles

Le mot de passe universel est protégé par quatre couches de codage dans eDirectory, ce qui le rend très sécurisé dans cet environnement. Si vous choisissez d'utiliser la synchronisation de mots de passe bidirectionnelle, et si vous synchronisez le mot de passe universel avec le mot de passe de distribution, n'oubliez pas que vous extrayez le mot de passe eDirectory et que vous l'envoyez à d'autres systèmes connectés. Vous devez sécuriser le transport du mot de passe, de même que les systèmes connectés vers lesquels il sera synchronisé.

En plus des mots de passe, vous pouvez également utiliser Novell SecretStore® et Novell SecureLogin pour synchroniser des références. Ces logiciels permettent de déployer la question de phrase secrète et la réponse de SecureLogin dans des environnements où le non-rejet est souhaité. Reportez-vous à « Sécurité : meilleures pratiques » dans le Guide d'administration Novell Identity Manager 3.5.1.