Identity Manager propose la synchronisation bidirectionnelle des mots de passe, rendue possible par les mots de passe universels et la prise en charge des systèmes connectés pour l'abonnement aux mots de passe ou leur édition.
Comme pour d'autres attributs d'un compte utilisateur, vous avez le choix entre plusieurs sources de données expertes.
eDirectory dispose de plusieurs mots de passe, dont les utilisations varient. Dans les versions précédentes de eDirectory et de DirXML, les systèmes connectés ne pouvaient actualiser que le mot de passe NDS, et il s'agissait d'une synchronisation unilatérale.
Les mots de passe universels, qui ont fait leur apparition dans eDirectory 8.7.1, sont des mots de passe réversibles, pouvant être synchronisés avec les mots de passe eDirectory si nécessaire. Ils sont protégés par quatre niveaux de codage.
NMAS contrôle la relation entre les mots de passe universels et les autres mots de passe eDirectory, notamment si la synchronisation est maintenue entre le mot de passe universel d'une part et le mot de passe NDS, le mot de passe simple ou le mot de passe de distribution d'autre part. NMAS intercepte les requêtes entrantes concernant la modification des mots de passe et les gère en fonction de vos paramètres dans les règles de mots de passe, à l'exception de certaines méthodes existantes. Pour plus d'informations, reportez-vous à la section Planification des méthodes de login et de modification des mots de passe de vos utilisateurs. Pour obtenir un exemple de l'interface de règle de mot de passe dans laquelle vous pouvez contrôler la relation entre les mots de passe eDirectory, consultez la figure de la section Activation du mot de passe universel.
Identity Manager contrôle la relation entre les mots de passe eDirectory et ceux des systèmes connectés. Il utilise pour cela le mot de passe de distribution, c'est-à-dire le mot de passe présent dans eDirectory que vous pouvez fournir aux systèmes connectés. À l'instar du mot de passe universel, le mot de passe de distribution est protégé par quatre niveaux de codage et il est réversible.
Dans la règle de mot de passe, vous pouvez préciser si le mot de passe de distribution doit être identique au mot de passe universel, grâce au paramètre Synchroniser le mot de passe de distribution lors de la définition du mot de passe universel. Si le mot de passe de distribution est identique au mot de passe universel et si vous choisissez d'utiliser la synchronisation bidirectionnelle des mots de passe avec les systèmes connectés, n'oubliez pas que vous utilisez Identity Manager pour extraire le mot de passe universel d'eDirectory et l'envoyer à d'autres systèmes connectés. Vous devez sécuriser le transport du mot de passe, de même que les systèmes connectés sur lesquels il sera stocké. Pour plus d'informations, reportez-vous à la section Gestion des informations sensibles. Si le mot de passe de distribution n'est pas identique au mot de passe universel, parce que vous avez désactivé le paramètre dans la règle de mot de passe, vous pouvez transférer les mots de passe dans des tunnels entre les systèmes connectés à l'aide du mot de passe de distribution, sans utiliser ni affecter le mot de passe universel ou le mot de passe NDS.
Pour plus d'informations sur les divers mots de passe eDirectory, reportez-vous au manuel Novell Modular Authentication Services (NMAS) 2.3 Administration Guide (Guide d'administration de NMAS (Novell Modular Authentication Services) 2.3). Pour obtenir différents exemples d'utilisation de la synchronisation des mots de passe avec Identity Manager, reportez-vous à la section Mise en œuvre de la synchronisation des mots de passe.
|
Version 1.0 de la synchronisation des mots de passe | Version de la synchronisation des mots de passe fournie avec Identity Manager 2 |
|---|---|---|
Version du produit |
Produit distinct de DirXML. |
Fonctionnalité incluse dans Identity Manager et qui n'est pas vendue séparément. |
Plate-formes |
|
Ces plate-formes prennent entièrement en charge la synchronisation bidirectionnelle des mots de passe :
Ces systèmes connectés prennent en charge l'acheminement des mots de passe vers Identity Manager. Le mot de passe universel et le mot de passe de distribution sont réversibles ; Identity Manager peut donc distribuer les mots de passe aux systèmes connectés. Tout système connecté prenant en charge l'élément de mot de passe Abonné peut souscrire à des mots de passe d'Identity Manager. Reportez-vous à la section Connected System Support for Password Synchronization (Prise en charge des systèmes connectés pour la synchronisation des mots de passe) dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d'administration Novell Nsure Identity Manager 2) |
Mot de passe utilisé dans eDirectory |
Mot de passe NDS® (non réversible) |
Mot de passe universel (réversible) ou mot de passe de distribution (réversible également). Si on le souhaite, le mot de passe NDS peut rester synchronisé. Pour consulter des exemples de scénarios, reportez-vous à la section Implementing Password Synchronization (Mise en œuvre de la synchronisation des mots de passe) dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d'administration Novell Nsure Identity Manager 2) |
Fonctionnalité principale pour les systèmes Windows connectés |
Pour envoyer des mots de passe à DirXML de sorte que les mots de passe eDirectory et Windows soient synchronisés. Les mots de passe n'ont pas été renvoyés à NT ou AD parce que le mot de passe NDS n'est pas réversible. |
Pour assurer la synchronisation bidirectionnelle des mots de passe. Les mots de passe peuvent être synchronisés dans les deux sens car le mot de passe universel et le mot de passe de distribution sont réversibles. |
Modifications de LDAP |
Non prises en charge. |
Prises en charge. |
Novell ClientTM |
Obligatoire. |
Non obligatoire. |
Attribut nadLoginName |
Utilisé pour garantir la mise à jour des mots de passe. |
Non utilisé. |
Composant contenant la fonctionnalité de synchronisation des mots de passe |
Le pilote DirXML contenait la fonctionnalité destinée à la mise à jour de nadLoginName. |
Les règles de la configuration du pilote possèdent la fonctionnalité de synchronisation des mots de passe. Le pilote ne fait que mener à bien les tâches qui lui ont été confiées par le moteur DirXML, et qui sont issues de la logique des règles. Le manifeste du pilote, les valeurs de configuration globales (GCV) et les paramètres de filtre du pilote doivent également prendre en charge la synchronisation des mots de passe. Ces éléments sont compris dans les exemples de configuration du pilote ou peuvent être ajoutés à un pilote existant. Reportez-vous à la section Mise à niveau des configurations de pilote existantes pour la prise en charge de la synchronisation des mots de passe sous Identity Manager. |
Agents |
Partie distincte du logiciel. |
Aucun agent n'est installé : la fonctionnalité fait maintenant partie intégrante du pilote. |
La synchronisation bidirectionnelle des mots de passe est la combinaison de l'acceptation par Identity Manager des mots de passe des systèmes connectés que vous spécifiez et de la distribution des mots de passe aux systèmes connectés que vous choisissez.
La disponibilité de la synchronisation bidirectionnelle des mots de passe sur un système connecté particulier dépend de ce que ce système prend en charge.
Certains systèmes connectés peuvent accepter des mots de passe nouveaux ou modifiés de la part d'Identity Manager et peuvent aussi fournir le mot de passe de l'utilisateur à Identity Manager. Ces systèmes connectés prennent en charge la synchronisation bidirectionnelle des mots de passe avec Identity Manager. Il s'agit de :
Pour ces systèmes connectés, l'utilisateur peut modifier un mot de passe dans l'un des systèmes et de procéder à la synchronisation de ce mot de passe avec les autres systèmes via Identity Manager. Toutefois, si vous utilisez les règles de mots de passe avancées, il vaut mieux que les utilisateurs modifient leurs mots de passe dans la console en libre-service d'iManager, qui reste le meilleur endroit pour modifier les mots de passe car tous les principes auxquels le mot de passe utilisateur doit se soumettre y sont répertoriés.
Les autres systèmes connectés ne peuvent pas fournir le mot de passe de l'utilisateur et ne prennent donc pas en charge la synchronisation bidirectionnelle des mots de passe. Ils peuvent toutefois fournir des données qui serviront à créer des mots de passe et à les envoyer à Identity Manager, en définissant des règles au sein même de la configuration du pilote.
Plusieurs autres systèmes peuvent accepter des mots de passe d'Identity Manager, y compris définir un mot de passe initial pour un nouvel utilisateur ou modifier un mot de passe, voire les deux.
Reportez-vous à la section Prise en charge par les systèmes connectés de la synchronisation des mots de passe.
Pour expliquer les fonctionnalités proposées par la synchronisation des mots de passe d'Identity Manager, nous pouvons orienter la synchronisation bidirectionnelle dans deux directions : les mots de passe envoyés par des systèmes connectés et acceptés par Identity Manager, et les mots de passe distribués par Identity Manager et acceptés par les systèmes connectés.
Les sections suivantes décrivent les fonctionnalités de synchronisation des mots de passe d'Identity Manager :
Comme dans les versions précédentes de DirXML®, tout système connecté peut éditer un mot de passe sur le système de protection des identités.
Vous pouvez préciser les applications des systèmes connectés dont Identity Manager acceptera les mots de passe. Vous pouvez même choisir si Identity Manager doit mettre à jour le mot de passe des utilisateurs dans l'arborescence eDirectory dans laquelle s'exécute Identity Manager ou s'il doit simplement agir à la manière d'une conduite ou d'un tunnel, en ne synchronisant les mots de passe qu'entre les systèmes connectés. Cela implique qu'il est possible de distinguer le mot de passe eDirectory de celui distribué par Identity Manager aux systèmes connectés.
Certains systèmes connectés (AD, autres arborescences eDirectory, NT et NIS) peuvent fournir le mot de passe de l'utilisateur. Dès lors, lorsqu'un utilisateur change de mot de passe sur un système connecté, la modification peut être synchronisée avec Identity Manager et avec les autres systèmes connectés.
D'autres systèmes connectés ne peuvent pas fournir le mot de passe de l'utilisateur ; ils peuvent toutefois être configurés, pour fournir le mot de passe à Identity Manager dans une feuille de style, par exemple un mot de passe initial basé sur le nom ou l'ID du salarié.
La synchronisation des mots de passe d'Identity Manager permet désormais de distribuer un mot de passe commun aux système connectés.
Dans les versions précédentes de DirXML, un pilote pouvait envoyer des mots de passe à DirXML depuis un compte utilisateur sur un système connecté. Le mot de passe pouvait être utilisé pour mettre à jour l'utilisateur correspondant dans eDirectory. Toutefois, le mot de passe NDS® dans eDirectory n'étant pas réversible, il était impossible de transférer un mot de passe du système central de protection des identités d'Identity Manager vers plusieurs systèmes connectés. Pour se procurer le mot de passe eDirectory, il fallait le capturer avant qu'il ne soit stocké dans eDirectory, par exemple à travers le client NovellTM.
Le nouveau mot de passe universel fourni par eDirectory 8.7.3 est réversible, et peut donc être distribué.
Identity Manager accepte les mots de passe des systèmes connectés ; du fait de sa réversibilité, le mot de passe Identity Manager peut être distribué depuis le système de protection des identités vers les systèmes connectés qui prennent en charge la définition des mots de passe initiaux pour les comptes, ainsi que leur modification.
Quelle que soit l'origine du mot de passe, Identity Manager utilise le mot de passe de distribution en tant que référentiel à partir duquel distribuer les mots de passe aux systèmes connectés. Le mot de passe de distribution, comme le mot de passe universel, permet d'appliquer les règles de mot de passe.
Pour plus d'informations sur le mot de passe universel et le mot de passe de distribution dans la synchronisation des mots de passe, reportez-vous à la section Mise en œuvre de la synchronisation des mots de passe.
Comme avec les autres attributs d'un utilisateur, vous pouvez choisir quels systèmes deviendront des sources expertes pour les mots de passe ; Identity Manager distribuera les mots de passe depuis la source experte vers les autres systèmes connectés.
Vous pouvez établir la synchronisation bidirectionnelle des mots de passe entre des systèmes connectés qui la prennent en charge.
En appelant NMASTM, Identity Manager permet d'appliquer les règles de mot de passe sur les mots de passe entrants. Si le mot de passe édité depuis un système connecté vers Identity Manager ne respecte pas les règles, vous pouvez paramétrer Identity Manager de sorte qu'il n'accepte pas le mot de passe dans le système de protection des identités. Cela signifie aussi que les mots de passe qui ne respectent pas vos règles ne seront pas distribués aux autres systèmes connectés.
En outre, Identity Manager permet d'appliquer les règles de mot de passe sur les systèmes connectés. Si le mot de passe édité vers Identity Manager ne respecte pas les règles, vous pouvez paramétrer Identity Manager de sorte qu'il n'accepte pas le mot de passe pour la distribution, voire qu'il réinitialise le mot de passe incompatible sur le système connecté à l'aide du mot de passe de distribution actuel dans le système de protection des identités.
Par exemple, si vous voulez que les mots de passe incluent au moins un caractère numérique, mais si le système connecté ne peut pas appliquer une telle règle, vous pouvez demander à Identity Manager que les mots de passe du système connecté non-conforme soient réinitialisés.
Si vous utilisez les règles de mots de passe avancées et la synchronisation des mots de passe via Identity Manager, nous vous conseillons de rechercher les règles de mot de passe de tous les systèmes connectés afin de vérifier que les règles de mots de passe avancées définies dans la règle de mot de passe eDirectory sont compatibles ; les mots de passe peuvent ainsi être synchronisés sans problème.
N'oubliez pas de vérifier que tous les utilisateurs à qui vous avez assigné des règles de mot de passe correspondent aux utilisateurs que vous souhaitez voir participer à la synchronisation des mots de passe entre les systèmes connectés.
Les règles de mot de passe sont assignées dans une perspective centrée sur l'arborescence. Par opposition, la synchronisation des mots de passe est définie par pilote ; ceux-ci sont installés sur les serveurs et ne peuvent gérer que les utilisateurs existants d'une réplique principale ou d'une réplique en lecture/écriture. Pour que la synchronisation des mots de passe donne les résultats escomptés, vérifiez que les conteneurs d'une réplique principale ou en lecture/écriture sur le serveur, exécutant les pilotes et auxquels s'applique la synchronisation, correspondent aux conteneurs pour lesquels vous avez assigné des règles de mot de passe en activant le mot de passe universel. L'assignation d'une règle de mot de passe au conteneur racine d'une partition garantit que cette règle s'applique à tous les utilisateurs de ces conteneurs et sous-conteneurs.
Pour plus d'informations sur l'assignation des règles de mot de passe aux utilisateurs, reportez-vous à la section Assignation de règles de mot de passe aux utilisateurs.
Comme avec d'autres attributs d'objet, Identity Manager permet de choisir les systèmes qui deviendront des sources expertes pour les mots de passe. Identity Manager permet de choisir comment faire circuler les mots de passe.
La plupart des nouvelles fonctionnalités de la synchronisation des mots de passe dans Identity Manager repose sur le mot de passe universel, la nouvelle fonction de mot de passe réversible d'eDirectory.
Toutefois, certains scénarios fonctionnent sans déploiement du mot de passe universel.
La synchronisation des mots de passe dans Identity Manager repose aussi sur le mot de passe de distribution, c'est-à-dire sur le référentiel à partir duquel Identity Manager distribue les mots de passe vers les systèmes connectés. Comme pour le mot de passe universel, une règle peut être appliquée au mot de passe de distribution.
Pour obtenir une liste des principales manières de mettre en œuvre la synchronisation des mots de passe, reportez-vous à la section Mise en œuvre de la synchronisation des mots de passe. Ces scénarios peuvent être associés pour répondre aux besoins de votre environnement.
Un client Novell n'est plus nécessaire pour synchroniser les mots de passe avec Active Directory et NT Domain.
La section précédente, Identity Manager applique les règles de mot de passe dans la banque de données et sur les systèmes connectés, explique comment Identity Manager peut appliquer les règles de mot de passe en refusant les mots de passe non-concordants des systèmes connectés.
Grâce à la nouvelle fonctionnalité de notification par message électronique, vous pouvez demander à Identity Manager d'avertir l'utilisateur lorsqu'une modification de mot de passe a échoué.
Supposons que vous avez paramétré Identity Manager pour ne pas accepter un mot de passe entrant dans NT Domain s'il ne respecte pas votre règle de mot passe, et que vous avez activé la notification par message électronique. L'un des principes de votre règle de mot de passe indique que le nom de la société ne peut pas servir de mot de passe ; l'utilisateur change son mot de passe sur le système connecté à NT Domain et utilise le nom de la société. Dans ce cas, NMAS n'accepte pas le mot de passe et Identity Manager envoie un message électronique à l'utilisateur indiquant que le nouveau mot de passe n'a pas été synchronisé.
Vous devez configurer le serveur de messagerie et les modèles avant d'utiliser cette fonctionnalité. Vous pouvez personnaliser le texte des messages envoyés par Identity Manager ou encore en adresser une copie à l'administrateur. Pour plus d'informations, reportez-vous à la section Configuration de la notification par message électronique.
Identity Manager permet d'interroger les systèmes connectés pour vérifier la situation de la synchronisation du mot de passe pour un utilisateur. Si le système connecté prend en charge la vérification du mot de passe, vous verrez si la synchronisation des mots de passe a réussi.
Pour plus d'informations sur la vérification des mots de passe, reportez-vous à la section Vérification de l'état de synchronisation du mot de passe pour un utilisateur.
Pour obtenir une liste des systèmes qui prennent en charge la vérification des mots de passe, reportez-vous à la section Prise en charge par les systèmes connectés de la synchronisation des mots de passe.
Voici une présentation des systèmes connectés qui éditent des mots de passe vers Identity Manager :
Voici une présentation d'Identity Manager distribuant des mots de passe vers les systèmes connectés :
