Novell Documentation: Nsure Identity Manager 2.0 - Ajout des options de mot de passe en libre-service au portail de votre société

Ajout des options de mot de passe en libre-service au portail de votre société

Pour la plupart des procédures présentées à la section Mot de passe en livre service, il est supposé que vous utilisez les options de mot de passe en libre-service sur un serveur iManager 2.0.2.

Consultez le tableau ci-dessous pour obtenir des instructions sur l'utilisation des options de mot de passe en libre-service avec des produits du portail, notamment avec d'autres produits que iManager.

Produit	Prise en charge des options de mot de passe en libre-service	Suivez les instructions...
iManager 2.0.2	Vous pouvez intégrer ces fonctions. Si vous installez les plugs-in de gestion des mots de passe, ce produit prend en charge les options de mot de passe en libre-service. Ces plugs-in sont fournis avec les plugs-in DirXML 2 ; ils sont également disponibles individuellement sur le site download.novell.com.	Suivez les étapes indiquées aux sections Conditions requises pour utiliser les règles de mot de passe. Ces instructions sont présentées au Gestion des mots de passe à l'aide des règles de mot de passe Mot de passe en livre service. Les informations présentées à la section Ajout des options de mot de passe en libre-service au portail de votre société ne sont pas nécessaires pour iManager 2.02.
exteNd^TM Director^TM Standard Edition 4.1 avec Support Pack 1	Vous pouvez intégrer ces fonctions. Si vous installez les fichiers .npm requis (NPM - Novell Portal Module), cette version d'exteNd Director prend en charge les options de mot de passe en libre-service. Pour cela, vous devez disposer du Support Pack version 1 ou ultérieure.	Intégration à exteNd Director 4.1 des options de mots de passe en libre-service
Virtual Office, fourni avec NetWare 6.5 Support Pack 2, exécuté sur un serveur iManager	Vous pouvez intégrer ces fonctions. Si vous installez les plugs-in nécessaires et si vous exécutez quelques étapes supplémentaires, vous pouvez utiliser les options de mot de passe en libre-service sur le serveur NetWare utilisé par Virtual Office et iManager.	Intégration des options de mot de passe en libre-service avec Virtual Office
exteNd Director 5	Vous devez établir un lien vers ces fonctions. Étant donné que exteNd Director 5 est basé sur des portlets et que l'option en libre-service Mot de passe est basée sur des modules NPM (Novell Portal Module), vous ne pouvez pas utiliser les options de mot de passe en libre-service directement dans un autre produit. Pour utiliser ce produit avec les options de mot de passe en libre-service, vous devez créer des liens entre le portail de votre société et les fonctions de mot de passe pour l'utilisateur final sur un serveur iManager.	Lien vers les options de mot de passe en libre-service à partir du portail d'une société
Versions de Novell Portal Services (NPS) antérieures à la version 4.1	Vous devez établir un lien vers ces fonctions. Bien que ces produits NPS hérités exécutent des modules NPM (Novell Portal Module), ils ne bénéficient pas de toutes les améliorations requises pour les options de mot de passe en libre-service du module ForgottenPassword.npm. Pour utiliser ce produit avec les options de mot de passe en libre-service, vous devez créer des liens entre le portail de votre société et les fonctions de mot de passe pour l'utilisateur final sur un serveur iManager.	Lien vers les options de mot de passe en libre-service à partir du portail d'une société
Produits tiers	Vous devez établir un lien vers ces fonctions. Étant donné que les produits tiers n'exécutent pas de module NPM (Novell Portal Module), vous ne pouvez pas utiliser les options de mot de passe en libre-service directement dans un autre produit. Pour utiliser ces produits tiers avec les options de mot de passe en libre-service, vous devez créer des liens entre le portail de votre société et les fonctions de mot de passe pour l'utilisateur final sur un serveur iManager.	Lien vers les options de mot de passe en libre-service à partir du portail d'une société

Intégration à exteNd Director 4.1 des options de mots de passe en libre-service

Si vous utilisez exteNd Director Standard Edition 4.1 avec Support Pack 1 pour un portail de société, vous pouvez ajouter le module Mot de passe oublié à votre portail comme tout autre module NPM. Ce module fournit les mêmes fonctionnalités que lorsqu'il est utilisé sous iManager 2.0.2 :

Nouvelles tâches pour l'utilisateur du portail relatives aux options de mots de passe en libre-service :
- Configuration de l'indice
- Répondre aux stimulation-questions
- Changer le mot de passe (Universel)
Option en libre-service Mot de passe oublié, accessible via le lien Vous avez oublié votre mot de passe ? sur la page de login au portail
Fonctions de post-authentification pour inviter les utilisateurs à modifier les mots de passe non conformes ou à mettre à jour les éléments de l'option Mot de passe oublié tels que les indices et les stimulation-questions

Pour ajouter ces fonctions :

Vérifiez que le Support Pack 1 est installé.

Il comporte des améliorations requises par le module ForgottenPassword.npm.
Vérifiez que SSL est configuré entre le serveur Web exteNd Director et eDirectory, même si ceux-ci s'exécutent sur le même ordinateur.

Il s'agit d'une exigence de NMAS version 2.3 ou ultérieure.
Pour garantir la sécurité des gadgets Mot de passe oublié, vérifiez votre numéro de port SSL LDAP.

Si vous n'utilisez pas le port SSL LDAP 636, vous devez effectuer la procédure de configuration suivante :

Ajoutez la paire de clés suivantes au fichier PortalServlet.properties :

LDAPSSLPort=votre_numéro_de_port

Par exemple, si votre serveur Web exécute Active Directory, vous devez effectuer cette modification, car Active Directory utilise le port 636. Si vous exécutez Tomcat, modifiez le paramètre dans le fichier PortalServlet.properties qui se trouve dans le répertoire tomcat\webapps\nps\WEB_INF.

Ce paramètre est prioritaire par rapport à la valeur 636 par défaut (si cette valeur est présente dans le fichier).
Après avoir modifié ce paramètre, redémarrez le serveur Web.
Vérifiez que tous les utilisateurs eDirectory présents dans le conteneur des utilisateurs du portail ont des droits en libre-service pour l'attribut Indice intitulé nsimHint.

Lorsque vous installez les plugs-in DirXML sur un serveur Web iManager, cette étape est automatiquement exécutée pour l'arborescence pour laquelle iManager est configuré.

Toutefois, si vous pointez vers une autre arborescence, vous devez exécuter cette étape manuellement.

Un utilitaire est fourni pour vous aider dans cette procédure. Vous pouvez le télécharger et l'exécuter en procédant comme suit :
1. Accédez au site http:\\download.novell.com.
2. Entrez les informations requises dans les champs suivants :
  - Search by: (Rechercher par :)Produit
  - Choose a Product: (Sélectionner un produit :) Nsure Identity Manager
3. Téléchargez l'élément intitulé 2.0 Password Management Plug-in for iManager 2.0x (Plug-in de gestion des mots de passe 2.0 pour iManager 2.0.x).
4. Suivez les instructions fournies dans le fichier nsimhintreadme.txt.
Si les utilisateurs ne disposent pas de droits en libre-service pour l'attribut nsimHint, ils obtiennent une erreur du type suivant lorsqu'ils tentent de créer un indice :
```
Impossible d'écrire l'indice utilisateur (La tâche n'a pu être effectuée.).
```
(Conditionnel) Si vous n'avez pas installé Identity Manager sur le serveur exécutant eDirectory et NMAS, installez la méthode de login par stimulation-réponses pour NMAS.

Cette méthode de login est installée automatiquement avec Identity Manager. Elle fait partie du produit eDirectory 8.7.3.

Pour installer une méthode de login sous Windows, vous pouvez, entre autres, utiliser la fonction d'installation de méthodes (Method Installer) :
1. Recherchez le fichier MethodInstaller.exe dans le répertoire \nmas\NmasMethods\ du CD eDirectory.
2. Exécutez ce programme sur un poste de travail et sélectionnez la méthode de login par stimulation-réponses.
3. Acceptez le contrat et les paramètres par défaut présentés pour la séquence de login.
  
  La méthode est ajoutée au conteneur de login autorisé Methods.Security.nom_arborescence.
Pour plus d'informations sur l'installation d'une méthode de login, y compris sous UNIX, reportez-vous à la section Installing a Login Method (Installation d'une méthode de login) du manuel NMAS 2.3 Administration Guide (Guide d'administration de NMAS 2.3).
Ajoutez les modules suivants à exteNd Director :
- ForgottenPassword.npm
- nmasclient.npm
Ils sont inclus dans le produit DirXML.

Pour plus d'informations sur l'ajout d'un module, reportez-vous au manuel Novell exteNd Director Standard Edition Installation and Configuration Guide (Guide d'installation et de configuration de Novell exteNd Director Standard Edition).

Intégration des options de mot de passe en libre-service avec Virtual Office

Dans NetWare 6.5 avec Support Pack 2, Virtual Office prend en charge toutes les fonctions des options de mot de passe en libre-service. Avant d'utiliser ces fonctions, vous devez suivre quelques étapes. Toutefois, certaines d'entre elles sont exécutées automatiquement lors de l'installation d'Identity Manager dans votre arborescence eDirectory et lors de l'installation des plugs-in Identity Manager sur votre serveur iManager.

Pour plus d'informations, reportez-vous au Novell Virtual Office for NetWare 6.5 Configuration Guide (Guide de configuration de Novell Virtual Office pour NetWare 6.5). Les éléments déjà activés si vous avez installé Identity Manager sont les suivants :

extension du schéma pour la gestion des mots de passe ;
installation des plugs-in de gestion des mots de passe ;
installation de la méthode de login par stimulation-réponse ;
octroi aux utilisateurs de droits d'accès à un indice de mot de passe.
NOTE: lorsque vous installez les plugs-in DirXML sur un serveur iManager, les droits d'accès accordés aux utilisateurs pour l'indice de mot de passe sont automatiquement inscrits dans l'arborescence pour laquelle iManager est configuré. Si vous pointez vers une autre arborescence, vous devez exécuter cette étape manuellement.

Lien vers les options de mot de passe en libre-service à partir du portail d'une société

Pour les produits ne fournissant pas l'option en libre-service Mot de passe en exécutant ForgottenPassword.npm (tel que décrit dans le tableau de la section Ajout des options de mot de passe en libre-service au portail de votre société), vous pouvez utiliser l'option en libre-service Mot de passe en créant un autre serveur iManager avec les plugs-in de gestion des mots de passe installés, puis en établissant une liaison entre le portail de votre page d'accueil et la console iManager en libre-service de l'autre serveur, comme https://adresse_IP_serveur_iManager/nps.

Les plugs-in de gestion des mots de passe sont inclus dans les plugs-in DirXML 2 et sont disponibles séparément en téléchargeant le plug-in de gestion des mots de passe 2.0 pour iManager 2.0.x à partir de l'adresse http:\\download.novell.com.

La seule fonction difficile à intégrer est le service de post-authentification, qui invite les utilisateurs à mettre à jour leur mot de passe afin de respecter les règles de mot de passe puis à installer l'option en libre-service Mot de passe oublié en fonction de la règle de mot de passe, comme la création d'un indice de mot de passe. Pour que les utilisateurs possèdent des mots de passe conformes et soient configurés pour utiliser l'option en libre-service Mot de passe oublié, vous devez vérifier que les utilisateurs se loguent à la console iManager en libre-service au moins une fois afin de créer des mots de passe conformes et d'achever la configuration de la gestion des mots de passe, puis à chaque fois que vous apportez des modifications aux règles de mot de passe.

Suivez les instructions de ces sections :

Conditions préalables

Conditions préalables

Le serveur iManager et l'arborescence utilisés doivent être préparés pour :

répondre aux exigences définies au Installation ;
répondre aux conditions préalables définies à la section Conditions requises pour utiliser les règles de mot de passe ;
vérifier l'installation des règles de mot de passe pour vos utilisateurs eDirectory.

Lien vers l'option en libre-service Mot de passe oublié

Pour que les utilisateurs accèdent à l'option en libre-service Mot de passe oublié à partir du portail de votre société, vous pouvez créer un lien vers ce service depuis un serveur Web iManager séparé.

Créez un lien tel que Vous avez oublié votre mot de passe ? sur la page de login du portail de votre société et faites-le pointer vers l'adresse suivante sur votre serveur Web iManager :

http://adresse_IP_serveur_iManager/nps/servlet/fullpageservice?NPService=ForgotPassword&nextState=getUserID

Cette URL emmène l'utilisateur sur la page suivante, depuis laquelle vous lancez le processus Mot de passe oublié. Pour voir des exemples des autres pages du processus, reportez-vous à la section Comment fournir aux utilisateurs finals le libre-service Mot de passe oublié.
Suivez les étapes indiquées à la section Renvoi des utilisateurs des options en libre-service vers le portail de la société.

Lien vers les tâches de gestion des mots de passe de l'utilisateur final

Vérifiez que tous les utilisateurs eDirectory présents dans le conteneur des utilisateurs du portail ont des droits en libre-service pour l'attribut Indice intitulé nsimHint.

Lorsque vous installez les plugs-in DirXML sur un serveur Web iManager, cette étape est automatiquement exécutée pour l'arborescence pour laquelle iManager est configuré.

Si vous pointez vers une autre arborescence, vous devez exécuter cette étape manuellement.

Un utilitaire est fourni pour vous aider dans cette procédure. Vous pouvez le télécharger et l'exécuter en procédant comme suit :
1. Accédez au site http:\\download.novell.com.
2. Entrez les informations requises dans les champs suivants :
  - Search by: (Rechercher par :) Produit
  - Choose a Product: (Sélectionner un produit :) Nsure Identity Manager
3. Téléchargez l'élément intitulé 2.0 Password Management Plug-in for iManager 2.0x (Plug-in de gestion des mots de passe 2.0 pour iManager 2.0.x).
4. Suivez les instructions fournies dans le fichier nsimhintreadme.txt.
Si les utilisateurs ne disposent pas de droits en libre-service pour l'attribut nsimHint, ils obtiennent une erreur du type suivant lorsqu'ils tentent de créer un indice :
```
Impossible d'écrire l'indice utilisateur (La tâche n'a pu être effectuée.).
```
Fournissez aux utilisateurs un lien à partir du portail de votre société vers les tâches de gestion des mots de passe.

Vous pouvez créer un lien Gérer les mots de passe à partir du portail de votre société et le lier à https://autre_serveur_iManager/nps. Ce lien permettra d'accéder aux tâches de gestion des mots de passe des utilisateurs finals :
- Configuration de l'indice
- Répondre aux stimulation-questions
- Changer le mot de passe (Universel)
Un utilisateur cliquant sur le lien devra d'abord se loguer. Il verra ensuite une page similaire à l'exemple suivant.
Suivez les étapes indiquées à la section Renvoi des utilisateurs des options en libre-service vers le portail de la société.

Renvoi des utilisateurs des options en libre-service vers le portail de la société

Les options en libre-service Mot de passe intègrent des scénarios dans lesquels les utilisateurs disposent d'un lien permettant de revenir à la page de login. Par exemple, lorsqu'un utilisateur modifie son mot de passe à l'aide de l'option en libre-service Mot de passe oublié, la page suivante s'affiche : Your password has been successfully changed. Click here to return to login page. (Votre mot de passe a été changé. Cliquez ici pour revenir à la page de login).

Si, à partir du portail de votre société, vous pointez sur les options de mot de passe en libre-service d'un serveur iManager séparé, il peut être nécessaire de personnaliser la page de retour par défaut afin que les utilisateurs soient renvoyés automatiquement sur la page de login du portail une fois les tâches liées aux mots de passe achevées. Par défaut, le fait de cliquer sur le bouton renvoie l'utilisateur vers une page du serveur Web iManager.

Un lien de renvoi vers la page de login figure à ces trois emplacements :

la page sur laquelle un utilisateur peut définir un nouveau mot de passe ;
la page affichée après la modification réussie de son mot de passe par un utilisateur ;
la page sur laquelle un utilisateur peut consulter un indice.

Pour personnaliser la page de retour et la diriger vers la page de login du portail de votre société :

Sur le serveur Web iManager actuellement utilisé pour l'option en libre-service de mot de passe oublié, recherchez le répertoire suivant :

\tomcat\webapps\nps\portal\modules\ForgottenPassword\skins\default\devices\default
Recherchez le fichier suivant au sein de ce répertoire :

forgottenpassword.xsl
Modifiez le fichier forgottenpassword.xsl afin de personnaliser la page de retour par défaut.

Remplacez le code suivant
```
href="{LoginURL}"
```
par une adresse URL codée en dur, par exemple
```
href="(http:\\www.page_accueil_portail_société.com)"
```
Vous devez apporter cette modifications à trois emplacements dans le fichier.
Arrêtez et redémarrez Tomcat sur le serveur iManager.

Le lien Retournez à la Page de Login renvoie désormais les utilisateurs vers la page de login du portail de votre société

Comment vérifier que les utilisateurs ont configuré les fonctionnalités des options de mot de passe

Lorsque les utilisateurs se loguent à la console iManager en libre-service à l'adresse https://adresse_IP_serveur_iManager/nps, ils sont invités à suivre les consignes figurant dans plusieurs pages de post-authentification si les conditions suivantes s'appliquent :

Le mot de passe de l'utilisateur ne respecte pas les règles de mots de passe avancées.
La règle de mot de passe exige des stimulation-questions lors de l'utilisation de l'option en libre-service Mot de passe oublié, mais l'utilisateur ne les a pas configurées.
La règle de mot de passe utilise l'option Mot de passe oublié avec, comme opération, l'affichage de l'indice du mot de passe, mais l'utilisateur n'a pas créé d'indice.

Par exemple, ces invites sont nécessaires pour vérifier que l'utilisateur peut utiliser l'option en libre-service Mot de passe oublié. Si la règle de mot de passe demande à l'utilisateur de répondre aux stimulation-questions et si l'utilisateur ne les a jamais configurées, il ne peut pas accéder à l'option en libre-service Mot de passe oublié. Si l'utilisateur n'a pas créé d'indice de mot de passe, il ne peut pas le récupérer pour l'aider à se souvenir de son mot de passe.

Les produits issus des autres portails ne fournissant pas automatiquement les fonctionnalités de post-authentification, vous devrez vérifier que les utilisateurs se loguent à la console iManager en libre-service au moins une fois afin de créer des mots de passe conformes et d'achever l'installation de la gestion des mots de passe, puis de façon régulière chaque fois que vous apporterez des modifications aux règles de mot de passe.

Vérifiez pour cela que les utilisateurs utilisent le lien de gestion des mots de passe que vous avez fourni, qui est décrit à la section Lien vers les tâches de gestion des mots de passe de l'utilisateur final, et qui exige que les utilisateurs se loguent à la console iManager en libre-service.