CA IdentityMinder-Umgebungen › Erstellen einer CA IdentityMinder-Umgebung

Erstellen einer CA IdentityMinder-Umgebung

Über CA IdentityMinder-Umgebungen können Sie Objekte in einem Verzeichnis mit einem Rollen- und Aufgabensatz verwalten. Verwenden Sie den CA IdentityMinder-Umgebungs-Assistenten, der Sie schrittweise durch die Erstellung einer CA IdentityMinder-Umgebung leitet.

Beachten Sie vor der Erstellung einer CA IdentityMinder-Umgebung Folgendes:

• Gehen Sie davon aus, dass Sie einen LDAP-Benutzerspeicher verwenden und einen Benutzercontainer wie ou=People in der Verzeichniskonfigurationsdatei (directory.xml) für Ihr CA IdentityMinder-Verzeichnis konfiguriert haben. Vergewissern Sie sich, dass die Benutzer, die Sie auswählen, wenn Sie die CA IdentityMinder-Umgebung erstellen, in diesem Container vorhanden sind. Die Auswahl eines Benutzerkontos, das im Benutzercontainer nicht vorhanden ist, kann Fehler verursachen.
• Wenn Sie eine CA IdentityMinder-Umgebung konfigurieren, um ein LDAP-Benutzerverzeichnis mit einer flachen Benutzerstruktur zu verwalten, muss das Profil für den ausgewählten Benutzer die Organisation des Benutzers einschließen. Um sicherzustellen, dass das Profil eines Benutzers richtig konfiguriert wird, fügen Sie dem physischen Attribut, das dem bekannten Attribut %ORG_MEMBERSHIP% in der directory.xml-Datei entspricht, den Namen der Organisation des Benutzers hinzu. Wenn zum Beispiel die Beschreibung des physischen Attributs dem bekannten Attribut %ORG_MEMBERSHIP% in der directory.xml-Datei zugeordnet ist und der Benutzer zur Organisation "Employees" gehört, muss das Profil des Benutzers das Attribut-/Wertpaar "description=Employees" enthalten.

Gehen Sie wie folgt vor:

1. Wenn CA IdentityMinder einen Richtlinienserver-Cluster verwendet, beenden Sie alle bis auf einen Richtlinienserver.
2. Wenn Sie einen Cluster von CA IdentityMinder-Knoten haben, beenden Sie alle bis auf einen CA IdentityMinder-Knoten.
3. Klicken Sie in der Managementkonsole auf "Umgebungen".
4. Klicken Sie auf "Neu".

   Der CA IdentityMinder-Umgebungs-Assistent wird geöffnet.

5. Geben Sie die folgenden Informationen an:
   • Umgebungs-Name

     Gibt einen eindeutigen Namen für die Umgebung an.

   • Beschreibung

     Beschreibt die Umgebung.

   • Protected Alias (Geschützter Alias)

     Gibt einen eindeutigen Namen, zum Beispiel Mitarbeiter, an. Dieser Alias wird der URL für den Zugriff auf geschützte Aufgaben in der CA IdentityMinder-Umgebung hinzugefügt. Wenn dieser Alias zum Beispiel "employees" ist, lautet die URL für den Zugriff auf die Mitarbeiterumgebung http://myserver.mycompany.com/iam/im/employees.

     Hinweis: Für den Alias wird die Groß-/Kleinschreibung berücksichtigt, und er darf keine Leerzeichen enthalten. Es wird empfohlen, für den Alias Kleinbuchstaben und keine Satzzeichen oder Leerzeichen zu verwenden.

   • Base URL (Basis-DN)

     Gibt die URL für CA IdentityMinder an. Die URL erfordert einen Hostnamen; "localhost" ist nicht zulässig. Schließen Sie auch nicht den Alias ein, zum Beispiel http://myserver.mycompany.com/iam/im.

     Wenn Sie einen Web-Agenten verwenden, vergewissern Sie sich, dass die Basis-URL geändert wurde und die URL des Web-Agenten widerspiegelt.

     Hinweis: Wenn Sie einen Web-Agenten verwenden, um CA IdentityMinder-Ressourcen zu schützen, geben Sie im Feld "Basis-URL" keine Portnummer an. Wenn Sie einen Web-Agenten verwenden und die Basis-URL eine Portnummer enthält, funktionieren die Links zu CA IdentityMinder-Aufgaben nicht ordnungsgemäß.

     Weitere Informationen zum Schutz von CA IdentityMinder-Ressourcen finden Sie im Installationshandbuch für Ihren Anwendungsserver.

     Klicken Sie auf "Weiter".

6. Wählen Sie ein CA IdentityMinder-Verzeichnis aus, um es der Umgebung zuzuordnen, die Sie erstellen, und klicken Sie auf "Weiter".
7. Wenn die CA IdentityMinder-Umgebung die Bereitstellung unterstützt, wählen Sie den entsprechenden Bereitstellungsserver für die Verwendung aus.

   Hinweis: Sie werden nicht aufgefordert, einen Bereitstellungsserver auszuwählen, wenn Sie ein Bereitstellungsverzeichnis als CA IdentityMinder-Verzeichnis ausgewählt haben.

8. Konfigurieren Sie die Unterstützung von öffentlichen Aufgaben. Diese Aufgaben sind in der Regel Self-Service-Aufgaben wie Selbstregistrierungsaufgaben und Aufgaben in Bezug auf vergessene Kennwörter. Benutzer müssen sich nicht anmelden, um auf öffentliche Aufgaben zuzugreifen.

   Hinweis: Damit Benutzer Self-Service-Aufgaben verwenden können, konfigurieren Sie die Unterstützung von öffentlichen Aufgaben.

   1. Geben Sie einen eindeutigen Namen an, der zur URL für den Zugriff auf öffentliche Aufgaben hinzugefügt wird.

      Beispiel: Mithilfe der folgenden URL können Sie auf die standardmäßige Selbstregistrierungsaufgabe zugreifen:

      http://myserver.mycompany.com/iam/im/alias/index.jsp?task.tag=SelfRegistration

      In dieser URL ist alias der eindeutige Name, den Sie angeben.

   2. Geben Sie eins der folgenden vorhandenen Benutzerkonten an, das als öffentliches Benutzerkonto dient. CA IdentityMinder ermöglicht mit diesem Konto unbekannten Benutzern den Zugriff auf öffentliche Aufgaben ohne die Angabe von Anmeldeinformationen.
      • LDAP-Benutzer geben die eindeutige Kennung oder den zugehörigen DN des öffentlichen Benutzerkontos ein. Vergewissern Sie sich, dass dieser Wert dem bekannten Attribut %USER_ID% zugeordnet ist. Wenn der DN des Benutzer-DN zum Beispiel uid=Admin1, ou=People, ou=Employees, ou=NeteAuto lautet, geben Sie "Admin1" ein.
      • Benutzer von relationalen Datenbanken geben den Wert, der dem bekannten Attribut %USER_ID% in der Verzeichniskonfigurationsdatei zugeordnet ist, oder die eindeutige Kennung für den Benutzer ein.

   Klicken Sie auf "Validieren", um die vollständige Kennung des Benutzers anzuzeigen.

9. Wählen Sie die Aufgaben und Rollen aus, die für diese Umgebung erstellt werden sollen. Sie können die folgenden Aufgaben ausführen:
   • Create default roles (Standardrollen erstellen)

     Erstellt einen Satz von Standardaufgaben und -rollen, die in der Umgebung verfügbar sind. Administratoren können diese Aufgaben und Rollen als Vorlagen verwenden, um neue Aufgaben und Rollen in der Benutzerkonsole zu erstellen.

   • Create only the system manager role (Nur die Rolle des Systemmanagers erstellen)

     Erstellt nur die Rolle des Systemmanagers und die der Rolle zugeordneten Aufgaben.

     Die Rolle des Systemmanagers ist erforderlich, um auf die Umgebung zuzugreifen.

     Ein Systemmanager kann neue Aufgaben und Rollen in der Benutzerkonsole erstellen.

   • Import roles from the file (Rollen aus der Datei importieren)

     Importiert eine Rollendefinitionsdatei, die Sie aus einer anderen CA IdentityMinder-Umgebung exportiert haben.

     Hinweis: Damit die CA IdentityMinder-Umgebung verwendet werden kann, muss die Rollendefinitionsdatei mindestens die Rolle des Systemmanagers oder eine Rolle mit ähnlichen Aufgaben umfassen.

     Wählen Sie die Optionsschaltfläche "Import roles from the file" (Rollen aus der Datei importieren) aus, und geben Sie den Pfad und Dateinamen der Rollendefinitionsdatei ein oder suchen Sie nach der zu importierenden Datei.

10. Wählen Sie Rollendefinitionsdateien aus, um Sätze von Standardaufgaben für Ihre Umgebung zu erstellen, und klicken Sie auf "Weiter".

    Rollendefinitionsdateien sind XML-Dateien, die einen Satz von Aufgaben und Rollen definieren, die für die Unterstützung bestimmter Funktionen erforderlich sind. Wenn Sie zum Beispiel Active Directory- und UNIX NIS-Endpunkte verwalten möchten, wählen Sie die entsprechenden Rollendefinitionsdateien aus.

    Hinweis: Dieser Schritt ist optional. Wenn Sie keine zusätzlichen Standardaufgaben zur Unterstützung neuer Funktionen erstellen möchten, überspringen Sie dieses Fenster.

11. Definieren Sie einen Benutzer als Systemmanager für diese Umgebung wie folgt:
    1. Geben Sie im Feld "System Manager" (Systemmanager) den Wert ein, der dem bekannten Attribut %USER_ID% in der Verzeichniskonfigurationsdatei zugeordnet ist, oder geben Sie eins der folgenden Benutzerkonten an:
       • LDAP-Benutzer geben die eindeutige Kennung oder den zugehörigen DN des Benutzers ein. Wenn der DN des Benutzer-DN zum Beispiel uid=Admin1, ou=People, ou=Employees, ou=NeteAuto lautet, geben Sie "Admin1" ein.
       • Benutzer von relationalen Datenbanken geben die eindeutige Kennung für den Benutzer ein.
    2. Klicken Sie auf "Hinzufügen".

       CA IdentityMinder fügt die vollständige Kennung des Benutzers in der Liste mit Benutzern hinzu.

    3. Klicken Sie auf "Weiter".

    Beachten Sie beim Festlegen des Systemmanagers Folgendes:

    • Der Systemmanager darf nicht der gleiche Benutzer wie der Administrator des Benutzerspeichers sein.
    • Sie können mehrere Systemmanager für die Umgebung angeben. Sie können jedoch nur den ersten Systemmanager in der Management-Konsole angeben. Um zusätzliche Systemmanager festzulegen, weisen Sie den entsprechenden Benutzern die Rolle des Systemmanagers in der Benutzerkonsole zu.
12. Geben Sie im Feld "Inbound Administrator" (Administrator für Eingehendes) ein CA IdentityMinder-Administratorkonto an, das Admin-Aufgaben ausführen kann, die eingehenden Zuordnungen zugeordnet sind.

    Der Benutzer muss alle diese Aufgaben für einen beliebigen Benutzer ausführen können. Die Rolle "Manager für Bereitstellungssynchronisierung" enthält die Bereitstellungsaufgaben, die in den eingehenden Standardzuordnungen enthalten sind.

13. Geben Sie ein Kennwort für den Schlüsselspeicher ein. Dabei handelt es sich um die Datenbank mit Schlüsseln, die zum Verschlüsseln und Entschlüsseln von Daten verwendet werden.

    Die Definition dieses Kennworts ist eine Voraussetzung für das Definieren dynamischer Schlüssel. Sie können das Kennwort ändern, nachdem Sie die Umgebung mithilfe der Aufgaben "System", "Geheime Schlüssel" erstellt haben.

    Eine Seite wird angezeigt, auf der die Einstellungen für die Umgebung zusammengefasst werden.

14. Überprüfen Sie die Einstellungen für die Umgebung. Klicken Sie auf "Vorherige", um die Einstellungen zu ändern, oder auf "Fertig stellen", um die CA IdentityMinder-Umgebung mit den aktuellen Einstellungen zu erstellen.

    Im Fenster "Environment Configuration Output" (Umgebungskonfigurations-Ausgabe) wird der Verlauf der Umgebungserstellung angezeigt.

15. Klicken Sie auf "Fortfahren", um den CA IdentityMinder-Umgebungsassistenten zu beenden.
16. Starten Sie die Umgebung.

    Klicken Sie auf den Namen der Umgebung und anschließend auf "Starten".

17. Wenn Sie in Schritt 1 Richtlinienserver beendet haben, starten Sie diese jetzt neu.