Ambienti di CA IdentityMinder › Creazione di un ambiente di CA IdentityMinder

Creazione di un ambiente di CA IdentityMinder

Gli ambienti di CA IdentityMinder consentono di gestire oggetti in una directory con un set di ruoli e attività. Utilizzare la procedura guidata di creazione ambiente di CA IdentityMinder per seguire i passaggi necessari per creare un ambiente di CA IdentityMinder.

Notare i punti seguenti prima di creare un ambiente di CA IdentityMinder:

• Ad esempio, l'utente utilizza un archivio utenti LDAP configurato come contenitore utente, ad esempio ou=People, nei file di configurazione della directory (directory.xml) per la directory di CA IdentityMinder. Verificare che gli utenti selezionati durante la creazione dell'ambiente di CA IdentityMinder esistano in quel contenitore. La selezione di un account utente che non esiste nel contenitore utente può causare errori.
• Quando si configura un ambiente di CA IdentityMinder per gestire una directory utente LDAP con una struttura flat o una struttura utente flat il profilo dell'utente selezionato deve includere l'organizzazione dell'utente. Per assicurare che il profilo di un utente sia configurato correttamente, aggiungere il nome dell'organizzazione dell'utente all'attributo fisico che corrisponde all'attributo noto %ORG_MEMBERSHIP% nel file directory.xml. Ad esempio, quando viene eseguito il mapping della descrizione dell'attributo fisico sull'attributo noto %ORG_MEMBERSHIP% nel file directory.xml e l'utente appartiene all'organizzazione Employees (Dipendenti), il profilo dell'utente deve contenere la coppia di attributo/valore description=Employees.

Procedere come descritto di seguito:

1. Se CA IdentityMinder utilizza un cluster di server dei criteri, interrompere tutti i server dei criteri, salvo uno.
2. Se si dispone di un cluster di nodi CA IdentityMinder, interrompere tutti i nodi CA IdentityMinder, salvo uno.
3. Nella Console di gestione, fare clic su Environments (Ambienti).
4. Fare clic su Nuovo.

   Si apre la procedura guidata di creazione ambiente di CA IdentityMinder.

5. Specificare le seguenti informazioni:
   • Nome dell'ambiente

     Specifica un nome univoco per l'ambiente.

   • Descrizione

     Descrive l'ambiente.

   • Protected Alias (Alias protetto)

     Specifica un nome univoco, ad esempio dipendenti. Questo alias viene aggiunto all'URL per accedere alle attività protette dell'ambiente di CA IdentityMinder. Ad esempio, se l'alias è dipendenti, l'URL per accedere all'ambiente dipendenti sarà http://myserver.mycompany.com/iam/im/dipendenti

     Nota: l'alias distingue tra maiuscole e minuscole e non può contenere spazi. Si consiglia di utilizzare lettere minuscole senza punteggiatura o spazi quando si specifica l'alias.

   • URL di base

     Specifica l'URL per CA IdentityMinder. L'URL richiede un nome host e non può includere un host locale. Inoltre, non includere l'alias, ad esempio, http://myserver.mycompany.com/iam/im.

     Se si sta utilizzando un agente Web, assicurarsi che l'URL di base venga modificato per riflettere l'URL dell'agente Web.

     Nota: se si sta utilizzando un agente Web per proteggere risorse di CA IdentityMinder, non specificare un numero di porta nel campo URL di base. Se si sta utilizzando un agente Web e l'URL di base contiene un numero di porta, i collegamenti alle attività di CA IdentityMinder non funzionano correttamente.

     Per ulteriori informazioni sulla protezione delle risorse di CA IdentityMinder, consultare la Guida all'installazione del server applicazioni.

     Fare clic su Avanti.

6. Selezionare una directory di CA IdentityMinder da associare all'ambiente che si sta creando e fare clic su Avanti.
7. Se l'ambiente di CA IdentityMinder supporta il provisioning, selezionare il server di provisioning appropriato da utilizzare.

   Nota: nnon è necessario selezionare un server di provisioning se è stata selezionata una directory di provisioning come directory di CA IdentityMinder.

8. Configurare il supporto per le attività pubbliche. Di solito, le attività pubbliche sono attività self-service, come la registrazione automatica o le attività legate alle password dimenticate. Non è necessario eseguire l'accesso per svolgere le attività pubbliche.

   Nota: per abilitare gli utenti all'utilizzo delle attività self-service, configurare supporto per le attività pubbliche.

   1. Specificare un nome univoco da aggiungere all'URL per l'accesso alle attività pubbliche.

      Esempio: si utilizza l'URL seguente per accedere all'attività di registrazione automatica predefinita:

      http://myserver.mycompany.com/iam/im/alias/index.jsp?task.tag=SelfRegistration

      In questo URL, l'alias è il nome univoco fornito.

   2. Specificare uno degli account utente esistenti seguenti che serva da account utente pubblico. CA IdentityMinder utilizza questo account per consentire a utenti sconosciuti di accedere ad attività pubbliche senza dovere fornire le credenziali.
      • Gli utenti LDAP immettono l'ID univoco o il DN relativo dell'account utente pubblico. Assicurarsi che di questo valore venga eseguito il mapping sullo %USER_ID% noto. Ad esempio, se il DN del DN utente è uid=Admin1, ou=People, ou=Employees, ou=NeteAuto, digitare Admin1.
      • Gli utenti del database relazionale digitano il valore di cui viene eseguito il mapping sull'attributo noto %USER_ID% nel file di configurazione della directory o nell'ID univoco dell'utente.

   Fare clic su Convalida per visualizzare l'ID completo dell'utente.

9. Selezionare le attività e i ruoli da creare per questo ambiente. È possibile eseguire le attività seguenti:
   • Creazione di ruoli predefiniti

     Consente di creare un insieme di attività e ruoli predefiniti che sono inizialmente disponibili nell'ambiente. Gli amministratori possono utilizzare queste attività e ruoli come modelli per creare nuove attività e ruoli nella console utente.

   • Creazione soltanto del ruolo di manager di sistema

     Consente di creare solo il ruolo di manager di sistema e le attività a esso associate.

     Per accedere all'ambiente, è necessario il ruolo di manager di sistema.

     Un manager di sistema può creare nuove attività e ruoli nella console utente.

   • Importazione di ruoli dal file

     Consente di importare un file delle definizioni del ruolo esportato da un altro ambiente di CA IdentityMinder.

     Nota: per utilizzare l'ambiente di CA IdentityMinder, il file delle definizioni del ruolo deve includere almeno il ruolo di Manager di sistema o un ruolo che includa attività simili.

     Selezionare i ruoli di importazione dal pulsante di opzione del file e digitare il percorso e il nome file del file delle definizioni del ruolo o accedere al file da importare.

10. Selezionare i file delle definizioni dei ruoli per creare set di attività predefinite per il proprio ambiente e fare clic su Avanti.

    I file delle definizioni dei ruoli sono file XML che definiscono un set di attività e ruoli richiesti per supportare specifiche funzionalità. Ad esempio, se si desidera gestire Active Directory ed endpoint UNIX NIS, selezionare i file delle definizioni dei ruoli.

    Nota: questo passaggio è facoltativo. Se non si desidera creare attività predefinite aggiuntive per supportare la nuova funzionalità, ignorare questa schermata.

11. Definire un utente per servire da manager di sistema per questo ambiente nel modo seguente:
    1. Nel campo Manager di sistema, digitare il valore di cui viene eseguito il mapping sull'attributo noto %USER_ID% nel file di configurazione della directory o specificare uno degli account utente seguenti:
       • Gli utenti LDAP immettono l'ID univoco o il DN relativo dell'utente. Ad esempio, se il DN del DN utente è uid=Admin1, ou=People, ou=Employees, ou=NeteAuto, digitare Admin1.
       • Gli utenti del database relazionale digitano l'ID univoco dell'utente.
    2. Fare clic su Aggiungi.

       CA IdentityMinder aggiunge l'ID completo dell'utente all'elenco di utenti.

    3. Fare clic su Avanti.

    Prendere nota dei punti seguenti quando si specifica il Manager di sistema:

    • Il Manager di sistema non deve essere lo stesso utente dell'amministratore dell'archivio utenti.
    • È possibile specificare più manager di sistema per l'ambiente. Tuttavia, è possibile specificare solo il manager di sistema iniziale nella console di gestione. Per specificare ulteriori manager di sistema, assegnare il ruolo di Manager di sistema agli utenti appropriati nella console utente.
12. Nel campo Inbound Administrator (Amministratore in entrata), specificare un account di amministratore di CA IdentityMinder in grado di eseguire attività di amministrazione di cui è stato eseguito il mapping sui mapping in entrata.

    L'utente deve essere in grado di eseguire tutte queste attività su qualsiasi utente. Il ruolo di Manager di provisioning della sincronizzazione contiene le attività di provisioning nei mapping in entrata predefiniti.

13. Immettere una password per il keystore, il database delle chiavi che codificano e decriptano i dati.

    La definizione di questa password è un prerequisito per la definizione delle chiavi dinamiche. È possibile modificare la password dopo aver creato l'ambiente mediante l'attività Sistema, Chiavi segrete.

    Viene visualizzata una pagina che riassume le impostazioni per l'ambiente.

14. Rivedere le impostazioni per l'ambiente. Fare clic su Precedente per modificare o fare clic su Fine per creare l'ambiente di CA IdentityMinder con le impostazioni attuali.

    La schermata Environment Configuration Output (Output di configurazione ambiente) mostra l'avanzamento dell'operazione di creazione ambiente.

15. Fare clic su Continua per uscire dalla procedura guidata di creazione dell'ambiente di CA IdentityMinder.
16. Avviare l'ambiente.

    Fare clic sul nome dell'ambiente, quindi fare clic su Inizio.

17. In caso di interruzione dei server dei criteri al passaggio 1, riavviarli ora.