Guide de configuration

Transcription

1 IBM Security Access Manager for Enterprise Single Sign-On Version Guide de configuration GC

2

3 IBM Security Access Manager for Enterprise Single Sign-On Version Guide de configuration GC

4 Important Aant d'utiliser ces informations et le produit associé, prenez connaissance des informations générales figurant à la section «Remarques», à la page 119. Notes d'édition Remarque : Cette édition s'applique à la ersion de IBM Security Access Manager for Enterprise Single Sign-On (numéro de produit 5724 V67) et à toutes les éditions et modifications postérieures jusqu'à indication contraire dans les nouelles éditions. Copyright IBM Corporation 2002, 2014.

5 Table des matières Ais aux lecteurs canadiens A propos de cette publication..... ii Accès aux publications et à la terminologie.... ii Accessibilité x Formation technique x Informations relaties au support xi Déclaration de bonnes pratiques de sécurité.... xi Chapitre 1. Configuration d'ims Serer. 1 Accès à l'utilitaire de configuration IMS Création d'administrateurs IMS Serer Paramètres de base Ajout d'un serice d'authentification Configuration d'ims Serer pour utiliser des sereurs d'annuaire Actiation du support biométrique Configuration du déploiement d'actiecode.. 11 Paramètres aancés Configuration d'accessadmin Configuration d'ims Serer Configuration de la source de données Configuration des connecteurs de message IMS Bridge Configuration de l'authentification des utilisateurs Utilitaires Téléchargement de données système Exportation de la configuration d'ims Serer à l'aide de l'utilitaire de configuration IMS Importation de la configuration d'ims Serer aec l'utilitaire de configuration IMS Traduction de codes d'éénement et de résultat 46 Configuration de la compression HTTP Chapitre 2. Sauegarde et récupération d'ims Serer, des profils WebSphere Application Serer et de la base de données Sauegarde des profils de WebSphere Application Serer Restauration des profils de WebSphere Application Serer Sauegarde de la base de données dans DB Restauration de la base de données dans DB Chapitre 3. Configuration d'accessagent Configuration de l'interface utilisateur d'accessagent Lancement d'applications à partir d'esso GINA 53 Changement de la bannière AccessAgent Changement de l'interface d'accessagent Désactiation du fournisseur de données d'identification ESSO ou ESSO GINA Configuration des fonctionnalités d'accessagent.. 58 Changement de la prise en charge de Ctrl+Alt+Suppr dans Windows 7 et Support du Verrouillage d'écran transparent sous Windows 7 et Actiation et personnalisation du errouillage d'écran transparent dans Windows 7 et Actiation de la connexion unique pour les applications Jaa Actiation de l'aide dans les boîtes de dialogue lancées dans le contexte des profils d'accès Configuration de la génération de rapports d'éénement dans le journal des éénements Windows Configuration de la boîte de message modale du système Actiation du raccourci-claier d'urgence pour les bureaux priés (sous Windows XP uniquement) Désactiation de l'accès en écriture au registre Windows Configuration des fonctions d'accessibilité d'accessagent Actiation d'un effet d'animation pour AccessAgent Raccourcis claier d'accessagent Chapitre 4. Configuration d'une authentification forte Configuration de l'authentification RFID Configuration de l'authentification par empreinte digitale Installation de l'adaptateur de ressources NLI.. 66 Intégration d'un lecteur d'empreintes digitales BIO-key Configuration de l'authentification par carte à puce 69 Actiation du protocole SSL bidirectionnel Importation des certificats de l'autorité de certification des cartes à puce Actiation de l'authentification par carte à puce 71 Configuration de cartes à puce hybrides Configuration de l'authentification par mot de passe à usage unique et Mobile ActieCode Configuration d'otp (One-Time Password) (par OATH) Configuration de Mobile ActieCode Configuration de l'enregistrement des utilisateurs exclusiement MAC A propos de l'authentification RADIUS Configuration des paramètres de règles de jeton OTP Paramètres aancés des OTP OATH Copyright IBM Corp. 2002, 2014 iii

6 Chapitre 5. Configuration d'un déploiement sécurisé Suppression des exemples de serlet et d'application WebSphere Application Serer Sécurisation de l'accès aux données de configuration 83 Limitation des tentaties de connexion Restriction des connexions HTTP Désactiation de l'exploration des répertoires Chapitre 6. Connexion à AccessAdmin 87 Chapitre 7. Définition de modèles de règle Chapitre 8. Affectation automatique de modèles de règle utilisateur aux noueaux utilisateurs Chapitre 9. Exclusion des attributs de machine Chapitre 10. Configuration du support JMX Chapitre 11. Feuille de traail de planification Chapitre 12. Référence de l'interface ligne de commande Commande cleanimsconfig Commande deployisamessoims Commande deployisamessoimsconfig Commande exportimsconfig Commande managepolpriority Commande setupcmdline Commande upgradesymcrypto Commande uploaddpx Commande uploadoath Commande uploadsync Scripts pour le dispositif irtuel Commande collectlogs Commande configuretcrforims Commande installtcr Commande resetimsva Remarques Glossaire A B C D E F G H I J L M N O P Q R S T U V W Index i IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

7 Ais aux lecteurs canadiens Le présent document a été traduit en France. Voici les principales différences et particularités dont ous deez tenir compte. Illustrations Les illustrations sont fournies à titre d'exemple. Certaines peuent contenir des données propres à la France. Terminologie La terminologie des titres IBM peut différer d'un pays à l'autre. Reportez-ous au tableau ci-dessous, au besoin. IBM France ingénieur commercial agence commerciale ingénieur technico-commercial inspecteur IBM Canada représentant succursale informaticien technicien du matériel Claiers Les lettres sont disposées différemment : le claier français est de type AZERTY, et le claier français-canadien de type QWERTY. OS/2 et Windows - Paramètres canadiens Au Canada, on utilise : les pages de codes 850 (multilingue) et 863 (français-canadien), le code pays 002, le code claier CF. Nomenclature Les touches présentées dans le tableau d'équialence suiant sont libellées différemment selon qu'il s'agit du claier de la France, du claier du Canada ou du claier des États-Unis. Reportez-ous à ce tableau pour faire correspondre les touches françaises figurant dans le présent document aux touches de otre claier. Copyright IBM Corp. 2002, 2014

8 Breets Il est possible qu'ibm détienne des breets ou qu'elle ait déposé des demandes de breets portant sur certains sujets abordés dans ce document. Le fait qu'ibm ous fournisse le présent document ne signifie pas qu'elle ous accorde un permis d'utilisation de ces breets. Vous pouez enoyer, par écrit, os demandes de renseignements relaties aux permis d'utilisation au directeur général des relations commerciales d'ibm, 3600 Steeles Aenue East, Markham, Ontario, L3R 9Z7. Assistance téléphonique Si ous aez besoin d'assistance ou si ous oulez commander du matériel, des logiciels et des publications IBM, contactez IBM direct au i IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

9 A propos de cette publication IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration fournit des informations sur la configuration des paramètres d'ims Serer, de l'interface utilisateur d'accessagent et de son comportement. Accès aux publications et à la terminologie Cette section contient : Une liste des publications contenues dans la «Bibliothèque IBM Security Access Manager for Enterprise Single Sign-On». Des liens ers «Des publications en ligne», à la page x. Un lien ers «Site Web de terminologie IBM», à la page x. Bibliothèque IBM Security Access Manager for Enterprise Single Sign-On Les documents suiants sont disponibles dans la bibliothèque IBM Security Access Manager for Enterprise Single Sign-On : IBM Security Access Manager for Enterprise Single Sign-On - Guide de démarrage rapide, CF3T3ML IBM Security Access Manager for Enterprise Single Sign-On - Guide de démarrage rapide fournit un démarrage rapide pour les principales tâches d'installation et de configuration pour le déploiement et l'utilisation d'ibm Security Access Manager for Enterprise Single Sign-On. IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement contient des informations sur la planification du déploiement et la préparation de l'enironnement. Il contient une présentation des fonctions et des composants du produit, de l'installation et de la configuration requises ainsi que les différents scénarios de déploiement. Il décrit également comment obtenir une haute disponibilité et la reprise après sinistre. Lisez ce guide aant d'effectuer toute tâche d'installation ou de configuration. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'installation, GI IBM Security Access Manager for Enterprise Single Sign-On - Guide d'installation fournit les procédures détaillées d'installation, de mise à nieau et de désinstallation d'ibm Security Access Manager for Enterprise Single Sign-On. Ce guide ous aide à installer les différents composants du produit et les middlewares qu'ils requièrent. Il comprend également les configurations initiales qui sont requises pour effectuer le déploiement du produit. Il traite des procédures d'utilisation des dispositifs irtuels, des éditions de WebSphere Application Serer Base et Network Deployement. IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration, GC IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration fournit des informations sur la configuration des paramètres d'ims Serer, de l'interface utilisateur d'accessagent et de son comportement. Copyright IBM Corp. 2002, 2014 ii

10 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'administration, SC Ce guide est destiné aux administrateurs. Il traite des différentes tâches d'administration. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'administration fournit les procédures pour créer et attribuer des modèles de règle, éditer des aleurs de règle, générer des journaux et des rapports et sauegarder IMS Serer et sa base de données. Utilisez ce guide en association aec IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles. IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles fournit une description détaillée des différentes règles utilisateur, machine et système que les administrateurs peuent configurer dans AccessAdmin. Utilisez-le en association aec IBM Security Access Manager for Enterprise Single Sign-On - Guide d'administration. IBM Security Access Manager for Enterprise Single Sign-On - Guide du serice d'assistance, SC Ce guide est destiné aux représentants du serice d'assistance. IBM Security Access Manager for Enterprise Single Sign-On - Guide du serice d'assistance fournit aux représentants du serice d'assistance des informations pour gérer les demandes et requêtes des utilisateurs, portant généralement sur leurs facteurs d'authentification. Utilisez ce guide en association aec IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'utilisation, SC Ce guide est destiné aux utilisateurs. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'utilisation explique comment utiliser AccessAgent et Web Workplace. IBM Security Access Manager for Enterprise Single Sign-On - Guide de résolution des problèmes et de support, GC IBM Security Access Manager for Enterprise Single Sign-On - Guide de résolution des problèmes et de support fournit des informations sur les problèmes liés à l'installation, la mise à nieau ou l'utilisation du produit. Il traite des problèmes connus et des limitations du produit. Il ous aide à déterminer les symptômes et la solution de contournement d'un problème. Vous y trouerez également des informations sur les correctifs, les bases de connaissances et le support technique. IBM Security Access Manager for Enterprise Single Sign-On - Guide de référence des messages d'erreur, GC IBM Security Access Manager for Enterprise Single Sign-On - Guide de référence des messages d'erreur décrit tous les messages d'information, d'aertissement et d'erreur associés à IBM Security Access Manager for Enterprise Single Sign-On. IBM Security Access Manager for Enterprise Single Sign-On - Guide AccessStudio, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide AccessStudio fournit des informations sur la création et l'utilisation des profils d'accès. Il fournit des procédures pour la création et l'édition de profils d'accès standard et aancés pour différents types d'application. Il contient également des informations sur la gestion des serices d'authentification et des objets application ainsi que des informations sur d'autres fonctions et dispositifs d'accessstudio. iii IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

11 IBM Security Access Manager for Enterprise Single Sign-On - Guide des widgets AccessProfile, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide des widgets AccessProfile fournit des informations sur la création et l'utilisation de widgets. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration de Tioli Endpoint Manager, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration de Tioli Endpoint Manager explique comment créer et déployer des fixlets pour installer ou mettre à nieau AccessAgent ou gérer ses correctifs. Il comprend également des rubriques sur l'utilisation et la personnalisation du tableau de bord pour afficher des informations sur le déploiement d'accessagent sur les noeuds finals. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration du proisionnement, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration du proisionnement fournit des informations sur les différentes API Jaa et SOAP pour l'attribution des accès. Il coure également les procédures d'installation et de configuration de l'agent Proisioning Agent. IBM Security Access Manager for Enterprise Single Sign-On - Guide de l'api Web de gestion des données d'identification, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide de l'api Web de gestion des données d'identification fournit des informations sur l'installation et la configuration de l'api Web pour la gestion des données d'identification. IBM Security Access Manager for Enterprise Single Sign-On - Guide Serial ID SPI, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide Serial ID SPI décrit comment intégrer une unité aec des numéros de série et l'utiliser en tant que second facteur d'authentification aec AccessAgent. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration d'epic, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration d'epic fournit des informations sur l'intégration d'ibm Security Access Manager for Enterprise Single Sign-On et d'epic, aec les flux de traaux, les configurations et le déploiement pris en charge. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration de la gestion de contexte, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration de la gestion de contexte fournit des informations sur l'installation, la configuration et le test de la solution intégrée de gestion de contexte sur chaque poste de traail client. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur mobile, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur mobile fournit des informations sur le déploiement et l'utilisation de la connexion unique sur les appareils mobiles. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau irtuelle, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau irtuelle fournit des informations sur la configuration de la prise en charge de la connexion unique sur une infrastructure de bureau irtuel, ainsi que les différents flux de traaux utilisateur pour accéder au bureau irtuel. A propos de cette publication ix

12 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Serer et Citrix Serer, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Serer et Citrix Serer fournit des informations sur les configurations requises et les flux de traaux pris en charge par les sereurs Citrix Serer et Terminal Serer. Des publications en ligne IBM poste ses publications lors du lancement du produit et lorsque ces documents sont mis à jour aux emplacements suiants : Bibliothèque IBM Security Access Manager for Enterprise Single Sign-On Le site de la documentation du produit ( infocenter/tiihelp/2r1/index.jsp?topic=/com.ibm.itamesso.doc_8.2.1/kchomepage.html) affiche la page d'accueil et les éléments de naigation de la bibliothèque. IBM Security Systems Documentation Central IBM Security Systems Documentation Central fournit une liste alphabétique de toutes les bibliothèques produit des systèmes de sécurité IBM et des liens ers la documentation en ligne pour les ersions spécifiques de chaque produit. IBM Publications Center IBM Publications Center comporte des fonctions de recherche personnalisée pour ous permettre de trouer toutes les publications IBM dont ous aez besoin. Site Web de terminologie IBM Le site Web de terminologie IBM regroupe la terminologie des bibliothèques de logiciels à un seul emplacement. Vous pouez accéder au site Web de terminologie à l'adresse Accessibilité Formation technique Les fonctions d'accessibilité permettent aux utilisateurs présentant un handicap, par exemple les personnes à mobilité réduite ou à déficience isuelle, d'utiliser les produits informatiques. Grâce à ce produit, ous pouez utiliser des technologies d'assistance aux personnes handicapées pour entendre les sons et naiguer dans l'interface. Vous pouez également utiliser le claier au lieu de la souris pour exploiter toutes les fonctions de l'interface graphique. Pour plus d'informations, consultez "Fonctions d'accessibilité" dans IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement. Pour plus d'informations sur la formation technique, oir le site Web de formation IBM à l'adresse suiante : x IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

13 Informations relaties au support Le support IBM ous offre une assistance dans la résolution de os problèmes de codes, de routine, d'installation de courte durée et de os questions liées à l'utilisation. Vous pouez accéder directement au site de support logiciel IBM à l'adresse IBM Security Access Manager for Enterprise Single Sign-On - Guide de résolution des problèmes et de support fournit des informations sur : Les informations à collecter aant de contacter le support IBM. Les dierses méthodes permettant de contacter le support IBM. Comment utiliser IBM Support Assistant. Les instructions et ressources d'identification de problème permettant d'isoler et résoudre le problème ous-même. Remarque : L'onglet Communauté et support se trouant dans le centre de documentation du produit peut fournir des ressources de support additionnelles. Déclaration de bonnes pratiques de sécurité La sécurité des systèmes informatiques implique la protection des systèmes et des informations ia la préention, la détection et la réponse en cas d'accès incorrect au sein et à l'extérieur de otre entreprise. Un accès non autorisé peut se traduire par la modification, la destruction ou une utilisation inadéquate ou maleillante de os systèmes, y compris l'utilisation de ces derniers pour attaquer d'autres systèmes. Aucun système ou produit informatique ne doit être considéré comme étant complètement sécurisé et aucun produit, serice ou mesure de sécurité ne peut être entièrement efficace contre une utilisation ou un accès non autorisé. Les systèmes, les produits et les serices IBM sont conçus pour s'intégrer à une approche de sécurité complète, qui implique nécessairement des procédures opérationnelles supplémentaires, et peuent aoir besoin d'autres systèmes, produits ou serices pour optimiser leur efficacité. IBM NE GARANTIT PAS QUE TOUS LES SYSTEMES, PRODUITS OU SERVICES SONT A L'ABRI DES CONDUITES MALVEILLANTES OU ILLICITES DE TIERS OU QU'ILS PROTEGERONT VOTRE ENTREPRISE CONTRE CELLES-CI. A propos de cette publication xi

14 xii IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

15 Chapitre 1. Configuration d'ims Serer IMS Serer gère de façon centralisée les utilisateurs, les facteurs d'authentification, les portefeuilles de données d'identification, les profils d'accès (AccessProfiles), les journaux d'audit et les règles. Cette section porte sur la configuration d'ims Serer aec l'utilitaire de configuration IMS. La configuration d'ims Serer aec l'assistant de configuration IMS est traitée dans le manuel IBM Security Access Manager for Enterprise Single Sign-On - Guide d'installation. Pour plus d'informations : «Accès à l'utilitaire de configuration IMS» «Création d'administrateurs IMS Serer» «Paramètres de base», à la page 2 «Paramètres aancés», à la page 15 «Utilitaires», à la page 42 Accès à l'utilitaire de configuration IMS Lorsque ous installez IMS Serer, il déploie une application qui contient un Utilitaire de configuration IMS. L'Utilitaire de configuration IMS est une interface Web qui permet de configurer les différents paramètres d'ims Serer. Procédure 1. Entrez les adresses suiantes dans otre naigateur. L'adresse arie selon le type de déploiement. Si ous utilisez WebSphere Application Serer Base : <nomhôte_was>:<port_ssl_admin>/ webconf. Si ous utilisez WebSphere Application Serer Network Deployment : webconf. Par exemple, 2. Sélectionnez la langue préférée dans la liste Langue. 3. Entrez os données d'identification WebSphere. 4. Cliquez sur Connexion. Création d'administrateurs IMS Serer La création d'un administrateur IMS Serer crée et stocke le compte administrateur dans la base de données IMS Serer. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Sous Assistants de configuration, cliquez sur Créer un administrateur IMS. 3. Dans Choix des données d'autorisation, entrez le nom d'utilisateur, le mot de passe et le domaine d'un utilisateur alide de l'annuaire d'entreprise. 4. Cliquez sur Suiant. 5. Vérifiez le récapitulatif de la configuration. Copyright IBM Corp. 2002,

16 Paramètres de base 6. Cliquez sur Terminer. Vous pouez configurer les paramètres de base dans l'utilitaire de configuration IMS. Les paramètres de base incluent les serices d'authentification, les annuaires d'entreprise, le support biométrique et le déploiement d'actiecode. Ajout d'un serice d'authentification Un serice d'authentification définit le mode de soumission de données d'identification d'utilisateur à une application. Plusieurs applications peuent utiliser le même serice d'authentification. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Sélectionnez Paramètres de base > Serices d'authentification dans le panneau de naigation de l'utilitaire de configuration IMS. 3. Cliquez sur Ajouter un noueau serice. Remarque : Vous pouez également créer des serices d'authentification dans AccessStudio. Cependant, seul l'utilitaire de configuration IMS permet de créer des connecteurs pour les serices d'authentification. 4. Complétez les zones suiantes : Option ID de serice d'authentification Nom du serice d'authentification ID de modèle de données de compte Indiquez un identificateur unique pour le serice d'authentification. Entrez le nom du serice d'authentification deant apparaître dans Wallet Manager. Remarque : Vous pouez stocker le nom d'affichage du serice d'authentification dans plusieurs langues en fonction de la langue que ous aez définie lors de la connexion. Entrez un descriptif pour le serice d'authentification. Remarque : Vous pouez stocker la description du serice d'authentification dans plusieurs langues en fonction de la langue que ous aez définie lors de la connexion. Sélectionnez un ID de modèle de données de compte dans la liste. L'ID de modèle définit la structure des données de compte à collecter pour le compte du serice d'authentification. Groupes de serices d'authentification Par exemple, adt_ciuser_cspwd signifie que le modèle de données de compte sélectionné collecte un nom d'utilisateur insensible à la casse et un mot de passe sensible à la casse. Sélectionnez le groupe du serice d'authentification dans la liste et cliquez sur Ajouter. 2 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

17 Option Modules de localisation de sereur à utiliser lors de l'injection Modules de localisation de sereur à utiliser lors de la capture Entrez le nom d'alias de sereur pour le remplissage automatique et cliquez sur Ajouter. Entrez le nom d'alias de sereur pour la capture et cliquez sur Ajouter. 5. Editez les clés de configuration affichées dans le formulaire, excepté ID de serice d'authentification. 6. Cliquez sur Ajouter. Configuration d'ims Serer pour utiliser des sereurs d'annuaire Vous pouez configurer IMS Serer pour utiliser un sereur LDAP ou plusieurs sereurs Actie Directory. Vous pouez configurer des sereurs d'annuaire ia l'assistant de configuration IMS ou l'utilitaire de configuration IMS. Utilisez l'assistant de configuration IMS pour configurer IMS Serer la première fois dans une nouelle installation. L'Assistant de configuration IMS contient des étapes permettant de configurer IMS Serer pour utiliser des sereurs d'annuaire. Utilisez l'utilitaire de configuration IMS pour configurer IMS Serer pour utiliser des sereurs d'annuaire ultérieurement. Après aoir configuré le sereur d'annuaire, redémarrez WebSphere Application Serer immédiatement pour appliquer les changements de configuration. Si ous configurez la définition de sereur Web et le sereur d'annuaire aant de redémarrer WebSphere Application Serer, la configuration n'est pas sauegardée. Vérifiez que les référentiels de sereur d'annuaire sont en cours d'exécution aant de ous connecter à ces référentiels. Si un ou plusieurs référentiels configurés sont injoignables, ous ne pouez pas ous authentifier pour arrêter WebSphere Application Serer. Si le problème persiste, il est causé par une fonction de sécurité du gestionnaire de membre irtuel. Le gestionnaire de membre irtuel érifie toujours tous les référentiels aant d'authentifier l'utilisateur. Pour plus d'informations sur la solution, oir Authentification impossible lorsqu'un référentiel est arrêté dans la documentation de WebSphere Application Serer. Configuration d'ims Serer pour utiliser des sereurs Actie Directory Ajoutez les sereurs Actie Directory préparés de sorte qu'ims Serer puisse rechercher des informations de compte utilisateur pour autorisation. Vous pouez ajouter plusieurs sereurs Actie Directory. Aant de commencer Vous pouez fournir une réinitialisation de mot de passe en libre-serice dans AccessAssistant et Web Workplace dans les conditions suiantes pour otre connexion Actie Directory : Non utilisation de SSL : Vérifiez que Tioli Identity Manager Actie Directory Adapter est installé et qu'il s'exécute sur le sereur d'annuaire ou sur un hôte distinct. Chapitre 1. Configuration d'ims Serer 3

18 Soyez prêt à fournir les données d'identification d'un utilisateur administrateur ou d'un utilisateur désigné disposant des priilèges de réinitialisation de mot de passe. Par exemple : myresetusr. Utilisation de SSL : Soyez prêt à fournir les données d'identification d'un utilisateur administrateur ou d'un utilisateur désigné disposant des priilèges de réinitialisation de mot de passe. Par exemple : myresetusr. Remarque : Il n'est pas obligatoire d'installer Tioli Identity Manager Actie Directory Adapter. Pour les connexions SSL LDAP, ous deez ajouter les certificats SSL du sereur d'annuaire à WebSphere Application Serer. Voir le document IBM Security Access Manager for Enterprise Single Sign-On - Guide d'installation. Vous deez préparer les informations d'annuaire d'entreprise suiantes : FQDN de contrôleur de domaine. Par exemple : adserer.team.example.com Nom de domaine DNS. Par exemple : team.example.com. Données d'identification de l'utilisateur de recherche de répertoire. Par exemple : lookupusr. Nom distinctif de base. Par exemple : cn=users,dc=team,dc=example,dc=com Facultatif : Pour la réinitialisation de mot de passe dans AccessAssistant et Web Workplace, ous deez disposer des données d'identification pour un utilisateur d'annuaire aec des priilèges de réinitialisation de mot de passe. Par exemple : myresetusr. Si ous utilisez la feuille de traail de planification, oir Chapitre 11, «Feuille de traail de planification», à la page 97. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Dans le panneau de naigation de l'utilitaire de configuration IMS, sous Paramètres de base, cliquez sur Annuaires d'entreprise. 3. Cliquez sur Ajouter un noueau référentiel. 4. Sélectionnez le type d'annuaire d'entreprise. a. Sélectionnez Actie Directory. b. Cliquez sur Suiant. 5. Pour les sereurs Actie Directory, procédez comme suit : a. Indiquez si ous souhaitez actier la synchronisation de mots de passe. La synchronisation de mots de passe est actiée uniquement pour les sereurs Actie Directory. Lorsque la synchronisation de mots de passe est actiée, le mot de passe IBM Security Access Manager for Enterprise Single Sign-On est synchronisé aec Actie Directory. Lorsque ous changez le mot de passe, le logiciel le change sur tous les hôtes Actie Directory sur lesquels l'utilisateur possède un compte. Si le mot de passe est réinitialisé hors bande, le mot de passe IBM Security Access Manager for Enterprise Single Sign-On est resynchronisé lors de la connexion en ligne suiante. Voir IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement pour plus de détails sur la synchronisation de mots de passe d'actie Directory. 4 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

19 b. Spécifiez les caractéristiques de connexion à un référentiel. Conseil : Pour afficher de l'aide supplémentaire sur chaque élément, déplacez le curseur sur chaque élément. FQDN de contrôleur de domaine Indiquez le nom de domaine complet du contrôleur de domaine. Par exemple : adserer.team.example.com Nom de domaine DNS Spécifiez le nom de domaine du sereur auquel se connecte IMS Serer. Par exemple : team.example.com. Remarque : Cet attribut n'est pas le nom qualifié complet du DNS. Il s'agit du "domaine" du sereur. Nom de domaine NetBIOS Indiquez le nom d'ordinateur NetBIOS de l'hôte de référentiel. Le nom d'ordinateur NetBIOS est généralement le même que celui de l'hôte de référentiel du même domaine. Par exemple : mydirsr. Port Remarque : Le nom NetBIOS n'est pas alidé par IMS Serer. Vous deez fournir le nom correct. Pour déterminer le nom d'ordinateur NetBIOS correct, accédez au site Web Microsoft à l'adresse et recherchez «nbtstat». Voir les instructions sur l'utilisation de nbtstat pour déterminer le nom d'ordinateur NetBIOS aec la commande nbtstat. Le numéro de port par défaut est 389 sans SSL. Le numéro de port par défaut aec SSL est 636. Remarque : Pour permettre la réinitialisation de mot de passe dans un enironnement non SSL, utilisez Tioli Identity Manager Actie Directory Adapter. Dans un enironnement SSL, il n'est pas obligatoire d'installer Tioli Identity Manager Actie Directory Adapter. Nom d'utilisateur de liaison Spécifiez le nom d'utilisateur de l'utilisateur de recherche. Par exemple : lookupusr. Mot de passe Entrez le mot de passe de l'utilisateur de recherche. 6. Cliquez sur Suiant. 7. Pour afficher ou personnaliser des caractéristiques de référentiel supplémentaires, cliquez sur Ourir les paramètres aancés. 8. Indiquez si ous utilisez une connexion SSL (Secure Socket Layer). Option Si ous n'utilisez pas SSL Paramètres Connectez-ous à l'aide de Vous pouez sélectionner uniquement Nom d'hôte / FQDN de contrôleur de domaine. Chapitre 1. Configuration d'ims Serer 5

20 Option Paramètres FQDN de contrôleur de domaine Indiquez le nom de domaine complet du contrôleur de domaine. Par exemple : adserer.team.example.com où team.example.com est le sereur de noms de domaine. Nom de domaine DNS Spécifiez le nom de domaine du sereur Actie Directory connecté à IMS Serer. Par exemple : team.example.com Nom de domaine NetBIOS Spécifiez le nom de l'ordinateur NetBIOS. Le nom d'ordinateur NetBIOS est généralement le même que le nom d'hôte de l'ordinateur dans le même domaine. Par exemple : mydirsr Remarque : Le nom NetBIOS n'est pas alidé par IMS Serer. Vous deez fournir le nom correct. Pour déterminer le nom d'ordinateur NetBIOS correct, accédez au site Web Microsoft à l'adresse et recherchez «nbtstat». Voir les instructions sur l'utilisation de nbtstat pour déterminer le nom d'ordinateur NetBIOS. Port Indiquez le numéro de port. Par exemple : la aleur par défaut est 389 (sans SSL) ou 636 (aec SSL). Nom d'utilisateur de liaison Spécifiez le nom d'utilisateur de l'utilisateur de recherche. Par exemple : lookupusr. Mot de passe Entrez le mot de passe de l'utilisateur de recherche. Nom distinctif de base Au moins un nom distinctif de base est requis. Le nom distinctif de base indique le point de départ pour les recherches dans ce sereur d'annuaire. A des fins d'autorisation, cette zone est sensible à la casse par défaut. Faites concorder la casse dans otre sereur d'annuaire. Par exemple : pour un utilisateur ayant pour nom distinctif cn=lookupusr,cn=users,dc=team,dc=example,dc=com, spécifiez le nom distinctif de base aec l'une des options suiantes : cn=users,dc=team,dc=example,dc=com ou dc=team,dc=example,dc=com. Contrôleurs de domaine de reprise Utilisez un contrôleur de domaine de reprise pour les sereurs Actie Directory répliqués dans une configuration à haute disponibilité. Spécifiez le nom d'hôte ou le nom de domaine complet et le numéro de port du contrôleur de domaine secondaire. Le contrôleur de domaine secondaire est utilisé lorsque le contrôleur de domaine principal tombe en panne. 6 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

21 Option Si ous utilisez SSL Paramètres Connectez-ous à l'aide de Si ous utilisez SSL, ous pouez ous connecter au sereur en utilisant un Nom de domaine DNS ou un Nom d'hôte / FQDN de contrôleur de domaine. Si ous utilisez un sereur de noms de domaine pour résoudre les noms d'hôte ou les adresses IP, sélectionnez Nom de domaine DNS. Si ous sélectionnez Nom d'hôte / FQDN de contrôleur de domaine, le Nom d'hôte / FQDN de contrôleur de domaine est affiché. Nom d'hôte / FQDN de contrôleur de domaine Si ous choisissez de ous connecter à l'aide du Nom d'hôte / FQDN de contrôleur de domaine, le nom d'hôte de contrôleur de domaine ou le nom de domaine complet est affiché. Nom de domaine DNS Le nom de domaine du sereur Actie Directory connecté à IMS Serer est affiché. Par exemple : team.example.com Nom de domaine NetBIOS Spécifiez le nom de l'ordinateur NetBIOS. Le nom d'ordinateur NetBIOS est généralement le même que le nom d'hôte de l'ordinateur dans le même domaine. Par exemple : mydirsr Remarque : Le nom NetBIOS n'est pas alidé par IMS Serer. Vous deez fournir le nom correct. Pour déterminer le nom d'ordinateur NetBIOS correct, accédez au site Web Microsoft à l'adresse et recherchez «nbtstat». Voir les instructions sur l'utilisation de nbtstat pour déterminer le nom d'ordinateur NetBIOS. Nom distinctif de liaison Entrez le nom distinctif (DN) pour l'utilisateur de recherche. Nom distinctif identifiant de manière unique une entrée dans un annuaire. L'utilisateur d'annuaire doit être autorisé à effectuer des recherches dans l'annuaire. Un nom distinctif est constitué de paires attribut=aleur séparées par des irgules. Par exemple : cn=lookupusr,cn=users,dc=team,dc=example,dc=com Mot de passe Entrez le mot de passe de l'utilisateur de recherche. Nom distinctif de base Au moins un nom distinctif de base est requis. Le nom distinctif de base indique le point de départ pour les recherches dans ce sereur d'annuaire. A des fins d'autorisation, cette zone est sensible à la casse par défaut. Faites concorder la casse dans otre sereur d'annuaire. Par exemple : pour un utilisateur ayant pour nom distinctif cn=lookupusr,cn=users,dc=team,dc=example,dc=com, spécifiez le nom distinctif de base aec l'une des options suiantes : cn=users,dc=team,dc=example,dc=com ou dc=team,dc=example,dc=com. Chapitre 1. Configuration d'ims Serer 7

22 Option Paramètres Contrôleurs de domaine de reprise Cette zone est affichée uniquement si ous sélectionnez une connexion à l'aide de Nom d'hôte / FQDN de contrôleur de domaine. Utilisez un contrôleur de domaine de reprise pour les sereurs Actie Directory répliqués dans une configuration à haute disponibilité. Spécifiez le nom d'hôte ou le nom de domaine complet et le numéro de port du contrôleur de domaine secondaire. Le contrôleur de domaine secondaire est utilisé lorsque le contrôleur de domaine principal tombe en panne. 9. Si la synchronisation de mots de passe est actiée : a. Vous pouez choisir d'actier Réinitialisation de mot de passe AccessAssistant/Web Workplace. Si ous choisissez d'actier cette fonction, les utilisateurs peuent réinitialiser leur mot de passe dans AccessAssistant ou Web Workplace. b. Si ous aez actié l'option Réinitialisation de mot de passe AccessAssistant/Web Workplace, entrez les données d'identification d'un utilisateur d'annuaire disposant de priilèges de réinitialisation de mot de passe, du nom d'hôte et du numéro de port. Pour les connexions Actie Directory non SSL, le nom d'hôte et le numéro de port sont les caractéristiques de Tioli Identity Manager Actie Directory Adapter. Lorsque ous indiquez les données d'identification de l'utilisateur, spécifiez les données d'identification d'un utilisateur administrateur d'annuaire ou d'un utilisateur d'annuaire désigné disposant de priilèges de réinitialisation de mot de passe pour le sereur d'annuaire. Par exemple : myresetusr. 10. Cliquez sur Suiant. 11. Redémarrez WebSphere Application Serer. a. Arrêtez WebSphere Application Serer (pour les déploiements autonomes)ou le gestionnaire de déploiement (pour les déploiements réseau). b. Démarrez WebSphere Application Serer (pour les déploiements autonomes)ou le gestionnaire de déploiement (pour les déploiements réseau). Configuration d'ims Serer pour utiliser les sereurs LDAP Vous pouez ajouter des sereurs LDAP préparés tels que Tioli Directory Serer, afin qu'ims Serer puisse rechercher l'autorisation par données d'identification dans le sereur d'annuaire. Vous pouez ajouter un sereur LDAP. Aant de commencer Préparez-ous à fournir les informations d'annuaire de l'entreprise suiantes : Données d'identification de l'utilisateur de recherche de répertoire. Par exemple : lookupusr. Nom distinctif de liaison. Par exemple : cn=lookupusr,ou=users,o=example,c=us. Nom distinctif de base. Par exemple : ou=users,o=example,c=us. Si ous utilisez la feuille de traail de planification, oir Chapitre 11, «Feuille de traail de planification», à la page IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

23 Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Dans le panneau de naigation de l'utilitaire de configuration IMS, sous Paramètres de base, cliquez sur Annuaires d'entreprise. 3. Cliquez sur Ajouter un noueau référentiel. 4. Sélectionnez le type d'annuaire d'entreprise. a. Si ous utilisez les sereurs LDAP, sélectionnez LDAP. b. Cliquez sur Suiant. 5. Pour le sereur LDAP, indiquez les détails suiants : a. Indiquez les détails de référentiel. Conseil : Pour afficher daantage d'aide sur un élément, passez le curseur dessus. Nom d'hôte / FQDN de contrôleur de domaine Spécifiez le nom d'hôte ou le nom de domaine complet du sereur LDAP. Par exemple : mydirsr Port Indiquez le numéro de port. Par exemple : la aleur par défaut est 389 (sans SSL) ou 636 (aec SSL). A faire : Si otre déploiement utilise des numéro de port autres que les numéros par défaut ou que ous ous connectez au référentiel sur SSL, eillez à spécifier le numéro de port correct. Nom distinctif de liaison Affiche le nom distinctif de l'utilisateur de recherche. Nom distinctif identifiant de manière unique une entrée dans un annuaire. L'utilisateur de recherche doit être autorisé à effectuer des recherches dans l'annuaire sur le sereur. Un nom distinctif est constitué de paires attribut=aleur séparées par des irgules. Par exemple : cn=lookupusr,ou=users,o=example,c=us. Mot de passe Entrez le mot de passe de l'utilisateur de recherche. 6. Pour personnaliser des caractéristiques de référentiel supplémentaires, cliquez sur Aancé. Utiliser SSL Indiquez si ous utilisez une connexion SSL (secure socket layer). Nom d'hôte / FQDN de contrôleur de domaine Indiquez le nom de domaine complet du contrôleur de domaine. Par exemple : mydirsr. Port Indiquez le numéro de port. Par exemple : Le port par défaut est 389 (sans SSL) ou 636 (aec SSL). Nom distinctif de liaison Entrez le nom distinctif (DN) pour l'utilisateur de recherche. Nom distinctif identifiant de manière unique une entrée dans un annuaire. Un nom distinctif est constitué de paires attribut=aleur séparées par des irgules. Par exemple : cn=lookupusr,ou=users,o=example,c=us. Mot de passe Entrez le mot de passe de l'utilisateur de recherche. Chapitre 1. Configuration d'ims Serer 9

24 Attributs de nom d'utilisateur Indiquez un attribut de nom d'utilisateur d'annuaire d'entreprise alide que les utilisateurs fournissent comme nom d'utilisateur pour l'authentification. D'autres attributs peuent également être utilisés pour le nom d'utilisateur. Par exemple : si ous indiquez l'attribut mail, les utilisateurs doient entrer leur adresse électronique en tant que nom d'utilisateur. Pour utiliser des attributs de nom d'utilisateur différents (par exemple, le numéro de badge, l'adresse électronique ou un matricule), indiquez les propriétés d'attribut personnalisées. Pour LDAP, la aleur par défaut est cn. Nom distinctif de base Au moins un nom distinctif de base est requis. Le nom distinctif de base indique le point de départ pour les recherches dans ce sereur d'annuaire LDAP. A des fins d'autorisation, cette zone est sensible à la casse par défaut. Faites concorder la casse dans otre sereur d'annuaire. Par exemple : pour un utilisateur dont le nom distinctif est cn=lookupusr,ou=users,o=example,c=us, indiquez le nom distinctif de base à l'aide de l'option suiante : ou=users,o=example,c=us. Contrôleurs de domaine de reprise Utilisez un contrôleur de domaine de reprise pour garantir la haute disponibilité du sereur LDAP. Spécifiez le nom d'hôte ou le nom de domaine complet et le numéro de port du contrôleur de domaine secondaire. Le contrôleur de domaine secondaire est utilisé lorsque le contrôleur de domaine principal tombe en panne. 7. Cliquez sur Suiant. 8. Redémarrez WebSphere Application Serer. a. Arrêtez WebSphere Application Serer (pour les déploiements autonomes)ou le gestionnaire de déploiement (pour les déploiements réseau). b. Démarrez WebSphere Application Serer (pour les déploiements autonomes)ou le gestionnaire de déploiement (pour les déploiements réseau). Résultats Vous aez ajouté et configuré des connexions de sereur d'annuaire pour IMS Serer. IMS Serer érifie les données d'identification d'utilisateur dans les sereurs d'annuaire que ous aez spécifiés. Test du connecteur d'annuaire d'entreprise Vous pouez tester le raccordement d'annuaire d'entreprise pour érifier la configuration de l'annuaire d'entreprise. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Sélectionnez Paramètres de base > Annuaires d'entreprise dans le panneau de naigation de l'utilitaire de configuration IMS. 10 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

25 3. Dans l'option Actier la synchronisation des mots de passe, sélectionnez Oui ou Non. 4. Cliquez sur Mettre à jour. Vérification des informations utilisateur Utilisez l'outil de diagnostic pour érifier les informations utilisateur. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Sélectionnez Paramètres de base > Annuaires d'entreprise dans le panneau de naigation de l'utilitaire de configuration IMS. 3. Cliquez sur Test de diagnostic. 4. Sous Vérifier l'utilisateur, entrez le nom d'utilisateur et le mot de passe. 5. Dans Alias du référentiel, sélectionnez le référentiel approprié. 6. Cliquez sur Vérifier l'utilisateur. Actiation du support biométrique IBM Security Access Manager for Enterprise Single Sign-On prend en charge l'authentification par empreinte digitale. Les utilisateurs peuent s'authentifier par la lecture de leur empreinte digitale sur un lecteur d'empreintes digitales. Pour mettre en oeure l'authentification par empreinte digitale, ous deez actier le support biométrique dans IMS Serer. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Sélectionnez Paramètres de base > Prise en charge des données biométriques. 3. Dans la zone Actier la prise en charge des données biométriques, sélectionnez Vrai ou Faux. 4. Cliquez sur Mettre à jour. Configuration du déploiement d'actiecode ActieCode est un mécanisme d'authentification à deux facteurs qui permet d'authentifier les utilisateurs lorsque leur bureau électronique ne dispose pas de connexion à IMS Serer. Vous pouez éditer les différents paramètres ActieCode tels que la période de alidité, les tentaties de érification et le connecteur de messagerie affecté. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Sélectionnez Paramètres de base > Déploiement d'actiecode à partir du panneau de naigation de l'utilitaire de configuration IMS. 3. Complétez les zones suiantes : Option Nombre maximal de tentaties de érification ActieCode Délai de réinitialisation/errouillage d'un compte ActieCode (en secondes) Entrez le nombre maximum d'entrées Mobile ActieCode incorrectes acceptées aant que le compte ne soit errouillé. Entrez le délai d'attente à respecter aant la réinitialisation d'un code Mobile ActieCode errouillé (en millisecondes). Entrez une aleur numérique. Chapitre 1. Configuration d'ims Serer 11

26 Option Période de alidité Mobile ActieCode (en secondes) Adresses IP admises du client ActieCode Actier SSL pour le client ActieCode Indiquez la durée pendant laquelle un code Mobile ActieCode pourra être utilisé. Indiquez l'adresse IP de l'application MAC qui se connectera au module MAC Serice d'ims Serer. Remarque : IBM Security Access Manager for Enterprise Single Sign-On prend en charge IP (Internet Protocol) ersion 6 (IP6). Indiquez si l'accès SSL est obligatoire pour le client qui demande ou érifie les appels Mobile ActieCode. Sélectionnez Oui dans la liste déroulante pour actier SSL. Mot de passe d'accès à ActieCode Numéro de registre d'anticipation OTP Fenêtre de non-synchronisation OTP Fenêtre de réinitialisation des jetons OTP Liaisons aec le nom d'une application IP Liaison aec le nom d'une application NASID Sélectionnez Non dans la liste déroulante si ous utilisez RADIUS. Entrez le mot de passe utilisé entre le client et le sereur pour les appels Mobile ActieCode. Indiquez le nombre de générations consécuties OTP (One Time Password/mot de passe à utilisation unique) à partir de la aleur de départ pour la érification. Indiquez la taille de la fenêtre dans laquelle les aleurs de départ OTP ne sont pas synchronisées. Indiquez le nombre d'otp à érifier pendant la réinitialisation des jetons OTP. Permet de rechercher le nom de l'application à partir de l'adresse IP de l'appelant. Chaque entrée utilise le format IP:serice d'authentification. Indiquez le nom d'une application IP puis cliquez sur Ajouter. Pour supprimer un nom d'application IP, cliquez sur Supprimer en regard de ce nom. Permet de rechercher le nom de l'application à partir de l'id NAS (sereur d'accès au réseau) de l'appelant. Chaque entrée utilise le format IP:serice d'authentification. Indiquez le nom d'une application NASID, puis cliquez sur Ajouter. Pour supprimer un nom d'application NASID, cliquez sur Supprimer en regard de ce nom. 12 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

27 Option Liaison d'application pour les comptes MAC/OTP Utiliser l'enregistrement des utilisateurs exclusiement MAC Rendre Mobile ActieCodes spécifique à une application L'Attribut ActieDirectory à afficher pour l'enregistrement des utilisateurs exclusiement MAC Enoyer des codes Mobile ActieCodes en majuscules Filtre de recherche utilisé pour les interfaces utilisateur d'enregistrement des utilisateurs MAC uniquement Indiquez les propriétés de liaison de l'application. Une liaison d'application mappe un nom d'utilisateur d'application aec un ID entreprise. Les aleurs possibles sont les suiantes : explicite : l'id de connexion doit être différent de l'id entreprise et les utilisateurs peuent utiliser MAC implicite : l'id de connexion est identique à l'id entreprise. Indiquez si l'enregistrement des utilisateurs non-accessagent, utilisant uniquement MAC est pris en charge. Indiquez si les codes MAC sont spécifiques à chaque application ou sont alides pour toutes les applications. Indiquez l'attribut Actie Directory à afficher quand des utilisateurs sont recherchés dans la page Enregistrement de l'utilisateur. Indiquez si les codes MAC doient être enoyés en majuscules ou en minuscules. Les aleurs possibles sont les suiantes : Vrai - les codes MAC sont enoyés en majuscules Faux - les codes MAC sont enoyés en minuscules Indiquez le filtre de recherche délimité par irgule à utiliser pour rechercher des utilisateurs dans la page Enregistrement de l'utilisateur. Indiquez une liste de paires nom/aleur séparées par des irgules, comme suit : Connecteur de messagerie par défaut Mécanismes d'authentification pour l'étape 1 samaccountname=*,objectclass=user. Indiquez le connecteur de messagerie par défaut. Indiquez les entrées utilisateur acceptables pour l'étape 1 (demande d'authentification) d'une procédure de question/réponse RADIUS. Il s'agit d'une liste ordonnée comprenant une ou plusieurs des aleurs suiantes : ENC_PWD_OR_APP_PWD : mot de passe ou mot de passe d'application MAC : code Mobile ActieCode AA_OTP : OTP généré par AccessAgent BYPASS : ignorer ActieCode (par exemple code d'autorisation + mot de passe) OATH: OTP généré par un jeton OATH Chapitre 1. Configuration d'ims Serer 13

28 Option Mécanismes d'authentification pour l'étape 2 Indiquez les entrées utilisateur acceptables pour l'étape 2 (réponse à la question) d'une procédure de question/réponse RADIUS. Si l'utilisateur a déjà été authentifié aec la méthode MAC ou OTP à l'étape 1, l'authentification de l'étape 2 est ignorée. Attributs Enterprise Directory à contrôler aant d'autoriser la demande/érification par MAC/OTP Valeurs de l'attribut Enterprise Directory à contrôler aant la demande/érification par MAC/OTP Il s'agit d'une liste ordonnée comprenant une ou plusieurs des aleurs utilisées pour Mécanismes d'authentification pour l'étape 1. Indiquez l'attribut Enterprise Directory à contrôler pour la demande/érification par MAC/OTP. Cet attribut indique si l'utilisateur peut utiliser MAC/OTP. S'il n'existe pas d'attribut de ce type, ignorez ce paramètre. Restrictions : Vous ne pouez indiquer qu'un seul attribut. Si ous choisissez true, les performances diminuent, car chaque demande/érification OTP/MAC appelle l'annuaire d'entreprise. Pour extraire des attributs multiformes (par exemple, memberof), utilisez le connecteur ADSI pour configurer l'annuaire d'entreprise Indiquez la liste des aleurs acceptables pour l'attribut Enterprise Directory. Si l'attribut Enterprise Directory de l'utilisateur correspond à l'une des aleurs de la liste, l'utilisateur peut utiliser MAC/OTP. Tous les attributs sont possibles, qu'ils acceptent une seule aleur ou plusieurs. Dans le cas d'attributs à plusieurs aleurs tels que memberof), l'utilisateur peut utiliser MAC/OTP. Cependant, l'une des aleurs fournies doit également exister dans la liste. Pour l'attribut memberof, les aleurs admises sont les noms distinctifs (Distinguished Name/DN). Serices d'authentification ActieCode Par exemple : cn=utilisateurs du domaine, dc=ibm et dc=com. Définissez la liste des aleurs des serices authentifiés par ActieCode à partir de la liste. 4. Cliquez sur Mettre à jour. 14 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

29 Paramètres aancés Voir les paramètres Jeu de caractères, longueur d'actiecode et liaison d'algorithme qui sont définis pendant le déploiement et ne peuent pas être modifiés. Vous ne pouez afficher les paramètres qu'aec l'utilitaire de configuration IMS. YZ ABCDEFGHJKLMNPQRSTUVWX,6,AES WXYZ ABCDEFGHJKLMNPQRSTUV,8,AES ,8,AES JKLMNPQRSTUVWXYZ ABCDEFGH,6,MCA XYZ ABCDEFGHJKLMNPQRSTUVW,6,TRIPLEDES VWXYZ ABCDEFGHJKLMNPQRSTU,8,TRIPLEDES Le paramètre utilisé pour MAC est JKLMNPQRSTUVWXYZ ABCDEFGH,6,MCA. Vous pouez configurer les paramètres aancés dans l'utilitaire de configuration IMS. Ces paramètres aancés concernent AccessAdmin, IMS Serer, la source de données, les connecteurs de message, les API IMS Bridge et l'authentification des utilisateurs. Pour plus d'informations : «Configuration d'accessadmin» «Configuration d'ims Serer», à la page 23 «Configuration de la source de données», à la page 28 «Configuration des connecteurs de message», à la page 31 «IMS Bridge», à la page 34 «Configuration de l'authentification des utilisateurs», à la page 36 Configuration d'accessadmin AccessAdmin est une console de gestion basée sur le Web, utilisée par les administrateurs et le personnel du serice d'assistance pour gérer les utilisateurs et les règles sur IMS Serer. Vous pouez éditer l'interface utilisateur d'accessadmin, l'url des fichiers d'aide, la session, les attributs utilisateur, les attributs d'ordinateur et l' de commentaires. Configuration de l'interface utilisateur d'accessadmin Utilisez l'utilitaire de configuration IMS pour modifier les informations affichées dans l'interface d'accessadmin. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > AccessAdmin > Interface utilisateur. 3. Complétez les zones suiantes : Chapitre 1. Configuration d'ims Serer 15

30 Option Enironnement local par défaut d'ibm Security Access Manager for Enterprise Single Sign-On Attribut du type de clé Période d'affichage des journaux de serice utilisateur, en jours Eénements d'affichage des journaux de serice utilisateur Période d'affichage des journaux d'actiité utilisateur, en jours Eénements d'affichage des journaux d'actiité utilisateur Eénements d'affichage des journaux d'administration utilisateur Sélectionnez l'enironnement local préféré dans la liste Langue. Remarque : 1. IMS Serer utilise l'enironnement local sélectionné dans les scénarios suiants : Une nouelle session HTTP est établie. Le cookie ne stocke pas l'enironnement local sélectionné. L'enironnement local par défaut du naigateur n'est pas pris en charge dans la liste des enironnements locaux IBM Security Access Manager for Enterprise Single Sign-On disponibles. 2. AccessAgent (à partir de la ersion 8.1) utilise également cet enironnement local. Toutefois, AccessAgent peut lire les règles de texte dans un seul enironnement local. L'enironnement local doit être défini pour pouoir modifier la règle de texte configurable ou le serice d'authentification. Indiquez l'attribut qui donne des informations sur le type de clé utilisé. Cette entrée doit correspondre à un attribut SID dans la table IMSAttributeName de la base de données. Par exemple : tokentype. Entrez le nombre de jours d'affichage des journaux de serice utilisateur. La aleur par défaut est 10 jours. Indiquez les éénements de serice utilisateur qui doient s'afficher dans l'interface utilisateur IMS Serer. Entrez le nombre de jours d'affichage des journaux d'actiité utilisateur. La aleur par défaut est 10 jours. Indiquez les éénements utilisateur à afficher dans l'interface utilisateur IMS Serer. Les codes d'éénement sont au format hexadécimal et correspondent aux codes déclarés dans IBM.ims.common.EentCode. Indiquez les éénements de centre d'assistance à afficher dans l'interface utilisateur IMS Serer. Les codes d'éénement sont au format hexadécimal et correspondent aux codes déclarés dans IBM.ims.common.EentCode. 16 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

31 Option Période d'affichage des journaux d'administration utilisateur, en jours Eénements pouant être recherchés dans le journal d'administration utilisateur Entrez le nombre de jours d'affichage des fichiers journaux des serices d'assistance aux utilisateurs. La aleur par défaut est 10 jours. Indiquez les éénements pouant être recherchés dans l'interface utilisateur IMS Serer. Emplacement du fichier des recherches faorites du journal d'administration utilisateur Nombre de résultats par page affichés dans le journal d'administration utilisateur Quantité d'informations du journal système à conserer en mémoire en Ko Cette aleur est une liste de codes d'éénement séparés par une irgule de format hexadécimal. Indiquez l'emplacement du fichier contenant les recherches faorites du journal d'administration utilisateur. Indiquez le nombre d'entrées de journal à afficher dans une même page du fichier journal User Admin Log. Indiquez l'espace de stockage (en Ko) réseré aux journaux système. Attribut d'affectation de règle Actier le bouton de suppression d'un utilisateur Choix d'expiration du code d'autorisation Ces fichiers journaux sont affichés dans la page d'état d'accessadmin. Indiquez l'attribut de référence utilisé pour affecter les modèles de règle aux utilisateurs au moment de leur enregistrement. Indiquez si l'option de suppression d'un utilisateur doit être disponible dans AccessAdmin. Sélectionnez une aleur dans la liste. rai : actie la fonction de suppression d'un utilisateur. faux : désactie la fonction de suppression d'un utilisateur. Indique les délais d'expiration possibles pour les codes d'autorisation dans AccessAdmin. Chaque aleur comprend un nombre et une lettre. Les lettres possibles sont {h, d, w, m}, qui signifient respectiement {hour, day, week, month} (heure, jour, semaine, mois). Le nombre indique le nombre d'heures, de jours, de semaines ou de mois (par exemple : 1d = un jour, 2w = deux semaines)). Entrez un délai d'expiration puis cliquez sur Ajouter. Longueur du code d'expiration, en caractères Pour supprimer un délai d'expiration, cliquez sur le bouton Supprimer placé en regard du délai d'expiration isé. Entrez le nombre maximum de caractères du code d'autorisation. Tapez un nombre compris entre 1 et 32 (inclus). Chapitre 1. Configuration d'ims Serer 17

32 Option Validité du code d'autorisation en jours Types d'affichage d'attributs n'autorisant pas les recherches Entrez la période de alidité du code d'autorisation. La période de alidité s'exprime en nombre de jours. Définissez les types d'affichage qui ne peuent être recherchés dans AccessAdmin. Entrez un type d'affichage puis cliquez sur Ajouter. Nombre d'entrées par page Choix du nombre d'utilisateurs à afficher par page Types d'accès pour l'authentification sans certificat Pour supprimer un type d'affichage, cliquez sur le bouton Supprimer situé en regard du type isé. Indiquez le nombre d'entrées à afficher dans une même page dans AccessAdmin page. Sélectionnez dans la liste le nombre d'utilisateurs à afficher par page. Entrez les types d'accès autorisés pour l'authentification sans certificat. Entrez un type d'accès puis cliquez sur Ajouter. Attributs utilisés dans l'interface utilisateur Pour supprimer un type d'accès, cliquez sur le bouton Supprimer situé en regard du type isé. Entrez les attributs qu'utilise AccessAdmin aec les noms d'affichage et les types d'affichages. Entrez un attribut puis cliquez sur Ajouter. Attributs LDAP pouant être recherchés Pour supprimer un attribut, cliquez sur le bouton Supprimer associé à l'attribut isé. Indiquez les attributs LDAP pris en charge pour les requêtes IMS Serer. Le format requis est [attribut LDAP]:[nom affiché]:[ordre d'affichage]. Entrez un attribut puis cliquez sur Ajouter. Emplacement du fichier de configuration de l'affichage des règles Pour supprimer un attribut, cliquez sur le bouton Supprimer associé à l'attribut isé. Entrez le nom du fichier qui définit les règles et leur ordre d'affichage dans l'interface utilisateur d'accessadmin. 18 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

33 Option Règles d'interfaces utilisateur personnalisées Répertorie les règles d'administration applicables aux interfaces utilisateur personnalisées. Cette aleur est un ID de règle et un nom de classe séparés par une irgule. Par exemple : pid_bind, IBM.ims.ui.component.Binder. Entrez une règle et cliquez sur Ajouter. Pour supprimer une règle, cliquez sur le bouton Supprimer situé en regard de la règle isée. Attributs d'interfaces utilisateur personnalisées Indiquez les attributs associés aux interfaces utilisateur personnalisées. Cette aleur est un nom de règle et un nom de classe séparés par une irgule. Par exemple, gsmnumber, IBM.ims.ui.component.GsmNumber. Entrez un attribut et cliquez sur Ajouter. Pour supprimer un attribut, cliquez sur le bouton Supprimer situé en regard de l'attribut isé. 4. Les paramètres ci-après sont définis au cours du déploiement et ne sont pas modifiables. Vous ne pouez afficher les paramètres qu'aec l'utilitaire de configuration IMS. Option Connecteur LDAP par défaut utilisé pour la recherche Utilisez ce connecteur pour les attributs basés sur les recherches dans l'interface utilisateur. 5. Cliquez sur Mettre à jour. Changement de l'url des fichiers d'aide Utilisez l'utilitaire de configuration IMS pour changer le lien des fichiers d'aide dans AccessAdmin. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > AccessAdmin > URL des fichiers d'aide. 3. Complétez la zone suiante : Option URL des fichiers d'aide AccessAdmin L'URL par défaut est support/knowledgecenter/ss9jle_ Cliquez sur Mettre à jour. Actiation de la connexion par formulaire Utilisez l'utilitaire de configuration IMS pour actier la connexion par formulaire à AccessAdmin. Chapitre 1. Configuration d'ims Serer 19

34 Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > AccessAdmin > Connexion. 3. Complétez la zone suiante : Option Autoriser la connexion basée sur formulaire à AccessAdmin à partir d'une machine distante Cette option définit la connexion par formulaire à AccessAdmin à partir d'un ordinateur distant sur lequel IMS Serer est installé. Si cette option est définie sur faux, l'utilisateur ne peut se connecter qu'à partir d'une session AccessAgent. 4. Cliquez sur Mettre à jour. Configuration des paramètres de session AccessAdmin Utilisez l'utilitaire de configuration IMS pour gérer les paramètres de session AccessAdmin. Ces paramètres de session permettent notamment d'indiquer si l'adresse IP du client, l'inactiité de la session et le délai d'expiration de session forcé doient être érifiés. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > AccessAdmin > Session. 3. Complétez les zones suiantes : Option Vérifier l'adresse IP du client Indique si l'adresse IP du client doit être érifiée lors de la alidation de la session. Cette option limite une session à l'adresse IP créée. Vérifier l'inactiité de la session Délai maximal d'inactiité de la session (en minutes) Sélectionnez une aleur. La aleur par défaut est faux. rai : érifie l'adresse IP du client faux : ne érifie pas l'adresse IP du client Indiquez si les sessions expirent suite à une inactiité. Sélectionnez une aleur. La aleur aleur par défaut est rai. rai : la session prend fin à l'issue du délai maximal d'inactiité. faux : la session n'est pas arrêtée en cas d'inactiité prolongée. Indiquez le délai maximal d'inactiité en minutes. La aleur par défaut est 15 minutes. 20 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

35 Option Vérifier le délai d'expiration de session forcé Délai d'expiration de session forcé (en minutes) Indiquez si ous oulez forcer le client à se reconnecter après un délai fixe. Sélectionnez une aleur. La aleur par défaut est faux. rai : le client est forcé de se reconnecter après une période d'inactiité faux : la session n'est pas arrêtée en cas d'inactiité prolongée. Indiquez le délai d'expiration obligatoire en minutes. La aleur par défaut est d'un jour (1440 minutes). 4. Cliquez sur Mettre à jour. Spécification des attributs de rôle utilisateur IMS Utilisez l'utilitaire de configuration IMS pour indiquer les attributs employés lors de l'affectation de rôle. Par exemple, ous pouez indiquer l'identificateur d'annuaire d'entreprise à associer au rôle administrateur. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > AccessAdmin > Attributs des utilisateurs. 3. Complétez les zones suiantes : Option Noms d'utilisateur ISAM ESSO administrateur IMS d'origine Indiquez les ID entreprise qui receront automatiquement le rôle administrateur au moment de leur enregistrement. Entrez un ID entreprise puis cliquez sur Ajouter. Pour supprimer un ID d'entreprise, cliquez sur Supprimer en regard de l'id. Nom de l'attribut d'affectation de rôle Valeur de l'attribut d'affectation de rôle Rôle IMS oulu Affecter automatiquement tous les modèles de règle et tous les utilisateurs au nouel utilisateur du serice d'assistance Entrez le nom d'un attribut Actie Directory utilisé comme critère pour l'affectation de rôle IMS Serer. Indiquez le code du mappage d'affectation de rôle (aleur d'attribut Actie Directory). Séparez les aleurs à l'aide d'un point-irgule (;). Indiquez la aleur du mappage d'affectation de rôle (rôle IMS Serer alide). Indiquez si ous désirez affecter automatiquement les modèles de règle et d'utilisateur existants aux noueaux utilisateurs du serice d'assistance aux utilisateurs. 4. Les paramètres ci-après sont définis au cours du déploiement et ne sont pas modifiables. Chapitre 1. Configuration d'ims Serer 21

36 Vous ne pouez afficher les paramètres qu'aec l'utilitaire de configuration IMS. Option Rôle utilisateur IMS par défaut Lors de l'enregistrement, le rôle utilisateur est défini sur 1 (utilisateur indépendant). Il doit exister une entrée correspondante dans la table IMSRole de la base de données, dans la colonne roleid. Rôle utilisateur IMS connecté Une fois l'utilisateur enregistré, son rôle prend la aleur 2 (utilisateur). Vous pouez indiquer plusieurs entrées aec plusieurs rôles. Il doit exister une entrée correspondante dans la table IMSRole de la base de données, dans la colonne roleid. Rôle utilisateur IMS réoqué Attribut de liaison d'entreprise Indiquez le rôle affecté à l'utilisateur après la réocation. Indiquez l'attribut de liaison d'entreprise à créer une fois la liaison réalisée. Cette option doit correspondre à une option des zones attrname dans la table IMSAttributeName. Clé logicielle autorisée Indiquez si les clés logicielles peuent être utilisées. 5. Cliquez sur Mettre à jour. Spécification des attributs de machine Vous pouez affecter des modèles de règle machine à différents groupes d'ordinateurs en fonction de l'attribut LDAP de l'objet ordinateur dans l'annuaire d'entreprise. Utilisez l'utilitaire de configuration IMS pour définir l'attribut de machine et le filtre LDAP. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > AccessAdmin > Attributs de machine. 3. Complétez les zones suiantes : Option Attributs de machine à extraire d'actie Directory Filtre de recherche LDAP permettant de rechercher des attributs de machine Entrez l'attribut d'ordinateur et cliquez sur Ajouter. Pour supprimer l'attribut, cliquez sur Supprimer. Entrez le filtre LDAP utilisé comme critère pour rechercher des attributs d'ordinateur. 4. Cliquez sur Mettre à jour. Définition des paramètres d' de commentaires Utilisez l'utilitaire de configuration IMS pour spécifier les détails du sereur SMTP et l'adresse électronique à laquelle les utilisateur peuent enoyer leur courrier. 22 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

37 Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > AccessAdmin > de commentaires. 3. Complétez les zones suiantes : Option URL du sereur SMTP Nom d'utilisateur du sereur SMTP Indiquez l'url du sereur SMTP à utiliser pour enoyer les courriers électroniques. Entrez le nom d'utilisateur à fournir pour s'authentifier sur le sereur de messagerie SMTP. Cette option doit correspondre à un nom d'utilisateur alide sur le sereur de messagerie SMTP. Mot de passe du sereur SMTP Adresse électronique d'enoi des commentaires Adresse électronique IMS Entrez le mot de passe associé à l'utilisateur qui s'authentifie sur le sereur de messagerie. Indiquez l'adresse électronique à laquelle seront enoyés les commentaires des lecteurs Indiquez l'adresse électronique qui apparaîtra dans la zone De des courriers électroniques enoyés à partir d'ims Serer. 4. Cliquez sur Mettre à jour. Configuration d'ims Serer Vous pouez modifier les paramètres de consignation, de gestion d'éénement et de republication de liste de réocation de certificat (CRL) IMS Serer. Actiation de la signature de journal Pour actier la signature de journal dans IMS Serer, ous pouez ajouter des types spécifiques de journaux à afficher comme l'actiité utilisateur et l'actiité système. Utilisez l'utilitaire de configuration IMS pour actier la signature de journal dans IMS Serer. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > IMS Serer > Consignation > Signature de journal. 3. Dans la zone Actier la signature de journal, sélectionnez une table dans la liste. La zone contient la liste des tables pour lesquelles les journaux sont hachés et signés. Les tables disponibles sont : logsystemmanagementactiity loguseradminactiity loguserserice loguseractiity Pour supprimer une table de la liste, cliquez sur Supprimer en regard du nom de table. 4. Cliquez sur Ajouter. 5. Cliquez sur Mettre à jour. Chapitre 1. Configuration d'ims Serer 23

38 Configuration des paramètres de syslog Utilisez l'utilitaire de configuration IMS pour transmettre les enregistrements de journal d'audit à un sereur SysLog externe. Cet utilitaire actie syslog et définit ses paramètres. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > IMS Serer > Connexion > Syslog. 3. Complétez les zones suiantes : Option Actier syslog Définissez la liste des tables dans lesquelles les journaux sont stockés dans le sereur syslog. Les tables disponibles sont : logsystemmanagementactiity logsystemops loguseradminactiity loguserserice loguseractiity Sélectionnez une table et cliquez sur Ajouter. Pour supprimer une table de la liste, cliquez sur le bouton Supprimer situé en regard du nom de table isé. Port du sereur Syslog Nom d'hôte du sereur Syslog Fonction de connexion Syslog Séparateur de zones Syslog Entrez le numéro du port d'écoute du démon Syslog. Entrez le nom d'hôte du sereur syslog. Entrez la aleur entière désignant l'utilitaire à utiliser pour se connecter au sereur Syslog. Entrez le caractère de séparation utilisé pour séparer des paires de noms et de aleurs dans une entrée de journal. Par exemple, "\n" (saut de ligne). 4. Cliquez sur Mettre à jour. Configuration des informations sur le sereur de journalisation Utilisez l'utilitaire de configuration IMS pour indiquer le type de sereur de journalisation employé par IMS Serer. Les types de sereur de journalisation possibles sont rdb et syslog. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > IMS Serer > Consignation > Informations sur le sereur de journalisation. 3. Complétez la zone suiante : 24 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

39 Option Types de sereur de journalisation Indiquez le type de sereur de journalisation utilisé comme magasin de données de journal d'ims Serer. 4. Cliquez sur Ajouter. 5. Cliquez sur Mettre à jour. Configuration des paramètres de certificat et de fichier de clés Utilisez l'utilitaire de configuration IMS pour éditer les paramètres de certificat et de fichier de clés IMS Serer. Vous pouez éditer des paramètres tels que la période de alidité, la taille des paires de clés RSA et l'alias de l'autorité d'accréditation logicielle IMS. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > IMS Serer > Système IMS Crypto > Certificat/fichier de clés. 3. Complétez les zones suiantes : Option Durée de alidité des certificats en mois Taille des paires de clés RSA en octets Entrez la durée de alidité (en mois) des certificats délirés. Entrez la taille des paires de clés RSA utilisée dans IMS Serer. Les paires de clés sont utilisées pour les certificats de l'autorité de certification et les certificats d'utilisateur IMS Serer. Alias de l'autorité d'accréditation racine d'ims Serer dans le magasin de clés Entrez l'alias spécifié dans le fichier de clés IMS Serer de l'autorité de certification IMS Serer. 4. Cliquez sur Mettre à jour. Affichage du chiffrement symétrique Utilisez l'utilitaire de configuration IMS pour afficher la chaîne de transformation pour le chiffrement symétrique. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > IMS Serer > Système IMS Crypto > Chiffrement symétrique. 3. Affichez les informations dans la zone suiante : Option Chaîne de transformation pour le chiffrement symétrique Affiche la clé de chiffrement de transformation. Chapitre 1. Configuration d'ims Serer 25

40 Configuration des paramètres du système de gestion des éénements Utilisez Utilitaire de configuration IMS pour configurer les paramètres de gestion d'éénement tels que le traitement immédiat des éénements ou la fréquence à laquelle IMS Serer recherche les éénements. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > IMS Serer > Système de gestion des éénements. 3. Complétez les zones suiantes : Option Traitement immédiat des éénements Indiquez si le système de gestion des éénements doit traiter immédiatement les éénements. Si cette option est définie sur Vrai, le délai de eille est ignoré. Délai de eille du contrôleur d'éénements Indiquez la fréquence à laquelle le contrôleur recherche les éénements. Cette option est utilisée uniquement si IBM.eents.HandleImmediately a la aleur false. 4. Les paramètres ci-après sont définis au cours du déploiement et ne sont pas modifiables. Vous ne pouez afficher les paramètres qu'aec l'utilitaire de configuration IMS. Option Emplacement du fichier de configuration du système de gestion des éénements Affiche l'emplacement du fichier qui contient la configuration du système de gestion des éénements. 5. Cliquez sur Mettre à jour. Affichage des paramètres de démarrage d'ims Serer Utilisez l'utilitaire de configuration IMS pour afficher les paramètres de démarrage d'ims Serer. Ces paramètres ne sont pas modifiables. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > IMS Serer > Démarrage. 3. Affichez les informations dans les zones suiantes : Option Tâches de contrôle d'état au démarrage d'ims Serer Emplacement du fichier de lancement d'ims Serer Liste des tâches de contrôle s'exécutant au démarrage d'ims Serer. Fichier nécessaire à IMS Serer pour démarrer. 26 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

41 Configuration des paramètres diers d'ims Serer Utilisez l'utilitaire de configuration IMS pour configurer les paramètres diers d'ims Serer tels que les tâches de liaison d'application, le dépassement du délai d'attente du serice de téléchargement et la taille d'unité d'exécution maximum dans le serice de téléchargement. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > IMS Serer > Diers. 3. Complétez les zones suiantes : Option Tâches de liaison d'application Attributs de machine à exclure d'ims Serer Entrez les noms de classe des tâches à exécuter lors d'une liaison d'application. Attributs de machine non mis à jour ni sauegardés par IMS Serer. Pour plus d'informations, oir Chapitre 9, «Exclusion des attributs de machine», à la page 93. Délai d'expiration du serice de téléchargement (en secondes) Taille d'unité d'exécution maximum dans le serice de téléchargement Durée maximale (en secondes) aant expiration d'une connexion. Nombre maximum d'unités d'exécution dans le serice de téléchargement. 4. Cliquez sur Mettre à jour. Spécification des noms d'attribut IMS Serer et LDAP Utilisez l'utilitaire de configuration IMS pour indiquer les noms d'attribut LDAP et IMS Serer. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > IMS Serer > Association des utilisateurs IMS et LDAP. 3. Complétez la zone suiante : Option Classes des attributs de correspondance Nom de l'attribut LDAP Nom de l'attribut IMS Entrez les noms qualifiés des classes des attributs de correspondance, dans l'ordre dans lequel ils sont utilisés pour associer un utilisateur IMS Serer et un utilisateur LDAP. Entrez le nom de l'attribut LDAP qui associe un utilisateur IMS Serer et un utilisateur LDAP. Par exemple, samaccountname. Entrez le nom de l'attribut IMS Serer qui associe un utilisateur IMS Serer et un utilisateur LDAP. Par exemple, Enterprise Logon. 4. Cliquez sur Mettre à jour. Chapitre 1. Configuration d'ims Serer 27

42 Configuration du sereur pour un équilibreur de charge Layer 7 Le fichier de configuration d'ims Serer, ims.xml, contient trois paramètres permettant de configurer la prise en charge de l'équilibreur de charge Layer 7 dans un déploiement à haute disponibilité ou en cluster. Procédure 1. Ourez le fichier de configuration d'ims Serer, <répertoire_profil_was>\ config\tamesso\config\ims.xml, dans un éditeur de texte. 2. Spécifiez les paramètres suiants : encentuate.ims.clientip.customheader.name Affectez à ce paramètre le nom de l'en-tête dans lequel l'équilibreur de charge ajoute l'adresse IP du client. En général, cette aleur est paramétrée sur X-Forwarded-For. Si cette aleur n'est pas définie, le comportement par défaut consiste à extraire de la requête l'adresse IP du client. encentuate.ims.clientip.customheader.delimiter Ce paramètre est facultatif. Si plusieurs aleurs sont définies, par exemple, lorsqu'il existe plusieurs équilibreurs de charge, le jeu de caractères est utilisé comme séparateur. Exemple 1 ip1, ip2, ip3 Vous aez indiqué "," pour la aleur de ce paramètre. Exemple 2 (par défaut) ip1 ip2 ip3 encentuate.ims.clientip.customheader.isrtl Ce paramètre est facultatif. Si ous indiquez plusieurs équilibreurs de charge et que ous ajoutez l'adresse IP source de la requête dans le même en-tête, ce paramètre indique comment l'équilibreur de charge ajoute l'adresse IP à la liste. Exemple 1 (par défaut) clientip lb1ip lb2ip Exemple 2 lb2ip lb1ip clientip Affectez à ce paramètre la aleur yes si l'adresse IP est écrite dans le début de la liste, et non à la fin de la liste. 3. Redémarrez IMS Serer à l'issue de la configuration. Configuration de la source de données IMS Serer stocke toutes les données utilisateur et système dans une base de données relationnelle. Configurez les paramètres de source de données pour autoriser IMS Serer à communiquer aec otre sereur de base de données. Spécification des paramètres de source de données générale Vous pouez indiquer les paramètres de la source de données. Utilisez l'utilitaire de configuration IMS pour définir les paramètres de la source de données générale tels que le type de base de données, les identificateurs de magasin de données, les types d'objet de données et le nombre maximal d'enregistrements renoyés par la base de données. 28 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

43 Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > Source de données > Source de données générale. 3. Complétez les zones suiantes : Option Type de base de données ID de magasin de données Indiquez le type de base de données (par exemple, DB2, MS SQL Serer, Oracle). Indiquez une aleur associée pour chaque aleur ds.do_type. Cette aleur définit les paramètres de source de données utilisés pour le type associé (ds.do_type). Le nom du groupe de paramètres associé contient l'id de la source de données. Par exemple ds.ims.rdb.*. Si deux aleurs ds.do_type partagent un ID de source de données, les deux groupes d'objets de données correspondants partagent le même pool de connexions. Types d'objet de données Indiquez le nom qualifié d'une classe contenant les types d'un groupe logique d'objets de données. Cette ariable peut accepter plusieurs aleurs. Chaque aleur désigne un groupe logique d'objets de données qui utilise un pool de connexions distinct (comme une autre source de données). Nombre maximal d'enregistrements renoyés par la base de données Indiquez le nombre maximum de résultats à afficher dans l'interface utilisateur d'ims Serer lors d'une recherche. La aleur par défaut est Affichez les zones suiantes : Option Type d'objet de données par défaut Affiche le type d'objet ds.do_type par défaut si : Aucune aleur n'est indiquée lors d'une demande de connexion Les paramètres de source de données associés à d'autres types d'objet ds.do_type sont introuables. Remarque : ds correspond au magasin de données et do à l'objet de données. Chemin du fichier de configuration de source de données pour IMS Serer Chemin du fichier de configuration de la source de données pour l'utilitaire de configuration IMS Affiche le chemin du fichier de configuration pour IMS Serer. Affiche le chemin du fichier de configuration pour l'utilitaire de configuration IMS. 5. Cliquez sur Mettre à jour. Chapitre 1. Configuration d'ims Serer 29

44 Spécification des paramètres de source de données d'ims Serer Utilisez l'utilitaire de configuration IMS pour spécifier les paramètres de base de données d'ims Serer tels que l'uri, le schéma, le nom, le nom d'utilisateur et le mot de passe. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > Source de données > Source de données IMS. 3. Complétez les zones suiantes : Option URI de base de données IMS Schéma de base de données IMS Nom de base de données IMS Nom d'utilisateur de base de données IMS Mot de passe de base de données IMS Indiquez l'identificateur URI (Uniform Resource Identifier) du sereur de base de données relationnelle. Indiquez le schéma des tables de base de données associé à do_type. Entrez le nom de la base de données IMS Serer. Entrez le nom d'utilisateur à utiliser pour se connecter à la base de données. Entrez le mot de passe associé au nom d'utilisateur à utiliser pour se connecter à la base de données. Lors de la première exécution, ce mot de passe est remplacé par une chaîne de longueur fixe contenant une aleur chiffrée dans la section du texte chiffré. 4. Affichez la zone suiante : Option Pilote JDBC d'ims Serer Affiche le pilote JDBC utilisé. 5. Cliquez sur Mettre à jour. Spécification des paramètres de source de données des journaux d'ims Serer Utilisez l'utilitaire de configuration IMS pour indiquer les paramètres de source de données des journaux IMS Serer tels que l'uri, le schéma, le nom, le nom d'utilisateur et le mot de passe. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > Source de données > Source de données des fichiers journaux. 3. Complétez les zones suiantes : Option URI de base de données de journaux IMS Indiquez l'identificateur URI (Uniform Resource Identifier) du sereur de base de données relationnelle. 30 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

45 Option Schéma de base de données de journaux IMS Nom de base de données de journaux IMS Nom d'utilisateur de base de données de journaux IMS Mot de passe de base de données de journaux IMS Délai d'attente maximal (en millisecondes) du pool de connexion aux journaux Taille maximale du pool de connexion aux journaux Indiquez le schéma des tables de base de données associé à do_type. Entrez le nom de la base de données de journaux IMS Serer. Entrez le nom d'utilisateur à utiliser pour se connecter à la base de données des fichiers journaux. Entrez le mot de passe associé au nom d'utilisateur à utiliser pour se connecter à la base de données. Entrez le délai d'attente maximum (en millisecondes) pour obtenir une connexion aec ims_log aant de considérer qu'aucune connexion n'est disponible. Entrez la taille maximale du pool de connexions aux fichiers journaux. 4. Affichez la zone suiante : Option Pilote JDBC de journaux IMS Serer Nom de classe qualifié complet du pilote JDBC. 5. Cliquez sur Mettre à jour. Configuration des connecteurs de message IMS Serer peut utiliser SMTP ou les connecteurs de messagerie SMS Web pour enoyer le mot de passe à usage unique ou le code ActieCode à l'utilisateur. Vous deez sélectionner le connecteur de message à utiliser et configurer ses paramètres de base et aancés. Configuration des paramètres de connecteur de messagerie SMTP Utilisez l'utilitaire de configuration IMS pour éditer les paramètres de base et les paramètres aancés du connecteur de messagerie SMTP. Les paramètres de base incluent le nom du connecteur de message, le nom d'attribut d'adresse, l'uri du sereur SMTP, l'adresse de l'émetteur SMTP et le nom usuel de l'émetteur SMTP. Les paramètres aancés comprennent notamment le numéro de port SMTP, le nom d'utilisateur SMTP et l'attribut d'adresse de l'annuaire d'entreprise. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > Connecteurs de messagerie. 3. Dans Ajout d'un groupe de configuration, sélectionnez Connecteur de messagerie SMTP dans la liste. 4. Cliquez sur Configurer. 5. Sous Paramètres de configuration de base, complétez les zones suiantes : Option Nom du connecteur de message Indiquez le nom d'affichage du connecteur SMS Web. Chapitre 1. Configuration d'ims Serer 31

46 Option Nom d'attribut d'adresse URI du sereur SMTP Adresse de l'émetteur SMTP Nom usuel de l'émetteur SMTP Entrez un nom pour l'attribut de l'adresse. Entrez l'identificateur URI du sereur SMTP (par exemple, mail.masociété.com). Entrez l'adresse d'origine des courriers électroniques enoyés. Entrez un nom usuel pour désigner l'adresse Sous Paramètres de configuration aancés, complétez les zones suiantes : Option Numéro de port SMTP Nom d'utilisateur SMTP Mot de passe de l'utilisateur SMTP Rechercher l'attribut d'adresse dans l'annuaire d'entreprise Attribut d'adresse de l'annuaire d'entreprise Entrez le numéro de port d'un sereur SMTP. Entrez le nom d'utilisateur à fournir pour l'authentification SMTP. Entrez le mot de passe à fournir pour l'authentification SMTP. Indiquez si l'attribut d'adresse utilisé par le connecteur de messagerie doit être extrait de l'annuaire d'entreprise. Si la aleur est faux, l'attribut d'adresse (défini par le nom d'attribut d'adresse) est extrait de la base de données IMS Serer. Si ous définissez la aleur rai, les performances diminuent, car chaque émission de code MAC appelle l'annuaire d'entreprise. Pour extraire des attributs multiformes (tels que memberof), utilisez le connecteur ADSI pour configurer l'annuaire d'entreprise. Indiquez le nom de l'attribut à rechercher dans l'annuaire d'entreprise (sereur Actie Directory ou LDAP). Définissez cet attribut uniquement si Rechercher l'attribut d'adresse dans l'annuaire d'entreprise a la aleur rai. Si cet attribut définit un numéro de téléphone, utilisez le format "Indicatif pays-indicatif zone-numéro de téléphone", par exemple, , Cliquez sur Ajouter. Configuration des paramètres de connecteur SMS Web Utilisez l'utilitaire de configuration IMS pour éditer les paramètres de base et aancés du connecteur SMS Web. Les paramètres de base incluent le nom du connecteur de message, le nom d'attribut d'adresse, les correspondances entre le code GSM et la passerelle, la passerelle SMS par défaut, le nom de la zone du numéro de téléphone, le nom de la zone du message et d'autres noms de zone. Les 32 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

47 paramètres aancés comprennent notamment l'attribut d'adresse de l'annuaire d'entreprise, le nombre de relances HTTP et le délai d'attente HTTP en millisecondes. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Sélectionnez Paramètres aancés > Connecteurs de messagerie. 3. Dans Ajout d'un groupe de configuration, sélectionnez Connecteur SMS Web dans la liste. 4. Cliquez sur Configurer. 5. Sous Paramètres de configuration de base, complétez les zones suiantes : Option Nom du connecteur de message Nom d'attribut d'adresse Correspondances entre le code GSM et la passerelle Passerelle SMS par défaut Nom de la zone du numéro de téléphone Nom de la zone de message Autres noms de zones Indiquez le nom d'affichage du connecteur SMS Web. Entrez un nom pour l'attribut de l'adresse. Entrez les correspondances entre les codes GSM et le nom d'hôte ou l'adresses IP de la passerelle correspondants (par exemple, 65, ). Entrez le nom d'hôte ou l'adresse IP de la passerelle SMS à utiliser si le code GSM en cours ne correspond à aucun des codes GSM figurant dans les correspondances de passerelle. Entrez le nom de zone de numéro de téléphone défini sur le formulaire Web cible utilisé pour enoyer le SMS. Entrez le nom de zone de message défini sur le formulaire Web cible utilisé pour enoyer le SMS. Entrez les mappages noms-aleurs (séparés par des irgules) des autres zones enoyées au formulaire Web cible. Par exemple : groupe,cadres. 6. Sous Paramètres de configuration aancés, complétez les zones suiantes : Option Rechercher l'attribut d'adresse dans l'annuaire d'entreprise Indiquez si l'attribut d'adresse utilisé par le connecteur de messagerie doit être extrait de l'annuaire d'entreprise. Si la aleur est faux, l'attribut d'adresse (défini par le nom d'attribut d'adresse) est extrait de la base de données IMS Serer. Si ous définissez la aleur rai, les performances diminuent, car chaque émission de code MAC appelle l'annuaire d'entreprise. Chapitre 1. Configuration d'ims Serer 33

48 Option Attribut d'adresse de l'annuaire d'entreprise Indiquez le nom de l'attribut à rechercher dans l'annuaire d'entreprise (sereur Actie Directory ou LDAP). Définissez cet attribut uniquement si Rechercher l'attribut d'adresse dans l'annuaire d'entreprise? a la aleur true. Si cet attribut définit un numéro de téléphone, utilisez le format "Indicatif pays-indicatif zone-numéro de téléphone", par exemple, , Nombre de relances HTTP Délai d'attente HTTP (millisecondes) Indiquez le nombre de tentaties de connexion HTTP autorisées consécuties à l'échec de la première. Indiquez le délai d'attente maximum en millisecondes pour la réponse du sereur. Si otre connexion réseau est lente, augmentez la aleur de cette option. 7. Cliquez sur Ajouter. IMS Bridge IMS Serer interagit aec d'autres applications par l'intermédiaire de connecteurs de message et de ponts de proisionnement IMS Serer. Configurez le pont IMS pour proisionner les utilisateurs. Ajout de noms d'utilisateur IMS Bridge Utilisez l'utilitaire de configuration IMS pour ajouter des noms d'utilisateur IMS Bridge. Un pont IMS Bridge est un module qui est intégré dans les applications et systèmes de tiers qui appellent des API IMS à des fins de proisionnement. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > Passerelles IMS > Démarrage. 3. Complétez la zone suiante : Option Noms d'utilisateur de passerelle IMS Entrez les noms permettant d'authentifier le module IMS Bridge. 4. Cliquez sur Ajouter pour ajouter le noueau nom d'utilisateur IMS Bridge. 5. Cliquez sur Mettre à jour. Configuration des paramètres IMS Handler-IMS Bridge Utilisez l'utilitaire de configuration IMS pour configurer les paramètres IMS Handler-IMS Bridge comme le mot de passe, les adresses IP et les types. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > Passerelles IMS > ImsHandler - ImsBridge. 3. Complétez les zones suiantes : 34 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

49 Option Mot de passe de passerelle IMS Adresses IP de passerelle IMS Entrez le mot de passe permettant d'authentifier le module IMS Bridge. Entrez les adresses IP à partir desquelles le module IMS Bridge peut accéder à IMS Serer. Remarque : IBM Security Access Manager for Enterprise Single Sign-On prend en charge IP (Internet Protocol) ersion 6 (IP6). Cliquez sur Ajouter pour ajouter la nouelle adresse IP IMS Serer. Type de passerelle IMS Entrez le rôle à attribuer au module IMS Bridge lorsqu'il se connecte. 4. Cliquez sur Ajouter pour ajouter la nouelle adresse IP IMS Bridge. 5. Cliquez sur Mettre à jour. Configuration des paramètres IMS Bridge Utilisez l'utilitaire de configuration IMS pour configurer les paramètres IMS Bridge tels que le nom, le mot de passe, l'adresse IP et le type de pont. Pourquoi et quand exécuter cette tâche Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > Passerelles IMS > Ajout d'un groupe de configuration. 3. Sélectionnez IMS Bridge dans la liste. 4. Cliquez sur Configurer. 5. Complétez les zones suiantes : Option Nom Mot de passe de passerelle IMS Adresses IP de passerelle IMS Type de passerelle IMS Entrez le nom permettant d'authentifier le module IMS Bridge. Entrez le mot de passe permettant d'authentifier le module IMS Bridge. Entrez les adresses IP à partir desquelles le module IMS Bridge peut accéder à IMS Serer. Remarque : IBM Security Access Manager for Enterprise Single Sign-On prend en charge IP (Internet Protocol) ersion 6 (IP6). Entrez le rôle à attribuer au module IMS Bridge lorsqu'il se connecte. 6. Cliquez sur Ajouter. Information associée: Conditions requises pour utiliser le pont IMS Bridge pour le proisionnement d'utilisateur sur un sereur IMS Serer mis à nieau Chapitre 1. Configuration d'ims Serer 35

50 Configuration de l'authentification des utilisateurs IBM Security Access Manager for Enterprise Single Sign-On gère l'authentification des utilisateurs. Configurez les paramètres qui influent sur le mode d'authentification de l'utilisateur comme l'authentification par mot de passe, l'authentification sans certificat, le code d'autorisation, le support biométrique ou l'authentification RADIUS. Configuration des paramètres de connexion Utilisez l'utilitaire de configuration IMS pour éditer les paramètres de connexion pour l'authentification des utilisateurs. Ces paramètres de connexion incluent les clés logicielles téléchargeables, le nombre maximal de tentaties de connexion en ligne et les jeux de caractères de la clé logicielle de sauegarde. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > AccessAdmin > Authentification des utilisateurs > Connexion. 3. Complétez les zones suiantes : Option Clés logicielles téléchargeables Autoriser l'authentification sans certificat par défaut Indiquez si ous oulez actier une règle système permettant aux utilisateurs de créer des clés logicielles téléchargeables. Indiquez si ous oulez autoriser tous les utilisateurs à accéder à la méthode d'authentification sans certificat par défaut. S'il n'existe pas de règles de contrôle d'accès basées sur l'utilisateur, cette règle à l'échelle du système est appliquée. Si ous ne définissez pas cette clé, l'accès est interdit par défaut. L'administrateur IMS Serer accorde ensuite les autorisations à chaque utilisateur. Nombre maximal d'échecs consécutifs de connexion en ligne sans certificat Nombre de jours pendant lesquels le code de demande d'actiation de clé de sauegarde est alide après génération Entrez le nombre maximal d'échecs consécutifs possibles aant le errouillage du compte de l'utilisateur. L'utilisateur ne peut pas se connecter à IMS Serer à l'aide de l'authentification sans certificat. Indiquez le nombre de jours pendant lesquels un code de demande d'actiation est alide après génération. 36 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

51 Option Jeux de caractères de la clé logicielle de sauegarde Ajoutez ou supprimez les jeux de caractères pouant être pris en charge par IMS Serer. Exemple : Z3467ALEQHJKRWXY,CHARSET_D2. Indiquez l'une des aleurs suiantes : Form character_set N2 Character_set D2 Votre choix dépend de l'utilisation d'accessagent dans le déploiement. AccessAgent possède différentes aleurs confidentielles BSK sur chaque ordinateur. Remarque : Tous les jeux de caractères ont des positions non ambiguës. 4. Cliquez sur Mettre à jour. Actiation de l'authentification par mot de passe Utilisez l'utilitaire de configuration IMS pour définir os préférences d'authentification par mot de passe. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > AccessAdmin > Authentification des utilisateurs > Mot de passe. 3. Complétez la zone suiante : Option Authentification par mot de passe Indiquez si l'authentification par mot de passe est actiée par IMS Serer. 4. Cliquez sur Mettre à jour. Actiation des biométries et des codes d'autorisation Utilisez l'utilitaire de configuration IMS pour actier les codes d'autorisation et les biométries pour l'authentification des utilisateurs. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > AccessAdmin > Authentification des utilisateurs > Code d'autorisation. 3. Complétez les zones suiantes : Option Code d'autorisation pris en charge Actier la prise en charge des données biométriques Indiquez si l'authentification par code d'autorisation est actiée par IMS Serer. Indiquez si ous oulez actier la prise en charge des biométries. 4. Les paramètres ci-après sont définis au cours du déploiement et ne sont pas modifiables. Chapitre 1. Configuration d'ims Serer 37

52 Vous ne pouez afficher les paramètres qu'aec l'utilitaire de configuration IMS. Option Secret partagé IMS AccessAgent pour l'implémentation des données biométriques. Liaison entre l'id du fournisseur de données biométriques et sa classe d'implémentation Cette aleur est le secret partagé entre IMS Serer et AccessAgent. Elle est nécessaire pour l'implémentation de l'authentification biométrique. Cette clé définit un ensemble de liaisons entre les fournisseurs de biométries pris en charge par IMS Serer et les classes qui implémentent les algorithmes spécifiques aux fournisseurs. 5. Cliquez sur Mettre à jour. Configuration des paramètres de démarrage du sereur RADIUS Utilisez l'utilitaire de configuration IMS pour indiquer les paramètres de démarrage du sereur RADIUS (Remote Authentication Dial-In User Serice). Ces paramètres incluent le module RADIUS, l'adresse IP du sereur RADIUS, le port UDP en mode écoute sur les demandes d'authentification, les clients du sereur RADIUS et les domaines d'authentification des utilisateurs non enregistrés. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > AccessAdmin > Authentification des utilisateurs > Sereur RADIUS. 3. Complétez les zones suiantes : Option Actier le module RADIUS Adresse IP du sereur RADIUS Le port UDP écoute les demandes d'authentification Indiquez si ous oulez actier le module RADIUS. Entrez l'adresse IP du sereur RADIUS. Indiquez le port d'écoute utilisé par le sereur pour détecter les requêtes d'authentification RADIUS. La aleur par défaut est Le port UDB écoute les demandes de comptabilité Indiquez le port d'écoute utilisé par le sereur pour détecter les requêtes de comptabilisation RADIUS. La aleur par défaut est Taille maximale de la file d'attente de serice du sereur RADIUS Supprimer le composant domaine du nom d'utilisateur RADIUS Indiquez la taille de la file d'attente du serice au delà de laquelle le sereur RADIUS est considéré comme indisponible. Indiquez si ous oulez supprimer le composant domaine du nom d'utilisateur. 38 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

53 Option Définir l'attribut Inite dans les paquets de réponse à la demande d'accès Indiquez si ous oulez définir l'attribut Inite dans les paquets de réponse aec question secrète du sereur RADIUS. Certains réseaux priés irtuels (VPN) tels que Checkpoint n'exigent pas la définition de l'attribut Inite dans les paquets RADIUS. Pour d'autres réseaux comme Aentail, cette définition est obligatoire. Autoriser plusieurs attributs de classe RADIUS Indiquez l'attribut LDAP de l'utilisateur à enoyer sous forme de plusieurs attributs de classe RADIUS. Pour les réseaux priés irtuels qui ne prennent en charge qu'un seul attribut de classe RADIUS, n'actiez pas cette fonction. Actier la consignation détaillée du débogage du sereur RADIUS Clients de ce sereur RADIUS L'utilisation de cet attribut peut affecter les performances et la confidentialité. Par conséquent, actiez-le uniquement à des fins de dépannage et de débogage. Indiquez la liste des clients RADIUS. Les adresses IP et les noms de domaine complet (FQDN) sont spécifiés dans la clé radius.client.$ friendlyname.address. Cliquez sur Ajouter. Domaines d'authentification des utilisateurs non enregistrés Indiquez la liste des domaines d'authentification des utilisateurs non-ims Serer et cliquez sur Ajouter. Si l'id utilisateur VPN et l'id utilisateur LDAP correspondent, un domaine de type LDAP peut extraire les attributs suiants : memberof Autres attributs utilisateur pour les utilisateurs IMS Serer enregistrés 4. Cliquez sur Mettre à jour. Configuration des paramètres de client RADIUS Utilisez l'utilitaire de configuration IMS pour indiquer les paramètres de client RADIUS. Ces paramètres incluent le nom, la aleur confidentielle (secret) du client, les attributs spécifiques du fournisseur, le domaine d'utilisateur non enregistré par défaut de RADIUS et l'actiation de la procédure de question/réponse RADIUS. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > AccessAdmin > Authentification des utilisateurs > Sereur RADIUS > Ajout d'un groupe de configuration. 3. Sélectionnez Client Radius dans la liste. 4. Cliquez sur Configurer. 5. Complétez les zones suiantes : Chapitre 1. Configuration d'ims Serer 39

54 Option Nom Valeur confidentielle du client Attributs spécifiques du fournisseur Adresse du client conertissable Domaine d'utilisateur non enregistré par défaut de RADIUS Actier la réponse de demande d'accès RADIUS Message de demande d'authentification par défaut dans l'interface utilisateur VPN Message de demande d'accès de canal GSM-SMS dans l'interface utilisateur VPN Message de demande de canal sur l'interface utilisateur VPN Entrez le nom du noueau client. Valeur confidentielle partagée utilisée pour chiffrer la communication entre le client RADIUS et le sereur. Entrez les attributs RADIUS à renoyer en cas d'authentification réussie. Cliquez sur Ajouter. Entrez l'adresse IP ou le FQDN du système hôte répertorié comme client RADIUS. Entrez le nom du domaine d'utilisateur non enregistré par défaut à employer pour ce sereur RADIUS. Indiquez si ous oulez actier la procédure de question/réponse RADIUS pour ce sereur VPN. Entrez le message de demande d'authentification RADIUS qui doit s'afficher dans l'interface utilisateur VPN. Entrez le message de la question secrète RADIUS qui doit s'afficher dans l'interface utilisateur du réseau prié irtuel si le code MAC est enoyé ia une passerelle SMS. Par exemple, le connecteur de message SMS Web. N'effectuez cette étape que si MAC est actié. Entrez le message de la question secrète RADIUS qui doit s'afficher dans l'interface utilisateur du réseau prié irtuel si le code MAC est enoyé ia une passerelle de courrier électronique. Par exemple, le connecteur de message . Nouelle spécification du message de demande d'accès dans l'interface utilisateur VPN Sujet du SMS MAC ou de l' Facteur d'authentification de la procédure de question-réponse initial Contenu du SMS MAC ou de l' Autoriser les utilisateurs non IMS N'effectuez cette étape que si MAC est actié. Entrez le message de demande d'authentification RADIUS qui doit s'afficher dans l'interface utilisateur VPN. Indiquez le modèle de message ou SMS contenant le code MAC que l'utilisateur doit receoir. Indiquez le facteur d'authentification. Indiquez le modèle de message ou SMS contenant le code MAC que l'utilisateur doit receoir. Sélectionnez Non. Cette option empêche les utilisateurs non enregistrés de s'authentifier à l'aide de ce sereur VPN. 40 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

55 Option Nouelle inite de saisie du code MAC après un échec Indiquez si l'utilisateur peut ressaisir le code MAC en cas de saisie incorrecte. L'utilisateur reçoit une inite de saisie jusqu'au errouillage du compte. 6. Cliquez sur Ajouter. Configuration des paramètres de domaine RADIUS Utilisez l'utilitaire de configuration IMS pour indiquer les paramètres de domaine RADIUS. Ces paramètres incluent le nom et le type de domaine d'authentification, l'adresse et le port du sereur d'authentification. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > AccessAdmin > Authentification des utilisateurs > Sereur RADIUS > Ajout d'un groupe de configuration. 3. Sélectionnez Domaine Radius dans la liste. 4. Cliquez sur Configurer. 5. Complétez les zones suiantes : Option Nom Type de domaine d'authentification Adresse du sereur d'authentification Port du sereur d'authentification Type d'attribut de classe RADIUS Valeur confidentielle du domaine RADIUS Base de recherche LDAP Utilisateur de recherche LDAP Mot de passe de l'utilisateur de recherche LDAP Attributs de connexion LDAP Attribut de classe RADIUS équialent sous LDAP Entrez le nom du noueau domaine RADIUS. Indiquez le type du domaine d'authentification. Indiquez l'adresse du sereur d'authentification principal du domaine. Indiquez le port d'écoute utilisé par le sereur d'authentification pour détecter les requêtes d'authentification. Indiquez le type d'attribut de classe RADIUS renoyé par le domaine. Entrez le secret partagé entre IMS Serer et RADIUS, et le domaine RADIUS. Entrez le nom distinctif des objets LDAP utilisés comme racines pour exécuter des recherches dans LDAP. Indiquez l'utilisateur doté des droits d'accès requis pour rechercher et extraire les attributs LDAP. Entrez le mot de passe de l'utilisateur du serice de recherche RADIUS-LDAP. Indiquez les attributs de connexion LDAP à rechercher au moment de la connexion de l'utilisateur. Indiquez l'attribut LDAP qui est renoyé au client RADIUS en tant qu'attribut de classe standard de RADIUS. 6. Cliquez sur Ajouter. Chapitre 1. Configuration d'ims Serer 41

56 Utilitaires Vous pouez configurer différents utilitaires pour le téléchargement des données système, l'exportation et l'importation de la configuration d'ims et la traduction des codes d'éénement. Pour plus d'informations : «Téléchargement de données système» «Exportation de la configuration d'ims Serer à l'aide de l'utilitaire de configuration IMS» «Importation de la configuration d'ims Serer aec l'utilitaire de configuration IMS», à la page 44 «Traduction de codes d'éénement et de résultat», à la page 46 Téléchargement de données système Utilisez l'utilitaire de téléchargement de données système pour télécharger un modèle de fichier ou un fichier de données dans IMS Serer. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Sélectionnez Utilitaires > Télécharger les données système. 3. Complétez la zone suiante : Option Sélectionnez le type de fichier à télécharger Indiquez si le type de fichier à télécharger est Fichier modèle ou Fichier de données. 4. Cliquez sur Télécharger. Exportation de la configuration d'ims Serer à l'aide de l'utilitaire de configuration IMS Utilisez l'outil de configuration Exporter la configuration d'ims Serer de l'utilitaire de configuration IMS pour sauegarder la configuration d'ims Serer. Lorsque ous exportez la configuration d'ims Serer, celle-ci est stockée dans un fichier d'archie Jaa. Vous pouez télécharger et importer ce fichier ultérieurement sur le même ordinateur ou sur un autre. Aant de commencer Vérifiez que le sereur IMS Serer est installé, configuré et qu'il fonctionne. Pourquoi et quand exécuter cette tâche Les changements suiants sont inclus lors de l'exportation de la configuration d'ims Serer : Fichiers de configuration d'ims Serer Paramètres JDBC Clés et certificats IMS Serer Clé de l'autorité de certification racine de WebSphere Application Serer Certificat SSL IBM HTTP Serer Adresse URL de serice SOAP IMS Serer 42 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

57 Configuration des annuaires d'entreprise Virtual Member Manager Annuaires d'entreprise Les changements suiants sont exclus lors de l'exportation de la configuration d'ims Serer : Informations stockées dans la base de données IMS Serer. Par exemple : règles et portefeuilles d'utilisateur IBM Security Access Manager for Enterprise Single Sign-On. Changements manuels du profil de WebSphere Application Serer. Par exemple : aleurs de segment de mémoire et gestion de session dans les modules. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Sous Utilitaires, cliquez sur Exporter la configuration IMS. L'assistant Exportation de la configuration d'ims Serer s'affiche. 3. Cliquez sur Commencer. 4. Acceptez les aleurs par défaut indiquées dans le formulaire si ous aez utilisé les aleurs par défaut lors de la configuration de l'autorité de certification racine de WebSphere Application Serer. Sinon, remplacez les aleurs par défaut. Nom du fichier de clés Indiquez le nom du fichier de clés racine. Par exemple, NodeDefaultRootStore. Portée du fichier de clés Indiquez la portée du fichier de clés. Par exemple, (cell):exportcell01:(node):exportnode01. Mot de passe du fichier de clés Indiquez le mot de passe du fichier de clés. Par exemple, WebAS. Nom de l'alias de l'autorité d'accréditation racine Indiquez l'alias de certificat de l'autorité de certification racine. Par exemple, racine. 5. Cliquez sur Suiant. 6. Acceptez les aleurs par défaut indiquées dans le formulaire si ous aez utilisé les aleurs par défaut lors de la configuration du certificat SSL IBM HTTP Serer. Sinon, remplacez les aleurs par défaut. Nom du fichier de clés Indiquez le nom du fichier de clés du certificat SSL. Par exemple, CMSKeyStore. Portée du fichier de clés Indiquez la portée du fichier de clés du certificat SSL. Par exemple, (cell):exportcell01:(node):exportnode01:(serer):webserer1. Mot de passe du fichier de clés Indiquez le mot de passe du fichier de clés du certificat SSL. Par exemple, WebAS. Alias SSL Indiquez l'alias affecté au certificat SSL. Par exemple, par défaut. 7. Cliquez sur Suiant. Lerécapitulatif de l'exportation d'ims Serer ISAM ESSO s'affiche. 8. Vérifiez le récapitulatif de la configuration d'ims Serer à exporter. Chapitre 1. Configuration d'ims Serer 43

58 9. Cliquez sur Exporter. La configuration d'ims Serer est exportée. 10. Cliquez sur Télécharger. 11. Sélectionnez Sauegarder Fichier pour stocker le fichier JAR de configuration d'ims Serer. 12. Cliquez sur OK. Importation de la configuration d'ims Serer aec l'utilitaire de configuration IMS Utilisez l'outil Importer la configuration IMS Serer de l'utilitaire de configuration IMS pour importer les configurations IMS Serer existantes. Localisez le fichier JAR de configuration d'ims Serer que ous aez exporté puis importez-le sur l'ordinateur cible. Aant de commencer Vérifiez que les conditions suiantes sont remplies sur otre ordinateur cible : IMS Serer est installé. Vous n'exécutez pas l'assistant de configuration IMS et ous n'aez pas encore configuré IMS Serer. Vous aez exporté la configuration d'ims Serer dans un fichier JAR. Vous copiez le fichier JAR de configuration d'ims Serer. Vous connaissez l'emplacement de la base de données IMS Serer. Vous connaissez l'emplacement de l'annuaire d'entreprise. Pourquoi et quand exécuter cette tâche L'importation de la configuration d'ims Serer implique l'importation des fichiers de configuration d'ims Serer, de la source de données, de l'autorité de certification racine, du certificat SSL IBM HTTP Serer ainsi que de la configuration de la connexion de l'annuaire d'entreprise. Lors de l'importation initiale, toutes les configurations sont importées par défaut. Lors de l'importation suiante, les fichiers de configuration d'ims Serer sont importés par défaut. Les autres configurations sont facultaties. Pour WebSphere Application Serer Network Deployment, ous pouez ajouter plusieurs sereurs IBM HTTP Serer. Important : Si ous possédez plusieurs instances d'ims Serer, assurez-ous d'importer la même configuration d'ims Serer sur tous les sereurs pour éiter les problèmes de synchronisation de sereur. La connexion des utilisateurs peut échouer si une configuration périmée d'ims Serer continue d'exister sur certains sereurs. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Sous Utilitaires, cliquez sur Importer la configuration IMS. 3. Cliquez sur Parcourir pour localiser le fichier de configuration exporté d'ims Serer et le sélectionner. Exemples : Pour Windows : C:/imsConfig_<nomhôte>_<aa mm jj>_hh:mm.ss.jar. Pour Linux : /home/<user>/desktop 4. Cliquez sur Commencer. 44 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

59 5. Sélectionnez la configuration à importer. Par défaut, toutes les options sont sélectionnées. Pour exclure un type de configuration, décochez la case correspondante. Fichiers de configuration IMS Importe les fichiers de configuration d'ims Serer. Source de données Importe les détails de la source de données de la base de données d'ims Serer. Autorité de certification racine Importe le nom de fichier de clés, le mot de passe et l'alias de certificat de l'autorité de certification racine. Certificat SSL d'ibm HTTP Serer Importe le nom de fichier de clés, la portée et l'alias de certificat SSL. Annuaires d'entreprise Importe la configuration de la connexion à un référentiel d'annuaire d'entreprise. 6. Cliquez sur Suiant. 7. Editez les détails du fichier de clés et du fichier de clés certifiées du client en cas de changement. Alias de certificat Indiquez l'alias de certificat client. Par exemple : par défaut. Chemin du fichier de clés Indiquez l'emplacement du fichier de clés du client. Par exemple : <base_was>/profiles/appsr01/etc/key.p12. Type de magasin de clés Indiquez le type du fichier de clés du client. Par exemple : PKCS12. Mot de passe du fichier de clés Indiquez le mot de passe du fichier de clés racine du client. Par exemple : WebAS. Chemin du fichier de clés certifiées Indiquez l'emplacement du fichier de clés certifiées du client. Par exemple : <base_was>/profiles/appsr01/etc/trust.p12. Type de fichier de clés certifiées Indiquez le type du fichier de clés certifiées du client. Par exemple : PKCS12. Mot de passe du fichier de clés certifiées Indiquez le mot de passe du fichier de clés certifiées du client. Par exemple : WebAS. 8. Cliquez sur Suiant. 9. Editez les détails du certificat SSL IBM HTTP Serer en cas de changement. Nom du fichier de clés Indiquez le nom du fichier de clés du certificat SSL. Par exemple : CMSKeyStore. Portée du fichier de clés Indiquez la portée du fichier de clés du certificat SSL. Par exemple : (cell):exportcell01:(node):exportnode01:(serer):webserer1. Chapitre 1. Configuration d'ims Serer 45

60 Alias SSL Indiquez l'alias affecté au certificat SSL. Par exemple : par défaut. 10. Cliquez sur Ajouter. Les changements s'affichent dans le tableau de fichiers de clés. 11. Cliquez sur Suiant. Le récapitulatif de l'importation de configuration d'ims Serer SAM E-SSO s'affiche. 12. Vérifiez le récapitulatif des configurations d'ims Serer à importer. 13. Cliquez sur Importer. Les configurations d'ims Serer sont importées aec succès. En fonction des configurations importées, ous deez redémarrer le sereur WebSphere Application Serer, IBM HTTP Serer ou IMS Serer. 14. Suiez les instructions du message obtenu. Vous pouez être inité à importer le certificat. Traduction de codes d'éénement et de résultat Utilisez l'utilitaire de traduction de code pour extraire la description correspondant au code d'éénement. Procédure 1. Sélectionnez Utilitaires > Traduction de code. 2. Sélectionnez le type de code à traduire. 3. Entrez le code selon le format 0x Par exemple, 0x Cliquez sur Traduire. Configuration de la compression HTTP Actiez la compression IBM HTTP Serer pour réduire la taille des données à transférer à AccessAgent. Procédure 1. Sélectionnez Démarrer > Tous les programmes > IBM WebSphere > Application Serer <ersion> > Profils > <nom du profil> > Console d'administration. 2. Ourez une session dans Integrated Solutions Console. 3. Dans le olet de naigation d'integrated Solutions Console, sélectionnez Sereurs > Types de sereur > Sereurs Web. 4. Cliquez sur <nom_sereur_web>. Par exemple, webserer1. 5. Sous Propriétés supplémentaires, cliquez sur Fichier de configuration. 6. Recherchez la ligne suiante et supprimez la balise de commentaire : LoadModule deflate_module modules/mod_deflate.so 7. Recherchez la section <Location /> et ajoutez les lignes suiantes : SetOutputFilter DEFLATE SetEnIfNoCase Request_URI\.(?:gif jpe?g png)$ no-gzip dont-ary SetInputFilter DEFLATE S'il n'y a pas de section <Location />, ajoutez les lignes suiantes après la dernière occurrence de </Location> <Location /> SetOutputFilter DEFLATE SetEnIfNoCase Request_URI\.(?:gif jpe?g png)$ no-gzip dont-ary SetInputFilter DEFLATE </Location> 46 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

61 8. Cliquez sur OK. 9. Redémarrez le sereur Web. Chapitre 1. Configuration d'ims Serer 47

62 48 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

63 Chapitre 2. Sauegarde et récupération d'ims Serer, des profils WebSphere Application Serer et de la base de données Sauegardez IMS Serer, les profils WebSphere Application Serer et la base de données IMS Serer aant une mise à nieau. Les sauegardes garantissent la récupération des données en cas de perte de celles-ci. Reportez-ous aux rubriques suiantes pour saoir comment sauegarder : IMS Serer «Exportation de la configuration d'ims Serer à l'aide de l'utilitaire de configuration IMS», à la page 42 «Importation de la configuration d'ims Serer aec l'utilitaire de configuration IMS», à la page 44 les profils WebSphere Application Serer «Sauegarde des profils de WebSphere Application Serer» «Restauration des profils de WebSphere Application Serer», à la page 50 Base de données «Sauegarde de la base de données dans DB2», à la page 50 «Restauration de la base de données dans DB2», à la page 51 Sauegarde des profils de WebSphere Application Serer Vous pouez sauegarder os profils WebSphere Application Serer à l'aide de la commande manageprofiles aant de mettre à nieau un sereur ou pour les sauegardes de système de routine dans les procédures de reprise après incident. Aant de commencer Vérifiez que les composants suiants sont arrêtés : WebSphere Application Serer. Voir le manuel IBM Security Access Manager for Enterprise Single Sign-On - Guide d'installation pour plus de détails. Agents de noeud (déploiement réseau). IBM HTTP Serer. Procédure 1. Ourez l'inite de commande. 2. Accédez au répertoire <base_was>\bin. Par exemple, ous pouez entrer la commande suiante : cd <base_was>\bin Par exemple : cd c:\program Files\IBM\WebSphere\AppSerer\bin 3. Utilisez la commande WebSphere Application Serer manageprofiles aec le paramètre backupprofile. manageprofiles.bat -backupprofile -profilename <nom_profil> -backupfile <nom_fichier de sauegarde> Copyright IBM Corp. 2002,

64 Par exemple : Autonome manageprofiles.bat -backupprofile -profilename AppSr01 -backupfile c:\backup\appsr01yymmdd.zip Déploiement réseau manageprofiles.bat -backupprofile -profilename Dmgr01 -backupfile c:\backup\dmgr01yymmdd.zip Restauration des profils de WebSphere Application Serer Restaurez les profils WebSphere Application Serer à partir d'une sauegarde si ous deez effectuer une reprise à partir d'un profil WebSphere Application Serer de traail sauegardé précédemment. Aant de commencer Vérifiez que les sereurs suiants sont arrêtés : WebSphere Application Serer Agents de noeud IBM HTTP Serer Assurez-ous que le répertoire <accueil_was>/profiles ne contient pas de nom de dossier similaire à celui du profil deant être restauré. Si c'est le cas, ous pouez supprimer le profil à l'aide de la commande manageprofiles ou déplacer le dossier à un autre emplacement. Procédure 1. Dans une inite de commande, accédez au répertoire<accueil_was>\bin. Entrez cd <accueil_was>\bin. Par exemple, cd c:\program Files\IBM\WebSphere\AppSerer\bin. 2. Restaurez le profil. Entrez manageprofiles -restoreprofile -backup <emplacement_fichier_sauegarde>. Par exemple : manageprofiles -restoreprofile -backup c:\backup\appsr01yymmdd.zip L'outil de ligne de commande manageprofiles restaure le profil toujours dans le même chemin que le profil initial. 3. Vérifiez que le profil est restauré. Accédez au répertoire <accueil_was>\ profiles. Par exemple, <was_home>\profiles\appsr01. Si le profil est correctement restauré, un dossier du profil restauré apparaît. Résultats Le profil est correctement restauré. Conseil : Si ous effectuez cette tâche dans le cadre d'une procédure de restauration de sereur, ne démarrez pas le profil. Déterminez si ous deez restaurer la base de données d'abord ou plus tard. Sauegarde de la base de données dans DB2 Sauegardez la base de données dans DB2 aant d'effectuer une mise à nieau ou après une installation de sereur réussie. 50 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

65 Aant de commencer Arrêtez les sereurs suiants : Profil WebSphere Application Serer IMS Serer. IBM HTTP Serer. Procédure 1. Démarrez le Centre de contrôle DB2. 2. Cliquez aec le bouton droit de la souris sur la base de données IMS Serer à sauegarder. Par exemple, cliquez aec le bouton droit de la souris sur imsdb. 3. Sélectionnez Sauegarder. 4. Cliquez sur Suiant. 5. Sélectionnez Système de fichiers dans Type de support et cliquez sur Ajouter. 6. Indiquez le chemin d'accès de stockage des fichiers de sauegarde et cliquez sur OK. 7. Cliquez sur Suiant. 8. Dans la page Définition des options de sauegarde, cliquez sur Suiant. 9. Dans la page Sélection des options de performance pour la sauegarde, cliquez sur Suiant. 10. Sélectionnez Exécution sans sauegarde de l'historique des tâches. 11. Cliquez sur Suiant. 12. Vérifiez le récapitulatif et cliquez sur Terminer. Résultats La base de données est correctement sauegardée. Démarrez IBM HTTP Serer et WebSphere Application Serer. Pour sauegarder la base de données dans le cadre d'un processus de mise à nieau de sereurs, consultez les procédures de mise à nieau pour oir si ous deez arrêter les sereurs aant de poursuire. Restauration de la base de données dans DB2 Vous pouez restaurer la base de données dans DB2 afin de récupérer les données d'une sauegarde de base de données antérieure. Aant de commencer Assurez-ous qu'ibm HTTP Serer soit arrêté. Procédure 1. Démarrez le Centre de contrôle DB2. 2. Cliquez aec le bouton droit sur la base de données que ous oulez restaurer. 3. Sélectionnez l'option Restauration dans une base de données existante. 4. Cliquez sur Suiant. 5. Dans Images de sauegarde disponibles, sélectionnez la sauegarde que ous aez effectuée. 6. Cliquez sur la flèche ers la droite puis sur Suiant. Chapitre 2. Sauegarde et récupération d'ims Serer, des profils WebSphere Application Serer et de la base de données 51

66 7. Dans la page Définition de conteneurs de stockage non automatiques pour une restauration redirigée, cliquez sur Suiant. 8. Dans la page Définition des options de restauration, cliquez sur Suiant. 9. Dans Sélection des options de performance pour la restauration, cliquez sur Suiant. 10. Sélectionnez Exécution sans sauegarde de l'historique des tâches. 11. Cliquez sur Suiant. 12. Vérifiez le récapitulatif et cliquez sur Terminer. Le processus de restauration de la base de données commence. Résultats La base de données est restaurée et démarre correctement. Que faire ensuite Si ous exécutez cette tâche dans le cadre d'une procédure de reprise de sereur, ous pouez démarrer la base de données, IBM HTTP Serer et WebSphere Application Serer. Pour les déploiements réseau, eillez à démarrer les agents de noeud puis le cluster. 52 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

67 Chapitre 3. Configuration d'accessagent Une fois que ous aez installé AccessAgent, ous pouez configurer son interface utilisateur, ses fonctions et son accessibilité. Pour plus d'informations : «Configuration de l'interface utilisateur d'accessagent» «Configuration des fonctionnalités d'accessagent», à la page 58 «Configuration des fonctions d'accessibilité d'accessagent», à la page 64 Configuration de l'interface utilisateur d'accessagent Vous pouez configurer les différents paramètres de l'interface utilisateur d'esso GINA. Ces paramètres sont notamment l'interface et la bannière d'accessagent. Pour plus d'informations : «Lancement d'applications à partir d'esso GINA» «Changement de la bannière AccessAgent», à la page 56 «Changement de l'interface d'accessagent», à la page 57 «Désactiation du fournisseur de données d'identification ESSO ou ESSO GINA», à la page 57 Lancement d'applications à partir d'esso GINA Configurez ESSO GINA de façon à pouoir démarrer une application en cliquant sur un lien dans le panneau d'accessagent. Utilisez cette fonction pour ourir : AccessAssistant aec un naigateur Web pour la réinitialisation du mot de passe en libre-serice ; une application tiers pour l'enregistrement ou la réinitialisation du mot de passe en libre-serice ; une application destinée à un accès public sans aoir à se connecter à Windows. Pour actier cette fonction, procédez comme suit : 1. Connectez-ous à AccessAdmin. 2. Sous Modèles de règle machine, sélectionnez Noueau modèle > Règles d'accessagent > Règles ESSO GINA. 3. Complétez les zones suiantes : Option Actier le lancement de l'application depuis ESSO GINA Afficher un intitulé pour le lancement d'une application Spécifiez 1 (Oui). Définissez le texte à utiliser comme libellé du lien de lancement de l'application, qui sera affiché dans le panneau d'esso GINA. Par exemple, Réinitialisation des mots de passe en libre-serice. Copyright IBM Corp. 2002,

68 Option Ligne de commande pour le lancement d'une application Définissez la ligne de commande qui lance l'application. Par exemple, C:\Program Files\Internet Explorer\iexplore.exe. 4. Cliquez sur Ajouter. Remarque : Si l'application est lancée à partir d'un écran Verrouillé dans Microsoft Windows XP, le propriétaire du processus de l'application est l'utilisateur actuellement connecté au bureau. Si l'application est lancée à partir de l'écran d'accueil ou de l'écran Verrouillé dans Microsoft Windows 7 ou postérieur, le propriétaire du processus de l'application est également Système. Utilisez la ligne de commande suiante pour lancer AccessAssistant ou Web Workplace à partir de Microsoft Internet Explorer en mode kiosque : "C:\Program Files\Internet Explorer\iexplore.exe" -k IMS Serer>/aawwp/app/reset_password_front_page.jsp. Remarque : Pour utiliser la réinitialisation de mot de passe en libre-serice d'accessassistant ou de Web Workplace dans les conditions suiantes, ous deez installer Tioli Identity Manager Actie Directory Adapter : La synchronisation de mot de passe Actie Directory est actiée SSL n'est pas actié dans la configuration de connexion Enterprise Directory Toutefois, cette méthode de lancement des applications présente les risques de sécurité suiants : L'utilisateur peut accéder aux fichiers et les modifier. Par exemple, pour Microsoft Internet Explorer, l'utilisateur peut cliquer sur un graphique aec le bouton droit de la souris et sélectionner Enregistrer l'image sous. Une boîte de dialogue Explorateur de fichiers s'affiche. L'utilisateur peut utiliser des fonctions qui ne lui sont pas destinées. Par exemple, pour Microsoft Internet Explorer, l'utilisateur peut appuyer sur Ctrl+O pour ourir un fichier ou sur Ctrl+N pour ourir une nouelle fenêtre de naigateur. Pour résoudre les problèmes de sécurité, créez un compte Inité aec des droits restreints. L'application est démarrée dans le contexte du compte Inité. Utilisez la commande Windows runas pour démarrer l'application dans le contexte utilisateur. Cependant, ous deez utiliser un script pour simuler les frappes car runas exige que l'utilisateur entre un mot de passe. Par exemple, l'application peut être démarrée par un script VBScript. Considérons que le script VBScript est stocké sur l'ordinateur sous le nom C:\ launch_ie_as_guest.bs. Ce script définit également les restrictions de fonction Microsoft Internet Explorer appropriées pour le compte Inité. La règle machine pid_engina_app_launch_cmd est ensuite définie sur cscript C:\launch_ie_as_guest.bs. 54 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

69 Conseil : Voir IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles pour plus de détails. Reportez-ous au script launch_ie_as_guest.bs suiant. On Error Resume Next username = "Guest" userdomain = "EXAMPLE" userpasswd = "password" apprunascmd = "C:\Program Files\Internet Explorer\iexplore.exe -k IMS Serer>/aawwp/app/reset_password_front_page.jsp" appcmd = """C:\Program Files\Internet Explorer\iexplore.exe"" -k IMS Serer>/aawwp/app/reset_password_front_page.jsp" Set WshShell = CreateObject("WScript.Shell") Set WshNetwork = WScript.CreateObject("WScript.Network") curruser = WshNetwork.UserName If curruser = "SYSTEM" Then Launched from EnGINA welcome screen as System context Optional: Set Internet Explorer restrictions for System user regkey = "HKEY_USERS\S \SOFTWARE\Policies\Microsoft\Internet Explorer \Restrictions\" WshShell.RegWrite regkey & "NoBrowserClose", 0, "REG_DWORD" Allow user to close browser WshShell.RegWrite regkey & "NoBrowserContextMenu", 1, "REG_DWORD" Disable right-click menu WshShell.RegWrite regkey & "NoFileOpen", 1, "REG_DWORD" Disable Ctrl-O to open file WshShell.RegWrite regkey & "NoOpenInNewWnd", 1, "REG_DWORD" Disable Ctrl-N to open new browser Launch application in System context as there is no user desktop result = WshShell.Run(appCmd, 1, False) Else Launched from EnGINA lock screen as user context Launch application using runas Set WshEn = WshShell.Enironment("Process") runaspath = WshEn("SystemRoot")&"\System32\runas.exe" result = WshShell.Run("runas /user:" & userdomain & "\" & username &""& Chr(34) & apprunascmd & Chr(34), 2, False) WScript.Sleep 30 Wait for cmd window to show up WshShell.AppActiate(runasPath) Chapitre 3. Configuration d'accessagent 55

70 WshShell.SendKeys userpasswd & bcrlf Optional: Set Internet Explorer restrictions WScript.Sleep 1000 Wait until user context loaded Set wmiserice = GetObject("winmgmts:{impersonationLeel=Impersonate}") Set wmiuseraccount = wmiserice.get("win32_useraccount.name= "& username &", Domain= " & userdomain & " ") usersid = wmiuseraccount.sid regkey = "HKEY_USERS\" & usersid & "\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions\" WshShell.RegWrite regkey & "NoBrowserClose", 0, "REG_DWORD" Allow user to close browser WshShell.RegWrite regkey & "NoBrowserContextMenu", 1, "REG_DWORD" Disable right-click menu WshShell.RegWrite regkey & "NoFileOpen", 1, "REG_DWORD" Disable Ctrl-O to open file WshShell.RegWrite regkey & "NoOpenInNewWnd", 1, "REG_DWORD" Disable Ctrl-N to open new browser End If Changement de la bannière AccessAgent Vous pouez personnaliser la bannière qui s'affiche dans l'interface utilisateur d'accessagent. La bannière d'accessagent apparaît sur l'écran d'accueil ISAM ESSO dans les fenêtres de connexion, de errouillage et de déerrouillage. Aant de commencer Vérifiez que la résolution d'écran est de 96 ppp ou de 120 ppp aant de changer la bannière d'accessagent. Procédure 1. Préparez un fichier bitmap à utiliser comme bannière d'accessagent. Pour les résolutions d'écran de 96 DPI, le bitmap doit aoir une taille de 432 x 64 pixels. Pour les résolutions d'écran de 120 DPI, le bitmap doit aoir une taille de 576 x 80 pixels. 2. Nommez le fichier logon_banner.bmp. 3. Placez-le dans le dossier Config du programme d'installation. Par exemple : 32 bits 64 bits aa \{ d-08d5-474e-92a3-09cd7b63db34}\config aa _x64\{e72c bb-4ee eeb39a84}\config Remarque : Si AccessAgent est déjà installé, placez le fichier dans le dossier d'installation d'accessagent. Par exemple : C:\Program Files\IBM\ISAM ESSO\AA. 56 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

71 Changement de l'interface d'accessagent Vous pouez personnaliser l'apparence de l'interface d'accessagent en changeant les modèles de couleurs, les tailles de police et le schéma de contraste éleé. Pourquoi et quand exécuter cette tâche La personnalisation de l'interface d'accessagent est prise en charge aec tous les systèmes d'exploitation supportés. La présente procédure s'applique à Windows XP. Procédure 1. Cliquez aec le bouton droit de la souris sur le bureau et sélectionnez Propriétés. 2. Sélectionnez l'onglet Apparence. 3. Sélectionnez les paramètres oulus sous Fenêtres et boutons, Modèle de couleurs et Taille de police. 4. Cliquez sur OK. Résultats L'interface d'accessagent respecte les noueaux paramètres. Désactiation du fournisseur de données d'identification ESSO ou ESSO GINA Vous pouez déployer AccessAgent sans ESSO GINA pour Windows XP ou ESSO Credential Proider pour Windows 7 et 8. Procédure 1. Accédez au dossier Config du module d'installation d'accessagent. Par exemple : 32 bits aa \{ d-08d5-474e-92a3-09cd7b63db34}\config 64 bits aa _x64\{e72c bb-4ee eeb39a84}\config 2. Ourez le fichier SetupHlp.ini. 3. Définissez les aleurs des paramètres ci-après sur 0. EncentuateCredentialProiderEnabled EnginaEnabled 4. Définissez la aleur de EncentuateNetworkProiderEnabled. Définissez la aleur sur 1 pour connecter automatiquement l'utilisateur à AccessAgent aec les données d'identification Windows. Ce scénario n'est applicable que si la synchronisation aec les mots de passe Actie Directory est actiée. Définissez la aleur sur 0 si ous ne souhaitez pas connecter automatiquement l'utilisateur à AccessAgent. 5. Fermez et sauegardez le fichier. 6. Installez AccessAgent. Chapitre 3. Configuration d'accessagent 57

72 Configuration des fonctionnalités d'accessagent Vous pouez configurer les différentes fonctionnalités d'accessagent. Elles comprennent le signalement des éénements, l'actiation des raccourcis claier et le support des langues bidirectionnelles. Pour plus d'informations : «Changement de la prise en charge de Ctrl+Alt+Suppr dans Windows 7 et 8» «Support du Verrouillage d'écran transparent sous Windows 7 et 8» «Actiation et personnalisation du errouillage d'écran transparent dans Windows 7 et 8», à la page 60 «Actiation de la connexion unique pour les applications Jaa», à la page 60 «Actiation de l'aide dans les boîtes de dialogue lancées dans le contexte des profils d'accès», à la page 61 «Configuration de la génération de rapports d'éénement dans le journal des éénements Windows», à la page 62 «Configuration de la boîte de message modale du système», à la page 62 «Actiation du raccourci-claier d'urgence pour les bureaux priés (sous Windows XP uniquement)», à la page 63 «Désactiation de l'accès en écriture au registre Windows», à la page 63 Changement de la prise en charge de Ctrl+Alt+Suppr dans Windows 7 et 8 Dans Windows 7 et 8, Ouerture de session interactie : ne pas demander la combinaison de touches Ctrl+Alt+Suppr est toujours actié par défaut lors de l'exécution du programme d'installation d'accessagent. Vous pouez configurer AccessAgent pour désactier le paramètre système. Procédure 1. Sur otre bureau Windows, cliquez sur Démarrer > Exécuter. 2. Dans la zone Ourir, entrez regedit. 3. Cliquez sur OK. 4. Sélectionnez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies\System. 5. Cliquez aec le bouton droit de la souris et sélectionnez DisableCAD. 6. Remplacez la aleur par 0. Support du Verrouillage d'écran transparent sous Windows 7 et 8 Aec la fonction Verrouillage d'écran transparent de Windows 7 et 8, ous pouez sureiller les applications en fonctionnement sur le bureau partagé même lorsque le bureau est errouillé. Vous pouez utiliser le Verrouillage d'écran transparent dans un bureau partagé sur un ordinateur 32 bits ou 64 bits. Vous pouez sureiller les applications en fonctionnement sur tous les moniteurs connectés. Vous pouez oir les applications sur otre bureau mais ous ne pouez interagir aec aucune d'elles. 58 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

73 Remarque : Sous Windows 8 64 bits, certaines applications, comme Microsoft Internet Explorer ou le Gestionnaire de tâches, ne sont pas mises à jour lorsque le bureau est errouillé. Vous pouez actier cette fonction dans AccessAdmin. Lorsqu'elle est actiée et que l'ordinateur est errouillé, ous aez l'interface utilisateur suiante au lieu de l'écran de errouillage Windows standard : Votre bureau Windows. Une zone de notification IBM Security Access Manager for Enterprise Single Sign-On qui indique l'utilisateur connecté et comment déerrouiller l'ordinateur. Vous pouez déerrouiller otre ordinateur de plusieurs manières : Par un raccourci-claier IBM Security Access Manager for Enterprise Single Sign-On. Par exemple : CTRL+ALT+E. Ce raccourci-claier est configurable. Par le raccourci-claier standard du Verrouillage d'écran transparent : CTRL+ECHAP. Vous pouez actier ou désactier ce raccourci-claier mais il n'est pas configurable. En présentant otre carte RFID. Remarque : Pour pouoir déerrouiller otre ordinateur par carte RFID seulement, ous deez actier pid_rfid_only_unlock_enabled. Des utilisateurs peuent présenter leur carte RFID et fournir leur mot de passe pour déerrouiller le Verrouillage d'écran transparent. Différences du errouillage d'écran entre Windows XP et Windows 7 et 8 La fonction Verrouillage d'écran transparent est implémentée différemment dans Windows XP et dans Windows 7 et 8. Tableau 1. Différence d'implémentation entre Windows XP et Windows 7 Dans Windows XP Dans Windows 7 et 8 Les règles suiantes sont ignorées lorsque le Verrouillage d'écran transparent est actié : pid_unlock_option pid_script_unlock_type pid_script_unlock_code Pour plus d'informations sur les règles de errouillage et de déerrouillage, oir IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles. Le message du Verrouillage d'écran transparent (pid_lock_transparent_text) peut contenir jusqu'à 40 caractères. Les règles suiantes sont supportées : pid_script_unlock_type pid_script_unlock_code Les règles suiantes sont supportées mais aec des limitations : pid_unlock_option pid_rfid_tap_different_action Pour plus d'informations sur les limitations des règles dans Windows 7, oir IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles. Le message du Verrouillage d'écran transparent n'est pas limité à 40 caractères mais cette limite est conseillée. Chapitre 3. Configuration d'accessagent 59

74 Actiation et personnalisation du errouillage d'écran transparent dans Windows 7 et 8 Pour utiliser le Verrouillage d'écran transparent, actiez-le dans AccessAdmin. Vous pouez également personnaliser le raccourci-claier et le message associé à cette fonction. Aant de commencer Actiez le thème Windows Aero sur otre ordinateur (32 ou 64 bits). Installez.NET Framework 3.5 s'il n'est pas déjà présent. Procédure 1. Connectez-ous à AccessAdmin. 2. Sélectionnez otre modèle de règle machine. 3. Sélectionnez Règles AccessAgent > Règles de errouillage/déerrouillage. 4. Réglez Option de errouillage d'écran sur Verrouillage d'écran transparent. 5. Cliquez sur Mettre à jour. 6. Facultatif : Personnalisez les paramètres de raccourci-claier dans AccessAdmin. a. Accédez à Système > Règles système > Règles d'accessagent > Règles de raccourci-claier. b. Personnalisez les paramètres suiants : Nom d'affichage Message de errouillage transparent de l'écran Actier le raccourci-claier pour le errouillage transparent de l'écran? Actier le raccourci-claier ISAM ESSO Séquence de touches ISAM ESSO ID règles pid_lock_transparent_text pid_lock_transparent_hot_key_enabled pid_enc_hot_key_enabled pid_enc_hot_key_sequence Remarque : La combinaison est limitée pour la Séquence de touches. Pour plus d'informations sur les règles de raccourci-claier, oir IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles. c. Cliquez sur Mettre à jour. Actiation de la connexion unique pour les applications Jaa La connexion unique est prise en charge pour les applications Jaa 32 bits et pour les applets Jaa aec les ersions de Jaa Virtual Machine 1.1 à 1.6 mise à jour 12. Pourquoi et quand exécuter cette tâche Si ous configurez la connexion unique après l'installation d'accessagent, effectuez les étapes ci-après sur chaque machine irtuelle Jaa exécutant des applications et des applets Jaa. Pour JVM 1.2 ou ersion ultérieure, sélectionnez JVMInstallationDirectories dans le programme d'installation. Obtenez VBScript à partir de C:\Program Files\IBM\ISAM ESSO\ECSS\JaaSupport\JVMSupport.bs. Procédure 1. Sur otre bureau Windows, cliquez sur Démarrer > Exécuter. 2. Dans la zone Ourir, entrez cmd. 60 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

75 3. Cliquez sur OK. L'inite de commande s'affiche. 4. Exécutez JVMSupport.bs. Dans un enironnement 32 bits, utilisez C:\Windows\system32\cmd.exe. Dans un enironnement 64 bits, utilisez C:\Windows\SYSWOW64\cmd.exe. 5. Entrez JVMSupport [/dall {par défaut}] [/uall] [/d chemin] [/dold chemin] [/dnew chemin] [/u chemin] [/uold chemin] [/unew chemin] [/?] Option /dall /uall Déployer le support JVM pour toutes les machines irtuelles Jaa détectées dans le registre Windows. Supprimer le support JVM pour toutes les machines irtuelles Jaa détectées dans le registre Windows. /d [chemin] Déployer le support JVM ers la machine irtuelle Jaa installée à l'emplacement spécifié. /dnew [chemin] /dold [chemin] Déployer le support JVM ers la machine irtuelle Jaa installée à l'emplacement spécifié (pour Jaa 1.2 ou ersion ultérieure). Déployer le support JVM ers la machine irtuelle Jaa installée à l'emplacement spécifié (pour Jaa 1.1). /u [chemin] Supprimer le support JVM pour la machine irtuelle Jaa installée à l'emplacement spécifié. /unew [chemin] /uold [chemin] Supprimer le support JVM pour la machine irtuelle Jaa installée à l'emplacement spécifié (pour Jaa 1.2 ou ersion ultérieure). Supprimer le support JVM pour la machine irtuelle Jaa installée à l'emplacement spécifié (pour Jaa 1.1). /? Afficher ce message d'aide. Remarque : Les options /u et /d tentent de détecter automatiquement la ersion de Jaa à l'emplacement indiqué. Actiation de l'aide dans les boîtes de dialogue lancées dans le contexte des profils d'accès Utilisez la fonction Aide dans les boîtes de dialogue lancées dans le contexte des profils d'accès pour accéder aux publications en ligne d'ibm Security Access Manager for Enterprise Single Sign-On. Procédure 1. Sur otre bureau Windows, cliquez sur Démarrer > Exécuter. 2. Dans la zone Ourir, entrez regedit et cliquez sur OK. 3. Sélectionnez HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM ESSO\ECSS\ DeploymentOptions. 4. Cliquez aec le bouton droit de la souris et sélectionnez Noueau > Valeur DWORD. 5. Entrez ObsOnlineHelpEnabled. Chapitre 3. Configuration d'accessagent 61

76 6. Cliquez aec le bouton droit de la souris sur ObsOnlineHelpEnabled et sélectionnez Modifier. 7. Dans la zone Données de la aleur, indiquez l'une des aleurs suiantes : 0 - (par défaut) N'actie pas l'aide. 1 - Actie l'aide. 8. Cliquez sur OK. Remarque : Pour ne pas actier l'aide dans ESSO GINA, définissez AAOnlineHelpLink à EMPTY STRING sous HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ ISAM ESSO\DeploymentOptions. Restriction : Lorsque ous cliquez sur Aide, le naigateur dans la session Citrix cesse de répondre Configuration de la génération de rapports d'éénement dans le journal des éénements Windows Les erreurs AccessAgent critiques ou de nieau 1 sont enregistrées dans le journal des éénements d'application Windows. Vous pouez actier ou désactier cette fonction par la configuration d'une entrée de registre. Procédure 1. Sur otre bureau Windows, cliquez sur Démarrer > Exécuter. 2. Dans la zone Ourir, entrez regedit et cliquez sur OK. 3. Sélectionnez HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM ESSO\DeploymentOptions. 4. Cliquez aec le bouton droit de la souris et sélectionnez Noueau > Valeur DWORD. 5. Entrez WindowsEentLogEnabled. 6. Cliquez aec le bouton droit de la souris sur WindowsEentLogEnabled et sélectionnez Modifier. 7. Indiquez l'une des aleurs suiantes : 0 - (par défaut) Désactie la génération de rapports d'éénement dans le journal des éénements Windows. 1 - Actie le signalement des éénements dans le journal des éénements Windows. 8. Cliquez sur OK. Configuration de la boîte de message modale du système Lorsqu'un message d'erreur AccessAgent requiert otre attention, ous ne pouez pas ourir ou utiliser d'autres applications sur le bureau tant que ous n'y aez pas répondu. Vous pouez actier ou désactier cette fonction par la configuration d'une entrée de registre. Cette fonction n'est pas actiée par défaut. Procédure 1. Sur otre bureau Windows, cliquez sur Démarrer > Exécuter. 2. Dans la zone Ourir, entrez regedit et cliquez sur OK. 3. Sélectionnez HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM ESSO\DeploymentOptions. 4. Cliquez aec le bouton droit de la souris et sélectionnez Noueau > Valeur DWORD. 5. Entrez SystemModalMessageEnabled. 62 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

77 6. Cliquez aec le bouton droit de la souris sur SystemModalMessageEnabled et sélectionnez Modifier. 7. Indiquez l'une des aleurs suiantes : 0 - (par défaut) Désactie la boîte de message modale du système pour ous permettre de continuer à traailler lorsqu'un message AccessAgent s'affiche. 1 - Actie la boîte de message modale du système pour interdire toute action tant que ous n'aez pas répondu au message AccessAgent. 8. Cliquez sur OK. Actiation du raccourci-claier d'urgence pour les bureaux priés (sous Windows XP uniquement) Vous pouez passer au bureau Windows par défaut à l'aide d'un raccourci-claier prédéfini. Ajoutez une règle de registre pour actier cette fonction. Pour plus d'informations sur les règles de raccourci-claier, oir IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles. Procédure 1. Sur otre bureau Windows, cliquez sur Démarrer > Exécuter. 2. Dans la zone Ourir, entrez regedit et cliquez sur OK. 3. Sélectionnez HKEY_LOCAL_MACHINE > SOFTWARE > IBM > ISAM ESSO > DeploymentOptions. 4. Cliquez aec le bouton droit de la souris et sélectionnez Noueau > Valeur DWORD. 5. Entrez LUSMEmergencyBypassHotKeyEnabled. 6. Cliquez aec le bouton droit de la souris sur LUSMEmergencyBypassHotKeyEnabled et sélectionnez Modifier. 7. Dans la zone Données de la aleur, indiquez Cliquez sur OK. Désactiation de l'accès en écriture au registre Windows Par défaut, AccessAgent stocke dans le registre Windows certaines règles qui nécessitent un redémarrage de l'ordinateur pour prendre effet. Il y stocke également certaines données comme le dernier nom d'utilisateur connecté. Si otre organisation n'autorise pas l'accès au registre en écriture, utilisez le stockage des règles en fichier. Pourquoi et quand exécuter cette tâche Aec le stockage des règles en fichier, celles-ci sont stockées dans C:\Program Files\IBM\ISAM ESSO\AA\Data\ConfigData.ini. Procédure 1. Sur otre bureau Windows, cliquez sur Démarrer > Exécuter. 2. Dans la zone Ourir, entrez regedit. 3. Cliquez sur OK. 4. Sélectionnez HKEY_LOCAL_MACHINE\Software\IBM\ISAM ESSO\Temp. 5. Créez la clé de registre FullRegistryEnabled si elle n'existe pas. a. Cliquez aec le bouton droit de la souris et sélectionnez Noueau > Valeur DWORD. b. Entrez FullRegistryEnabled. Chapitre 3. Configuration d'accessagent 63

78 6. Cliquez aec le bouton droit de la souris sur FullRegistryEnabled et spécifiez la aleur Cliquez sur OK. 8. Redémarrez l'ordinateur. Configuration des fonctions d'accessibilité d'accessagent Vous pouez configurer les fonctions d'accessibilité d'accessagent. Ces fonctions d'accessibilité incluent l'animation et les raccourcis claier. Pour plus d'informations : «Actiation d'un effet d'animation pour AccessAgent» «Raccourcis claier d'accessagent» Actiation d'un effet d'animation pour AccessAgent AccessAgent fournit des animations pour une meilleure accessibilité isuelle. Procédure 1. Connectez-ous à AccessAdmin. 2. Accédez à Règles machine > Règles d'accessagent > Règles d'accessibilité. 3. A l'inite Actier l'animation?, sélectionnez Oui. Raccourcis claier d'accessagent Chaque action d'accessagent est accessible à l'aide d'un raccourci claier. Lorsque ous appuyez sur la touche Alt, l'interface utilisateur d'accessagent affiche les équialents claier en soulignant la lettre de raccourci. Tous les raccourcis claier doient être actiés en appuyant sur la touche Alt et la lettre de raccourci correspondante. Exemple : raccourci pour déerrouiller otre écran 1. IBM Security Access Manager for Enterprise Single Sign-On EnGINA étant affiché à l'écran, appuyez sur la touche Alt de otre claier. 2. Examinez la lettre soulignée de l'interface utilisateur. La lettre soulignée dans Déerrouiller cet ordinateur est K. 3. Appuyez sur les touches Alt+K de otre claier. Vous êtes inité à entrer le mot de passe de déerrouillage de l'écran. 64 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

79 Chapitre 4. Configuration d'une authentification forte Les facteurs d'authentification ont différentes formes et fonctionnalités, tels que les mots de passe et les périphériques qui fonctionnent comme une clé. La configuration d'une authentification forte est nécessaire pour réduire les risques d'atteinte à la sécurité. Vous pouez implémenter un second facteur d'authentification ou un facteur d'authentification de remplacement pour sécuriser les sessions utilisateur. Vous pouez utiliser les périphériques ou les codes comme seconds facteurs d'authentification. Vous pouez également utiliser l'empreinte digitale comme facteur d'authentification en remplacement du mot de passe. Pour plus d'informations : «Configuration de l'authentification RFID» «Configuration de l'authentification par empreinte digitale», à la page 66 «Configuration de l'authentification par carte à puce», à la page 69 «Configuration de l'authentification par mot de passe à usage unique et Mobile ActieCode», à la page 75 Conseil : Voir IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement pour obtenir la liste des unités d'authentification et des logiciels intermédiaires (middleware) pris en charge. Configuration de l'authentification RFID Vérifiez que ous disposez du logiciel et du matériel nécessaires du lecteur que ous allez utiliser. Installez les pilotes des lecteurs et érifiez que le matériel et le logiciel sont correctement configurés. Aant de commencer Important : Voir la section "Conditions requises pour les unités d'authentification" dans le manuel IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement pour connaître le logiciel et la ersion supportés. Si ous souhaitez utiliser d'autres lecteurs RFID pris en charge, configurez directement la règle machine. Voir la procédure de définition de la règle machine. Assurez-ous de disposer des droits d'écriture dans le registre Windows. Procédure 1. Si ous souhaitez utiliser les lecteurs de proximité GIGA-TMS PCR300MU et MFR 135 ou le lecteur RFID Altrus, ourez le dossier du programme d'installation AccessAgent. Recherchez le dossier Reg. 2. Ourez DeploymentOptions.reg. Recherchez le lecteur correspondant. Par exemple, si ous souhaitez utiliser le lecteur RFID Altrus, ous trouerez les informations suiantes dans DeploymentOptions.reg : ;====== Mifare for Altrus ;[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM ESSO\SOCIAccess\DSPList\Mifare\Deices\ALTRUS] ;"DeiceTypeId"="Prolific ALTRUS" Copyright IBM Corp. 2002,

80 ;[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM ESSO\SOCIAccess\DSPList\Mifare\Deices\ALTRUS\Interfaces] ;[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM ESSO\SOCIAccess\DSPList\Mifare\Deices\ALTRUS\Interfaces\ {216DE8B9-FD09-44f3-A39D-B8A6F7A078D8}] ;[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM ESSO\SOCIAccess\DSPList\Mifare\Deices\ALTRUS\Parameters] ;"CardType"="R_ALTRUS_32" ;[HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM ESSO\SOCIAccess\DSPList\Mifare\Deices\ALTRUS\Trigger] ;"WinInterfaceClass"="{4D36E978-E325-11CE-BFC BE10318}" 3. Supprimez toutes les instances de ";" au début de chaque ligne, sauf la première ligne. 4. Sauegardez le fichier DeploymentOptions.reg. Remarque : Vous pouez également exécuter cette étape après aoir installé AccessAgent. Dans ce scénario, cliquez deux fois sur le fichier DeploymentOptions.reg pour l'appliquer. Assurez-ous de disposer des droits d'écriture dans le registre Windows. 5. Dans AccessAdmin, définissez la règle machine Prise en charge de l'authentification à 2 facteurs (pid_second_factors_supported_list) à RFID. Voir IBM Security Access Manager for Enterprise Single Sign-On - Guide d'administration pour plus de détails. Configuration de l'authentification par empreinte digitale Vous pouez utiliser l'empreinte digitale comme facteur d'authentification en remplacement du mot de passe. Pour configurer l'authentification par empreinte digitale, installez l'adaptateur de ressources Natie Library Inoker et les lecteurs d'empreinte digitale. Voir la section "Conditions requises pour les unités d'authentification" dans le manuel IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement pour connaître le logiciel et la ersion supportés. Pour plus d'informations : «Installation de l'adaptateur de ressources NLI» «Intégration d'un lecteur d'empreintes digitales BIO-key», à la page 67 Installation de l'adaptateur de ressources NLI Si ous aez besoin de la prise en charge de l'authentification par empreinte digitale, ous deez installer manuellement cet adaptateur de ressources sur chaque portée dans le cluster WebSphere. Pourquoi et quand exécuter cette tâche Le programme d'installation IMS Serer ne déploie pas automatiquement l'adaptateur de ressources NLI (Natie Library Inoker) sur WebSphere Application Serer. Vous deez installer l'adaptateur de ressources NLI sur chaque portée du cluster WebSphere Application Serer. Après aoir installé l'adaptateur, spécifiez la clé JNDI (Jaa Naming and Directory Interface) de l'adaptateur de ressources afin que ce dernier soit accessible. Répétez ces étapes pour chaque portée. 66 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

81 Procédure 1. Sélectionnez Démarrer > Tous les programmes > IBM WebSphere > Application Serer <ersion> > Profils > <nom du profil> > Console d'administration. 2. Connectez-ous à la console IBM Integrated Solutions Console. 3. Dans le olet de naigation de gauche de la console Integrated Solutions Console, sélectionnez Ressources > Adaptateurs de ressources > Adaptateurs de ressources. 4. Cliquez sur Installer un fichier RAR. La page Installer un fichier RAR s'affiche. 5. Sous Portée, sélectionnez le noeud sur lequel le fichier RAR NLI doit être installé. 6. Sous Chemin d'accès, sélectionnez Système de fichiers local puis indiquez le chemin d'accès complet du fichier com.ibm.tamesso.imsdelhi.j2c.adapters.win32.rar dans <base_ims>. 7. Cliquez sur Suiant. Les Propriétés générales du nouel adaptateur de ressources sont affichées. 8. Conserez les aleurs par défaut et cliquez sur OK. 9. Dans la zone Messages, en haut de la page, cliquez sur Sauegarder. 10. Ajoutez la clé JNDI de l'adaptateur de ressources NLI à la fabrique de connexions : a. Cliquez sur ISAM E-SSO IMS Serer Natie Library Inoker J2C Resource. Les propriétés générales du nouel adaptateur de ressources sont affichées. b. Sous Propriétés supplémentaires, cliquez sur Fabriques de connexions J2C. c. Cliquez sur Noueau. Les propriétés générales de la fabrique de connexions sont affichées. d. Entrez TAMESSO_NLI_J2C_ConnFactory dans la zone Nom. e. Entrez tamesso/nli/j2c/shared dans la zone Nom JNDI. f. Conserez les aleurs par défaut des zones restantes. g. Cliquez sur OK. h. Cliquez sur Sauegarder dans la zone Messages, en haut de la page. Intégration d'un lecteur d'empreintes digitales BIO-key L'intégration de BIO-key Biometric Serice Proider (BSP) à IBM Security Access Manager for Enterprise Single Sign-On permet d'utiliser tout lecteur biométrique pris en charge par BIO-key. Aant de commencer Voir la section "Conditions requises pour les unités d'authentification" dans le manuel IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement pour connaître le logiciel et la ersion supportés. Pourquoi et quand exécuter cette tâche Seuls les administrateurs peuent intégrer et déployer BIO-key Biometric Serice Proider (BSP) à IBM Security Access Manager for Enterprise Single Sign-On. Chapitre 4. Configuration d'une authentification forte 67

82 Les processus de déploiement de BIO-key Biometric Serice Proider pour IMS Serer et AccessAgent sont différents. Déploiement de BIO-key Biometric Serice Proider (BSP) dans IMS Serer Configurez d'abord BIO-key Biometric Serice Proider dans IMS Serer. Pourquoi et quand exécuter cette tâche Répétez ces étapes pour chaque sereur d'applications. Procédure 1. Installez l'adaptateur de ressources Natie Library Inoker. 2. Installez les pilotes de BIO-key Biometric Serice Proider dans IMS Serer. a. Démarrez le programme d'installation de BIO-key. b. Dans la boîte de dialogue d'installation des lecteurs BIO-key, sélectionnez l'option d'installation manuelle des fichiers des lecteurs biométriques. c. Sélectionnez les fichiers des lecteurs biométriques à utiliser. Attendez la fin de l'installation. Remarque : La sélection de tous les fichiers de lecteur biométrique peut affecter les performances. d. Sélectionnez l'option de sélection manuelle des lecteurs biométriques. e. Sélectionnez le lecteur biométrique oulu dans la liste des lecteurs installés. f. Effectuez les étapes d'installation. 3. Accédez au module d'installation d'ibm Security Access Manager for Enterprise Single Sign-On. 4. Ourez le dossier deploymentpack.biometrics_<ersion d'ims Serer>\bio-key. 5. Suiez la procédure indiquée dans le fichier README.txt pour appliquer le module de déploiement de BIO-key. Remarque : Dans Windows Serer 2008 ou postérieur, utilisez l'option "Exécuter en tant qu'administrateur". 6. Redémarrez WebSphere Application Serer. 7. Dans AccessAdmin, définissez la règle machine Prise en charge de l'authentification à 2 facteurs (pid_second_factors_supported_list) à Empreinte digitale. Voir IBM Security Access Manager for Enterprise Single Sign-On - Guide d'administration pour plus de détails. Déploiement de BIO-key Biometric Serice Proider dans AccessAgent Vous aez déployé BIO-key Biometric Serice Proider dans IMS Serer. Vous pouez à présent le déployer dans AccessAgent. Aant de commencer Vous deez installer BIO-key Biometric Serice Proider aant de déployer Bio-key dans AccessAgent. Pour plus d'informations sur le déploiement de BIO-key Biometric Serice Proider, oir «Déploiement de BIO-key Biometric Serice Proider (BSP) dans IMS Serer». 68 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

83 Procédure 1. Installez BIO-key Biometric Serice Proider. 2. Ourez le dossier du programme d'installation AccessAgent. 3. Accédez au dossier Customization. Par exemple : 32 bits <module d'installation d'accessagent>\{ d-08d5-474e-92a3-09cd7b63db34}\customization 64 bits <module d'installation d'accessagent>\{e72c bb-4ee EEB39A84}\Customization 4. Copiez FP3-BioKey.reg ers le dossier Reg du dossier d'installation. 5. Installez AccessAgent. Remarque : Le programme d'installation Bio-Key BSP crée les paramètres de registre dans les nieaux Local Machine (HKLM) et Current User (HKCU). AccessAgent utilise uniquement les paramètres HKLM. Les paramètres HKCU sont ignorés, même si l'utilisateur les définit ensuite. 6. Ourez le répertoire d'installation d'accessagent. Par exemple, C:\Program Files\IBM\ISAM ESSO. 7. Définissez ResetBioAPIPermissions dans SetupHlp.ini à Sur otre bureau Windows, cliquez sur Démarrer > Exécuter. 9. Dans la zone Ourir, entrez regedit puis cliquez sur OK. 10. Dans l'editeur du registre, sélectionnez HKLM\Software\IBM\ISAM ESSO\SOCIAccess\DSPList\{6EA4B6D4-8CDF-4C4E-8B40-CA6A20D0CD6B}\Deices\ {5994DB8B-A2C3-4e0a-BC79-F274AE5ECC11}\UISPList\{68F86CB2-630B-4F15-9E2B-5A77B294E9E2}. 11. Définissez la aleur de registre Actié sur Redémarrez l'ordinateur. 13. Facultatif : Si ous aez installé AccessAgent aant BIO-key, suiez ces étapes : a. Exécutez FP3-BioKey.reg. Ce fichier se troue dans le dossier Customization du dossier d'installation d'accessagent. Par exemple : 32 bits aa \{ d-08d5-474e-92a3-09cd7b63db34}\ Customization 64 bits aa _x64\{e72c bb-4ee eeb39a84}\ Customization b. Répétez les étapes 8à12. Configuration de l'authentification par carte à puce La configuration de l'authentification par carte à puce implique l'actiation du protocole SSL bidirectionnel, l'importation de certificats de l'autorité de certification des cartes à puce et la définition de règles. Voir la section "Conditions requises pour les unités d'authentification" dans le manuel IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement pour connaître le logiciel et la ersion supportés. Chapitre 4. Configuration d'une authentification forte 69

84 Pour plus d'informations : «Actiation du protocole SSL bidirectionnel» «Importation des certificats de l'autorité de certification des cartes à puce» «Actiation de l'authentification par carte à puce», à la page 71 «Configuration de cartes à puce hybrides», à la page 75 «Importation des certificats de l'autorité de certification des cartes à puce» Actiation du protocole SSL bidirectionnel Vous deez actier le protocole SSL bidirectionnel sur IBM HTTP Serer. IMS Serer repose sur la configuration du certificat SSL sur IBM HTTP Serer pour l'authentification SSL mutuelle aec ses clients. Cette procédure est obligatoire pour l'authentification par carte à puce. Procédure 1. Sélectionnez Démarrer > Tous les programmes > IBM WebSphere > Application Serer <ersion> > Profils > <nom du profil> > Console d'administration. 2. Connectez-ous à la console IBM Integrated Solutions Console. 3. Dans le olet de naigation de gauche de la console Integrated Solutions Console, sélectionnez Sereurs > Types de sereur > Sereurs Web > nom du sereur Web. 4. Cliquez sur Fichier de configuration. 5. Ajoutez les lignes marquées en gras : <VirtualHost *:443> SSLEnable SSLProtocolDisable SSL2 SSLClientAuth optional SSLSererCert <alias du certificat IHS> </VirtualHost> 6. Cliquez sur OK. Importation des certificats de l'autorité de certification des cartes à puce Vous deez importer la chaîne de certificats de l'autorité de certification qui génère les certificats des cartes à puce dans le fichier de clés certifiées d'ibm HTTP Serer pour actier l'authentification par carte à puce. Procédure 1. Sélectionnez Démarrer > Tous les programmes > IBM WebSphere > Application Serer <ersion> > Profils > <nom du profil> > Console d'administration. 2. Connectez-ous à la console IBM Integrated Solutions Console. 3. Dans le olet de naigation de gauche de la console Integrated Solutions Console, sélectionnez Sereurs > Types de sereur > Sereurs Web > <nom du sereur Web>. 4. Cliquez sur Propriétés du plug-in. 5. Cliquez sur Gérer des clés et des certificats. 6. Cliquez sur Certificats de signataires. 7. Cliquez sur Ajouter. 8. Renseignez les zones appropriées. 70 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

85 9. Cliquez sur OK. 10. Sauegardez les modifications. 11. Retournez à la page Propriétés du plug-in. 12. Cliquez sur Copier ers le répertoire du magasin de clés du sereur Web. 13. Si le fichier de configuration httpd.conf ne contient pas le paramètre SSLSererCert alias de certificat IHS, définissez le certificat par défaut. a. Ourez l'utilitaire de gestion de clés d'ibm HTTP Serer. b. Accédez à Fichier de base de données de clés > Ourir > Parcourir > Plug-ins > Config > <nom du sereur Web> > plugin-key.kdb. c. Cliquez sur OK. d. Entrez le mot de passe du fichier de clés. Le mot de passe par défaut est WebAS. e. Cliquez deux fois sur le certificat personnel dont l'alias est default. f. Sélectionnez Définir le certificat en tant que certificat par défaut. g. Cliquez sur OK. 14. Redémarrez IBM HTTP Serer. Actiation de l'authentification par carte à puce Exécutez la procédure ci-après pour utiliser l'authentification par carte à puce. Aant de commencer Vérifiez qu'ims Serer et AccessAgent sont installés. Procédure 1. Exécutez le programme d'installation de carte à puce. Aant la fin de la procédure d'installation, le programme d'installation fusionne les entrées du fichier de registre aec le registre Windows. 2. Créez et appliquez les règles à utiliser pour l'authentification par carte à puce. a. Connectez-ous à AccessAdmin. b. Accédez à Modèles de règle machine > Noueau modèle > Créer un noueau modèle de règle machine > Règles d'authentification. c. Entrez carte à puce. d. Cliquez sur Ajouter. e. Faites défiler la page ers le bas et cliquez de noueau sur Ajouter. 3. Facultatif : Editez la ruche de registre. a. Ajoutez le nom de chaque carte à puce prise en charge à la aleur multi-chaîne HKLM\SOFTWARE\IBM\ISAM ESSO\SOCIAccess\ SmartCard:SupportedCards. Le nom de la carte à puce doit apparaître dans la liste des cartes à puce enregistrées dans Windows, qui se troue sous HKLM\SOFTWARE\Microsoft\ Cryptography\Calais\SmartCards. Si la aleur de registre "SupportedCards" n'est pas spécifiée, AccessAgent sureille TOUTES les cartes à puce enregistrées dans Windows.Par défaut, AccessAgent détecte automatiquement le module CSP utilisé pour accéder à une carte à puce insérée. La détection se fait selon l'enregistrement de la carte à puce dans Windows. Chapitre 4. Configuration d'une authentification forte 71

86 Toutefois, si le module CSP utilisé est différent de celui enregistré aec Windows, la aleur de registre DWORD, AutoDetectCardMiddlewareEnabled, doit être ajoutée sous [HKLM\SOFTWARE\IBM\ISAM ESSO\SOCIAccess\ SmartCard] et aoir la aleur 0. b. Créez une clé pour le middleware de carte à puce sous HKLM\SOFTWARE\IBM\ISAM ESSO\SOCIAccess\SmartCard\Middleware. Le nom de cette clé peut correspondre à tout nom pouant être utilisé pour identifier le middleware. Sous la clé du middleware, créez et définissez les aleurs ci-après qui définissent les paramètres du middleware. Si les informations de ce middleware ne sont pas configurées, AccessAgent utilise les aleurs par défaut pour tous les paramètres du middleware. Paramètre du middleware Type Valeurs Obligatoire? CSPName REG_SZ Nom du module CSP (Cryptographic Serice Proider) du middleware. RsaEncryptionEnabled DWORD Si la paire de clés de la carte à puce ne peut pas être utilisée pour effectuer le chiffrement RSA, cette aleur doit être égale à 0. Oui Non AccessAgent utilise un mécanisme basé sur les signatures pour chiffrer le portefeuille au lieu du mécanisme basé sur le chiffrement, qui est le mécanisme par défaut. 72 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

87 Paramètre du middleware Type Valeurs Obligatoire? ContainerSpecLeel DWORD Par défaut, AccessAgent recherche le certificat d'authentification dans le conteneur par défaut sur la carte à puce. Non Un conteneur par défaut est un conteneur de certificat spécial accessible sans spécifier le nom du conteneur. Toutefois, si le certificat d'authentification utilisé par AccessAgent ne se troue pas dans le conteneur par défaut, AccessAgent doit spécifier le nom du conteneur. Les modules CSP suient différentes conentions pour l'acceptation des noms de conteneur. Ce paramètre définit le format des noms de conteneur. #1: \\.\<nom-lecteur>\ <id-conteneur> #2: \\.\<nom-lecteur>\\\ #3: <id-conteneur> #4: NULL (aleur par défaut) Si ce paramètre a la aleur 1 ou 3, AccessAgent énumère les conteneurs et recherche le certificat d'authentification d'après les paramètres AuthCertIssuerList et AuthCertKeyUsageBits. Chapitre 4. Configuration d'une authentification forte 73

88 Paramètre du middleware Type Valeurs Obligatoire? AuthCertIssuerList REG_MULTI_SZ Si le certificat d'authentification n'est pas disponible dans le conteneur par défaut, AccessAgent utilise ce paramètre pour rechercher les certificats disponibles sur la carte à puce. Non Cette aleur multi-chaîne doit inclure les noms usuels des émetteurs du certificat d'authentification. Pour qu'un certificat de carte à puce puisse être sélectionné pour l'authentification, le nom de l'émetteur du certificat doit être présent dans cette liste. AuthCertKeyUsageBits DWORD Si le certificat d'authentification n'est pas disponible dans le conteneur par défaut, AccessAgent utilise ce paramètre pour rechercher les certificats disponibles sur la carte à puce. Non Cette aleur hexadécimale est le OU bit à bit des aleurs d'utilisation de clé possibles définies dans le certificat. Les bits d'utilisation de clé possibles, tels qu'ils sont définis dans la spécification X5093 sont les suiants : 0x80 : signature numérique 0x40 : irréfutabilité 0x20 : chiffrement de clé 0x10 : chiffrement de données 0x08 : accord de clé 0x04 : signature de certificat 0x02 : signature de liste de réocation de certificat Un exemple de CertSearchKeyUsageBits est A0, ce qui permet d'utiliser la paire de clés pour les signatures numériques et les chiffrements de clé. 74 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

89 c. Sauegardez les paramètres de registre requis dans un fichier.reg et placez ce fichier dans le dossier <dossier d'installation d'accessagent>\reg. 4. Redémarrez l'ordinateur. Configuration de cartes à puce hybrides IBM Security Access Manager for Enterprise Single Sign-On prend en charge les cartes à puce hybrides. Vous pouez actier la connexion à facteur unique aec un numéro de série de carte (CSN). Procédure 1. Connectez-ous à AccessAdmin. 2. Accédez à Modèles de règle machine > Noueau modèle > Créer un noueau modèle de règle machine > Règles d'authentification 3. Entrez carte à puce hybride. 4. Cliquez sur Ajouter. 5. Faites défiler la page ers le bas et cliquez de noueau sur Ajouter. 6. Configurez un délai supplémentaire pour permettre la connexion sans code PIN d'un poste de traail à un autre. Voir la section sur les règles de carte à puce hybride dans le manuel IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles. Remarque : AccessAgent crée automatiquement les paramètres de registre pour les cartes et les lecteurs pris en charge. Configuration de l'authentification par mot de passe à usage unique et Mobile ActieCode Vous pouez configurer les paramètres pour OTP (mot de passe à usage unique) et MAC (Mobile ActieCode) pour une authentification forte. Pour plus d'informations : «Configuration d'otp (One-Time Password) (par OATH)» «Configuration de Mobile ActieCode», à la page 76 Configuration d'otp (One-Time Password) (par OATH) Un OTP est un mot de passe à utilisation unique généré pour un éénement d'authentification, parfois transmis entre le client et le sereur ia un canal sécurisé. Configurez les paramètres OTP pour que les utilisateurs puissent employer OTP comme facteur d'authentification. Procédure 1. Téléchargez les fichiers OATH ers IMS Serer. a. Copiez le fichier de départ OATH ers IMS Serer. b. Placez le fichier de départ OATH dans <dossier d'installation d'ims>\ims\webinf\lib. c. Accédez à <répertoire d'installation d'ims>\bin. d. Modifiez setupcmdline.bat pour qu'il pointe sur le bon profil WebSphere Application Serer. e. Enregistrez le fichier setupcmdline.bat modifié. Chapitre 4. Configuration d'une authentification forte 75

90 f. Exécutez le fichier uploadoath.bat en respectant le format suiant : uploadoath <admin was> <mot de passe was> --in <chemin oath.txt> --out <fichier journal>. g. Redémarrez IMS Serer. 2. Configurez l'utilisateur OTP dans AccessAdmin. a. Connectez-ous à AccessAdmin. b. Recherchez l'utilisateur OTP et sélectionnez-le. c. Cliquez sur Affectation de jeton OTP. d. Sélectionnez le jeton OTP. e. Cliquez sur Affecter un jeton. f. Réinitialisez le jeton OTP en obtenant trois aleurs. 3. Configurez AccessAssistant. a. Connectez-ous à AccessAdmin. b. Cliquez sur Règles du serice d'authentification sous Système. c. Sélectionnez AccessAssistant. d. Cliquez sur Passer aux serices d'authentification d'entreprise. e. Cliquez sur AccessAssistant sous Serices d'authentification de l'entreprise. f. Cliquez sur Règles d'authentification. g. Sous Modes d'authentification à prendre en charge, sélectionnez Mot de passe, MAC, OTP (OATH) et OTP (temporel). h. Cliquez sur Mettre à jour. i. Faites défiler la page ers le haut et cliquez sur Serices d'authentification. j. Sous Serices d'authentification ActieCode, sélectionnez AccessAssistant. k. Entrez le nom d'utilisateur dans la zone de saisie affichée à droite. l. Cliquez sur Ajouter un compte. m. Accédez à Modèles de règles utilisateur > <Modèle de profil utilisateur> > Règles d'authentification. n. Définissez Actier l'authentification Mobile ActieCode sur Oui. 4. Configurez la règle système. a. Dans AccessAdmin, accédez à Système et cliquez sur Règles système. b. Cliquez sur Règles AccessAssistant et Web Workplace. c. Sous Deuxième facteur d'authentification par défaut d'accessassistant et de Web Workplace, sélectionnez OTP. d. Cliquez sur Mettre à jour. Configuration de Mobile ActieCode Les codes Mobile ActieCode (MAC) sont des mots de passe à utilisation unique générés de façon aléatoire, basés sur un éénement, et enoyés ia un second canal sécurisé (par exemple, un courrier électronique). Vous pouez configurer le support Mobile ActieCode pour que les utilisateurs puissent employer un code MAC comme facteur d'authentification. Aant de commencer Vérifiez que les composants sont installés et configurés : IMS Serer WebSphere Application Serer 76 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

91 Procédure 1. Configurez l'utilitaire de configuration IMS. a. Connectez-ous à l'utilitaire de configuration IMS. b. Accédez à Déploiement d'actiecode. c. Sous Adresses IP admises du client ActieCode, ajoutez otre adresse IMS Serer. d. Sous Fenêtre de réinitialisation des jetons OTP, indiquez e. Sous Utiliser l'enregistrement des utilisateurs exclusiement MAC, indiquez Vrai. f. Cliquez sur Mettre à jour. g. Accédez à Paramètres aancés et cliquez sur Connecteurs de messagerie. h. Sélectionnez Connecteur de messagerie SMTP. i. Cliquez sur Configurer. j. Entrez un texte sous Nom du connecteur de message. Par exemple, émetteurcourrier. k. Entrez adresseelectronique sous Nom d'attribut d'adresse. l. Entrez l'uri du sereur SMTP. m. Entrez une adresse électronique sous Adresse de l'émetteur SMTP. n. Entrez le Nom usuel de l'émetteur SMTP. o. Cliquez sur Ajouter. p. Redémarrez IMS Serer. 2. Configurez AccessAssistant. a. Connectez-ous à AccessAdmin. b. Cliquez sur Règles du serice d'authentification sous Système. c. Sélectionnez AccessAssistant. d. Cliquez sur Passer aux serices d'authentification d'entreprise. e. Cliquez sur AccessAssistant sous Serices d'authentification de l'entreprise. f. Cliquez sur Règles d'authentification. g. Sous Modes d'authentification à prendre en charge, sélectionnez Mot de passe, MAC, OTP (OATH), OTP, OTP (temporel). h. Cliquez sur Mettre à jour. 3. Configurez Mobile ActieCode pour l'utilisateur. a. Recherchez l'utilisateur dans AccessAdmin. b. Cliquez sur l'utilisateur. c. Cliquez sur Règles d'authentification. d. Définissez Actier l'authentification Mobile ActieCode sur Oui. e. Cliquez sur Mettre à jour. f. Faites défiler la page ers le haut et cliquez sur Serices d'authentification. g. Sous Serices d'authentification ActieCode, sélectionnez AccessAssistant. h. Entrez le nom d'utilisateur dans la zone de saisie affichée à droite. i. Cliquez sur Ajouter un compte. j. Cliquez sur Retour au profil en haut de la page. k. Sous Adresse Mobile ActieCode, entrez l'adresse électronique à laquelle l'utilisateur peut receoir le code MAC. Chapitre 4. Configuration d'une authentification forte 77

92 l. Sous Préférence Mobile ActieCode 1, entrez le nom du connecteur de message. Dans l'exemple précédent, le nom est émetteurcourrier. m. Cliquez sur Mettre à jour. 4. Configurez la règle système. a. Dans AccessAdmin, accédez à Système et cliquez sur Règles système. b. Cliquez sur Règles AccessAssistant et Web Workplace. c. Sous Deuxième facteur d'authentification par défaut d'accessassistant et de Web Workplace, sélectionnez MAC. d. Cliquez sur Mettre à jour. Configuration de l'enregistrement des utilisateurs exclusiement MAC Vous pouez configurer les paramètres dans l'utilitaire de configuration IMS si souhaitez l'enregistrement des utilisateurs exclusiement MAC. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Sélectionnez Paramètres de base > Déploiement d'actiecode. 3. Définissez Utiliser l'enregistrement des utilisateurs exclusiement MAC sur rai. 4. Dans Attribut ActieDirectory à afficher pour l'enregistrement des utilisateurs exclusiement MAC, indiquez l'attribut Actie Directory. 5. Dans Filtre de recherche utilisé pour l'interface utilisateur d'enregistrement des utilisateurs exclusiement MAC, indiquez le filtre à employer pour la fonction de recherche d'utilisateur lors de l'enregistrement d'utilisateur. 6. Cliquez sur Mettre à jour. A propos de l'authentification RADIUS Les utilisateurs doient s'authentifier aec un mot de passe à utilisation unique (OTP) s'ils eulent utiliser le sereur d'authentification RADIUS. Si l'otp n'est pas configuré, l'authentification reient au mode LDAP. Une application d'entreprise qui utilise des jetons OTP pour l'authentification demande à l'utilisateur de fournir son nom et son mot de passe. Il peut s'agir d'un mot de passe de l'utilisateur ou d'un mot de passe de l'application. En ce qui concerne le deuxième facteur, l'application d'entreprise peut être configurée pour authentifier les utilisateurs aec : l'otp fourni par un jeton uniquement ; l'otp fourni par un jeton ou un code MAC. Vous pouez également configurer une option de non-prise en compte d'actiecode au cas où l'utilisateur perdrait le jeton OTP ou le téléphone mobile pour la réception du code MAC. Le code de non-prise en compte peut être configuré sur l'une des options suiantes : Code d'autorisation et mot de passe Code d'autorisation et mot de passe du compte d'entreprise Code d'autorisation et secret 78 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

93 Remarque : Le déploiement de jetons OTP ne s'applique qu'à IMS Serer. Configuration des paramètres de règles de jeton OTP Configurez les paramètres de règles de jeton OTP pour que les utilisateurs puissent s'authentifier dans AccessAssistant et Web Workplace. Paramètres de règles utilisateur Utilisez AccessAdmin pour configurer les paramètres de règles utilisateur pour AccessAssistant et Web Workplace. Les paramètres de règles utilisateur permettent notamment d'indiquer si ous souhaitez autoriser l'accès au portefeuille, exiger une authentification à deux facteurs et afficher les serices d'authentification personnelle dans AccessAssistant et Web Workplace. 1. Connectez-ous à AccessAdmin. 2. Sous Modèles de règle utilisateur, sélectionnez Noueau modèle > Règles AccessAssistant et Web Workplace. 3. Complétez les zones suiantes : Option Autoriser l'accès au portefeuille à partir d'accessassistant et de Web Workplace Authentification à 2 facteurs requise pour AccessAssistant et Web Workplace Afficher les serices d'authentification personnelle dans AccessAssistant et Web Workplace Indiquez si l'accès au portefeuille est actié. Indiquez si l'authentification à 2 facteurs est obligatoire. Indiquez si ous souhaitez afficher les serices d'authentification personnelle. 4. Cliquez sur Ajouter. Paramètres de règles système Utilisez AccessAdmin pour configurer les paramètres de règles système pour AccessAssistant et Web Workplace. Les paramètres de règles système incluent l'actiation de la connexion automatique aux applications, l'actiation de l'édition des profils utilisateur et l'option d'affichage du mot de passe dans AccessAssistant. 1. Connectez-ous à AccessAdmin. 2. Sous Système, sélectionnez Règles système > Règles AccessAssistant et Web Workplace. 3. Complétez les zones suiantes : Option Actier la connexion automatique aux applications dans AccessAssistant Actier l'édition du profil utilisateur dans AccessAssistant et Web Workplace Interalle, en minutes, d'une synchronisation périodique d'accessassistant et de Web Workplace aec IMS Serer Option d'affichage du mot de passe dans AccessAssistant Deuxième facteur d'authentification par défaut d'accessassistant et de Web Workplace Indiquez si ous souhaitez automatiser la connexion aux applications Indiquez si ous souhaitez changer des profils utilisateur. Indiquez l'interalle de synchronisation (en minutes) aec IMS Serer Indiquez le mode d'affichage des mots de passe Indiquez le second facteur d'authentification utilisé Chapitre 4. Configuration d'une authentification forte 79

94 Option Actier le déerrouillage de compte par l'utilisateur dans AccessAssistant et Web Workplace Indiquez si le déerrouillage des comptes est actié dans AccessAssistant et Web Workplace 4. Cliquez sur Mettre à jour. Paramètres de règles de serice d'authentification Utilisez AccessAdmin pour configurer les différents paramètres de règles relatifs aux serices d'authentification d'entreprise et aux serices d'authentification personnelle. 1. Connectez-ous à AccessAdmin. 2. Sous Système, sélectionnez Règles du serice d'authentification. 3. Apportez les changements nécessaires sous Serices d'authentification d'entreprise et Serices d'authentification personnelle. Paramètres des règles d'application Utilisez AccessAdmin pour configurer les différents paramètres de règles pour os applications. 1. Connectez-ous à AccessAdmin. 2. Sous Système, sélectionnez Règles d'application. 3. Choisissez une application. 4. Apportez les changements nécessaires dans Règles d'application. 5. Cliquez sur Mettre à jour. Paramètres aancés des OTP OATH Si otre organisation utilise des OTP (mots de passe à usage unique) OATH (Open ATHentication group), ous pouez configurer les paramètres aancés correspondants dans l'utilitaire de configuration IMS. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Sélectionnez Déploiement d'actiecode. 3. Complétez les zones suiantes : Option Numéro de registre d'anticipation OTP Un jeton OTP OATH peut ne pas être complètement synchronisé aec IMS Serer si l'utilisateur : Appuie sur le bouton Jeton OTP mais N'utilise pas l'otp qui s'affiche pour l'authentification. Cette clé de configuration indique le nombre de pressions consécuties sur le bouton aant la réinitialisation du jeton OTP (resynchronisé). La aleur par défaut est IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

95 Option Fenêtre de réinitialisation du jeton OTP Lors de la réinitialisation d'un jeton OTP OATH, IMS Serer tente de se resynchroniser aec le jeton OTP. IMS Serer calcule une série d'otp consécutifs jusqu'à ce qu'il troue une correspondance aec les trois OTP consécutifs générés par le jeton OTP. Cette clé de configuration indique le nombre maximal d'otp qu'ims Serer tente au cours d'une seule tentatie de réinitialisation. Si IMS Serer ne parient pas à réinitialiser un jeton OTP, ce nombre doit être augmenté. La aleur par défaut est Redémarrez IMS Serer. Chapitre 4. Configuration d'une authentification forte 81

96 82 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

97 Chapitre 5. Configuration d'un déploiement sécurisé Sécurisez le déploiement d'ibm Security Access Manager for Enterprise Single Sign-On et les composants associés pour réduire les éentuels risques liés à la sécurité. Vous deez sécuriser le déploiement aant la publication dans un enironnement de production. Vous pouez sécuriser le nieau application à l'aide des tâches suiantes : «Suppression des exemples de serlet et d'application WebSphere Application Serer» «Sécurisation de l'accès aux données de configuration» «Limitation des tentaties de connexion», à la page 84 Vous pouez sécuriser le nieau Web aec les tâches suiantes : «Restriction des connexions HTTP», à la page 84 «Désactiation de l'exploration des répertoires», à la page 85 Conseil : Pour plus d'informations sur le renforcement de la sécurité et la sécurité aancée, oir WebSphere Application Serer Security adanced security hardening sur le sitehttp:// 1004_botzum.html. Suppression des exemples de serlet et d'application WebSphere Application Serer Vous deez érifier qu'aucun exemple de serlet ou d'application WebSphere Application n'est installé sur un sereur d'applications de production. Procédure 1. Connectez-ous à la console d'administration WebSphere. 2. Cliquez sur Applications > Types d'application > WebSphere Enterprise Applications. 3. Cochez la case en regard de chaque exemple d'application ou application de démonstration. Remarque : Si IMS Serer est déjà déployé sur WebSphere Application Serer, les applications IMS Serer sont ISAMESSOIMS et ISAMESSOIMSConfig. Il ne s'agit pas d'exemples d'application. 4. Cliquez sur Désinstaller. 5. Cliquez sur OK. 6. Dans la boîte de message, cliquez sur Sauegarder. Sécurisation de l'accès aux données de configuration Vous deez limiter l'accès aux fichiers de clés et aux dossiers de configuration WebSphere Application Serer aux administrateurs uniquement. Voir le guide de otre système d'exploitation pour plus de détails. Vérifiez que les dossiers et les fichiers suiants sont protégés. Copyright IBM Corp. 2002,

98 Dossiers de configuration de sereur Déploiement réseau : <base_was>\profiles\dmgr01\config\tamesso Enironnement autonome : <base_was>\profiles\appsr01\config\tamesso Fichiers de clés Déploiement réseau : <base_was>\profiles\dmgr01\config\cells\ <nom_cellule>\tamessoimskeystore.jks Enironnement autonome : <base_was>\profiles\appsr01\config\cells\ <nom_cellule>\tamessoimskeystore.jks Limitation des tentaties de connexion Vous pouez configurer un seuil de errouillage de compte au-delà d'un certain nombre d'échecs de tentatie de connexion en ligne sans certificat. Un seuil de errouillage de compte désactie un compte utilisateur si des actions frauduleuses sont lancées sur ce compte. Par défaut, aucun seuil de errouillage de compte n'est configuré. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Cliquez sur Authentification des utilisateurs > Connexion. 3. Indiquez un nombre dans Nombre maximal d'échecs consécutifs de connexion en ligne sans certificat. Ce nombre représente le nombre maximal d'échecs de tentatie de connexion autorisés aant la désactiation du compte. 4. Redémarrez IMS Serer. Restriction des connexions HTTP Vous pouez utiliser le module IBM HTTP Serer mod_rewrite pour restreindre les connexions HTTP à des pages spécifiques. Pourquoi et quand exécuter cette tâche Le trafic SOAP et Web entre IMS Serer et IBM HTTP Serer s'effectue sur une connexion HTTPS sécurisée. HTTP est utilisé uniquement pour la distribution initiale des certificats sécurisés aux noeuds finaux. Une fois que tous les certificats sécurisés sont distribués aux noeuds finaux, ous pouez bloquer le port HTTP. Vous pouez ensuite rediriger les autres demandes HTTP ers une connexion HTTPS sécurisée. Procédure 1. Connectez-ous à la console d'administration WebSphere. 2. Cliquez sur Sereurs > Types de sereur > Sereurs Web. 3. Choisissez le sereur Web. 4. Dans Propriétés supplémentaires, cliquez sur Fichier de configuration. 5. Ajoutez les lignes suiantes au fichier de configuration de sereur Web. Si ous utilisez des ports HTTP et HTTPS standard : LoadModule rewrite_module modules/mod_rewrite.so <VirtualHost *:80> RewriteEngine on RewriteCond %{REQUEST_URI}! ^/ims/serices/encentuate\.ims\.serice\.downloadserice$ RewriteRule ^/(.*) [L,R] </VirtualHost> 84 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

99 nom_sereur : remplacez nom_sereur par le nom de otre sereur. Si ous utilisez des ports HTTP et HTTPS non standard : LoadModule rewrite_module modules/mod_rewrite.so <VirtualHost *:numéro_port> RewriteEngine on RewriteCond %{REQUEST_URI}! ^/ims/serices/encentuate\.ims\.serice\.downloadserice$ RewriteRule ^/(.*) [L,R] </VirtualHost> numéro_port : remplacez numéro_port par le numéro de port HTTP ou HTTPS personnalisé. nom_sereur : remplacez nom_sereur par le nom de otre sereur. 6. Cliquez sur OK. Désactiation de l'exploration des répertoires Vous pouez désactier l'option de traersée de répertoires dans le fichier de configuration httpd.conf d'ibm HTTP Serer sur le sereur Web. Pourquoi et quand exécuter cette tâche Si les droits administrateur d'ibm HTTP Serer sont accordés dans WebSphere Application Serer, ous pouez également éditer httpd.conf à partir de la console d'administration. Pour les déploiements aec plusieurs sereurs Web, ous deez appliquer le même changement sur chaque sereur Web. Procédure 1. Connectez-ous à la console d'administration WebSphere. 2. Cliquez sur Sereurs > Types de sereur > Sereurs Web. 3. Choisissez le sereur Web. 4. Dans Propriétés supplémentaires, cliquez sur Fichier de configuration. 5. Localisez la directie Options ci-après associée au paramètre Indexes. Options Indexes FollowSymLinks 6. Remplacez le paramètre Indexes par -Indexes. Options -Indexes FollowSymLinks 7. Cliquez sur OK. 8. Dans la boîte de message, cliquez sur Enregistrer. 9. Redémarrez IBM HTTP Serer. Chapitre 5. Configuration d'un déploiement sécurisé 85

100 86 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

101 Chapitre 6. Connexion à AccessAdmin AccessAdmin est une interface d'administration de type Web d'ims Serer. Connectez-ous à AccessAdmin pour gérer les utilisateurs, les règles, les facteurs d'authentification et les rapports. Procédure 1. Accédez à AccessAdmin. Si ous utilisez un équilibreur de charge, accédez à <nom d hôte_équilibreur de charge>:<port_ssl_ihs>/admin. Si ous n'utilisez pas d'équilibreur de charge, accédez à <nom d hôte_ims>:<port_ssl_ihs>/admin. 2. Sélectionnez une langue pour AccessAgent qui est cohérente aec l'emplacement auquel ous souhaitez appliquer les règles. 3. Entrez otre nom d'utilisateur et otre mot de passe d'administrateur. 4. Cliquez sur Connexion. Copyright IBM Corp. 2002,

102 88 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

103 Chapitre 7. Définition de modèles de règle L'utilisation de l'assistant d'installation constitue l'une des méthodes de définition des règles machine. Cette tâche est facultatie. Vous pouez créer manuellement un modèle de règle machine, si ous préférez. Procédure 1. Connectez-ous à AccessAdmin. 2. Cliquez sur Assistant d'installation. 3. Cliquez sur Commencer. 4. Suiez les instructions de l'assistant d'installation. Copyright IBM Corp. 2002,

104 90 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

105 Chapitre 8. Affectation automatique de modèles de règle utilisateur aux noueaux utilisateurs Vous pouez affecter automatiquement des modèles de règle utilisateur aux noueaux utilisateurs pour éiter de deoir le faire manuellement lors de l'enregistrement de chaque nouel utilisateur. Pourquoi et quand exécuter cette tâche Utilisez AccessAdmin et l'utilitaire de configuration IMS pour affecter des modèles de règle aux noueaux utilisateurs lors de leur inscription. Dans cette procédure, department est utilisé comme attribut dans les étapes 1c et 3c. Procédure 1. Accédez à C:\Program Files\IBM\WebSphere\AppSerer\profiles\AppSr01\ config\tamesso\config\enterprisedirectoryconfiguration.xml. a. Remplacez la aleur de <isinitialized>false </isinitialized> par true. b. Ajoutez <BasicAttribute> <name>department</name></basicattribute> sous attributestobesupported. c. Ajoutez <BasicAttribute><name>department</name></BasicAttribute> sous entityattributestofetch. 2. Modifiez l'entrée encentuate.ims.ui.templateasgattribute dans le fichier de configuration IMS Serer. a. Connectez-ous à l'utilitaire de configuration IMS. b. Sélectionnez Paramètres aancés > AccessAdmin > Interface utilisateur > Attribut d'affectation de règle. c. Définissez Attribut d'affectation de règle sur department. Dans cet exemple, indiquez department par cohérence aec l'exemple de l'étape 1c. La Valeur d'attribut peut être Finances, Marketing ou correspondre à d'autres attributs disponibles dans Actie Directory. d. Redémarrez IMS Serer. 3. Configurez le mappage entre les aleurs d'attributs utilisateur et les noms de modèles de règle dans AccessAdmin. a. Connectez-ous à AccessAdmin. b. Sélectionnez Modèles de règle utilisateur > Attributions des modèles. c. Indiquez la Valeur d'attribut et le Modèle pour les noueaux utilisateurs. d. Cliquez sur Affecter. Copyright IBM Corp. 2002,

106 92 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

107 Chapitre 9. Exclusion des attributs de machine Vous pouez exclure des attributs d'ordinateur dans IMS Serer. Par exemple, si l'adresse IP de otre ordinateur change constamment, ous pouez la désactier pour éiter des mises à jour fréquentes dans IMS Serer. Procédure 1. Ourez une session dans l'utilitaire de configuration IMS. 2. Accédez à Paramètres aancés > IMS Serer > Diers > Attributs de machine à exclure d'ims Serer. 3. Sélectionnez un ou plusieurs attributs dans la liste : ipaddress (aleur par défaut) hostname aaversion machinegroups machinetag 4. Cliquez sur Ajouter. 5. Cliquez sur Mettre à jour. Copyright IBM Corp. 2002,

108 94 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

109 Chapitre 10. Configuration du support JMX Vous pouez utiliser JMX pour sureiller les beans IMS Serer ImsStateMbean et ImsConfigMBean. Vous pouez employer JConsole pour ous connecter à WebSphere Application Serer et récupérer les résultats de sureillance. Pourquoi et quand exécuter cette tâche JConsole se troue dans <base_was>\jaa\bin\. Par exemple, C:\Program Files\IBM\WebSphere\AppSerer\jaa\bin\. Procédure 1. Accédez au dossier <base_was>\profiles\<nom_profil>\properties. Par exemple, C:\Program Files\IBM\WebSphere\AppSerer\profiles\AppSr Ourez le fichier sas.client.props éditeur de texte. 3. Définissez les aleurs ci-après pour les ariables suiantes : com.ibm.corba.loginsource =properties com.ibm.corba.loginuserid = <ID utilisateur admin WAS>. Par exemple, wasadmin. com.ibm.corba.loginpassword = <mot de passe admin WAS>. 4. Redémarrez WebSphere Application Serer. 5. Ourez l'outil de ligne de commande. 6. Accédez à <base_was>\bin. 7. Connectez-ous à WebSphere Application Serer aec la commande suiante : jconsole -J-Djaa.class.path="<base_was>\jaa\lib\tools.jar"; "<base_was>\jaa\lib\jconsole.jar"; "<base_was>\runtimes\com.ibm.ws.admin.client_7.0.0.jar" -J-Dcom.ibm.CORBA.ConfigURL="file:<base_was>\profiles\ <nom_profil>\properties\sas.client.props" -J-Dcom.ibm.SSL.ConfigURL="file:<base_was>\profiles\ <nom_profil>\properties\ssl.client.props" serice:jmx::iiop://<nomhôte_was>:bootstrap_address/jndi/jmxconnector Par exemple : jconsole -J-Djaa.class.path="C:\Program Files\IBM\WebSphere\AppSerer\ jaa\lib\tools.jar"; "C:\Program Files\IBM\WebSphere\AppSerer\jaa\lib\jconsole.jar"; "C:\Program Files\IBM\WebSphere\AppSerer\runtimes\ com.ibm.ws.admin.client_7.0.0.jar" -J-Dcom.ibm.CORBA.ConfigURL="file:C:\Program Files\IBM\WebSphere\AppSerer\ profiles\appsr01\properties\sas.client.props" -J-Dcom.ibm.SSL.ConfigURL="file:C:\Program Files\IBM\WebSphere\AppSerer\ profiles\appsr01\properties\ssl.client.props" serice:jmx:iiop://localhost:2809/jndi/jmxconnector Copyright IBM Corp. 2002,

110 96 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

111 Chapitre 11. Feuille de traail de planification Utilisez la feuille de traail de planification comme référence pour les aleurs modèle et par défaut pendant l'installation et la configuration du sereur IBM Security Access Manager for Enterprise Single Sign-On et des autres logiciels requis. Répertoires d'installation et autres chemins d'accès Le tableau suiant contient les différentes ariables de chemin utilisées dans le présent manuel et les aleurs par défaut correspondantes. Dans certains cas, le nom de ariable correspond au nom d'une ariable d'enironnement qui est définie dans le système d'exploitation. Par exemple, %TEMP% représente la ariable d'enironnement %TEMP% pour Windows. Remarque : Lorsque ous installez IBM Security Access Manager for Enterprise Single Sign-On sur des systèmes Windows, le répertoire par défaut est généralement le répertoire des fichiers de programme système <unité système>:\program Files\IBM\, où l'unité système est généralement l'unité C:. Toutefois, ous pouez spécifier que IBM Security Access Manager for Enterprise Single Sign-On est installé sur une unité de disque autre que l'unité C:. Variable de chemin Composant Répertoire par défaut <accueil_aa> AccessAgent C:\Program Files\IBM\ISAM ESSO\AA <accueil_as> AccessStudio C:\Program Files\IBM\ISAM ESSO\AA\ECSS\AccessStudio <accueil_bd> DB2 C:\Program Files\IBM\SQLLIB <accueil_ihs> IBM HTTP Serer C:\Program Files\IBM\HTTPSerer <accueil_ims> IBM Security Access Manager for Enterprise Single Sign-On IMS Serer C:\Program Files\IBM\ISAM ESSO\IMS Serer <accueil_jm> <accueil_updi> <base_was> <base_was_dmgr> <%TEMP%> (Jaa Virtual Machine) Machine irtuelle Jaa IBM Update Installer for WebSphere Application Serer WebSphere Application Serer Profil de gestionnaire de déploiement WebSphere Application Serer Network Deployment Répertoire Windows pour fichiers temporaires C:\Program Files\Jaa\jre1.5.0_11 C:\Program Files\IBM\WebSphere\ UpdateInstaller C:\Program Files\IBM\WebSphere\ AppSerer C:\Program Files\IBM\WebSphere\ AppSerer\profiles\Dmgr01 Lorsque ous êtes connecté en tant qu'administrateur, C:\Documents and Settings\Administrator\ Local Settings\Temp Copyright IBM Corp. 2002,

112 Variable de chemin Composant Répertoire par défaut <%PROGRAMFILES%> Répertoire Windows pour les C:\Program Files programmes installés Noms d'hôte et ports Le tableau suiant contient les différents noms d'hôte et numéros de port ariables utilisés dans le présent manuel. Variable <nom d'hôte_was> <nom d'hôte_dmgr> <nom d'hôte_ihs> <nom d'hôte_équilibreur de charge> <nom d'hôte_ims> <port_ssl_ihs> <port_ssl_admin> Nom de l'hôte où est installé WebSphere Application Serer. Nom de l'hôte où est installé WebSphere Application Serer Network Deployment Manager. Nom de l'hôte où est installé IBM HTTP Serer. Nom de l'hôte où est installé l'équilibreur de charge. Nom de l'hôte où est installé IMS Serer. Numéro de port SSL IBM HTTP Serer. Numéro de port sécurisé de la console d'administration. URL et adresses Le tableau suiant contient les différentes URL et adresses utilisées dans le présent guide. Les aleurs arient selon que ous utilisez WebSphere Application Serer autonome ou WebSphere Application Serer en déploiement réseau. Format Valeur exemple Integrated Solutions Console (console d'administration WebSphere Application Serer) Assistant de configuration IMS Si ous utilisez WebSphere Application Serer autonome : d'hôte_was>:<port_ssl_admin>/ ibm/console Si ous utilisez WebSphere Application Serer en déploiement réseau : d'hôte_dmgr>:<port_ssl_admin>/ ibm/console Si ous utilisez WebSphere Application Serer autonome : d'hôte_was>:<port_ssl_admin>/ front Si ous utilisez WebSphere Application Serer en déploiement réseau : d'hôte_dmgr>:<port_ssl_admin>/ front console or console 98 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

113 Format Valeur exemple Utilitaire de configuration IMS Si ous utilisez WebSphere Application Serer autonome : d'hôte_was>:<port_ssl_admin>/ webconf Si ous utilisez WebSphere Application Serer en déploiement réseau : d'hôte_dmgr>:<port_ssl_admin>/ webconf webconf AccessAdmin Si ous utilisez un équilibreur de charge : d'hôte_équilibreur de charge>:<port_ssl_ihs>/admin Si ous n'utilisez pas d'équilibreur de charge : d'hôte_ims>:<port_ssl_ihs>/ admin Si le sereur Web est configuré correctement : d'hôte_ims>/admin AccessAssistant Si ous utilisez un équilibreur de charge : d'hôte_équilibreur de charge>:<port_ssl_ihs>/aawwp Si ous n'utilisez pas d'équilibreur de charge : d'hôte_ims>:<port_ssl_ihs>/ aawwp Web Workplace Si ous utilisez un équilibreur de charge : d'hôte_équilibreur de charge>:<port_ssl_ihs>/aawwp?iswwp=true Si ous n'utilisez pas d'équilibreur de charge : d'hôte_ims>:<port_ssl_ihs>/ aawwp?iswwp=true admin aawwp?iswwp=true Utilisateurs, noms de profil et groupes Le tableau suiant contient certains des utilisateurs et groupes créés lors de l'installation. Variable Valeur exemple <nom de profil> Nomp de profil WebSphere Application Serer. Le nom de profil est défini lors de la création de profils pour WebSphere Application Serer aec l'outil de ligne de commande manageprofiles ou l'outil de gestion de profil graphique. Si ous utilisez WebSphere Application Serer autonome : <nom de profil_appsr> Si ous utilisez WebSphere Application Serer en déploiement réseau : Gestionnaire de déploiement : <nom de profil_dmgr> Noeud <nom de profil_personnalisé> Chapitre 11. Feuille de traail de planification 99

114 Variable Valeur exemple <ID utilisateur admin WAS> ID administrateur WebSphere créé pendant l'installation de WebSphere Application Serer. wasadmin <ID utilisateur admin IHS> <ID utilisateur admin DB2> <ID utilisateur admin IMS> ID utilisateur d'administrateur HTTP Serer créé pendant l'installation d'ibm HTTP Serer. ID utilisateur de serice administrateur DB2 pour Microsoft Windows créé pendant l'installation d'ibm DB2. Administrateur IBM Security Access Manager for Enterprise Single Sign-On. ihsadmin db2admin imsadmin <ID utilisateur admin TIMAD> <ID utilisateur de recherche ou admin LDAP> <ID utilisateur non racine de dispositif irtuel> <ID utilisateur racine de dispositif irtuel> ID utilisateur créé pendant l'installation d'ims Serer pour l'administration de IBM Security Access Manager for Enterprise Single Sign-On. (Uniquement pour les annuaires d'entreprise Actie Directory) ID utilisateur créé pour être utilisé aec Tioli Identity Manager Actie Directory Adapter. Non requis pour les répertoires LDAP. Modèle d'id utilisateur LDAP créé pour être utilisé par IMS Serer aec les sereurs d'annuaire compatibles LDAP V3. Compte utilisateur général pour les déploiements de dispositif irtuel. Créé pendant l'actiation et le déploiement du dispositif irtuel. Compte utilisateur racine pour les déploiements de dispositif irtuel. Utilisé pour la connexion au dispositif irtuel pendant l'amorçage. tadadmin ldapadmin lookupusr irtuser root Installation d'ibm DB2 Le tableau suiant contient les aleurs que ous deez spécifier lors de l'installation d'un sereur de base de données. 100 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

115 Paramètre Fichier d'installation Valeur par défaut Workgroup Serer Edition (utilisation limitée) DB2_97_limited_CD_Win_x86.exe DB2_97_limited_CD_Win_x86-64.exe Enterprise Serer Edition DB2_ESE_V97_Win_x86.exe DB2_ESE_V97_Win_x86-64.exe Remarque : Les fichiers d'installation peuent arier en fonction de la ersion et de l'édition de DB2. Répertoire d'installation C:\Program Files\IBM\SQLLIB Informations utilisateur pour le sereur d'administration DB2 Domaine Aucune - utiliser le compte utilisateur local Nom d'utilisateur db2admin Mot de passe Instance DB2 Créer l'instance DB2 par défaut Option de partitionnement pour l'instance Instance de partition unique DB2 par défaut Catalogue d'outils DB2 Configurez otre sereur DB2 pour enoyer des notifications Actier la sécurité du système d'exploitation Groupe d'administrateurs DB2 Domaine Nom de groupe Groupe d'utilisateurs DB2 Domaine Nom de groupe Aucun Non Oui Aucun DB2ADMNS Remarque : Cette aleur est un exemple. Vous pouez indiquer otre propre aleur. Aucun Numéro de port DB2USERS Remarque : Cette aleur est un exemple. Vous pouez indiquer otre propre aleur. Création de la base de données IMS Serer Le tableau suiant contient les aleurs que ous deez spécifier pour créer la base de données IMS Serer. Paramètre Nom de la base de données Chemin par défaut Alias Commentaire Laisser DB2 gérer la mémoire (mémoire automatique) Valeur par défaut imsdb Remarque : Cette aleur est un exemple. Vous pouez indiquer otre propre aleur. C:\ imsdb Remarque : Cette aleur est un exemple. Vous pouez indiquer otre propre aleur. BD pour IMS Remarque : Cette aleur est un exemple. Vous pouez indiquer otre propre aleur. Oui Chapitre 11. Feuille de traail de planification 101

116 Paramètre Taille par défaut du pool de mémoire tampon et des pages de l'espace table Utiliser le chemin de la base comme chemin de stockage Jeu de codes Séquence de classement Région Valeur par défaut 8ko Oui UTF-8 Par défaut Création manuelle d'un utilisateur DB2 Le tableau suiant contient les aleurs que ous deez spécifier si ous créez un utilisateur de base de données distinct pour IBM Security Access Manager for Enterprise Single Sign-On. Paramètre Utilisateur DB2 Valeur par défaut imsdb2admin Priilèges d'administration Se connecter à la base de données Créer des tables Créer des packages Installation de WebSphere Application Serer Le tableau suiant contient les aleurs que ous deez spécifier lors de l'installation de WebSphere Application Serer. Paramètre Fichier d'installation Répertoire d'installation Enironnement WebSphere Application Serer Valeur par défaut launchpad.exe <base_was> (Aucun) Remarque : Les profils sont créés uniquement aec l'outil de gestion de profil ou l'interface de ligne de commande après l'application des groupes de correctifs WebSphere. Vous pouez créer les profils suiants : Pour les déploiements de produits sur WebSphere Application Serer autonome Sereur d'applications Actier la sécurité administratie Nom d'utilisateur d'administration WebSphere Nom de profil du gestionnaire de déploiement Nom de profil personnalisé (noeud) Nom de profil de sereur d'application Nom de cellule Nom de noeud de gestionnaire de déploiement Pour WebSphere Application Serer Network Deployment (cluster) Gestionnaire de déploiement Personnalisé Oui wasadmin <nom de profil_dmgr> <nom de profil_personnalisé> <nom de profil_appsr> <Sereur01Noeud01Cellule01> <Sereur01Cellule01> 102 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

117 Paramètre Valeur par défaut Nom de noeud de sereur d'applications <Sereur01Noeud01> Emplacement d'installation de sereur HTTP <accueil_ihs> Port HTTP 80 Port de sereur admin HTTP 8080 Installation d'ibm Update Installer pour l'installation du logiciel de WebSphere Le tableau suiant contient les aleurs que ous deez spécifier lors de l'installation d'ibm Update Installer for WebSphere Software Installation. Paramètre Fichier d'installation Répertoire d'installation Valeur par défaut install.exe C:\Program Files\IBM\WebSphere\ UpdateInstaller Installation du dernier groupe de correctifs WebSphere Application Serer Le tableau suiant contient les aleurs que ous deez spécifier lors de l'installation du dernier groupe de correctifs de WebSphere Application Serer. Paramètre Valeur par défaut Fichier d'installation WS-WAS-WinX32-FP000000X.pak Répertoire d'installation Sélection d'opération de maintenance Chemin de répertoire du kit de maintenance WS-WAS-WinX64-FP000000X.pak <base_was> Installation du kit de maintenance <accueil_updi>\maintenance Installation d'ibm HTTP Serer Le tableau suiant contient les aleurs que ous deez spécifier lors de l'installation d'ibm HTTP Serer. Paramètre Valeur par défaut Fichier d'installation launchpad.exe Répertoire d'installation <accueil_ihs> Port HTTP d'ibm HTTP Serer 80 Port d'administration HTTPd'IBM HTTP 8008 Serer Exécutez IBM HTTP Serer en tant que Oui serice Windows Exécutez IBM HTTP Administration en tant Oui que serice Windows Connectez-ous en tant que compte système Oui local Chapitre 11. Feuille de traail de planification 103

118 Paramètre Connectez-ous en tant que compte utilisateur spécifié Nom d'utilisateur Valeur par défaut Non Mot de passe Type de démarrage Automatique Créez un ID utilisateur pour Oui l'authentification de sereur d'administration d'ibm HTTP Serer ID utilisateur d'authentification de sereur d'administration d'ibm HTTP Serer Mot de passe d'authentification du sereur d'administration IBM HTTP Serer Installez le plug-in IBM HTTP Serer pour IBM WebSphere Application Serer Définition de sereur Web Nom d'hôte ou adresse IP du sereur d'applications Administrateur Remarque : Cette aleur est un exemple. Vous pouez indiquer otre propre aleur. ihsadmin Remarque : Compte WebSphere Application Serer pour l'administration d'ibm HTTP Serer et le plug-in IBM HTTP Serer. Oui <sereur_web1> IMS82.samesso.ibm.com Installation du dernier groupe de correctifs d'ibm HTTP Serer Le tableau suiant contient les aleurs que ous deez spécifier lors de l'installation du dernier groupe de correctifs d'ibm HTTP Serer. Paramètre Valeur par défaut Fichier d'installation WS-IHS-WinX32-FP000000X.pak Répertoire d'installation Sélection d'opération de maintenance Chemin de répertoire du kit de maintenance WS-IHS-WinX64-FP000000X.pak <accueil_ihs> Installation du kit de maintenance <base_was>\updateinstaller\maintenance Configuration d'ibm HTTP Serer Le tableau suiant contient les aleurs que ous deez spécifier lors de la configuration d'ibm HTTP Serer pour qu'il fonctionne aec le sereur WebSphere Application Serer. Paramètre Valeur par défaut Fichier de commandes Windows configure<sereur_web1>.bat Emplacement initial <accueil_ihs>\plugins\bin Emplacement cible <base_was>\bin com.ibm.soap.requesttimeoutproperty 6000 Gestion de sereur Web distant Port 8008 Nom d'utilisateur ihsadmin 104 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

119 Paramètre Mot de passe Utiliser SSL Interalle de configuration de régénération Nom de fichier de configuration de plug-in Nom de fichier de clés de plug-in Répertoire et nom de fichier de configuration de plug-in Répertoire et nom de fichier de fichier de clés de plug-in Générer automatiquement le fichier de configuration de plug-in Propager automatiquement le fichier de configuration de plug-in Valeur par défaut Non 60 secondes plugin-cfg.xml plugin-key.kdb <accueil_ihs>\plugins\config\<sereur_web1>\ plugin-cfg.xml <accueil_ihs>\plugins\config\<sereur_web1>\ plugin-key.kdb Oui Oui Nom de fichier journal <accueil_ihs>\plugins\logs\<sereur_web1>\ http_plug-in.log Nieau de journalisation <accueil_ims>\isam_e- SSO_IMS_Serer_InstallLog.log Erreur Installation d'ims Serer Le tableau suiant contient les aleurs que ous deez spécifier lors de l'installation d'ims Serer. Paramètre Fichier d'installation Dossier d'installation Déployer l'ims Serer sur WebSphere Application Serer Sécurité d'administration WebSphere Application Serer actiée Nom d'utilisateur d'administrateur Mot de passe d'administration Fichier de clés Jaa sécurisé SSL Valeur par défaut imsinstaller_ x.exe <accueil_ims> Oui Oui - déploie automatiquement le fichier EAR IMS sur WebSphere Application Serer Non - ous deez déployer manuellement le fichier EAR IMS sur WebSphere Application Serer wasadmin Remarque : Il doit s'agir de la même aleur que le nom d'utilisateur du sereur d'administrateur de WebSphere Application Serer. trust.p12 Chapitre 11. Feuille de traail de planification 105

120 Paramètre Emplacement du fichier de clés Jaa sécurisé SSL Mot de passe de fichier de clés Jaa sécurisé SSL Fichier de clés Jaa SSL Valeur par défaut Si ous utilisez WebSphere Application Serer autonome : <base_was>\profiles\<nom de profil_appsr>\config\cells\ <Sereur01Cellule01>\nodes\ <Sereur01Noeud01>\ Si ous utilisez WebSphere Application Serer en déploiement réseau <base_was>\profiles\<nom de profil_dmgr>\config\cells\ <Sereur01Cellule01>\ WebAS key.p12 Emplacement du fichier de clés Jaa SSL Si ous utilisez WebSphere Application Serer autonome : <base_was>\profiles\<nom de profil_appsr>\config\cells\ <Sereur01Cellule01>\nodes\ <Sereur01Noeud01>\ Mot de passe de fichier de clés Jaa SSL Port du connecteur SOAP de WebSphere Application Serer Emplacement de numéro de port de connecteur SOAP Si ous utilisez WebSphere Application Serer en déploiement réseau <base_was>\profiles\<nom de profil_dmgr>\config\cells\ <Sereur01Cellule01>\ WebAS Pour WebSphere Application Serer autonome : 8880 Pour WebSphere Application Serer Network Deployment (gestionnaire de déploiement) : 8879 Si ous utilisez WebSphere Application Serer autonome : <base_was>\profiles\<nom de profil_appsr>\logs\ AboutThisProfile.txt Si ous utilisez WebSphere Application Serer en déploiement réseau <base_was>\profiles\<nom de profil_dmgr>\logs\aboutthisprofile.txt 106 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

121 Paramètre URL d'ims Serer Valeur par défaut Exemple : Si ous utilisez WebSphere Application Serer autonome : d'hôte_was>:<port_ssl_admin>/ front Si ous utilisez WebSphere Application Serer en déploiement réseau : d'hôte_dmgr>:<port_ssl_admin>/front Configuration d'ims Serer Le tableau suiant contient les aleurs que ous deez spécifier lors de la configuration d'ims Serer. Paramètre Nom du fournisseur JDBC Nom de la source de données Nom JNDI Alias de données d'authentification J2C Créez le schéma de base de données d'ims Serer Valeur par défaut Fournisseur JDBC ISAM ESSO Source de données d'isam ESSO IMS Serer jdbc/ims Remarque : Le nom JNDI n'est pas modifiable. imsauthdata Oui Choisir un type de base de données IBMDB2 Serer Microsoft SQL Serer Oracle Serer Configuration de la base de données - <type de base de données> Nom d'hôte Instance Remarque : Pour Microsoft SQL Serer uniquement. Port Pour IBM DB2 Serer : Pour Microsoft SQL Serer : 1433 Pour Oracle Serer : 1521 Nom de la base de données Remarque : Pour IBM DB2 uniquement. SID Remarque : Pour Oracle Serer uniquement. Nom d'utilisateur db2admin Mot de passe utilisateur Fournir des détails sur l'autorité d'accréditation racine Nom du fichier de clés CellDefaultKeyStore Mot de passe du fichier de clés Nom de l'alias de l'autorité d'accréditation racine root Nom de sereur Web qualifié complet web1.example.com URL IMS Serices Numéro du port HTTPS 443 Chapitre 11. Feuille de traail de planification 107

122 Configuration d'annuaire d'entreprise (LDAP ou Actie Directory) Le tableau suiant contient les aleurs que ous deez spécifier lors de la configuration de l'annuaire d'entreprise. Paramètre Nom d'hôte Nom distinctif de liaison Nom distinctif de base Domaine Port Valeur par défaut ldapsr.example.com Pour Actie Directory cn=lookupusr, cn=users,dc=team, dc=example, dc=com Pour LDAP : cn=lookupusr, ou=users, o=example, c=us Pour Actie Directory cn=users, dc=team, dc=example, dc=com Pour LDAP : ou=users,o=example,c=us team.example.com 389 (sans SSL) 636 (aec SSL) 108 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

123 Chapitre 12. Référence de l'interface ligne de commande Commande cleanimsconfig Vous pouez utiliser différentes commandes disponibles dans Windows, Linux et Jython pour configurer IMS Serer. Sauf indication contraire, les commandes se trouent dans le répertoire <accueil_ims>\bin. Les types d'outil de ligne de commande disponibles sont les suiants : Scripts de traitement par lots Windows (extension.bat) Scripts de shell Linux (extension.sh) Fichiers script Jython (extension.py) Remarque : Aant d'exécuter les outils de ligne de commande, eillez à exécuter l'outil setupcmdline pour définir le chemin d'accès à l'enironnement. Important : Exécutez les outils de ligne de commande aec les droits d'administrateur dans Windows 7 et Windows Serer 2008 aec le contrôle de compte utilisateur (UAC) Windows actié. Exécutez tous les administrateurs en actiant la règle de mode d'approbation administrateur. Pour exécuter les outils de ligne de commande : 1. Cliquez aec le bouton droit sur l'icône cmd. 2. Cliquez sur Exécuter en tant qu'administrateur. 3. Cliquez sur Continuer pour poursuire. Pour plus d'informations : «Commande cleanimsconfig» «Commande deployisamessoims», à la page 110 «Commande deployisamessoimsconfig», à la page 111 «Commande exportimsconfig», à la page 111 «Commande managepolpriority», à la page 112 «Commande setupcmdline», à la page 112 «Commande upgradesymcrypto», à la page 112 «Commande uploaddpx», à la page 113 «Commande uploadoath», à la page 114 «Commande uploadsync», à la page 114 «Scripts pour le dispositif irtuel», à la page 115 Utilisez cette commande pour supprimer des configurations IMS Serer existantes comme les certificats et les configurations de base de données. Vous pouez également l'utiliser pour remettre IMS Serer dans un état non configuré. Syntaxe cleanimsconfig.sh <nom_admin_was> <motdepasse_was> cleanimsconfig.bat <nom_admin_was> <motdepasse_was> Copyright IBM Corp. 2002,

124 Pour réinitialiser IMS Serer sur un état non configuré, cette commande : Supprime les sources de données IMS Supprime le fichier de clés IMS Supprime les connexions d'annuaire d'entreprise Remarque : La suppression ne concerne pas l'annuaire d'entreprise, mais uniquement les connexions IMS Serer aux annuaires d'entreprise. Remplace le référentiel de configuration SAM E-SSO par un noueau référentiel de configuration extrait du répertoire d'installation d'ims. Exécutée sur un noeud de gestionnaire de déploiement, la commande cleanimsconfig synchronise tous les noeuds. Pour un déploiement réseau, exécutez cette commande sur le noeud de gestionnaire de déploiement. Paramètres <nom_admin_was> Paramètre obligatoire. Indiquez le nom de l'administrateur WebSphere Application Serer. Par exemple, wasadmin. <motdepasse_was> Paramètre obligatoire. Indiquez le mot de passe de l'administrateur WebSphere Application Serer. Exemple cleanimsconfig.sh wasadmin password cleanimsconfig.bat wasadmin password Commande deployisamessoims Utilisez cette commande pour déployer le fichier d'archie d'entreprise (EAR) ISAMESSOIMS IMS Serer sur le sereur d'applications. Syntaxe deployisamessoims <nom_admin_was> <motdepasse_admin_was> Cette commande déploie le fichier EAR ISAMESSOIMS WebSphere Application Serer en tant qu'application d'entreprise WebSphere. Paramètres <nom_admin_was> Paramètre obligatoire. Indiquez le nom de l'administrateur WebSphere Application Serer. Par exemple, wasadmin. <motdepasse_admin_was> Paramètre obligatoire. Indiquez le mot de passe de l'administrateur WebSphere Application Serer. 110 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

125 Exemples deployisamessoims wasadmin password Commande deployisamessoimsconfig Utilisez cette commande pour déployer le fichier d'archie d'entreprise (EAR) ISAMESSOIMSConfig IMS Serer sur le sereur d'applications. Syntaxe deployisamessoimsconfig.bat <nom_admin_was> <motdepasse_admin_was> Utilisez cette commande pour déployer le fichier EAR ISAMESSOIMSConfig sur WebSphere Application Serer en tant qu'application d'entreprise WebSphere. Pour un déploiement réseau, ous pouez déployer le fichier EAR ISAMESSOIMSConfig sur le noeud de gestionnaire de déploiement. Paramètres <nom_admin_was> Paramètre obligatoire. Indiquez le nom de l'administrateur WebSphere Application Serer. Par exemple, wasadmin. <motdepasse_admin_was> Paramètre obligatoire. Indiquez le mot de passe de l'administrateur WebSphere Application Serer. Exemples Commande exportimsconfig deployisamessoimsconfig wasadmin password Utilisez cette commande pour exporter la configuration d'ims Serer dans un fichier d'archie Jaa (JAR). Syntaxe exportimsconfig <nom_admin_was> <motdepasse_admin_was> --outputfile=<chemin_fichier_sortie> Le fichier JAR contient les configurations relaties aux sereurs cible, aux emplacements de base de données et aux certificats de sécurité. Paramètres <nom_admin_was> Paramètre obligatoire. Indiquez le nom de l'administrateur WebSphere Application Serer. Par exemple, wasadmin. <motdepasse_was> Paramètre obligatoire. Indiquez le mot de passe de l'administrateur WebSphere Application Serer. Chapitre 12. Référence de l'interface ligne de commande 111

126 --outputfile Paramètre obligatoire. Spécifiez le nom de fichier JAR et le répertoire de sortie. Veillez à inclure l'extension de nom de fichier JAR. Par exemple, c:/backup/myximsconfig.jar Exemples exportimsconfig wasadmin password --outputfile=c:/backup/myximsconfig.jar Commande managepolpriority Utilisez cette commande pour gérer la priorité des règles. La commande managepolpriority détermine la priorité des règles. Paramètres Aucun. Exemples managepolpriority Commande setupcmdline Utilisez cette commande pour définir les ariables d'enironnement pour garantir l'exécution correcte de la ligne de commande et des scripts. Cette commande permet aux scripts de s'exécuter correctement et de définir les ariables d'enironnement de la ligne de commande. Paramètres Il n'existe pas de paramètre pour l'outil setupcmdline. Exemples setupcmdline Commande upgradesymcrypto Utilisez cette commande pour mettre à nieau les clés cryptographiques symboliques. Cette commande met à nieau toutes les clés cryptographiques symboliques. Paramètres Aucun. 112 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

127 Exemples upgradesymcrypto Commande uploaddpx Utilisez cette commande pour remonter des jetons Digipass dans un fichier.dpx sur IMS Serer de sorte que tout le lot de jetons Digipass soit reconnu. Vous deez télécharger les jetons Digipass pour pouoir les utiliser. uploaddpx.bat [-i nomfichierentrée] [-] [--encryptkey cléchiffrement] [-o nomfichiersortie] [--error fihier-erreurs] [-h] [-f dossier] [--oerwrite option] uploaddpx.bat -i c:\digipass.dpx --oerwrite true Paramètres -i <nomfichierentrée> Spécifie le chemin d'accès et le nom du fichier.dpx. --encryptkey <cléchiffrement> Spécifie la clé de chiffrement du fichier.dpx. -o, --output <nomfichiersortie> Indique le nom du fichier de sortie dans lequel les informations de débogage et de sortie sont imprimées. --error <fichier-erreur> Indique le nom du fichier de sortie d'erreur. -h, --help Imprime le message d'aide. -, --ersion Imprime le numéro de ersion de l'outil. -- oerwrite <option> Indique si les informations.dpxdans IMS Serer pour les jetons existant dans la liste des jetons non affectés doient être remplacées (l'option est désactiée par défaut). <option> peut aoir la aleur true ou false. Si elle est actiée, les jetons existants, tels que ceux reconnus par IMS Serer qui ne s'affichent pas dans les fichiers.dpx, ne sont pas modifiés. Pour les jetons existants de la liste des jetons non affectés qui figurent dans les fichiers.dpx, les informations.dpx dans IMS Serer sont remplacées par celles des fichiers.dpx. Remarque : Utilisez la commande --oerwrite <option> lorsque les jetons ne sont plus synchronisés. Exemples uploaddpx.bat -i c:\digipass.dpx --oerwrite true Chapitre 12. Référence de l'interface ligne de commande 113

128 Commande uploadoath Utilisez cette commande pour remonter un fichier texte.csv contenant des numéros de série et des aleurs de départ OATH dans IMS Serer. Tout un lot de jetons Authenex A-Key est ainsi reconnu. Chaque jeton Authenex A-Key utilise une aleur de départ OATH pour générer un OTP. Pour qu'un jeton A-Key puisse être utilisé, son numéro de série et la aleur de départ OATH doient être téléchargés sur IMS Serer. L'outil de ligne de commande uploadoath.bat remonte un fichier texte au format.cs (comma-separated alue). Une fois remontés, les jetons répertoriés dans le fichier.cs s'affichent dans la liste des jetons non affectés dans AccessAdmin. Paramètres -i <nomfichierentrée> Chemin complet du fichier texte.cs pour remonter les données OATH. Par exemple -i c:\input_tokens.cs Chaque ligne du fichier.cs respecte le format suiant : «a, b». où a est le numéro de série du jeton OATH b est la aleur de départ OATH du jeton OATH. <serial number>, <OATH seed> -o, --output <nomfichiersortie> Indique le nom du fichier de sortie dans lequel les informations de débogage et de sortie sont imprimées. Par exemple -o c:\output.log --error <fichier-erreur> Indique le nom du fichier de sortie d'erreur. -, --ersion Imprime le numéro de ersion de l'outil. -h, --help Imprime le message d'aide. Exemples uploadoath -i c:\input.cs -o c:\output.log uploadoath - Commande uploadsync Utilisez cette commande pour télécharger des lots de données de profil dans un format XML et synchroniser la configuration aec IMS Serer. 114 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

129 Cette commande remonte les données XML dans IMS Serer et synchronise la configuration d'ims Serer. Paramètres Aucun. Exemple uploadsync Scripts pour le dispositif irtuel Vous pouez utiliser des scripts pour collecter les journaux, configurer et installer l'outil Tioli Common Reporting, et réinitialiser le dispositif irtuel. Pour plus d'informations : «Commande collectlogs» «Commande configuretcrforims» «Commande installtcr», à la page 116 «Commande resetimsva», à la page 116 Commande collectlogs Utilisez cette commande pour collecter les journaux du dispositif irtuel IMS ISAMESSO. Les journaux collectés incluent les journaux des produits, les paramètres et les journaux du système d'exploitation Linux. Sélectionnez l'option qui permet d'obtenir l'ensemble minimal de journaux. Sinon, tous les journaux et paramètres sont collectés à partir de l'image. Paramètres Aucun. Exemples sh collectlogs.sh [--minimal] Commande configuretcrforims Utilisez cette commande pour faire pointer l'outil Tioli Common Reporting sur la base de données d'ims Serer et le configurer pour importer des rapports. Cette commande configure manuellement l'outil Tioli Common Reporting. Chapitre 12. Référence de l'interface ligne de commande 115

130 Paramètres --dbname nom_bdd Indiquez la base de données IMS Serer. --dbtype type_bdd Indiquez le type de base de données. type_bdd correspond à l'une des aleurs suiantes : db2 sqlserer oracle --dbhostname nomhôte_bdd Indiquez le nom d'hôte. --dbport port_bdd Indiquez le numéro de port. --dbusername nomutil_bdd Indiquez le nom d'utilisateur. --dbuserpassword motdepasse_util_bdd Indiquez le mot de passe. Exemples sh configuretcrforims.sh --dbname nom_bdd --dbtype type_bdd --dbhostname nomhôte_bdd --dbport port_bdd --dbusername nomutil_bdd --dbuserpassword motdepasse Commande installtcr Cette commande permet d'installer manuellement l'outil Tioli Common Reporting. Cette commande permet d'installer manuellement l'outil Tioli Common Reporting. Le nom d'utilisateur administrateur est défini sur le compte non root créé lors de l'actiation. Paramètres Aucun. Exemples sh installtcr.sh [motdepasse-admin-tcr] Commande resetimsva Cette commande permet de réinitialiser le dispositif irtuel IMS Serer. Cette commande réinitialise le dispositif irtuel IMS Serer et supprime tous les changements de configuration effectués pendant l'actiation et la post-actiation. 116 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

131 Paramètres Aucun. Exemples sh resetimsva.sh Chapitre 12. Référence de l'interface ligne de commande 117

132 118 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

133 Remarques Le présent document peut contenir des informations ou des références concernant certains produits, logiciels ou serices IBM non annoncés dans ce pays. Pour plus d'informations sur les produits et les serices actuellement disponibles dans otre pays, consultez otre représentant IBM local. Toute référence à un produit, logiciel ou serice IBM n'implique pas que seul ce produit, logiciel ou serice IBM puisse être utilisé. Tout autre élément fonctionnellement équialent peut être utilisé, s'il n'enfreint aucun droit d'ibm. Il est de la responsabilité de l'utilisateur d'éaluer et de érifier lui-même les installations et applications réalisées aec des produits, logiciels ou serices non expressément référencés par IBM. IBM peut détenir des breets ou des demandes de breet courant les produits mentionnés dans le présent document. La remise de ce document ne ous donne aucun droit de licence sur ces breets ou demandes de breet. Si ous désirez receoir des informations concernant l'acquisition de licences, euillez en faire la demande par écrit à l'adresse suiante : IBM Director of Licensing IBM Corporation North Castle Drie Armonk, NY U.S.A. Pour le Canada, euillez adresser otre courrier à : IBM Director of Commercial Relations IBM Canada Ltd Steeles Aenue East Markham, Ontario L3R 9Z7 Canada Les informations sur les licences concernant les produits utilisant un jeu de caractères double octet peuent être obtenues par écrit à l'adresse suiante : Intellectual Property Licensing Loi sur la propriété intellectuelle IBM Japon, Ltd , Nihonbashi-Hakozakicho, Chuo-ku Tokyo , Japon Le paragraphe suiant ne s'applique ni au Royaume-Uni, ni dans aucun pays dans lequel il serait contraire aux lois locales. LE PRESENT DOCUMENT EST LIVRE "EN L'ETAT". IBM DECLINE TOUTE RESPONSABILITE, EXPLICITE OU IMPLICITE, RELATIVE AUX INFORMATIONS QUI Y SONT CONTENUES, Y COMPRIS EN CE QUI CONCERNE LES GARANTIES DE NON-CONTREFAÇONS, VALEUR MARCHANDE OU D'ADAPTATION A VOS BESOINS. Certaines juridictions n'autorisent pas l'exclusion des garanties implicites, auquel cas l'exclusion ci-dessus ne ous sera pas applicable. Copyright IBM Corp. 2002,

134 Le présent document peut contenir des inexactitudes ou des coquilles. Ce document est mis à jour périodiquement. Chaque nouelle édition inclut les mises à jour. IBM peut, à tout moment et sans préais, modifier les produits et logiciels décrits dans ce document. Les références à des sites Web non IBM sont fournies à titre d'information uniquement et n'impliquent en aucun cas une adhésion aux données qu'ils contiennent. Les éléments figurant sur ces sites Web ne font pas partie des éléments du présent produit IBM et l'utilisation de ces sites relèe de otre seule responsabilité. IBM pourra utiliser ou diffuser, de toute manière qu'elle jugera appropriée et sans aucune obligation de sa part, tout ou partie des informations qui lui seront fournies. Les licenciés souhaitant obtenir des informations permettant : (i) l'échange des données entre des logiciels créés de façon indépendante et d'autres logiciels (dont celui-ci), et (ii) l'utilisation mutuelle des données ainsi échangées, doient adresser leur demande à : IBM Corporation 2Z4A/ Burnet Road Austin, TX U.S.A. Ces informations peuent être soumises à des conditions particulières, préoyant notamment le paiement d'une redeance. Le logiciel sous licence décrit dans ce document et tous les éléments sous licence disponibles s'y rapportant sont fournis par IBM conformément aux dispositions du Liret contractuel IBM, des Conditions Internationales d'utilisation de Logiciels IBM ou de tout autre accord équialent. Les données de performance indiquées dans ce document ont été déterminées dans un enironnement contrôlé. Par conséquent, les résultats peuent arier de manière significatie selon l'enironnement d'exploitation utilisé. Certaines mesures éaluées sur des systèmes en cours de déeloppement ne sont pas garanties sur tous les systèmes disponibles. En outre, elles peuent résulter d'extrapolations. Les résultats peuent donc arier. Il incombe aux utilisateurs de ce document de érifier si ces données sont applicables à leur enironnement d'exploitation. Les informations concernant des produits non IBM ont été obtenues auprès des fournisseurs de ces produits, par l'intermédiaire d'annonces publiques ou ia d'autres sources disponibles. IBM n'a pas testé ces produits et ne peut confirmer l'exactitude de leurs performances ni leur compatibilité. Elle ne peut receoir aucune réclamation concernant des produits non IBM. Toute question concernant les performances de produits non IBM doit être adressée aux fournisseurs de ces produits. Toute instruction relatie aux intentions d'ibm pour ses opérations à enir est susceptible d'être modifiée ou annulée sans préais, et doit être considérée uniquement comme un objectif. Tous les tarifs indiqués sont les prix de ente actuels suggérés par IBM et sont susceptibles d'être modifiés sans préais. Les tarifs appliqués peuent arier selon les reendeurs. 120 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

135 Ces informations sont fournies uniquement à titre de planification. Elles sont susceptibles d'être modifiées aant la mise à disposition des produits décrits. Le présent document peut contenir des exemples de données et de rapports utilisés couramment dans l'enironnement professionnel. Pour les illustrer aussi complètement que possible, les exemples incluent les noms des indiidus, sociétés, marques et produits. Toute ressemblance aec des noms de personnes, de sociétés ou des données réelles serait purement fortuite. LICENCE DE COPYRIGHT : Le présent logiciel contient des exemples de programmes d'application en langage source destinés à illustrer les techniques de programmation sur différentes plateformes d'exploitation. Vous aez le droit de copier, de modifier et de distribuer ces exemples de programmes sous quelque forme que ce soit et sans paiement d'aucune redeance à IBM, à des fins de déeloppement, d'utilisation, de ente ou de distribution de programmes d'application conformes aux interfaces de programmation des plateformes pour lesquels ils ont été écrits ou aux interfaces de programmation IBM. Ces exemples de programmes n'ont pas été rigoureusement testés dans toutes les conditions. Par conséquent, IBM ne peut garantir expressément ou implicitement la fiabilité, la maintenabilité ou le fonctionnement de ces programmes. Vous aez le droit de copier, de modifier et de distribuer ces exemples de programmes sous quelque forme que ce soit et sans paiement d'aucune redeance à IBM, à des fins de déeloppement, d'utilisation, de ente ou de distribution de programmes d'application conformes aux interfaces de programmation IBM. Si ous isualisez ces informations en ligne, il se peut que les photographies et illustrations en couleur n'apparaissent pas à l'écran. Marques déposées IBM, le logo IBM et ibm.com sont des marques d'international Business Machines Corp. dans de nombreux pays. Les autres noms de produits et de serices peuent être des marques d'ibm ou d'autres sociétés. La liste actualisée de toutes les marques d'ibm est disponible sur la page Web, "Copyright and trademark information" à l'adresse Adobe, Acrobat, PostScript et toutes les marques incluant Adobe sont des marques d'adobe Systems Incorporated aux Etats-Unis et/ou dans certains autres pays. IT Infrastructure Library est une marque de The Central Computer and Telecommunications Agency qui fait désormais partie de The Office of Goernment Commerce. Intel, le logo Intel, Intel Inside, le logo Intel Inside, Intel Centrino, le logo Intel Centrino, Celeron, Intel Xeon, Intel SpeedStep, Itanium et Pentium sont des marques d'intel Corporation ou de ses filiales aux Etats-Unis et dans certains autres pays. Linux est une marque de Linus Toralds aux Etats-Unis et/ou dans certains autres pays. Microsoft, Windows, Windows NT et le logo Windows sont des marques de Microsoft Corporation aux Etats-Unis et/ou dans certains autres pays. Remarques 121

136 ITIL est une marque de The Office of Goernment Commerce et est enregistrée au bureau américain Patent and Trademark Office. UNIX est une marque enregistrée de The Open Group aux Etats-Unis et/ou dans certains autres pays. Jaa ainsi que tous les logos et toutes les marques incluant Jaa sont des marques d'oracle et/ou de ses sociétés affiliées. Cell Broadband Engine est une marque de Sony Computer Entertainment, Inc. aux Etats-Unis et/ou dans certains autres pays, utilisée sous licence. Linear Tape-Open, LTO, le logo LTO, Ultrium et le logoultrium sont des marques d'hp, IBM Corp. et Quantum aux Etats-Unis et dans d'autres pays. Les autres noms de sociétés, de produits et de serices peuent appartenir à des tiers. Remarques sur les règles de confidentialité Les produits logiciels IBM, notamment les solutions SaaS (Software-as-a-Serice, solutions de logiciel sous forme de serices), ("Offres logicielles") peuent utiliser des cookies ou d'autres technologies pour collecter des informations sur l'utilisation des produits, afin de contribuer à améliorer l'acquis de l'utilisateur final et de personnaliser les interactions aec celui-ci, ou à d'autres fins. Dans la plupart des cas, aucune information identifiant la personne n'est collectée par les Offres logicielles. Certaines de nos Offres logicielles peuent ous aider à collecter des informations identifiant la personne. Si cette Offre logicielle utilise des cookies pour collecter des informations identifiant la personne, des informations spécifiques sur l'utilisation de cookies par cette offre sont énoncées ci-dessous. Cette Offre logicielle collecte le nom, le mot de passe ou d'autres informations identifiantes de chaque utilisateur à l'aide d'autres technologies à des fins de gestion de session, d'authentification, de configuration de la connexion unique, de suii de l'utilisation ou fonctionnelles. Ces technologies peuent être désactiées, mais ce faisant, ous neutralisez également la fonctionnalité qu'elles procurent. Si les configurations déployées pour cette offre logicielle ous permettent, en tant que client, de collecter des informations identifiant la personne à partir des utilisateurs finals ia des cookies et d'autres technologies, ous deez consulter otre conseiller juridique au sujet des lois qui s'appliquent à une telle opération de collecte de données, y compris les exigences en matière de notification et d'accord. Pour plus d'informations sur les différentes technologies, y compris les cookies, utilisées à ces fins, consultez l'article IBM s Priacy Policy ( priacy) et l'article IBM s Online Priacy Statement ( priacy/details/us/en), ainsi que la section intitulée «Cookies, Web Beacons and Other Technologies» et l'article «Software Products and Software-as-a-Serice Priacy». 122 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

137 Glossaire Le présent glossaire comprend les termes et les définitions associés à IBM Security Access Manager for Enterprise Single Sign-On. Le présent glossaire comprend les références croisées suiantes : Voir ous renoie d'un terme ers son synonyme préféré ou d'un acronyme ou d'une abréiation ers sa forme complète définie. Voir aussi ous renoie ers un terme associé ou un contraire. Pour consulter les glossaires relatifs à d'autres produits IBM, accédez à l'adresse terminology (la page s'oure dans une nouelle fenêtre). A accès à distance sécurisé La solution qui permet une connexion unique basée sur le naigateur Web à toutes les applications de l'extérieure du pare-feu. action Dans le profilage, une opération qui peut être effectuée en réponse à un déclencheur. Par exemple, le remplissage automatique des informations relaties au nom d'utilisateur et au mot de passe dès qu'une fenêtre de connexion s'affiche. Actie Directory (AD) Serice de répertoires hiérarchique qui permet une gestion centralisée et sécurisée de l'ensemble d'un réseau ; composant central de la plateforme Microsoft Windows. AD Voir Actie Directory. administrateur Personne chargée de tâches d'administration, par exemple la gestion de contenu ou des droits d'accès. Les administrateurs peuent accorder différents nieaux de droits d'accès aux utilisateurs. Adresse IP Adresse unique d'un périphérique ou d'une unité logique sur un réseau qui utilise la norme IP (Internet Protocol). Voir aussi nom d'hôte. agent de noeud Agent administratif gérant tous les sereurs d'application sur un noeud et représentant le noeud dans la cellule de gestion. annuaire d'entreprise Annuaire des comptes d'utilisateur qui définissent les utilisateurs d'ibm Security Access Manager for Enterprise Single Sign-On. Il alide les données d'identification fournies par l'utilisateur au moment de la connexion si le mot de passe indiqué est identique à celui qu'il contient. Par exemple, Actie Directory est un annuaire d'entreprise. API (Application Programming Interface) Voir interface de programme d'application. API de proisionnement Interface permettant à IBM Security Access Manager for Enterprise Single Sign-On de s'intégrer aec des systèmes de proisionnement utilisateur. application Système fournissant l'interface utilisateur pour la lecture ou l'entrée des données d'identification. application publiée Application installée sur le sereur Citrix XenApp, accessible à partir de clients Citrix ICA. audit Processus de journalisation des actiités de l'utilisateur, de l'administrateur et du serice d'assistance. authentification à deux facteurs L'utilisation de deux facteurs pour authentifier un utilisateur. Par exemple, utilisation d'un mot de passe et d'une carte RFID pour se connecter à AccessAgent. authentification forte Solution qui utilise des périphériques d'authentification multi-facteur afin d'empêcher un accès non autorisé aux données confidentielles et aux réseaux Copyright IBM Corp. 2002,

138 informatiques de l'entreprise, de son périmètre ou de l'extérieur. authentification portable Facteur d'authentification permettant à des utilisateurs de téléphone portable de se connecter en toute sécurité à leurs ressources d'entreprise à partir de n'importe quel endroit du réseau. autorité de certification (CA) Entreprise ou organisation tierce reconnue qui émet des certificats numériques. L'autorité de certification érifie généralement l'identité des personnes auxquelles le certificat unique est accordé. Voir aussi certificat. autorité de certification racine (root CA) Autorité de certification au sommet de la hiérarchie des autorités, qui érifie l'identité du détenteur d'un certificat. B basculement Opération automatique consistant à basculer sur un système/noeud redondant ou de secours en cas d'indisponibilité du logiciel, du matériel ou du réseau. bibliothèque de liaison dynamique (DLL) Fichier contenant du code exécutable et des données liés à un programme en phase de chargement ou d'exécution, plutôt qu'en phase de liaison. Le code et les données d'une DLL peuent être partagés simultanément par plusieurs applications. biométries Identification d'un utilisateur en fonction de ses caractéristiques physiques (par exemple, empreinte digitale, couleur des yeux, isage, oix ou écriture). bureau électronique publié Fonction Citrix XenApp où les utilisateurs disposent d'un accès distant à un bureau Windows complet à partir de n'importe quel appareil, de n'importe où et à tout moment. bureau irtuel Interface utilisateur dans un enironnement irtualisé, stockée sur un sereur distant. C CA (Certificate authority) Voir autorité de certification. CAPI Voir interface de programmation d'application cryptographique. capture automatique Processus permettant à un système de collecter et de réutiliser des données d'identification de l'utilisateur pour différentes applications. Ces données d'identification sont capturées lorsque l'utilisateur saisit des informations pour la première fois, et sont ensuite enregistrées et sécurisées pour une utilisation ultérieure. CA racine (root CA) Voir autorité de certification racine. carte à puce Jeton intelligent intégré dans la puce d'un circuit intégré et qui fournit une capacité de mémoire et des fonctions informatiques. carte à puce hybride Carte à puce conforme à la norme ISO-7816 qui contient une puce à chiffrement à clé publique et une puce RFID. La puce cryptographique est accessible ia l'interface de contact. La puce RFID est accessible ia l'interface sans contact (RF). carte RFID actie Voir identification par radiofréquence actie. CCOW Voir Clinical Context Object Workgroup. cellule Groupe de processus gérés fédérés sur un même gestionnaire de déploiement et pouant inclure des groupes de base haute disponibilité. certificat En sécurité informatique, document numérique qui associe une clé publique à l'identité d'un propriétaire de certificat, permettant ainsi l'authentification de ce propriétaire de certificat. Un certificat est émis par une autorité de certification et signé numériquement par cette autorité. Voir aussi autorité de certification (CA). 124 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

139 chaîne de serice d'accréditation Chaîne de modules qui fonctionnent dans différents modes, comme la alidation, le mappage et l'émission de fichier de clés certifiées. chaîne de serice d'accréditation de sécurité Groupe d'instances de module configurées pour être utilisées simultanément. Chaque instance de module dans la chaîne est appelée à tour de rôle pour effectuer une fonction spécifique, dans le cadre du processus général d'une requête. changement rapide d'utilisateur Fonction permettant aux utilisateurs de passer d'un compte utilisateur à un autre sur un poste de traail unique sans quitter ni fermer les applications. clé priée En sécurité informatique, partie secrète d'une paire de clés cryptographiques utilisées aec un algorithme de clé publique. La clé priée est uniquement connue de son propriétaire. Des clés priées sont généralement utilisées pour les données associées à une signature numérique et pour déchiffrer des données chiffrées à l'aide de la clé publique correspondante. CLI Voir interface de ligne de commande. client léger Client ayant peu, oire pas, de logiciels installés mais ayant accès au logiciel géré et distribué par les sereurs réseau auquel il est connecté. Un client léger est une alternatie à un client lourd tel qu'un poste de traail. Clinical Context Object Workgroup (CCOW) Norme indépendante du fournisseur, relatie à l'échange d'informations entre applications médicales dans l'industrie médicale. clone lié Copie d'une machine irtuelle qui partage des disques irtuels aec la machine irtuelle parente d'une façon permanente. cluster Ensemble de sereurs d'applications qui collaborent pour l'équilibrage de la charge de traail et le basculement. code confidentiel (PIN) Dans le support de chiffrement, numéro unique affecté par une organisation à un indiidu et utilisé comme preue de son identité. Les codes confidentiels sont généralement attribués par les organismes financiers à leurs clients. code d'autorisation Code alphanumérique généré pour des fonctions administraties, comme réinitialiser un mot de passe ou ignorer l'authentification à deux facteurs. code d'éénement Code représentant un éénement particulier qui est contrôlé et consigné dans les tableaux du journal d'audit. connecteur de canal irtuel Connecteur utilisé dans un enironnement de serices de terminal. Le connecteur de canal irtuel établit un canal de communication irtuel pour gérer les sessions distantes entre le composant AccessAgent Client et le composant AccessAgent Sereur. connexion automatique Fonction permettant aux utilisateurs de se connecter au système d'automatisation de connexion et à ce système de connecter l'utilisateur à toutes les autres applications. connexion automatique Technologie utilisant les interfaces utilisateur des applications pour automatiser le processus de connexion pour les utilisateurs. connexion unique d'entreprise (ESSO) Mécanisme permettant aux utilisateurs de se connecter à toutes les applications déployées dans l'entreprise en saisissant un ID utilisateur et d'autres données d'identification, par exemple un mot de passe. connexion unique (SSO) Processus d'authentification par lequel un utilisateur peut accéder à plusieurs systèmes ou applications en saisissant un seul ID utilisateur et mot de passe. CSN (Card Serial Number) Voir numéro de série de la carte. CSP Voir fournisseur de serice cryptographique. Glossaire 125

140 D déclencheur En profilage, un éénement qui prooque des transitions entre les états dans un moteur d'états, tel le chargement d'une page Web ou l'apparition d'une fenêtre sur le bureau. déploiement autonome Déploiement dans lequel IMS Serer est déployé dans un profil WebSphere Application Serer indépendant. déploiement réseau Déploiement d'un sereur IMS sur un cluster WebSphere Application Serer. déproisionnement d'utilisateur Processus de suppression d'un compte utilisateur d'ibm Security Access Manager for Enterprise Single Sign-On. déproisionner Supprimer un serice ou un composant. Par exemple, déproisionner un compte signifie supprimer ce compte d'une ressource. Voir aussi proisionner. détecteur de présence Périphérique fixé à l'ordinateur qui détecte lorsqu'une personne s'en éloigne. Cela éite de errouiller manuellement l'ordinateur lors d'une absence de courte durée. dispositif irtuel Image de machine irtuelle aec un objet applicatif spécifique qui est déployée sur des plateformes de irtualisation. DLL (Dynamic Link Library) Voir bibliothèque DLL. DN (Distinctie Name) Voir nom distinctif. DNS (Domain Name Serer) Voir sereur de noms de domaine. données de compte Informations de connexion requises pour érifier un serice d'authentification. Il peut s'agir du nom d'utilisateur, du mot de passe et du serice d'authentification pour lesquels les informations de connexion sont stockées. données d'identification Actie Directory Nom d'utilisateur et mot de passe Actie Directory. données d'identification d'utilisateur Informations acquises pendant l'authentification qui décrient un utilisateur, des associations de groupes ou d'autres attributs d'identité liés à la sécurité et qui sont utilisées pour effectuer des serices tels que l'autorisation, l'audit ou la délégation. Par exemple, un ID utilisateur et un mot de passe sont des données d'identification qui permettent d'accéder aux ressources du réseau et du système. droit d'accès Informations acquises pendant l'authentification qui décrient un utilisateur, des associations de groupes ou d'autres attributs d'identité liés à la sécurité et qui sont utilisées pour effectuer des serices tels que l'autorisation, l'audit ou la délégation. Par exemple, un ID utilisateur et un mot de passe sont des données d'identification qui permettent d'accéder aux ressources du réseau et du système. E élément de données de compte Données d'identification permettant à l'utilisateur d'ourir une session. émulateur de terminal Programme permettant à un périphérique tel qu'un micro-ordinateur ou un ordinateur personnel d'entrer et de receoir des données à partir d'un système informatique comme s'il s'agissait d'un type de terminal relié particulier. enironnement d'exécution Jaa (JRE) Sous-ensemble d'un kit de déeloppeur Jaa qui contient les programmes et fichiers exécutables de base constituant la plateforme Jaa standard. L'enironnement d'exécution Jaa (JRE) inclut la machine irtuelle Jaa (JVM), les classes de base et les fichiers auxiliaires. équilibrage de charge Sureillance des sereurs d'applications et gestion de la charge de traail sur les sereurs. Si un sereur excède sa charge de traail, les demandes sont transmises à un autre sereur d'une capacité supérieure. 126 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

141 ESSO (Enterprise Single Sign-On) Voir connexion unique d'entreprise. état pouant être fixé Etat d'un widget de profil d'accès qui peut être combiné au profil d'accès principal pour réutiliser la fonction du widget. F facteur d'authentification L'unité, les biométries ou les secrets requis comme données d'identification pour alider des identités numériques. Les facteurs d'authentification sont par exemple les mots de passe, la carte à puce, la carte RFID, les biométries et les jetons de mots de passe à usage unique. facteur d'authentification principal Mot de passe IBM Security Access Manager for Enterprise Single Sign-On ou données d'identification du sereur d'annuaire. fichier de clés En sécurité, fichier ou carte cryptographique matérielle où sont stockées les clés priées et les identités, à des fins d'authentification et de chiffrement. Certains magasins de clés contiennent aussi des clés publiques ou certifiées. Voir aussi fichier de clés certifiées. fichier de clés certifiées Dans le domaine de la sécurité, objet d'archiage (fichier ou carte cryptographique matérielle) où sont stockées ses clés publiques sous forme de certificats sécurisés, à des fins d'authentification lors de transactions Internet. Dans certaines applications, ces certificats sécurisés sont déplacés dans le fichier de clés de l'application pour être stockés aec les clés priées. Voir aussi magasin de clés. FIPS Voir Federal Information Processing Standard. FIPS (Federal Information Processing Standard) Norme élaborée par le National Institute of Standards and Technology lorsqu'il n'existe aucune norme nationale ou internationale compatibles aec les exigences du gouernement des Etats-Unis. fournisseur de serice cryptographique (CSP) Une fonction du système d'exploitation i5/os qui fournit des API. Le fournisseur CSP (Cryptographic Serice Proider) CCA permet à un utilisateur d'exécuter des fonctions sur le coprocesseur FQDN (Fully Qualified Domain Name) Voir nom de domaine complet. G gestion de la durée de alidité des mots de passe Fonction de sécurité par laquelle le superutilisateur peut indiquer à quelle fréquence les utilisateurs doient changer leur mot de passe. gestionnaire de déploiement Sereur qui gère et configure des opérations pour un groupe logique ou une cellule d'autres sereurs. gestionnaire de portefeuille Composant d'interface graphique IBM Security Access Manager for Enterprise Single Sign-On qui permet aux utilisateurs de gérer leurs données d'identification d'application dans le portefeuille d'identités personnelles. GINA Voir identification et authentification graphiques. GPO (Group Policy Objet) Voir objet de règles de groupe. groupe de correctifs Collection cumulatie de correctifs proposée entre des modules de mises à jour planifiés, des mises à jour de fabrication ou des éditions. Un groupe de correctifs met à jour le système pour passer à un nieau de maintenance spécifique. H HA (High Aailability) Voir haute disponibilité. haute disponibilité (HA) Capacité du serice informatique à résister à toutes les indisponibilités et à continuer à traiter les données, conformément à un nieau de serice prédéfini. Les indisponibilités couertes incluent les éénements planifiés, par exemple la maintenance et les Glossaire 127

142 I sauegardes et les éénements non planifiés, comme les pannes logicielles et matérielles, les coupures d'électricité et les sinistres. identification et authentification graphiques (GINA) Bibliothèque de liaison dynamique qui comporte une interface utilisateur étroitement intégrée aux facteurs d'authentification, qui fournit des options de réinitialisation de mots de passe et de non-prise en compte des facteurs secondaires. identification par radiofréquence actie (carte RFID actie) Second facteur d'authentification et détecteur de présence. Voir aussi identification par radiofréquence. identification par radiofréquence (RFID) Une technologie d'identification et de capture de données automatique qui identifie les éléments uniques et qui transmet des données par ondes radio. Voir aussi identification par radiofréquence actie. identité numérique et authentification forte Grâce à ce type d'identité et d'authentification d'une personne en ligne, il est très difficile de se faire passer pour elle car son profil est sécurisé par des clés priées sauegardées sur une carte à puce. image de base Modèle pour un bureau irtuel. infrastructure de bureau irtuel Infrastructure constituée de systèmes d'exploitation de bureau hébergés au sein de machines irtuelles sur un sereur centralisé. inscription Pour demander une ressource. instantané Etat, données et configuration matérielle capturés d'une machine irtuelle en cours d'exécution. interface aec le fournisseur de serice (SPI) Interface ia laquelle les fournisseurs peuent intégrer des périphériques dotés de numéros de série à IBM Security Access Manager for Enterprise Single Sign-On et les utiliser comme second facteur dans AccessAgent. interface de ligne de commande Interface informatique dans laquelle les données d'entrée et de sortie sont de type texte. interface de programmation d'application cryptographique (CAPI) Une interface de programme d'application qui offre des serices permettant aux déeloppeurs de sécuriser des applications à l'aide de la cryptographie. Il s'agit d'un ensemble de bibliothèques reliées de façon dynamique qui fournit une couche abstraction qui isole les programmeurs du code utilisé pour chiffrer les données. interface de programme d'application (application programming interface) (API) Interface permettant à un programme d'application écrit en langage éolué d'utiliser des données ou des fonctions spécifiques du système d'exploitation ou d'un autre programme. interface fournisseur de serice d'id série Interface de programmes conçue pour l'intégration d'accessagent aec des dispositifs Serial ID tiers utilisés pour l'authentification à deux facteurs. J Jaa Management Extensions (JMX) Méthode de gestion de la technologie Jaa et ia cette technologie. JMX est une extension ouerte unierselle du langage de programmation Jaa pour la gestion, qui peut être déployée pour tous les secteurs d'actiités, dès lors que de la gestion est nécessaire. jeton OTP Petit périphérique matériel très portable que le propriétaire transporte pour autoriser l'accès à des systèmes numériques et des ressources matérielles. JMX Voir Jaa Management Extensions. JRE (Jaa Runtime Enironment) Voir enironnement d'exécution Jaa. JVM Voir machine irtuelle Jaa. 128 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

143 L langue bidirectionnelle Une langue qui utilise une écriture, comme l'arabe ou l'hébreu, dont le flux général de texte a horizontalement de droite à gauche, mais les nombres, l'anglais et les autres langues de gauche à droite sont écrits de gauche à droite. LDAP Voir Lightweight Directory Access Protocol. Lightweight Directory Access Protocol (LDAP) Protocole ouert qui utilise TCP/IP pour fournir un accès à des répertoires qui prennent en charge un modèle X.500. Un protocole LDAP permet de localiser des indiidus, des organisations et d'autres ressources dans un annuaire Internet ou intranet. M machine irtuelle Jaa (JVM) Implémentation logicielle d'un processeur qui exécute du code Jaa compilé (applets et applications). message modal système Boîte de dialogue système généralement utilisée pour afficher des messages importants. Lorsqu'un message modal système est affiché, ous ne pouez rien sélectionner à l'écran tant que le message n'est pas fermé. middleware de carte à puce Logiciel jouant le rôle d'interface entre des applications de carte à puce et du matériel de carte à puce. Généralement, ce logiciel est constitué de bibliothèques qui mettent en oeure la norme PKCS#11 et des interfaces CAPI sur des cartes à puce. mise en cache de portefeuille Processus, lors de la connexion unique pour une application, par lequel AccessAgent extrait les données d'identification de connexion du portefeuille d'identification de l'utilisateur. Le portefeuille d'identification de l'utilisateur est téléchargé sur la machine de l'utilisateur et stocké de manière sécurisée sur le sereur IMS. mode graphique interactif Série de panneaux demandant des informations pour effectuer l'installation. modèle de données de compte Un modèle qui définit le format des données de compte à stocker pour les données d'identification capturées à l'aide d'un profil d'accès spécifique. modèle d'éléments de données de compte Un modèle qui définit les propriétés d'un élément de données de compte. modèle de règle Formulaire de règles prédéfini qui aide les utilisateurs à définir une règle en fournissant les éléments de la règle qui ne peuent être modifiés et ceux qui peuent l'être. mode léger Mode AccessAgent sereur. Le fonctionnement en mode léger réduit l'encombrement mémoire d'accessagent sur un sereur Terminal Serer ou Citrix Serer et améliore le temps de démarrage de la connexion unique. mode silencieux Méthode d'installation ou de désinstallation d'un composant de produit de la ligne de commande sans affichage de l'interface graphique. En mode silencieux, ous deez indiquer directement les données requises par le programme d'installation ou le programme de désinstallation sur la ligne de commande ou dans fichier (appelé fichier d'options ou fichier de réponses). module de localisation de sereur Une releeur de coordonnées qui regroupe un ensemble connexe d'applications Web nécessitant une authentification par le même serice d'authentification. Dans AccessStudio, les modules de localisation de sereur identifient le serice d'authentification auquel un écran d'application est associé. mot de passe aléatoire Mot de passe généré de manière arbitraire et utilisé pour augmenter la sécurité de l'authentification entre les clients et les sereurs. mot de passe à utilisation unique (OTP) Mot de passe à utilisation unique généré pour un éénement d'authentification, parfois transmis entre le client et le sereur ia un canal sécurisé. Glossaire 129

144 N noeud Regroupement logique de sereurs gérés. Voir aussi noeud géré. noeud géré Noeud fédéré sur un gestionnaire de déploiement, contenant un agent de noeud et pouant contenir des sereurs gérés. Voir aussi noeud. nom de domaine qualifié complet En communications Internet, nom d'un système hôte qui comprend tous les sous-noms du nom de domaine. rchland.net.ibm.com est un exemple de nom de domaine complètement qualifié. Voir aussi nom d'hôte. nom d'hôte En communication Internet, nom donné à un ordinateur. Le nom d'hôte peut être un nom de domaine complet comme monordinateur.ille.société.com ou un sous-nom spécifique comme monordinateur. Voir aussi nom de domaine complet, adresse IP. nom distinctif de base Nom indiquant le point de départ des recherches dans le sereur d'annuaire. nom distinctif de liaison Nom indiquant les données d'identification que le sereur d'applications doit utiliser pour se connecter à un serice d'annuaire. Le nom distinctif identifie de manière unique une entrée dans un répertoire. Nom distinctif (DN) Nom identifiant de manière unique une entrée dans un répertoire. Un nom distinctif est constitué de paires de aleurs d'attributs, séparées par des irgules. Par exemple, CN=nom de personne et C=pays ou région. numéro de série Numéro unique intégré dans les clés IBM Security Access Manager for Enterprise Single Sign-On. Il yaunnuméro par clé et il ne peut pas être modifié. numéro de série de la carte (CSN) Elément de donnée unique qui identifie une carte à puce hybride. Il n'est aucunement lié aux certificats installés sur la carte à puce. O objet de règles de groupe (GPO) Ensemble de paramètres de règles de groupe. Les objets de règles de groupe sont des documents créés par le composant logiciel enfichable de règles de groupe. Les objets de règles de groupe sont stockés au nieau du domaine et affectent les utilisateurs et les ordinateurs contenus dans des sites, domaines et unités organisationnelles. OTP (One-Time Password) Voir mot de passe à utilisation unique. P PIN (Personal Identification Number) Voir code confidentiel. PKCS Voir normes PKCS. pont de proisionnement Processus de distribution des données d'identification IMS Serer automatique aec des systèmes de proisionnement tiers qui utilise des bibliothèques API aec une connexion SOAP. pool de bureaux Ensemble de bureaux irtuels de configurations similaires destinée à être utilisés par un groupe d'utilisateurs désigné. portail Point d'accès unique et sécurisé à différentes informations, applications et personnes, qui peut être personnalisé et adapté. portée Fait référence à l'applicabilité d'une règle, au nieau du système, de l'utilisateur ou de la machine. porte-monnaie Magasin de données sécurisé des données d'identification d'accès d'un utilisateur et des informations associées qui inclut les ID utilisateur, les mots de passe, les certificats, les clés de chiffrement. profil du gestionnaire de déploiement Enironnement d'exécution WebSphere Application Serer qui gère des opérations pour un groupe logique ou une cellule d'autres sereurs. 130 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

145 protocole de bureau distant (RDP) Protocole facilitant l'affichage et la saisie à distance par connexions réseau pour les applications sereur Windows. RDP prend en charge différentes topologies de réseau et de multiples connexions. proisionnement d'utilisateur Processus d'inscription d'un utilisateur pour l'utilisation d'ibm Security Access Manager for Enterprise Single Sign-On. proisionner Fournir, déployer et suire un serice, un composant, une application ou une ressource. Voir aussi déproisionner. Public Key Cryptography Standards (PKCS) Ensemble de protocoles de norme industrielle utilisé pour sécuriser les échanges d'informations sur Internet. Les applications Domino Certificate Authority et Serer Certificate Administration peuent accepter des certificats au format PKCS. Q question confidentielle Question à laquelle seul l'utilisateur connaît la réponse. Une question secrète est utilisée comme fonction de sécurité pour érifier l'identité d'un utilisateur. R raccourci-claier Séquence de touches utilisée pour changer d'opérations entre différentes applications ou entre différentes fonctions d'une application. RADIUS Voir Remote Authentication Dial-in User Serice. RDP (Remote Desktop Protocol) Voir protocole de bureau distant. registre Référentiel contenant des informations d'accès et de configuration pour les utilisateurs, les systèmes et les logiciels. règle de complexité du mot de passe Règle indiquant la longueur minimale et maximale du mot de passe, le nombre minimal de caractères numériques et alphabétiques, et s'il faut autoriser un mélange de minuscules et de majuscules. règles d'applications Ensemble de règles et d'attributs régissant l'accès aux applications. répertoire Fichier contenant les noms et les informations de contrôle des objets ou d'autres annuaires. réplication Processus de gestion d'un jeu défini de données sur plusieurs emplacements. La réplication implique de copier les modifications indiquées apportées dans un emplacement (source) à un autre emplacement (cible) et de synchroniser les données dans ces deux emplacements. reprise sur sinistre Processus de restauration d'une base de données, d'un système ou de règles après la défaillance partielle ou totale d'un site prooqué par un éénement catastrophique tel qu'un tremblement de terre ou un incendie. Généralement, la reprise sur sinistre nécessite une sauegarde totale à un emplacement différent. réseau prié irtuel (VPN) Extension d'un intranet d'une société par le biais de l'infrastructure préfabriquée existante d'un réseau public ou prié. Un réseau irtuel prié garantit la sécurité des données transmises entre les deux points finaux de la connexion. réseau prié irtuel (VPN) SSL (Secure Sockets Layer) Sorte de réseau irtuel prié pouant être utilisé aec un naigateur Web standard. réoquer Retirer un priilège ou un droit à un ID autorisation. RFID (Radio Frequency Identification) Voir identification par radiofréquence. ruche de registre Dans les systèmes Windows, structure des données stockées dans le registre. Glossaire 131

146 S sac de données de compte Structure de données contenant en mémoire des données d'identification d'utilisateur pendant que la connexion unique est effectuée sur une application. Secure Sockets Layer (SSL) Protocole de sécurité offrant la confidentialité des communications. Le protocole SSL permet aux applications client/sereur de communiquer en les protégeant des écoutes clandestines, de la contrefaçon et de la falsification de messages. Security Token Serice (STS) Serice Web utilisé pour émettre et échanger des jetons de sécurité. sereur autonome Sereur totalement fonctionnel géré indépendamment de tous les autres sereurs et qui utilise sa propre console d'administration. sereur de base de données Programme logiciel utilisant un gestionnaire de base de données pour fournir des serices de base de données à d'autres logiciels ou ordinateurs. sereur de noms de domaine (DNS) Programme sereur qui fournit la conersion nom-adresse en mappant des noms de domaine sur des adresses IP. sereur Web Logiciel capable de satisfaire (serir) des demandes HTTP. serice d'authentification Serice qui érifie la alidité d'un compte ; les applications effectuent leur authentification aec leur propre magasin d'utilisateurs ou aec un annuaire d'entreprise. serice de répertoire Annuaire contenant les noms, les informations de profil et les adresses de machine de chaque utilisateur et ressource du réseau. Gère les comptes des utilisateurs et les autorisations en réseau. Lorsqu'un nom d'utilisateur est enoyé, il renoie les attributs de cet indiidu (comme son numéro de téléphone ou son adresse de courrier électronique). Les serices de répertoire utilisent des bases de données hautement spécialisées qui sont généralement de type hiérarchique en matière de conception et offrent des fonctions de recherche rapide. serice utilisateur d'accès entrant d'authentification distante (RADIUS) Système d'authentification et de statistiques qui utilise les sereurs d'accès pour offrir une gestion centralisée de l'accès aux grands réseaux. serice Web Application modulaire intégrée explicite pouant être publiée, reconnue et appelée sur un réseau utilisant des protocoles réseau standard. En général, le XML est utilisé pour baliser les données, le SOAP est utilisé pour transférer les données, le WSDL est utilisé pour décrire les serices disponibles et l'uddi est utilisé pour répertorier les serices disponibles. Voir aussi SOAP. signature En profilage, des données d'identification unique pour n'importe quelle application, fenêtre ou zone. Simple Mail Transfer Protocol (SMTP) Protocole d'application Internet pour transférer du courrier entre les utilisateurs d'internet. site de reprise sur sinistre Un emplacement secondaire pour l'enironnement de production en cas de sinistre. SMTP Voir protocole SMTP. SOAP Protocole simple basé sur XML, permettant d'échanger des informations dans un enironnement décentralisé et réparti. Le protocole SOAP peut être utilisé pour requérir et renoyer des informations et appeler des serices par Internet. Voir aussi serice Web. source de données Moyen par lequel une application accède à des données à partir d'une base de données. SPI (Serice Proider Interface) Voir interface fournisseur de serice. SSL Voir protocole Secure Sockets Layer. SSO (Single Sign-On) Voir connexion unique. 132 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

147 STS Voir Security Token Serice. synchronisation du mot de passe Actie Directory Fonction d'ibm Security Access Manager for Enterprise Single Sign-On qui synchronise le mot de passe ISAM ESSO aec le mot de passe Actie Directory. système de proisionnement Système offrant un serice de gestion du cycle de ie des identités pour les utilisateurs d'applications dans les entreprises et gérant leurs données d'identification. T tableau de bord Interface qui intègre les données de toute une ariété de sources et affiche de façon cohérente des informations pertinentes et contextuelles. tty Voir type de terminal. type de terminal (tty) Pilote de périphérique générique pour un affichage de texte. Une unité TTY effectue généralement des entrées et des sorties caractère par caractère. Virtual Member Manager (VMM) Composant WebSphere Application Serer qui fournit des applications dont la fonction sécurisée permet d'accéder à des données d'entité organisationnelle de base telles que les indiidus, les comptes de connexion et les rôles de sécurité. Visual Basic (VB) Langage de programmation piloté par éénement et enironnement de déeloppement intégré (IDE) de Microsoft. VMM Voir Virtual Member Manager. VPN Voir réseau prié irtuel. VPN (Virtual Priate Network) SSL Voir réseau prié irtuel Secure Sockets Layer. W WS-Trust Spécification de sécurité de serices Web qui définit un cadre pour que les modèles de confiance établissent une relation de confiance entre les serices Web. U URI (uniform resource identifier) Chaînes de caractères compacte permettant l'identification d'une ressource abstraite ou physique. utilisateur de recherche Utilisateur authentifié dans l'annuaire d'entreprise et qui recherche d'autres utilisateurs. IBM Security Access Manager for Enterprise Single Sign-On se sert de l'utilisateur de recherche pour extraire les attributs utilisateur du référentiel d'entreprise Actie Directory ou LDAP. V VB Voir Visual Basic. errouillage d'écran transparent Fonction qui, lorsqu'elle est actiée, permet aux utilisateurs de errouiller leur écran tout en oyant tout de même le contenu du bureau. Glossaire 133

148 134 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

149 Index A AccessAdmin 15 attributs de machine 22 attributs des utilisateurs 21 connexion 87 connexion par formulaire 20 de commentaires 23 interface utilisateur 15 paramètres de session 20 URL de l'aide 19 AccessAgent animation 64 configuration de l'interface 53 bannière 56 interface utilisateur 57 connexion automatique Jaa 60 fonctionnalités 58 lancement d'applications 53 raccourcis claier 64 errouillage d'écran transparent 60 accessibilité x, 64 ActieCode 11 aide, Obserer 61 animation 64 annuaires d'entreprise description 3 LDAP 3, 8 Microsoft Actie Directory 3 test de la connexion 10 Tioli Directory Serer 8 utilisateur de recherche 3, 8 attribut cn 10 attribut de messagerie 10 attribut de nom d'utilisateur 10 attributs de machine 93 authentification des utilisateurs biométries 37 client RADIUS 39 code d'autorisation 37 connexion 36 domaine RADIUS 41 mot de passe 37 Sereur RADIUS 38 B base de données restaurer 51 sauegarde 51 BIO-key adaptateur de ressources NLI 66 déploiement dans AccessAgent 67 déploiement dans IMS Serer 67 installation 67 biométrie Voir empreinte digitale C carte à puce 65 authentification 69, 71 hybride 75 importation des certificats 70 carte à puce hybride 75 carte RFID 65 clés de configuration IMS AccessAdmin 15 authentification des utilisateurs 36 connecteurs de message 31 IMS Bridge 34 paramètres d'ims Serer 23 source de données (paramètres aancés) 28 clientip.customheader.delimiter 28 clientip.customheader.isrtl 28 clientip.customheader.name 28 Commande cleanimsconfig 109 Commande collectlogs 115 Commande configuretcrforims 115 Commande deployisamessoims 110 Commande deployisamessoimsconfig 111 Commande exportimsconfig 111 Commande installtcr 116 Commande managepolpriority 112 commande manageprofiles 49 commande resetimsva 116 Commande setupcmdline 112 Commande upgradesymcrypto 112 Commande uploaddpx 113 Commande uploadoath 114 Commande uploadsync 115 composant Virtual Member Manager 3 compression HTTP 46 configuration de l'authentification 65 connecteur de message SMTP 31 Web 33 D déploiement sécurisé 83 Digipass 113 dispositif irtuel, scripts 115 DNS (Domain Name System) 5 Domain Name System (DNS) 5 données système 42 E éducation x empreinte digitale 65, 66 en ligne publications ii terminologie ii encentuate.ims 28 enregistrement des utilisateurs exclusiement MAC 78 équilibreur de charge 28 ESSO Credential Proider 57 ESSO GINA 53, 57 F feuille de traail de planification noms d'hôte 98 noms de profil 99 ports 98 répertoires 97 URL 98 utilisateurs 99 fichier key.p fichier trust.p fichiers CSV 114 fichiers DPX 113 fichiers EAR 111 fichiers JAR 42, 111 formation x G génération de rapports d'éénement 62 glossaire 123 I IBM serice de support logiciel xi Support Assistant xi identification de problème xi IMS Serer 23 certificat 25 chiffrement symétrique 25 fichier de clés 25 informations sur le sereur de journalisation 24 nom d'attribut 27 outil de diagnostic 11 paramètres diers 27 récupération 49 sauegarde 49 signature de journal 23 syslog 24 système de gestion des éénements 26 J Jaa 60 jeton OTP déploiement 78 enregistrement d'utilisateur 78 paramètres aancés OATH 80 paramètres de règles 79 jetons Authenex A-Key 114 JMX 95 Copyright IBM Corp. 2002,

150 L Layer 7 28 LDAP noms d'attribut 27 sereurs 8 M MAC 75, 76 message modal du système 62 Microsoft Actie Directory 3 modèles de règle utilisateur 91 modèles de règles 89 mots de passe réinitialiser 3 synchronisation 3 N NetBIOS configuration de Microsoft Actie Directory 3 configuration LDAP 8 nom distinctif (DN) 9 nom distinctif de base Actie Directory 3 LDAP 8 nom distinctif de liaison Actie Directory 3 LDAP 8 noms d'hôte 98 O Obserer, aide 61 OTP 75 OTP (OATH) 75 OTP et MAC 65 P ponts IMS Bridge IMS Handler 34 noms d'utilisateur 34 paramètres de base 35 profils restaurer 50 sauegarde 49 protocole SSL bidirectionnel 70 publications accès en ligne ii déclaration de bonnes pratiques de sécurité xi liste pour ce produit ii R raccourci-claier 63 raccourcis claier 64 référence de l'interface ligne de commande 109 Commande cleanimsconfig 109 Commande collectlogs 115 Commande configuretcrforims 115 référence de l'interface ligne de commande (suite) Commande deployisamessoims 110 Commande deployisamessoimsconfig 111 Commande exportimsconfig 111 Commande installtcr 116 Commande managepolpriority 112 commande resetimsva 116 Commande setupcmdline 112 Commande upgradesymcrypto 112 Commande uploaddpx 113 Commande uploadoath 114 Commande uploadsync 115 registre Windows 63 répertoires d'installation 97 RFID 65 S sauegarde base de données 49 IMS Serer 49 profils WAS 49 sauegarde des profils WAS 49 scripts, dispositif irtuel 115 sécurité du déploiement 83 désactiation de l'exploration des répertoires 85 limitation des tentaties de connexion 84 restriction des connexions HTTP 84 sécurisation de l'accès aux données 83 suppression des exemples de serlet 83 sereurs d'annuaire Voir annuaires d'entreprise sereurs d'annuaire d'entreprise 3 source de données données des journaux 30 général 29 IMS 30 SSL Actie Directory 6 sereurs LDAP 9 T Tioli Directory Serer 8 Tioli Identity Manager Actie Directory Adapter 3 U utilisateur non racine 100 utilisateur racine 100 utilitaire de configuration IMS 1, 15 paramètres de base 2 utilitaires 42 Utilitaire de configuration IMS ajout de serices d'authentification 2 connexion 1 création d'administrateurs 1 enregistrement d'utilisateur 78 Utilitaire de configuration IMS (suite) exportation des configurations du sereur 42 importation des configurations du sereur 44 OTP OATH 80 paramètres de démarrage 26 support biométrique 11 téléchargement de données système 42 traduction de codes 46 V errouillage d'écran transparent 60 Windows 7 58 Windows 8 58 W Windows 7, Windows 8 Ctrl+Alt+Suppr 58 errouillage d'écran transparent IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

151

152 GC