Guide de configuration

IBM Security Access Manager for Enterprise Single Sign-On Version 8.2.1 Guide de configuration GC11-6701-04

IBM Security Access Manager for Enterprise Single Sign-On Version 8.2.1 Guide de configuration GC11-6701-04

Important Aant d'utiliser ces informations et le produit associé, prenez connaissance des informations générales figurant à la section «Remarques», à la page 119. Notes d'édition Remarque : Cette édition s'applique à la ersion 8.2.1 de IBM Security Access Manager for Enterprise Single Sign-On (numéro de produit 5724 V67) et à toutes les éditions et modifications postérieures jusqu'à indication contraire dans les nouelles éditions. Copyright IBM Corporation 2002, 2014.

Table des matières Ais aux lecteurs canadiens...... A propos de cette publication..... ii Accès aux publications et à la terminologie.... ii Accessibilité.............. x Formation technique............ x Informations relaties au support....... xi Déclaration de bonnes pratiques de sécurité.... xi Chapitre 1. Configuration d'ims Serer. 1 Accès à l'utilitaire de configuration IMS..... 1 Création d'administrateurs IMS Serer...... 1 Paramètres de base............ 2 Ajout d'un serice d'authentification..... 2 Configuration d'ims Serer pour utiliser des sereurs d'annuaire........... 3 Actiation du support biométrique..... 11 Configuration du déploiement d'actiecode.. 11 Paramètres aancés............ 15 Configuration d'accessadmin....... 15 Configuration d'ims Serer........ 23 Configuration de la source de données.... 28 Configuration des connecteurs de message... 31 IMS Bridge............. 34 Configuration de l'authentification des utilisateurs............. 36 Utilitaires............... 42 Téléchargement de données système..... 42 Exportation de la configuration d'ims Serer à l'aide de l'utilitaire de configuration IMS... 42 Importation de la configuration d'ims Serer aec l'utilitaire de configuration IMS..... 44 Traduction de codes d'éénement et de résultat 46 Configuration de la compression HTTP..... 46 Chapitre 2. Sauegarde et récupération d'ims Serer, des profils WebSphere Application Serer et de la base de données.............. 49 Sauegarde des profils de WebSphere Application Serer................ 49 Restauration des profils de WebSphere Application Serer................ 50 Sauegarde de la base de données dans DB2... 50 Restauration de la base de données dans DB2... 51 Chapitre 3. Configuration d'accessagent........... 53 Configuration de l'interface utilisateur d'accessagent............. 53 Lancement d'applications à partir d'esso GINA 53 Changement de la bannière AccessAgent... 56 Changement de l'interface d'accessagent... 57 Désactiation du fournisseur de données d'identification ESSO ou ESSO GINA..... 57 Configuration des fonctionnalités d'accessagent.. 58 Changement de la prise en charge de Ctrl+Alt+Suppr dans Windows 7 et 8..... 58 Support du Verrouillage d'écran transparent sous Windows 7 et 8............ 58 Actiation et personnalisation du errouillage d'écran transparent dans Windows 7 et 8... 60 Actiation de la connexion unique pour les applications Jaa........... 60 Actiation de l'aide dans les boîtes de dialogue lancées dans le contexte des profils d'accès... 61 Configuration de la génération de rapports d'éénement dans le journal des éénements Windows.............. 62 Configuration de la boîte de message modale du système............... 62 Actiation du raccourci-claier d'urgence pour les bureaux priés (sous Windows XP uniquement)............. 63 Désactiation de l'accès en écriture au registre Windows.............. 63 Configuration des fonctions d'accessibilité d'accessagent............. 64 Actiation d'un effet d'animation pour AccessAgent............. 64 Raccourcis claier d'accessagent...... 64 Chapitre 4. Configuration d'une authentification forte......... 65 Configuration de l'authentification RFID..... 65 Configuration de l'authentification par empreinte digitale................ 66 Installation de l'adaptateur de ressources NLI.. 66 Intégration d'un lecteur d'empreintes digitales BIO-key.............. 67 Configuration de l'authentification par carte à puce 69 Actiation du protocole SSL bidirectionnel... 70 Importation des certificats de l'autorité de certification des cartes à puce....... 70 Actiation de l'authentification par carte à puce 71 Configuration de cartes à puce hybrides.... 75 Configuration de l'authentification par mot de passe à usage unique et Mobile ActieCode..... 75 Configuration d'otp (One-Time Password) (par OATH)............... 75 Configuration de Mobile ActieCode..... 76 Configuration de l'enregistrement des utilisateurs exclusiement MAC.......... 78 A propos de l'authentification RADIUS.... 78 Configuration des paramètres de règles de jeton OTP................ 79 Paramètres aancés des OTP OATH..... 80 Copyright IBM Corp. 2002, 2014 iii

Chapitre 5. Configuration d'un déploiement sécurisé........ 83 Suppression des exemples de serlet et d'application WebSphere Application Serer........ 83 Sécurisation de l'accès aux données de configuration 83 Limitation des tentaties de connexion..... 84 Restriction des connexions HTTP....... 84 Désactiation de l'exploration des répertoires... 85 Chapitre 6. Connexion à AccessAdmin 87 Chapitre 7. Définition de modèles de règle................ 89 Chapitre 8. Affectation automatique de modèles de règle utilisateur aux noueaux utilisateurs........ 91 Chapitre 9. Exclusion des attributs de machine.............. 93 Chapitre 10. Configuration du support JMX................ 95 Chapitre 11. Feuille de traail de planification............ 97 Chapitre 12. Référence de l'interface ligne de commande......... 109 Commande cleanimsconfig........ 109 Commande deployisamessoims....... 110 Commande deployisamessoimsconfig..... 111 Commande exportimsconfig........ 111 Commande managepolpriority....... 112 Commande setupcmdline......... 112 Commande upgradesymcrypto....... 112 Commande uploaddpx.......... 113 Commande uploadoath.......... 114 Commande uploadsync.......... 114 Scripts pour le dispositif irtuel....... 115 Commande collectlogs......... 115 Commande configuretcrforims...... 115 Commande installtcr.......... 116 Commande resetimsva......... 116 Remarques............ 119 Glossaire............. 123 A................. 123 B................. 124 C................. 124 D................. 126 E................. 126 F................. 127 G................. 127 H................. 127 I.................. 128 J.................. 128 L................. 129 M................. 129 N................. 130 O................. 130 P................. 130 Q................. 131 R................. 131 S................. 132 T................. 133 U................. 133 V................. 133 W................. 133 Index............... 135 i IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

Ais aux lecteurs canadiens Le présent document a été traduit en France. Voici les principales différences et particularités dont ous deez tenir compte. Illustrations Les illustrations sont fournies à titre d'exemple. Certaines peuent contenir des données propres à la France. Terminologie La terminologie des titres IBM peut différer d'un pays à l'autre. Reportez-ous au tableau ci-dessous, au besoin. IBM France ingénieur commercial agence commerciale ingénieur technico-commercial inspecteur IBM Canada représentant succursale informaticien technicien du matériel Claiers Les lettres sont disposées différemment : le claier français est de type AZERTY, et le claier français-canadien de type QWERTY. OS/2 et Windows - Paramètres canadiens Au Canada, on utilise : les pages de codes 850 (multilingue) et 863 (français-canadien), le code pays 002, le code claier CF. Nomenclature Les touches présentées dans le tableau d'équialence suiant sont libellées différemment selon qu'il s'agit du claier de la France, du claier du Canada ou du claier des États-Unis. Reportez-ous à ce tableau pour faire correspondre les touches françaises figurant dans le présent document aux touches de otre claier. Copyright IBM Corp. 2002, 2014

Breets Il est possible qu'ibm détienne des breets ou qu'elle ait déposé des demandes de breets portant sur certains sujets abordés dans ce document. Le fait qu'ibm ous fournisse le présent document ne signifie pas qu'elle ous accorde un permis d'utilisation de ces breets. Vous pouez enoyer, par écrit, os demandes de renseignements relaties aux permis d'utilisation au directeur général des relations commerciales d'ibm, 3600 Steeles Aenue East, Markham, Ontario, L3R 9Z7. Assistance téléphonique Si ous aez besoin d'assistance ou si ous oulez commander du matériel, des logiciels et des publications IBM, contactez IBM direct au 1 800 465-1234. i IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

A propos de cette publication IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration fournit des informations sur la configuration des paramètres d'ims Serer, de l'interface utilisateur d'accessagent et de son comportement. Accès aux publications et à la terminologie Cette section contient : Une liste des publications contenues dans la «Bibliothèque IBM Security Access Manager for Enterprise Single Sign-On». Des liens ers «Des publications en ligne», à la page x. Un lien ers «Site Web de terminologie IBM», à la page x. Bibliothèque IBM Security Access Manager for Enterprise Single Sign-On Les documents suiants sont disponibles dans la bibliothèque IBM Security Access Manager for Enterprise Single Sign-On : IBM Security Access Manager for Enterprise Single Sign-On - Guide de démarrage rapide, CF3T3ML IBM Security Access Manager for Enterprise Single Sign-On - Guide de démarrage rapide fournit un démarrage rapide pour les principales tâches d'installation et de configuration pour le déploiement et l'utilisation d'ibm Security Access Manager for Enterprise Single Sign-On. IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement, SC11655306 IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement contient des informations sur la planification du déploiement et la préparation de l'enironnement. Il contient une présentation des fonctions et des composants du produit, de l'installation et de la configuration requises ainsi que les différents scénarios de déploiement. Il décrit également comment obtenir une haute disponibilité et la reprise après sinistre. Lisez ce guide aant d'effectuer toute tâche d'installation ou de configuration. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'installation, GI11737604 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'installation fournit les procédures détaillées d'installation, de mise à nieau et de désinstallation d'ibm Security Access Manager for Enterprise Single Sign-On. Ce guide ous aide à installer les différents composants du produit et les middlewares qu'ils requièrent. Il comprend également les configurations initiales qui sont requises pour effectuer le déploiement du produit. Il traite des procédures d'utilisation des dispositifs irtuels, des éditions de WebSphere Application Serer Base et Network Deployement. IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration, GC11670104 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration fournit des informations sur la configuration des paramètres d'ims Serer, de l'interface utilisateur d'accessagent et de son comportement. Copyright IBM Corp. 2002, 2014 ii

IBM Security Access Manager for Enterprise Single Sign-On - Guide d'administration, SC11655205 Ce guide est destiné aux administrateurs. Il traite des différentes tâches d'administration. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'administration fournit les procédures pour créer et attribuer des modèles de règle, éditer des aleurs de règle, générer des journaux et des rapports et sauegarder IMS Serer et sa base de données. Utilisez ce guide en association aec IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles. IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles, SC11670304 IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles fournit une description détaillée des différentes règles utilisateur, machine et système que les administrateurs peuent configurer dans AccessAdmin. Utilisez-le en association aec IBM Security Access Manager for Enterprise Single Sign-On - Guide d'administration. IBM Security Access Manager for Enterprise Single Sign-On - Guide du serice d'assistance, SC11655403 Ce guide est destiné aux représentants du serice d'assistance. IBM Security Access Manager for Enterprise Single Sign-On - Guide du serice d'assistance fournit aux représentants du serice d'assistance des informations pour gérer les demandes et requêtes des utilisateurs, portant généralement sur leurs facteurs d'authentification. Utilisez ce guide en association aec IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'utilisation, SC11655105 Ce guide est destiné aux utilisateurs. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'utilisation explique comment utiliser AccessAgent et Web Workplace. IBM Security Access Manager for Enterprise Single Sign-On - Guide de résolution des problèmes et de support, GC11670203 IBM Security Access Manager for Enterprise Single Sign-On - Guide de résolution des problèmes et de support fournit des informations sur les problèmes liés à l'installation, la mise à nieau ou l'utilisation du produit. Il traite des problèmes connus et des limitations du produit. Il ous aide à déterminer les symptômes et la solution de contournement d'un problème. Vous y trouerez également des informations sur les correctifs, les bases de connaissances et le support technique. IBM Security Access Manager for Enterprise Single Sign-On - Guide de référence des messages d'erreur, GC11703802 IBM Security Access Manager for Enterprise Single Sign-On - Guide de référence des messages d'erreur décrit tous les messages d'information, d'aertissement et d'erreur associés à IBM Security Access Manager for Enterprise Single Sign-On. IBM Security Access Manager for Enterprise Single Sign-On - Guide AccessStudio, SC11655705 IBM Security Access Manager for Enterprise Single Sign-On - Guide AccessStudio fournit des informations sur la création et l'utilisation des profils d'accès. Il fournit des procédures pour la création et l'édition de profils d'accès standard et aancés pour différents types d'application. Il contient également des informations sur la gestion des serices d'authentification et des objets application ainsi que des informations sur d'autres fonctions et dispositifs d'accessstudio. iii IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

IBM Security Access Manager for Enterprise Single Sign-On - Guide des widgets AccessProfile, SC11726101 IBM Security Access Manager for Enterprise Single Sign-On - Guide des widgets AccessProfile fournit des informations sur la création et l'utilisation de widgets. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration de Tioli Endpoint Manager, SC11741400 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration de Tioli Endpoint Manager explique comment créer et déployer des fixlets pour installer ou mettre à nieau AccessAgent ou gérer ses correctifs. Il comprend également des rubriques sur l'utilisation et la personnalisation du tableau de bord pour afficher des informations sur le déploiement d'accessagent sur les noeuds finals. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration du proisionnement, SC11655803 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration du proisionnement fournit des informations sur les différentes API Jaa et SOAP pour l'attribution des accès. Il coure également les procédures d'installation et de configuration de l'agent Proisioning Agent. IBM Security Access Manager for Enterprise Single Sign-On - Guide de l'api Web de gestion des données d'identification, SC11703601 IBM Security Access Manager for Enterprise Single Sign-On - Guide de l'api Web de gestion des données d'identification fournit des informations sur l'installation et la configuration de l'api Web pour la gestion des données d'identification. IBM Security Access Manager for Enterprise Single Sign-On - Guide Serial ID SPI, SC11703501 IBM Security Access Manager for Enterprise Single Sign-On - Guide Serial ID SPI décrit comment intégrer une unité aec des numéros de série et l'utiliser en tant que second facteur d'authentification aec AccessAgent. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration d'epic, SC11741700 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration d'epic fournit des informations sur l'intégration d'ibm Security Access Manager for Enterprise Single Sign-On et d'epic, aec les flux de traaux, les configurations et le déploiement pris en charge. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration de la gestion de contexte, SC11655503 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration de la gestion de contexte fournit des informations sur l'installation, la configuration et le test de la solution intégrée de gestion de contexte sur chaque poste de traail client. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur mobile, SC11741501 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur mobile fournit des informations sur le déploiement et l'utilisation de la connexion unique sur les appareils mobiles. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau irtuelle, SC11741601 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau irtuelle fournit des informations sur la configuration de la prise en charge de la connexion unique sur une infrastructure de bureau irtuel, ainsi que les différents flux de traaux utilisateur pour accéder au bureau irtuel. A propos de cette publication ix

IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Serer et Citrix Serer, SC11741801 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Serer et Citrix Serer fournit des informations sur les configurations requises et les flux de traaux pris en charge par les sereurs Citrix Serer et Terminal Serer. Des publications en ligne IBM poste ses publications lors du lancement du produit et lorsque ces documents sont mis à jour aux emplacements suiants : Bibliothèque IBM Security Access Manager for Enterprise Single Sign-On Le site de la documentation du produit (http://pic.dhe.ibm.com/ infocenter/tiihelp/2r1/index.jsp?topic=/com.ibm.itamesso.doc_8.2.1/kchomepage.html) affiche la page d'accueil et les éléments de naigation de la bibliothèque. IBM Security Systems Documentation Central IBM Security Systems Documentation Central fournit une liste alphabétique de toutes les bibliothèques produit des systèmes de sécurité IBM et des liens ers la documentation en ligne pour les ersions spécifiques de chaque produit. IBM Publications Center IBM Publications Center comporte des fonctions de recherche personnalisée pour ous permettre de trouer toutes les publications IBM dont ous aez besoin. Site Web de terminologie IBM Le site Web de terminologie IBM regroupe la terminologie des bibliothèques de logiciels à un seul emplacement. Vous pouez accéder au site Web de terminologie à l'adresse http://www.ibm.com/software/globalization/terminology. Accessibilité Formation technique Les fonctions d'accessibilité permettent aux utilisateurs présentant un handicap, par exemple les personnes à mobilité réduite ou à déficience isuelle, d'utiliser les produits informatiques. Grâce à ce produit, ous pouez utiliser des technologies d'assistance aux personnes handicapées pour entendre les sons et naiguer dans l'interface. Vous pouez également utiliser le claier au lieu de la souris pour exploiter toutes les fonctions de l'interface graphique. Pour plus d'informations, consultez "Fonctions d'accessibilité" dans IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement. Pour plus d'informations sur la formation technique, oir le site Web de formation IBM à l'adresse suiante : http://www.ibm.com/software/tioli/education. x IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

Informations relaties au support Le support IBM ous offre une assistance dans la résolution de os problèmes de codes, de routine, d'installation de courte durée et de os questions liées à l'utilisation. Vous pouez accéder directement au site de support logiciel IBM à l'adresse http://www.ibm.com/software/support/probsub.html. IBM Security Access Manager for Enterprise Single Sign-On - Guide de résolution des problèmes et de support fournit des informations sur : Les informations à collecter aant de contacter le support IBM. Les dierses méthodes permettant de contacter le support IBM. Comment utiliser IBM Support Assistant. Les instructions et ressources d'identification de problème permettant d'isoler et résoudre le problème ous-même. Remarque : L'onglet Communauté et support se trouant dans le centre de documentation du produit peut fournir des ressources de support additionnelles. Déclaration de bonnes pratiques de sécurité La sécurité des systèmes informatiques implique la protection des systèmes et des informations ia la préention, la détection et la réponse en cas d'accès incorrect au sein et à l'extérieur de otre entreprise. Un accès non autorisé peut se traduire par la modification, la destruction ou une utilisation inadéquate ou maleillante de os systèmes, y compris l'utilisation de ces derniers pour attaquer d'autres systèmes. Aucun système ou produit informatique ne doit être considéré comme étant complètement sécurisé et aucun produit, serice ou mesure de sécurité ne peut être entièrement efficace contre une utilisation ou un accès non autorisé. Les systèmes, les produits et les serices IBM sont conçus pour s'intégrer à une approche de sécurité complète, qui implique nécessairement des procédures opérationnelles supplémentaires, et peuent aoir besoin d'autres systèmes, produits ou serices pour optimiser leur efficacité. IBM NE GARANTIT PAS QUE TOUS LES SYSTEMES, PRODUITS OU SERVICES SONT A L'ABRI DES CONDUITES MALVEILLANTES OU ILLICITES DE TIERS OU QU'ILS PROTEGERONT VOTRE ENTREPRISE CONTRE CELLES-CI. A propos de cette publication xi

xii IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

Chapitre 1. Configuration d'ims Serer IMS Serer gère de façon centralisée les utilisateurs, les facteurs d'authentification, les portefeuilles de données d'identification, les profils d'accès (AccessProfiles), les journaux d'audit et les règles. Cette section porte sur la configuration d'ims Serer aec l'utilitaire de configuration IMS. La configuration d'ims Serer aec l'assistant de configuration IMS est traitée dans le manuel IBM Security Access Manager for Enterprise Single Sign-On - Guide d'installation. Pour plus d'informations : «Accès à l'utilitaire de configuration IMS» «Création d'administrateurs IMS Serer» «Paramètres de base», à la page 2 «Paramètres aancés», à la page 15 «Utilitaires», à la page 42 Accès à l'utilitaire de configuration IMS Lorsque ous installez IMS Serer, il déploie une application qui contient un Utilitaire de configuration IMS. L'Utilitaire de configuration IMS est une interface Web qui permet de configurer les différents paramètres d'ims Serer. Procédure 1. Entrez les adresses suiantes dans otre naigateur. L'adresse arie selon le type de déploiement. Si ous utilisez WebSphere Application Serer Base : https:// <nomhôte_was>:<port_ssl_admin>/ webconf. Si ous utilisez WebSphere Application Serer Network Deployment : https://<nomhôte_dmgr>:<port_ssl_admin>/ webconf. Par exemple, https://localhost:9043/webconf 2. Sélectionnez la langue préférée dans la liste Langue. 3. Entrez os données d'identification WebSphere. 4. Cliquez sur Connexion. Création d'administrateurs IMS Serer La création d'un administrateur IMS Serer crée et stocke le compte administrateur dans la base de données IMS Serer. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Sous Assistants de configuration, cliquez sur Créer un administrateur IMS. 3. Dans Choix des données d'autorisation, entrez le nom d'utilisateur, le mot de passe et le domaine d'un utilisateur alide de l'annuaire d'entreprise. 4. Cliquez sur Suiant. 5. Vérifiez le récapitulatif de la configuration. Copyright IBM Corp. 2002, 2014 1

Paramètres de base 6. Cliquez sur Terminer. Vous pouez configurer les paramètres de base dans l'utilitaire de configuration IMS. Les paramètres de base incluent les serices d'authentification, les annuaires d'entreprise, le support biométrique et le déploiement d'actiecode. Ajout d'un serice d'authentification Un serice d'authentification définit le mode de soumission de données d'identification d'utilisateur à une application. Plusieurs applications peuent utiliser le même serice d'authentification. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Sélectionnez Paramètres de base > Serices d'authentification dans le panneau de naigation de l'utilitaire de configuration IMS. 3. Cliquez sur Ajouter un noueau serice. Remarque : Vous pouez également créer des serices d'authentification dans AccessStudio. Cependant, seul l'utilitaire de configuration IMS permet de créer des connecteurs pour les serices d'authentification. 4. Complétez les zones suiantes : Option ID de serice d'authentification Nom du serice d'authentification ID de modèle de données de compte Indiquez un identificateur unique pour le serice d'authentification. Entrez le nom du serice d'authentification deant apparaître dans Wallet Manager. Remarque : Vous pouez stocker le nom d'affichage du serice d'authentification dans plusieurs langues en fonction de la langue que ous aez définie lors de la connexion. Entrez un descriptif pour le serice d'authentification. Remarque : Vous pouez stocker la description du serice d'authentification dans plusieurs langues en fonction de la langue que ous aez définie lors de la connexion. Sélectionnez un ID de modèle de données de compte dans la liste. L'ID de modèle définit la structure des données de compte à collecter pour le compte du serice d'authentification. Groupes de serices d'authentification Par exemple, adt_ciuser_cspwd signifie que le modèle de données de compte sélectionné collecte un nom d'utilisateur insensible à la casse et un mot de passe sensible à la casse. Sélectionnez le groupe du serice d'authentification dans la liste et cliquez sur Ajouter. 2 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

Option Modules de localisation de sereur à utiliser lors de l'injection Modules de localisation de sereur à utiliser lors de la capture Entrez le nom d'alias de sereur pour le remplissage automatique et cliquez sur Ajouter. Entrez le nom d'alias de sereur pour la capture et cliquez sur Ajouter. 5. Editez les clés de configuration affichées dans le formulaire, excepté ID de serice d'authentification. 6. Cliquez sur Ajouter. Configuration d'ims Serer pour utiliser des sereurs d'annuaire Vous pouez configurer IMS Serer pour utiliser un sereur LDAP ou plusieurs sereurs Actie Directory. Vous pouez configurer des sereurs d'annuaire ia l'assistant de configuration IMS ou l'utilitaire de configuration IMS. Utilisez l'assistant de configuration IMS pour configurer IMS Serer la première fois dans une nouelle installation. L'Assistant de configuration IMS contient des étapes permettant de configurer IMS Serer pour utiliser des sereurs d'annuaire. Utilisez l'utilitaire de configuration IMS pour configurer IMS Serer pour utiliser des sereurs d'annuaire ultérieurement. Après aoir configuré le sereur d'annuaire, redémarrez WebSphere Application Serer immédiatement pour appliquer les changements de configuration. Si ous configurez la définition de sereur Web et le sereur d'annuaire aant de redémarrer WebSphere Application Serer, la configuration n'est pas sauegardée. Vérifiez que les référentiels de sereur d'annuaire sont en cours d'exécution aant de ous connecter à ces référentiels. Si un ou plusieurs référentiels configurés sont injoignables, ous ne pouez pas ous authentifier pour arrêter WebSphere Application Serer. Si le problème persiste, il est causé par une fonction de sécurité du gestionnaire de membre irtuel. Le gestionnaire de membre irtuel érifie toujours tous les référentiels aant d'authentifier l'utilisateur. Pour plus d'informations sur la solution, oir Authentification impossible lorsqu'un référentiel est arrêté dans la documentation de WebSphere Application Serer. Configuration d'ims Serer pour utiliser des sereurs Actie Directory Ajoutez les sereurs Actie Directory préparés de sorte qu'ims Serer puisse rechercher des informations de compte utilisateur pour autorisation. Vous pouez ajouter plusieurs sereurs Actie Directory. Aant de commencer Vous pouez fournir une réinitialisation de mot de passe en libre-serice dans AccessAssistant et Web Workplace dans les conditions suiantes pour otre connexion Actie Directory : Non utilisation de SSL : Vérifiez que Tioli Identity Manager Actie Directory Adapter est installé et qu'il s'exécute sur le sereur d'annuaire ou sur un hôte distinct. Chapitre 1. Configuration d'ims Serer 3

Soyez prêt à fournir les données d'identification d'un utilisateur administrateur ou d'un utilisateur désigné disposant des priilèges de réinitialisation de mot de passe. Par exemple : myresetusr. Utilisation de SSL : Soyez prêt à fournir les données d'identification d'un utilisateur administrateur ou d'un utilisateur désigné disposant des priilèges de réinitialisation de mot de passe. Par exemple : myresetusr. Remarque : Il n'est pas obligatoire d'installer Tioli Identity Manager Actie Directory Adapter. Pour les connexions SSL LDAP, ous deez ajouter les certificats SSL du sereur d'annuaire à WebSphere Application Serer. Voir le document IBM Security Access Manager for Enterprise Single Sign-On - Guide d'installation. Vous deez préparer les informations d'annuaire d'entreprise suiantes : FQDN de contrôleur de domaine. Par exemple : adserer.team.example.com Nom de domaine DNS. Par exemple : team.example.com. Données d'identification de l'utilisateur de recherche de répertoire. Par exemple : lookupusr. Nom distinctif de base. Par exemple : cn=users,dc=team,dc=example,dc=com Facultatif : Pour la réinitialisation de mot de passe dans AccessAssistant et Web Workplace, ous deez disposer des données d'identification pour un utilisateur d'annuaire aec des priilèges de réinitialisation de mot de passe. Par exemple : myresetusr. Si ous utilisez la feuille de traail de planification, oir Chapitre 11, «Feuille de traail de planification», à la page 97. Procédure 1. Connectez-ous à l'utilitaire de configuration IMS. 2. Dans le panneau de naigation de l'utilitaire de configuration IMS, sous Paramètres de base, cliquez sur Annuaires d'entreprise. 3. Cliquez sur Ajouter un noueau référentiel. 4. Sélectionnez le type d'annuaire d'entreprise. a. Sélectionnez Actie Directory. b. Cliquez sur Suiant. 5. Pour les sereurs Actie Directory, procédez comme suit : a. Indiquez si ous souhaitez actier la synchronisation de mots de passe. La synchronisation de mots de passe est actiée uniquement pour les sereurs Actie Directory. Lorsque la synchronisation de mots de passe est actiée, le mot de passe IBM Security Access Manager for Enterprise Single Sign-On est synchronisé aec Actie Directory. Lorsque ous changez le mot de passe, le logiciel le change sur tous les hôtes Actie Directory sur lesquels l'utilisateur possède un compte. Si le mot de passe est réinitialisé hors bande, le mot de passe IBM Security Access Manager for Enterprise Single Sign-On est resynchronisé lors de la connexion en ligne suiante. Voir IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement pour plus de détails sur la synchronisation de mots de passe d'actie Directory. 4 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration

b. Spécifiez les caractéristiques de connexion à un référentiel. Conseil : Pour afficher de l'aide supplémentaire sur chaque élément, déplacez le curseur sur chaque élément. FQDN de contrôleur de domaine Indiquez le nom de domaine complet du contrôleur de domaine. Par exemple : adserer.team.example.com Nom de domaine DNS Spécifiez le nom de domaine du sereur auquel se connecte IMS Serer. Par exemple : team.example.com. Remarque : Cet attribut n'est pas le nom qualifié complet du DNS. Il s'agit du "domaine" du sereur. Nom de domaine NetBIOS Indiquez le nom d'ordinateur NetBIOS de l'hôte de référentiel. Le nom d'ordinateur NetBIOS est généralement le même que celui de l'hôte de référentiel du même domaine. Par exemple : mydirsr. Port Remarque : Le nom NetBIOS n'est pas alidé par IMS Serer. Vous deez fournir le nom correct. Pour déterminer le nom d'ordinateur NetBIOS correct, accédez au site Web Microsoft à l'adresse www.microsoft.com et recherchez «nbtstat». Voir les instructions sur l'utilisation de nbtstat pour déterminer le nom d'ordinateur NetBIOS aec la commande nbtstat. Le numéro de port par défaut est 389 sans SSL. Le numéro de port par défaut aec SSL est 636. Remarque : Pour permettre la réinitialisation de mot de passe dans un enironnement non SSL, utilisez Tioli Identity Manager Actie Directory Adapter. Dans un enironnement SSL, il n'est pas obligatoire d'installer Tioli Identity Manager Actie Directory Adapter. Nom d'utilisateur de liaison Spécifiez le nom d'utilisateur de l'utilisateur de recherche. Par exemple : lookupusr. Mot de passe Entrez le mot de passe de l'utilisateur de recherche. 6. Cliquez sur Suiant. 7. Pour afficher ou personnaliser des caractéristiques de référentiel supplémentaires, cliquez sur Ourir les paramètres aancés. 8. Indiquez si ous utilisez une connexion SSL (Secure Socket Layer). Option Si ous n'utilisez pas SSL Paramètres Connectez-ous à l'aide de Vous pouez sélectionner uniquement Nom d'hôte / FQDN de contrôleur de domaine. Chapitre 1. Configuration d'ims Serer 5

Option Paramètres FQDN de contrôleur de domaine Indiquez le nom de domaine complet du contrôleur de domaine. Par exemple : adserer.team.example.com où team.example.com est le sereur de noms de domaine. Nom de domaine DNS Spécifiez le nom de domaine du sereur Actie Directory connecté à IMS Serer. Par exemple : team.example.com Nom de domaine NetBIOS Spécifiez le nom de l'ordinateur NetBIOS. Le nom d'ordinateur NetBIOS est généralement le même que le nom d'hôte de l'ordinateur dans le même domaine. Par exemple : mydirsr Remarque : Le nom NetBIOS n'est pas alidé par IMS Serer. Vous deez fournir le nom correct. Pour déterminer le nom d'ordinateur NetBIOS correct, accédez au site Web Microsoft à l'adresse www.microsoft.com et recherchez «nbtstat». Voir les instructions sur l'utilisation de nbtstat pour déterminer le nom d'ordinateur NetBIOS. Port Indiquez le numéro de port. Par exemple : la aleur par défaut est 389 (sans SSL) ou 636 (aec SSL). Nom d'utilisateur de liaison Spécifiez le nom d'utilisateur de l'utilisateur de recherche. Par exemple : lookupusr. Mot de passe Entrez le mot de passe de l'utilisateur de recherche. Nom distinctif de base Au moins un nom distinctif de base est requis. Le nom distinctif de base indique le point de départ pour les recherches dans ce sereur d'annuaire. A des fins d'autorisation, cette zone est sensible à la casse par défaut. Faites concorder la casse dans otre sereur d'annuaire. Par exemple : pour un utilisateur ayant pour nom distinctif cn=lookupusr,cn=users,dc=team,dc=example,dc=com, spécifiez le nom distinctif de base aec l'une des options suiantes : cn=users,dc=team,dc=example,dc=com ou dc=team,dc=example,dc=com. Contrôleurs de domaine de reprise Utilisez un contrôleur de domaine de reprise pour les sereurs Actie Directory répliqués dans une configuration à haute disponibilité. Spécifiez le nom d'hôte ou le nom de domaine complet et le numéro de port du contrôleur de domaine secondaire. Le contrôleur de domaine secondaire est utilisé lorsque le contrôleur de domaine principal tombe en panne. 6 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration