IAM

Identity and Access Management

Adaptateurs ITIM spécifiques

Par défaut, ITIM est fourni avec un adaptateur LDAP, souvent fort utilisé.

L'adapatateur Active Directory est lui aussi généralement mis en place, couplé avec la synchronisation de mots de passe.

Cependant, il existe des cas où ces adapateurs ne sont pas suffisants :

  • Schéma de données trop restreint par rapport aux besoins de l'entreprise (pour l'adaptateur LDAP)
  • Type de service non supporté (Fichier, AS/400, etc.).

Dans ces cas, il est nécessaire de développer de nouveaux types d'adaptateurs / services.

Documentation Tool for IBM Tivoli Identity Manager

Après avoir configuré une instance ITIM, il est intéressant d'en avoir une vue globale, ce que ne permet pas facilement la console. Ne serait-ce que pour une politique de provisionnement, il faut aller voir le détail de chaque attribut pour identifier le code javascript utilisé. IBM propose un outil, DocTool, qui génère un rapport sur une configuration existante.

Ajouter un schéma spécifique

Il est très fréquent de vouloir ajouter ses propres attributs et classes d'objets à un annuaire LDAP, car les classes et attributs standards ne couvrent pas tous les cas fonctionnels. Cette opération peut maintenant être réalisée en "live" sur OpenLDAP, via l'objet cn=schema,cn=config. Il faut pour cela créer un fichier LDIF contenant la définition des attributs à ajouter et les classes d'objets, puis ajouter ce fichier LDIF dans l'annuaire.

Exemple de fichier LDIF :

Industraliser les déploiements ITIM

La configuration IBM Tivoli Identity Manager est stocké principalement dans l'annuaire LDAP ITIM, lequel mélange les données et le paramétrage.

Dès lors, le passage d'un environnement à l'autre (typiquement développement / test / production) peut être problématique.

ITIM propose quand même des fonctions d'export / import, mais qui ne prend pas en compte tous les paramètres.

 

How to export & import Form Templates in ITIM

IBM Tivoli Identity Manager includes Export and Import data options, which can be used for several setup parameters : policies, groups, operations, roles, services or workflow.

Unfortunately, Forms are not exportable, and one can spend some times to design these forms. But in fact there is a simple solution to export these forms and reimport them in another TIM instance, or copy them for another entity.

ITIM : comment changer l'attribut de recherche par défaut

Depuis la version 5, ITIM ne propose plus en standard de choisir l'attribut de recherche par défaut pour les utilisateurs, qui est fixé au "Last name".

Or il est fréquent qu'on utilise un matricule comme clé pour les utilisateurs, et dans ce cas il faut passer par la recherche avancée, choisir (éventuellement ) le type de personne, renseigner le champ Employee Number et cliquer sur le bouton Search. Bref, beaucoup de clic surnuméraires !

Il est cependant possible dans ITIM 5.1 de modifier ce fonctionnement.

OpenLDAP - Gestion des logs

Activation des logs

Les logs OpenLDAP sont gérés par syslog. Il faut ajouter une ligne dans /etc/rsyslog.conf , sachant que openldap log sur la facility local4:

# Log Openldap
local4.*    -/product/openldap/log/slapd.log

Dans notre exemple, les logs seront situés dans le répertoire /product/openldap/log.

Note : l'ajout d'un tiret devant le nom du fichier permet à syslog d'écrire en mode asynchrone, ce qui améliore les performances.

Il faut ensuite redémarrer openldap et syslog :

ITIM et les rôles hiérarchiques

IBM Tivoli Identity Manager permet de gérer une hiérarchie de rôles, qui peuvent être caractérisés (Business Role vs Application Role).
On peut donc avoir un rôle parent qui dispose de plusieurs rôles enfants, sachant qu'un rôle enfant peut avoir plusieurs parents (et pas que 2!).
Par contre, l'héritage marche un peu à l'envers : ce sont les rôles enfants qui doivent être des "Business Roles", et les rôles parents sont des rôles applicatifs "Application Role", qui sont utilisés dans les règles de provisionnement.

Exemple :