Identity and Access Management
Nous avons récemment voulu gérer des comptes dans ITIM, pour des besoins de provisionnement d'applications distantes, alimentées via des flux fichiers.
Pour éviter de mettre en place un flux fichier ou une autre ressource (type LDAP par exemple), nous avons pensé utiliser un service manuel : l'intérêt est de ne pas avoir de composant technique supplémentaire, tout en gardant la traçabilité des comptes de la personne.
Ceci se fait en plusieurs étapes :
Par défaut, ITIM est fourni avec un adaptateur LDAP, souvent fort utilisé.
L'adapatateur Active Directory est lui aussi généralement mis en place, couplé avec la synchronisation de mots de passe.
Cependant, il existe des cas où ces adapateurs ne sont pas suffisants :
Dans ces cas, il est nécessaire de développer de nouveaux types d'adaptateurs / services.
Après avoir configuré une instance ITIM, il est intéressant d'en avoir une vue globale, ce que ne permet pas facilement la console. Ne serait-ce que pour une politique de provisionnement, il faut aller voir le détail de chaque attribut pour identifier le code javascript utilisé. IBM propose un outil, DocTool, qui génère un rapport sur une configuration existante.
Il est très fréquent de vouloir ajouter ses propres attributs et classes d'objets à un annuaire LDAP, car les classes et attributs standards ne couvrent pas tous les cas fonctionnels. Cette opération peut maintenant être réalisée en "live" sur OpenLDAP, via l'objet cn=schema,cn=config. Il faut pour cela créer un fichier LDIF contenant la définition des attributs à ajouter et les classes d'objets, puis ajouter ce fichier LDIF dans l'annuaire.
Exemple de fichier LDIF :
La configuration IBM Tivoli Identity Manager est stocké principalement dans l'annuaire LDAP ITIM, lequel mélange les données et le paramétrage.
Dès lors, le passage d'un environnement à l'autre (typiquement développement / test / production) peut être problématique.
ITIM propose quand même des fonctions d'export / import, mais qui ne prend pas en compte tous les paramètres.
IBM Tivoli Identity Manager includes Export and Import data options, which can be used for several setup parameters : policies, groups, operations, roles, services or workflow.
Unfortunately, Forms are not exportable, and one can spend some times to design these forms. But in fact there is a simple solution to export these forms and reimport them in another TIM instance, or copy them for another entity.
Depuis la version 5, ITIM ne propose plus en standard de choisir l'attribut de recherche par défaut pour les utilisateurs, qui est fixé au "Last name".
Or il est fréquent qu'on utilise un matricule comme clé pour les utilisateurs, et dans ce cas il faut passer par la recherche avancée, choisir (éventuellement ) le type de personne, renseigner le champ Employee Number et cliquer sur le bouton Search. Bref, beaucoup de clic surnuméraires !
Il est cependant possible dans ITIM 5.1 de modifier ce fonctionnement.
La grande majorité des paramètres "système" ITIM se trouvent dans des fichiers .properties, situés dans le répertoire [ITIM_HOME]/data.
On y trouve par exemple :
Les paramètres liés au serveur de mail (sortant) pour ITIM se trouvent dans le fichier enRoleMail.properties, lui-même situé dans le répertoire [ITIM_HOME]/data, comme la plupart des fichiers de configuration.
Exemple de configuration :
Les logs OpenLDAP sont gérés par syslog. Il faut ajouter une ligne dans /etc/rsyslog.conf , sachant que openldap log sur la facility local4:
# Log Openldap local4.* -/product/openldap/log/slapd.log
Dans notre exemple, les logs seront situés dans le répertoire /product/openldap/log.
Note : l'ajout d'un tiret devant le nom du fichier permet à syslog d'écrire en mode asynchrone, ce qui améliore les performances.
Il faut ensuite redémarrer openldap et syslog :