CA Identity Manager - retours d'expérience

Ce post regroupe plusieurs trucs / retours d'expérience que j'ai pu avoir en travaillant sur le produit CA Identity Manager.

CA Identity Manager est issu du rachat de Netegrity - surtout connu pour sa solution de SSO SiteMinder, qui était une référence du marché il y a quelques années.

La console d'administration date un peu - comme la majorité des produits de ce type, mais un nouveau composant Identity Portal, issu d'un autre rachat, propose une interface plus fonctionnelle et adaptée aux utilisateurs finaux.

Voici les deux interfaces, il n'y a pas photo.

Interface CA identity Manager

Image

 

 

 

 

 

 

 

 

 

 

Interface CA Identity Portal

Image

 

 

 

 

 

 

 

 

 

 

Installation Identity Portal

Lors de l'installation de Identity Portal, il faut s'assurer que le schéma de la base de données ne contient pas de tables.

Dans un cas normal, ceci ne pose pas de problème. Par contre si l'installation se passe mal, ou si on passe par une phase de désinstallation / réinstallation, il faut absolument supprimer toutes les tables créées auparavant.

Dans le cas contraire, le déploiement de sigma.war échoue, sans message parlant.

Construction du Container AD

Dans notre environnement, le container AD est calculé en fonction du pays et du site, de la forme : ou=User,ou=VMP,ou=Poland,dc=example,dc=com Il y a 120 containers à traiter, ce qui rend peu exploitable la possibilité offerte par CA de faire les filtres via le Provisioning Manager.

Il est possible dans notre cas d'utiliser les Rule Strings pour construire l'arborescence du container.

Pour cela, il faut aller directement dans le Provisioning Store, et modifier le paramètre eTAccountContainer.

Dans notre cas, les attributs suivants sont utilisées :

  • Custom Field 12 : Pays
  • Custom Field 13 : Code Site

On va donc utiliser les codes %UCU12% et %UCU13% pour construire le container, de la manière suivante :

 

eTAccountContainer: (eTCustomField13=*);eTADSOrgUnitName=User,eTADSOrgUnitName=%UCU13%,eTADSOrgUnitName=%UCU12%;eTGlobalUserName=*;eTADSContainerName=Users;

La syntaxe étant la suivante : [filtreLDAP;container]
Dans notre cas, si le champ utilisateur 13 est renseigné, on va construire le container, sinon, on utilisera le containers CN=Users par défaut.

Transformation d'attributs

Il existe certaines fonctions pré-existantes pour transformer des attributs lors du mapping dans les templates de compte. On peut citer notamment :

  • TOLOWER : convertit en minuscule [exemple : %$$TOLOWER(%AC%)%)]
  • TOUPPER : convertit en majuscule [exemple : %$$TOUPPER(%AC%)%)]
  • FIRSTOF : retourne la première valeur non nulle d'un ensemble d'attributs [ex : %$$FIRSTOF(%LN%,%UCU01%,%U%)%]
Catégorie