itim

IBM ITIM : lancer une réconciliation sans bloquer le service

On a parfois besoin de lancer une réconciliation en mode "mark" sur ITIM afin d'avoir une idée des modifications qui seraient apportées aux comptes sur un service, surtout si celui-ci n'a pas été réconcilié depuis un certain temps.

Le souci lorsqu'on lance une réconciliation via l'IHM est que le service est bloqué pendant ce temps, et que les modifications sont mises en attente ou tombent en échec.

Une manière de contourner le souci est de créer une réconciliation programmée, qui permet de ne pas bloquer le service.

ITIM : construire l'attribut manager sur un service

Dans certaines règles de provisionnement (Provisioning Policies), il est parfois nécessaire de construire le DN du manager, par exemple pour alimenter un champ manager dans un annuaire LDAP ou Active Directory, qui sont des DN.
Inutile donc, dans ce cas, de mettre uniquement le matricule ou le nom du manager, il faut soit construire, soit récupérer la valeur du DN du manager dans le service distant.

Voyons comment ceci peut être réalisé dans une PP ITIM, selon les cas.

Installation ISIM6

Ce post de blog explique les étapes suivies et les écueils rencontrés lors de l'installation de ISIM6 (ex ITIM) sur une plate-forme Linux RedHat 64bits.

Depuis la version 6, IBM a renommé ITIM (IBM Tivoli Identity Manager) en ISIM (IBM Security Identity Manager).

L'environnement technique est le suivant :

Positionnement des services ITIM dans la structure de l'organisation

Dans ITIM, un service est placé dans une "Business Unit". Une fois défini, il n'est pas possible de le bouger via la console ITIM (ce serait possible en modifiant son attribut erparent dans l'annuaire, mais pas supporté ni conseillé par IBM).

Le placement d'un service ITIM permet de le positionner par rapport à des règles de provisionnement ou encore des règles de sélection de service. Si on bouge un service, est peut donc potentiellement être en dehors du périmètre de ces règles.

Tags

ITIM : Data Synchronization

Avant de pouvoir lancer des rapports d'activité, audit et autres dans ITIM, il faut auparavant lancer une "Data Synchronization".
Cette étape peut parfois être très longue, en fonction des données à traiter. Sur notre plate-forme de production, tout récemment initialisée, l'opération a duré 47 minutes pour 70 000 personnes (et aucun compte externe à ITIM).