itim

IBM ITIM : lancer une réconciliation sans bloquer le service

On a parfois besoin de lancer une réconciliation en mode "mark" sur ITIM afin d'avoir une idée des modifications qui seraient apportées aux comptes sur un service, surtout si celui-ci n'a pas été réconcilié depuis un certain temps.

Le souci lorsqu'on lance une réconciliation via l'IHM est que le service est bloqué pendant ce temps, et que les modifications sont mises en attente ou tombent en échec.

Une manière de contourner le souci est de créer une réconciliation programmée, qui permet de ne pas bloquer le service.

[ITIM] Débloquer un service ITIM en cours de réconciliation

Dans IBM Tivoli Identity Manager (ITIM), si une réconciliation est interrompue en cours (plantage du service ou de WebSphere), le service reste marqué comme étant en cours, et "locké". Il n'est plus possible alors de faire des mises à jour sur ce service.

En savoir plus sur [ITIM] Débloquer un service ITIM en cours de réconciliation

WebSphere : Problème dans les transactions Oracle

Dans un environnement ITIM, qui utilise une base Oracle, on a parfois des messages d'erreurs dans le fichier WebSphere SystemOut.log :

En savoir plus sur WebSphere : Problème dans les transactions Oracle

ITIM : modifier la Time-Zone

Par défaut, ITIM utilise la time-zone de WebSphere, qui n'étant pas définie, peut être différente de l'heure du serveur.

Nous avons eu le souci sur une installation en Russie : le paramétrage des réconciliations utilisait l'heure française :

En savoir plus sur ITIM : modifier la Time-Zone

ITIM : construire l'attribut manager sur un service

Dans certaines règles de provisionnement (Provisioning Policies), il est parfois nécessaire de construire le DN du manager, par exemple pour alimenter un champ manager dans un annuaire LDAP ou Active Directory, qui sont des DN.
Inutile donc, dans ce cas, de mettre uniquement le matricule ou le nom du manager, il faut soit construire, soit récupérer la valeur du DN du manager dans le service distant.

Voyons comment ceci peut être réalisé dans une PP ITIM, selon les cas.

En savoir plus sur ITIM : construire l'attribut manager sur un service

Installation ISIM6

Ce post de blog explique les étapes suivies et les écueils rencontrés lors de l'installation de ISIM6 (ex ITIM) sur une plate-forme Linux RedHat 64bits.

Depuis la version 6, IBM a renommé ITIM (IBM Tivoli Identity Manager) en ISIM (IBM Security Identity Manager).

L'environnement technique est le suivant :

ERROR CTGIMO019E - LDAP Error: Unbalanced parenthesis

Symptômes

Suite à l'ajout de rôles dynamiques sur une instance ITIM, on note un comportement curieux d'ITIM à chaque modification d'un utilisateur ; la modification échoue, avec le message de retour :

CTGIMO019E The following LDAP error occurred. Error: Unbalanced parenthesis.

En regardant les logs ITIM (trace.log), on identifie une stack dump java :

En savoir plus sur ERROR CTGIMO019E - LDAP Error: Unbalanced parenthesis

Modifier la description d'un adaptateur ITIM

Lorsqu'on charge un adaptateur ITIM (via Configure system > Manage Service Types) on récupère la description de l'adaptateur.

Par défaut, celui-ci n'est pas versionné, il s'agit juste d'une description :

En savoir plus sur Modifier la description d'un adaptateur ITIM

Positionnement des services ITIM dans la structure de l'organisation

Dans ITIM, un service est placé dans une "Business Unit". Une fois défini, il n'est pas possible de le bouger via la console ITIM (ce serait possible en modifiant son attribut erparent dans l'annuaire, mais pas supporté ni conseillé par IBM).

Le placement d'un service ITIM permet de le positionner par rapport à des règles de provisionnement ou encore des règles de sélection de service. Si on bouge un service, est peut donc potentiellement être en dehors du périmètre de ces règles.

ITIM : Data Synchronization

Avant de pouvoir lancer des rapports d'activité, audit et autres dans ITIM, il faut auparavant lancer une "Data Synchronization".
Cette étape peut parfois être très longue, en fonction des données à traiter. Sur notre plate-forme de production, tout récemment initialisée, l'opération a duré 47 minutes pour 70 000 personnes (et aucun compte externe à ITIM).

En savoir plus sur ITIM : Data Synchronization

S'abonner à itim