itim

Service Manuel pour ITIM

Contexte

Nous avons récemment voulu gérer des comptes dans ITIM, pour des besoins de provisionnement d'applications distantes, alimentées via des flux fichiers.
Pour éviter de mettre en place un flux fichier ou une autre ressource (type LDAP par exemple), nous avons pensé utiliser un service manuel : l'intérêt est de ne pas avoir de composant technique supplémentaire, tout en gardant la traçabilité des comptes de la personne.

Ceci se fait en plusieurs étapes :

Adaptateurs ITIM spécifiques

Par défaut, ITIM est fourni avec un adaptateur LDAP, souvent fort utilisé.

L'adapatateur Active Directory est lui aussi généralement mis en place, couplé avec la synchronisation de mots de passe.

Cependant, il existe des cas où ces adapateurs ne sont pas suffisants :

  • Schéma de données trop restreint par rapport aux besoins de l'entreprise (pour l'adaptateur LDAP)
  • Type de service non supporté (Fichier, AS/400, etc.).

Dans ces cas, il est nécessaire de développer de nouveaux types d'adaptateurs / services.

Documentation Tool for IBM Tivoli Identity Manager

Après avoir configuré une instance ITIM, il est intéressant d'en avoir une vue globale, ce que ne permet pas facilement la console. Ne serait-ce que pour une politique de provisionnement, il faut aller voir le détail de chaque attribut pour identifier le code javascript utilisé. IBM propose un outil, DocTool, qui génère un rapport sur une configuration existante.

Industraliser les déploiements ITIM

La configuration IBM Tivoli Identity Manager est stocké principalement dans l'annuaire LDAP ITIM, lequel mélange les données et le paramétrage.

Dès lors, le passage d'un environnement à l'autre (typiquement développement / test / production) peut être problématique.

ITIM propose quand même des fonctions d'export / import, mais qui ne prend pas en compte tous les paramètres.

 

How to export & import Form Templates in ITIM

IBM Tivoli Identity Manager includes Export and Import data options, which can be used for several setup parameters : policies, groups, operations, roles, services or workflow.

Unfortunately, Forms are not exportable, and one can spend some times to design these forms. But in fact there is a simple solution to export these forms and reimport them in another TIM instance, or copy them for another entity.

ITIM et les rôles hiérarchiques

IBM Tivoli Identity Manager permet de gérer une hiérarchie de rôles, qui peuvent être caractérisés (Business Role vs Application Role).
On peut donc avoir un rôle parent qui dispose de plusieurs rôles enfants, sachant qu'un rôle enfant peut avoir plusieurs parents (et pas que 2!).
Par contre, l'héritage marche un peu à l'envers : ce sont les rôles enfants qui doivent être des "Business Roles", et les rôles parents sont des rôles applicatifs "Application Role", qui sont utilisés dans les règles de provisionnement.

Exemple :

ITIM : ajouter des participants Domain Administrators

Nous avons eu récemment le besoin de notifier par mail les administrateurs de domaine, sur un service situé en haut de l'organisation (service partagé), alors que les personnes sont rattachées à des sous-domaines.
Du coup, le type de participant DOMAIN_ADMIN ne fonctionne pas, car il est rattaché au service.
Il a donc fallu développer un javascript spécifique pour arriver à nos fins. Celui-ci est finalement assez simple (une fois qu'on a réussi à naviger dans la documentation IBM...)