Configuration du mappage EIM

Le mappage EIM (Enterprise Identity Management) permet de mapper ou d'associer une personne ou une entité aux identités de l'utilisateur approprié dans plusieurs registres de l'entreprise. Il permet aux administrateurs et aux développeurs d'applications de gérer plus facilement et plus efficacement plusieurs registres d'utilisateurs au sein de l'entreprise. Le cas échéant, chaque utilisateur ou entité dans l'entreprise reçoit une identité différente pour chaque registre. La présence de plusieurs registres d'utilisateurs peut occasionner un problème d'administration important, qui risque d'affecter les utilisateurs, les administrateurs et les développeurs d'applications.

Le mappage EIM vous permet de créer un système de mappages d'identités entre plusieurs identités, appelés associations, dans plusieurs registres d'utilisateurs pour une personne de votre entreprise. Il fournit également un ensemble commun d'API utilisables sur toutes les plateformes pour développer des applications qui peuvent utiliser les mappages d'identités créés pour rechercher les relations entre les identités d'utilisateurs. Utilisé avec le service d'authentification réseau (NAS), le mappage EIM vous permet d'activer un environnement d'authentification unique.

Dans le cas des applications sécurisées, les utilisateurs doivent s'authentifier via un registre LDAP pour exécuter un programme sur le système IBM i. Pour utiliser l'authentification unique, vous devez créer un identificateur dans le mappage EIM qui comprend deux associations : une association source vers le registre LDAP et une association cible vers le système IBM i sur lequel le programme est exécuté.

Vous pouvez configurer et gérer le mappage EIM via IBM i Navigator. Le serveur IBM i utilise ce mappage pour activer des interfaces IBM i afin d'authentifier des utilisateurs grâce au service NAS. La configuration du mappage EIM implique les étapes suivantes :
  1. Création d'un domaine EIM
  2. Ajout du domaine à l'espace Gestion de domaines
  3. Création d'une définition de registre d'utilisateurs source dans EIM
  4. Création d'une définition de registre d'utilisateurs cible dans EIM
  5. Création d'un ID utilisateur dans EIM
  6. Création d'associations dans EIM pour l'ID utilisateur

Pour configurer le mappage EIM, procédez comme suit :

  1. Dans le panneau de navigation gauche d'IBM i Navigator, sélectionnez votre_système > Réseau > Enterprise Identity Mapping > Gestion de domaines > domaine > Configuration.
  2. Cliquez avec le bouton droit de la souris, puis sélectionnez l'option Configurer pour ouvrir l'assistant de configuration dans le but de créer un domaine EIM et d'associer le système au domaine.

    Maintenant, ajoutez le nouveau domaine à l'espace Gestion de domaines.

  3. Dans le panneau de navigation gauche d'IBM i Navigator, sélectionnez votre_système > Réseau > Enterprise Identity Mapping > Gestion de domaines.
  4. Cliquez avec le bouton droit de la souris, puis sélectionnez l'option Ajout de domaine pour ouvrir l'assistant de configuration dans le but d'ajouter le domaine que vous avez créé à l'espace Gestion de domaines.

    Le connecteur Jeton d'identité nécessite la présence d'une entrée contenant la définition du registre d'utilisateurs source dans le mappage EIM. Cette entrée représente le registre utilisé par WAS pour authentifier les utilisateurs : un registre local du système d'exploitation ou un registre LDAP.

  5. Dans le panneau de navigation gauche d'IBM i Navigator, sélectionnez votre_système > Réseau > Enterprise Identity Mapping > Gestion de domaines > domaine > Registres d'utilisateurs.
  6. Cliquez avec le bouton droit de la souris, puis sélectionnez l'option Ajout de registre pour ouvrir l'assistant de configuration dans le but d'ajouter un registre au domaine. Comme le serveur d'applications est configuré pour utiliser le registre LDAP, sélectionnez LDAP - nom abrégé comme type de registre EIM (si cette option n'est pas disponible, utilisez 1.3.18.02.33.14-caseIgnore) Le nom que vous précisez (System_A_WAS, par exemple) sera également utilisé par le programme pendant la configuration de la sécurité WAS.

    Le connecteur Jeton d'identité nécessite la présence d'une entrée contenant l'identificateur utilisateur dans le mappage EIM. Cette entrée représente l'utilisateur de l'application.

  7. Dans le panneau de navigation gauche d'IBM i Navigator, sélectionnez votre_système > Réseau > Enterprise Identity Mapping > Gestion de domaines > domaine > Identificateurs.
  8. Cliquez avec le bouton droit de la souris, puis sélectionnez Nouvel identificateur...
  9. Tapez un identificateur, autrement dit le nom complet de l'utilisateur (John Day, par exemple), puis cliquez sur OK.

    Pour prendre en charge le mappage entre deux ID utilisateur, vous devez créer des associations dans le mappage EIM. En fait, elles associent l'utilisateur authentifié dans le registre LDAP avec le profil utilisateur nécessaire pour exécuter l'application sur le système IBM i.

  10. Créez une association cible pour représenter le profil utilisateur sur le système IBM i :
    1. Dans le panneau de navigation gauche d'IBM i Navigator, sélectionnez votre_système > Réseau > Enterprise Identity Mapping > Gestion de domaines > domaine > Identificateurs.
    2. Cliquez deux fois sur l'identificateur de l'utilisateur que vous souhaitez associer.
    3. Cliquez sur l'onglet Associations.
    4. Cliquez sur Ajouter, puis affectez les valeurs suivantes à l'association cible :
      • Identificateur EIM : Dans notre exemple, la zone contient déjà la valeur John Day.
      • Registre : Registre cible (System_B, par exemple).
      • Utilisateur : ID utilisateur figurant dans le registre cible (jsd1, par exemple).
      • Type d'association : Choisissez Cible.
    5. Cliquez sur OK. L'association cible représente l'ID utilisateur et le registre sous lequel les applications sont exécutées.
  11. Créez une association source pour représenter l'ID utilisateur qui sera utilisé pour l'authentification (l'ouverture d'une session) sur WAS :
    1. Cliquez sur Ajouter, puis affectez les valeurs suivantes à l'association source :
      • Identificateur EIM : Dans notre exemple, la zone contient déjà la valeur John Day.
      • Registre : Registre source (System_A_WAS, par exemple).
      • Utilisateur : ID utilisateur figurant dans le registre source (johnday, par exemple).
      • Type d'association : Choisissez Source.
    2. Cliquez sur OK pour ajouter la nouvelle association. L'association source représente l'ID utilisateur authentifié sur WebSphere Application Server.
  12. Cliquez sur OK pour enregistrer les associations.