Guia de Configuração do Servidor

Transcrição

1 IBM Tioli Identity Manager Guia de Configuração do Seridor Versão 4.5 S

2

3 IBM Tioli Identity Manager Guia de Configuração do Seridor Versão 4.5 S

4 Nota: Antes de utilizar estas informações e o produto a que elas se referem, leia as informações no Apêndice E, Aisos, na página 147. Terceira Edição (Setembro de 2003) Esta edição aplica-se à ersão do Tioli Identity Manager e a todos os releases e modificações subseqüentes, até que seja indicado de outra maneira em noas edições. Copyright International Business Machines Corporation Todos os direitos reserados.

5 Índice Prefácio A quem se Destina este Manual Publicações Tioli Identity Manager Serer Library.... Publicações de Produtos de Pré-requisito...i Publicações Relacionadas ii Acessando Publicações On-line ii Acessibilidade ii Entrando em Contato com o Suporte ao Software ii Conenções Utilizadas neste Manual..... iii Capítulo 1. Utilizando a Ferramenta de Configuração do Sistema (runconfig).. 1 Interface com o Usuário da Ferramenta de Configuração do Sistema Arquios de Propriedades Iniciando a Ferramenta de Configuração do Sistema (runconfig) Propriedades Gerais do Sistema Seridor de Aplicatios Informações sobre Planejamento Propriedades de Diretório Informações sobre a Conexão de Diretório do Tioli Identity Manager Serer Informações sobre o Conjunto de Conexões do LDAP Propriedades de Banco de Dados Informações Gerais sobre o Banco de Dados...7 Informações sobre o Conjunto de Bancos de Dados 8 Propriedades de Registro Níel de Registro Exceções de Rastreio Propriedades de Correio Informações sobre o Seridor da Web Informações sobre Correio Informações sobre o Seridor de Correio...10 Propriedades de Interface com o Usuário Logotipo do Cliente e Link de Logotipo do Cliente Listar Tamanho da Página Propriedades de Segurança Definições de Criptografia Definições de Gerenciamento de Usuário de Seridor de Aplicatios Interface com o Usuário da Web do Tioli Identity Manager Serer Capítulo 2. Configurando Propriedades do Sistema Compreendendo Arquios de Propriedades...16 Configuração Específica do WebLogic Configuração Específica do WebSphere Informações sobre o Seridor de Aplicatios...23 Informação de Locatário Padrão Informação sobre Seridor LDAP Informações sobre Cache Informações sobre Mensagem Informações sobre Planejamento Definições do Monitor de Transações de Senha..32 Informações sobre XML e DTD Informações sobre o Conjunto de Conexões do LDAP Informações sobre Criptografia Programa de Configuração do Sistema Informações sobre Configuração de Workflow...37 Configuração de Seriços de Correio Informações sobre Reconciliação Sinal Numérico Secreto Compartilhado Propriedades de Autenticação Bidirecional de SSL 45 Configuração da UI de Gerenciamento de Pedidos 46 Capítulo 3. Configurando Propriedades Suplementares Compreendendo Arquios de Propriedades...48 enroleauthentication.properties Configurando um Mecanismo de Autenticação Personalizado enroledatabase.properties enroleldapconnection.properties enrolelogging.properties enrol .properties enrolepolicies.properties enroleworkflow.properties fesiextensions.properties UI.properties CustomLabels.properties Capítulo 4. Gerenciando Certificados Digitais Visão Geral do SSL e de Certificados Digitais...75 Compreendendo Chaes Priadas e Certificados Digitais Formatos de Chae Implementações de SSL Utilizadas pelo Tioli Identity Manager Resumo e Roteiro de Configuração Implementação do Tioli Identity Manager no WebSphere Implementação do Tioli Identity Manager no WebLogic Configurando o SSL entre o Naegador e o Seridor da Web (WebSphere) Gerando um CSR (Certificate Signing Request) Instalando o Certificado Assinado Configurando o Seridor da Web para SSL..81 Configurando o SSL entre o Naegador e o Seridor da Web (WebLogic) Configurando o SSL entre o Seridor e o Agente..85 Configurando os Certificados de Seridor para o SSL Unidirecional Copyright IBM Corp iii

6 Configurando o Certificado Assinado no Agente 87 Configurando o SSL Iniciado pelo Agente (entre o Agente e o Seridor da Web) Agente com Base em ADK Configurado para Notificação de Eentos Alimentação de Identidade para um Programa Utilizando a Interface JNDI Agente com base no IDI (IBM Directory Integrator) Capítulo 5. Configurando Soluções de Conexão Única Visão Geral da Capacidade de Conexão Única...91 Configurando a Conexão Única com o WebSEAL..92 Pré-requisitos, Aisos e Soluções Procedimento de Configuração Configurando a Conexão Única com Seridores de Plug-in do Tioli Access Manager Criando uma Junção do WebSEAL com o Tioli Identity Manager Criando uma Junção TCP Criando uma Junção SSL Especificando o URL para uma Junção Capítulo 6. Personalizando a Interface com o Usuário Logotipo Personalizado Para Adicionar um Logotipo ao Sistema do Tioli Identity Manager Atributos Personalizados da Exibição Personalizando Fontes e Cores Personalizando Exibições de Listas Capítulo 7. Configurando Mensagem de Personalização de Gabarito de Alertas de Notificação de Erro Exemplo do Gerador de Anexos Exemplo de Uso do Gerador de Anexos Recuperação de Noas Senhas Capítulo 8. Configurando o Dicionário de Senhas e as Contas Excluídas Dicionário de Senhas Adicionando Palaras ao Dicionário de Senhas 109 Exclusão da Conta de Reconciliação Selecionando Contas a Serem Excluídas de Reconciliações Apêndice A. Instalando e Utilizando o Sincronizador ACI Informações Básicas para Sincronização de ACI..112 Função do Log de Alterações de ACI Atiando o Log de Alterações do Seridor de Diretórios Opções de Instalação do Sincronizador ACI Instalando o Sincronizador ACI no WebSphere/UNIX Instalação de Computador Separado Mesma Instalação do Computador Instalando o Sincronizador ACI no WebSphere/Windows Instalação de Computador Separado Mesma Instalação do Computador Instalando o Sincronizador ACI no WebLogic/UNIX Instalação de Computador Separado Mesma Instalação do Computador Instalando o Sincronizador ACI no WebLogic/Windows Instalação de Computador Separado Mesma Instalação do Computador Iniciando o Sincronizador ACI Modo Gráfico Modo de Linha de Comandos Apêndice B. Configurando o Crystal Reports Fluxo do Processo ao Utilizar o Crystal Reports 126 Configurando o Tioli Identity Manager para Utilizar o Crystal Reports Configuração do RAS (Suportada apenas na Plataforma Windows) a. Configuração do Tioli Identity Manager (WebSphere no Windows) b. Configuração do Tioli Identity Manager (WebSphere no UNIX) c. Configuração do Seridor Tioli Identity Manager (WebLogic no Windows) d. Configuração do Tioli Identity Manager (WebLogic no UNIX) Configuração do Cliente (Suportada apenas na Plataforma Windows) Apêndice C. Projetando Condições de Filtro de Relatórios Ad-Hoc Tutorial sobre o Projeto de Condições de Filtro Exemplos de Relatórios Uso de Funções em Relatórios Especificando Condições do JOIN no Report Designer durante o Projeto de Relatórios Apêndice D. Projetando Condições de Filtro do Crystal Reports Tutorial sobre o Projeto de Condições de Filtro Exemplos de Relatórios Especificando Condições do JOIN no Report Designer durante o Projeto de Relatórios Apêndice E. Aisos Marcas Glossário Índice Remissio i IBM Tioli Identity Manager: Guia de Configuração do Seridor

7 Prefácio O IBM Tioli Identity Manager Serer (Tioli Identity Manager Serer) permite que os administradores do sistema gerenciem suas necessidades de aproisionamento da organização a partir de uma localização central. O Tioli Identity Manager Serer gerencia o acesso aos recursos da organização utilizando os protocolos de segurança que ocê define no Tioli Identity Manager Serer e no sistema de segurança do site. Este manual descree como utilizar o programa de configuração Tioli Identity Manager Serer. A quem se Destina este Manual Publicações Este manual é destinado a administradores de sistema e de segurança que instalam, mantêm ou administram software nos sistemas de computadores em seu site. Os leitores deem estar familiarizados com os conceitos de administração de segurança e do sistema. Além disso, o leitor dee estar familiarizado com os conceitos de administração para o seguinte: Seridor de diretórios Seridor de banco de dados Suporte de enio incorporado de mensagens do WebSphere WebSphere Application Serer ou WebLogic IBM HTTP Serers Leia as descrições da biblioteca do Tioli Identity Manager, as publicações de pré-requisito e as publicações relacionadas para determinar quais publicações podem ser úteis. Depois de determinar as publicações necessárias, consulte as instruções para acessar publicações on-line. Tioli Identity Manager Serer Library As publicações na biblioteca do Tioli Identity Manager Serer são: Assistência on-line ao usuário para o Tioli Identity Manager Fornece tópicos de ajuda on-line integrados para todas as tarefas administratias do Tioli Identity Manager. Versões separadas do Tioli Identity Manager Serer Installation Guide no UNIX ou no Windows, utilizando WebSphere ou WebLogic. Utilize a ersão apropriada ao seu local. Fornece informações sobre instalação para o Tioli Identity Manager. Tioli Identity Manager: Guia de Administração de Critérios e Organizações Fornece tópicos para tarefas administratias do Tioli Identity Manager. Tioli Identity Manager Serer: Guia de Configuração Fornece informações sobre configuração para um único seridor e configurações de cluster do Tioli Identity Manager. Tioli Identity Manager: Guia do Usuário Final Fornece informações iniciais sobre o usuário para o Tioli Identity Manager. Tioli Identity Manager: Notas sobre o Release Copyright IBM Corp. 2003

8 Fornece requisitos de software e hardware para o Tioli Identity Manager, informações adicionais sobre correção e outras informações sobre suporte. Tioli Identity Manager: Guia de Resolução de Problemas Fornece informações adicionais para resolução de problemas do produto Tioli Identity Manager. Publicações de Produtos de Pré-requisito Para utilizar as informações neste manual com eficiência, ocê dee ter algum conhecimento dos produtos que são pré-requisitos para o Tioli Identity Manager. As publicações estão disponíeis nas seguintes localizações: WebSphere Application Serer Nota: A lista resumida de Redbooks a seguir descree como instalar e configurar o WebSphere Application Serer e fornecer segurança adicional. Embora a lista fosse atual no momento em esta publicação foi para produção, as publicações podem estar obsoletas. Entre em contato com o representante de clientes para obter a lista recomendada de informações sobre recursos. IBM WebSphere Application Serer V5.0 System Management and Configuration, um IBM Redbook IBM WebSphere Application Serer V5.0 Security, um IBM Redbook WebLogic Application Serer Seridores de bancos de dados IBM DB2 Oracle Microsoft SQL Serer Aplicatios do seridor de diretórios IBM Directory Serer Sun ONE Directory Serer Suporte de enio incorporado de mensagens do WebSphere (ou IBM MQSeries) Seridor Proxy da Web IBM HTTP Serer Seridor Microsoft IIS HTTP Seridor Apache HTTP i IBM Tioli Identity Manager: Guia de Configuração do Seridor

9 Acessibilidade Publicações Relacionadas Informações relacionadas ao Tioli Identity Manager Serer estão disponíeis nas seguintes publicações: O Tioli Software Library fornece uma ariedade de publicações Tioli, como informes, folhetos, demonstrações, assuntos de interesse geral e cartas de aisos. O Tioli Software Library está disponíel na Web no endereço: O Tioli Software Glossary inclui definições para ários termos técnicos relacionados ao software Tioli. O Tioli Software Glossary está disponíel apenas em inglês a partir do link Glossary no lado esquerdo da página da Web do Tioli Software Library: Acessando Publicações On-line As publicações da IBM para este produto estão disponíeis on-line no formato PDF (Portable Document Format) e/ou no formato HTML (Hypertext Markup Language) no Tioli Software Library: Para localizar publicações do produto na biblioteca, clique no link Product manuals no lado esquerdo da página Library. Em seguida, localize e clique no nome do produto na página Tioli Software Information Center. As publicações de produtos incluem notas sobre o release, guias de instalação, guias do usuário, guias do administrador e referências para o desenoledor. Nota: Para garantir a impressão correta de publicações PDF, selecione a caixa de opções Ajustar à página na janela Imprimir do Adobe Acrobat (disponíel quando ocê clica em Arquio Imprimir). A documentação do produto inclui os seguintes recursos para auxiliar a acessibilidade: A documentação está disponíel nos formatos HTML e PDF de forma a oferecer a oportunidade máxima para que os usuários apliquem software leitor de tela. Todas as imagens da documentação são fornecidas com o texto alternatio para que os usuários da documentação com problemas de isão possam compreender o conteúdo das imagens. Entrando em Contato com o Suporte ao Software Antes de entrar em contato com o suporte IBM Tioli Software indicando um problema, isite o Web site do suporte IBM Tioli Software no endereço: Se ocê precisar de ajuda adicional, entre em contato com o suporte do software utilizando os métodos descritos no IBM Software Support Guide, localizado neste Web site: Prefácio ii

10 Esse guia fornece as seguintes informações: Requisitos de registro e elegibilidade para o recebimento de suporte Números de telefone, dependendo do país em que ocê está Uma lista de informações que deem ser reunidas antes de entrar em contato com o suporte ao cliente Conenções Utilizadas neste Manual Esta referência utiliza árias conenções para termos e ações especiais e para comandos e caminhos que dependem do sistema operacional. As seguintes conenções de fontes são utilizadas neste guia: Negrito O texto em negrito indica botões selecionáeis da janela, campos de entrada e comandos que aparecem neste manual, exceto em exemplos ou no conteúdo dos arquios. Espaçamento fixo O texto em tipo de espaçamento fixo indica o conteúdo de arquios, nomes de arquios ou a saída de comandos. itálico O texto em itálico indica alores específicos do contexto, como: nomes de caminhos nomes de arquios nomes de usuários nomes de grupos parâmetros do sistema ariáeis de ambiente % O sinal de porcentagem (%) indica o prompt de tela do shell C como parte de exemplos incluídos neste manual. O prompt de tela do shell C do sistema pode ser diferente. # O sinal de sustenido (#) representa o prompt de tela mostrado aos usuários com login efetuado como superusuários (acesso raiz). iii IBM Tioli Identity Manager: Guia de Configuração do Seridor

11 Capítulo 1. Utilizando a Ferramenta de Configuração do Sistema (runconfig) O Tioli Identity Manager Serer é configurado por meio do gerenciamento de árias propriedades do sistema. Cada propriedade representa um alor que é utilizado para controlar o comportamento do Tioli Identity Manager Serer. Por exemplo, uma propriedade do sistema pode ser utilizada para determinar se uma challenge response correta permite que um usuário efetue login imediatamente ou se dee eniar um com uma noa senha. As propriedades do sistema são configuradas das seguintes maneiras: Utilize o utilitário de configuração do sistema, runconfig (descrito neste capítulo). Manualmente, modifique as propriedades editando o arquio de propriedades apropriado: Para obter informações detalhadas sobre propriedades do sistema (enrole.properties), consulte o Capítulo 2, Configurando Propriedades do Sistema, na página 15. Para obter informações detalhadas sobre propriedades suplementares, consulte o Capítulo 3, Configurando Propriedades Suplementares, na página 47. Índice de Tópico: Interface com o Usuário da Ferramenta de Configuração do Sistema na página 2 Propriedades Gerais do Sistema na página 4 Propriedades de Diretório na página 6 Propriedades de Banco de Dados na página 7 Propriedades de Registro na página 8 Propriedades de Correio na página 9 Propriedades de Interface com o Usuário na página 10 Propriedades de Segurança na página 11 Interface com o Usuário da Web do Tioli Identity Manager Serer na página 13 Copyright IBM Corp

12 Interface com o Usuário da Ferramenta de Configuração do Sistema Esta seção fornece informações sobre a Ferramenta de Configuração do Sistema Tioli Identity Manager. Administradores do sistema podem modificar informações específicas das propriedades do sistema depois que o Tioli Identity Manager Serer é instalado utilizando a Ferramenta de Configuração do Sistema. As propriedades do sistema podem ser modificadas a qualquer momento. Pode ser necessário iniciar noamente o Tioli Identity Manager Serer quando as alterações são feitas em determinadas propriedades. Por exemplo, alterações nas propriedades do sistema feitas pelos módulos de inicialização do seridor não são reconhecidas, a menos que ocê inicie noamente o seridor. Alterações a outras propriedades do sistema podem ser reconhecidas em 30 segundos. O exemplo mais consideráel são as propriedades de registro. As propriedades de registro podem ser alteradas sem iniciar noamente o seridor e as alterações são efetiadas em 30 segundos. O utilitário runconfig é uma ferramenta gráfica utilizada a fim de editar as propriedades mais comumente utilizadas para o Tioli Identity Manager Serer. As alterações feitas com essa ferramenta são automaticamente graadas no arquio apropriado de propriedades do sistema. O programa runconfig está localizado no diretório bin. Você pode isualizar ou editar as seguintes propriedades do sistema com o runconfig: Informações sobre o seridor de aplicatios Nome do host do Tioli Identity Manager Serer (alor somente leitura para o WebSphere; alor editáel para o WebLogic) Número da porta TCP/IP (alor somente leitura para o WebSphere; alor editáel para o WebLogic) Número da porta SSL TCP/IP (alor somente leitura para o WebSphere; alor editáel para o WebLogic) Informações sobre planejamento Informações sobre o repositório de diretórios Nome do host do Seridor do Diretório DN e senha do proprietário que o Tioli Identity Manager Serer utiliza para efetuar logon no seridor de diretório Número da porta do seridor de diretório Informações sobre o conjunto de conexões do LDAP Informações sobre o repositório de banco de dados Tipo de banco de dados Endereço IP e porta do seridor de banco de dados Nome do seriço de banco de dados Conta e senha do banco de dados que o Tioli Identity Manager Serer utiliza para efetuar logon no banco de dados Informações sobre o conjunto de conexões do banco de dados Informações sobre registro Níel de rastreio e erbosidade Informações sobre notificação de correio O URL de login para o Tioli Identity Manager Serer O host de correio SMTP para eniar notificação de correio 2 IBM Tioli Identity Manager: Guia de Configuração do Seridor

13 O nome do destinatário para notificações de correio Informações sobre a interface com o usuário Definição de logotipo do cliente Link de URL do cliente Listar tamanho da página Informações sobre segurança Definição de criptografia Senha do usuário do sistema Senha do usuário EJB Arquios de Propriedades Os arquios de propriedades suplementares e do sistema estão localizados no Tioli Identity Manager Serer, no diretório ${ITIM_HOME}/data. Esses arquios contêm todas as propriedades suplementares e do sistema utilizadas pelo seridor. Nome do Arquio enrole.properties enroleauthentication.properties enroledatabase.properties enroleldapconnection.properties enrolelogging.properties enrol .properties enrolepolicies.properties enroleworkflow.properties fesiextensions.properties UI.properties Descrição Especifica propriedades do sistema Especifica mecanismos de autenticação. Especifica propriedades do repositório de banco de dados Especifica atributos que afetam a conexão com o seridor de diretório Especifica propriedades do registro Especifica propriedades de notificação de correio Especifica propriedades da estrutura de critérios Especifica propriedades de definição de processo do sistema Especifica extensões FESI personalizadas e internas Especifica propriedades gerais para a interface com o usuário Para obter informações detalhadas sobre propriedades do sistema (enrole.properties), consulte Capítulo 2, Configurando Propriedades do Sistema, na página 15. Para obter informações detalhadas sobre propriedades suplementares, consulte Capítulo 3, Configurando Propriedades Suplementares, na página 47. Iniciando a Ferramenta de Configuração do Sistema (runconfig) A Ferramenta de Configuração do Sistema está disponíel nas ersões para Windows e UNIX do Tioli Identity Manager. Iniciando a Ferramenta de Configuração do Sistema (UNIX) na página 3 Iniciando a Ferramenta de Configuração do Sistema (Windows) na página 4 Iniciando a Ferramenta de Configuração do Sistema (UNIX) Para iniciar a Ferramenta de Configuração do Sistema no UNIX: 1. Efetue login no sistema em que o Tioli Identity Manager Serer está instalado. 2. Altere para o diretório inicial do Tioli Identity Manager. Capítulo 1. Utilizando a Ferramenta de Configuração do Sistema (runconfig) 3

14 # cd ${ITIM_HOME} 3. Altere para o diretório /bin. # cd bin 4. Verifique se o diretório atual é o diretório ${ITIM_HOME}/bin. # pwd ${ITIM_HOME}/bin 5. Digite runconfig e pressione Enter. A Interface com o Usuário de Configuração do Sistema aparece. Agora ocê está pronto para alterar as propriedades do sistema. 6. Altere as propriedades do sistema desejadas e clique em OK. Consulte as seguintes seções para obter informações adicionais sobre propriedades do sistema configuráeis. Nota: Clicar em OK sala as alterações e fecha a interface com o usuário. Clicar em Aplicar sala as alterações sem fechar a interface com o usuário. Iniciando a Ferramenta de Configuração do Sistema (Windows) Para iniciar a Ferramenta de Configuração do Sistema no Windows: 1. Efetue login no sistema em que o Tioli Identity Manager Serer está instalado. 2. Abra o Windows Explorer. 3. Abra o diretório inicial do Tioli Identity Manager Serer. 4. Abra o diretório bin. 5. Dê um clique duplo no programa runconfig. A Interface com o Usuário de Configuração do Sistema aparece. Agora ocê está pronto para alterar as propriedades do sistema. 6. Altere as propriedades do sistema desejadas e clique em OK. Consulte as seguintes seções para obter informações adicionais sobre propriedades do sistema configuráeis. Nota: Clicar em OK sala as alterações e fecha a interface com o usuário. Clicar em Aplicar sala as alterações sem fechar a interface com o usuário. A IBM recomenda iniciar noamente o Tioli Identity Manager Serer depois de modificar qualquer propriedade utilizando a Ferramenta de Configuração do Sistema. Propriedades Gerais do Sistema A guia Geral da interface com o usuário Configuração do Sistema exibe campos de configuração para Informações sobre o Seridor de Aplicatios e Informações sobre Planejamento. 4 IBM Tioli Identity Manager: Guia de Configuração do Seridor

15 Figura 1. Guia Geral Consulte também Capítulo 2, Configurando Propriedades do Sistema, na página 15. Seridor de Aplicatios Nota: No WebSphere, as informações exibidas nesta seção são somente para referência. Elas não podem ser modificadas. No WebLogic, esses campos podem ser modificados. O campo Informações sobre o Seridor de Aplicatios exibe informações sobre a máquina seridor de aplicatios, incluindo o nome do host, a porta TCP e a porta SSL. Informações sobre Planejamento Pulsação O campo Informações sobre Planejamento exibe informações sobre a freqüência com que um encadeamento de planejamento consulta os armazenamentos de mensagens planejadas para eentos a serem processados (Pulsação). A Pulsação é medida em segundos. Os administradores do sistema podem modificar somente a Pulsação. Limite de Duração da Lixeira Quando ocê exclui objetos do Tioli Identity Manager (como unidades organizacionais, pessoas ou contas), os objetos não são imediatamente remoidos do sistema. Em ez disso, são moidos para uma lixeira. Esaziar a lixeira é um processo distinto (chamado coleta de lixo ) que enole a execução manual de scripts de limpeza. O campo Limite de Duração da Lixeira especifica o número de dias que um objeto permanece na lixeira do sistema antes de ser disponibilizado para exclusão por scripts de limpeza executados manualmente. Esse campo protege, pelo período especificado, objetos contidos na lixeira de scripts de limpeza. Com a definição do campo Limite de Duração da Lixeira, os scripts de limpeza podem remoer apenas aqueles objetos que são mais antigos do que o tempo especificado na definição de limite de duração. Por exemplo, se a definição de Capítulo 1. Utilizando a Ferramenta de Configuração do Sistema (runconfig) 5

16 limite de duração for 62 dias (padrão), apenas os objetos que estão na lixeira há mais de 62 dias podem ser excluídos por scripts de limpeza executados manualmente. É possíel remoer entradas da lixeira com limites de duração encidos, utilizando os seguintes scripts de limpeza: Windows: <ITIM_HOME>\bin\win\ldapClean.cmd UNIX: Propriedades de Diretório <ITIM_HOME>/bin/unix/ldapClean.sh É recomendáel planejar para que o processo de limpeza da lixeira seja executado periodicamente. Na plataforma Windows, é possíel registrar o script de comando anterior com o programador do Windows. Na plataforma UNIX, é possíel criar um job cron do UNIX. Um exemplo de script cron do UNIX é fornecido: <ITIM_HOME>/bin/unix/schedule_garbarge.cron A guia Diretório da interface com o usuário Configuração do Sistema exibe informações sobre a conexão de diretório do Tioli Identity Manager Serer e Informações sobre o Conjunto de Conexões do LDAP. A guia Diretório também tem um botão Teste para testar a conexão com o seridor de diretórios. Figura 2. Guia Diretório Consulte também enroleldapconnection.properties no Capítulo 3, Configurando Propriedades Suplementares, na página 47. Informações sobre a Conexão de Diretório do Tioli Identity Manager Serer Os campos de informações sobre a conexão de diretório do Tioli Identity Manager Serer exibem Nome do Proprietário, Senha, Nome do Host e Porta do seridor de diretório. 6 IBM Tioli Identity Manager: Guia de Configuração do Seridor

17 Informações sobre o Conjunto de Conexões do LDAP Informações sobre o Conjunto de Conexões do LDAP define um conjunto de conexões do LDAP acessíeis pelo Tioli Identity Manager Serer. O campo Tamanho Máximo do Conjunto exibe o número máximo de conexões que o Conjunto de Conexões do LDAP pode ter a qualquer momento. O campo Tamanho Inicial do Conjunto exibe o número inicial de conexões criadas para o Conjunto de Conexões do LDAP. O campo Contagem de Incrementos exibe o número de conexões adicionadas ao Conjunto de Conexões do LDAP sempre que uma conexão é solicitada quando todas as conexões estão em uso. Nota: Depois que uma conexão é estabelecida e os dados são armazenados no seridor de Diretório do LDAP, alterar o nome do host ou o número da porta poderá causar efeitos prejudiciais. Propriedades de Banco de Dados A guia Banco de Dados da interface com o usuário Configuração do Sistema exibe informações gerais sobre o banco de dados e Informações sobre o Conjunto de Bancos de Dados. A guia Banco de Dados também tem um botão Teste para testar a conexão com o banco de dados. Dependendo do tipo de conexão utilizada, uma das árias janelas de diálogo é exibida ao configurar propriedades do banco de dados. Nota: O banco de dados contém a trilha de auditoria e as informações sobre workflow do sistema. Alterar a configuração depois que o sistema for instalado poderá causar efeitos prejudiciais. A janela de diálogo a seguir exibe a guia Banco de Dados quando o Tioli Identity Manager Serer não utiliza um Cliente Oracle para se conectar ao banco de dados do Oracle. Esse tipo de conexão utiliza um drier JDBC Tipo IV (Oracle Thin). De maneira similar, o Microsoft SQLSerer utiliza um drier JDBC tipo 4. Figura 3. Guia Banco de Dados Consulte também enroledatabase.properties no Capítulo 3, Configurando Propriedades Suplementares, na página 47. Informações Gerais sobre o Banco de Dados Os campos de informações gerais sobre o banco de dados exibem informações como Tipo de Banco de Dados, Nome do Seriço de Rede do Banco de Dados e Usuário do Banco de Dados. Capítulo 1. Utilizando a Ferramenta de Configuração do Sistema (runconfig) 7

18 O campo Tipo de Banco de Dados exibe o tipo de banco de dados utilizado para o sistema. Atualmente, a IBM suporta IBM DB2, Oracle ORACLE 8i e Microsoft SQLSerer 2000 Enterprise Edition. Somente DB2: O campo Nome ou Alias do Banco de Dados exibe como o Tioli Identity Manager Serer se conecta ao banco de dados. Se o banco de dados for instalado localmente, o alor representa o nome do banco de dados. Se o banco de dados for instalado remotamente, o alor representa o nome do alias local do banco de dados remoto. Somente Oracle: O rótulo do campo é: IP:Port:Name do Banco de Dados. Somente Microsoft SQLSerer: O rótulo do campo é: IP:Port:Serice Name do Banco de Dados. Somente Oracle e Microsoft SQLSerer: Os driers JDBC Tipo 4 são utilizados. Nenhum software de cliente é requerido. O campo Usuário do Banco de Dados exibe a conta que o Tioli Identity Manager Serer utiliza para efetuar login no banco de dados. O ID do usuário dee ser enrole, que é criado pelo programa de configuração do banco de dados do Tioli Identity Manager (DBConfig). Essa conta dee ter uma senha de usuário álida. O campo Senha do Usuário é a senha para a conta do Usuário do Banco de Dados. Informações sobre o Conjunto de Bancos de Dados Informações sobre o Conjunto de Bancos de Dados determina o número de conexões JDBC. O campo Capacidade Inicial exibe o número inicial de conexões JDBC. O campo Capacidade Máxima exibe o número máximo de conexões JDBC que o Tioli Identity Manager Serer pode abrir para o banco de dados de uma só ez. O campo Segundos de Atraso de Login exibe o tempo, em segundos, entre conexões. Propriedades de Registro A guia Registro da Ferramenta de Configuração do Sistema exibe as preferências de registro e rastreio no Tioli Identity Manager Serer. Figura 4. Guia Banco de Dados 8 IBM Tioli Identity Manager: Guia de Configuração do Seridor

19 Consulte também enrolelogging.properties no Capítulo 3, Configurando Propriedades Suplementares, na página 47. Níel de Registro O Tioli Identity Manager Serer registra eentos em um arquio de log. O campo Níel de Registro exibe a prolixidade dos logs ao rastrear erros do sistema. Os administradores do sistema podem selecionar o detalhamento que o arquio de log dee ter, definindo o número do campo Níel de Registro entre INFO e FATAL. FATAL graa menos informações no arquio de log que INFO. INFO gera um número mais eleado de notificações graadas. Para obter melhor desempenho do Tioli Identity Manager, utilize FATAL. Exceções de Rastreio O Tioli Identity Manager Serer rastreia erros do sistema. O rastreio coleta informações sobre diagnóstico para o suporte ao cliente IBM. Os administradores do sistema podem atiar ou desatiar o rastreio selecionando os botões de opções Sim ou Não no campo Exceções de Rastreio. Propriedades de Correio A guia Correio da Ferramenta de Configuração do Sistema exibe parâmetros de notificação de correio e parâmetros de gateway. Figura 5. Guia Correio Consulte também enrol .properties em Capítulo 3, Configurando Propriedades Suplementares, na página 47. Informações sobre o Seridor da Web O URL de login para o Tioli Identity Manager é apresentado primeiro como um hyperlink em para noos usuários do Tioli Identity Manager. Esse URL de login tem como base o alor do URL exibido no campo URL do Seridor Identity Manager (URL base) da guia Correio. Obsere que ocê somente especifica o nome do host (ou endereço IP) e a porta no URL base. Certifique-se de que ele corresponda o URL de login publicado ao seu sistema Tioli Identity Manager. Para um seridor único que utiliza o WebSphere Application Serer, o URL base dee ser aquele do seridor da Web (por exemplo, o IBM HTTP Serer) que, por Capítulo 1. Utilizando a Ferramenta de Configuração do Sistema (runconfig) 9

20 padrão, utiliza a porta 80 para HTTP e a porta 443 para HTTPS (não as portas utilizadas pelo seridor de aplicatios que, por padrão, utiliza a porta 9080 para HTTP e a porta 9443 para HTTPS). Para um cluster e cluster funcional que utiliza o WebSphere Application Serer, o URL base dee ser aquele do seridor da Web com compensação de carga para todas as instâncias do seridor de aplicatios no cluster (não o URL base de uma instância específica do seridor de aplicatios). Para um seridor único que utiliza o WebLogic Application Serer e NÃO utiliza um seridor da Web comercial, o URL base dee ser aquele do seridor de aplicatios que possui um componente de seridor da Web incorporado. Por exemplo, 7001 para HTTP e 7002 para HTTPS. Para um seridor único que utiliza o WebLogic Application Serer e um seridor da Web comercial, o URL base dee ser aquele do seridor da Web que, por padrão, utiliza a porta 80 para HTTP e a porta 443 para HTTPS (não as portas utilizadas pelo seridor de aplicatios). Para um cluster que utiliza o WebLogic Application Serer, o URL base dee ser aquele do seridor proxy um seridor da Web comercial com o plug-in BEA WebLogic instalado e configurado ou outro WebLogic Application Serer configurado e executando como o seridor proxy. O URL base NÃO dee ser aquele de uma instância específica do seridor de aplicatios no cluster. Informações sobre Correio O endereço Correio de refere-se ao endereço de do administrador do sistema do Tioli Identity Manager para o seu site. Todos os s serão entregues a partir do parâmetro Correio de. Esse campo é um alor obrigatório. Esse campo dee ter um endereço de com formato adequado. Informações sobre o Seridor de Correio São suportados seridores de correio SMTP. O host SMTP é o gateway de correio. Propriedades de Interface com o Usuário A guia UI da Ferramenta de Configuração do Sistema permite que os administradores do sistema personalizem a interface com o usuário do Tioli Identity Manager Serer. 10 IBM Tioli Identity Manager: Guia de Configuração do Seridor

21 Figura 6. Guia UI Consulte também UI.properties no Capítulo 3, Configurando Propriedades Suplementares, na página 47. Logotipo do Cliente e Link de Logotipo do Cliente O campo Logotipo do Cliente exibe o nome do arquio de logotipo. O Link de Logotipo do Cliente é a localização do arquio de logotipo. Os administradores do sistema podem especificar essas duas ariáeis para substituir o logotipo IBM pelo logotipo de suas empresas em todo o sistema Tioli Identity Manager. Consulte Logotipo Personalizado na página 103 para obter informações detalhadas sobre como alterar o logotipo e o link. Listar Tamanho da Página O campo Listar Tamanho da Página exibe quantos itens serão exibidos nas listas em toda a interface com o usuário. Se o número total de itens exceder o alor definido em Listar Tamanho da Página, a lista será expandida em árias páginas. Propriedades de Segurança A guia Segurança da Ferramenta de Configuração do Sistema exibe as definições de criptografia e as preferências de gerenciamento do usuário do seridor de aplicatios no Tioli Identity Manager Serer. Capítulo 1. Utilizando a Ferramenta de Configuração do Sistema (runconfig) 11

22 Figura 7. Guia Segurança Consulte também enroleauthentication.properties no Capítulo 3, Configurando Propriedades Suplementares, na página 47. Definições de Criptografia Criptografia (caixa de opções) Quando marcada, as senhas utilizadas para conexões de banco de dados e do LDAP e a senha do usuário do EJB que é utilizado para autenticação do EJB são criptografadas. Os sinalizadores de criptografia são definidos como erdadeiros. Os sinalizadores são representados pelas seguintes propriedades em enrole.properties: enrole.password.database.encrypted enrole.password.ldap.encryped enrole.password.appserer.encrypted Quando a caixa de opções está desmarcada, as senhas são descriptografadas e os sinalizadores definidos como falsos. Definições de Gerenciamento de Usuário de Seridor de Aplicatios Permite que ocê defina e confirme a senha para o seguinte: Usuário do Sistema O ID e a senha do usuário do WebSphere Application Serer. Usuário do EJB Um usuário e uma senha que ocê dee definir antes de iniciar a instalação. Nota: Se esse campo estier pré-preenchido quando for exibido, ele poderá conter o alor do Usuário do Sistema. Altere o campo para o alor do usuário do EJB. Para obter informações adicionais, consulte o apêndice Security Considerations na ersão apropriada do IBM Tioli Identity Manager Serer Installation Guide. 12 IBM Tioli Identity Manager: Guia de Configuração do Seridor

23 Interface com o Usuário da Web do Tioli Identity Manager Serer Também é possíel modificar determinadas propriedades do sistema na seção Configuração da Barra de Naegação do Menu Principal na interface com o usuário da Web do Tioli Identity Manager Serer. Na guia Configuração, é possíel modificar as seguintes propriedades: Procedimento de pergunta sobre a senha perdida Atiar/desatiar edição de senha Período de expiração da senha (número de dias) Essa propriedade é somente da conta do Tioli Identity Manager Serer. O usuário precisa alterar a senha antes desse período ser atingido. Sempre que a noa senha for definida para a conta do Tioli Identity Manager Serer, o período de expiração será contado a partir da data de definição. Você pode fazer com que esse período nunca expire, definindo essa propriedade como zero. Período de expiração de recuperação da senha (número de horas) Após a criação da noa conta, o usuário receberá um com o link de URL no qual ele poderá obter a senha. O usuário precisa obter a senha antes desse período de recuperação da senha expirar. Número máximo de tentatias inálidas de logon Define o número máximo de tentatias de logon inálidas. Se for excedido, a conta será suspensa. A definição padrão é 0 (tentatias ilimitadas de logon). Capítulo 1. Utilizando a Ferramenta de Configuração do Sistema (runconfig) 13

24 14 IBM Tioli Identity Manager: Guia de Configuração do Seridor

25 Capítulo 2. Configurando Propriedades do Sistema Este capítulo fornece informações detalhadas sobre as chaes e os alores de propriedade contidos no arquio de configuração do sistema do Tioli Identity Manager conhecido como enrole.properties. Índice de Tópico: Compreendendo Arquios de Propriedades na página 16 Seções do arquio enrole.properties: Configuração Específica do WebLogic na página 17 Configuração Específica do WebSphere na página 20 Informações sobre o Seridor de Aplicatios na página 23 Informação de Locatário Padrão na página 24 Informação sobre Seridor LDAP na página 25 Informações sobre Cache na página 26 Informações sobre Mensagem na página 27 Informações sobre Planejamento na página 31 Definições do Monitor de Transações de Senha na página 32 Informações sobre XML e DTD na página 33 Informações sobre o Conjunto de Conexões do LDAP na página 34 Informações sobre Criptografia na página 35 Programa de Configuração do Sistema na página 36 Informações sobre Configuração de Workflow na página 37 Configuração de Seriços de Correio na página 41 Informações sobre Reconciliação na página 42 Sinal Numérico Secreto Compartilhado na página 44 Propriedades de Autenticação Bidirecional de SSL na página 45 Configuração da UI de Gerenciamento de Pedidos na página 46 Copyright IBM Corp

26 Compreendendo Arquios de Propriedades Os arquios de propriedades Jaa definem atributos que permitem a personalização e o controle do software Jaa. Os arquios de propriedades do sistema padrão e os arquios de propriedades personalizadas são utilizados para configurar preferências e personalizações do usuário. Um arquio de propriedades Jaa define os alores de recursos denominados que podem especificar opções do programa, como informações sobre acesso ao banco de dados, definições do ambiente e recursos e funcionalidade especiais. Um arquio de propriedades define os recursos denominados utilizando um formato de pares de chae e alor de propriedade: property-key-name = alue O property-key-name é um identificador para o recurso. O alue é o nome do objeto Jaa real que fornece o recurso. O Tioli Identity Manager utiliza ários arquios de propriedades para controlar a funcionalidade do programa e permitir que o usuário personalize recursos especiais. 16 IBM Tioli Identity Manager: Guia de Configuração do Seridor

27 Configuração Específica do WebLogic As propriedades a seguir configuram alores específicos para a integração do Tioli Identity Manager com o seridor de aplicatios WebLogic: Nome de Fábrica de Contexto da Plataforma enrole.platform.contextfactory Não modifique esta chae e alor de propriedade. Especifica a classe Jaa para a fábrica de contexto da plataforma que define o ponto de integração do Tioli Identity Manager com o seridor de aplicatios WebLogic. Padrão (inserido como uma linha): enrole.platform.contextfactory = com.ibm.itim.apps.impl.weblogic. WebLogicPlatformContextFactory Seridor de Aplicatios enrole.appserer.contextfactory Não modifique esta chae e alor de propriedade. Especifica a classe Jaa que determina qual fábrica JNDI utilizar com o seridor de aplicatios WebLogic. Padrão: enrole.appserer.contextfactory = weblogic.jndi.wlinitialcontextfactory enrole.appserer.url.redirect Não modifique esta chae e alor de propriedade. Especifica o URL requerido para direcionar pedidos ao Seridor Tioli Identity Manager. Exemplo (padrão): enrole.appserer.url.redirect = /enrole enrole.appserer.url Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Especifica a localização do seriço de atribuição de nomes do seridor de aplicatios. Esse alor é obtido durante a instalação do Tioli Identity Manager. Exemplo: enrole.appserer.url = t3://localhost enrole.appserer.pwdkey NÃO UTILIZADO. enrole.appserer.systemuser Capítulo 2. Configurando Propriedades do Sistema 17

28 Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Modificar utilizando o utilitário runconfig apenas. Especifica o nome do usuário administrador do WebSphere quando a segurança está atiada. Esse alor é utilizado por rotinas de instalação e configuração do Tioli Identity Manager para autenticar o WebSphere. Exemplo: enrole.appserer.systemuser = system enrole.appserer.systemuser.credentials Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Modificar utilizando o utilitário runconfig apenas. Especifica a senha para o systemuser. Exemplo: enrole.appserer.systemuser.credentials = enrole enrole.appserer.ejbuser.principal Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Modificar utilizando o utilitário runconfig apenas. Especifica o nome utilizado pelo Tioli Identity Manager para autenticação ao fazer chamadas em beans Jaa. Exemplo: enrole.appserer.ejbuser.principal = rasweb enrole.appserer.ejbuser.credentials Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Modificar utilizando o utilitário runconfig apenas. Especifica a senha para o ejbuser. A criptografia desse alor é especificada pela propriedade enrole.password.appserer.encrypted em enrole.properties. Exemplo: enrole.appserer.ejbuser.credentials = password enrole.appserer.usertransaction.jndiname Não modifique esta chae e alor de propriedade. Especifica o nome de JNDI do objeto Transação do Usuário da JTA (Jaa Transaction API). Padrão: enrole.appserer.usertransaction.jndiname = jaax.transaction. UserTransaction enrole.appserer.name.jaa.option Não modifique esta chae e alor de propriedade. Especifica opções do JVM ao iniciar o seridor WebLogic. Exemplo (padrão): enrole.appserer.name.jaa.option = weblogic.name 18 IBM Tioli Identity Manager: Guia de Configuração do Seridor

29 Separador de Caminho de Serlet do Seridor de Aplicatios enrole.serlet.path.separator Não modifique esta chae e alor de propriedade. Especifica o caractere separador utilizado para especificar nomes de caminho para os recursos necessários. Padrão (WebLogic): enrole.serlet.path.separator = / Enio de Mensagens enrole.messaging.jmssererurl Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Especifica a localização do seriço de atribuição de nomes que contém o JMS (Jaa Messaging Serice). Para WebSphere, esse alor é o mesmo que enrole.appserer.url. Exemplo: enrole.messaging.jmssererurl = t3://localhost enrole.messaging.sessionpoolfactory NÃO UTILIZADO. enrole.messaging.weblogic.sessionpoolfactory NÃO UTILIZADO. Auxiliador de Login enrole.appserer.loginhelper.class NÃO UTILIZADO. Login do Sistema de Notificação de Eentos SystemLoginContextFactory Não modifique esta chae e alor de propriedade. Especifica a classe de fábrica Jaa para o login do sistema de notificação de eentos apropriado para o WebLogic. Padrão (inserido como uma linha): SystemLoginContextFactory = com.ibm.itim.remoteserices.proider.itim. weblogic.wlsystemlogincontextfactory Capítulo 2. Configurando Propriedades do Sistema 19

30 Configuração Específica do WebSphere As propriedades a seguir configuram alores específicos para a integração do Tioli Identity Manager com o seridor de aplicatios WebSphere: Nome de Fábrica de Contexto da Plataforma enrole.platform.contextfactory Não modifique esta chae e alor de propriedade. Especifica a classe Jaa para a fábrica de contexto da plataforma que define o ponto de integração do Tioli Identity Manager com o seridor de aplicatios WebSphere. Padrão (inserido como uma linha): enrole.platform.contextfactory = com.ibm.itim.apps.impl.websphere. WebSpherePlatformContextFactory Seridor de Aplicatios enrole.appserer.contextfactory Não modifique esta chae e alor de propriedade. Especifica a classe Jaa que determina qual fábrica JNDI utilizar com o seridor de aplicatios WebSphere. Padrão: enrole.appserer.contextfactory = com.ibm.websphere.naming. WsnInitialContextFactory enrole.appserer.url Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Especifica a localização do seriço de atribuição de nomes do seridor de aplicatios. Esse alor é obtido durante a instalação do Tioli Identity Manager. Exemplo: enrole.appserer.url = iiop://localhost:2809 enrole.appserer.usertransaction.jndiname Não modifique esta chae e alor de propriedade. Especifica o nome de JNDI do objeto Transação do Usuário da JTA. Padrão: enrole.appserer.usertransaction.jndiname = jta/usertransaction enrole.appserer.systemuser Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Modificar utilizando o utilitário runconfig apenas. Especifica o nome do usuário administrador do WebSphere quando a segurança está atiada. Esse alor é utilizado por rotinas de instalação e configuração do Tioli Identity Manager para autenticar o WebSphere. Exemplo: enrole.appserer.systemuser = system enrole.appserer.systemuser.credentials 20 IBM Tioli Identity Manager: Guia de Configuração do Seridor

31 Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Modificar utilizando o utilitário runconfig apenas. Especifica a senha para o systemuser. Exemplo: enrole.appserer.systemuser.credentials = enrole enrole.appserer.ejbuser.principal Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Modificar utilizando o utilitário runconfig apenas. Especifica o nome utilizado pelo Tioli Identity Manager para autenticação ao fazer chamadas em beans Jaa. Exemplo: enrole.appserer.ejbuser.principal = rasweb enrole.appserer.ejbuser.credentials Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Modificar utilizando o utilitário runconfig apenas. Especifica a senha para o ejbuser. A criptografia desse alor é especificada pela propriedade enrole.password.appserer.encrypted em enrole.properties. Exemplo: enrole.appserer.ejbuser.credentials = password Separador de Caminho de Serlet do Seridor de Aplicatios enrole.serlet.path.separator Não modifique esta chae e alor de propriedade. Especifica o caractere separador utilizado para especificar nomes de caminho para os recursos necessários. Padrão (WebSphere): enrole.serlet.path.separator =. Enio de Mensagens enrole.messaging.jmssererurl Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Especifica a localização do seriço de atribuição de nomes que contém o JMS. Para WebSphere, esse alor é o mesmo que enrole.appserer.url. Exemplo: enrole.messaging.jmssererurl = iiop://localhost:2809 Auxiliador de Login enrole.appserer.loginhelper.class Capítulo 2. Configurando Propriedades do Sistema 21

32 Não modifique esta chae e alor de propriedade. Especifica a classe Jaa utilizada para registrar cada encadeamento em Segurança J2EE. Padrão: enrole.appserer.loginhelper.class = com.ibm.itim.util.was.was40loginhelper URL de Níel de Workflow enrole.wfcluster.url Não modifique esta chae e alor de propriedade. Essa propriedade é álida somente para o WebSphere. Especifica onde os beans de níel de workflow podem ser procurados. Especifique um alor para isso somente em máquinas de níel de aplicatio em um Cluster Funcional. Deixe o alor padrão como está para todos os outros casos. Exemplo (padrão): enrole.wfcluster.url = iiop://localhost:2809/cell/clusters/wfcluster Login do Sistema de Notificação de Eentos SystemLoginContextFactory Não modifique esta chae e alor de propriedade. Especifica a classe de fábrica Jaa para o login do sistema de notificação de eentos apropriado para o WebSphere. Padrão (inserido como uma linha): SystemLoginContextFactory = com.ibm.itim.remoteserices.proider.itim. websphere.wssystemlogoncontextfactory 22 IBM Tioli Identity Manager: Guia de Configuração do Seridor

33 Informações sobre o Seridor de Aplicatios As propriedades a seguir configuram alores específicos para o seridor de aplicatios (como o WebSphere ou WebLogic) utilizando o Tioli Identity Manager. enrole.appserer.name Especifica o nome exclusio do seridor de aplicatios. Em um ambiente de cluster, é importante que esse nome seja exclusio para cada membro no cluster. Exemplo (padrão): enrole.appserer.name = myserer enrole.appserer.config.latency NÃO UTILIZADO enrole.password.database.encrypted Use o utilitário runconfig para modificar esta propriedade. Especifica se a senha para a conexão do banco de dados (especificada por database.db.password em enroledatbase.properties) é criptografada ou não. Os alores álidos são: true criptografada false não criptografada Exemplo (padrão): enrole.password.database.encrypted = false enrole.password.ldap.encrypted Use o utilitário runconfig para modificar esta propriedade. Especifica se a senha do LDAP (especificada pela propriedade jaa.naming.security.credentials em enroleldapconnection.properties) é criptografada ou não. Os alores álidos são: true criptografada false não criptografada Exemplo (padrão): enrole.password.ldap.encrypted = false enrole.password.appserer.encrypted Use o utilitário runconfig para modificar esta propriedade. Especifica se a senha do seridor de aplicatios (especificada pela propriedade enrole.appserer.ejbuser.credentials em enrole.properties) é criptografada ou não. Os alores álidos são: true criptografada false não criptografada Exemplo (padrão): enrole.password.appserer.encrypted = false Capítulo 2. Configurando Propriedades do Sistema 23

34 Informação de Locatário Padrão As propriedades a seguir configuram os detalhes do nome da organização utilizado pelo seridor de diretórios. enrole.defaulttenant.id Não modifique esta chae e alor de propriedade. Especifica o formato abreiado do nome da organização utilizado pelo seridor de diretórios. Esse alor é especificado durante a instalação do Tioli Identity Manager. Exemplo (padrão): enrole.defaulttenant.id = Tioli No LDAP, esse alor será expresso como: ou = Tioli enrole.organization.name Não modifique esta chae e alor de propriedade. Especifica o formato longo do nome da organização utilizado pelo seridor de diretórios. Esse alor é especificado durante a instalação do Tioli Identity Manager. Exemplo (padrão): enrole.organization.name = Tioli 24 IBM Tioli Identity Manager: Guia de Configuração do Seridor

35 Informação sobre Seridor LDAP As propriedades a seguir configuram os alores utilizados pelo seridor de diretórios do Tioli Identity Manager. enrole.ldapserer.root Especifica o nó de entrada do domínio de níel superior da estrutura de dados do seridor de diretórios (dc = controle de domínio). Esse alor é especificado durante a instalação do Tioli Identity Manager. Use o utilitário runconfig para modificar esse alor. Exemplo (padrão): enrole.ldapserer.root = dc=com enrole.ldapserer.home Não modifique esta chae e alor de propriedade. Especifica a localização de informações sobre configuração do sistema no seridor de diretórios do Tioli Identity Manager. Padrão: enrole.ldapserer.home = ou=itim enrole.ldapserer.agelimit Especifica o número de dias que um objeto permanece na lixeira do sistema antes de ser disponibilizado para exclusão por scripts de limpeza executados manualmente. O limite de duração da lixeira protege, pelo período especificado, objetos contidos na lixeira de scripts de limpeza. Os scripts de limpeza podem remoer apenas aqueles objetos que são mais antigos do que o tempo especificado na definição de limite de duração. Por exemplo, se a definição de limite de duração for 62 dias (padrão), apenas os objetos que estão na lixeira há mais de 62 dias podem ser excluídos por scripts de limpeza executados manualmente. Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Use o utilitário runconfig para modificar esse alor. Exemplo (padrão): enrole.ldapserer.agelimit = 62 enrole.ldapserer.ditlayout Não modifique esta chae e alor de propriedade. Especifica a classe Jaa que define a estrutura dos dados armazenados no seridor de diretórios. Padrão estrutura simples: enrole.ldapserer.ditlayout = com.ibm.itim.dataserices.dit.itim. FlatHashedLayout enrole.ldap.proider NÃO UTILIZADO Capítulo 2. Configurando Propriedades do Sistema 25

36 Informações sobre Cache As propriedades a seguir configuram alores que afetam o desempenho do cache do sistema. enrole.profile.timeout Esta chae e alor de propriedade afeta o ajuste de desempenho para o Tioli Identity Manager e dee ser alterada apenas por um administrador qualificado. Especifica o alor de tempo limite para informações que residem na seção de perfil do cache. As informações que excedem esse alor de tempo limite são remoidas do cache. O alor é expresso em minutos. Exemplo (padrão): enrole.profile.timeout = 10 enrole.schema.timeout Esta chae e alor de propriedade afeta o ajuste de desempenho para o Tioli Identity Manager e dee ser alterada apenas por um administrador qualificado. Especifica o alor de tempo limite para informações que residem na seção de esquema do cache. As informações que excedem esse alor de tempo limite são remoidas do cache. O alor é expresso em minutos. Exemplo (padrão): enrole.schema.timeout = IBM Tioli Identity Manager: Guia de Configuração do Seridor

37 Informações sobre Mensagem As propriedades a seguir configuram a comunicação interna entre componentes do JMS utilizados pelo Tioli Identity Manager. O ajuste desses alores de propriedade é importante para o ajuste de desempenho e a escalabilidade adequada do produto Tioli Identity Manager. Os alores de propriedade nesta seção deem ser alterados apenas por administradores qualificados. Configuração de Fábrica de Conexão enrole.messaging.queueconnectionfactory Não modifique esta chae e alor de propriedade. Especifica o nome da fábrica de conexão para as conexões de fila JNDI (Jaa Naming and Directory Interface). Esse alor de propriedade é incorporado e não dee ser alterado ou remoido. O alor é muito importante para a configuração bem-sucedida da conexão de fila do seridor de aplicatios correspondente. Exemplo (padrão): enrole.messaging.queueconnectionfactory = enrole.jms.queueconnectionfactory Configuração Global e Encadeamentos do Atendente enrole.messaging.defaultmaxthreads Esta chae e alor de propriedade afeta o ajuste de desempenho para o Tioli Identity Manager e dee ser alterada apenas por um administrador qualificado. Especifica o alor padrão para o número máximo de encadeamentos do atendente mantidos no conjunto de conexão para cada fila JMS. Esse alor padrão será utilizado se o atributo MAX_THREADS não for definido em uma fila (consulte seção Configuração de Fila de Mensagem). Exemplo (padrão): enrole.messaging.defaultmaxthreads = 10 enrole.messaging.minthreads Esta chae e alor de propriedade afeta o ajuste de desempenho para o Tioli Identity Manager e dee ser alterada apenas por um administrador qualificado. Especifica o número mínimo de encadeamentos do atendente permitidos para cada fila JMS. O número real de encadeamentos do atendente do JMS não pode ser inferior ao alor de limite. Esse alor global pode ser substituído por filas indiiduais pelo atributo MIN_THREADS (que está permanentemente codificado em 10 no momento). Exemplo (padrão): enrole.messaging.minthreads = 1 enrole.messaging.maxthreads Capítulo 2. Configurando Propriedades do Sistema 27

38 Esta chae e alor de propriedade afeta o ajuste de desempenho para o Tioli Identity Manager e dee ser alterada apenas por um administrador qualificado. Especifica o número máximo de encadeamentos do atendente permitidos para cada fila JMS. O número real de encadeamentos do atendente do JMS não pode ser superior ao alor de limite. Esse alor global define o limite para o alor permissíel do atributo da fila MAX_THREADS. Exemplo (padrão): enrole.messaging.maxthreads = 500 Configuração de Tempo Limite da Mensagem enrole.messaging.ttl Esta chae e alor de propriedade afeta o ajuste de desempenho para o JMS e dee ser alterada apenas por um administrador qualificado. Especifica a duração de uma mensagem na fila, em minutos. Exemplo (padrão): enrole.messaging.ttl = 1440 enrole.messaging.timeout Esta chae e alor de propriedade afeta o ajuste de desempenho para o JMS e dee ser alterada apenas por um administrador qualificado. Especifica o tempo limite da transação do usuário para processamento da mensagem (em segundos). O padrão sugerido são 360 segundos. Esse alor é muito importante para o desempenho do sistema e dee ser ajustado somente após a obseração cuidadosa do procedimento de uma implementação específica. Uma baixa definição em um sistema ocupado fará com que o tempo limite de processamento da mensagem se esgote. Uma alta definição poderá permitir um processo de comprimento único para congelar o sistema inteiro. Exemplo (definição inicial sugerida): enrole.messaging.timeout = 360 Controle de Processamento de Mensagem enrole.messaging.threshold Esta chae e alor de propriedade afeta o ajuste de desempenho para o Tioli Identity Manager e dee ser alterada apenas por um administrador qualificado. Especifica o níel percentual de processamento simultâneo de mensagens (carregamento de mensagem). Um alor inferior a 100% cria um algoritmo primeira mensagem a entrar, primeira mensagem a sair. Um alor superior a 100% permite que todas as mensagens sejam processadas simultaneamente, mas isso pode resultar em problema de posicionamento no sistema. Exemplo (porcentagem padrão): enrole.messaging.threshold = 60 Inicialização do Sistema de Mensagem 28 IBM Tioli Identity Manager: Guia de Configuração do Seridor

39 enrole.messaging.queuelookupretrycount Esta chae e alor de propriedade afeta o ajuste de desempenho para o Tioli Identity Manager e dee ser alterada apenas por um administrador qualificado. Especifica o número de tentatias feitas pelo Tioli Identity Manager para estabelecer conexões com as filas do seridor de aplicatios. Exemplo (padrão): enrole.messaging.queuelookupretrycount = 5 enrole.messaging.queuelookupinteral Esta chae e alor de propriedade afeta o ajuste de desempenho para o Tioli Identity Manager e dee ser alterada apenas por um administrador qualificado. Especifica o interalo (em segundos) entre as tentatias de conexão de filas. Exemplo (padrão): enrole.messaging.queuelookupinteral = 60 Configuração de Fila de Mensagens enrole.messaging.managers= \ enrole.messaging.adhocsyncqueue \ enrole.messaging.workflowqueue \ enrole.messaging.workflowpendingqueue \ enrole.messaging.remotesericesqueue \ enrole.messaging.mailsericesqueue Não modifique estas chaes e alores de propriedades. Especifica os nomes de chae das filas do Tioli Identity Manager suportadas. enrole.messaging.adhocsyncqueue=adhocsyncqueue enrole.messaging.workflowqueue=workflowqueue enrole.messaging.workflowpendingqueue=workflowpendingqueue enrole.messaging.remotesericesqueue=remotesericesqueue enrole.messaging.mailsericesqueue=mailsericesqueue Não modifique estas chaes e alores de propriedades. Especifica o nome da fila real, conforme mencionado pelo seridor de aplicatios. Configuração de Atributo de Fila Capítulo 2. Configurando Propriedades do Sistema 29

40 MAX_THREADS Especifica o número máximo de encadeamentos do atendente para essa fila. Se esse atributo não for definido, o alor utilizado será o padrão definido por enrole.messaging.defaultmaxthreads. Se esse atributo for definido, o alor especificado não deerá ser superior ao alor de enrole.messaging.defaultmaxthreads. MIN_THREADS Especifica o número mínimo de encadeamentos do atendente para essa fila. Se esse atributo não for definido, o alor padrão utilizado será 10. Se esse atributo for definido, o alor especificado não deerá ser inferior ao alor de enrole.messaging.minthreads. OVERCAPACITY_WAIT_TIME Tempo para aguardar o recebimento de uma noa mensagem quando a capacidade do sistema é excedida (mensagens estão aguardando para serem processadas). O padrão são 60 segundos. Esse atributo é adequado apenas para workflowpendingqueue. PRIORITY A prioridade de encadeamento. Consulte a documentação do JVM para obter informações sobre a seleção de alores apropriados (1 5). O padrão é 1. É recomendáel definir o mesmo alor para todas as filas. RECEIVE_TIMEOUT Tempo (em segundos) para aguardar uma resposta do seridor JMS que ele pode receber uma mensagem. O padrão são 60 segundos. WAIT_TIME Tempo (em segundos) para aguardar o processamento de uma noa mensagem da fila. Se o alor for 0, não há tempo de espera para processar uma noa mensagem. O padrão é 0 segundo. TRANSACTED True suporta transações de usuário False não suporta transações de usuário Exemplos: enrole.messaging.adhocsyncqueue.attributes = TRANSACTED=true RECEIVE_TIMEOUT=60 MAX_THREADS=5 MIN_THREADS=5 enrole.messaging.workflowqueue.attributes = TRANSACTED=true RECEIVE_TIMEOUT=60 MAX_THREADS=1 MIN_THREADS=1 enrole.messaging.workflowpendingqueue.attributes = TRANSACTED=true RECEIVE_TIMEOUT=60 WAIT_TIME=0 OVERCAPACITY_WAIT_TIME=10 MAX_THREADS=1 MIN_THREADS=1 enrole.messaging.remotesericesqueue.attributes = TRANSACTED=false RECEIVE_TIMEOUT=60 WAIT_TIME=0 MAX_THREADS=7 MIN_THREADS=7 enrole.messaging.mailsericesqueue.attributes = TRANSACTED=false RECEIVE_TIMEOUT=60 WAIT_TIME=0 MAX_THREADS=3 MIN_THREADS=3 30 IBM Tioli Identity Manager: Guia de Configuração do Seridor

41 Informações sobre Planejamento As propriedades a seguir configuram o programador interno responsáel pela execução de eentos planejados com base no calendário. Os eentos e seus planejamentos são armazenados em uma tabela de banco de dados. enrole.scheduling.heartbeat Esta chae e alor de propriedade afeta o ajuste de desempenho para o Tioli Identity Manager e dee ser alterada apenas por um administrador qualificado. Especifica a freqüência com que o monitor de eentos erifica a tabela do banco de dados em relação aos eentos planejados. O alor é expresso em segundos. Exemplo (padrão): enrole.scheduling.heartbeat = 60 enrole.scheduling.timeout Esta chae e alor de propriedade afeta o ajuste de desempenho para o Tioli Identity Manager e dee ser alterada apenas por um administrador qualificado. Especifica o alor de tempo limite para o processador de eentos. O alor é expresso em minutos. Exemplo (padrão): enrole.scheduling.timeout = 10 enrole.scheduling.fetchsize Esta chae e alor de propriedade afeta o ajuste de desempenho para o Tioli Identity Manager e dee ser alterada apenas por um administrador qualificado. Especifica o número de mensagens a serem recuperadas por ez quando o sistema está em modo batch. Exemplo (padrão): enrole.scheduling.fetchsize = 50 Capítulo 2. Configurando Propriedades do Sistema 31

42 Definições do Monitor de Transações de Senha A propriedade a seguir é uma definição de configuração para o monitor de transações de senha. Quando a senha de um usuário é alterada ou automaticamente gerada, uma notificação por é eniada ao usuário. O contém a senha real ou um link que o usuário pode seguir para obter a noa senha. Essa atiidade é chamada de transação de senha. O usuário dee responder ao e incorporar a noa senha dentro de um período especificado. Se o usuário não responder dentro do período permitido, a transação da senha expirará. O monitor de transações de senha é responsáel pela erificação das respostas às transações de senha e pela expiração dessas transações em que o usuário não responder à notificação por . enrole.passwordtransactionmonitor.heartbeat Especifica com que freqüência o monitor de transações de senha erifica as transações de senha expiradas. O alor é expresso em horas. Exemplo (padrão): enrole.passwordtransactionmonitor.heartbeat = 1 32 IBM Tioli Identity Manager: Guia de Configuração do Seridor

43 Informações sobre XML e DTD Esta seção não é mais utilizada. enrole.dtd.uri NÃO UTILIZADO Capítulo 2. Configurando Propriedades do Sistema 33

44 Informações sobre o Conjunto de Conexões do LDAP As propriedades a seguir configuram os alores que afetam pedidos de conexão de cache para o seridor de diretórios do Tioli Identity Manager. enrole.connectionpool.maxpoolsize Esta chae e alor de propriedade afeta o ajuste de desempenho para o Tioli Identity Manager e dee ser alterada apenas por um administrador qualificado. Especifica o número máximo de conexões físicas do LDAP que podem ser criadas. Exemplo (padrão): enrole.connectionpool.maxpoolsize = 100 enrole.connectionpool.initialpoolsize Esta chae e alor de propriedade afeta o ajuste de desempenho para o Tioli Identity Manager e dee ser alterada apenas por um administrador qualificado. Especifica o número inicial de conexões físicas do LDAP a serem criadas para o conjunto de conexões do LDAP. Esse alor dee ser menor ou igual ao alor de maxpoolsize. Exemplo (padrão): enrole.connectionpool.initialpoolsize = 50 enrole.connectionpool.incrementcount Esta chae e alor de propriedade afeta o ajuste de desempenho para o Tioli Identity Manager e dee ser alterada apenas por um administrador qualificado. Especifica o número de conexões criadas no momento em que o conjunto de conexões do LDAP é expandido (incrementado) para acomodar a crescente demanda. Exemplo (padrão): enrole.connectionpool.incrementcount = 3 34 IBM Tioli Identity Manager: Guia de Configuração do Seridor

45 Informações sobre Criptografia As propriedades a seguir configuram alores que afetam a criptografia de senhas. enrole.encryption.algorithm Não modifique esta chae e alor de propriedade. Especifica o conjunto de códigos secretos a ser utilizado para criptografia. Padrão: enrole.encryption.algorithm = PBE/SHA1/RC2/CBC/PKCS12PBE enrole.encryption.password Não modifique esta chae e alor de propriedade. Especifica a cadeia aleatória utilizada como um parâmetro de entrada para criptografia com base em senha. Esse alor é especificado durante a instalação do Tioli Identity Manager. Padrão: enrole.encryption.password = sunshine enrole.encryption.passworddigest Não modifique esta chae e alor de propriedade. Especifica o tipo de compilação de senha utilizado para uma senha do Tioli Identity Manager. As opções são: SHA e MD5. SHA O Secure Hash Algorithm, como definido em Secure Hash Standard, NIST FIPS MD5 O algoritmo de compilação de mensagem MD5, como definido em RFC 1321 Padrão: enrole.encryption.passworddigest = MD5 Capítulo 2. Configurando Propriedades do Sistema 35

46 Programa de Configuração do Sistema As propriedades a seguir configuram as definições da porta de atendimento para o sistema Tioli Identity Manager. enrole.system.listenport Não modifique esta chae e alor de propriedade. Especifica o alor da porta de atendimento TCP (comunicação não protegida). Esse alor é definido durante a instalação do Tioli Identity Manager. Exemplo (padrão): enrole.system.listenport = 80 enrole.system.ssllistenport Não modifique esta chae e alor de propriedade. Especifica o alor da porta de atendimento SSL (comunicação protegida). Esse alor é definido durante a instalação do Tioli Identity Manager. Exemplo (padrão): enrole.system.ssllistenport = IBM Tioli Identity Manager: Guia de Configuração do Seridor

47 Informações sobre Configuração de Workflow As propriedades a seguir configuram o mecanismo principal de workflow do Tioli Identity Manager. Configuração de Workflow enrole.workflow.processcache Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Atia/desatia o cache de processo interno. Em ambientes de seridor único, o alor pode ser true ; em ambientes de cluster, o alor é sempre false. O armazenamento em cache não é suportado em implementações de cluster. O alor para esta propriedade é automaticamente definido como false (desatiado) durante a instalação de uma configuração de cluster. Exemplo (seridor único padrão): enrole.workflow.processcache = true enrole.workflow.notifyoption Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Especifica opções para a notificação de conclusões de processos. Um alor 1 significa que o solicitante será notificado quando o workflow for concluído. Um alor 0 significa que o solicitante não será notificado. Exemplo (padrão): enrole.workflow.notifyoption = 1 enrole.workflow.notifypassword Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Especifica o tipo de notificação por em uma transação de senha (causada quando uma senha de usuário é alterada ou gerada automaticamente). Um alor true indica que a senha real é exibida na notificação por como texto corrido. Um alor false significa que a senha é escolhida pelo proprietário por meio do URL fornecido no . Exemplo (padrão): enrole.workflow.notifypassword = true enrole.workflow.maxasyncactiitycreate NÃO UTILIZADO enrole.workflow.maxretry Capítulo 2. Configurando Propriedades do Sistema 37

48 Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Especifica quantas ezes é feita uma tentatia para chamar noamente um aplicatio de workflow que falhou inicialmente. Consulte enrole.workflow.retrydelay. Exemplo (padrão): enrole.workflow.maxretry = 2 enrole.workflow.retrydelay Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Especifica o período de atraso entre sucessias tentatias para chamar noamente um aplicatio de workflow que falhou inicialmente. Consulteenrole.workflow.maxretry. O alor é expresso em milissegundos. Exemplo (padrão): enrole.workflow.retrydelay = enrole.workflow.skipapproalforrequester Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Para uma atiidade de workflow que requer aproação, especifica se dee ignorar a aproação de outros aproadores se o solicitante também for um aproador. O solicitante também é ignorado da aproação por design. Um alor true ignora a aproação para outros aproadores (se o solicitante for um dos aproadores). Um alor false força a erificação de aproação de todos os aproadores requeridos da atiidade, exceto o solicitante (se o solicitante também for um aproador). Exemplo (padrão): enrole.workflow.skipapproalforrequester = false enrole.workflow.skipfornoncompliantaccount Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Especifica se o workflow de autorização associado à conta dee ou não ser atiado quando uma modificação de conta do sistema for acionada como resultado de uma ação de aplicação de critérios. Um alor true significa ignorar esta ação. Um alor false significa não ignorar esta ação. Exemplo (padrão): enrole.workflow.skipfornoncompliantaccount = true 38 IBM Tioli Identity Manager: Guia de Configuração do Seridor

49 Configuração de Notificação de Workflow Esta seção permite introduzir arquios personalizados da classe Jaa que personalizam a implementação de tipos de notificação de workflow. Consulte a seguinte documentação para obter informações sobre como personalizar notificações: <install-dir>\extensions\doc\mail\mail.html enrole.workflow.notification.actiitytimeout Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Especifica a classe Jaa padrão que gera a notificação de tempo limite da atiidade de workflow. Exemplo (padrão interno) (inserido como uma linha): enrole.workflow.notification.actiitytimeout = com.ibm.itim.workflow. notification.actiitytimeoutnotification enrole.workflow.notification.processtimeout Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Especifica a classe Jaa padrão que gera a notificação de tempo limite do processo de workflow. Exemplo (padrão interno) (inserido como uma linha): enrole.workflow.notification.processtimeout = com.ibm.itim.workflow. notification.processtimeoutnotification enrole.workflow.notification.processcomplete Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Especifica a classe Jaa padrão que gera a notificação de conclusão do processo de workflow. Exemplo (padrão interno) (inserido como uma linha): enrole.workflow.notification.processcomplete = com.ibm.itim.workflow. notification.processcompletenotification enrole.workflow.notification.pendingwork Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Especifica a classe Jaa padrão que gera a notificação de trabalho pendente do workflow. Exemplo (padrão interno) (inserido como uma linha): enrole.workflow.notification.pendingwork = com.ibm.itim.workflow. notification.pendingworknotification enrole.workflow.notification.newaccount Capítulo 2. Configurando Propriedades do Sistema 39

50 Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Especifica a classe Jaa padrão que gera a notificação de noa conta do workflow. Exemplo (padrão interno) (inserido como uma linha): enrole.workflow.notification.newaccount = com.ibm.itim.workflow. notification.newaccountnotification enrole.workflow.notification.newpassword Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Especifica a classe Jaa padrão que gera a notificação de noa senha do workflow. Exemplo (padrão interno) (inserido como uma linha): enrole.workflow.notification.newpassword = com.ibm.itim.workflow. notification.newpasswordnotification enrole.workflow.notification.deproision Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Especifica a classe Jaa padrão que gera a notificação de desproisão de workflow. Exemplo (padrão interno) (inserido como uma linha): enrole.workflow.notification.deproision = com.ibm.itim.workflow. notification.deproisionnotification enrole.workflow.notification.workorder Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Especifica a classe Jaa padrão que gera a notificação de ordem de trabalho do workflow. Exemplo (padrão interno) (inserido como uma linha): enrole.workflow.notification.workorder = com.ibm.itim.workflow. notification.workordernotification 40 IBM Tioli Identity Manager: Guia de Configuração do Seridor

51 Configuração de Seriços de Correio A propriedade a seguir é uma definição de configuração para notificação interna de correio. enrole.mail.notify Especifica se o enio de interno de workflow é sincronizado ou assincronizado. Os alores incluem: SYNC e ASYNC. SYNC significa sincronizado e ASYNC assincronizado. Exemplo (padrão): enrole.mail.notify = ASYNC Capítulo 2. Configurando Propriedades do Sistema 41

52 Informações sobre Reconciliação As propriedades a seguir configuram alores que afetam o processo de reconciliação no qual os dados recuperados de agentes são sincronizados no banco de dados do Tioli Identity Manager. Configuração de Reconciliação enrole.reconciliation.accountcachesize Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Especifica o tamanho máximo do cache de contas existente (número de contas), utilizado para o processo de reconciliação. Exemplo (padrão): enrole.reconciliation.accountcachesize = 2000 enrole.reconciliation.threadcount Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Especifica o número de encadeamentos utilizados para processar entradas reconciliadas. Esse número é criado para cada processo de reconciliação. Exemplo (padrão): enrole.reconciliation.threadcount = 8 Eentos de Notificação não Solicitados account.eentprocessorfactory Não modifique esta chae e alor de propriedade. Especifica a classe Jaa incorporada para a fábrica do processador de eentos de contas. Padrão (inserido como uma linha): account.eentprocessorfactory = com.ibm.itim.remoteserices.ejb. reconciliation.accounteentprocessorfactory person.eentprocessorfactory Não modifique esta chae e alor de propriedade. Especifica a classe Jaa incorporada para a fábrica do processador de eentos de pessoas. Padrão (inserido como uma linha): person.eentprocessorfactory = com.ibm.itim.remoteserices.ejb. reconciliation.personeentprocessorfactory Processamento de Reconciliação account.reconentryhandlerfactory 42 IBM Tioli Identity Manager: Guia de Configuração do Seridor

53 Não modifique esta chae e alor de propriedade. Especifica a classe Jaa incorporada para a fábrica de rotina de tratamento de entrada de contas. Padrão (inserido como uma linha): account.reconentryhandlerfactory = com.ibm.itim.remoteserices.ejb. mediation.accountentryhandlerfactory person.reconentryhandlerfactory Não modifique esta chae e alor de propriedade. Especifica a classe Jaa incorporada para a fábrica de rotina de tratamento de entrada de pessoas. Padrão (inserido como uma linha): person.reconentryhandlerfactory = com.ibm.itim.remoteserices.ejb. mediation.personentryhandlerfactory Capítulo 2. Configurando Propriedades do Sistema 43

54 Sinal Numérico Secreto Compartilhado A propriedade a seguir configura o níel de proteção do código secreto compartilhado. No contexto de gerenciamento de informações pessoais, o segredo compartilhado é o código de senha utilizado pelo proprietário de uma conta para recuperar a senha de uma noa conta. Um segredo compartilhado será necessário se o sistema do seridor Tioli Identity Manager gerar a senha inicial para a noa conta. enrole.sharedsecret.hashed Esta chae e alor de propriedade dee ser alterada apenas por um administrador qualificado. Especifica se o código de segredo compartilhado é um sinal numérico (protegido) ou não numérico (não protegido). Os alores incluem: true armazena o segredo compartilhado como sinal numérico false armazena o segredo compartilhado como sinal não numérico Exemplo (padrão): enrole.sharedsecret.hashed = false 44 IBM Tioli Identity Manager: Guia de Configuração do Seridor

55 Propriedades de Autenticação Bidirecional de SSL Essas propriedades não são mais álidas e não são utilizadas. com.ibm.daml.jndi.damlcontext.client_cert NÃO UTILIZADO com.ibm.daml.jndi.damlcontext.client_cert_key NÃO UTILIZADO com.ibm.daml.jndi.damlcontext.client_cert_key_passphase NÃO UTILIZADO Capítulo 2. Configurando Propriedades do Sistema 45

56 Configuração da UI de Gerenciamento de Pedidos A propriedade a seguir configura a quantidade de informações sobre Detalhe de Resultados exibidas para um pedido com falha. webclient.request.maxresultdetaillines Esta propriedade é utilizada pela função de gerenciamento de pedidos da GUI do Tioli Identity Manager para exibir as informações sobre erro capturadas pelo log de auditoria de um pedido com falha. O alor especifica o número de linhas para exibir a seção Detalhes do Resultado do log de auditoria Detalhes dos Pedidos. Home > Completed Requests > Request Details > Audit Log > Request Details > Detalhes do Resultado Exemplo (padrão): webclient.request.maxresultdetaillines = IBM Tioli Identity Manager: Guia de Configuração do Seridor

57 Capítulo 3. Configurando Propriedades Suplementares Este capítulo fornece informações detalhadas sobre as chaes e os alores de propriedade contidos nos arquios de configuração suplementares do Tioli Identity Manager. Índice de Tópico: Compreendendo Arquios de Propriedades na página 48 Arquios de Propriedades: enroleauthentication.properties na página 49 enroledatabase.properties na página 52 enroleldapconnection.properties na página 56 enrolelogging.properties na página 59 enrol .properties na página 62 enrolepolicies.properties na página 64 enroleworkflow.properties na página 66 fesiextensions.properties na página 68 UI.properties na página 71 CustomLabels.properties na página 74 Copyright IBM Corp

58 Compreendendo Arquios de Propriedades Os arquios de propriedades Jaa definem atributos que permitem a personalização e o controle do software Jaa. Os arquios de propriedades do sistema padrão e os arquios de propriedades personalizadas são utilizados para configurar preferências e personalizações do usuário. Um arquio de propriedades Jaa define os alores de recursos denominados que podem especificar opções do programa, como informações sobre acesso ao banco de dados, definições do ambiente e recursos e funcionalidade especiais. Um arquio de propriedades define os recursos denominados utilizando um formato de pares de chae e alor de propriedade: property-key-name = alue O property-key-name é um identificador para o recurso. O alue é o nome do objeto Jaa real que fornece o recurso. O Tioli Identity Manager utiliza ários arquios de propriedades para controlar a funcionalidade do programa e permitir que o usuário personalize recursos especiais. 48 IBM Tioli Identity Manager: Guia de Configuração do Seridor

59 enroleauthentication.properties O arquio enroleauthentication especifica o tipo de método utilizado pelo sistema Tioli Identity Manager para autenticar usuários e identifica o objeto Jaa que fornece o mecanismo de autenticação especificado. Além disso, o arquio especifica objetos que suportam conexão única do Tioli Access Manager WebSEAL e administração de acesso do Tioli Identity Manager a seriços remotos gerenciados. As propriedades de autenticação são especificadas utilizando um formato de pares de chae e alor de propriedade: property-key-name = alue O property-key-name é um identificador para o mecanismo de autenticação ou recurso. O alue é o nome do objeto Jaa que fornece o seriço de autenticação, expresso também como um par de chae e alor. factory = alue O nome de chae factory representa uma categoria especial para suporte de autenticação no software Tioli Identity Manager. O alue é o nome real do objeto Jaa. Por exemplo (inserido como uma linha): enrole.authentication.proider.serice = factory = com.ibm.enrole.authentication.serice. SericeAuthenticationProiderFactory Método de Autenticação enrole.authentication.requiredcredentials = {simple certificate} Especifica simple (nome do usuário e senha) ou certificate (certificado digital) como o método de autenticação necessário para os usuários efetuarem login no sistema Tioli Identity Manager. O padrão do sistema é simple. Por exemplo: enrole.authentication.requiredcredentials = simple Como alternatia, ocê pode especificar um mecanismo de autenticação personalizado. Consulte Configurando um Mecanismo de Autenticação Personalizado na página 51. Proedores de Autenticação (Fábricas) enrole.authentication.proider.simple Especifica o objeto Jaa que controla a autenticação com o nome do usuário e a senha. Por exemplo (inserido como uma linha): enrole.authentication.proider.simple = factory = com.ibm.enrole.authentication.simple. SimpleAuthenticationProiderFactory enrole.authentication.proider.certificate Capítulo 3. Configurando Propriedades Suplementares 49

60 Especifica o objeto Jaa que controla a autenticação com certificados digitais. Por exemplo (inserido como uma linha): enrole.authentication.proider.certificate = factory = com.ibm.enrole.authentication.certificate. CertificateAuthenticationProiderFactory Fornecedor de Seriços de Autenticação enrole.authentication.proider.serice Especifica o objeto Jaa que controla de forma transparente o acesso do Tioli Identity Manager a seriços remotos gerenciado e ao gerenciamento de alterações nas contas referentes a esses seriços remotos. Essas alterações incluem a adição, exclusão, suspensão, restauração e modificação de contas no seriço remoto. Quando está conectado no Tioli Identity Manager, ocê pode alterar as informações sobre login e senha de uma conta no seriço remoto gerenciado. O mecanismo SericeAuthenticationProiderFactory trabalha com o agente para um seriço remoto específico e processa as informações alteradas. Por exemplo (inserido como uma linha): enrole.authentication.proider.serice = factory = com.ibm.enrole.authentication.serice. SericeAuthenticationProiderFactory Conexão Única do WebSEAL enrole.authentication.proider.webseal Especifica o objeto Jaa que permite conexão única em um ambiente do WebSEAL. Por exemplo (inserido como uma linha): enrole.authentication.proider.webseal = factory = com.ibm.enrole.authentication.webseal.websealproiderfactory Consulte Configurando a Conexão Única com o WebSEAL na página 92. enrole.authentication.idsequal Indica o algoritmo apropriado para mapear o ID do usuário do Tioli Access Manager para um ID do usuário do Tioli Identity Manager. Se o ID do usuário do Tioli Access Manager for igual ao ID do usuário do Tioli Identity Manager (definição padrão): enrole.authentication.idsequal = true Se o ID do usuário do Tioli Access Manager NÃO for igual ao ID do usuário do Tioli Identity Manager: enrole.authentication.idsequal = false Um algoritmo de mapeamento de identidade interno será utilizado para garantir o sucesso da operação de conexão única. Consulte Configurando a Conexão Única com o WebSEAL na página IBM Tioli Identity Manager: Guia de Configuração do Seridor

61 Configurando um Mecanismo de Autenticação Personalizado Como alternatia para os métodos incorporados de autenticação de nome do usuário/senha e de certificado fornecidos pelo Tioli Identity Manager, ocê pode utilizar a chae de propriedade enrole.authentication.requiredcredentials para especificar um objeto Jaa personalizado que chame um mecanismo de autenticação personalizado. Por exemplo, ocê pode exigir conexão única ao Tioli Identity Manager a partir de uma sessão conectada com um seridor do portal. Crie o objeto Jaa de autenticação personalizado com a assistência do Suporte ao Cliente Tioli e insira esse objeto como o alor para a chae de propriedade enrole.authentication.requiredcredentials. O arquio enroleauthentication.properties permite que o Tioli Identity Manager utilize somente um tipo de método de autenticação. Não é possíel configurar ários mecanismos de autenticação simultâneos. Capítulo 3. Configurando Propriedades Suplementares 51

62 enroledatabase.properties O arquio enroledatabase.properties especifica atributos que suportam o banco de dados relacional utilizado pelo mecanismo de workflow do Tioli Identity Manager. O Tioli Identity Manager suporta três tipos de bancos de dados: DB2 Oracle MS SQL Serer Os alores de chae de propriedade contidos neste arquio são sincronizados com os alores no arquio de configuração apropriado do seridor de aplicatios. A maioria dos alores nesse arquio são fornecidos durante a instalação inicial do Tioli Identity Manager e a configuração do banco de dados. Você pode fazer alterações subseqüentes a alguns alores. No entanto, ocê dee usar o utilitário runconfig para sincronizar os alores do arquio de propriedade aos alores no arquio de configuração do seridor de aplicatios. O Tioli Identity Manager utiliza JDBC (Jaa Database Connectiity) para acessar o banco de dados relacional. A tecnologia JDBC é uma API que permite acessar irtualmente qualquer origem de dados tabular a partir da linguagem de programação Jaa. Informações sobre Banco de Dados database.db.type Não modifique esta chae de propriedade. O alor é fornecido durante a instalação inicial do Tioli Identity Manager. Especifica o tipo de banco de dados utilizado pelo mecanismo de workflow do Tioli Identity Manager. Os alores apropriados incluem: DB2 Oracle MS SQL Serer Exemplo (DB2): database.db.type = DB2 database.db.serer Esse alor é fornecido durante a instalação inicial do Tioli Identity Manager e a configuração do banco de dados. Especifica o nome ou o nome do alias local do banco de dados remoto. Para alterar esse alor para um noo banco de dados, use o utilitário de configuração do banco de dados para configurar o banco de dados. Esse utilitário fornece o noo nome do banco de dados para este arquio de propriedades. Para alterar esse alor para outro banco de dados existente, use o utilitário runconfig para fornecer o noo nome do banco de dados a este arquio de propriedades. Exemplo: database.db.serer = itimdb 52 IBM Tioli Identity Manager: Guia de Configuração do Seridor

63 database.db.owner Não modifique esta chae de propriedade. O alor é incorporado ao sistema. Especifica o nome do proprietário do esquema do banco de dados para o Tioli Identity Manager. Exemplo (incorporado): database.db.owner = enrole database.db.user Não modifique esta chae de propriedade. O alor é incorporado ao sistema. Especifica um usuário de banco de dados padrão para o Tioli Identity Manager. Exemplo (incorporado): database.db.user = enrole database.db.password Não modifique esta chae de propriedade. O alor é fornecido durante a configuração do banco de dados. Especifica a senha para o usuário do banco de dados. A criptografia desse alor é especificada pela propriedade enrole.password.database.encypted em enrole.properties. O alor da senha aparece como texto legíel, a menos que uma definição de criptografia tenha sido atiada por meio do utilitário runconfig. Exemplo (texto legíel): database.db.password = secret Propriedades do Conjunto de Conexões database.jdbc.connectionpool.initialcapacity Não edite manualmente este arquio para modificar este alor de chae de propriedade. Use o utilitário runconfig para alterar esse alor. Especifica o número inicial de conexões físicas do banco de dados a serem criadas para o conjunto de conexões. Esse alor dee ser menor ou igual ao alor de maxcapacity. Exemplo (padrão): database.jdbc.connectionpool.initialcapacity = 5 database.jdbc.connectionpool.maxcapacity Não edite manualmente este arquio para modificar este alor de chae de propriedade. Use o utilitário runconfig para alterar esse alor. Especifica o número máximo de conexões físicas do banco de dados que podem ser criadas. Esse limite de alor determina os requisitos de ajuste de desempenho do sistema. Exemplo (padrão): database.jdbc.connectionpool.maxcapacity = 50 Capítulo 3. Configurando Propriedades Suplementares 53

64 database.jdbc.connectionpool.capacityincrement Você pode editar manualmente este arquio para modificar este alor da chae de propriedade. Além disso, ocê dee utilizar o utilitário runconfig para sincronizar as alterações com o arquio de configuração do seridor de aplicatio. Especifica o número de conexões criadas no momento em que o conjunto de conexões é expandido (incrementado) para acomodar a crescente demanda. Exemplo (padrão): database.jdbc.connectionpool.capacityincrement = 1 database.jdbc.connectionpool.logindelaysecs Você pode editar manualmente este arquio para modificar este alor da chae de propriedade. Além disso, ocê dee utilizar o utilitário runconfig para sincronizar as alterações com o arquio de configuração do seridor de aplicatio. Especifica o período de atraso (em segundos) entre a criação de cada conexão do banco de dados. Exemplo (padrão): database.jdbc.connectionpool.logindelaysecs = 1 database.jdbc.connectionpool.shrinkingenabled Você pode editar manualmente este arquio para modificar este alor da chae de propriedade. Além disso, ocê dee utilizar o utilitário runconfig para sincronizar as alterações com o arquio de configuração do seridor de aplicatio. Especifica se o conjunto de conexões pode ser reduzido noamente a seu alor de initialcapacity quando é detectado que não estão mais sendo utilizadas as conexões adicionais criadas durante o aumento no tráfego. Os alores incluem true ou false. Exemplo (padrão): database.jdbc.connectionpool.shrinkingenabled = true database.jdbc.connectionpool.shrinkperiodminutes Você pode editar manualmente este arquio para modificar este alor da chae de propriedade. Além disso, ocê dee utilizar o utilitário runconfig para sincronizar as alterações com o arquio de configuração do seridor de aplicatio. Especifica quantos minutos aguardar antes de reduzir um conjunto de conexões que foi incrementalmente aumentado para atender à demanda. ShrinkingEnabled dee ser definido como true para que um conjunto de conexões seja reduzido. Exemplo (padrão): database.jdbc.connectionpool.shrinkperiodminutes = 15 database.jdbc.connectionpool.targets Não modifique este alor de chae de propriedade. O alor é fornecido durante a instalação inicial do Tioli Identity Manager. Especifica o destino no domínio atual em que este conjunto de conexões pode ser implementado. O alor geralmente é o nome do seridor de aplicatios ou o nome do cluster. Exemplo: database.jdbc.connectionpool.targets = myserer 54 IBM Tioli Identity Manager: Guia de Configuração do Seridor

65 database.jdbc.connectionpool.testtablename Não modifique este alor de chae de propriedade. Especifica o nome da tabela utilizada ao testar uma conexão física de banco de dados. Cada tipo de banco de dados requer seu próprio alor: DB2 nextalue Oracle dual MS SQL Serer nextalue Exemplo (DB2): database.jdbc.connectionpool.testtablename = dual database.jdbc.connectionpool.refreshminutes Não modifique este alor de chae de propriedade. Especifica o número de minutos entre os testes de conexão do banco de dados. Exemplo (padrão): database.jdbc.connectionpool.refreshminutes = 5 Drier JDBC database.jdbc.drierurl Não remoa ou modifique esta chae e alor de propriedade. Especifica o URL do drier JDBC. Exemplo (DB2): database.jdbc.drierurl = jdbc:db2:itimdb database.jdbc.drier Não remoa ou modifique esta chae e alor de propriedade. Especifica o nome do drier JDBC. Exemplo (DB2): database.jdbc.drier = COM.ibm.db2.jdbc.app.DB2Drier Capítulo 3. Configurando Propriedades Suplementares 55

66 enroleldapconnection.properties O arquio enroleldapconnections.properties fornece definições de configuração padrão que permitem a comunicação bem-sucedida entre o Tioli Identity Manager e o seridor de diretórios do LDAP. jaa.naming.factory.initial = com.sun.jndi.ldap.ldapctxfactory Não modifique esta chae e alor de propriedade. Especifica o arquio de classe Jaa incorporado que estabelece a interface de comunicação entre o Tioli Identity Manager e o seridor de diretórios do LDAP. O protocolo JNDI (Jaa Naming and Directory Interface) é utilizado. Contexto de LDAP: Context.INITIAL_CONTEXT_FACTORY jaa.naming.proider.url Especifica a localização (URL) do seridor de diretórios de LDAP. O seridor do LDAP pode estar localizado em: A máquina Tioli Identity Manager local Utilize localhost. Uma máquina remota Utilize um nome de host completo ou abreiado ou um endereço IP. O alor para esta chae é inicialmente configurado durante a instalação do Tioli Identity Manager. Você também pode fornecer esse alor usando o utilitário ldapconfig ou runconfig. Exemplo: jaa.naming.proider.url = ldap://localhost:389 Contexto de LDAP: Context.PROVIDER_URL jaa.naming.security.principal Especifica o DN (Nome Distinto) da conta de administração do LDAP no seridor de diretórios do LDAP. O alor para esta chae é inicialmente configurado durante a instalação do Tioli Identity Manager. Você também pode fornecer esse alor usando o utilitário ldapconfig ou runconfig. Exemplo: jaa.naming.security.principal = cn = root Contexto de LDAP: Context.SECURITY_PRINCIPAL 56 IBM Tioli Identity Manager: Guia de Configuração do Seridor

67 jaa.naming.security.credentials Especifica a senha para a conta de administração do LDAP no seridor de diretórios do LDAP. O alor para esta chae é inicialmente configurado durante a instalação do Tioli Identity Manager. Você também pode fornecer esse alor usando o utilitário ldapconfig ou runconfig. A criptografia desse alor é especificada pela propriedade enrole.password.ldap.encypted em enrole.properties. O tipo de criptografia é inicialmente configurado durante a instalação do Tioli Identity Manager, utilizando a caixa de opções Definição de Criptografia. Exemplo: jaa.naming.security.credentials = ibmldap Contexto de LDAP: Context.SECURITY_CREDENTIALS jaa.naming.security.protocol A chae e o alor de propriedade não estão atiados para este release do Tioli Identity Manager. Não modifique esta chae e alor de propriedade. Especifica o protocolo utilizado para comunicação entre o Tioli Identity Manager e o seridor de diretórios do LDAP. Contexto de LDAP: Context.SECURITY_PROTOCOL jaa.naming.security.authentication Não modifique esta chae e alor de propriedade. Especifica o tipo de autenticação utilizado pelo seridor de diretórios do LDAP. Os tipos álidos incluem: none (anônimo: usuário torna-se um membro de um grupo não autenticado) simple (nome do usuário e senha obrigatórios) strong (marcador para mecanismo de autenticação mais poderoso) Exemplo: jaa.naming.security.authentication = simple Contexto de LDAP: Context.SECURITY_AUTHENTICATION Capítulo 3. Configurando Propriedades Suplementares 57

68 jaa.naming.referral Não modifique esta chae e alor de propriedade. Em um cenário em que ários seridores de diretório do LDAP efetuam link juntos no ambiente Tioli Identity Manager, especifica se os links deem ser utilizados quando uma referência é indicada para concluir um pedido de informações sobre LDAP. Os alores álidos incluem: follow (aceitar o uso de links) ignore (não utilizar links) throw (não utilizar links e retornar uma mensagem de erro) Exemplo: jaa.naming.referral = follow Contexto de LDAP: Context.REFERRAL jaa.naming.batchsize Não modifique esta chae e alor de propriedade. Uma propriedade de JNDI que especifica o número de elementos de dados retornados de uma só ez durante um pedido (consulta) para o seridor de diretórios do LDAP. Um número maior reduz o número de buscas do LDAP, resultando na melhoria do desempenho. O alor 0 bloqueia qualquer controle pelo cliente (Tioli Identity Manager) até todos os elementos solicitados serem retornados. Exemplo: jaa.naming.batchsize = 100 Contexto de LDAP: Context.BATCHSIZE jaa.naming.ldap.attributes.binary Não modifique esta chae e alor de propriedade. Especifica atributos do Tioli Identity Manager que são tratados como tipo de dados binários. Vários alores de atributo são separados por um só espaço. Exemplo: jaa.naming.ldap.attributes.binary = erpassword erhistoricalpassword Contexto de LDAP: attribute.binary 58 IBM Tioli Identity Manager: Guia de Configuração do Seridor

69 enrolelogging.properties O arquio enrolelogging.properties especifica atributos que controlam a operação da API de registro e rastreio log4j que é fornecida no pacote do Tioli Identity Manager. O Log4j é um pacote de registro comum para Jaa, distribuído sob a licença do software Apache de origem lire e certificado pela iniciatia de origem lire. O Log4j permite registrar mensagens, de acordo com o tipo e a prioridade correspondentes, bem como permite controlar, em tempo de execução, como essas mensagens são formatadas e onde são relatadas. O pacote log4j inclui excelente documentação. Consulte estas informações para compreender totalmente a funcionalidade log4j. Atiar/Desatiar traceexceptions enrole.logproider.traceexceptions Um atributo do Tioli Identity Manager (não um atributo do log4j). Especifica se as informações sobre erro detalhadas adicionais (pilha de chamadas) são incluídas ou não nos logs de mensagens. Os alores incluem: true (registrar informações detalhadas) false (não registrar informações detalhadas) O padrão é true. Exemplo: enrole.logproider.traceexceptions = true Configuração da Hierarquia de Categorias Categoria Raiz: log4j.rootcategory As categorias do Log4j são entidades denominadas que permitem associar componentes do sistema a uma prioridade de registro. A categoria raiz representa todos os componentes do sistema (todos os componentes são descendentes do pai raiz). A chae de propriedade log4j.rootcategory especifica uma prioridade de registro padrão do sistema e define os nomes do gerador de anexos (destino de saída) utilizados para especificar os tipos de destino de saída. Hierarquia de prioridade: 1. FATAL 2. ERROR 3. WARN 4. INFO 5. DEBUG Por exemplo, a prioridade INFO especifica que todas as mensagens INFO, WARN, ERROR e FATAL são registradas. Exemplo (especificar uma prioridade de registro WARN e uma entidade de gerador de anexos chamada Logger ): log4j.rootcategory = WARN, Logger Capítulo 3. Configurando Propriedades Suplementares 59

70 Categorias do Componente: log4j.category.com.ibm.itim.apps log4j.category.com.ibm.itim.authentication log4j.category.com.ibm.itim.authorization log4j.category.com.ibm.itim.common log4j.category.com.ibm.itim.fesiextensions log4j.category.com.ibm.itim.logging log4j.category.com.ibm.itim.mail log4j.category.com.ibm.itim.messaging log4j.category.com.ibm.itim.migration log4j.category.com.ibm.itim.dataserices.model log4j.category.com.ibm.itim.passworddeliery log4j.category.com.ibm.itim.policy log4j.category.com.ibm.itim.remoteserices log4j.category.com.ibm.itim.report log4j.category.com.ibm.itim.security log4j.category.com.ibm.itim.scheduling log4j.category.com.ibm.itim.systemconfig log4j.category.com.ibm.itim.util log4j.category.com.ibm.itim.webclient log4j.category.com.ibm.itim.workflow Essas categorias representam componentes padrão do Tioli Identity Manager. Você pode configurar cada componente indiidualmente para substituir a prioridade de registro da categoria raiz. Remoa o comentário da linha para atiar a configuração de registro do componente. Exemplo: log4j.category.com.ibm.itim.policy = INFO No exemplo anterior, a prioridade de registro INFO inclui registro de mensagens adicional para o componente itim.policy (o exemplo de categoria raiz é definido apenas como WARN). Destino de Saída do Arquio de Log (Gerador de Anexos) log4j.appender.appender-identifier Um gerador de anexos especifica um tipo de destino de saída para o arquio de log. Os tipos incluem: Arquio único Arquio de rolloer Console (saída para tela) NT Eent Loggers Exemplo (a entidade do gerador de anexos Logger é definida como a classe Jaa a seguir que processa um tipo de arquio rolloer): log4j.appender.logger = org.apache.log4j.rollingfileappender Exemplo de propriedades para RollingFileAppender: log4j.appender.logger.file = c:/temp/itim.log log4j.appender.logger.maxfilesize = 2MB log4j.appender.logger.maxbackupindex = IBM Tioli Identity Manager: Guia de Configuração do Seridor

71 Especificação de Layout e de Padrão de Conersão do Arquio de Log log4j.appender.appender-identifier.layout A especificação de layout é responsáel pela formatação adequada do pedido. Uma classe Jaa que executa a operação de layout é identificada e um padrão de conersão é especificado. Exemplo (especifica a classe Jaa do padrão de layout utilizada pela entidade do gerador de anexos Logger ): log4j.appender.logger.layout = org.apache.log4j.patternlayout Exemplo de padrão de conersão para PatternLayout: log4j.appender.logger.layout.conersionpattern = [%d:%t]<%p:%c>%m\n Acima da interpretação do padrão de conersão: [date:thread-id]<priority-leel:category>message line break Capítulo 3. Configurando Propriedades Suplementares 61

72 enrol .properties O arquio enrol .properties contém atributos que especificam o protocolo de transporte de correio utilizado pela API JaaMail incorporada e por outras propriedades específicas do aplicatio Tioli Identity Manager. Você dee fornecer os alores para as chaes de propriedade específicas do aplicatio. Valores padrão são fornecidos para as chaes de propriedade específicas do JaaMail (incluindo o proedor de correio e o protocolo padrão). Se ocê alterar os alores padrão dessas chaes de propriedade, deerá fornecer seu próprio teste e a erificação de seu protocolo personalizado e sua implementação. Consulte o seguinte URL para obter informações adicionais sobre uso e proedor: Atributos de Correio Específicos para o Aplicatio Tioli Identity Manager mail.from Solicitado. Esse alor é inicialmente fornecido durante a instalação do Tioli Identity Manager. Você também pode fornecê-lo usando o utilitário runconfig. mail.baseurl mail.title Especifica o endereço de de retorno do usuário atual. Exemplo (usuário-fornecido): mail.from = [email protected] Solicitado. Especifica o URL base que é utilizado para construir o URL de login em s eniados a noos usuários do Tioli Identity Manager. Esse alor é inicialmente fornecido durante a instalação do Tioli Identity Manager. Você também pode fornecê-lo usando o utilitário runconfig. Consulte também Informações sobre o Seridor da Web na página 9. Exemplo (usuário-fornecido): mail.baseurl = Solicitado. Você dee editar este arquio de propriedades diretamente para fornecer o alor a esta chae de propriedade. Especifica a cadeia de texto a ser utilizada no banner de título de mensagens de . A cadeia padrão é ITIM notification. Exemplo (usuário-fornecido): mail.title = ITIM notification 62 IBM Tioli Identity Manager: Guia de Configuração do Seridor

73 Atributos de Correio Específicos para o Seriço de Correio Jaa Incorporado mail.host Solicitado. O alor é inicialmente fornecido durante a instalação do Tioli Identity Manager. Você também pode fornecê-lo usando o utilitário runconfig. Especifica o endereço IP da máquina em que o seridor de correio está localizado. Exemplo (usuário-fornecido): mail.host = mail.protocol.host Especifica o endereço IP do seridor de correio padrão específico do protocolo. Esta chae de propriedade substitui a chae de propriedade mail.host. Por padrão, essa propriedade não é requerida e nenhum alor é fornecido. mail.transport.protocol Especifica o protocolo de transporte padrão (transporte Sun SMTP). Exemplo (padrão): mail.transport.protocol = SMTP mail.protocol.class Especifica a implementação da classe Jaa do protocolo de correio Sun SMTP padrão. Exemplo (padrão): mail.smtp.class = com.sun.mail.smtp.smtptransport mail.store.protocol mail.user Especifica o protocolo padrão de acesso a mensagens. Por padrão, essa propriedade não é requerida e nenhum alor é fornecido. Especifica o nome do usuário utilizado durante a autenticação ao se conectar a um seridor de correio. Por padrão, essa propriedade não é requerida e nenhum alor é fornecido. No ambiente do Tioli Identity Manager, o seridor de correio está localizado dentro dos limites de firewall, tornando este níel de autenticação desnecessário. mail.protocol.user Especifica o nome do usuário específico do protocolo, utilizado durante a autenticação ao se conectar a um seridor de correio. Esta chae de propriedade substitui a chae de propriedade mail.user. Por padrão, essa propriedade não é requerida e nenhum alor é fornecido. Capítulo 3. Configurando Propriedades Suplementares 63

74 enrolepolicies.properties O arquio enrolepolicies.properties fornece definições padrão e personalizadas que suportam a funcionalidade do critério de proisão do Tioli Identity Manager. As funcionalidades suportadas por este arquio de propriedades incluem: Especificar classes Jaa para processar conflitos de critérios de proisão utilizando diretrizes de união. Especificar tempos limites padrão e não padrão de armazenamento em cache das diretrizes de união. Declarar atributos de critérios a serem ignorados durante a alidação de conformidade dos critérios. Uma diretriz de união é um conjunto de regras utilizado para determinar como os atributos são processados quando mais de um critério de proisão entra em conflito. As diretrizes de união utilizam construções lógicas para resoler conflitos. Os exemplos incluem a combinação de todos os atributos de critérios (união), o uso apenas de atributos comuns (interseção) e a resolução de conflitos utilizando a lógica Booleana AND / OR. No total, existem 12 tipos de diretrizes de união disponíeis para uso no Tioli Identity Manager. O recurso Fornecendo Proisão de Diretrizes de União do Critério entra em igor quando há mais de um critério de proisão definido para o mesmo usuário (ou grupo de usuários) no mesmo seriço de destino, tipo de seriço ou na mesma instância de seriço. Além disso, diretrizes de união personalizadas podem ser definidas graando uma classe Jaa personalizada e adicionando a chae e o alor de propriedade personalizados a este arquio. Classes de Diretrizes de União proisioning.policy.join.precedencesequence = com.ibm.enrole.policy.join. PrecedenceSequence proisioning.policy.join.boolean = com.ibm.enrole.policy.join.boolean proisioning.policy.join.bitwise = com.ibm.enrole.policy.join.bitwise proisioning.policy.join.numeric = com.ibm.enrole.policy.join.numeric proisioning.policy.join.textual = com.ibm.enrole.policy.join.textual proisioning.policy.join.multialued = com.ibm.enrole.policy.join.multialued Não modifique estas chaes e alores de propriedades. Cada chae de propriedade especifica uma classe Jaa que pode ser utilizada para processar uma operação lógica de diretriz de união, necessária para resoler um conflito de critério de proisão. Anexar Caracteres Separadores proisioning.policy.join.textual.appendseparator Especifica o tipo de caractere utilizado pela classe Jaa de diretriz de união Textual para separar alores indiiduais de um atributo com ários alores. Exemplo: proisioning.policy.join.textual.appendseparator = <<<>>> 64 IBM Tioli Identity Manager: Guia de Configuração do Seridor

75 Tempos Limites de Cache da Diretriz de União proisioning.policy.join.defaultcachetimeout Especifica o interalo de tempo limite entre atualizações do cache que armazena alores padrão de cache da diretriz de união. O alor de tempo limite é graado em segundos. (Padrão = segundos = 24 horas). Exemplo: proisioning.policy.join.defaultcachetimeout = proisioning.policy.join.oerridingcachetimeout Especifica o interalo de tempo limite entre atualizações do cache que armazena alores não padrão da diretriz de união. O alor de tempo limite é graado em segundos. (Padrão = 300 segundos = 5 minutos). Exemplo: proisioning.policy.join.oerridingcachetimeout = 300 Atributos de Conta Ignorados pela Validação de Conformidade dos Critérios Atributos genéricos excluídos: nonalidateable.attribute.eraccountcompliance nonalidateable.attribute.eracl nonalidateable.attribute.eraccountstatus nonalidateable.attribute.erauthorizationowner nonalidateable.attribute.erglobalid nonalidateable.attribute.erhistoricalpassword nonalidateable.attribute.erisdeleted nonalidateable.attribute.erlastmodifiedtime nonalidateable.attribute.erlogontimes nonalidateable.attribute.ernumlogons nonalidateable.attribute.erparent nonalidateable.attribute.erpassword nonalidateable.attribute.erserice nonalidateable.attribute.eruid nonalidateable.attribute.objectclass nonalidateable.attribute.owner Atributos do Windows NT excluídos: nonalidateable.attribute.erntpasswordexpired nonalidateable.attribute.erntuserbadpwdcount nonalidateable.attribute.erntlockedout Declara os atributos de conta que deem ser ignorados durante a alidação de conformidade dos critérios. Esta lista de exclusões ajuda a reduzir o oerhead desnecessário durante a alidação de conformidade e reduz o risco de falha do sistema, proocado por atributos que não podem ser logicamente resolidos durante a alidação. Capítulo 3. Configurando Propriedades Suplementares 65

76 enroleworkflow.properties O arquio enroleworkflow.properties especifica os mapeamentos de arquio XML para workflows definidos pelo sistema. No Tioli Identity Manager, workflow é um processo que especifica o fluxo de operações que enolem seriços empresariais e interações humanas. Um design de workflow define a maneira na qual uma lógica empresarial específica é processada. Os arquios XML especificados no arquio enroleworkflow.properties implementam designs de workflow. O workflow do sistema é identificado por um ID de Tipo exclusio e um arquio XML associado. Os arquios de workflow XML estão localizados no seguinte diretório: $ITIM_HOME\data\workflow_systemprocess Normalmente, ocê não dee remoer ou modificar os IDs de Tipo de workflow do sistema padrão e os alores de arquio XML fornecidos neste arquio. Se sua implementação do Tioli Identity Manager requer workflows de sistema noos ou redefinidos para suportar a lógica empresarial personalizada, ocê poderá modificar este arquio de acordo com: Noa lógica empresarial noos IDs de Tipo e arquios de definição de processo em formato XML podem ser adicionados ao arquio. Lógica empresarial modificada arquios de definição de processo em formato XML padrão existentes podem ser substituídos por arquios personalizados. Você dee ter os recursos técnicos e de programação adequados disponíeis para executar tal modificação. Workflow de Imposição de Critério enrole.workflow.ps = enforcepolicyforserice.xml Workflow de Gerenciamento de Seleção de Seriços enrole.workflow.sa = addsericeselectionpolicy.xml enrole.workflow.sc = changesericeselectionpolicy.xml enrole.workflow.sd = remoesericeselectionpolicy.xml Workflow de Gerenciamento de Critério de Proisão #Add policy enrole.workflow.pa = addpolicy.xml #Modify policy enrole.workflow.pc = changepolicy.xml #Delete policy enrole.workflow.pd = remoepolicy.xml Workflow de Reconciliação enrole.workflow.rc = reconciliation.xml Alterar Workflow de Estado de Múltiplos Usuários 66 IBM Tioli Identity Manager: Guia de Configuração do Seridor

77 enrole.workflow.ms = multiusersuspend.xml enrole.workflow.mr = multiuserrestore.xml enrole.workflow.md = multiuserdelete.xml Alterar Workflow de Estado de Múltiplas Contas enrole.workflow.ld = multiaccountdelete.xml enrole.workflow.ls = multiaccountsuspend.xml enrole.workflow.lr = multiaccountrestore.xml enrole.workflow.lp = multiaccountpassword.xml Workflow de Função Dinâmica #Add dynamic role enrole.workflow.da = adddynamicrole.xml #Modify dynamic role enrole.workflow.dc = changedynamicrole.xml #Delete dynamic role enrole.workflow.dd = remoedynamicrole.xml Capítulo 3. Configurando Propriedades Suplementares 67

78 fesiextensions.properties O arquio fesiextensions.properties define extensões FESI incorporadas e personalizadas, requeridas pelo Tioli Identity Manager. FESI refere-se a Free EcmaScript Interpreter, um interpretador de JaaScript graado em Jaa. O interpretador FESI lê este arquio de propriedades durante a inicialização do Tioli Identity Manager para definir extensões em relação às classes Jaa necessárias. As extensões FESI representam regiões ( ganchos ) no software Tioli Identity Manager em que o uso de JaaScript é permitido para introduzir a lógica empresarial incorporada ou personalizada. As extensões FESI são especificadas utilizando um formato de pares de chae e alor de propriedade: property-key-name = alue O alue é um nome completo do arquio de classe Jaa. O property-key-name inclui um prefixo padrão (fesi.extension), um contexto e (para classes personalizadas) um nome de ID (Identificador) que representa o arquio de classe Jaa completo. Geralmente, o nome de classe abreiado é utilizado como o nome do ID (Identificador). fesi.extension.context.class-id = fully-qualified-class-name As extensões do sistema FESI utilizadas pelo Tioli Identity Manager incluem um contexto global e três contextos específicos. Identificador de contexto global: Enrole Identificadores de contexto específico: IdentityPolicy HostSelection Workflow Embora ocê não dea modificar as extensões FESI do sistema incorporadas, poderá adicionar extensões FESI personalizadas que podem ser requeridas para qualquer programa personalizado. Ao adicionar uma extensão FESI personalizada a este arquio de propriedades, ocê dee utilizar um dos contextos globais ou específicos estabelecidos. Indique o nome completo do arquio de classe Jaa personalizado como o alor e forneça um nome de ID (Identificador) exclusio da chae de propriedade para a classe personalizada. Exemplos: fesi.extension.identitypolicy.custom-class-id = custom-fully-qualified-class-name fesi.extension.hostselection.custom-class-id = custom-fully-qualified-class-name Extensões FESI do Sistema Incorporadas fesi.extension.enrole = com.ibm.itim.fesiextensions.enrole fesi.extension.identitypolicy = com.ibm.itim.fesiextensions.identitypolicy fesi.extension.hostselection = com.ibm.itim.fesiextensions.modelselection fesi.extension.workflow = com.ibm.itim.workflow.fesiextensions.workflowextension fesi.extension.workflow.orgmodelextension = com.ibm.itim.fesiextensions. OrganizationModelExtension 68 IBM Tioli Identity Manager: Guia de Configuração do Seridor

79 O alor para cada chae de propriedade do sistema é um arquio de classe Jaa completo incorporado. Não remoa ou modifique informações nesta seção. Capítulo 3. Configurando Propriedades Suplementares 69

80 Extensões FESI Personalizadas Exemplo: fesi.extension.enrole.custom-class-id = custom-fully-qualified-class-name Você pode modificar os arquios fesiextensions.properties para incluir extensões FESI adicionais para objetos e métodos personalizados necessários. O alor para cada chae de propriedade personalizada é um arquio de classe Jaa completo personalizado. Todos os nomes de chae de propriedade deem ser exclusios. 70 IBM Tioli Identity Manager: Guia de Configuração do Seridor

81 UI.properties O arquio UI.properties especifica atributos que afetam a operação e a exibição da GUI do Tioli Identity Manager. Além disso, existem duas seções que contêm atributos não pertencentes à GUI do Tioli Identity Manager. Definições de Configuração da GUI do Tioli Identity Manager enrole.ui.errorpage.erbosity Especifica se as informações detalhadas (rastreio de pilha) deem ou não ser exibidas com uma mensagem de erro. Os alores são: 0 nenhuma informação detalhada exibida 1 informações detalhadas exibidas O alor padrão é 0. Exemplo: enrole.ui.errorpage.erbosity = 0 enrole.ui.customerlogo.image Especifica o nome do arquio do gráfico exibido no lado direito do banner de título da GUI do Tioli Identity Manager. A figura geralmente é um logotipo da empresa. Para exibir em um naegador da Web, o formato do arquio dee ser.gif ou.jpeg. O arquio gráfico real dee estar armazenado na seguinte localização: WebSphere:...WebSphere/AppSerer/installedApps/domain-name/enRole.ear/app_web.war/ images WebLogic:...bea/user_projects/domain-name/applications/enrole/images Exemplo: enrole.ui.customerlogo.image = ibm_banner.gif enrole.ui.customerlogo.url Especifica o link do URL atiado quando ocê clica na imagem gráfica personalizada (logotipo da empresa), no lado direito do título da GUI do Tioli Identity Manager. Exemplo: enrole.ui.customerlogo.url = enrole.ui.pagesize Especifica o número de itens da lista inicialmente exibidos na tela. Se houer mais itens na lista, os links aparecem no fim da exibição em lista que atia continuações da lista (por exemplo, Página 2, Página 3, Página 4). Exemplo: enrole.ui.pagesize = 10 Capítulo 3. Configurando Propriedades Suplementares 71

82 enrole.ui.pagelinkmax Especifica o número de links de página que são exibidos para uma lista de itens longa (consulte enrole.ui.pagesize). Se forem requeridos mais links de página pela lista do que os links especificados por esta chae de propriedade, será adicionado um link Próximo. Exemplo: enrole.ui.pagelinkmax = 10 enrole.ui.maxsearchresults Especifica o número de itens retornados para uma pesquisa. O alor para esta chae de propriedade pode controlar a possíel redução de desempenho do sistema quando é encontrado um retorno muito grande de itens. Exemplo: enrole.ui.maxsearchresults = 1000 Propriedades dos Applets WfDesigner eformdesigner enrole.build.ersion enrole.jaa.plugin enrole.jaa.plugin.classid enrole.jaa.plugin.jpi-ersion enrole.jaa.pluginspage enrole.ui.logoffurl enrole.ui.timeouturl Você não dee modificar ou remoer nenhuma informação nesta seção. Estes pares de chae e alor de propriedade fornecem o suporte necessário ao applet Jaa, requerido pelo naegador da Web que executa a GUI do Tioli Identity Manager. Propriedades de Menu do Relatório enrole.ui.reconreport.maxfilesize O Relatório de Reconciliação pode ser gerado nos seguintes formatos: PDF HTML CVS (arquio delimitado por írgula) Esta chae e este alor de propriedade especificam o limite do tamanho do relatório (em bytes) para que a opção de saída PDF esteja disponíel. Se o relatório tier mais de 0,5 MB, a opção PDF não estará mais disponíel como uma opção de saída. Exemplo: enrole.ui.reconreport.maxfilesize = enrole.ui.accountreport.maxpeopleinreport Especifica o número máximo de pessoas a serem incluídas no relatório Conta. Exemplo: enrole.ui.accountreport.maxpeopleinreport = IBM Tioli Identity Manager: Guia de Configuração do Seridor

83 enrole.ui.report.maxrecordsinreport Especifica o número máximo de registros a serem exibidos nos relatórios de operação, de usuário, de seriço e rejeitados. Exemplo: enrole.ui.report.maxrecordsinreport=5000 Atiar/Desatiar Conexão Única do WebSEAL enrole.ui.ssoenabled O par de chae e alor de propriedade nesta seção não pertence à GUI do Tioli Identity Manager. Atie ou desatie a funcionalidade de conexão única do WebSEAL. Os alores são: true (atiar) false (desatiar) O padrão é false. Exemplo: enrole.ui.ssoenabled = false Configuração adicional é requerida para a funcionalidade de conexão única do WebSEAL. Consulte Configurando a Conexão Única com o WebSEAL na página 92. Mapeamento de Classe de Pesquisa para ObjectProfileCategory Os pares de chae e alor de propriedade nesta seção não pertencem à GUI do Tioli Identity Manager e não deem ser modificados ou remoidos. Capítulo 3. Configurando Propriedades Suplementares 73

84 CustomLabels.properties Os pares de chae e alor de propriedade no arquio CustomLabels.properties são utilizados pela GUI do Tioli Identity Manager para exibir o texto do rótulo para formulários. Existe um arquio CustomLabels.properties separado para cada idioma específico suportado pelo Tioli Identity Manager. Esse arquio é utilizado para fornecer ersões localizadas de elementos da GUI quando o Tioli Identity Manager está instalado em ambientes internacionais. A extensão do nome do arquio identifica o idioma específico. Por exemplo: CustomLabels_JA.properties japonês CustomLabels_EN.properties inglês 74 IBM Tioli Identity Manager: Guia de Configuração do Seridor

85 Capítulo 4. Gerenciando Certificados Digitais Este capítulo descree as tarefas de administração e configuração requeridas para configurar uma implementação do Tioli Identity Manager para utilizar certificados digitais para autenticação em SSL. Visão Geral e Resumo de Configuração: Visão Geral do SSL e de Certificados Digitais na página 75 Resumo e Roteiro de Configuração na página 78 Detalhes de Configuração para o Tioli Identity Manager no WebSphere: Configurando o SSL entre o Naegador e o Seridor da Web (WebSphere) na página 79 Configurando o SSL entre o Seridor e o Agente na página 85 Detalhes de Configuração para o Tioli Identity Manager no WebLogic: Configurando o SSL entre o Naegador e o Seridor da Web (WebLogic) na página 83 Configurando o SSL entre o Seridor e o Agente na página 85 Informações Complementares: Configurando o SSL Iniciado pelo Agente (entre o Agente e o Seridor da Web) na página 88 Visão Geral do SSL e de Certificados Digitais A implementação do Tioli Identity Manager dee lear em consideração a segurança da comunicação entre todos os componentes configurados. O mecanismo SSL (Secure Sockets Layer) padrão de mercado, que utiliza certificados digitais para autenticação, é utilizado para a comunicação segura em uma implementação do Tioli Identity Manager. O SSL oferece conexões seguras permitindo que, para dois aplicatios que estão se conectando por meio de uma rede, cada aplicatio faça a autenticação da identidade do outro aplicatio. Além disso, o SSL fornece a criptografia dos dados trocados entre esses aplicatios. A autenticação permite que um seridor (unidirecional) e, opcionalmente, um cliente (bidirecional) erifiquem a identidade do aplicatio na outra extremidade de uma conexão de rede. A criptografia faz com que os dados transmitidos pela rede possam ser compreendidos apenas pelo destinatário planejado. Os recursos do SSL incluem os seguintes conceitos: O SSL oferece um mecanismo para que um aplicatio se autentique em outro aplicatio. O SSL unidirecional permite que um aplicatio saiba exatamente a identidade do outro aplicatio. O SSL bidirecional (autenticação mútua) permite que ambos os aplicatios saibam exatamente a identidade do outro. O aplicatio que assume a função de seridor possui e utiliza um certificado de seridor para comproar sua identidade ao aplicatio cliente. Copyright IBM Corp

86 Em uma autenticação mútua, o aplicatio que assume a função de cliente possui e utiliza um certificado de cliente para comproar sua identidade ao aplicatio seridor. O aplicatio que recebe um certificado dee possuir o certificado raiz (ou a cadeia de certificado) da CA (Autoridade de Certificação) que assinou esse certificado que está sendo apresentado. O certificado raiz, ou a cadeia, da CA alida o certificado que está sendo apresentado. Em conexões de clientes, o naegador cliente alerta o usuário quando recebe um certificado que não foi emitido por uma Autoridade de Certificação reconhecida. Compreendendo Chaes Priadas e Certificados Digitais Chaes priadas, certificados digitais e Autoridades de Certificação confiáeis podem ser utilizadas para estabelecer e erificar a identidade de aplicatios de rede. O SSL utiliza tecnologia de criptografia de chae pública para autenticação. Na criptografia de chae pública, uma chae pública e uma chae priada são geradas para um aplicatio. As chaes são relacionadas de tal forma que os dados criptografados com a chae pública podem ser descriptografados somente utilizando a chae priada correspondente. De maneira similar, os dados criptografados com a chae chae priada podem ser descriptografados somente utilizando a chae pública correspondente. A chae priada é cuidadosamente protegida, de forma que apenas o proprietário possa descriptografar as mensagens criptografadas utilizando a chae pública. A chae pública está incorporada a um certificado digital com informações adicionais que descreem o proprietário da chae pública, como nome, endereço e endereço de . Uma chae priada e um certificado digital fornecem a identidade para o aplicatio. Os dados incorporados em um certificado digital são erificados por uma CA confiáel e assinados digitalmente com o certificado digital da Autoridade de Certificação. As Autoridades de Certificação conhecidas incluem Verisign eentrust.net. Uma Autoridade de Certificação confiáel estabelece confiança para um aplicatio. Um aplicatio que participa de uma conexão SSL é autenticado quando a outra parte aalia e aceita os respectios certificados digitais. Um certificado digital utilizado para autenticação é alidado por um certificado de CA raiz associado, localizado na aplicação de recepção. Naegadores da Web, seridores e outros aplicatios atiados por SSL geralmente aceitam como erdadeiro qualquer certificado digital que seja assinado por uma Autoridade de Certificação confiáel e seja álido. Por exemplo, um certificado digital pode ser inalidado porque expirou ou porque o certificado digital da Autoridade de Certificação utilizada para assiná-lo expirou. Um certificado de seridor poderá ser inalidado se o nome do host no certificado digital do seridor não corresponder ao nome do host especificado pelo cliente. Formatos de Chae O WebLogic Serer pode utilizar certificados digitais em qualquer um dos formatos:.pem,.arm ou.der. 76 IBM Tioli Identity Manager: Guia de Configuração do Seridor

87 Um arquio no formato.pem (priacy-enhanced mail) começa e termina com as seguintes linhas: -----BEGIN CERTIFICATE END CERTIFICATE----- O formato de arquio.pem suporta ários certificados digitais (por exemplo, uma cadeia de certificados pode ser incluída). No entanto, a ordenação dos certificados digitais no arquio é importante. Por exemplo, cert A, cert B (dee ser o emissor de cert A), cert C (dee ser o emissor de cert B),... até a CA raiz. O formato de arquio.arm é um arquio binário codificado em ASCII. Um arquio.arm contém uma representação de ASCII codificada em base 64 de um certificado, incluindo sua chae pública, mas não sua chae priada. O formato de arquio.arm é gerado e utilizado pelo utilitário GSKit ikeyman (somente no WebSphere). O formato de arquio.der contém dados binários. Um arquio.der pode ser utilizado apenas por um certificado único; porém, um arquio.pem pode ser utilizado para ários certificados. Implementações de SSL Utilizadas pelo Tioli Identity Manager O Tioli Identity Manager utiliza árias implementações de SSL: IBM GSKit (Global Security Toolkit) RSA SSL-J (seridor) RSA SSL-C (agente) Open SSL (agente) O Tioli Identity Manager utiliza comunicação de SSL segura em três localizações: Entre o naegador da Web do usuário do cliente e o Web Serer utilizado pelo seridor de aplicatio do Tioli Identity Manager Entre o Tioli Identity Manager Serer e o(s) agente(s) do Tioli Identity Manager SSL iniciado pelo agente entre o Web Serer e um Agente Capítulo 4. Gerenciando Certificados Digitais 77

88 Resumo e Roteiro de Configuração As informações sobre esta seção fornecem um roteiro para a configuração da implementação do Tioli Identity Manager para SSL. Implementação do Tioli Identity Manager no WebSphere O resumo de configuração a seguir pertence a uma implementação do Tioli Identity Manager no seridor de aplicatios do WebSphere. Configure o SSL entre o naegador do cliente e o seridor da Web (IBM HTTP Serer). Somente a autenticação unidirecional é requerida. Consulte Configurando o SSL entre o Naegador e o Seridor da Web (WebSphere) na página 79. Configure o SSL entre o Tioli Identity Manager Serer e o(s) agente(s). Somente a autenticação unidirecional é requerida. Consulte Configurando o SSL entre o Seridor e o Agente na página 85. Implementação do Tioli Identity Manager no WebLogic O resumo de configuração a seguir pertence a uma implementação do Tioli Identity Manager no seridor de aplicatios do WebLogic. Configure o SSL entre o naegador do cliente e o seridor da Web incorporado do WebLogic. Somente a autenticação unidirecional é requerida. Consulte Configurando o SSL entre o Naegador e o Seridor da Web (WebLogic) na página 83. Configure o SSL entre o Tioli Identity Manager Serer e o(s) agente(s). Somente a autenticação unidirecional é requerida. Consulte Configurando o SSL entre o Seridor e o Agente na página IBM Tioli Identity Manager: Guia de Configuração do Seridor

89 Configurando o SSL entre o Naegador e o Seridor da Web (WebSphere) As informações a seguir pertencem a uma implementação do Tioli Identity Manager no seridor de aplicatios do WebSphere. Resumo da Implementação: O cliente é um usuário com um naegador da Web. O seridor da Web é o IBM HTTP implementado em uma máquina remota ou, como alternatia, na mesma máquina que o WebSphere. O GSKit SSL é utilizado (pacote do WebSphere). Nota: No diagrama a seguir, Seridor ITIM corresponde ao IBM Tioli Identity Manager Serer. Figura 8. Tioli Identity Manager Implementado no WebSphere Resumo do Procedimento: 1. Gere um CSR (Certificate Signing Request), que é eniado à CA, que depois retorna um certificado assinado, utilizado pelo seridor da Web para se identificar ao naegador do cliente. 2. Instale o certificado no seridor da Web. 3. Configure o seridor da Web para o SSL. 4. Assegure-se de que o naegador tenha o certificado raiz da CA que assinou o certificado do seridor da Web. O certificado raiz de CA é utilizado pelo naegador para alidar o certificado eniado pelo seridor da Web. Os certificados da CA raiz padrão de mercado (como a VeriSign) geralmente fazem parte da distribuição do naegador. 1. Gerando um CSR (Certificate Signing Request) Para adquirir um certificado a partir de uma CA, primeiro ocê dee eniar um CSR. O WebSphere Application Serer tem um aplicatio Jaa que pode gerar pedidos de certificação. Essa ferramenta é chamada ikeyman. ikeyman é um serlet que Capítulo 4. Gerenciando Certificados Digitais 79

90 coleta informações do sistema e gera um arquio de chae priada e um arquio de pedido de certificação. O serlet permite eniar o arquio CSR a uma CA (como a VeriSign) para assinatura. Para obter informações detalhadas sobre o uso dos utilitários do WebSphere Application Serer, consulte a biblioteca de documentação do WebSphere Application Serer no seguinte Web site: Os seguintes procedimentos descreem como gerar um CSR: 1. Inicie o utilitário de gerenciamento de chae WebSphere Application Serer ikeyman. Localize e execute o gsk5ikm no diretório../gsk5. 2. Crie um arquio de chae ou abra um arquio de banco de dados de chae existente. 3. Selecione o menu Certificados de Signatário ou Certificados Pessoais e clique em Pedidos de Certificados Pessoais. 4. Clique em Noo. 5. Preencha os seguintes campos: Rótulo da Chae Nome Comum Organização Nome do Arquio 6. Clique em OK. Uma janela de diálogo é exibida, informando que o pedido de certificado foi gerado e armazenado no arquio especificado anterior. 7. Clique em OK. A janela de diálogo é fechada. 8. Saia do ikeyman. 9. Enie o pedido de certificado à CA apropriada. 2. Instalando o Certificado Assinado A discussão nesta seção supõe que ocê tenha recebido um certificado assinado da Autoridade de Certificação. Além disso, supõe que tenha salado este arquio de certificado em um diretório temporário. Os procedimentos a seguir descreem como instalar um certificado usando utilitários do WebSphere Application Serer. Para obter informações detalhadas sobre o uso dos utilitários do WebSphere Application Serer, consulte a biblioteca de documentação do WebSphere Application Serer em: 1. Inicie o utilitário de gerenciamento de chae WebSphere Application Serer ikeyman. 2. Abra o arquio de banco de dados utilizado para criar o pedido de certificado. 3. Clique no menu Pedidos de Certificados Pessoais e em Certificados Pessoais. 4. Clique em Receber. 80 IBM Tioli Identity Manager: Guia de Configuração do Seridor

91 5. Clique em Tipo de Dados e selecione o tipo de dados do certificado digital. Para certificados em formato ASCII, selecione o tipo de dados Dados ASCII codificados em base 64. Para certificados em formato binário, selecione o tipo de dados Dados DER Binários. 6. Especifique a localização do diretório temporário e o nome de arquio do certificado. 7. Clique em OK. 8. Digite o rótulo do noo certificado digital e clique em OK. ikeyman sala o certificado no arquio de banco de dados de chae e o certificado é relacionado na lista Certificados Pessoais. 9. Saia do ikeyman. Nota: Se o seridor da Web utilizar um certificado auto-assinado, em ez de um certificado emitido por uma CA, como a VeriSign, o naegador do cliente solicitará que o usuário decida se dee confiar no signatário desconhecido do certificado do seridor. 3. Configurando o Seridor da Web para SSL Após a instalação do certificado, ocê dee configurar o IBM HTTP Serer para SSL. 1. Inicie o utilitário de gerenciamento de chae WebSphere Application Serer ikeyman. 2. Crie um arquio de chae para armazenar os arquios de chae e o certificado de SSL. Por exemplo: ${ITIM_HOME}/myKeys 3. Clique no menu Arquio de Banco de Dados de Chae e selecione Noo. 4. Defina as configurações conforme listado a seguir e clique em OK. Tipo de Banco de Dados de Chae: Arquio de Banco de Dados de Chae CMS Nome do Arquio: WebSererKeys.kdb Localização: caminho para o diretório${itim_home}/mykeys 5. Insira uma senha para o arquio de chae do SSL e confirme-a. 6. Selecione a caixa de opções Armazenar a senha em um arquio?. 7. Clique em OK. Isso faz com que um arquio chamado WebSererKeys.sth seja criado, contendo um formato codificado da senha. Nota: As permissões do sistema operacional deem ser utilizadas para impedir todo acesso por pessoas não autorizadas a esse arquio. 8. Abra o menu Certificados de Signatário e selecione Certificados Pessoais quando ocê ir a lista de Certificados de Signatário padrão. Se ocê tier um certificado de seridor concedido por uma CA (por exemplo, a VeriSign), poderá clicar em Importar a fim de importar esse certificado para o arquio de chae de SSL. Será solicitado que ocê especifique o tipo e a localização do arquio que contém o certificado do seridor. Se não tier um certificado álido de seridor concedido por uma CA, mas desejar testar o sistema, clique em Noo Auto-assinado. Capítulo 4. Gerenciando Certificados Digitais 81

92 Será solicitado que ocê informe um Rótulo de Chae, como ITIM, e uma Organização, como IBM. Utilize os alores padrão para todos os outros alores. 9. Abra o menu Arquio de Banco de Dados de Chae e selecione Fechar. 10. Inclua as seguintes linhas na parte inferior do arquio httpd.conf (substituindo ${ITIM_HOME} pelo caminho correto para o diretório mykeys): LoadModule ibm_ssl_module libexec/mod_ibm_ssl_128.so Listen 443 SSLEnable Keyfile $ITIM_HOME/myKeys/WebSererKeys.kdb Isso faz com que o seridor da Web atenda na porta 443 (a porta SSL padrão). 11. Adicione as portas 443 e 9443 ao VirtualHost no console de administração do WebSphere Serer, no sistema PRIMARY, e atualize o plug-in do seridor da Web. 12. Inicie o IBM HTTP Serer. Solaris: /opt/ibmhttpd/bin/apachectl start AIX: /usr/httpserer/bin/apachectl start Windows: Painel de Controle de Seriços 13. Teste a configuração a partir de um naegador, inserindo um URL como: Nota: Se ocê estier utilizando um certificado auto-assinado, em ez de um certificado emitido por uma Autoridade de Certificação, como a VeriSign, o naegador solicitará que ocê erifique se deseja confiar no signatário desconhecido do certificado do seridor da Web. 82 IBM Tioli Identity Manager: Guia de Configuração do Seridor

93 Configurando o SSL entre o Naegador e o Seridor da Web (WebLogic) As informações a seguir pertencem a uma implementação do Tioli Identity Manager no seridor de aplicatios do WebLogic. Resumo da Implementação: O cliente é um usuário com um naegador da Web. O seridor da Web é incorporado ao WebLogic. O RSA SSL-J é utilizado. Nota: No diagrama a seguir, Seridor ITIM corresponde ao IBM Tioli Identity Manager Serer. Figura 9. Tioli Identity Manager Implementado no WebLogic Resumo do Procedimento: 1. Gere um CSR, que é eniado à CA, que depois retorna um certificado assinado, utilizado pelo seridor da Web para se identificar ao naegador do cliente. 2. Instale o certificado no seridor da Web. 3. Configure o seridor da Web para o SSL. 4. Assegure-se de que o naegador tenha o certificado raiz da CA que assinou o certificado do seridor da Web. O certificado raiz da CA é utilizado pelo naegador para alidar o certificado eniado pelo seridor da Web. Os certificados da CA raiz padrão de mercado (como a VeriSign) geralmente fazem parte da distribuição do naegador. Condições: Certificados (incluindo o certificado de CA raiz) e arquios de chae podem estar no formato ASCII codificado em Base64 (.pem) ou no formato binário (.der). Utilize o serlet Gerador de Pedido de Certificado para obter chaes priadas, certificados digitais e certificados de CAs confiáeis. O serlet faz parte da distribuição do WebLogic. Capítulo 4. Gerenciando Certificados Digitais 83

94 As chaes priadas e os certificados de CAs confiáeis são armazenados como arquios no diretório de domínio. Procedimentos Detalhados: Para obter informações detalhadas completas sobre configuração do SSL do naegador para seridor da Web no WebLogic, consulte o Web site da BEA WebLogic: 84 IBM Tioli Identity Manager: Guia de Configuração do Seridor

95 Configurando o SSL entre o Seridor e o Agente As informações a seguir estão relacionadas a uma implementação do Tioli Identity Manager no WebSphere ou no seridor de aplicatios WebLogic. Neste cenário, o Seridor Tioli Identity Manager inicia a comunicação no SSL com o agente (entre seridor e agente) para concluir uma transação originada inicialmente pelo naegador. Existem cenários adicionais em que o agente inicia a comunicação no SSL com o Seridor Tioli Identity Manager (entre agente e seridor). Para obter informações adicionais sobre esses cenários, consulte Configurando o SSL Iniciado pelo Agente (entre o Agente e o Seridor da Web) na página 88. Resumo da Implementação: Por padrão, o Seridor Tioli Identity Manager e o agente utilizam uma autenticação unidirecional ia SSL. O RSA SSL-C ou o Open SSL é utilizado pelo Agente. O RSA SSL-J é utilizado pelo Tioli Identity Manager Serer Nota: No diagrama a seguir, Seridor ITIM refere-se ao IBM Tioli Identity Manager Serer. Figura 10. Configurando o SSL Unidirecional entre o Seridor e o Agente Resumo do Procedimento (Autenticação Unidirecional Padrão): 1. Gere um CSR, que é eniado à CA, que depois retorna um certificado assinado, utilizado pelo agente para se identificar ao Tioli Identity Manager Serer. 2. Instale o certificado assinado no agente. 3. Assegure-se de que o certificado raiz da CA que assinou o certificado do agente resida no Tioli Identity Manager Serer. O certificado raiz da CA é utilizado pelo naegador para alidar o certificado eniado pelo agente. Os agentes do Tioli Identity Manager usam um utilitário chamado CertTool para solicitar, instalar, excluir e registrar certificados. Capítulo 4. Gerenciando Certificados Digitais 85

96 Configurando os Certificados de Seridor para o SSL Unidirecional Condições para o SSL Unidirecional: O Seridor Tioli Identity Manager é pré-configurado para suportar autenticação unidirecional no SSL. O agente autentica com um certificado assinado; o Seridor Tioli Identity Manager erifica esse certificado com o certificado raiz da CA associado. Certificados (incluindo o certificado de CA raiz) e arquios de chae deem estar no formato binário (.der). Resumo de Opções de Configuração: Utilizando o Certificado de CA Raiz de uma CA de Terceiro na página 86 Utilizando Certificados Gerados e Assinados com Utilitários OpenSSL na página 86 Utilizando o Certificado de CA Raiz de uma CA de Terceiro 1. Use o utilitário CertTool do agente para gerar um CSR que é eniado à CA. Consulte Configurando o Certificado Assinado no Agente na página 87 para obter informações sobre como configurar certificados para o agente. 2. Use o utilitário CertTool do agente para instalar o certificado assinado no agente. Consulte Configurando o Certificado Assinado no Agente na página 87 para obter informações sobre como configurar certificados para o agente. 3. Copie manualmente o certificado de CA raiz associado para o diretório <ITIM_HOME>/cert do Tioli Identity Manager Serer. Utilizando Certificados Gerados e Assinados com Utilitários OpenSSL Você pode iniciar rapidamente utilizando o SSL para estabelecer comunicações entre o seridor e o agente, usando os utilitários OpenSSL disponíeis gratuitamente para gerar e assinar CSRs. Esses utilitários estão disponíeis em ou podem ser encontrados instalados, por padrão, na maioria das distribuições Linux. As etapas a seguir foram erificadas com a ersão 0.9.6b dos utilitários OpenSSL. 1. Gere um CSR com o CertTool. Utilize a opção de menu A, Gerar chae priada e pedido de certificado. 2. Insira os alores apropriados para o pedido de certificado. 3. Sale em um arquio chamado agentreq.pem. Esse arquio está localizado no diretório <AGENT_HOME>/bin. A chae priada é graada no registro e o CSR está contido no arquio.pem. 4. Copie o arquio agentreq.pem para a máquina utilizada para gerar os certificados. 5. Para criar a chae priada e o certificado assinado da CA, execute as seguintes etapas na linha de comandos da máquina de certificação: $ openssl OpenSSL> req -x509 -newkey rsa:1024 -keyout cakey.pem -out cacert.pem # enter alues for CA cert, including country, state, etc. OpenSSL> quit 6. Para configurar o ambiente de assinatura, insira: $ mkdir democa $ cp cacert.pem democa/cacert.pem $ mkdir democa/priate 86 IBM Tioli Identity Manager: Guia de Configuração do Seridor

97 $ m cakey.pem democa/priate/cakey.pem $ mkdir democa/newcerts $ touch democa/index.txt $ cat > democa/serial Para assinar o pedido de certificado, insira: $ openssl OpenSSL> ca -in ntagentreq.pem -out agentcert.pem OpenSSL> quit $ m democa/newcerts/01.pem agentcert.pem 8. Para conerter o certificado de CA em formato binário, insira: $ openssl OpenSSL> x509 -inform PEM -outform DER -in democa/cacert.pem -out cacert.der OpenSSL> quit $ 9. Copie o pedido de certificado assinado noamente na máquina do agente. 10. Em CertTool, informe a opção B, Instalar certificado a partir do arquio. 11. Informe a localização do pedido assinado. 12. Verifique se o certificado foi instalado exibindo o certificado instalado atualmente (opção D do CertTool). 13. Copie o formato binário do arquio de certificados da CA (cacert.der) para a máquina do Seridor Tioli Identity Manager no diretório <ITIM_HOME>/cert. Configurando o Certificado Assinado no Agente Consulte o capítulo Certificate Installation do Tioli Identity Manager Agent Installation Guide apropriado para obter informações completas sobre como usar o utilitário CertTool para gerenciar o certificado assinado, utilizado pelo agente para autenticação unidirecional. Capítulo 4. Gerenciando Certificados Digitais 87

98 Configurando o SSL Iniciado pelo Agente (entre o Agente e o Seridor da Web) Normalmente, a comunicação SSL é iniciada com o agente (entre seridor e agente) para concluir uma transação originalmente iniciada pelo naegador. Existem três cenários em que o agente inicia a comunicação no SSL com o Seridor da Web (entre o agente e o seridor da Web): Agente com Base em ADK Configurado para Notificação de Eentos na página 88 Alimentação de Identidade para um Programa Utilizando a Interface JNDI na página 88 Agente com base no IDI (IBM Directory Integrator) na página 88 Em todos os casos, ocê dee exportar o certificado de CA raiz utilizado pelo seridor da Web com a ferramenta IBM HTTP Serer ikeyman. Em seguida, o certificado de CA dee ser colocado no armazenamento de chae apropriado, utilizado pelo agente externo. Agente com Base em ADK Configurado para Notificação de Eentos Para notificação de eentos, um agente com base em ADK inicia a comunicação com o Seridor da Web para notificá-lo de contas noas, modificadas ou excluídas. O Seridor da Web dee estar configurado para SSL bidirecional obrigatório. Utilize o CertTool para instalar no agente o certificado raiz da CA que assinou o certificado do Seridor da Web. O certificado de CA dee estar em formato binário (a ferramenta IBM HTTP Serer ikeyman utiliza um sufixo de nome de arquio.der). O agente com base em ADK utiliza o registro para o armazenamento de chae. Use o utilitário CertTool para gerenciar as chaes. Alimentação de Identidade para um Programa Utilizando a Interface JNDI Para alimentação de identidade, um programa Jaa externo é utilizado no lugar de um Agente para iniciar a comunicação com o Seridor da Web para adicionar noos, modificar ou excluir registros de informações pessoais. Esse programa Jaa utiliza a JNDI (Jaa Naming Directory Interface) para se comunicar com o Seridor da Web. O programa de alimentação de identidade usa os utilitários de gerenciamento de arquio do sistema operacional para colocar o certificado de CA raiz em uma pasta especificada no programa da JNDI. O certificado de CA dee estar em formato binário (a ferramenta IBM HTTP Serer ikeyman utiliza um sufixo de nome de arquio.der). Agente com base no IDI (IBM Directory Integrator) Para alimentação de identidade ou um agente de gerenciamento de contas, o IDI inicia a comunicação para eniar dados ao Seridor Tioli Identity Manager. Como alternatia, um programa Jaa personalizado que utiliza o proedor DSML2 JNDI pode executar a mesma ação. 88 IBM Tioli Identity Manager: Guia de Configuração do Seridor

99 Para um agente com base em IDI, o certificado de CA raiz dee ser inserido em um armazenamento de chae Jaa. Utilize a ferramenta ikeyman fornecida com o IBM HTTP Serer. O certificado de CA pode estar em formato binário ou ASCII codificado em base 64. A ferramenta IBM HTTP Serer ikeyman utiliza o sufixo do nome de arquio.der para formato binário e.arm para formato ASCII codificado em base 64. O armazenamento de chae Jaa pode ser criado com a ferramenta ikeyman, fornecida com o WebSphere Application Serer, ou com o utilitário de gerenciamento de certificado e de chae keytool do Sun Jaa. Para obter detalhes sobre o utilitário keytool, consulte a documentação fornecida com o Sun JDK ou on-line em: O agente com base em IDI utiliza o JKS (Jaa Key Store) para o armazenamento de chae. Capítulo 4. Gerenciando Certificados Digitais 89

100 90 IBM Tioli Identity Manager: Guia de Configuração do Seridor

101 Capítulo 5. Configurando Soluções de Conexão Única Este capítulo descree as capacidades de conexão única do Tioli Identity Manager. Índice de Tópico: Visão Geral da Capacidade de Conexão Única na página 91 Configurando a Conexão Única com o WebSEAL na página 92 Configurando a Conexão Única com Seridores de Plug-in do Tioli Access Manager na página 94 Criando uma Junção do WebSEAL com o Tioli Identity Manager na página 94 Visão Geral da Capacidade de Conexão Única Os seridores de segurança da Web fornecidos pelo IBM Tioli Access Manager (Tioli Access Manager) podem atiar a capacidade de conexão única para o Tioli Identity Manager. Isso permite que o Tioli Access Manager execute a autenticação do usuário e a autorização grosseira antes do acesso ao aplicatio Tioli Identity Manager ser autorizado. Em seguida, o aplicatio Tioli Identity Manager aplica seu próprio controle de acesso fino utilizando sua própria ACI (Access Control Information). Quando configurado para conexão única, o Tioli Identity Manager Serer identifica o usuário por meio de um cabeçalho HTTP ariáel, chamado i-user. Cada um dos seridores de segurança da Web fornecidos pelo Tioli Access Manager tem a capacidade de definir com segurança esse cabeçalho HTTP antes de transmitir o tráfego ao Tioli Identity Manager Serer. Notas: 1. Quando o Tioli Identity Manager Serer está configurado para conexão única, os usuários não deem ter acesso de rede direto ao Tioli Identity Manager Serer. Existe uma exposição de segurança caso o usuário possa criar um pedido com um alor falso para i-user e eniar o pedido diretamente ao Tioli Identity Manager Serer. Para maior segurança, é recomendáel que o acesso de rede ao Tioli Identity Manager Serer seja possíel apenas utilizando um seridor da Web Access Manager. 2. Tanto o Tioli Identity Manager Serer como o seridor de segurança da Web Tioli Access Manager mantêm uma sessão com o naegador. A sessão do Tioli Identity Manager Serer dee ter um alor de tempo limite menor que o alor definido para o seridor de segurança da Web do Tioli Access Manager. Isso se aplica especialmente a um ambiente de estação de trabalho compartilhado. 3. O aplicatio Tioli Identity Manager é excelente. Isto é, algumas operações requerem ários pedidos para concluir e os resultados de um pedido dependem dos dados inseridos em ários pedidos anteriores. Se um mecanismo de ponderação for utilizado para distribuir usuários em árias implementações do aplicatio Tioli Identity Manager, será necessário assegurar que todos os pedidos do mesmo usuário sejam eniados à mesma instância do Tioli Identity Manager Serer. 4. Quando o Seridor Tioli Identity Manager é configurado para conexão única, todos os logins de JAAS serão sucedidos assim que o ID do usuários Copyright IBM Corp

102 especificado existir. Dessa forma, os aplicatios que utilizam a API do Tioli Identity Manager também deem ser executados a partir de uma localização protegida. Faça o seguinte: 1. Modifique o arquio de propriedades do Tioli Identity Manager para atiar a conexão única. 2. Configure o seridor de segurança da Web do Tioli Access Manager para inserir a identidade do usuário no tráfego que é transmitido ao Tioli Identity Manager. 3. Aplique a autorização do Tioli Access Manager ao espaço de objeto protegido do Tioli Access Manager para que apenas usuários autorizados tenham permissão para acessar o Tioli Identity Manager. Configurando a Conexão Única com o WebSEAL Utilizando a autenticação do WebSEAL, em ez da autenticação do Tioli Identity Manager, os usuários têm permissão para inserir um único ID de usuário e senha na página de logon do WebSEAL para terem acesso ao Tioli Identity Manager. O painel de logon do Tioli Identity Manager não aparece durante a operação de conexão única. Pré-requisitos, Aisos e Soluções Aiso: SSO com Contas de Várias Pessoas A funcionalidade de conexão única do Tioli Access Manager e Tioli Identity Manager foi projetada para fornecer mapeamento de identidade entre um só usuário do Tioli Access Manager e um só usuário do Tioli Identity Manager. O ID do usuário do Tioli Access Manager é utilizado para localizar a Pessoa do Tioli Identity Manager que possui uma conta no ambiente do Tioli Identity Manager. No entanto, é possíel para uma Pessoa do Tioli Identity Manager ter árias contas. Nesse caso, o mapeamento de identidade para uma das árias contas é impreisíel. Cuidado ao disponibilizar uma conexão única entre usuários do Tioli Access Manager e Pessoas do Tioli Identity Manager. Pré-requisito: Definindo o Ambiente de Idioma: Em uma conexão única com o ambiente do WebSEAL, o link Selecione outro idioma, localizado no painel de logon do Tioli Identity Manager, não está disponíel, pois o painel de logon do Tioli Identity Manager não aparece após o logon no WebSEAL. A solução para esse problema é definir o ambiente de idioma por meio do naegador antes de efetuar logon. O exemplo a seguir é apropriado para o Microsoft Internet Explorer: 1. Assegure-se de que Codificação esteja definido como Unicode (UTF-8): Exibir > Codificação > Unicode (UTF-8) 2. Configure o idioma apropriado: Opções da Internet > Geral > Idiomas 3. Assegure-se de que o idioma suporta unicode: Opções da Internet > Geral > Fontes Solução: Configurando a Diferença de Fuso Horário Ao efetuar logon no seridor Tioli Identity Manager por meio de uma junção WebSEAL (conexão única), o campo Data Efetia da GUI exibe o horário do 92 IBM Tioli Identity Manager: Guia de Configuração do Seridor

103 seridor em GMT (Hora de Greenwich), em ez do horário local do naegador. Durante a conexão única, a página de logon do Tioli Identity Manager, por design, é ignorada. Quando a página de logon é ignorada, o horário e o fuso horário corretos não são transmitidos para o seridor Tioli Identity Manager. Como administrador, ocê pode fornecer uma solução para este problema: 1. Calcule a diferença de fuso horário com base no fuso horário de GMT do naegador do cliente. Por exemplo, para Tóquio (Japão), a diferença de fuso horário é 9. Para Califórnia (Estados Unidos), a diferença é de -8 (-7 para horário de erão do Pacífico). 2. Incorpore esse alor de diferença no URL que ocê fornece (publica) para seus usuários no seguinte formato: <calculated-offset> O link do URL transmite o alor da diferença como um parâmetro HTTP ao submeter o lançamento. Por exemplo, se o seridor estier em Califórnia (Estados Unidos) e os usuários (naegadores do cliente) estão em Tóquio (Japão), publique o seguinte URL para os usuários no Japão: Como alternatia, ocê pode publicar o URL de uma página da Web no seridor da Web utilizado pelo WebSEAL, ou em uma página da Web que é parte de seu portal corporatio. A página da Web apresenta o link para o WebSEAL SSO. A página dee conter uma função JaaScript que calcula a diferença de fuso horário entre o naegador do cliente e o GMT. Depois de clicado, o link dee submeter um pedido HTTP (com o alor de diferença de fuso horário calculado automaticamente transmitido como um parâmetro HTTP) ao seridor Tioli Identity Manager. Isso é similar à solução de URL descrita anteriormente, exceto que o alor da diferença é calculado automaticamente. Procedimento de Configuração 1. Configure o WebSEAL antes de configurar o Tioli Identity Manager: Transmita todos os atributos de domínio em cabeçalhos de cookies Reconheça apenas as cadeias codificadas em UTF-8 2. Atie a funcionalidade de conexão única do WebSEAL definindo a propriedade enrole.ui.ssoenabled como TRUE no arquio ui.properties. O Tioli Identity Manager não exibirá uma página de logon. enrole.ui.ssoenabled = true 3. Por padrão, o objeto Jaa que fornece o mecanismo para conexão única do WebSEAL é especificado no arquio enroleauthentication.properties (nenhuma ação é necessária): enrole.authentication.proider.webseal = factory = com.ibm.enrole.authentication.webseal.websealproiderfactory 4. No arquio enroleauthentication.properties, indique o algoritmo apropriado para mapear o ID do usuário do Tioli Access Manager para um ID do usuário do Tioli Identity Manager: Se o ID do usuário do Tioli Access Manager for igual ao ID do usuário do Tioli Identity Manager: enrole.authentication.idsequal = true Capítulo 5. Configurando Soluções de Conexão Única 93

104 Se o ID do usuário do Tioli Access Manager NÃO for igual ao ID do usuário do Tioli Identity Manager: enrole.authentication.idsequal = false Um algoritmo de mapeamento de identidade interno será utilizado para garantir o sucesso da operação de conexão única. 5. A alteração do alor da sessão de tempo limite do Tioli Identity Manager no descritor de implementação pode criar uma exposição de segurança em um ambiente de estação de trabalho compartilhado. Defina o alor padrão da sessão de tempo limite do Tioli Identity Manager para o seguinte para eitar a exposição de segurança: O tempo limite do Tioli Identity Manager será excedido deido à inatiidade. O tempo limite do Tioli Identity Manager será excedido ao mesmo tempo ou antes do tempo limite do WebSEAL deido à inatiidade. 6. Configure uma junção TCP ou SSL com o Tioli Identity Manager. Para obter informações adicionais, consulte Criando uma Junção do WebSEAL com o Tioli Identity Manager. Configurando a Conexão Única com Seridores de Plug-in do Tioli Access Manager A utilização da autenticação de plug-in do Tioli Access Manager permite que os usuários insiram um único ID do usuário e senha para terem acesso ao Tioli Identity Manager. O plug-in pode ser o plug-in do Tioli Access Manager para seridores da Web ou o plug-in para seridores Edge. Faça o seguinte: 1. Configure o plug-in do Tioli Access Manager para inserir a identidade do usuário autenticado no cabeçalho HTTP i-user. Para obter informações adicionais, consulte as descrições do modelo de configuração único na documentação do Tioli Access Manager para o seridor da Web ou Edge. 2. Configure o arquio ui.properties do Tioli Identity Manager e, como opção, o arquio enroleauthentication.properties. Defina a propriedade enrole.ui.ssoenabled como TRUE no arquio ui.properties; o Tioli Identity Manager não exibirá uma página de logon. Defina a propriedade enrole.authentication.idsequal como FALSE no arquio enroleauthentication.properties se um ID do usuário do Tioli Access Manager não for sempre igual ao ID do usuário do Tioli Identity Manager. Criando uma Junção do WebSEAL com o Tioli Identity Manager Esta seção descree a criação de uma junção do WebSEAL que utiliza uma conexão TCP ou SSL. Antes de configurar uma junção, ocê dee configurar o WebSEAL para: Transmitir todos os atributos de domínio em cabeçalhos de cookies Reconhecer apenas as cadeias codificadas em UTF-8 Criando uma Junção TCP Para criar uma junção TCP com o Tioli Identity Manager, faça o seguinte: 94 IBM Tioli Identity Manager: Guia de Configuração do Seridor

105 Nota: As etapas a seguir deem ser executadas assumindo-se que o WebSEAL já esteja instalado e configurado. Para obter informações adicionais, consulte a documentação de instalação do WebSEAL. 1. Digite pdadmin em um prompt de comandos para iniciar a interface da linha de comandos pdadmin. 2. Digite login no prompt de comandos pdadmin e efetue login com o nome de usuário e a senha do responsáel pela segurança. pdadmin> login 3. Insira o nome do usuário do responsáel pela segurança. Enter User ID: sec_master 4. Insira a senha do responsáel pela segurança. Enter Password: password pdadmin> 5. Determine o nome do WebSEAL Serer definido no Tioli Access Manager. O nome tem o seguinte formato: webseald-shorthostname. Para listar todos os seridores definidos no Tioli Access Manager, insira o seguinte: pdadmin> serer list 6. Crie uma junção do WebSEAL. A sintaxe do comando para criar uma junção do WebSEAL é a seguinte: serer task WebSEALSerer create -t Type -h Hostname -p Portnumber -s -j -c ClientIdentityOptions /JunctionName em que WebSEALSerer é o nome do seridor WebSEAL. Esse exemplo utiliza webseald-drbtest. -t Type Tipo de junção. Especifique tcp. -h Hostname Fully-qualified_hostname -p Portnumber Número da porta. O alor padrão é 80 para uma junção TCP. -s Junção estabelecida. Esse sinalizador é requerido quando os seridores Tioli Identity Manager estão replicados. -j Cookies de junção. Os cookies são utilizados para controlar URLs relatios ao seridor. -c ClientIdentityOptions Escolha um alor que instrua o WebSEAL a inserir a ariáel de cabeçalho HTTP i-user. Por exemplo, i_user. Consulte a documentação de administração do Tioli Access Manager para obter opções completas. /JunctionName Um nome de ponto de junção exclusio Por exemplo, crie uma junção TCP inserindo o seguinte comando em uma linha: pdadmin> serer task webseald-drbtest create -t tcp h drbtest.tioli.com p 8080 s j c i_user /websphere 7. Crie uma ACL (lista de controle de acesso) que requeira acesso autenticado para associar à junção do WebSEAL criada. A sintaxe do comando para criar uma ACL é a seguinte: pdadmin> acl create aclname Capítulo 5. Configurando Soluções de Conexão Única 95

106 Por exemplo: pdadmin> acl create itim-acl 8. Adicione grupos à ACL utilizando a seguinte sintaxe: pdadmin> acl modify aclname set group groupname permissões Por exemplo: pdadmin> acl modify itim-acl set group ITIM-Group Trx pdadmin> acl modify itim-acl set unauthenticated T pdadmin> acl modify itim-acl remoe any-other em que as permissões são as seguintes: Tabela 1. Permissões Permissão T r x Descrição cruzar subdiretórios ler executar 9. Associe a ACL à junção utilizando a seguinte sintaxe: pdadmin> acl attach fulljunctionname aclname Por exemplo: pdadmin> acl attach /WebSEAL/drbtest/websphere/enrole itim-acl 10. Crie uma lista de controle de acesso que permita o acesso não autenticado. Essa ACL está associada a qualquer objeto que o usuário final possa acessar sem efetuar logon. Por exemplo: pdadmin> acl create unprotected-acl 11. Adicione grupos à ACL que requer acesso não autenticado. Utilize a seguinte sintaxe: pdadmin> acl attach fulljunctionname aclname Por exemplo: pdadmin> acl attach /WebSEAL/drbtest/itim/enrole/self_reg unprotected-acl 12. Atualize o arquio ui.properties do Tioli Identity Manager para configurar um dos mecanismos de logoff fornecidos no diretório APP_WEB.war. Os arquios de logoff fornecidos são descritos na tabela a seguir. Os arquios ssologout.jsp e webseallogout.jsp são apenas arquios de amostra que mostram o código de amostra necessário para utilizar o botão de logout da GUI do Tioli Identity Manager quando uma conexão única do WebSEAL está atiada. Você pode editar esses arquios (incluindo o idioma) para executar quaisquer funções apropriadas para o seu ambiente. 96 IBM Tioli Identity Manager: Guia de Configuração do Seridor

107 logoff.html (padrão) Comportamento padrão de logoff do Tioli Identity Manager: SSO Desatiado: Ao efetuar logoff, apresenta a página de logon do Tioli Identity Manager SSO Atiado: Ao efetuar logoff, retorna para a GUI do Tioli Identity Manager, pois as informações sobre autenticação do Tioli Access Manager (no cabeçalho HTTP i-user) ainda estão disponíeis. ssologout.jsp Utilize este arquio de amostra quando desejar o seguinte comportamento combinado em um ambiente de conexão única: Finalize a sessão de logon atual do Tioli Identity Manager e forneça um link para retornar à GUI do Tioli Identity Manager. Permaneça conectado no Tioli Access Manager (as informações do cabeçalho HTTP i-user ainda estão disponíeis). Isso permite, por exemplo, o uso contínuo de uma página do portal ou o retorno ao Tioli Identity Manager sem um prompt de logon. Você pode editar este arquio para personalizar a funcionalidade de logoff de amostra. webseallogout.jsp Utilize este arquio de amostra quando desejar o seguinte comportamento combinado em um ambiente de conexão única: Finalize a sessão de logon do Tioli Identity Manager. Finalize a sessão de logon do Tioli Access Manager (a função pkmslogout é chamada). pkmslogout funciona apenas para clientes que utilizam um mecanismo de autenticação que não fornece dados de autenticação com cada pedido. Por exemplo, pkmslogout não funciona para clientes que utilizando Autenticação Básica, certificados ou informações sobre endereço IP. Nesses casos, ocê precisa fechar o naegador para efetuar logout. A função pkmslogout fornece essas informações ao usuário em uma mensagem que aparece na página de logout. Você pode editar este arquio para personalizar a funcionalidade de logoff de amostra. Por exemplo: enrole.ui.logoffurl=ssologout.jsp 13. Pare e inicie noamente o WebSphere Application Serer para reconhecer a alteração do arquio ui.properties. Criando uma Junção SSL Nota: As etapas a seguir deem ser executadas assumindo-se que o WebSEAL já esteja instalado e configurado. Para obter informações adicionais, consulte a documentação de instalação do WebSEAL. Para criar uma junção SSL com o Tioli Identity Manager, faça o seguinte: 1. Inicie o utilitário ikeyman para o WebSphere Application Serer. 2. Selecione Abrir na tarefa Arquio de Banco de Dados de Chae. Capítulo 5. Configurando Soluções de Conexão Única 97

108 3. Abra o arquio DummySererKeyFile.jks, localizado no diretório WebSphere_root\etc. Um prompt de senha é exibido. Se ocê estier utilizando o arquio fictício, a senha será WebAS. 4. Selecione o certificado websphere dummy serer e clique em Extrair Certificado. 5. No diálogo Extrair Certificado para um Arquio, insira o seguinte: Tipo de dados: Selecione dados ASCII codificados em Base64. Nome do arquio de certificado: Insira o nome do arquio para o certificado. Localização: Insira o caminho do diretório em que o certificado dee ser armazenado. Para esse exemplo, insira WebSphereSererCert.arm para o Nome do arquio de certificado e armazene o certificado no diretório WebSphere_root\etc. 6. Clique em OK. Depois que o certificado é salo, ele precisa ser transferido para o seridor WebSEAL. Se ocê definiu seus próprios arquios de chae para o WebSphere e obtee um certificado de uma CA, dee utilizar o certificado de CA raiz que assinou seu certificado do WebSphere nas etapas a seguir. 7. Feche a GUI WebSphere IBM Key Management. 8. No seridor WebSEAL, inicie o executáel GSKit ikeyman. 9. Selecione Abrir na tarefa Arquio de Banco de Dados de Chae. 10. Este exemplo utiliza o banco de dados padrão do WebSEAL. Naegue até o arquiowebsphere_root\www\certs\pdsr.kdb e clique em Abrir. 11. Digite a senha quando aparecer um diálogo de prompt de senha. (A senha para o banco de dados padrão do WebSEAL é pdsr.) 12. Quando o banco de dados abrir, selecione Certificados do Signatário. 13. Clique em Incluir. O diálogo Incluir Certificado de CA a partir de um Arquio aparece. 14. Faça o seguinte no diálogo para Incluir Certificado de CA a partir de um Arquio: Tipo de dados: Selecione dados ASCII codificados em Base64. Nome do arquio de certificado: Clique em Procurar para naegar até o nome do arquio de certificado. Este exemplo utiliza o arquio WebSphereSererCert.arm, localizado no diretóriowebsphere_root\etc. 15. Clique em OK. Aparece um prompt para ocê digitar um nome de rótulo para armazenar o certificado. Este exemplo utiliza a entrada WAS 5 Serer. 16. Clique em OK. O painel IBM Key Management aparece com uma lista de Certificados de Signatário, incluindo o nome do rótulo que ocê especificou. 17. Feche a GUI GSKit IBM Key Management. 18. Digite pdadmin em um prompt de comandos para iniciar a interface da linha de comandos pdamin. 19. Digite login no prompt de comandos pdadmin e efetue login com o nome de usuário e a senha do responsáel pela segurança. pdadmin> login Enter User ID: sec_master Enter Password: password pdadmin> 20. Determine o nome do WebSEAL Serer definido no Tioli Access Manager. O nome tem o seguinte formato: webseald-shorthostname. Para listar todos os seridores definidos no Tioli Access Manager, insira o seguinte: 98 IBM Tioli Identity Manager: Guia de Configuração do Seridor

109 pdadmin> serer list 21. Crie uma junção do WebSEAL. A sintaxe do comando para criar uma junção do WebSEAL é a seguinte: serer task WebSEALSerer create -t Type -h Hostname -p Portnumber -s -j -c ClientIdentityOptions /JunctionName em que WebSEALSerer é o nome do seridor WebSEAL. Esse exemplo utiliza webseald-drbtest. -t Type Tipo de junção. Especifique ssl. -h Hostname Fully-qualified_hostname -p Portnumber Número da porta. O alor padrão é 9443 para uma junção SSL. -s Junção estabelecida. Esse sinalizador é requerido para melhorar o desempenho quando os seridores Tioli Identity Manager estão replicados. -j Cookies de junção. Os cookies são utilizados para controlar URLs relatios ao seridor. -c ClientIdentityOptions Escolha um alor que instrua o WebSEAL a inserir a ariáel de cabeçalho HTTP i-user. Por exemplo, i_user. Consulte a documentação de administração do Tioli Access Manager para obter opções completas. /JunctionName Um nome de ponto de junção exclusio Por exemplo, crie uma junção SSL inserindo o seguinte comando em uma linha: pdadmin> serer task webseald-drbtest create -t ssl h drbtest.tioli.com p 9443 s j c i_user /websphere 22. Crie uma ACL (lista de controle de acesso) que requeira acesso autenticado para associar à junção do WebSEAL criada. A sintaxe do comando para criar uma ACL é a seguinte: pdadmin> acl create aclname Por exemplo: pdadmin> acl create itim-acl 23. Adicione grupos à ACL utilizando a seguinte sintaxe: pdadmin> acl modify aclname set group groupname permissões em que as permissões são as seguintes: Tabela 2. Permissões Permissão T r x Descrição cruzar subdiretórios ler executar 24. Associe a ACL à junção utilizando a seguinte sintaxe: pdadmin> acl attach fulljunctionname aclname Capítulo 5. Configurando Soluções de Conexão Única 99

110 Por exemplo: pdadmin> acl attach /WebSEAL/drbtest/enrole itim-acl 25. Crie uma lista de controle de acesso que requeira acesso não autenticado. Essa ACL está associada a qualquer objeto que o usuário final possa acessar sem efetuar logon. Por exemplo: pdadmin> acl create unprotected-acl 26. Adicione grupos à ACL que requer acesso não autenticado. Utilize a seguinte sintaxe: pdadmin> acl attach fulljunctionname aclname Por exemplo: pdadmin> acl attach /WebSEAL/drbtest/itim/enrole/self_reg unprotected-acl 27. Atualize o arquio ui.properties do Tioli Identity Manager para configurar um dos mecanismos de logoff fornecidos no diretório APP_WEB.war. Os arquios de logoff fornecidos são descritos na tabela a seguir. Os arquios ssologout.jsp e webseallogout.jsp são apenas arquios de amostra que mostram o código de amostra necessário para utilizar o botão de logout da GUI do Tioli Identity Manager quando uma conexão única do WebSEAL está atiada. Você pode editar esses arquios (incluindo o idioma) para executar quaisquer funções apropriadas para o seu ambiente. logoff.html (padrão) Comportamento padrão de logoff do Tioli Identity Manager: SSO Desatiado: Ao efetuar logoff, apresenta a página de logon do Tioli Identity Manager SSO Atiado: Ao efetuar logoff, retorna para a GUI do Tioli Identity Manager, pois as informações sobre autenticação do Tioli Access Manager (no cabeçalho HTTP i-user) ainda estão disponíeis. ssologout.jsp Utilize este arquio de amostra quando desejar o seguinte comportamento combinado em um ambiente de conexão única: Finalize a sessão de logon atual do Tioli Identity Manager e forneça um link para retornar à GUI do Tioli Identity Manager. Permaneça conectado no Tioli Access Manager (as informações do cabeçalho HTTP i-user ainda estão disponíeis). Isso permite, por exemplo, o uso contínuo de uma página do portal ou o retorno ao Tioli Identity Manager sem um prompt de logon. Você pode editar este arquio para personalizar a funcionalidade de logoff de amostra. 100 IBM Tioli Identity Manager: Guia de Configuração do Seridor

111 webseallogout.jsp Utilize este arquio de amostra quando desejar o seguinte comportamento combinado em um ambiente de conexão única: Finalize a sessão de logon do Tioli Identity Manager. Finalize a sessão de logon do Tioli Access Manager (a função pkmslogout é chamada). pkmslogout funciona apenas para clientes que utilizam um mecanismo de autenticação que não fornece dados de autenticação com cada pedido. Por exemplo, pkmslogout não funciona para clientes que utilizando Autenticação Básica, certificados ou informações sobre endereço IP. Nesses casos, ocê precisa fechar o naegador para efetuar logout. A função pkmslogout fornece essas informações ao usuário em uma mensagem que aparece na página de logout. Você pode editar este arquio para personalizar a funcionalidade de logoff de amostra. Por exemplo: enrole.ui.logoffurl=ssologout.jsp 28. Pare e inicie noamente o WebSphere Application Serer para reconhecer a alteração do arquio ui.properties. Especificando o URL para uma Junção A junção do WebSEAL modifica o URL necessário para acessar o produto Tioli Identity Manager. A sintaxe do noo URL é uma das seguintes: Por exemplo, utilize: Capítulo 5. Configurando Soluções de Conexão Única 101

112 102 IBM Tioli Identity Manager: Guia de Configuração do Seridor

113 Capítulo 6. Personalizando a Interface com o Usuário Este capítulo contém informações para ajudar a personalizar a GUI do Tioli Identity Manager. As personalizações podem incluir a adição de um logotipo da empresa, a modificação de fontes e cores e a definição de listas de exibições. Consulte também UI.properties em Capítulo 3, Configurando Propriedades Suplementares, na página 47. Índice de Tópico: Logotipo Personalizado Logotipo Personalizado na página 103 Atributos Personalizados da Exibição na página 103 A GUI do Tioli Identity Manager pode exibir o logotipo de uma empresa no canto superior direito de todas as páginas. O logotipo também pode ser inculado a um URL. Por padrão, um logotipo da IBM (IBM_banner.gif ) é exibido e faz referência a um Web site da IBM. Os administradores do sistema podem adicionar logotipos de suas empresas, executando os seguintes procedimentos. Para Adicionar um Logotipo ao Sistema do Tioli Identity Manager 1. Copie uma ersão GIF do logotipo da empresa para a seguinte localização: WebSphere/AppSerer/installedApps/enrole.ear/enrole.war/images 2. Inicie a Ferramenta de Configuração do Sistema. Consulte Capítulo 1, Utilizando a Ferramenta de Configuração do Sistema (runconfig), na página 1 para obter informações adicionais. 3. Clique na guia UI. 4. Digite o nome do arquio GIF no campo de texto Logotipo do Cliente. 5. Opcional: Digite um URL no campo de texto Link de Logotipo do Cliente para efetuar o link do logotipo a um Web site. 6. Clique em OK. As modificações são salas e a Ferramenta de Configuração do Sistema é fechada. Atributos Personalizados da Exibição A GUI do Tioli Identity Manager pode ser personalizada para utilizar fontes e cores da empresa e exibir itens limitados por página. Inicie noamente o sistema após quaisquer alterações. Personalizando Fontes e Cores As fontes e cores do sistema utilizadas pela GUI podem ser personalizadas modificando alores no arquio Styles.css, localizado na seguinte pasta (WebSphere 5.0.2): <WAS_HOME>/AppSerer/installedApps/<serer-name>/enrole.ear/app_web.war/en Copyright IBM Corp

114 Personalizando Exibições de Listas Muitas das páginas da GUI do Tioli Identity Manager listam itens em um níel específico. Essas páginas de lista podem ser configuradas para exibir um número definido de itens por página e um número definido de links para páginas de continuação das listas. Por padrão, são listados no máximo dez (10) itens por página e são exibidos no máximo dez (10) links por página. Estes dois parâmetros são configurados em duas localizações diferentes. O número de itens por página em uma lista é definido utilizando a Ferramenta de Configuração do Sistema. O número de links para páginas de continuação é definido no arquio ui.properties, localizado na pasta ${ITIM_HOME}/data. Para Definir o Número Máximo de Itens por Página 1. Inicie a Ferramenta de Configuração do Sistema. Consulte Capítulo 1, Utilizando a Ferramenta de Configuração do Sistema (runconfig), na página 1 para obter informações adicionais. 2. Clique na guia UI. 3. Digite o número de itens a serem exibidos por página no campo de texto Listar Tamanho da Página. 4. Clique em OK. As modificações são salas e a Interface com o Usuário de Configuração do Sistema é fechada. Para Definir o Número Máximo de Links por Página 1. Efetue login no sistema em que o Tioli Identity Manager Serer está instalado. 2. Altere para a pasta de dados. 3. Abra o arquio ui.properties em um editor de texto. 4. Altere o alor de enrole.ui.pagelinkmax para o alor desejado. O exemplo a seguir corresponde a esta propriedade no arquio: # number of page links to be shown for multi-page result sets enrole.ui.pagelinkmax=10 5. Sale e feche o arquio ui.properties. As definições alteradas aparecem imediatamente na interface com o usuário do sistema. 104 IBM Tioli Identity Manager: Guia de Configuração do Seridor

115 Capítulo 7. Configurando Mensagem de O Tioli Identity Manager Serer automaticamente gera e enia para informar usuários de processos concluídos, pedidos e outras mensagens do sistema. O formato e a freqüência dessa notificação podem ser configurados. Índice de Tópico: Personalização de Gabarito de na página 105 Alertas de Notificação de Erro na página 105 Recuperação de Noas Senhas na página 108 Personalização de Gabarito de O Tioli Identity Manager Serer utiliza um arquio HTML (hypertext markup language) estático como um gabarito genérico para todas as mensagens de padrão relacionadas a processos de workflow no sistema. Esse arquio controla as informações exibidas na mensagem de e como as informações são exibidas. O arquio HTML chama-se notifytemplate.html e está localizado no diretório ${ITIM_HOME}/data/workflow_systemprocess. Com exceção das três ariáeis que começam com o sinal de dólar ( $ ), todos os outros atributos no arquio HTML podem ser modificados. As três ariáeis são: $TITLE $BODY $BASE_URL Atributos comuns a serem modificados são a cor do plano de fundo e os atributos da tabela, como tamanho e cor da célula. Alertas de Notificação de Erro Por padrão, o Tioli Identity Manager Serer enia todos os eentos de registro e mensagens de erro ao WebSphere Application Serer para rastreamento. No entanto, como o Tioli Identity Manager Serer utiliza Log4j para registrar eentos, o sistema pode ser modificado para eniar notificações de a administradores do sistema, adicionando ou modificando o componente de geração de anexos do Log4j. O Log4j fornece árias classes de geração de anexos; cada classe utiliza os métodos getter e setter do estilo JaaBean para configurar as propriedades correspondentes. Consulte o seguinte Web site do Log4j para obter informações adicionais sobre o Log4j e seus componentes: Nota: A documentação do Log4j está em formato JaaDoc. Você dee estar familiarizado com o formato JaaDoc para conseguir naegar pela documentação do Log4j. Copyright IBM Corp

116 As propriedades de registro são definidas no arquioenrolelogging.properties. O exemplo a seguir descree como configurar os recursos de registro no Tioli Identity Manager Serer para eniar notificações por quando um erro fatal for detectado. Exemplo do Gerador de Anexos O Log4j utiliza um Gerador de Anexos SMTP para eniar mensagens de erro a endereços de . Dessa forma, um Gerador de Anexos SMTP dee ser definido antes do Log4j poder ser configurado para eniar notificações por . O exemplo a seguir corresponde a um gerador de anexos SMTP: #SMTP Appender used to send errors to addresses. log4j.appender. =org.apache.log4j.net.smtpappender log4j.appender. .smtphost=enabl ser log4j.appender. [email protected] log4j.appender. .buffersize=50 log4j.appender. .layout=org.apache.log4j.patternlayout log4j.appender. .layout.conersionpattern=<%d> [%t] <%c> %m \n Esse exemplo inclui o seguinte: Nome do noo gerador de anexos e o gerador de anexos é definido como tiposmtpappender. SMTPHost Nome do seridor de correio a ser utilizado ao eniar a mensagem de . To Endereço de que recebe as mensagens de erro. BufferSize Número de eentos de um log de eentos que é eniado na mensagem de . Se BufferSize não for definido, o alor padrão será 512. layout, layout.conersionpattern Classes necessárias. Essas duas classes definem o que é exibido na mensagem de . O exemplo anterior exibe a data, o nome do encadeamento que gerou o eento de registro, a categoria do eento de registro, a mensagem associada ao eento de registro que o Tioli Identity Manager Serer gerou e um aanço de linha. Exemplo de Uso do Gerador de Anexos O exemplo do gerador de anexos é chamado definindo a configuração de categoria para utilizar o gerador de anexos. A seguir há um exemplo de como o exemplo de gerador de anexos anterior pode ser utilizado: log4j.rootcategory=fatal, log4j.category.com.ibm.enrole=info log4j.additiity.com.ibm.enrole=false Cada uma dessas linhas especifica para onde a mensagem de erro é eniada. O formato básico para cada uma dessas linhas é: category=priority, appender em que: category Nome da categoria 106 IBM Tioli Identity Manager: Guia de Configuração do Seridor

117 priority Níel ou prioridade de erros a ser registrado A prioridade é uma definição opcional. A prioridade pode ser deixada em branco, ser definida como INHERIT ou ser explicitamente definida. Se nenhuma prioridade for definida, a definição de prioridade padrão será DEBUG. Se a prioridade for definida como INHERIT, o níel de prioridade será definido como o mesmo níel que a prioridade da categoria pai. A prioridade também pode ser explicitamente definida utilizando um dos seguintes termos: INFO Designa mensagens informatias que realçam o progresso do aplicatio em um níel grosseiro. WARN Designa situações potencialmente prejudiciais. ERROR Designa eentos de erro que ainda permitem ao aplicatio continuar em execução, mas o processo falha. FATAL Designa eentos de erros graes que resultam na falha do aplicatio. appender Nome do gerador de anexos a ser utilizado para os erros especificados. Mais de um gerador de anexos pode ser utilizado, listando os gerados de anexo e separando cada um deles com uma írgula (,). Consulte o Web site do Log4j para obter informações adicionais sobre os níeis de prioridade. As linhas de exemplo incluem o seguinte: log4j.rootcategory=fatal, Essa linha especifica que todas as mensagens de erro de prioridade FATAL utilizarão o gerador de anexos para registrar erros. Como o gerador de anexos especifica que os erros que o utilizam dee ser eniados por para um endereço específico, todas as mensagens de erro FATAL são eniadas por ao endereço designado. Se esta for a única linha definida para a categoria, todas as outras mensagens de erro também deem ser registradas utilizando o gerador de anexos , uma ez que essa é a categoria raiz. log4jcategory.com.ibm.enrole=info Essa linha especifica que todas as mensagens de erro de prioridade INFO utilizarão o gerador de anexos WebSphere para registrar erros. O gerador de anexos WebSphere é predefinido do software e é o gerador de anexos padrão utilizado para todas as mensagens de erro. Essa linha também define a granularidade do registro. No entanto, essa linha também herda as propriedades rootcategory, a menos que a capacidade de adição seja false. log4j.additiity.com.ibm.enrole=false Essa linha permite a granularidade específica de registro, permitindo que sejam eniadas mensagens com prioridade INFO ao gerador de anexos do WebSphere sem que sejam eniadas ao gerador de anexos . A capacidade de adição define se uma classe herda ou não as propriedades de sua classe pai. Se a capacidade de adição foi definida como true ou não foi definida, os erros INFO herdarão as propriedades de rootcategory. Capítulo 7. Configurando Mensagem de 107

118 A granularidade adicional de registro pode ser definida especificando outros geradores de anexos e usos de categoria. As categorias adicionais estão disponíeis no arquio enrolelogging.properties. Essas categorias são comentadas atualmente. Recuperação de Noas Senhas Quando uma noa conta é adicionada a uma pessoa, a pessoa pode recuperar a senha da conta de uma das duas maneiras a seguir: Por um que contém a senha em texto legíel Em um URL que é acessado utilizando o segredo compartilhado da pessoa A configuração padrão do Tioli Identity Manager Serer é eniar por a senha da conta à pessoa. Para configurar o sistema a fim de eniar um URL para a pessoa recuperar a senha, a propriedade enrole.workflow.notifypassword dee ser modificada no arquio enrole.properties. Para configurar o Tioli Identity Manager Serer a fim de eniar um à pessoa com uma senha em texto legíel, a propriedade enrole.workflow.notifypassword dee ser true. Para configurar o Tioli Identity Manager Serer a fim de eniar um à pessoa um URL para recuperar a senha, a propriedade enrole.workflow.notifypassword dee ser false. Propriedade Definição Procedimento enrole.workflow.notifypassword true Notifica o proprietário da conta da noa senha em texto legíel em uma mensagem de . false Fornece ao proprietário da conta um URL e um ID de transação para selecionar uma noa senha. O proprietário dee fornecer um segredo compartilhado para selecioná-la. 108 IBM Tioli Identity Manager: Guia de Configuração do Seridor

119 Capítulo 8. Configurando o Dicionário de Senhas e as Contas Excluídas Índice de Tópico: Dicionário de Senhas Dicionário de Senhas na página 109 Exclusão da Conta de Reconciliação na página 110 O Tioli Identity Manager Serer pode ser configurado para preenir que usuários utilizem palaras específicas como senhas para suas contas. Essas palaras são armazenadas em um dicionário de senhas no Seridor de Diretórios do LDAP. Esse dicionário de senha contém uma lista de palaras que não podem ser utilizadas como senhas. Esse dicionário pode ser modificado por um naegador de LDAP, criando entradaserdictionaryitem sob a entrada erdictionaryname=<password> ou importando um arquio LDAP com as entradas listadas no Seridor de Diretórios. O exemplo a seguir é um arquio LDIF com árias palaras a serem excluídas como senhas listadas: dn: erword=apple, erdictionaryname=password, ou=itim, dc=com objectclass: parte superior objectclass: erdictionaryitem erword: apple dn: erword=orange, erdictionaryname=password, ou=itim, dc=com objectclass: parte superior objectclass: erdictionaryitem erword: orange O único alor que dee ser modificado é o alor de erword. O alor de erword especifica a palara que não pode ser utilizada como uma senha. Nota: A linha final no arquio LDIF dee ser seguida por um retorno de carro para a entrada a ser reconhecida. Depois que o dicionário de senha for preenchido com as palaras desejadas, os critérios de senha deem ser modificados para utilizar o dicionário. Consulte otioli Identity Manager: Guia de Administração de Critérios e Organizações para obter informações adicionais sobre como modificar critérios de senha. Adicionando Palaras ao Dicionário de Senhas Para adicionar palaras ao dicionário de senhas, faça o seguinte: 1. Crie um arquio LDIF especificando as palaras a serem adicionadas ao dicionário de senhas. 2. Importe o arquio LDIF para o Seridor de Diretórios do LDAP. Copyright IBM Corp

120 Exclusão da Conta de Reconciliação Durante reconciliações, todas as contas são retornadas do recurso gerenciado, a menos que especificado o contrário por uma consulta. As contas serão automaticamente adotadas se pertencerem a um usuário reconhecido no sistema ou se existir um alias para qualquer uma das contas. No entanto, o Tioli Identity Manager Serer pode ser configurado para preenir a adoção automática de contas especificadas. Esse recurso pode ser utilizado para preenir que contas do sistema, comoroot, lp, sys e etc em recursos do UNIX, sejam automaticamente adotadas. Isso preine que os usuários adotem ou modifiquem contas sensíeis acidental ou propositadamente. Embora essas contas não sejam automaticamente adotadas, ainda podem ser manualmente adotadas por um usuário administratio. As contas a serem excluídas das reconciliações são especificadas em um arquio LDIF. O exemplo a seguir corresponde a entradas em um arquio LDIF: dn: ou=excludeaccounts, ou=itim, ou=itim, dc=com ou: excludeaccounts objectclass: parte superior objectclass: organizationalunit dn: cn=solarisprofile, ou=excludeaccounts, ou=itim, ou=itim, dc=com erobjectprofilename: SolarisProfile objectclass: parte superior objectclass: eridentityexclusion cn: SolarisProfile eraccountid: root eraccountid: admin O cn e erobjectprofilename são o nome do perfil de seriço. As contas excluídas são definidas pelo atributo eraccountid. O exemplo exclui as contas root e admin de serem adotadas automaticamente quando uma reconciliação é executada em um seriço Solaris. Selecionando Contas a Serem Excluídas de Reconciliações Para selecionar contas a serem excluídas de reconciliações, faça o seguinte: 1. Crie um arquio LDIF especificando as contas a serem excluídas da reconciliação e os seriços em que essas contas existem. 2. Importe o arquio LDIF para o Seridor de Diretórios do LDAP. Consulte também Informações sobre Reconciliação no Capítulo 3, Configurando Propriedades Suplementares, na página IBM Tioli Identity Manager: Guia de Configuração do Seridor

121 Apêndice A. Instalando e Utilizando o Sincronizador ACI O Sincronizador ACI oferece segurança aançada do processo de relatório Ad-Hoc do Tioli Identity Manager. No contexto de relatórios Ad-Hoc, o Sincronizador ACI oferece sincronização em tempo real de informações ACI entre o seridor de diretórios do Tioli Identity Manager e o banco de dados do Tioli Identity Manager. O Sincronizador ACI é um componente separado e opcional que pode ser configurado após a instalação do Tioli Identity Manager. A sincronização de ACI não é pré-requisito para relatórios Ad-Hoc, a menos que ocê requeira que a sincronização de ACIs seja feita praticamente em tempo real. Para obter informações completas sobre a criação de relatórios Ad-Hoc, consulte o capítulo Reports no IBM Tioli Identity Manager Policy and Organization Administration Guide. Índice de Tópico: Informações Básicas para Sincronização de ACI na página 112 Atiando o Log de Alterações do Seridor de Diretórios na página 112 Opções de Instalação do Sincronizador ACI na página 113 Instalando o Sincronizador ACI no WebSphere/UNIX na página 113 Instalando o Sincronizador ACI no WebSphere/Windows na página 115 Instalando o Sincronizador ACI no WebLogic/UNIX na página 117 Instalando o Sincronizador ACI no WebLogic/Windows na página 119 Iniciando o Sincronizador ACI na página 121 Copyright IBM Corp

122 Informações Básicas para Sincronização de ACI O seridor Tioli Identity Manager permite que os administradores do sistema criem noos relatórios Ad-Hoc ou importem relatórios criados utilizando ferramentas de terceiros. Todos os relatórios Ad-Hoc são armazenados nas tabelas de relatórios, no banco de dados do Tioli Identity Manager. O acesso ao sistema de relatórios, incluindo a capacidade de projetar e executar relatórios, é protegido por meio dos recursos existentes da ACI do Tioli Identity Manager. A criação de um relatório Ad-Hoc consiste nas seguintes etapas: 1. Mapear atributos para relatórios no Schema Designer. 2. Migrar dados utilizando o componente Sincronizar Dados. 3. Projetar relatórios utilizando o Report Designer ou importar relatórios criados utilizando ferramentas de terceiros. 4. Conceder acesso para o relatório aos usuários. O componente Sincronizar Dados do Tioli Identity Manager é responsáel pela migração de dados do seridor de diretórios do Tioli Identity Manager. As alterações feitas no Schema Designer ficam isíeis no Report Designer apenas após a conclusão da sincronização dos dados. O componente de migração de dados do Tioli Identity Manager interage com o Sincronizador ACI para detectar todas as alterações de ACI que ocorrem no seridor de diretórios do Tioli Identity Manager. A sincronização de ACI é um subconjunto de sincronização de dados. O objetio do Sincronizador ACI é garantir a consistência de quaisquer alterações de ACI entre o seridor de diretórios do Tioli Identity Manager e as tabelas de relatórios migradas no banco de dados do Tioli Identity Manager. As ACIs adequadas para usuários não-administratios são reforçadas nos dados de relatório. Ao permitir que a sincronização de ACI opere com mais freqüência, será menos proáel que as alterações nas informações da conta do usuário resultem em erros temporários na interpretação adequada de permissões para o processo do relatório Ad-Hoc. Função do Log de Alterações de ACI O Sincronizador ACI utiliza um mecanismo conhecido como o log de alterações, um recurso fornecido pelo seridor de diretórios. O log de alterações é um histórico de alterações mantido pelo diretório de usuários. O IBM Directory Serer e o Sun ONE Directory Serer podem ser configurados para registrar alterações de dados em um nó de diretório chamado: cn=changelog O Sincronizador ACI lê esse nó de diretório e seleciona as entradas de alterações de ACI necessárias para sincronizar dados com tabelas de banco de dados migradas. O Sincronizador ACI utiliza somente entradas não processadas do log de alterações. Atiando o Log de Alterações do Seridor de Diretórios Para atiar o log de alterações do seridor de diretórios específico utilizando pelotioli Identity Manager, consulte a documentação adequada oferecida pelo fornecedor desse seridor de diretórios. Nota: Para o IBM Directory Serer, é importante aumentar o Tamanho do Heap do Aplicatio padrão do banco de dados DB2 (utilizado pelo IBM Directory 112 IBM Tioli Identity Manager: Guia de Configuração do Seridor

123 Serer para armazenar entradas do log de alterações) para um número como Consulte os manuais do DB2 para modificar o tamanho do heap do aplicatio. Opções de Instalação do Sincronizador ACI Selecione uma das seções de instalação a seguir que seja adequada para seu seridor de aplicatios e sua plataforma: Instalando o Sincronizador ACI no WebSphere/UNIX na página 113 Instalando o Sincronizador ACI no WebSphere/Windows na página 115 Instalando o Sincronizador ACI no WebLogic/UNIX na página 117 Instalando o Sincronizador ACI no WebLogic/Windows na página 119 Instalando o Sincronizador ACI no WebSphere/UNIX O Sincronizador ACI pode ser instalado no mesmo computador que o WebSphere Application Serer, ou em um computador separado. É recomendado instalar o Sincronizador ACI em um computador separado. Instruções para os dois tipos de instalação estão incluídas nesta seção. Instalação de Computador Separado Os procedimentos a seguir descreem a instalação do Sincronizador ACI em um computador separado do WebSphere Application Serer. Nota: <itimri_aci_synchronizer_computer> é o computador em que o Sincronizador ACI está sendo instalado. <tim_computer> é o computador em que o Tioli Identity Manager foi instalado. 1. Copie o diretório itim45 a partir de <tim_computer> para <itimri_aci_synchronizer_computer>. 2. Copie o diretório jaa do diretório WebSphere/AppSerer no <tim_computer> para o diretório itim45 no <itimri_aci_synchronizer_computer>. 3. Crie um diretório chamado websphere_lib no diretório itim45 do <itimri_aci_synchronizer_computer>. 4. Copie todos os arquios e pastas do diretório WebSphere/AppSerer/lib no <tim_computer> para o diretório itim45/websphere_lib no <itimri_aci_synchronizer_computer>. 5. Copie o arquio app_ejb.jar do diretório WebSphere/AppSerer/installedApps/<computer_name>/enRole.ear no <tim_computer> para o diretório itim45/lib no <itimri_aci_synchronizer_computer>. O <computer_name> geralmente é o nome do computador em que o Tioli Identity Manager Serer está instalado. É o alor determinado durante a instalação do Tioli Identity Manager. Esse nome pode ser encontrado no caminho de diretório, no diretório de instalação do WebSphere em que enrole.ear existe (/usr/websphere/appserer/installedapps/<computer_name>/enrole.ear). 6. Copie o arquio implfactory.properties do diretório WebSphere/AppSerer/properties no <tim_computer> para o diretório itim45/data no <itimri_aci_synchronizer_computer>. 7. Crie um diretório chamado logs em itim45 no <itimri_aci_synchronizer_computer>. Apêndice A. Instalando e Utilizando o Sincronizador ACI 113

124 8. Atie o processamento changelog em adhocreporting.properties no <tim_computer> como segue: a. Defina changelogenabled=true no arquio adhocreporting.properties no diretório data da instalação do Tioli Identity Manager Serer. b. Defina changelogbasedn=<changelog_base_dn> no arquio adhocreporting.properties no diretório data da instalação do Tioli Identity Manager Serer. O <changelog_base_dn> é o DN base que contém as estradas de changelog no seridor de diretório. Por exemplo: changelogbasedn=cn=changelog 9. Modifique o arquio enrole.properties no diretório itim45/data no <itimri_aci_synchronizer_computer> da seguinte forma: enrole.appserer.url=iiop://<itim_serer_computer_name>: Modifique o arquio enroledatabase.properties no diretório itim45/data no <itimri_aci_synchronizer_computer> para incluir os detalhes do banco de dados do Tioli Identity Manager. 11. Modifique o arquio enroleldapconnection.properties no diretório itim45/data no <itimri_aci_synchronizer_computer para incluir os detalhes do seridor de diretórios do Tioli Identity Manager. 12. Modifique o arquio enrolelogging.properties no diretório itim45/data no <itimri_aci_synchronizer_computer da seguinte forma: log4j.appender.logger.file=<path_to_itim>.log O caminho do arquio itim.log é itim45/logs/itim.log. O diretório logs foi criado em uma etapa anterior. Por exemplo: log4j.appender.logger.file=/home/itim45/logs/itim.log 13. Se o banco de dados utilizado pelo Tioli Identity Manager for DB2, copie o arquio db2jaa.zip do diretório SQLLIB/jaa12 no <tim_computer> para o diretório itim45/lib no <itimri_aci_synchronizer_machine>. 14. Para os dois arquios a seguir, modifique a ariáel ITIM_HOME para apontar o diretório itim45: startacisynchronizationcmd_was.sh startacisynchronizationui_was.sh Por exemplo: ITIM_HOME = /home/itim45 Esses arquios podem ser encontrados no diretório itim45/bin/unix. Mesma Instalação do Computador Os procedimentos a seguir descreem a instalação do Sincronizador ACI no mesmo computador do WebSphere Application Serer. 1. Copie o diretório jaa do diretório WebSphere/AppSerer para o diretório itim Crie um diretório chamado websphere_lib no diretório itim Copie todos os arquios e pastas do diretório WebSphere/AppSerer/lib para o diretório itim45/websphere_lib. 4. Copie o arquio app_ejb.jar de WebSphere/AppSerer/installedApps/<computer_name>/enRole.ear para o diretório itim45/lib. O <computer_name> geralmente é o nome do computador em que o Tioli Identity Manager Serer está instalado. Esse alor é fornecido durante a 114 IBM Tioli Identity Manager: Guia de Configuração do Seridor

125 instalação do Tioli Identity Manager. Esse nome pode ser encontrado no caminho de diretório, no diretório de instalação do WebSphere em que enrole.ear existe (/usr/websphere/appserer/installedapps/<computer_name>/enrole.ear). 5. Copie o arquio implfactory.properties de WebSphere/AppSerer/properties para o diretório itim45/data. 6. Atie o processamento changelog em adhocreporting.properties como segue: a. Defina changelogenabled=true no arquio adhocreporting.properties no diretório itim45/data. b. Defina changelogbasedn=<changelog_base_dn> no arquio adhocreporting.properties no diretório itim45/data. O <changelog_base_dn> é o DN base que contém as estradas de changelog no seridor de diretório. Por exemplo: changelogbasedn=cn=changelog 7. Se o banco de dados utilizado por Tioli Identity Manager for DB2, copie o arquio db2jaa.zip do diretório SQLLIB/jaa12 para o diretório itim45/lib. Instalando o Sincronizador ACI no WebSphere/Windows O Sincronizador ACI pode ser instalado no mesmo computador que o WebSphere Application Serer, ou em um computador separado. É recomendado instalar o Sincronizador ACI em um computador separado. Instruções para os dois tipos de instalação estão incluídas nesta seção. Instalação de Computador Separado Os procedimentos a seguir descreem a instalação do Sincronizador ACI em um computador separado do WebSphere Application Serer. Nota: <itimri_aci_synchronizer_computer> é o computador em que o Sincronizador ACI está sendo instalado. <tim_computer> é o computador em que o Tioli Identity Manager foi instalado. 1. Copie o diretório itim45 a partir de <tim_computer> para <itimri_aci_synchronizer_computer>. 2. Copie o diretório jaa do diretório WebSphere\AppSerer no <tim_computer> para o diretório itim45 no <itimri_aci_synchronizer_computer>. 3. Crie um diretório chamado websphere_lib no diretório itim45 do <itimri_aci_synchronizer_computer>. 4. Copie todos os arquios e pastas do diretório WebSphere\AppSerer\lib no <tim_computer> para o diretório itim45\websphere_lib no <itimri_aci_synchronizer_computer>. 5. Copie o arquio app_ejb.jar do diretório WebSphere\AppSerer\installedApps\<computer_name>\enRole.ear no <tim_computer> para o diretório itim45\lib no <itimri_aci_synchronizer_computer>. O <computer_name> geralmente é o nome do computador em que o Tioli Identity Manager Serer está instalado. Esse alor é fornecido durante a instalação do Tioli Identity Manager. Esse nome pode ser encontrado no caminho de diretório, no diretório de instalação do WebSphere em que enrole.ear existe (C:\Arquios de programas\websphere\appserer\installedapps\<computer_name>\enrole.ear). Apêndice A. Instalando e Utilizando o Sincronizador ACI 115

126 6. Copie o arquio implfactory.properties do WebSphere\AppSerer\properties no <tim_computer> para o diretório itim45\data no <itimri_aci_synchronizer_computer>. 7. Crie um diretório chamado logs em itim45 no <itimri_aci_synchronizer_computer>. 8. Atie o processamento changelog em adhocreporting.properties no <tim_computer> como segue: a. Defina changelogenabled=true no arquio adhocreporting.properties no diretório data da instalação do Tioli Identity Manager Serer. b. Defina changelogbasedn=<changelog_base_dn> no arquio adhocreporting.properties no diretório data da instalação do Tioli Identity Manager Serer. O <changelog_base_dn> é o DN base que contém as estradas de changelog no seridor de diretório. Por exemplo: changelogbasedn=cn=changelog 9. Modifique o arquio enrole.properties no diretório itim45\data no <itimri_aci_synchronizer_computer> da seguinte forma: enrole.appserer.url=iiop://<itim_serer_computer_name>: Modifique o arquio enroledatabase.properties no diretório itim45\data no <itimri_aci_synchronizer_computer> para incluir os detalhes do banco de dados do Tioli Identity Manager. 11. Modifique o arquio enroleldapconnection.properties no diretório itim45\data no <itimri_aci_synchronizer_computer> para incluir os detalhes do seridor de diretórios do Tioli Identity Manager. 12. Modifique o arquio enrolelogging.properties no diretório itim45\data no <itimri_aci_synchronizer_computer> da seguinte forma: log4j.appender.logger.file=<path_to_itim>.log O caminho do arquio itim.log é itim45\logs\itim.log. O diretório logs foi criado em uma etapa anterior. Por exemplo: log4j.appender.logger.file=c:\\itim45\logs\itim.log 13. Se o banco de dados utilizado pelo Tioli Identity Manager for DB2, copie o arquio db2jaa.zip do diretório SQLLIB/jaa12 no <tim_computer> para o diretório itim45/lib no <itimri_aci_synchronizer_machine>. 14. Para os dois arquios a seguir, modifique a ariáel ITIM_HOME para apontar o diretório itim45: startacisynchronizationcmd_was.bat startacisynchronizationui_was.bat Por exemplo: set ITIM_HOME = C:\itim45 Esses arquios podem ser encontrados no diretório itim45\bin\win. Mesma Instalação do Computador Os procedimentos a seguir descreem a instalação do Sincronizador ACI no mesmo computador do WebSphere Application Serer. 1. Copie o diretório jaa do diretório WebSphere/AppSerer para o diretório itim Crie um diretório chamado websphere_lib no diretório itim Copie todos os arquios e pastas do diretório WebSphere/AppSerer/lib para o diretório itim45\websphere_lib. 116 IBM Tioli Identity Manager: Guia de Configuração do Seridor

127 4. Copie o arquio app_ejb.jar de WebSphere\AppSerer\installedApps\<computer_name>\enRole.ear para o diretório itim45\lib. O <computer_name> geralmente é o nome do computador em que o Tioli Identity Manager Serer está instalado. É o alor determinado durante a instalação do Tioli Identity Manager. Esse nome pode ser encontrado no caminho de diretório, no diretório de instalação do WebSphere em que enrole.ear existe (C:\Arquios de programas\websphere\appserer\installedapps\<computer_name>\enrole.ear). 5. Copie o arquio implfactory.properties de WebSphere\AppSerer\properties para o diretório itim45\data. 6. Atie o processamento changelog em adhocreporting.properties como segue: a. Defina changelogenabled=true no arquio adhocreporting.properties no diretório itim45\data. b. Defina changelogbasedn=<changelog_base_dn> no arquio adhocreporting.properties no diretório itim45\data. O <changelog_base_dn> é o DN base que contém as estradas de changelog no seridor de diretório. Por exemplo: changelogbasedn=cn=changelog 7. Se o banco de dados utilizado por Tioli Identity Manager for DB2, copie o arquio db2jaa.zip do diretório SQLLIB\jaa12 para o diretório itim45/lib. Instalando o Sincronizador ACI no WebLogic/UNIX O Sincronizador ACI pode ser instalado no mesmo computador que o WebLogic Application Serer, ou em um computador separado. É recomendado instalar o Sincronizador ACI em um computador separado. Instruções para os dois tipos de instalação estão incluídas nesta seção. Instalação de Computador Separado Os procedimentos a seguir descreem a instalação do Sincronizador ACI em um computador separado do WebLogic Application Serer. Nota: <itimri_aci_synchronizer_computer> é o computador em que o Sincronizador ACI está sendo instalado. <tim_computer> é o computador em que o Tioli Identity Manager foi instalado. 1. Copie o diretório itim45 a partir de <tim_computer> para <itimri_aci_synchronizer_computer>. 2. Crie um diretório chamado jaa_lib no diretório itim45 do <itimri_aci_synchronizer_computer>. 3. Copie o conteúdo do diretório jdk131_06 do diretório bea no <tim_computer> para o diretório itim45/jaa no <itimri_aci_synchronizer_computer>. 4. Copie o arquio weblogic.jar do diretório bea/weblogic700/serer/lib no <tim_computer> para o diretório itim45/lib no <itimri_aci_synchronizer_computer>. 5. Crie um diretório chamado logs no diretório itim45 do <itimri_aci_synchronizer_computer>. 6. Atie o processamento changelog em adhocreporting.properties no <tim_computer> como segue: a. Defina changelogenabled=true no arquio adhocreporting.properties no diretório itim45/data no <tim_computer>. Apêndice A. Instalando e Utilizando o Sincronizador ACI 117

128 b. Defina changelogbasedn=<changelog_base_dn> no arquio adhocreporting.properties no diretório itim45/data no <tim_computer>. O <changelog_base_dn> é o DN base que contém as estradas de changelog no seridor de diretório. Por exemplo: changelogbasedn=cn=changelog 7. Modifique o arquio enrole.properties no diretório itim45/data no <itimri_aci_synchronizer_computer> da seguinte forma: enrole.appserer.url=t3://<tim_serer_computer_name>:<tim_serer_port> <tim_serer_computer_name> é o nome do <tim_computer>. <tim_serer_port> é a porta na qual o Tioli Identity Manager está em execução. Nota: O número da porta é importante. Se não for fornecido, o aplicatio tentará se conectar à porta 7001, que é a porta padrão do WebLogic. 8. Modifique o arquio enroledatabase.properties no diretório itim45/data no <itimri_aci_synchronizer_computer> para incluir os detalhes do banco de dados do Tioli Identity Manager. 9. Modifique o arquio enroleldapconnection.properties no diretório itim45/data no <itimri_aci_synchronizer_computer> para incluir os detalhes do seridor de diretórios do Tioli Identity Manager. 10. Modifique o arquio enrolelogging.properties no diretório itim45/data no <itimri_aci_synchronizer_computer> da seguinte forma: log4j.appender.logger.file=<path_to_itim>.log O caminho do arquio itim.log é itim45/logs/itim.log. O diretório logs foi criado em uma etapa anterior. Por exemplo: log4j.appender.logger.file=/home/itim45/logs/itim.log 11. Para os dois arquios a seguir, modifique a ariáel ITIM_HOME para apontar o diretório itim45: startacisynchronizationcmd_wls.sh startacisynchronizationui_wls.sh Por exemplo: ITIM_HOME = /home/itim45 Esses arquios podem ser encontrados no diretório itim45/bin/unix. Mesma Instalação do Computador Os procedimentos a seguir descreem a instalação do Sincronizador ACI no mesmo computador do WebLogic Application Serer. 1. Crie um diretório chamado jaa no diretório itim45/jaa. 2. Copie o conteúdo do diretório jdk131_06 no diretório bea para o diretório itim45/jaa. 3. Copie o arquio weblogic.jar do diretório bea/weblogic700/serer/lib para o diretório itim45/lib. 4. Atie o processamento changelog em adhocreporting.properties como segue: a. Defina changelogenabled=true no arquio adhocreporting.properties no diretório itim45/data. b. Defina changelogbasedn=<changelog_base_dn> no arquio adhocreporting.properties no diretório itim45/data. O <changelog_base_dn> é o DN base que contém as estradas de changelog no seridor de diretório. Por exemplo: 118 IBM Tioli Identity Manager: Guia de Configuração do Seridor

129 changelogbasedn=cn=changelog 5. Modifique o arquio enrole.properties no diretório itim45/data da seguinte forma: enrole.appserer.url=t3://<tim_serer_computer_name>:<tim_serer_port> <tim_serer_computer_name> é o nome do <tim_computer>. Geralmente, é localhost. <tim_serer_port> é a porta na qual o Tioli Identity Manager está em execução. Nota: O número da porta é importante. Se não for fornecido, o aplicatio tentará se conectar à porta 7001, que é a porta padrão do WebLogic. Instalando o Sincronizador ACI no WebLogic/Windows O Sincronizador ACI pode ser instalado no mesmo computador que o WebLogic Application Serer, ou em um computador separado. É recomendado instalar o Sincronizador ACI em um computador separado. Instruções para os dois tipos de instalação estão incluídas nesta seção. Instalação de Computador Separado Os procedimentos a seguir descreem a instalação do Sincronizador ACI em um computador separado do WebLogic Application Serer. Nota: <itimri_aci_synchronizer_computer> é o computador em que o Sincronizador ACI está sendo instalado. <tim_computer> é o computador em que o Tioli Identity Manager foi instalado. 1. Copie o diretório itim45 a partir de <tim_computer> para <itimri_aci_synchronizer_computer>. 2. Crie um diretório chamado jaa_lib no diretório itim45 do <itimri_aci_synchronizer_computer>. 3. Copie o conteúdo do diretório jdk131_06 no diretório bea no <tim_computer> para o diretório itim45\jaa no <itimri_aci_synchronizer_computer>. 4. Copie o arquio weblogic.jar do diretório bea\weblogic700\serer\lib no <tim_computer> para o diretório itim45\lib no <itimri_aci_synchronizer_computer>. 5. Crie um diretório chamado logs no diretório itim45 do <itimri_aci_synchronizer_computer>. 6. Atie o processamento changelog em adhocreporting.properties no <tim_computer> como segue: a. Defina changelogenabled=true no arquio adhocreporting.properties no diretório itim45\data no <tim_computer>. b. Defina changelogbasedn=<changelog_base_dn> no arquio adhocreporting.properties no diretório itim45\data no <tim_computer>. O <changelog_base_dn> é o DN base que contém as estradas de changelog no seridor de diretório. Por exemplo: changelogbasedn=cn=changelog 7. Modifique o arquio enrole.properties no diretório itim45\data no <itimri_aci_synchronizer_computer> da seguinte forma: enrole.appserer.url=t3://<tim_serer_computer_name>:<tim_serer_port> <tim_serer_computer_name> é o nome do <tim_computer>. <tim_serer_port> é a porta na qual o Tioli Identity Manager está em execução. Apêndice A. Instalando e Utilizando o Sincronizador ACI 119

130 Nota: O número da porta é importante. Se não for fornecido, o aplicatio tentará se conectar à porta 7001, que é a porta padrão do WebLogic. 8. Modifique o arquio enroledatabase.properties no diretório itim45\data no <itimri_aci_synchronizer_computer> para incluir os detalhes do banco de dados do Tioli Identity Manager. 9. Modifique o arquio enroleldapconnection.properties no diretório itim45\data no <itimri_aci_synchronizer_computer> para incluir os detalhes do seridor de diretórios do Tioli Identity Manager. 10. Modifique o arquio enrolelogging.properties no diretório itim45\data no <itimri_aci_synchronizer_computer> da seguinte forma: log4j.appender.logger.file=<path_to_itim>.log O caminho do arquio itim.log é itim45\logs\itim.log. O diretório logs foi criado em uma etapa anterior. Por exemplo: log4j.appender.logger.file=c:\\itim45\logs\itim.log 11. Para os dois arquios a seguir, modifique a ariáel ITIM_HOME para apontar o diretório itim45: startacisynchronizationcmd_wls.bat startacisynchronizationui_wls.bat Por exemplo: set ITIM_HOME = C:\itim45 Esses arquios podem ser encontrados no diretório itim45\bin\win. Mesma Instalação do Computador Os procedimentos a seguir descreem a instalação do Sincronizador ACI no mesmo computador do WebLogic Application Serer. 1. Crie um diretório chamado jaa no diretório itim Copie o conteúdo do diretório jdk131_06 no diretório bea para o diretório itim45\jaa. 3. Copie o arquio weblogic.jar do diretório bea\weblogic700\serer\lib para o diretório itim45\lib. 4. Atie o processamento changelog em adhocreporting.properties como segue: a. Defina changelogenabled=true no arquio adhocreporting.properties no diretório itim45\data. b. Defina changelogbasedn=<changelog_base_dn> no arquio adhocreporting.properties no diretório itim45\data. O <changelog_base_dn> é o DN base que contém as estradas de changelog no seridor de diretório. Por exemplo: changelogbasedn=cn=changelog 5. Modifique o arquio enrole.properties no diretório itim45\data da seguinte forma: enrole.appserer.url=t3://<tim_serer_computer_name>:<tim_serer_port> <tim_serer_computer_name> é o nome do <tim_computer>. Geralmente, é localhost. <tim_serer_port> é a porta na qual o Tioli Identity Manager está em execução. Nota: O número da porta é importante. Se não for fornecido, o aplicatio tentará se conectar à porta 7001, que é a porta padrão do WebLogic. 120 IBM Tioli Identity Manager: Guia de Configuração do Seridor

131 Iniciando o Sincronizador ACI O Sincronizador ACI pode ser chamado no modo de interface gráfica com o usuário ou no modo de linha de comandos. Nota: O Tioli Identity Manager Serer dee ser iniciado e os dados sincronizados antes de iniciar a sincronização de ACI. Modo Gráfico UNIX: Para chamar o Sincronizador ACI no modo de interface gráfica com o usuário, execute o seguinte comando, localizado no diretório itim45/bin/unix: startacisynchronizationui_was.sh Nota: Utilize o XClient para chamar o Sincronizador ACI. Windows: Para chamar o Sincronizador ACI no modo de interface gráfica com o usuário, execute o seguinte comando, localizado no diretório itim45\bin\win: startacisynchronizationui_was.bat A figura a seguir mostra o sincronizador ACI quando chamado em modo gráfico: Figura 11. Sincronizador ACI em Modo Gráfico Efetuar Login: Apêndice A. Instalando e Utilizando o Sincronizador ACI 121

132 Para iniciar a sincronização de ACI, primeiramente o usuário dee fornecer as credenciais do Tioli Identity Manager Manager. Clique no botão Efetuar Login para fornecer essas credenciais. A caixa de diálogo é mostrada na seguinte figura: Figura 12. Inserindo Credenciais Opcionais: Agora, ocê dee inserir o DN base no seridor de diretórios do LDAP, no qual as entradas do log de alterações são armazenadas, e o tempo de atraso entre duas sincronizações sucessias. Nota: O tempo de atraso é o interalo entre o fim de uma sincronização e o início da próxima. Para definir este parâmetros, clique no botão Opcionais. A caixa de diálogo é mostrada na seguinte figura: Figura 13. Opcionais Operações do Sincronizador ACI: Inicie a sincronização clicando no botão Início. O progresso da sincronização e outros detalhes são mostrados na área de texto da interface gráfica. O processo de sincronização pode ser interrompido clicando no botão Parada. A área de texto do Sincronizador ACI pode ser limpa clicando no botão Limpar. É possíel clicar no botão Sair para sair do Sincronizador ACI. Modo de Linha de Comandos UNIX: 122 IBM Tioli Identity Manager: Guia de Configuração do Seridor

133 Para chamar o Sincronizador ACI no modo de linha de comandos, execute o seguinte comando, localizado no diretório itim45/bin/unix: startacisynchronizationcmd_was.sh itim-manager passwd chglog-base-dn time-int Windows: Para chamar o Sincronizador ACI no modo de linha de comandos, execute o seguinte comando, localizado no diretório itim45\bin\win: startacisynchronizationcmd_was.bat itim-manager passwd chglog-base-dn time-int Em que: Argumento itim-manager passwd chglog-base-dn time-int Descrição ID de login do Tioli Identity Manager Manager Senha do Tioli Identity Manager Manager DN Base de entradas do log de alterações do seridor de diretórios do Tioli Identity Manager Interalo de tempo entre sucessias sincronizações, em segundos Exemplo (UNIX): startacisynchronizationcmd_was.sh "itim manager" password cn=changelog 1800 Exemplo (Windows): startacisynchronizationcmd_was.bat "itim manager" password cn=changelog 1800 Nota: O interalo de tempo é o atraso em segundos entre o fim de uma sincronização e o início da próxima. Apêndice A. Instalando e Utilizando o Sincronizador ACI 123

134 124 IBM Tioli Identity Manager: Guia de Configuração do Seridor

135 Apêndice B. Configurando o Crystal Reports O Crystal Reports ersão 9 é um produto de integração e criação de gabaritos de relatório da Crystal Decisions, Inc. Você utiliza a ferramenta Crystal Reports Designer para projetar gabaritos complexos de relatório. Em seguida, esses gabaritos podem ser integrados a um ambiente de seu aplicatio e disponibilizados a usuários que geram relatórios. A funcionalidade do Crystal Reports é um recurso opcional (não obrigatório) no Tioli Identity Manager. Os gabaritos do Crystal Reports estão disponíeis apenas para relatórios Ad-Hoc do Tioli Identity Manager. É possíel integrar um gabarito do Crystal Reports ao ambiente do Tioli Identity Manager utilizando a GUI do Tioli Identity Manager para importar o arquio de gabarito de relatório da máquina cliente do Crystal Reports. Agora, os usuários do Tioli Identity Manager têm acesso a esse gabarito de relatório e podem utilizá-lo ao gerar relatórios Ad-Hoc. O Tioli Identity Manager oferece controle total de ACI sobre quaisquer dados de relatório exibidos em um gabarito do Crystal Reports. Índice de Tópico: Fluxo do Processo ao Utilizar o Crystal Reports na página 126 Configurando o Tioli Identity Manager para Utilizar o Crystal Reports na página 127 Copyright IBM Corp

136 Fluxo do Processo ao Utilizar o Crystal Reports O Tioli Identity Manager com a funcionalidade do Crystal Reports é um sistema cliente/seridor composto pelos seguintes componentes: Cliente do Crystal Reports (no qual a ferramenta Crystal Reports Designer é instalada) Os usuários podem utilizar essa ferramenta para projetar o gabarito de relatório. GUI do Tioli Identity Manager Administradores podem disponibilizar o noo gabarito de relatório a usuários do Tioli Identity Manager (utilizando a função importar ). Seridor Tioli Identity Manager Enia um pedido de relatório ao RAS (Report Application Serer) do Crystal Reports. RAS do Crystal Reports Processa o relatório extraindo dados do banco de dados do Tioli Identity Manager e preenchendo o gabarito com os dados. SDK que estabelece interface entre o seridor Tioli Identity Manager e o RAS O fluxo de processo a seguir explica a seqüência de eentos ao gerar um relatório utilizando um gabarito do Crystal Reports: 1. Na máquina cliente do Crystal Reports, utilize a ferramenta Crystal Reports Designer para projetar um gabarito de relatório. Apenas as entidades e colunas que foram mapeadas utilizando o Tioli Identity Manager Schema Designer são disponibilizadas para essa ferramenta. Depois que o gabarito de relatório for projetado, a ferramenta Crystal Reports Designer poderá salar o gabarito como um arquio de gabarito de relatório (.rpt) no sistema de arquios do cliente. 2. Utilizando a GUI do Tioli Identity Manager, disponibilize o noo gabarito de relatório para o ambiente do Tioli Identity Manager, importando o gabarito (botão Importar na tarefa Projetar Relatório). 3. Quando um usuário executa um relatório com este gabarito selecionado, o seridor Tioli Identity Manager enia o pedido de relatório ao RAS para processamento. 4. O RAS utiliza o DSN (Data Source Name) criado na máquina do RAS para contatar o banco de dados do Tioli Identity Manager, recuperar os dados apropriados e gerar o relatório completo. 126 IBM Tioli Identity Manager: Guia de Configuração do Seridor

137 Configurando o Tioli Identity Manager para Utilizar o Crystal Reports Para importar os gabaritos de relatório projetados utilizando a ferramenta Crystal Reports Designer no ambiente do Tioli Identity Manager, o RAS dee estar em execução na rede e o seridor Tioli Identity Manager dee estar configurado para o SDK do RAS. A configuração para suporte do Crystal Reports no Tioli Identity Manager enole três componentes: 1. Configuração do RAS (Report Application Serer) do Crystal Enterprise Suportada apenas na plataforma Windows 2. Configuração do seridor do aplicatio Tioli Identity Manager Nota: Selecione uma das seções de instalação a seguir que seja adequada para seu seridor de aplicatios e sua plataforma: a. WebSphere no Windows b. WebSphere no UNIX c. WebLogic no Windows d. WebLogic no UNIX 3. Configuração do cliente (para a máquina que está executando a ferramenta Crystal Reports Designer) Suportada apenas na plataforma Windows 1. Configuração do RAS (Suportada apenas na Plataforma Windows) Execute as seguintes etapas para configurar o RAS: 1. Instale o RAS do Crystal Reports utilizando as instruções fornecidas com o software. O RAS pode residir na mesma máquina Windows que o seridor do aplicatio Tioli Identity Manager ou em uma máquina Windows distinta. 2. Crie um DSN do sistema no RAS para indicar o banco de dados do Tioli Identity Manager utilizado pelo seridor Tioli Identity Manager. 2a. Configuração do Tioli Identity Manager (WebSphere no Windows) Execute as seguintes etapas para configurar o Tioli Identity Manager com o seridor do aplicatio WebSphere em uma máquina Windows: 1. No diretório de instalação do RAS, copie todos os arquios.jar, exceto OB405.jar/ebus405.jar e xerces.jar, para o seguinte diretório no WebSphere: WAS_HOME\installedApps\<machine-name>\enrole.ear Esses arquios.jar geralmente estão localizados no seguinte diretório: C:\Arquio de programas\arquios comuns\crystal Decisions\2.0\jars Nota: NÃO sobrescrea o arquio xerces.jar que já existe no diretório de destino. NÃO copie o arquio OB405.jar ou ebus405.jar para o diretório de destino. O arquio OB405.jar OU ebus405.jar pode estar presente na pasta de instalação do Crystal, de acordo com a ersão de compilação do Seridor do Aplicatio Crystal Reports. Apêndice B. Configurando o Crystal Reports 127

138 2. Modifique o arquio ITIM_HOME\data\crystal.properties e atualize as seguintes propriedades: crystalras: Defina este alor para o seridor em que o RAS está instalado dsn: Defina este alor para o DSN criado anteriormente banco de dados: Defina este alor para o banco de dados utilizado pelo Tioli Identity Manager Para configuração do banco de dados DB2, se este residir na máquina que não seja o RAS, especifique o alias do banco de dados que indica o banco de dados real que está sendo utilizado pelo Tioli Identity Manager. 3. Inicie o seridor Tioli Identity Manager noamente. Crie o Arquio.war Utilizando a Ferramenta WebSphere Application Assembly: As instruções a seguir permitem implementar o diretório crystalreportiewers como um arquio.war no WebSphere Inicie a Ferramenta WebSphere Application Assembly: Iniciar > Arquios de Programas > IBM WebSphere > Application Serer 5.0 > Ferramenta Application Assembly 2. Selecione Módulo da Web. 3. Expanda o nó Arquios. 4. Clique com o botão direito do mouse em Arquios de Recursos e selecione Adicionar Arquios. 5. Selecione o diretório crystalreportiewers no diretório de instalação do Crystal. Geralmente isso é encontrado em: C:\Arquios de programas\arquios comuns\crystal Decisions\ 2.0\crystalreportiewers 6. Clique em Incluir. Confirme se a lista de arquios no diretório crystalreportiewers aparece no painel inferior da GUI. 7. Clique em OK. 8. Clique com o botão direito do mouse em Arquios Jar e selecione Adicionar Arquios. 9. Selecione o diretório jars no diretório de instalação do Crystal. Geralmente isso é encontrado em: C:\Arquios de programas\arquios comuns\crystal Decisions\2.0\jars 10. Selecione todos os arquios com a extensão.jar. 11. Clique em Incluir. Confirme se a lista de arquios no diretório jars aparece no painel inferior da GUI. 12. Clique em OK. 13. Clique em Aplicar. 14. Clique no nó que está na raiz da árore, no painel esquerdo. 15. Edite o classpath para (inserido como uma linha): WEB-INF/lib/rascore.jar; WEB-INF/lib/rasapp.jar; WEB-INF/lib/webreporting.jar; WEB-INF/lib/WebReportingWizard.jar; WEB-INF/lib/Serialization.jar; WEB-INF/lib/MetafileRenderer.jar; WEB-INF/lib/ReportTemplate.jar; WEB-INF/lib/CorbaIDL.jar; 128 IBM Tioli Identity Manager: Guia de Configuração do Seridor

139 WEB-INF/lib/OBBiDir.jar; WEB-INF/lib/OBEent.jar; WEB-INF/lib/OBIMR.jar; WEB-INF/lib/OBNaming.jar; WEB-INF/lib/OBProperty.jar; WEB-INF/lib/OBTime.jar; WEB-INF/lib/OBUtil.jar; WEB-INF/lib/reportsourcefactory.jar 16. Clique em Aplicar. 17. Sale o arquio como.war. Implemente o Arquio.war por meio do WebSphere Administration Console: 1. Inicie o seridor WebSphere. 2. Vá para o WebSphere Administration Console: 3. No Administration Console, selecione: Aplicatios > Instalar Noo Aplicatio 4. Selecione o caminho local se o arquio estier sendo implementado a partir de uma máquina que não seja o seridor. Caso contrário, selecione o nome completo do caminho do seridor. 5. Selecione o arquio.war criado na seção anterior. 6. Especifique a raiz do contexto como: /crystalreportiewers 7. Mantenha todas as definições padrão e especifique o nome do aplicatio como: crystalreportiewers 8. Clique em Concluir. 9. Clique em Salar em Configuração Mestre. 10. Clique em Salar. 11. Expanda o nó Ambiente na árore localizada no quadro à esquerda. 12. Selecione Atualizar o Plug-in do Seridor da Web. 13. Clique em OK no quadro à direita. 14. Inicie noamente o seridor do aplicatio WebSphere. 2b. Configuração do Tioli Identity Manager (WebSphere no UNIX) Execute as seguintes etapas para configurar o Tioli Identity Manager com o seridor do aplicatio WebSphere em uma máquina UNIX: 1. No diretório de instalação do RAS, copie todos os arquios.jar, exceto OB405.jar/ebus405.jar e xerces.jar, para o seguinte diretório no WebSphere: WAS_HOME/installedApps/<machine-name>/enrole.ear Esses arquios.jar geralmente estão localizados no seguinte diretório: C:\Arquio de programas\arquios comuns\crystal Decisions\2.0\jars Nota: NÃO sobrescrea o arquio xerces.jar que já existe no diretório de destino. NÃO copie o arquio OB405.jar ou ebus405.jar para o diretório de destino. O arquio OB405.jar OU ebus405.jar pode estar presente na pasta de instalação do Crystal, de acordo com sua ersão de compilação do Seridor do Aplicatio Crystal Reports. Apêndice B. Configurando o Crystal Reports 129

140 2. Modifique o arquio ITIM_HOME/data/crystal.properties e atualize as seguintes propriedades: crystalras: Defina este alor para o seridor em que o RAS está instalado dsn: Defina este alor para o DSN criado anteriormente banco de dados: Defina este alor para o banco de dados utilizado pelo Tioli Identity Manager Para configuração do banco de dados DB2, se este residir na máquina que não seja o RAS, especifique o alias do banco de dados que indica o banco de dados real que está sendo utilizado pelo Tioli Identity Manager. 3. Inicie o seridor Tioli Identity Manager noamente. Crie o Arquio.war Utilizando a Ferramenta WebSphere Application Assembly: As instruções a seguir permitem implementar o diretório crystalreportiewers como um arquio.war no WebSphere Inicie a Ferramenta WebSphere Application Assembly: Iniciar > Arquios de Programas > IBM WebSphere > Application Serer 5.0 > Ferramenta Application Assembly 2. Selecione Módulo da Web. 3. Expanda o nó Arquios. 4. Clique com o botão direito do mouse em Arquios de Recursos e selecione Adicionar Arquios. 5. Selecione o diretório crystalreportiewers no diretório de instalação do Crystal. Geralmente isso é encontrado em: C:\Arquios de programas\arquios comuns\crystal Decisions\ 2.0\crystalreportiewers 6. Clique em Incluir. Confirme se a lista de arquios no diretório crystalreportiewers aparece no painel inferior da GUI. 7. Clique em OK. 8. Clique com o botão direito do mouse em Arquios Jar e selecione Adicionar Arquios. 9. Selecione o diretório jars no diretório de instalação do Crystal. Geralmente isso é encontrado em: C:\Arquios de programas\arquios comuns\crystal Decisions\2.0\jars 10. Selecione todos os arquios com a extensão.jar. 11. Clique em Incluir. Confirme se a lista de arquios no diretório jars aparece no painel inferior da GUI. 12. Clique em OK. 13. Clique em Aplicar. 14. Clique no nó que está na raiz da árore, no painel esquerdo. 15. Edite o classpath para (inserido como uma linha): WEB-INF/lib/rascore.jar; WEB-INF/lib/rasapp.jar; WEB-INF/lib/webreporting.jar; WEB-INF/lib/WebReportingWizard.jar; WEB-INF/lib/Serialization.jar; WEB-INF/lib/MetafileRenderer.jar; WEB-INF/lib/ReportTemplate.jar; WEB-INF/lib/CorbaIDL.jar; 130 IBM Tioli Identity Manager: Guia de Configuração do Seridor

141 WEB-INF/lib/OBBiDir.jar; WEB-INF/lib/OBEent.jar; WEB-INF/lib/OBIMR.jar; WEB-INF/lib/OBNaming.jar; WEB-INF/lib/OBProperty.jar; WEB-INF/lib/OBTime.jar; WEB-INF/lib/OBUtil.jar; WEB-INF/lib/reportsourcefactory.jar 16. Clique em Aplicar. 17. Sale o arquio como.war. Implemente o Arquio.war por meio do WebSphere Administration Console: 1. Inicie o seridor WebSphere. 2. Vá para o WebSphere Administration Console: 3. No Administration Console, selecione: Aplicatios > Instalar Noo Aplicatio 4. Selecione o caminho local se o arquio estier sendo implementado a partir de uma máquina que não seja o seridor. Caso contrário, selecione o nome completo do caminho do seridor. 5. Selecione o arquio.war criado na seção anterior. 6. Especifique a raiz do contexto como: /crystalreportiewers 7. Mantenha todas as definições padrão e especifique o nome do aplicatio como: crystalreportiewers 8. Clique em Concluir. 9. Clique em Salar em Configuração Mestre. 10. Clique em Salar. 11. Expanda o nó Ambiente na árore localizada no quadro à esquerda. 12. Selecione Atualizar o Plug-in do Seridor da Web. 13. Clique em OK no quadro à direita. 14. Inicie noamente o seridor do aplicatio WebSphere. 2c. Configuração do Seridor Tioli Identity Manager (WebLogic no Windows) Execute as seguintes etapas para configurar o Tioli Identity Manager com o seridor do aplicatio WebLogic em uma máquina Windows: 1. No diretório de instalação do RAS, copie todos os arquios.jar, exceto OB405.jar/ebus405.jar e xerces.jar, para o seguinte diretório no WebLogic: ITIM_HOME\lib Esses arquios.jar geralmente estão localizados no seguinte diretório: C:\Arquios de programas\arquios comuns\crystal Decisions\2.0\jars Nota: NÃO sobrescrea o arquio xerces.jar que já existe no diretório de destino. NÃO copie o arquio OB405.jar ou ebus405.jar para o diretório de destino. O arquio OB405.jar OU ebus405.jar pode estar presente na pasta de instalação do Crystal, de acordo com a ersão de compilação do Seridor do Aplicatio Crystal Reports. Apêndice B. Configurando o Crystal Reports 131

142 2. Modifique o arquio ITIM_HOME\data\crystal.properties e atualize as seguintes propriedades: crystalras: Defina este alor para o seridor em que o RAS está instalado dsn: Defina este alor para o DSN criado anteriormente banco de dados: Defina este alor para o banco de dados utilizado pelo Tioli Identity Manager 3. Inicie o seridor Tioli Identity Manager noamente. Configuração do WebLogic: As instruções a seguir permitem implementar o diretório crystalreportiewers no WebLogic Crie o subdiretório DefaultWebapp_myserer no diretório BEA_HOME\user_projects\itim\applications 2. Copie crystalreportiewers do diretório de instalação do Crystal para esse diretório. Geralmente, o diretório de instalação do Crystal é: C:\Arquios de programas\arquios comuns\crystal Decisions\ Inicie o seridor WebLogic. 4. Utilizando o naegador, acesse o console WebLogic: 5. Efetue login utilizando o usuário sistema e a senha fornecida. A senha padrão é enrole. 6. Expanda a árore no lado esquerdo da tela: itim > Deployments > Web Application > DefaultWebapp_myserer 7. Clique na guia Destinos. 8. Se myserer existe na lista Disponíeis, clique no botão de seta para adicioná-lo à lista Escolhidos. 9. Clique em Aplicar. 2d. Configuração do Tioli Identity Manager (WebLogic no UNIX) Execute as seguintes etapas para configurar o Tioli Identity Manager com o seridor do aplicatio WebLogic em uma máquina UNIX: 1. No diretório de instalação do RAS, copie todos os arquios.jar, exceto OB405.jar/ebus405.jar e xerces.jar, para o seguinte diretório no WebLogic: ITIM_HOME/lib Esses arquios.jar geralmente estão localizados no seguinte diretório: C:\Arquios de programas\arquios comuns\crystal Decisions\2.0\jars Nota: NÃO sobrescrea o arquio xerces.jar que já existe no diretório de destino. NÃO copie o arquio OB405.jar ou ebus405.jar para o diretório de destino. O arquio OB405.jar OU ebus405.jar pode estar presente na pasta de instalação do Crystal, de acordo com a ersão de compilação do Seridor do Aplicatio Crystal Reports. 2. Modifique o arquio ITIM_HOME/data/crystal.properties e atualize as seguintes propriedades: crystalras: Defina este alor para o seridor em que o RAS está instalado dsn: Defina este alor para o DSN criado anteriormente 132 IBM Tioli Identity Manager: Guia de Configuração do Seridor

143 banco de dados: Defina este alor para o banco de dados utilizado pelo Tioli Identity Manager 3. Inicie o seridor Tioli Identity Manager noamente. Configuração do WebLogic: As instruções a seguir permitem implementar o diretório crystalreportiewers no WebLogic Crie o subdiretório DefaultWebapp_myserer no diretório BEA_HOME/user_projects/itim/applications 2. Copie crystalreportiewers do diretório de instalação do Crystal para esse diretório. Geralmente, o diretório de instalação do Crystal é: C:\Arquios de programas\arquios comuns\crystal Decisions\ Inicie o seridor WebLogic. 4. Utilizando o naegador, acesse o console WebLogic: 5. Efetue login utilizando o usuário sistema e a senha fornecida. A senha padrão é enrole. 6. Expanda a árore no lado esquerdo da tela: itim > Deployments > Web Application > DefaultWebapp_myserer 7. Clique na guia Destinos. 8. Se myserer existe na lista Disponíeis, clique no botão de seta para adicioná-lo à lista Escolhidos. 9. Clique em Aplicar. 3. Configuração do Cliente (Suportada apenas na Plataforma Windows) A configuração a seguir é requerida para a máquina cliente que está executando o software da ferramenta Crystal Reports 9 Designer. Crie um DSN do sistema na máquina cliente que está executando a ferramenta Crystal Reports 9 Designer que indica o banco de dados do Tioli Identity Manager utilizado pelo seridor Tioli Identity Manager. Esta conexão é importante quando a ferramenta Designer recupera as entidades e informações sobre coluna apropriadas do banco de dados do Tioli Identity Manager. Utilize o nome do usuário enrole com a senha apropriada. Esse usuário dee ter acesso às tabelas do banco de dados no seridor Tioli Identity Manager. A senha pode ser obtida a partir do administrador do Tioli Identity Manager. Apêndice B. Configurando o Crystal Reports 133

144 134 IBM Tioli Identity Manager: Guia de Configuração do Seridor

145 Apêndice C. Projetando Condições de Filtro de Relatórios Ad-Hoc Índice de Tópico: Tutorial sobre o Projeto de Condições de Filtro na página 135 Exemplos de Relatórios na página 137 Tutorial sobre o Projeto de Condições de Filtro As condições de filtro têm um mapeamento muito próximo à linguagem SQL utilizada para acessar bancos de dados. As condições de filtro projetadas utilizando o Report Designer serão conertidas em SQL e executadas durante a geração de relatório. A seguir é fornecida uma lista de entidades, seus atributos e os relacionamentos entre elas no contexto ITIM. Essa lista pode ser muito útil para a criação das condições de filtro corretas durante o projeto de relatórios. A coluna Filtros na tabela a seguir fornece a condição do JOIN exata que pode ser utilizada no relatório para obter resultados precisos e significatios. O tutorial é concluído com alguns exemplos de relatórios que explicam como e quando essas condições do JOIN podem ser utilizadas durante o projeto dos relatórios. No. de Série Entidades Filtros 1 Person, Account Person.DN = Account.owner OR Account.ParentDN = Person.DN 2 Person, Organization Role 3 Person, Organizational Unit Person.Organization Roles = Organization Role.DN Person.ParentDN = Organizational Unit.DN OR Organizational Unit. Superisor = Person.DN 4 Account, Serice Account.Serice = Serice.DN 5 Proisioning Policy, Organization Role 6 Proisioning Policy, Organizational Unit 7 Proisioning Policy, Serice Organization Role.DN = getdn(proisioning Policy.Policy Membership) ** Proisioning Policy.Parent DN = Organizational Unit.DN Serice.DN = getdn(proisioning Policy.Policy Target ) ** 8 Location, Person Location.Superisor = Person.DN 9 Business Partner Organization, Person 10 Business Partner Person, Organization Role Business Partner Organization.Sponsor = Person.DN Business Partner Person.Organization Roles = Organization Role.DN Copyright IBM Corp

146 11 Organization, Location 12 Organization, Organizational Unit Organization, Business Partner Organization 13 Organizational Unit, Location 14 Organizational Unit, Business Partner Organization 15 Location, Business Partner Organization Organization.DN = Location.Parent DN Organization.DN = Organizational Unit.ParentDN Organization.DN = Business Partner Organization.ParentDN Organizational Unit.Parent DN = Location.DN OR Location.Parent DN = Organizational Unit.DN Organizational Unit.Parent DN = Business Partner Organization DN OR Business Partner Organization.Parent DN = Organizational Unit.DN Location..Parent DN = Business Partner Organization.DN OR Business Partner Organization.Parent DN = Location.DN 16 Serice, Person Serice.Account Owner = Person.DN 17 SQL2000Account, Serice 18 ITIMAccount, ITIM Serice SQL2000Account.Serice = Serice.DN ITIMAccount.Serice = ITIMSerice.DN 19 Entitlement, Serice Serice.DN = Entitlement.Serice Target Name 20 ProisioningPolicy, Entitlement 21 ACI, ACI Principals 22 ACI, ACI Permission ClassRight 23 ACI, ACI Permission AttributeRight ProisioningPolicy.DN = Entitlement.DN ACI.DN = ACI Principals.DN AND ACI.Name = ACI Principals.Name AND ACI.Target = ACI Principals.Target ACI.DN = ACI Permission ClassRight.DN AND ACI.Name = ACI Permission ClassRight.Name AND ACI.Target = ACI Permission ClassRight.Target ACI.DN = ACI Permission AttributeRight.DN AND ACI.Name = ACI Permission AttributeRight.Name AND ACI.Target = ACI Permission AttributeRight.Target 24 ACI, ACI Role DNs ACI.DN = ACI Role DNs.DN 25 ACI, Organizational Unit AND ACI.Name = ACI Role DNs.Name AND ACI.Target = ACI Role DNs.Target ACI.DN = Organizational Unit.DN Nota: getdn é uma função fornecida pelo Ad-hoc Report Designer para extrair o DN das colunas em que os dados estão no formato: <number>;<dn> Por exemplo, a coluna ProisioningPolicy.Policymembership tem entradas do formato: 136 IBM Tioli Identity Manager: Guia de Configuração do Seridor

147 <number>;<dn> Exemplos de Relatórios Para extrair o DN desta cadeia, a função getdn pode ser utilizada. Um exemplo deste filtro pode ser: Organization Role.DN = getdn(proisioningpolicy.policymembership) Alguns mecanismos para projetar condições de filtro são descritos a seguir. Eles explicam o processo de projetar filtros por meio de alguns exemplos, os quais são explicados com algumas amostras de dados. Esses mecanismos também refletem alguns relacionamentos entre diferentes colunas de algumas tabelas sincronizadas. Uso de Funções em Relatórios Você pode utilizar funções com as árias colunas no projeto de relatório. As funções padrão fornecidas com a implementação são: Maiúsculo Minúsculo GetDN Esta função seleciona um argumento e transforma-o em letra maiúscula. Esta função seleciona um argumento e transforma-o em letra minúscula. Esta função consiste principalmente em extrair o DN das colunas que contêm uma cadeia do formato: <number>;<dn> Por exemplo: A coluna ProisioningPolicy.Policymembership tem as entradas do formato: <number>;<dn> Para extrair o DN desta cadeia, a função getdn pode ser utilizada. Um exemplo deste filtro pode ser: Organization Role.DN = getdn(proisioningpolicy.policymembership) Especificando Condições do JOIN no Report Designer durante o Projeto de Relatórios O usuário dee especificar os filtros apropriados durante o projeto de relatórios no Report Designer, de forma que os dados desejados sejam extraídos quando o relatório for executado. Veja alguns exemplos a seguir: Relatório de Atributos da Conta (Todos os Usuários com contas do tipo ITIMSerice) Projetar o relatório como: Colunas do relatório: Account.Userid, ITIM.SericeName Filtros: Nenhum Portanto, se houer dois usuários: Usuário1 com ITIMSerice1 e ITIMSerice2 Usuário2 com ITIMSerice3 Apêndice C. Projetando Condições de Filtro de Relatórios Ad-Hoc 137

148 O resultado será: Usuário1 Usuário1 Usuário1 Usuário2 Usuário2 Usuário2 ITIMSerice1 ITIMSerice2 ITIMSerice3 ITIMSerice1 ITIMSerice2 ITIMSerice3 Isso não é nada mais do que o produto cartesiano das duas tabelas. Para obter o conjunto de resultados apropriado, deerão ser especificadas as condições do JOIN adequadas que indicam os relacionamentos entre essas duas tabelas. Neste caso, a condição do JOIN será: Filtros: Account.Serice = ITIM.DN Com esse filtro, o resultado será: Usuário1 Usuário1 Usuário2 ITIMSerice1 ITIMSerice2 ITIMSerice3 Relatório de Person-Organization Roles (Para pessoas associadas a uma Organization Role) Projetar o relatório como: Colunas do relatório: Person.FullName, OrganizationRole.Name Filtro: OrganizationRole.Name = _USERINPUT_ Portanto, se houer dois usuários: Pessoa1 com Função1 Pessoa2 com Função2 Se Função1 for fornecida como entrada durante a geração de relatório, o resultado será: Pessoa1 Pessoa2 Função1 Função1 Para este relatório gerar os resultados corretos, as seguintes condições de filtro são necessárias: Person.OrganizationRoles = OrganizationRole.DN E OrganizationRole.Name = _USERINPUT_ Se Função1 for fornecida como entrada durante a geração de relatório, o resultado será: Pessoa1 Função1 138 IBM Tioli Identity Manager: Guia de Configuração do Seridor

149 A condição de filtro especificada funciona, pois o atributo Organization Roles da entidade Person contém o alor do DN da função a que o usuário pertence. Obsere também que Organization Roles é um atributo com múltiplos alores, isto é, uma pessoa pode ter árias Funções em uma Organização. Relatório de Pessoa/Contas (Contas associadas a pessoas no sistema) Projetar o relatório como: Coluna do relatório: Person.FullName, Account.AccountStatus Filtros: Nenhum Este relatório retornará o produto cartesiano das entradas das tabelas Pessoa e Conta. A condição do JOIN que especifica o relacionamento entre essas tabelas é: Account.ParentDN = Person.DN Esse filtro funcionará, pois o Tioli Identity Manager armazena o DN da Pessoa como o ParentDN da entidade Account. Apêndice C. Projetando Condições de Filtro de Relatórios Ad-Hoc 139

150 140 IBM Tioli Identity Manager: Guia de Configuração do Seridor

151 Apêndice D. Projetando Condições de Filtro do Crystal Reports Índice de Tópico: Tutorial sobre o Projeto de Condições de Filtro na página 141 Exemplos de Relatórios na página 143 Tutorial sobre o Projeto de Condições de Filtro As condições de filtro têm um mapeamento muito próximo à linguagem SQL utilizada para acessar bancos de dados. As condições de filtro projetadas utilizando o Crystal Report Designer serão conertidas em SQL e executadas durante a geração de relatório. O Crystal Report Designer primeiro tem de selecionar as tabelas que serão utilizadas no relatório em Especialista do Banco de Dados. O usuário ê todas as tabelas criadas durante a sincronização. Os seguintes itens deem ser obserados durante a seleção das tabelas: Os nomes das tabelas geradas para atributos com múltiplos alores são: <ENTITY_NAME>_<ATTRIBUTE_NAME> Entretanto, o nome <ATTRIBUTE_NAME> utilizado aqui não é o nome de exibição no Tioli Identity Manager, mas a representação interna desse atributo. (Por exemplo cn para Nome Completo). O esquema utilizado para gerar nomes de tabela durante a sincronização de dados é: <ENTITY_NAME>_<ATTRIBUTE_NAME> Entretanto, o banco de dados do Oracle não suporta um nome de identificador com mais de 30 caracteres. Dessa forma, as tabelas criadas durante a Sincronização de Dados não pode ter nomes com mais de 30 caracteres. Em casos em que esse nome tenha mais de 30 caracteres, o nome da tabela será gerado utilizando o seguinte esquema: Primeiros 22 caracteres do nome ( <ENTITY_NAME>_<ATTRIBUTE_NAME> ) + <unique-id> Esse esquema assegura que os nomes das tabelas nunca excedam 30 caracteres. O Report Designer terá de descobrir o atributo com múltiplos alores (para o qual a tabela é criada), em alguns caso, erificando nas colunas das tabelas, uma ez que os nomes das tabelas podem ser criptografados. O usuário não dee selecionar qualquer uma das tabelas USER_<ENTITY> em Especialista do Banco de Dados. Essas tabelas têm informações sobre ACI e os dados não são significatios para fins de relatório. A seguir é fornecida uma lista de entidades, seus atributos e os relacionamentos entre elas no contexto do Tioli Identity Manager. Essa lista pode ser muito útil para a criação das condições de filtro corretas durante o projeto de relatórios. A coluna Filtros na tabela a seguir fornece a condição do JOIN exata que pode ser utilizada no relatório para obter resultados precisos e significatios. Copyright IBM Corp

152 No. de Série Entidades Filtros 1 Person, Account Person.DN = Account.owner OR Account.erparent = Person.DN 2 Person_erroles, DefaultRole 3 Person, OrganizationalUnit Person_erroles.erroles= DefaultRole.DN Person.ParentDN = OrganizationalUnit.DN OR OrganizationalUnit.ersuperisor = Person.DN 4 Account, Serice Account.erserice = Serice.DN 5 Proisioning Policy, Organization Role ProisioningPolicy.erparent = OrganizationUnit.DN 6 Location, Person Location.ersuperisor = Person.DN 7 BPOrganization, Person BPOrganization.ersponsor = Person.DN 8 BPPerson, DefaultRole BPPerson.erroles = DefaultRole.DN 9 Organization, Location 10 Organization, OrganizationalUnit 11 Organization, BPOrganization 12 OrganizationalUnit, Location 13 OrganizationalUnit, BPOrganization 14 Location, BPOrganization Organization.DN = Location.erparent Organization.DN = OrganizationUnit.erparent Organization.DN = BPOrganization.erparent OrganizationalUnit.erparent = Location.DN OR Location.erparent = OrganizationalUnit.DN OrganizationalUnit.erparent = BPOrganization.DN OR BPOrganization.erparent = OrganizationalUnit.DN Location.erparent = BPOrganization.DN OR BPOrganization.erparent = Location.DN 15 Serice, Person Serice.owner = Person.DN 16 SQL2000Account, Serice 17 ITIMAccount, ITIM Serice SQL2000Account.erserice = Serice.DN ITIMAccount.erserice = ITIMSerice.DN 18 Entitlement, Serice Serice.DN = Entitlement.SericeTargetName 19 ProisioningPolicy, Entitlement ProisioningPolicy.DN = Entitlement.DN 20 ACI, ACI_Principals ACI.DN = ACI_Principals.DN AND ACI.Name = ACI_Principals.Name AND ACI.Target = ACI_Principals.Target 21 ACI, ACI_Permission_ClassRight ACI.DN = ACI_Permission_ClassRight.DN AND ACI.Name = ACI_Permission_ClassRight.Name AND ACI.Target = ACI_Permission_ClassRight.Target 142 IBM Tioli Identity Manager: Guia de Configuração do Seridor

153 22 ACI, ACI_Permission_AttributeRight ACI.DN = ACI_Permission_AttributeRight.DN AND ACI.Name = ACI_Permission_AttributeRight.Name AND ACI.Target = ACI_Permission_AttributeRight.Target 23 ACI, ACI_RoleDNS ACI.DN = ACI_RoleDNS.DN AND ACI.Name = ACI_RoleDNS.Name AND ACI.Target = ACI_RoleDNS.Target Para Referência: Nome de Exibição no ITIM Função de Organizacional Organização de Parceiros de Negócios Pessoa de Parceiros de Negócio Nome Interno DefaultRole BPOrganization BPPerson Exemplos de Relatórios Alguns mecanismos para projetar condições de filtro são descritos a seguir. Eles explicam o processo de projetar filtros por meio de alguns exemplos, os quais são explicados com algumas amostras de dados. Esses mecanismos também refletem alguns relacionamentos entre diferentes colunas de algumas tabelas sincronizadas. Especificando Condições do JOIN no Report Designer durante o Projeto de Relatórios O usuário dee especificar os filtros apropriados durante o projeto de relatórios no Report Designer, de forma que os dados desejados sejam extraídos quando o relatório for executado. Veja alguns exemplos a seguir: Relatório de Atributos da Conta (Todos os Usuários com contas do tipo ITIMSerice) Projetar o relatório como: Colunas do relatório: Account.eruid, ITIM.Serice.ersericename Filtros: Nenhum Portanto, se houer dois usuários: Usuário1 com ITIMSerice1 e ITIMSerice2 Usuário2 com ITIMSerice3 O resultado será: Usuário1 Usuário1 Usuário1 Usuário2 Usuário2 Usuário2 ITIMSerice1 ITIMSerice2 ITIMSerice3 ITIMSerice1 ITIMSerice2 ITIMSerice3 Apêndice D. Projetando Condições de Filtro do Crystal Reports 143

154 Isso não é nada mais do que o produto cartesiano das duas tabelas. Para obter o conjunto de resultados apropriado, deerão ser especificadas as condições do JOIN adequadas que indicam os relacionamentos entre essas duas tabelas. Neste caso, a condição do JOIN será: Filtros: Account.Serice = ITIMSerice.DN Com esse filtro, o resultado será: Usuário1 Usuário1 Usuário2 ITIMSerice1 ITIMSerice2 ITIMSerice3 Relatório de Person-Organization Roles (Para pessoas associadas a uma Organization Role) Projetar o relatório como: Colunas do relatório: Person.cn, DefaultRole.Name Filtro: DefaultRole.Name = _USERINPUT_ Portanto, se houer dois usuários: Pessoa1 com Função1 Pessoa2 com Função2 Se Função1 for fornecida como entrada durante a geração de relatório, o resultado será: Pessoa1 Pessoa2 Função1 Função1 Para este relatório gerar os resultados corretos, as seguintes condições de filtro são necessárias: Person.erroles = DefaultRole.DN E DefaultRole.Name = _USERINPUT_ Se Função1 for fornecida como entrada durante a geração de relatório, o resultado será: Pessoa1 Função1 A condição de filtro especificada funciona, pois o atributo Organization Roles da entidade Person contém o alor do DN da função a que o usuário pertence. Obsere também que Organization Roles é um atributo com múltiplos alores, isto é, uma pessoa pode ter árias Funções em uma Organização. Relatório de Pessoa/Contas (Contas associadas a pessoas no sistema) Projetar o relatório como: Coluna do relatório: Person.cn, Account.eraccountstatus 144 IBM Tioli Identity Manager: Guia de Configuração do Seridor

155 Filtros: Nenhum Este relatório retornará o produto cartesiano das entradas das tabelas Pessoa e Conta. A condição do JOIN que especifica o relacionamento entre essas tabelas é: Account.erparent = Person.DN Esse filtro funcionará, pois o Tioli Identity Manager armazena o DN da Pessoa como o DN Pai (erparent) da entidade Account. Apêndice D. Projetando Condições de Filtro do Crystal Reports 145

156 146 IBM Tioli Identity Manager: Guia de Configuração do Seridor

157 Apêndice E. Aisos Essas informações foram desenolidas para produtos e seriços oferecidos nos Estados Unidos. É possíel que a IBM não ofereça em outros países os produtos, seriços ou recursos discutidos neste documento. Consulte o Representante IBM local para obter informações sobre produtos e seriços disponíeis atualmente em sua região. Qualquer referência a produtos, programas ou seriços IBM não significa que apenas produtos, programas ou seriços IBM possam ser utilizados. Qualquer produto, programa ou seriço funcionalmente equialente, que não infrinja nenhum direito de propriedade intelectual da IBM poderá ser utilizado. Entretanto, é responsabilidade do usuário aaliar e erificar a operação de qualquer produto, programa ou seriço não-ibm. A IBM pode ter patentes ou solicitações de patentes pendentes relatias a assuntos tratados nesta publicação. O fornecimento desta publicação não garante ao Cliente nenhum direito sobre tais patentes. Pedidos de licenças deem ser eniados, por escrito, para: Gerência de Relações Comerciais e Industriais da IBM Brasil A. Pasteur, Botafogo Rio de Janeiro - RJ Cep: Para pedidos de licença relatios a informações DBCS (byte duplo), entre em contato com o Departamento de Propriedade Intelectual da IBM em seu país ou enie os pedidos em escrito para: IBM World Trade Asia Corporation Licensing 2-31 Roppongi 3-chome, Minato-ku Tokyo , Japan O parágrafo a seguir não se aplica ao Reino Unido, nem a qualquer outro país em que tais proisões sejam inconsistentes com a lei local: A INTERNATIONAL BUSINESS MACHINES CORPORATION FORNECE ESTA PUBLICAÇÃO NO ESTADO EM QUE SE ENCONTRA, SEM GARANTIA DE ESPÉCIE ALGUMA, SEJA EXPLÍCITA OU IMPLÍCITA, INCLUINDO, MAS NÃO SE LIMITANDO ÀS GARANTIAS IMPLÍCITAS DE NÃO-VIOLAÇÃO, COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM FIM ESPECÍFICO. Alguns países não permitem a exclusão de garantias explícitas ou implícitas em certas transações; portanto, esta disposição pode não se aplicar a ocê. Essas informações podem incluir imprecisões técnicas ou erros tipográficos. Periodicamente, são feitas alterações nas informações aqui contidas; tais alterações serão incorporadas em futuras edições desta publicação. A IBM pode fazer aperfeiçoamentos e/ou alterações nos produtos ou programas descritos nesta publicação a qualquer momento sem aiso préio. Qualquer referência nesta publicação a Web sites não-ibm é fornecida apenas por comodidade e não sere como endosso dos mesmos. Os materiais contidos nesses Web sites não fazem parte deste produto IBM e seu uso é de responsabilidade do cliente. Copyright IBM Corp

158 A IBM tem direito de utilização ou distribuição das informações da forma que julgar adequada, sem incorrer em obrigações para com o Cliente. Licenciados deste programa que pretendam obter informações adicionais sobre o mesmo com o objetio de permitir: (i) a troca de informações entre programas criados independentemente e outros programas (incluindo este) e (ii) a utilização mútua das informações trocadas, deem entrar em contato com: Gerência de Relações Comerciais e Industriais da IBM Brasil A. Pasteur, Botafogo Rio de Janeiro - RJ CEP Tais informações podem estar disponíeis, dependendo dos termos e condições apropriadas, incluindo, em alguns casos, o pagamento de uma taxa. O programa licenciado descrito neste documento e todo o material licenciado disponíel são fornecidos pela IBM sob os termos do Contrato com o Cliente IBM, do Contrato de Licença do Programa Internacional IBM ou de qualquer outro contrato equialente entre as partes. Todos os dados sobre desempenho aqui descritos foram determinados em um ambiente controlado. Portanto, os resultados obtidos em outros ambientes operacionais podem ariar significatiamente. Algumas medidas podem ter sido tomadas em sistemas em fase de desenolimento e não há garantia de que tais medidas sejam as mesmas nos sistemas normalmente disponíeis. Além disso, algumas medidas podem ter sido estimadas atraés de extrapolação. Os resultados reais podem ariar. Os usuários deste documento deem erificar os dados aplicáeis em seu ambiente específico. As informações referentes a produtos não-ibm foram obtidas junto aos fornecedores desses produtos, anúncios publicados ou outras fontes de publicidade disponíeis. A IBM não testou tais produtos e não pode confirmar a excelência do desempenho, a compatibilidade ou quaisquer outras reiindicações relacionadas a produtos não-ibm. Dúidas sobre os recursos de produtos não-ibm deem ser dirigidas aos fornecedores destes produtos. Marcas As marcas a seguir são marcas ou marcas registradas da International Business Machines Corporation nos Estados Unidos e/ou em outros países: AIX DB2 IBM Logotipo IBM SecureWay Tioli Logotipo Tioli Uniersal Database WebSphere Lotus é uma marca registrada da Lotus Deelopment Corporation e/ou IBM Corporation. Domino é uma marca da International Business Machines Corporation e Lotus Deelopment Corporation nos Estados Unidos e/ou em outros países. 148 IBM Tioli Identity Manager: Guia de Configuração do Seridor

159 Microsoft, Windows, Windows NT e o logotipo do Windows são marcas da Microsoft Corporation nos Estados Unidos e/ou em outros países. UNIX é uma marca registrada da Open Group nos Estados Unidos e em outros países. Jaa e todas as marcas e logotipos com base em Jaa são marcas ou marcas registradas da Sun Microsystems, Inc. nos Estados Unidos e/ou em outro países. Outros nomes de empresas, produtos e seriços podem ser marcas ou marcas de seriço de terceiros. Apêndice E. Aisos 149

160 150 IBM Tioli Identity Manager: Guia de Configuração do Seridor

161 Glossário A ação rejeitada. Um conjunto de parâmetros para reconciliações que define a ação a ser executada se o Tioli Identity Manager Serer localizar contas para pessoas que não tierem permissão para ter uma conta para o seriço selecionado. Esse parâmetro será álido apenas se a caixa de opções Verificar Critério estier selecionada. acesso. O priilégio de utilizar informações ou dados armazenados em sistemas de computadores. ACI (Informações sobre Controle de Acesso). Dados que identificam os direitos de acesso de um grupo ou níel de prioridade. Consulte também controle de acesso. administrador do domínio. Um administrador que pode definir e gerenciar as entidades de proisão, os critérios, os seriços, as definições de workflow, as funções e os usuários dentro do seu domínio admin, mas apenas em seu próprio domínio admin. administrador do sistema. todas as áreas do sistema. Indiíduos com acesso a Um Grupo ITIM pré-configurado é fornecido no sistema Tioli Identity Manager. Esse Grupo ITIM é designado para conceder aos membros acesso máximo ao sistema. Usuários membros do Grupo ITIM administrador possuem acesso a todas as funções e dados do sistema. alias. Uma identidade de um usuário, referida geralmente como o ID do usuário. Uma pessoa pode ter ários aliases, por exemplo: GSmith e GWSmith. alimentação HR. Um processo automatizado em que o sistema Tioli Identity Manager importa dados do usuário de um banco de dados ou arquio de recursos humanos. Consulte DSML identity feed. aplicação do atributo. O processo no qual os administradores do sistema definem os atributos necessários para uma conta e os alores álidos para esses atributos. aproação de critérios. A maneira com que o sistema Tioli Identity Manager permite ou rejeita contas que iolam os critérios de proisão. árore da organização. Uma estrutura hierárquica da organização que fornece um local lógico para criar, acessar e armazenar informações organizacionais. autenticação. O processo de identificação de um indiíduo, geralmente com base em um nome de usuário e senha. Em sistemas de segurança, autenticação é diferente de autorização, que é o processo de fornecer aos indiíduos acesso a objetos do sistema com base em sua identidade. A autenticação apenas assegura que o indiíduo é quem ele diz ser, mas não informa nada sobre seus direitos de acesso. autoridade de assinatura. O direito de aproar ou rejeitar um pedido submetido ao mecanismo de workflow. Um usuário ou grupo de usuários recebe autoridade de assinatura quando são designados como participantes ou participantes de escalação em um projeto workflow. autorização. Em gerenciamento de segurança, uma estrutura de dados, seriço ou lista de atributos que representam informações sobre critérios. autorização. Em segurança de computador, o direito concedido a um usuário para se comunicar ou utilizar um sistema de computador. O processo de conceder a um usuário acesso restrito ou completo a um objeto, recurso ou função. A maioria dos sistemas de segurança de computador baseia-se em um processo de duas etapas. A primeira é a autenticação, que assegura que um usuário é quem ele diz ser. A segunda é a autorização, que permite ao usuário acesso a ários recursos, com base em sua identidade. C CA (Autoridade de Certificação). Uma organização que emite certificados. A autoridade de certificação autentica a identidade do proprietário do certificado e os seriços os quais o proprietário está autorizado a utilizar, emite noos certificados, renoa certificados existentes e anula certificados pertencentes a usuários que não possuem mais autorização para utilizá-los. certificado digital. Um anexo a uma mensagem eletrônica utilizado com objetios de segurança. classe do usuário. Uma classe LDAP, como inetorgperson ou BPPerson. consulta. Uma maneira pela qual limitar uma reconciliação para retornar pacotes menores. conta. O conjunto de parâmetros que define as informações sobre login e de controle de acesso de um usuário. conta atia. Uma conta que existe e está sendo utilizada pelo proprietário para acessar um recurso. Copyright IBM Corp

162 conta inatia. Uma conta que existe no sistema, mas que não está sendo utilizada pelo proprietário da conta. credencial. As informações sobre ID de usuário e senha de um usuário, que permitem acesso a uma conta. critério. No Tioli, um conjunto de regras que são aplicadas aos recursos gerenciados. Por exemplo, um critério pode ser aplicado a senhas ou recursos que um usuário tenta acessar. critério de identidade. As regras pelas quais o sistema Tioli Identity Manager define o modo de criação de um ID de usuário. critério de proisão. Um critério que define o acesso a ários tipos de seriços gerenciados, tais como Tioli Identity Manager ou sistemas operacionais. O acesso é concedido a todas as pessoas ou com base na função organizacional da pessoa. O acesso também pode ser concedido especificamente a pessoas que não sejam membros de qualquer função organizacional. critério de seleção de seriço. Um filtro JaaScript que determina qual seriço utilizar em um critério de proisão. critério de senha. As regras que definem os parâmetros definidos que todas as senhas deem atender, como comprimento e o tipo de caracteres permitidos e rejeitados. D delegar. Um indiíduo designado como a parte responsáel pela aproação de pedidos ou pelo fornecimento de informações para pedidos de outro usuário. desproer. Remoer um seriço ou componente. Por exemplo, desproer uma conta significa excluir uma conta de um recurso. destino da ACI. O conjunto de entidades que são controladas pela ACI. diretriz de união. O conjunto de regras que definem como controlar atributos quando dois ou mais critérios de proisão estierem em conflito. domínio admin. Uma diisão de uma organização no sistema Tioli Identity Manager que contém seus próprios critérios, seriços, ACIs e outros. Cada domínio admin pode ter administradores que não podem administrar ou isualizar os critérios, seriços e ACIs de outros domínios admin. DSML (Directory Serices Markup Language). Uma implementação XML que fornece um formato comum para descreer e compartilhar informações sobre seriços de diretório entre os diferentes sistemas de diretório. DSML identity feed. Um dos três tipos de seriço padrão do Tioli Identity Manager. Um seriço DSML identity feed importa dados do usuário de um banco de dados ou arquio de recursos humanos e alimenta as informações no diretório do Tioli Identity Manager. O seriço pode receber as informações em uma de duas maneiras: reconciliação ou notificação não solicitada. E entidade. 1) Uma pessoa ou objeto para o qual são armazenadas informações. 2) Uma das seguintes classes, conforme referido pelo sistema Tioli Identity Manager: Pessoa BPPerson Organização BPOrganization escopo. A faixa que um critério pode afetar. Geralmente, o escopo é definido como único ou de subárore. Quando o escopo for definido como único, o critério afeta apenas as entidades da mesma ramificação em que o critério está definido. Quando o escopo for definido como de subárore, o critério afeta a ramificação em que está definido e as outras ramificações subordinadas à ramificação de origem do critério. F formulários eletrônicos. Um formulário eletrônico sere como gabarito para definir os parâmetros do acesso sendo solicitado. função organizacional. Em gerenciamento de identidade, um atributo que é utilizado para determinar a associação a critérios que concedem acesso a ários recursos gerenciados. função organizacional estática. Uma função organizacional que pode ser atribuída manualmente apenas. G grupo ITIM. Um grupo de usuários no Tioli Identity Manager Serer. O acesso e a administração do sistema podem ser estruturados em torno dos grupos ITIM. No entanto, para que uma pessoa possa ser atribuída a um grupo ITIM, o usuário dee ser aproisionado com uma conta ITIM. Feito isso, a pessoa será um usuário ITIM e poderá ser adicionado a um grupo ITIM. 152 IBM Tioli Identity Manager: Guia de Configuração do Seridor

163 I informações pessoais. As informações pessoais de um usuário. Podem incluir o sobrenome, o primeiro nome, o endereço residencial, o número do telefone, o endereço de , o número do escritório, o superisor, etc. L limite de escalação. A quantidade de tempo, em dias, horas, minutos ou segundos, que um participante tem para responder a um pedido, antes de ocorrer uma escalação. lista de tarefas. A lista de itens de ações atribuída a um usuário para conclusão. localização. Um dos tipos de entidades subsidiárias que podem se adicionadas a uma organização. Geralmente, as localizações são utilizadas para separar logicamente as localizações geográficas com finalidade de gerenciamento organizacional. N nome do usuário. O ID utilizado pelo usuário para acessar o sistema. Esse ID também identifica o usuário para o sistema e permite que o sistema determine os direitos de acesso do usuário com base na filiação do usuário em árias funções organizacionais e grupos ITIM. O orfão (contas órfãs). Contas em um recurso remoto cujo proprietário no sistema Tioli Identity Manager não pode ser determinado. organização. Em gerenciamento de identidade, um corpo de usuários e recursos completamente independentes. Embora o compartilhamento de recursos entre as organizações seja possíel, o níel de integração entre as organizações é relatiamente baixo. Geralmente, uma organização representa uma empresa. organização de parceiros de negócios. Um dos tipos de entidades subsidiárias que podem se adicionadas a uma organização. Geralmente, uma organização de parceiros de negócios é utilizada para identificar um contratante, um fornecedor ou outros grupos de indiíduos que não são funcionários diretos, mas que precisam acessar os recursos de uma empresa. organizational unit. Um corpo de usuários e recursos dentro de uma organização definida para subdiidir uma organização em grupos mais gerenciáeis. Os usuários são atribuídos a apenas uma organizational unit. Os recursos também são atribuídos a apenas uma organizational unit, a não ser que sejam definidos como globais para uma organização. origem da ACI. A ramificação na árore da organização em que a ACI é criada. P palara-chae. Uma entrada de índice que identifica o critério em uma pesquisa. participante. Em gerenciamento de identidade, uma pessoa que tem autoridade para responder a um pedido que é submetido por meio do mecanismo de workflow. Um participante pode ser identificado como um indiíduo, como funções ou pelo uso de um script JaaScript personalizado. participante de escalação. Em gerenciamento de identidade, uma pessoa que tem autoridade para responder a pedidos que os participantes não respondem dentro do tempo de escalação especificado. Um participante da escalação pode ser identificado como um indiíduo, como funções ou pelo uso de um script JaaScript personalizado. pedido. Um item de ação no sistema Tioli Identity Manager solicitando aproação ou informações. pedidos concluídos. Pedidos que foram submetidos ao sistema e foram concluídos. pedidos pendentes. Pedidos que foram submetidos ao sistema, mas que ainda não foram concluídos. período de expiração da senha. O período de tempo que uma senha pode ser utilizada antes que o usuário seja obrigado a alterá-la. pessoa do parceiro de negócios. Uma pessoa em uma organização de parceiros de negócios. proprietário. Uma pessoa no sistema Tioli Identity Manager que possui uma conta ou um seriço. proprietário de autorização. Um grupo de usuários que podem definir ACI (Informações sobre Controle de Acesso) dentro do contexto da organizational unit a que pertencem. proisão. Para configurar e manter o acesso de um usuário a um sistema na organização. R ramificação. Cada níel dentro da árore da organização chama-se ramificação. Cada tipo de ramificação da árore é indicado por um ícone diferente. O conteúdo de uma ramificação com subunidades pode ser isualizado clicando-se no sinal de adição (+) próximo a ele. Glossário 153

164 reconciliação. O processo de comparação de informações do repositório central de dados com o sistema de agente gerenciado e de identificação das discrepâncias entre os dois. recurso. Uma entidade de hardware, software ou dados que é gerenciada pelo software do Tioli. Consulte também recurso gerenciado. relatório da conta. Um relatório que lista pessoas e suas contas associadas e se a conta está ou não em conformidade com os critérios atuais. alor é definido quando as informações pessoais do usuário são carregadas inicialmente no sistema. senha. Em segurança de computador e de rede, uma cadeia específica de caracteres inserida por um usuário e autenticada pelo sistema, que permite ao usuário obter acesso ao sistema e às informações nele armazenadas. seriço. Um programa que executa uma função principal dentro de um seridor ou software relacionado. relatório da operação. Um relatório que lista os pedidos de operação do Tioli Identity Manager por tipo de operação, data, quem solicitou a operação e para quem a operação foi solicitada. solicitado. submetido. solicitante. A pessoa para quem um pedido foi Uma pessoa que submete um pedido. relatório de reconciliação. Um relatório que lista as contas órfãs localizadas desde a execução da última reconciliação. relatório do usuário. Um relatório que lista todas as operações do Tioli Identity Manager por data, quem solicitou a operação e para quem a operação foi solicitada. relatório rejeitado. Um relatório que lista os pedidos rejeitados por data, quem solicitou a operação e para quem a operação foi solicitada. repositório central de dados. O banco de dados utilizado para graar e armazenar dados do usuário e de priilégios de acesso de todos os usuários registrados, incluindo registros de transação e manutenção. resposta desafio. Um método de autenticação que requer que os usuários respondam a um pedido, fornecendo informações particulares para erificar sua identidade ao efetuar login na rede. restaurar. restrição. Para reatiar uma conta que foi suspensa. Uma limitação em um parâmetro ou critério. RFI (request for information). Em gerenciamento de identidade, um item de ação que solicita informações adicionais do participante especificado e que é uma etapa necessária no workflow. rpm (resource proisioning management). O princípio de gerenciamento que combina três elementos principais - lógica de negócios, gerenciamento de workflow e agentes de distribuição - que juntos gerenciam centralmente a proisão de usuários com acesso às informações e recursos de negócios. S segredo compartilhado. Um alor criptografado utilizado para recuperar a senha inicial de um usuário para acessar o sistema Tioli Identity Manager. Esse SSL (secure socket layer). Um protocolo para transmissão de documentos particulares por meio da Internet. O SSL funciona utilizando uma chae priada para criptografar dados que são transferidos pela conexão SSL. subprocesso. Um projeto workflow iniciado como parte de outro projeto workflow. superisor. Uma pessoa no sistema Tioli Identity Manager designada como proprietário de uma unidade de negócios. suspender. O ato de desatiar uma conta para que o proprietário da conta não possa efetuar login no recurso. T tipo de controle. Uma instância da classe Tipo Jaa que representa o tipo de campo em uma interface com o usuário. Tioli Identity Manager Agent. Uma interface inteligente entre o sistema gerenciado alo e o Tioli Identity Manager Serer. Age como um administrador irtual confiáel e é um componente crítico que conerte pedidos do usuário e fornece às configurações seguras acesso a ários sistemas alo. Tioli Identity Manager Serer. Um pacote de software e seriços designado para implementar soluções de proisão com base em critérios. trilha de auditoria. O registro de transações para um sistema de computador durante um determinado período de tempo. U UI (interface com o usuário). O ídeo utilizado pelo usuário para interagir com o sistema. 154 IBM Tioli Identity Manager: Guia de Configuração do Seridor

165 unidade de negócios. uma organização. Uma entidade subsidiária de usuário. Qualquer pessoa que interage com o sistema. W workflow. A seqüência de atiidades executadas de acordo com o processo de negócios de uma empresa. Glossário 155

166 156 IBM Tioli Identity Manager: Guia de Configuração do Seridor

167 Índice Remissio A acessibilidade, documentação ii arquio CustomLabels.properties 74 arquio de log 8 arquio de propriedades enrole.properties 108 enrolelogging.properties 106 arquio de segurança 11 arquio enrole.properties 15 configuração da UI de gerenciamento de pedidos 46 configuração de seriços de correio 41 configuração específica do WebLogic 17 configuração específica do WebSphere 20 definições do monitor de transações de senha 32 informação de locatário padrão 24 informação sobre seridor LDAP 25 informações sobre cache 26 informações sobre configuração de workflow 37 informações sobre criptografia 35 informações sobre mensagem 27 informações sobre o conjunto de conexões do LDAP 34 informações sobre o seridor de aplicatios 23 informações sobre planejamento 31 informações sobre reconciliação 42 informações sobre XML e DTD 33 programa de configuração do sistema 36 propriedades de autenticação bidirecional de SSL 45 sinal numérico secreto compartilhado 44 arquio enroleauthentication.properties 49 configurando um mecanismo de autenticação personalizado 51 arquio enroledatabase.properties 52 arquio enroleldapconnection.properties 56 arquio enrolelogging.properties 59 arquio enrol .properties 62 arquio enrolepolicies.properties 64 arquio enroleworkflow.properties 66 arquio fesiextensions.properties 68 arquio LDIF dicionário de senhas 109 reconciliação 110 arquio UI.properties 71 arquios de propriedades CustomLabels.properties 74 enroleauthentication.properties 49 enroledatabase.properties 52 enroleldapconnection.properties 56 enrolelogging.properties 59 enrol .properties 62 enrolepolicies.properties 64 enroleworkflow.properties 66 fesiextensions.properties 68 listar 3 propriedades suplementares 47 UI.properties 71 B banco de dados configurando propriedades 8 banco de dados (continuação) conjunto 8 Descrição 7 informações gerais 7 C CA (Autoridade de Certificação) 79 certificados (SSL) CA (Autoridade de Certificação) 79 Certificate Signing Request (CSR) 79 chaes priadas e certificados digitais 76 configuração 75 configurando certificados do agente 87 formatos de chae 76 implementações de SSL 77 resumo de configuração 78 SSL entre o naegador e o seridor da web (WebLogic) 83 SSL entre o naegador e o seridor da web (WebSphere) 79 SSL iniciado pelo agente 88 agente com base em ADK 88 agente com base no IDI 88 alimentação JNDI 88 SSL seridor para agente 85 CertTool 86, 87 SSL unidirecional 86 utilitário ikeyman 79 isão geral 75 Certificate Signing Request (CSR) 79 CertTool 86, 87, 88 configuração da UI de gerenciamento de pedidos 46 configuração de seriços de correio 41 configuração específica do WebLogic 17 configuração específica do WebSphere 20 configurando um mecanismo de autenticação personalizado 51 conjunto de conexões do LDAP contagem de incrementos 7 tamanho inicial do conjunto 7 tamanho máximo do conjunto 7 conenções, em publicações iii Crystal Reports 125 configurando 127 fluxo do processo 126 RAS (Report Application Serer) 127 CSR (Certificate Signing Request) 79 D definições do monitor de transações de senha 32 documentos acessando on-line ii acessibilidade ii IBM DB2 i IBM Directory Serer i IBM HTTP Serer i Oracle i relacionado, ii seridor proxy da Web i Copyright IBM Corp

168 documentos (continuação) SQL Serer 2000 i Sun ONE Directory Serer i Suporte de enio incorporado de mensagens do WebSphere i WebLogic Application Serer i WebSphere Application Serer i documentos do IBM DB2 i documentos do Oracle i documentos do SQL Serer 2000 i documentos do WebLogic Application Serer i documentos do WebSphere Application Serer i documentos relacionados, ii E entrando em contato com o suporte F Ferramenta de Configuração do Sistema descrição 2 editando propriedades do sistema 2 guia Banco de Dados campos de Informações Gerais sobre o Banco de Dados 7 campos de Informações sobre o Conjunto de Bancos de Dados 8 Descrição 7 guia Correio campo Informações sobre Correio 10 campo Informações sobre o Seridor da Web 9 campos de Informações do Host 10 Descrição 9 guia Diretório campos de Informações sobre a Conexão do Seridor do Diretório 6 campos de Informações sobre o Conjunto de Conexões do LDAP 7 Descrição 6 guia Geral campos Informações sobre Planejamento 5 Descrição 4 Informações sobre o Seridor de Aplicatios 5 guia Registro campo Exceções de Rastreio 9 campo Níel de Registro 9 Descrição 8 guia Segurança Descrição 11 guia UI campo Link de Logotipo do Cliente 11 campo Logotipo do Cliente 11 Descrição 10 guia Listar Tamanho da Página 11 iniciando com base no UNIX 3 com base no Windows 4 ii G GSKit (IBM Global Security Toolkit) 77 GUI personalização cores 103 exibição de listas 104 GUI (continuação) personalização (continuação) fontes 103 links de página 104 logotipo 103 I IBM Directory Integrator (IDI) 88 IBM Directory Serer documentos i IBM GSKit (Global Security Toolkit) 77 IBM HTTP Serer documentos i IDI (IBM Directory Integrator) 88 ikeyman 88 informação de locatário padrão 24 informação sobre seridor LDAP 25 informações sobre cache 26 informações sobre configuração de workflow 37 informações sobre criptografia 35 informações sobre mensagem 27 informações sobre o conjunto de conexões do LDAP 34 informações sobre o seridor de aplicatios 23 informações sobre planejamento 31 informações sobre reconciliação 42 informações sobre XML e DTD 33 interface com o usuário da Web (Tioli Identity Manager) 13 L limite de duração da lixeira 5 log de alterações 112 Log4j 59 M mecanismo de autenticação, configurando personalizado 51 mecanismo de autenticação personalizado, configurando 51 mensagem de notificação de erro 105 personalização de gabarito 105 N notificação de erro configurando 105 distribuição de 106 O Open SSL 77 P pré-requisito documentos programa de configuração do sistema 36 propriedades banco de dados 7 banco de dados geral 7 configurando com a GUI do Tioli Identity Manager 13 conjunto de bancos de dados 8 conjunto de conexões do LDAP IBM Tioli Identity Manager: Guia de Configuração do Seridor

169 propriedades (continuação) correio 9, 10 criptografia 12 diretório 6 geral 4 gerenciamento de usuário de seridor de aplicatios 12 informações sobre a conexão de diretório 6 interface com o usuário 10 limite de duração da lixeira 5 Link de Logotipo do Cliente 11 listar tamanho da página 11 Logotipo do Cliente 11 níel de registro 9 planejamento 5 procedimento de recuperação de senha 108 pulsação 5 rastreio 9 registrando 8 segurança 11 Seridor da Web 9 Seridor de Aplicatios 5 SMTP 10 propriedades de autenticação bidirecional de SSL 45 propriedades do sistema arquio enrole.properties 15 compreendendo arquios de propriedades 16, 48 configuração da UI de gerenciamento de pedidos 46 configuração de seriços de correio 41 configuração específica do WebLogic 17 configuração específica do WebSphere 20 definições do monitor de transações de senha 32 informação de locatário padrão 24 informação sobre seridor LDAP 25 informações sobre cache 26 informações sobre configuração de workflow 37 informações sobre criptografia 35 informações sobre mensagem 27 informações sobre o conjunto de conexões do LDAP 34 informações sobre o seridor de aplicatios 23 informações sobre planejamento 31 informações sobre reconciliação 42 informações sobre XML e DTD 33 programa de configuração do sistema 36 propriedades de autenticação bidirecional de SSL 45 sinal numérico secreto compartilhado 44 propriedades suplementares 47 arquio CustomLabels.properties 74 arquio enroleauthentication.properties 49 arquio enroledatabase.properties 52 arquio enroleldapconnection.properties 56 arquio enrolelogging.properties 59 arquio enrol .properties 62 arquio enrolepolicies.properties 64 arquio enroleworkflow.properties 66 arquio fesiextensions.properties 68 arquio UI.properties 71 publicações acessando on-line ii acessibilidade ii conenções utilizadas em iii IBM DB2 i IBM Directory Serer i IBM HTTP Serer i Oracle i pré-requisito relacionado ii seridor proxy da Web i publicações (continuação) SQL Serer 2000 i Sun ONE Directory Serer i Suporte de enio incorporado de mensagens do WebSphere i Tioli Identity Manager WebLogic Application Serer i WebSphere Application Serer i público-alo pulsação 5 R RAS (Report Application Serer) 127 reconciliação, exclusão de conta 110 registrando gerador de anexos amostra 106 prioridade 106 uso 106 notificação por 105 Report Application Serer (RAS) 127 RSA SSL-C 77 RSA SSL-J 77 S senha dicionário 109 seridor proxy da Web documentos i seridores Web 9, 10 sinal numérico secreto compartilhado 44 Sincronizador ACI iniciando (modo de linha de comandos) 122 iniciando (modo gráfico) 121 instalação 111 instalando no WebLogic/UNIX 117 instalando no WebLogic/Windows 119 instalando no WebSphere/UNIX 113 instalando no WebSphere/Windows 115 log de alterações do seridor de diretórios 112 utilizando 111 SSL CA (Autoridade de Certificação) 79 Certificate Signing Request (CSR) 79 chaes priadas e certificados digitais 76 configuração de certificado 75 configurando certificados do agente 87 formatos de chae 76 implementações de SSL 77 resumo de configuração 78 SSL entre o naegador e o seridor da web (WebLogic) 83 SSL entre o naegador e o seridor da web (WebSphere) 79 SSL iniciado pelo agente 88 agente com base em ADK 88 agente com base no IDI 88 alimentação JNDI 88 SSL seridor para agente 85 CertTool 86, 87 SSL unidirecional 86 utilitário ikeyman 79 isão geral 75 Índice Remissio 159

170 Sun ONE Directory Serer documentos i suporte, entrando em contato ii Suporte de enio incorporado de mensagens do WebSphere documentos i T texto de espaçamento fixo texto em itálico iii texto em negrito iii iii U utilitário ikeyman 79 utilitário runconfig 2 editando propriedades do sistema IBM Tioli Identity Manager: Guia de Configuração do Seridor

171

172 Número do Programa: 5724 C34 Impresso em Brazil S