Implementación de PasswordSync en el servidor de aplicaciones

Una vez que ha instalado PasswordSync en los controladores de dominio de Windows, debe efectuar algunas otras operaciones en el servidor donde se ejecuta Identity Manager.

No es preciso instalar el servlet de PasswordSync en el servidor de aplicaciones. Se instala automáticamente a la vez que Identity Manager

Sin embargo, para finalizar la implementación de PasswordSync debe realizar las siguientes acciones en Identity Manager:

• Agregar y configurar el adaptador del Receptor de JMS (si utiliza JMS).

• Implementar el flujo de trabajo de sincronización de contraseñas de usuario.

• Configurar las notificaciones.

Adición y configuración del adaptador del Receptor de JMS

Si el servlet de PasswordSync utiliza JMS para enviar mensajes a Identity Manager, debe agregar el adaptador del Receptor de JMS de Identity Manager. El adaptador de recursos del Receptor de JMS verifica periódicamente la cola de mensajes de JMS para comprobar si contiene mensajes incluidos por el servlet de PasswordSync. Si la cola contiene un mensaje nuevo, lo envía a Identity Manager para que lo procese.

Para agregar el adaptador de recursos del Receptor de JMS

1. Inicie la sesión en la interfaz de administración de Identity Manager (Interfaz de administración de Identity Manager).

2. Seleccione Recursos -> Configurar tipos en menú principal.

   Aparece la página Configurar recursos administrados tal como muestra la Figura 11–10.

   Figura 11–10 Página Configurar recursos administrados.

   
   

3. Asegúrese de que esté seleccionada la casilla Receptor de JMS en la columna ¿Administrado?, como ilustra la Figura 11–10.

   Si no está seleccionada dicha casilla, márquela y pulse Guardar.

4. Elija Listar recursos en el menú secundario.

5. Busque el menú desplegable Acciones de tipo de recurso y elija Nuevo recurso.

   Aparece la página Nuevo recurso.

6. Para agregar el adaptador del Receptor de JMS, seleccione Receptor de JMS en el menú desplegable (como muestra la Figura 11–11) y pulse Nuevo.

   Figura 11–11 El asistente de Nuevo recurso

   
   

7. Configure los valores siguientes en la página Parámetros de recurso y después pulse Siguiente.

   • Tipo de destino. Indica el tipo de destino, que suele estar configurado en Cola. (Los temas raramente son importantes, porque hay un único suscriptor y múltiples publicadores potenciales.)

   • Contexto inicial de propiedades de JNDI. Defina el conjunto de propiedades usado para crear el contexto JNDI inicial.

     Debe definir los siguientes pares de nombre/valor:

     • java.naming.factory.initial. Indique el nombre de clase (incluyendo el paquete) del contexto de fábrica inicial para el proveedor de servicios JNDI.

     • java.naming.provider.url. Especifique la URL de la máquina donde se ejecuta el servicio JNDI.

       Quizá tenga que definir otras propiedades. La lista de propiedades y valores debe coincidir con los especificados en la página de valores de configuración de JMS en el servidor de JMS. Por ejemplo, para suministrar las credenciales y el método de enlace, tal vez deba especificar las siguientes propiedades de ejemplo:

       • java.naming.security.principal: DN de enlace (por ejemplo, cn=Directory manager)

       • java.naming.security.authentication: Método de enlace (por ejemplo, simple)

       • java.naming.security.credentials: Contraseña

   • Nombre JNDI de la fábrica de conexiones. Introduzca el nombre de una fábrica de conexiones definida en el servidor de JMS.

   • Nombre JNDI de destinos. Introduzca el nombre de un destino definido en el servidor de JMS.

   • Usuario y Contraseña. Introduzca el nombre de cuenta y la contraseña del administrador que solicita nuevos eventos de la cola.

   • Compatibilidad fiable con envío de mensajes. Seleccione LOCAL (Transacciones locales). Las otras opciones no son aplicables a la sincronización de contraseñas.

   • Asignación de mensaje. Introduzca java:com.waveset.adapter.jms.PasswordSyncMessageMapper. Esta clase convierte los mensajes del servidor de JMS a un formato utilizable en el flujo de trabajo de sincronización de contraseñas de usuario.

     

8. En la página Atributos de cuenta del asistente (Figura 11–12), pulse Agregar atributo y asigne los siguientes atributos, que PasswordSyncMessageMapper pone a disposición del adaptador del Receptor de JMS.

   • IDMAccountId: PasswordSyncMessageMapper resuelve este atributo basándose en los atributos resourceAccountId y resourceAccountGUID transferidos en el mensaje de JMS.

   • password: La contraseña cifrada que se reenvía en el mensaje de JMS.

   Figura 11–12 Página Atributos de cuenta en Crear asistente de recurso Receptor de JMS

   
   

9. Pulse Siguiente.

   Aparece la página del asistente de Plantilla de identidades tal como muestra la Figura 11–13. Observe que los atributos que añadió en el paso anterior están disponibles en la sección Asignaciones de atributos del Asistente de recursos (Figura 11–13).

   Figura 11–13 Asignaciones de atributos del asistente de recursos del Receptor de JMS

   
   

10. Pulse Siguiente y configure las opciones pertinentes de la página Parámetros de Identity System (Sistema de identidad).

    Encontrará más información para configurar el adaptador de recursos del Receptor de JMS en la guía Sun Identity Manager 8.1 Resources Reference.

Implementación del flujo de trabajo de sincronización de contraseñas de usuario

Cuando Identity Manager recibe una notificación de cambio de contraseña, inicia el flujo de trabajo de sincronización de contraseñas de usuario. El flujo de trabajo de sincronización de contraseñas de usuario predeterminado examina el visor ChangeUserPassword y después vuelve a comprobarlo. A continuación, el flujo de trabajo procesa todas las cuentas de recursos (excepto en el recurso de Windows que ha enviado la notificación inicial de cambio de contraseña). Por último, Identity Manager notifica por correo electrónico al usuario si la contraseña se ha cambiado correctamente en todos los recursos.

Si desea utilizar la implementación predeterminada del flujo de trabajo de sincronización de contraseñas de usuario, asígnela como regla de proceso a la instancia del adaptador del Receptor de JMS. Puede asignar reglas de proceso al configurar el Receptor de JMS para la sincronización (Configuración de Active Sync).

Si prefiere modificar el flujo de trabajo, copie el archivo $WSHOME/sample/wfpwsync.xml y realice las modificaciones que desee. Después, importe el flujo de trabajo modificado a Identity Manager.

Estas son algunas modificaciones que quizá le interese efectuar en el flujo de trabajo predeterminado:

• Las entidades a las que se notifica cuando cambia una contraseña.

• Qué sucede si no se encuentra una cuenta de Identity Manager.

• Cómo se seleccionan los recursos en el flujo de trabajo.

• Si se permiten cambios de contraseña desde Identity Manager.

Encontrará información para utilizar los flujos de trabajo en el Capítulo 1, Workflow de Sun Identity Manager Deployment Reference.

Configuración de notificaciones

Identity Manager proporciona dos plantillas de correo electrónico para informar a los usuarios si una contraseña se ha cambiado correctamente en todos los recursos.

Estas plantillas son:

• Aviso de sincronización de contraseña

• Aviso de fallo de flujo de trabajo de sincronización

Ambas plantillas deben actualizarse con información específica de la empresa sobre cómo deben proceder los usuarios si necesitan más ayuda. Para obtener más información, consulte Personalización de plantillas de correo electrónico en el Capítulo 4Configuración de objetos de administración de negocio.