Déploiement de PasswordSync sur le serveur d'application

Une fois PasswordSync installé sur vos contrôleurs de domaine Windows, vous devez effectuer les étapes supplémentaires suivantes sur le serveur d'application exécutant Identity Manager.

Vous n'avez pas à installer la servlet PasswordSync sur le serveur d'application. Elle a été installée automatiquement quand vous avez installé Identity Manager.

Pour terminer de déployer PasswordSync toutefois, vous devez effectuer les actions suivantes dans Identity Manager :

• ajouter et configurer l'adaptateur Listener JMS (si vous utilisez JMS) ;

• implémenter le flux de travaux « Synchronize User Password » (Synchroniser le mot de passe de l'utilisateur ) ;

• paramétrer les notifications.

Ajout et configuration d'un adaptateur Listener JMS

Si la servlet PasswordSync utilise JMS pour envoyer des messages à Identity Manager, vous devez ajouter l'adaptateur de ressource Listener JMS d'Identity Manager. L'adaptateur de ressource Listener JMS contrôle régulièrement si des messages n'ont pas été placés dans la file d'attente de messages de JMS par la servlet de PasswordSync. Si la file d'attente contient un nouveau message, l'adaptateur l'envoie à Identity Manager qui le traite.

Pour ajouter l'adaptateur de ressource Listener JMS

1. Connectez-vous à l'interface administrateur d'Identity Manager (Interface administrateur d'Identity Manager).

2. Sélectionnez Ressources -> Configurer les types dans le menu principal.

   La Page Configurer les ressources gérées s'ouvre comme indiqué à la Figure 11–10.

   Figure 11–10 Page Configurer les ressources gérées

   
   

3. Vérifiez que la case à cocher Listener JMS dans la colonne Gérés ? est cochée comme indiqué à la Figure 11–10.

   Si cette case n'est pas sélectionnée, cochez-la et cliquez sur Enregistrer.

4. Cliquez sur Lister les ressources dans le menu secondaire.

5. Localisez le menu déroulant Actions du type de ressources et sélectionnez Nouvelle ressource.

   La page Nouvelle ressource s'affiche.

6. Pour ajouter l'adaptateur Listener JMS, sélectionnez Listener JMS dans le menu déroulant (comme indiqué à la Figure 11–11) et cliquez sur Nouveau.

   Figure 11–11 L'assistant Nouvelle ressource

   
   

7. Configurez les paramètres suivants sur la page Paramètres de ressource puis cliquez sur suivant.

   • Type de destination. Cette valeur est en général définie sur File d’attente (les rubriques ne sont en général pas applicables car il y a un abonné et, potentiellement, plusieurs éditeurs).

   • Propriétés JNDI du contexte initial. Définissez l'ensemble des propriétés qui sont utilisées pour construire le contexte JNDI initial.

     Vous devez définir les paires nom/valeur suivantes :

     • java.naming.factory.initial. Spécifiez le nom de la classe (package compris) de l'Initial Context Factory (Fabrique de contexte initiale) pour le Service Provider JNDI.

     • java.naming.provider.url. Spécifiez l'URL de la machine exécutant le service JNDI.

       Vous pouvez avoir à définir des propriétés supplémentaires. La liste des propriétés et valeurs doit correspondre à celles indiquées sur la page des paramètres JMS sur le serveur JMS. Par exemple, pour fournir les informations d'authentification et la méthode de liaison, il est possible que vous deviez spécifier les propriétés d'exemple suivantes :

       • java.naming.security.principal : DN de liaison (par exemple, cn=Directory manager).

       • java.naming.security.authentication : méthode de liaison (par exemple, simple).

       • java.naming.security.credentials : mot de passe.

   • Nom JNDI de la fabrique de connexion. Saisissez le nom d'une fabrique de connexion tel que défini sur le serveur JMS.

   • Nom JNDI de destination. Saisissez le nom d'une destination tel que défini sur le serveur JMS.

   • Utilisateur et Mot de passe. Saisissez le nom et le mot de passe du compte de l'administrateur qui demande de nouveaux événements de la file d'attente.

   • Support de messagerie fiable. Sélectionnez LOCAL (transactions locales). Les autres options ne sont pas applicables pour la synchronisation des mots de passe.

   • Mappage des messages. Entrez java:com.waveset.adapter.jms.PasswordSyncMessageMapper. Cette classe convertit les messages provenant du serveur JMS en un format pouvant être utilisé par le flux de travaux Synchronize User Password.

     

8. Sur la page de l'assistant Attributs de compte (Figure 11–12), cliquez sur Ajouter un attribut et mappez les attributs suivants, qui sont mis à la disposition de l'adaptateur Listener JMS par PasswordSyncMessageMapper.

   • IDMAccountId : cet attribut est résolu par PasswordSyncMessageMapper, sur la base des attributs resourceAccountId et resourceAccountGUID transmis dans le message JMS.

   • password: mot de passe chiffré transféré dans le message JMS.

   Figure 11–12 Page Attributs de compte de l'assistant de création de la ressource Listener JMS

   
   

9. Cliquez sur Suivant.

   La page de l'assistant Modèle d’identité s'ouvre comme indiqué à la Figure 11–13. Vous remarquerez que les attributs que vous avez ajoutés à l'étape précédente sont disponibles dans la section des mappages d’attributs de l'assistant Ressources (Figure 11–13).

   Figure 11–13 Mappages d’attributs de l'assistant Ressources du Listener JMS

   
   

10. Cliquez sur Suivant et configurez les options de la page Paramètres du système d’identité qui doivent l'être.

    Pour plus d'informations sur le paramétrage de l'adaptateur de ressources Listener JMS, voir le guide Sun Identity Manager 8.1 Resources Reference.

Implémentation du flux de travaux « Synchronize User Password »

À la réception d'une notification de changement de mot de passe, Identity Manager lance le flux de travaux Synchronize User Password (Synchroniser le mot de passe de l'utilisateur). Le flux de travaux Synchronize User Password par défaut contrôle l'afficheur ChangeUserPassword puis l'enregistre de nouveau. Le flux de travaux traite ensuite tous les comptes de ressource (à l'exception de la ressource Windows qui a envoyé la notification de changement de mot de passe initiale). Pour finir, Identity Manager envoie à l'utilisateur un e-mail indiquant si le changement de mot de passe a réussi sur toutes les ressources.

Pour utiliser l'implémentation par défaut du flux de travaux Synchronize User Password, assignez-le en tant que règle de traitement pour l'instance d'adaptateur Listener JMS en question. Les règles de traitement peuvent être assignées quand vous configurez le Listener JMS pour la synchronisation (voir Configuration d'Active Sync).

Pour modifier le flux de travaux, copiez le fichier $WSHOME/sample/wfpwsync.xml et effectuez les modifications de votre choix. Importez ensuite le flux de travaux modifié dans Identity Manager.

Les modifications susceptibles d'être apportées au flux de travaux par défaut peuvent porter sur :

• les entités qui sont averties lorsqu'un mot de passe est changé ;

• ce qui se passe si un compte Identity Manager est introuvable ;

• la façon dont les ressources sont sélectionnées dans le flux de travaux ;

• si autoriser les changements de mot de passe depuis Identity Manager.

Pour des informations détaillées sur l'utilisation des flux de travaux, voir le Chapitre 1, Workflow du Sun Identity Manager Deployment Reference.

Paramétrage des notifications

Identity Manager fournit deux modèles d'e-mails pouvant informer les utilisateurs de l'issue d'un changement de mot de passe sur les différentes ressources.

Ces modèles sont les suivants :

• Avis de synchronisation du mot de passe,

• Avis d’échec de la synchronisation du mot de passe.

Ces deux modèles doivent être mis à jour pour fournir des informations spécifiques à l'entreprise sur ce que doivent faire les utilisateurs quand ils ont besoin d'assistance supplémentaire. Pour plus d'informations, voir Personnalisation des modèles d'e-mails au Chapitre 4Configuration des objets d'administration d'entreprise.