EIM konfigurieren

Enterprise Identity Management (EIM) ist ein Mechanismus für die Zuordnung einer Person oder Entität zu den entsprechenden Benutzeridentitäten in verschiedenen Registrys innerhalb eines Unternehmens. EIM ermöglicht es Administratoren und Anwendungsentwicklern, mehrere Benutzerregistrys innerhalb ihres Unternehmens einfacher und effizienter zu verwalten. Bei mehreren Benutzerregistrys erfordert jeder Benutzer oder jede Entität innerhalb des Unternehmens eine separate Identität in jedem Registry. Die Bestimmung mehrerer Benutzerregistrys kann zu einem großen administrativen Problem werden, das Benutzer, Administratoren und Anwendungsentwickler betrifft.

EIM ermöglicht es Ihnen, ein System mit Identitätszuordnungen zwischen verschiedenen Benutzeridentitäten in verschiedenen Benutzerregistrys für eine Person in Ihrem Unternehmen zu erstellen. Außerdem stellt EIM eine allgemeine Gruppe von APIs zur Verfügung, die plattformübergreifend zum Entwickeln von Anwendungen verwendet werden können, die die von Ihnen erstellten Identitätszuordnungen verwenden können, um die Beziehungen zwischen Benutzeridentitäten anzuzeigen. Sie können EIM zusammen mit dem Netzwerkauthentifizierungsservice (NAS) verwenden, um eine Umgebung mit einmaliger Anmeldung einzurichten.

Mit Ihren sicheren Anwendungen authentifiziert sich ein Benutzer für ein LDAP-Registry, um ein Programm auf dem iSeries-System auszuführen. Um die einmalige Anmeldung (Single Sign-on) verwenden zu können, müssen in EIM Sie eine ID erstellen, die zwei Zuordnungen hat: eine Quellenzuordnung zu dem LDAP-Registry und eine Zielzuordnung zu dem iSeries-System, auf dem das Programm ausgeführt werden soll.

Sie können EIM über den iSeries Navigator konfigurieren und verwalten. Der iSeries-Server verwendet EIM zum Aktivieren der OS/400-Schnittstellen, um Benutzer zu authentifizieren, die NAS verwenden. Die Konfiguration von EIM umfasst die folgenden Schritte:
  1. Erstellen einer EIM-Domäne
  2. Hinzufügen der Domäne zur Domänenverwaltung (Domain Management)
  3. Erstellen einer Quellenbenutzerregistrydefinition in EIM
  4. Erstellen einer Zielbenutzerregistrydefinition in EIM
  5. Erstellen einer Benutzer-ID in EIM
  6. Erstellen von Zuordnungen in EIM für die Benutzer-ID

Führen Sie die folgenden Schritte aus, um EIM zu konfigurieren:

  1. Wählen Sie in der linken Navigationsanzeige von iSeries Navigator Ihr System > Netz > Enterprise Identity Mapping > Domänenverwaltung > Domäne > Konfiguration aus.
  2. Klicken Sie mit der rechten Maustaste und wählen Sie die Option Konfigurieren aus, um den Konfigurationsassistenten zu starten, der eine EIM-Domäne erstellt und Ihr System mit dieser Domäne verknüpft.

    Fügen Sie jetzt die neue Domäne zur Domänenverwaltung hinzu.

  3. Wählen Sie in der linken Navigationsanzeige von iSeries Navigator Ihr System > Netz > Enterprise Identity Mapping > Domänenverwaltung aus.
  4. Klicken Sie mit der rechten Maustaste und wählen Sie die Option Domäne hinzufügen aus, um den Konfigurationsassistenten zu starten, der die erstellte Domäne zur Domänenverwaltung hinzufügt.

    Der Identitätstoken-Connector erfordert einen Quellenbenutzerregistrydefinitionseintrag in EIM, der das Registry darstellt, das WAS für die Authentifizierung verwendet: entweder ein lokales OS-Registry oder ein LDAP-Registry.

  5. Wählen Sie in der linken Navigationsanzeige von iSeries Navigator Ihr System > Netz > Enterprise Identity Mapping > Domänenverwaltung > Domäne > Benutzerregistrys aus.
  6. Klicken Sie mit der rechten Maustaste und wählen Sie Registry hinzufügen aus, um den Konfigurationsassistenten zu starten, der ein Registry zu Ihrer Domäne hinzufügt. Da Ihr Anwendungsserver für die Verwendung des LDAP-Registrys konfiguriert ist, verwenden Sie 1.3.18.02.33.14-caseIgnore als EIM-Registrytyp. Der Name, den Sie hier angeben (beispielsweise System_A_WAS), wird auch während der WAS-Sicherheitskonfiguration verwendet.

    Der Identitätstoken-Connector erfordert einen Benutzer-ID-Eintrag in EIM, der den Benutzer der Anwendung darstellt.

  7. Wählen Sie in der linken Navigationsanzeige von iSeries Navigator Ihr System > Netz > Enterprise Identity Mapping > Domänenverwaltung > Domäne > IDs aus.
  8. Klicken Sie mit der rechten Maustaste und wählen Sie Neue ID... aus.
  9. Geben Sie einen ID-Namen ein, wie beispielsweise den vollständigen Namen des Benutzers (zum Beispiel John Day), und klicken Sie OK an.

    Um die Zuordnung einer Benutzer-ID zu einer anderen Benutzer-ID zu unterstützen, müssen Sie Zuordnungen in EIM erstellen. Mit diesen Zuordnungen wird der im LDAP-Registry authentifizierte Benutzer dem Benutzerprofil zugeordnet, das zur Ausführung der Anwendung auf dem iSeries-System erforderlich ist.

  10. Erstellen Sie eine Zielzuordnung, um das Benutzerprofil auf dem OS/400-Zielsystem anzugeben:
    1. Wählen Sie in der linken Navigationsanzeige von iSeries Navigator Ihr System > Netz > Enterprise Identity Mapping > Domänenverwaltung > Domäne > IDs aus.
    2. Klicken Sie die ID für den Benutzer, der zugeordnet werden soll, doppelt an.
    3. Klicken Sie die Registerkarte Zuordnungen an.
    4. Klicken Sie Hinzufügen an und geben Sie die folgenden Werte für die Zielzuordnung ein:
      • EIM-ID - in diesem Beispiel ist John Day vorab gefüllt
      • Registry - das Zielregister, beispielsweise System_B
      • Benutzer - die Benutzer-ID im Zielregister, beispielsweise jsd1
      • Zuordnungstyp - wählen Sie Ziel aus
    5. Klicken Sie OK an. Diese Zielzuordnung stellt die Benutzer-ID und das Registry dar, unter denen Anwendungen ausgeführt werden.
  11. Erstellen Sie eine Quellenzuordnung zur Darstellung der Benutzer-ID, die bei der Authentifizierung (Anmeldung) für WAS verwendet werden soll:
    1. Klicken Sie Hinzufügen an und geben Sie die folgenden Werte für die Quellenzuordnung ein.
      • EIM-ID - in diesem Beispiel ist John Day vorab gefüllt
      • Registry - das Quellenregister, beispielsweise System_A_WAS
      • Benutzer - die Benutzer-ID im Quellenregister, beispielsweise johnday
      • Zuordnungstyp - wählen Sie Quelle aus
    2. Klicken Sie OK an, um die neue Zuordnung hinzuzufügen. Diese Quellenzuordnung stellt den Benutzer dar, der für den WebSphere Application Server authentifiziert ist.
  12. Klicken Sie OK an, um die Zuordnungen zu sichern.

Feedback