IBM ISVG(IBM Security Verify Governance,前称 IBM IGI - Identity Governance and Intelligence)是一个企业级身份治理与管理(IGA)解决方案,用于管理用户身份、角色和权限的生命周期。它帮助企业实现对用户访问的统一管理,增强安全性,满足合规性要求。
以下是 连接 AD(Active Directory)服务器实现用户和密码同步 的简单讲解:
1、系统功能与架构
IBM ISVG 提供以下功能:
- 用户生命周期管理:创建、修改、删除用户账户。
- 密码管理:统一密码策略和同步。
- 角色与权限管理:分配和管理角色与权限。
- 合规审计:提供访问审计和报告能力。
在连接 AD 时,ISVG 会充当身份同步和治理的中央枢纽。
2、实现用户、密码同步的流程
以下是连接 AD 实现用户和密码同步的核心步骤:
1. 环境准备
- 确保 AD 服务器正常运行并开放必要端口(如 LDAP 或 LDAPS)。
- 获取 AD 的访问凭据(具有读取用户对象和密码管理权限)。
2. 配置 ISVG 与 AD 的连接
- 在 ISVG 中,添加一个新的 LDAP 数据源,填写以下关键信息:
- LDAP 服务器地址:AD 的主机名或 IP 地址。
- 端口号:通常为 389(LDAP)或 636(LDAPS)。
- 绑定用户和密码:AD 管理员或具备相应权限的服务账号。
- 基础 DN(Base DN):用于搜索用户的目录根节点,例如
dc=example,dc=com。
3. 同步用户信息
- 用户同步任务: 通过 ISVG 的“身份数据同步”功能,创建定时任务,从 AD 拉取用户数据并同步到 ISVG。
- 定义同步范围(如用户属性:
cn,sAMAccountName,mail等)。 - 定义同步频率(如每小时、每日)。
- 定义同步范围(如用户属性:
4. 启用密码同步
- 安装 IBM Password Synchronizer: 在 AD 域控制器上安装 ISVG 提供的 Password Synchronizer 插件。此插件可以实时捕获密码更改事件。
- 用户在 AD 中修改密码时,Password Synchronizer 会将密码更新同步到 ISVG。
- 反向同步:如果用户通过 ISVG 修改密码,ISVG 会调用 AD 的 API 同步更新。
5. 测试和验证
- 验证用户同步:检查 ISVG 是否成功导入 AD 用户,并确保用户属性准确。
- 验证密码同步:在 AD 修改用户密码后,确认 ISVG 的密码同步是否生效,反之亦然。
3、关键技术点
- LDAP 协议:ISVG 使用 LDAP 协议与 AD 通信,是用户信息同步的基础。
- 密码捕获插件:AD 的 Password Synchronizer 是实现密码实时同步的关键。
- 用户属性映射:在 ISVG 和 AD 之间需要配置属性映射规则,确保用户信息一致性。
- 双向同步:确保 AD 和 ISVG 双向同步配置正确,避免数据不一致。
4、优势
- 集中管理:通过 ISVG 实现多系统统一用户管理,不仅限于 AD。
- 安全性提升:密码同步避免了弱密码或未加密传输问题。
- 合规性:满足身份治理和审计需求。
5、例子
1.在AD服务器安装下面代理程序
2.在AD服务器配置
如果不使用SSL协议,请修改下图,同时开放AD服务器防火墙端口如图45580
3.在ITIM Manager更新AD
导入AD代理安装程序中的Jar包
4.在ITIM Manager中配置服务,如下面信息
注意agent密码最好在AD服务器配置中修改
下图是修改登录代理的密码,立即生效
下图是修改连接代理的密码,需要重启代理
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
