Die config.json-Datei

Online bearbeiten

Diese Konfigurationsdatei muss im JSON-Format vorliegen. Sie enthält den Abschnitt ibm-auth-api und einen für Berechtigungsnachweisprovider (credential-provider).

Format

{
    "ibm-auth-api":{
        "client-id":"????????-????-????-????-????????????",
        "ofb-client-secret":"**********",
        "protocol":"https",
        "host":"tenant.verify.ibm.com",
        "port":443,
        "max-handles":16
    },
    "credential-provider":{
        "username-format":"%D\\\\%U",
        /*"trace-file":"c:/credprov/credprov.log",*/
        "disable-builtin-password-logon": false,
        "auth-method":"winpwd-then-choice-then-otp"
    }
}

ibm-auth-api konfigurieren


Eingabe	Beispielwert	Beschreibung
„Client-ID“	"84e8da25-d7ed-47cc-9782-b852cb64365c"	Dieser Wert ist erforderlich. Ein IBM® Verify-API-Client muss für die Verwendung durch IBM Verify Gateway for Windows™ Login erstellt werden.
"ofb-client-secret"	"KsjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA="	Dieser Wert ist erforderlich. Der IBM Verify API-Client erhält bei seiner Erstellung ein Passwort, das in dieser Konfigurationseinstellung festgelegt werden muss. Der Wert für obf-client-secret wird in verschlüsselter Form bereitgestellt. Hinweis: Dieser „obf-client-secret“ kann alternativ auch im Klartext angegeben werden, indem stattdessen die Option „client-secret“ verwendet wird. Beispiel: `"client-secret”:"XOpiba1XeP"` . `"obf-client-secret”: "asjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA=",`
"protocol"	"https"	Dieser Wert ist optional; für den Wert wird standardmäßig "https" angenommen. Dieses Protokoll wird für die Kommunikation mit dem Verify Server verwendet. Jeder der beiden Werte, "http" oder "https", kann verwendet werden. Wenn HTTPS verwendet wird und die Datei cacert.pem vorhanden ist, werden das IBM Verify-Serverzertifikat und der Servername validiert.
„Gastgeber“	verify.ibm.com„Mieter.“	Dieser Wert ist erforderlich. Es gibt den Verify Server an, den Sie verwenden.
"port"	443	Dieser Wert ist optional; für den Wert wird standardmäßig 443 angenommen. Dieser Port ist der Port, auf dem der Verify Server auf Anfragen wartet.
"max-handles"	2	Dieser Wert ist optional; für den Wert wird standardmäßig 16 angenommen. Dieser Wert gibt die maximale Anzahl paralleler Verbindungen an, die das „ IBM Verify -Gateway für Windows-Anmeldung“ zur Benutzerauthentifizierung mit dem IBM Verify Server herstellt. Jede Schnittstelle eines Berechtigungsnachweisproviders verwendet nie mehr als zwei Verbindungen gleichzeitig, sodass ein Wert von 2 geeignet ist.
"proxy"	"http://proxy.ibm.com:1080"	Dieser Wert ist optional; für den Wert wird standardmäßig angenommen, dass kein Proxy, sondern Direktverbindungen verwendet werden. Richte den Proxy für den Zugriff auf den Verify Mandanten ein. Der Wert ist ein Hostname oder eine numerische IP-Adresse mit Trennzeichen. Eine numerische IPv6-Adresse muss in eckige Klammern, [], eingeschlossen werden. Um die Portnummer in dieser Zeichenfolge anzugeben, fügen Sie `:[port]` am Ende des Hostnamens ein. Für den Proxy-Port wird standardmäßig `port :1080` angenommen. Der Proxy-String kann mit `[scheme]://` einem Präfix versehen werden, um anzugeben, welche Art von Proxy verwendet wird. http:// HTTP-Proxy. Der Standardtyp, wenn kein Schema oder Proxy-Typ angegeben ist. https:// HTTPS-Proxy. In 7.52.0 für OpenSSL, Gnus und NSS hinzugefügt. socks4:// SOCKS4-Proxy. socks4a:// SOCKS4a-Proxy. Vom Proxy wird der URL-Hostname aufgelöst. socks5:// SOCKS5-Proxy. socks5h:// SOCKS5-Proxy. Vom Proxy wird der URL-Hostname aufgelöst. Ohne Schemapräfix wird standardmäßig `http://` verwendet. Wenn Sie für die Proxy-Zeichenfolge `""` festlegen (eine leere Zeichenfolge), wird die Verwendung eines Proxys explizit inaktiviert, auch wenn hierfür eine Umgebungsvariable festgelegt ist. Eine Proxy-Host-Zeichenfolge kann auch das Protokollschema `http://` sowie einen eingebetteten Benutzer und ein Kennwort enthalten. `SSL_CERT_FILE`Hinweis: Wenn Sie einen „ HTTPS “-Proxy verwenden, setzen Sie die Umgebungsvariable „ OpenSSL “ auf dem Windows-System, auf dem das „ IBM Verify Gateway for Windows Login“ ausgeführt wird. Diese Umgebungsvariable gibt den Namen und die Position der CA-Zertifikatsdatei an. Gehen Sie zu Systemsteuerung > System und Sicherheit > Erweiterte Systemeinstellungen > Umgebungsvariablen > Systemvariablen und geben Sie die Variable an. Beispiel: `SSL_CERT_FILE = C:\ Program Files\IBM\WindowsLogin\ cacert.pem`
"proxytunnel"	wahr	Dieser Wert ist optional; für den Wert wird standardmäßig "true" angenommen, wenn der Proxy aktiviert ist. Setzen Sie das `proxytunnel` Argument auf `true` , damit Verify der Tenant-Vorgang über den Proxy „ HTTP “ geleitet wird. Die Verwendung eines Proxys unterscheidet sich von der Übertragung im Tunnelungsverfahren über den Proxy. Tunnelung bedeutet, dass eine HTTP-Anforderung CONNECT an den Proxy gesendet wird, in der der Proxy aufgefordert wird, die Verbindung zu einem fernen Host an einer bestimmten Portnummer herzustellen; der Datenverkehr erfolgt dann über den Proxy. Proxys verfügen über eine Zulassungsliste, in der die spezifischen Nummern der Ports aufgelistet sind, an die Anforderungen CONNECT gesendet werden können. In der Regel sind nur die Ports 80 und 443 zulässig.
"connect-timeout"	10	Dieser Wert ist optional; für den Wert werden standardmäßig 10 Sekunden angenommen. Die Wartezeit in Sekunden, während der versucht wird, eine Verbindung zum Server Verify herzustellen. Wenn der erste Versuch fehlschlägt, erfolgt eine einzige Wiederholung.
"timeout"	20	Dieser Wert ist optional; für den Wert werden standardmäßig 20 Sekunden angenommen. Die Zeit in Sekunden, die das „ IBM Verify -Gateway für Windows-Anmeldung“ darauf wartet, dass Daten über die Verify Serververbindung empfangen werden.
„Token-Typ“	„Inhaber“	Legt den Zugriffstoken-Typ „access-token“ fest.
„Zugriffstoken“	„abced...“	Gibt das für den Mandanten zu verwendende Zugriffstoken an. Dies ist eine Alternative zur Verwendung der Optionen „client-id“ und „client-secret“, wenn das Zugriffstoken bereits bekannt ist.
„ca-path“	"C:\Program\Files\IBM\WindowsLogin\cacert.pem“	Gibt eine Datei mit einer Liste der zulässigen Zertifizierungsstellen an, die das Zertifikat des Verify Mandantenservers signieren dürfen. Diese Textdatei enthält ein oder mehrere öffentliche Schlüsselzertifikate der Zertifizierungsstelle „ PEM “ im Format „ base64 “. Standardmäßig wird die cacert.pem Datei verwendet, die sich im Verzeichnis für Konfigurationsdateien befindet.
„origin-user-agent“	"IBM Verify"	Gibt den User-Agent an, der in der Anfrage zum Auslösen einer Push-Transaktion (Gerät) gesendet wird.
„proxy-ca-path“	"C:\Program\Files\IBM\WindowsLogin\cacert.pem“	Gibt eine Datei an, die eine Liste der zulässigen Zertifizierungsstellen enthält, die das Zertifikat des Proxy-Servers signieren dürfen. Diese Textdatei enthält ein oder mehrere öffentliche Schlüsselzertifikate der Zertifizierungsstelle „ PEM “ im Format „ base64 “. Standardmäßig wird die cacert.pem Datei verwendet, die sich im Verzeichnis für Konfigurationsdateien befindet.
„revoke-best-effort“	falsch	Für die Kommunikation der TLS -Anwendung mit der Verify Tenant-REST-API. Dies gibt an, ob die Überprüfung auf gesperrte Zertifikate ignoriert werden soll, falls Verteilungspunkte fehlen oder offline sind – und zwar für jene Backends von „ TLS “, bei denen ein solches Verhalten auftritt.
„unwiderruflich“	falsch	Für die Kommunikation der TLS -Anwendung mit der Verify Tenant-REST-API. Dies gibt an, ob die Überprüfung auf Zertifikatssperrungen für jene Backends von „ TLS “ deaktiviert werden soll, bei denen ein solches Verhalten auftritt. Diese Option wird nur unter Windows unterstützt, mit einer Ausnahme: Die Sperrliste für nicht vertrauenswürdige Herausgeber unter Windows kann nicht umgangen werden. Diese Option hat Vorrang vor „revoke-best-effort“.

credential-provider konfigurieren


Eingabe	Beispielwert	Beschreibung
"trace-file"	“C:\Temp\credprov.log”	Dieser Wert ist optional; für den Wert wird standardmäßig kein Tracing angenommen. Hinweis: Wenn die Datei C:\Program Files\IBM\WindowsLogin\credprov.log vorhanden ist, wird die Protokollierung automatisch und bereits in einer früheren Phase des Startvorgangs von Login Verify Gateway for Windows aktiviert.
"auth-method"	"winpwd-then-choice-then-otp"	Dieser Wert ist optional; für den Wert wird standardmäßig "winpwd-then-choice-then-otp" angenommen. Diese Angabe definiert die MFA-Methode, die zur Authentifizierung des Benutzers verwendet wird. "winpwd" Nur Windows-Passwort. "winpwd-and-totp" Das Windows-Passwort in Kombination mit dem zeitabhängigen Einmalpasswort in einer einzigen Eingabe. "winpwd-then-smsotp" Das Windows-Passwort, gefolgt vom einmaligen SMS-Passwort. "winpwd-then-emailotp" Windows-Passwort, gefolgt von einem einmaligen Passwort per E-Mail. "winpwd-then-choice-then-otp" Das Windows-Passwort, gefolgt von der Auswahl einer der verfügbaren Methoden zur „ 2FA “, gefolgt von dem ausgewählten Einmal-Passcode oder dem Warten auf die Benachrichtigung auf dem Gerät. Hinweis: Wenn nur eine Auswahlmöglichkeit zur Verfügung steht, wird der Auswahlschritt übersprungen. "winpwd-then-device" Das Windows-Passwort, gefolgt von der Benachrichtigung über das Gerät. Wenn für den Benutzer mehr als ein Gerät registriert ist, wird ein Auswahlschritt angezeigt. "winpwd-then-transient" Das Windows-Passwort, gefolgt vom Einmalpasswort. Wenn für den Benutzer mehr als eine transiente Authentifizierungsmethode registriert ist, wird ein Auswahlschritt angezeigt.
"accept-on-missing-auth-method"	falsch	Dieser Wert ist optional; für den Wert wird standardmäßig "false" angenommen. Wenn der Wert auf "true" gesetzt wird und ein Benutzer über keine geeignete Zwei-Faktor-Authentifizierung (2FA) für die Authentifizierungsmethode (auth-method) verfügt, kann sich der Benutzer anmelden, indem er nur sein Kennwort verwendet.
"password-first"	falsch	Dieser Wert ist optional; für den Wert wird standardmäßig "false" angenommen. Wenn der Wert auf "true" gesetzt wird und für die Authentifizierungsmethode (auth-method) "winpwd-and-totp" festgelegt ist, muss für die kombinierte Eingabe aus Kennwort und TOTP-Wert zuerst das Kennwort angegeben werden. Wenn der Wert "false" lautet, muss in der kombinierten Eingabe zuerst der TOTP-Wert angegeben werden.
"otp-prompt"	"Enter the One Time Passcode %C-"	Dieser Wert ist optional; für den Wert wird standardmäßig "Enter the One Time Passcode %C-" angenommen. Diese Eingabeaufforderung wird angezeigt, wenn der Benutzer zur Eingabe seines Kennworts für einmaliges Anmelden aufgefordert wird. Wenn die Zeichenfolge %C in der Eingabeaufforderung vorhanden ist, wird sie durch den Korrelationswert für die OTP-Methode ersetzt. Sie ist die leere Zeichenfolge für das zeitbasierte Kennwort für einmaliges Anmelden (OTP).
"password-separator"	“,”	Dieser Wert ist optional und weist standardmäßig den Wert "`,`" auf. Dieses Zeichen muss zwischen die kombinierte Eingabe aus Kennwort und zeitbasiertem Kennwort für einmaliges Anmelden (TOTP) für die Authentifizierungsmethode ((auth-method) "winpwd-and-totp" gestellt werden.
"verify-method-order"	["fingerprint","userPresence"]	Dieser Wert ist optional; für den Wert wird standardmäßig ["fingerprint","userPresence"] angenommen.
"verify-message"	"Soll die Anforderung von winhost.ibm.com genehmigt werden?"	Dieser Wert ist optional; für den Wert wird standardmäßig "Soll die Anforderung von {Hostname} genehmigt werden?" angenommen. Dabei wird {hostname} durch den abgeleiteten Hostnamen ersetzt, auf dem Verify Gateway for Windows Login ausgeführt wird. Wenn "device" als Authentifizierungsmethode (auth_method) verwendet wird, wird diese Nachricht am Gerät des Benutzers angezeigt, wenn der Benutzer zur Verifizierung des Zugriffs aufgefordert wird.
"choices"	["Gerät", "vorübergehend", "totp", "smsotp", "emailotp", "voiceotp"]	Dieser Wert definiert die Typen der Zwei-Faktor-Authentifizierung (2FA), die dem Benutzer für die Authentifizierungsmethode (auth-method) "winpwd-then-choice-then-otp" angezeigt werden.
"transient-choices"	[ {"choice": "phoneNumbers", "sub-choices": ["mobile", "work"]}, "emails" ]	Dieser Wert ist optional; für den Wert wird standardmäßig ["phoneNumbers","emails"] angenommen. Dieser Wert definiert die Typen der transienten OTP-Methoden, die dem Benutzer angezeigt werden, wenn die transiente Zwei-Faktor-Authentifizierung (2FA) aktiviert ist. Sie können für "phoneNumbers" Unteroptionen angeben. Kunden verwenden diese Option normalerweise, um die Telefonnummern auf "Mobil" zu beschränken. Zeichenfolgen und/oder detaillierte Objekte können im Array "transient-choices" gemischt werden, damit die Kompatibilität mit früheren Versionen gegeben ist.
"no-mfa-on-unlock"	true \| false	Dieser Eintrag weist standardmäßig den Wert 'false' auf. Wenn 'true' festgelegt ist, wird keine 2FA-Eingabe angefordert; zum Entsperren des Desktops ist nur das Kennwort erforderlich.
"poll-timeout"	60	Dieser Wert ist optional; für den Wert werden standardmäßig 60 Sekunden angenommen. Dieser Wert gibt an, wie lange eine PUSH-Benachrichtigung eines Geräts auf die Genehmigung oder Zurückweisung einer Anforderung durch den Benutzer wartet. Wenn das Zeitlimit erreicht ist, wird die Anforderung automatisch zurückgewiesen.
"poll-rate-ms"	1000	Dieser Wert ist optional; für den Wert werden standardmäßig 1000 Millisekunden angenommen. Dieser Wert gibt an, wie oft Verify Gateway for Windows Login den Verify-Server überprüft, um zu bestimmen, ob die PUSH-Benachrichtigung eines Geräts zurückgewiesen oder genehmigt wurde. Dies beeinflusst, wie schnell das „ IBM Verify -Gateway für Windows-Anmeldung“ auf den PUSH des Geräts reagiert. Hinweis: Niedrige Abfragefrequenzen führen dazu, dass pro Sekunde viele Anfragen an den Verify Server gesendet werden, was dessen Auslastung erhöht.
"ignore-isvalidated"	falsch	Dieser Wert ist optional; für den Wert wird standardmäßig "false" angenommen. Wenn der Wert auf "true" gesetzt wird, ermöglicht Verify Gateway for Windows Login die Verwendung von nicht validierten 2FA-Methoden.
"username-format"	"%D\\%U"	Dieser Wert ist optional; für den Wert wird standardmäßig "%D\\%U" angenommen. Hier wird festgelegt, wie die Windows-Benutzerdomäne und der Name dem Verify Benutzernamen zugeordnet werden. Vorkommen von `%D` werden durch die Domäne des Windows-Benutzers ersetzt, und Vorkommen von `%U` werden durch den Windows-Benutzernamen in der angegebenen Zeichenfolge ersetzt. Die Werte `%D` und `%U` sind in der Zeichenfolge optional.
"disable-builtin-password-logon"	falsch	Dieser Wert ist optional; für den Wert wird standardmäßig "false" angenommen. Wenn dieser Wert auf „true“ gesetzt ist, wird der in Windows integrierte Passwort-Anmeldeinformationsanbieter deaktiviert, sodass nur noch der Verify Gateway for Windows Anmeldeinformationsanbieter „Login“ verfügbar ist. Wenn der Wert auf „false“ gesetzt ist, werden beide Optionen bei der Windows-Anmeldung zur Auswahl angeboten. In Produktionsumgebungen sollten Sie diesen Wert auf „true“ setzen, um sicherzustellen, dass Benutzer den Verify Gateway for Windows Anmelde-Anmeldeinformationsanbieter nicht umgehen können, indem sie den Windows-Anmeldeinformationsanbieter auswählen.
"rdp-only"	falsch	Dieser Wert ist optional; für den Wert wird standardmäßig "false" angenommen. Wenn der Wert auf "true" gesetzt wird, wird der Verify Gateway for Windows Login-Berechtigungsnachweisprovider nur für die Remote Desktop-Anmeldung verwendet. Er wird nicht für andere Anmeldetypen, wie beispielsweise die lokale Desktop-Anmeldung, verwendet.
"no-mfa-account"	"DOMAIN\\User"	Dieser Wert ist optional; für den Wert wird standardmäßig angenommen, dass kein Account vorhanden ist, mit dem die Mehrfaktorauthentifizierung (MFA) umgangen werden kann. Falls definiert, wird jede Benutzeranmeldung mit diesem Account abgeglichen. Bei dem Abgleich muss die Groß-/Kleinschreibung nicht beachtet werden. Wenn die Übereinstimmung gegeben ist, verwendet der Benutzer die Authentifizierungsmethode „winpwd“, für die weder eine E-Mail-Adresse ( 2FA ) noch Zugriff auf den Verify Server erforderlich ist. Zum Anmelden ist lediglich das Windows-Passwort erforderlich. Dies ist ein spezielles Konto, das den Zugriff auf das Gerät ermöglicht, selbst wenn der Verify Dienst nicht erreichbar ist. Hinweis: Möglicherweise möchten Sie diesem Konto den RDP-Zugriff sperren. Der Windows-Administrator kann diesen Zugriff sperren.
"username-table"	`"username-table": [ { "from": "testuser1", "to": "testuser1@x.y.com" }, { "from": "testuser2", "to": "testuser2@x.y.com" } ]`	Dieses Attribut ordnet den Benutzernamen einem neuen Wert zu. Wenn sich der Benutzername nicht in der Tabelle befindet, wird er unverändert verwendet.
„Trace-Rollover“	0	Gibt die ungefähre maximale Größe der Trace-Datei in Byte an, wenn die Datei gespeichert und eine neue leere Trace-Datei erstellt wird. Die Protokolldatei wird gespeichert, indem ihr der aktuelle Zeitstempel angehängt wird.
„trace-localtime“	falsch	Legt fest, ob die Zeitstempel in der Protokolldatei in Ortszeit angegeben werden sollen. Standardmäßig werden die Zeitstempel in UTC angegeben.
„trace-prefix-all“	falsch	Legt fest, ob allen Trace-Zeilen ein Zeitstempel vorangestellt werden soll. Standardmäßig wird das Verify Präfix für die Zeilen zur Erfassung von REST-API-Anfragen und -Antworten nur in der ersten Zeile angefügt.
„nicht gegen Ausfälle gesichert“	falsch	Ermöglicht die Anmeldung nur mit dem Passwort und ohne „ 2FA “, falls keine Verbindung zur REST-API des Verify Mandanten hergestellt werden kann.
„username-attr“	uid	Bei der Verwendung von „ Active Directory “ kann der Verify Benutzername, unter dem „ 2FA “ genutzt werden soll, aus einem Attribut des Benutzers abgerufen werden, der unter „ Active Directory “ angemeldet ist.
„Benutzername-cd-attr“	"urn:ietf:params:scim:schemas:extension: ibm:2.0:User:customAttributes.userAlias "	Der Verify Benutzer mit der E-Mail-Adresse 2FA wird ermittelt, indem nach einem Verify Benutzer gesucht wird, der dieses Attribut besitzt und dessen Wert mit dem Benutzernamen für die Windows-Anmeldung übereinstimmt.
„username-attr-strict“	falsch	Wenn dieser Wert auf „false“ gesetzt ist und das Attribut „username-attr“ beim Benutzer „ Active Directory “ nicht vorhanden ist, verwendet die Anmeldung den Windows-Benutzernamen, um den Verify Benutzer für „ 2FA “ zu ermitteln.
„username-attr-format“	"%A"	Eine Zeichenfolge, mit der der Wert „username-attr“ zugeordnet wird. Jedes %A wird durch den Attributwert ersetzt, sodass Zeichenfolgenkonstanten als Präfix und/oder Suffix hinzugefügt werden können. Die Standardeinstellung ist einfach „%A“, was keiner Änderung entspricht.