Konfigurieren einer WS-Federation-Anwendung für „ Microsoft 365 “ in IBM Verify

Online bearbeiten

Konfigurieren Sie IBM® Verifyals Identitätsprovider, wenn Sie Azure Active Directory als Service-Provider konfiguriert haben.

Vorbereitende Schritte

  • Zur Ausführung dieser Task müssen Sie über Verwaltungsberechtigung verfügen.
  • Melden Sie sich bei der IBM Verify Verwaltungskonsole an.

Vorgehensweise

  1. Wählen Sie „Anwendungen “ > „Anwendungen “.
  2. Wählen Sie „Anwendung hinzufügen “.
  3. Wählen Sie „ Microsoft 365 “ und dann „Anwendung hinzufügen “.
  4. Wählen Sie die Registerkarte „Anmeldung“ und geben Sie die folgenden Informationen ein:
    Hinweis: Aktivieren Sie das Kontrollkästchen, um die Anmeldung zu deaktivieren.
    Einstellungen Beschreibung
    Anmeldemethode Gibt die Anmeldemethode an. Wählen Sie „ SAML2.0 “ als Anmeldemethode aus.
    Anbieter-ID* Gibt eine eindeutige Kennung an, die den Provider gegenüber seinem Partnerprovider identifiziert.
    Assertion Consumer Service-URL (HTTP-POST) Das Sicherheitstoken wird an diesen Endpunkt des Service-Providers gesendet. Übernehmen Sie den Standardwert.
    Mehrere Domänen für Microsoft 365 föderieren Aktivieren Sie dieses Kontrollkästchen, um mehrere Domänen für „ Microsoft™ 365 “ zu verbinden und mehrere Dienstprinzipalnamen zu konfigurieren.
    IssuerUri Suffix Dies gilt nur, wenn das Kontrollkästchen „Mehrere Domänen für Microsoft 365 zusammenführen“ aktiviert ist. Wählen Sie eine Attributquelle aus; deren Wert wird an „ IssuerUri “ des Tokens angehängt. Wenn „(Standard)“ ausgewählt ist, wird der Standard-UPN des Benutzers oder die E-Mail-Domäne an „ IssuerUri “ des Tokens angehängt.
  5. Verwenden Sie digitale Signaturen, um Vertrauen zwischen IBM Security® Verify und dem Dienstanbieter aufzubauen.
    Einstellungen Beschreibung
    Zusicherung signieren Wählen Sie dieses Kontrollkästchen aus, um anzugeben, ob IBM Verifydas an Azure gesendete Sicherheitstoken signiert Active Directory.
    Signaturalgorithmus Gibt den Algorithmus für die Signatur aus den beiden unterstützten Algorithmen an. Übernehmen Sie den Standardwert.
    Signaturzertifikat Gibt das Zertifikat an, das für IBM Verifyzum Signieren des Sicherheitstoken ausgewählt ist. Übernehmen Sie den Standardwert.
  6. Konfigurieren Sie das SAML-Subjekt in der SAML-Zusicherung, um den authentifizierten Benutzer zu identifizieren.
    Einstellungen Beschreibung
    Namens-ID Diese Option konfiguriert das SAML-Subjekt in der SAML-Zusicherung, um den authentifizierten Benutzer zu identifizieren. Übernehmen Sie den Standardwert.
  7. Ordnen Sie die bekannten Benutzerattribute oder andere Attribute zu, die in die „ SAML “-Assertion aufgenommen werden sollen.
    Einstellungen Beschreibung
    Attributname - UPN Gibt das Attribut UserPrincipalName an.

    Wählen Sie im Menü Attributquelle aus, um das Attribut UserPrincipalName anzugeben.

    Weitere Informationen zum Attribut UserPrincipalName finden Sie unter Benutzerbenennungsattribute.
    Attributname - ImmutableID Gibt das Attribut "ImmutableID" an.

    Wählen Sie im Menü Attributquelle das Attribut ImmutableId aus.
  8. Laden Sie die Chiffrierschlüsseldatei für die Kerberos-Authentifizierung hoch.
    Einstellungen Beschreibung
    Chiffrierschlüsseldatei hochladen Diese Konfiguration gilt nur für den Azure Active Directory-Hybridjoin. Weitere Informationen zum Hochladen einer Keytab-Datei finden Sie unter „Konfigurieren des Service Principal Name (SPN) und der Keytab-Datei für die Authentifizierung über Kerberos “.
  9. Konfigurieren Sie die Serviceprinzipal-Namen (SPNs) für die Kerberos-Authentifizierung.
    Einstellungen Beschreibung
    Serviceprinzipal-Namen Diese Konfiguration gilt nur für den Azure Active Directory-Hybridjoin. Weitere Informationen zu Dienstprinzipalnamen finden Sie unter „Konfigurieren von Dienstprinzipalnamen (SPN) und Keytab-Dateien für die Authentifizierung über Kerberos “.
  10. Konfigurieren Sie die Einstellungen für das Profil des Anforderers.
    Einstellungen Beschreibung
    Standardidentitätsprovider Gibt den Standardidentitätsprovider als Cloudverzeichnis an.
    Anforderungsregel Sie können eine angepasste Regel angeben, um den Benutzernamen für die aktiven Anfordererprofilabläufe umzusetzen.
    1. Optional: Testen Sie Ihre Anforderungsregel, um sicherzustellen, dass sie wie vorgesehen funktioniert.
  11. Wählen Sie eine Zugriffsrichtlinie aus, um eine Zwei-Faktor-Authentifizierung und optional eine Berechtigung für adaptiven Zugriff durchzuführen.
    Einstellungen Beschreibung
    Zugriffsrichtlinien - Einstellungen Gibt die Zugriffsrichtlinie für die Zwei-Faktor-Authentifizierung an. Die Berechtigung für adaptiven Zugriff ist optional.

    Standardmäßig ist das Kontrollkästchen Standardrichtlinie verwenden ausgewählt.
  12. Klicken Sie auf „Speichern “.
  13. Wählen Sie die Registerkarte „Berechtigungen“ aus und konfigurieren Sie den Zugriffstyp.
    Hinweis: Weitere Informationen zu Berechtigungen finden Sie unter „Verwalten von Anwendungsberechtigungen“ (durch den Administrator oder den Anwendungsinhaber).
  14. Klicken Sie auf „Speichern “.