OIDC Enterprise-Identitätsprovider konfigurieren

Online bearbeiten

Sie können jeden Identitätsanbieter, der das OIDC-Protokoll unterstützt, als OIDC Enterprise-Identitätsanbieter verwenden. Der Identitätsprovider authentifiziert die Benutzeridentität anhand von Daten in diesem Identitätsprovider, bevor er den Zugriff auf IBM® Verify gewährt.

Vorgehensweise

  1. Wählen Sie „Authentifizierung “ > „Identitätsanbieter “.
  2. Wählen Sie „OIDC Enterprise“ aus.
  3. Geben Sie auf der Seite „Allgemein“ die folgenden Informationen ein.
    Ihren Namen
    Geben Sie einen eindeutigen Namen für Ihren Identitätsanbieter an.
    Realm und Aussteller
    Geben Sie die „ URL “ an den Identitätsanbieter weiter. Beispiel,
    https://accounts.OIDC-IDP.com
    Dies ist die Domäne, die für das Cloud-Verzeichnis verwendet wird, und wenn kein bekannter Endpunkt angegeben wird, dient sie auch als Aussteller für den OIDC-Ablauf.
    ID
    Die ID wird nach dem Speichern der Konfiguration erstellt.
    Aktiviert
    Aktivieren Sie dieses Kontrollkästchen, um diesen Identitätsanbieter für die Anmeldung zu verwenden.
  4. Wählen Sie „Weiter “.
  5. urlKopieren Sie auf der Seite „Zu Identitätsanbieter“ den Weiterleitungs-URL.
    Sie geben diese Informationen url an den Identitätsanbieter weiter, wenn Sie Ihre Anwendung für Single Sign-On registrieren.
  6. Wählen Sie „Weiter “.
  7. Geben Sie auf der Seite „Von Identitätsanbieter “ die folgenden Informationen ein.
    1. Optional: Geben Sie einen Anzeigenamen an, der anstelle der ID des Identitätsanbieters verwendet wird, die im Verify Anmelde URL angezeigt wird.
    2. Geben Sie die Client-ID und den Client-Secret an, die Sie bei der Registrierung Ihrer Anwendung beim Identitätsanbieter erhalten haben.
    3. Optional: Fügen Sie Bereiche hinzu oder entfernen Sie sie, um die Nutzung der Anwendung zu steuern.
      Hinweis: Wählen Enter Sie nach jedem zur Verwaltung skonsole hinzugefügten Bereich für Windows™ oder Return für Mac OS.
    4. Geben Sie die Informationen an, die endpoints Sie bei der Registrierung Ihrer Bewerbung erhalten haben.
      Standardendpunkt
      Konfigurieren Sie mithilfe dieses Attributs Ihren OIDC-Client für das Erkennungsdokument. Zum Beispiel: https://myco.com.

      endpointWenn Sie das bekannte Formular nicht verwenden, müssen Sie die folgenden Angaben machen.

      • Berechtigungsendpunkt
      • Tokenendpunkt
      • Endpunkt für Benutzerinformationen
    5. Optional: Sofern Ihr Identitätsanbieter dies unterstützt, können Sie die PKCE-Unterstützung aktivieren und die JWKS-URI angeben.
      Fügen Sie einen JWKS-URI hinzu, falls in der Standardkonfiguration des Identitätsproviders kein JWKS-URI angegeben ist.
    6. Wählen Sie die Authentifizierungsmethode aus.
      • Geheimer Clientschlüssel - Basis
      • Geheimer Clientschlüssel - POST
      • JWT-Client-Secret – Sie müssen außerdem den Signaturalgorithmus für die Verschlüsselung auswählen.
      • JWT-Privatschlüssel – Sie müssen außerdem den Signaturalgorithmus für die Verschlüsselung auswählen und das Signaturzertifikat auswählen.
    7. Optional: Sofern verfügbar, können Sie die Parameter für login hint, prompt, und max age während eines Single-Sign-On-Ablaufs an den Identitätsanbieter weiterleiten.
  8. Wählen Sie „Weiter “.
  9. Optional: Wählen Sie „Just-in-Time-Bereitstellung“ aus.
    Diese Option erstellt und aktualisiert das Benutzerkonto in der primären Identitätsanbieter -Domäne, die der Identität „ SAML “ zugeordnet ist.
  10. Optional: Wählen Sie im Menü „Eindeutige Benutzerkennung“ ein Attribut aus, das Benutzer aus dem Benutzerverzeichnis des Identitätsanbieters identifiziert.
    Wenn Sie für diesen Identitätsanbieter die Option „Identitätsverknüpfung aktivieren“ auswählen, müssen Sie die UUID angeben.
  11. Optional: Wählen Sie einen Transformationswert aus, um den Wert der eindeutigen Benutzer-ID zu transformieren, oder belassen Sie den Standardwert „Keine “.
  12. Optional: Wählen Sie „Identitätsverknüpfung für diesen Identitätsanbieter aktivieren“ aus.
    1. Wählen Sie über den Link „Eindeutige Benutzer-ID“ die eindeutige Kennung aus, die Sie für die Konten verwenden möchten.
      Hinweis: Die UUID kann ein beliebiger Wert im OIDC-Claims-Objekt sein, der den Benutzer eindeutig identifiziert.
    2. Geben Sie die UUID ein, indem Sie den Wert in das Feld „Externe ID“ eingeben.
      Der Standardwert ist „sub “.
    3. Wählen Sie einen Transformationswert aus, um den Wert des Attributs „Externe ID“ zu transformieren, oder belassen Sie den Standardwert „Keine “.
  13. Wählen Sie „Weiter “.
  14. Optional: Ordnen Sie auf der Seite „Attributzuordnung“ weitere Attribute des OIDC-Anbieters den Attributen zu Verify .
    1. Wählen Sie „Attributzuordnung hinzufügen “.
    2. Wählen Sie ein OIDC-Attribut aus dem Menü aus.
      Falls der OIDC-Anbieter über weitere, nicht standardmäßige, von OIDC unterstützte Attribute verfügt, können Sie den Wert in das Feld „Attribut auswählen“ eingeben.
    3. Wählen Sie ein Verify Attribut aus dem Menü aus.
    4. Wählen Sie Sie aus, wie das Attribut verwendet werden soll.
    5. Wiederholen Sie den Prozess für jedes Attribut, das zugeordnet werden soll.
  15. Optional: Wählen Sie eine der folgenden Quellen für die Gruppenmitgliedschaft aus, um die Quelle für die Benutzerzugriffsberechtigungsgruppen festzulegen.
    • Cloud Directory - Benutzerzugriffsberechtigungen werden von den Benutzergruppen in Cloud Directory abgeleitet.
    • Cloud-Verzeichnis und Identitätsquelle – Die Zugriffsberechtigungen der Benutzer werden aus den Benutzergruppen im Cloud-Verzeichnis und dem Token des Identitätsanbieters abgeleitet, das einen Claim enthält groupIds .
    • Identitätsquelle – Die Zugriffsberechtigungen des Benutzers werden aus dem Token des Identitätsanbieters abgeleitet, das den groupIds entsprechenden Anspruch enthält.
      Hinweis: Wenn das Token des Identitätsanbieters den groupIds Anspruch nicht enthält, erhalten Sie keine Berechtigungen für die Gruppenmitgliedschaft.
    • Benutzerdefinierte Regel. Wenn Sie „Benutzerdefinierte Regel“ auswählen, geben Sie im Regeleditor eine benutzerdefinierte Regel ein und klicken Sie anschließend auf „OK“, um sie zu speichern. Benutzerzugriffsberechtigungen werden basierend auf der angepassten Regel abgeleitet.
  16. Wählen Sie „Weiter “.
  17. Optional: Wenn Sie die öffentliche Vorschau unter CI-108233 aktiviert haben, wählen Sie aus, ob Sie Benutzereinladungen aktivieren möchten.
    Einladungen werden mithilfe von POST /v1.0/usc/user/invitation APIs erstellt und versendet. Siehe „Benutzer einladen “. Aktivieren Sie das Kontrollkästchen „Benutzereinladungen aktivieren“, um andere zur Registrierung als neue Benutzer einzuladen. Sie können auch ein Benutzerprofil für den Benutzer auswählen, damit dieser im Rahmen der Annahme der Einladung weitere Daten eingeben kann. Siehe „Benutzerprofile verwalten “.
  18. Klicken Sie auf Fertig.
  19. Optional: Bearbeiten Sie den OIDC-Identitätsanbieter.
    1. Wählen Sie „Authentifizierung “ > „Identitätsanbieter “.
    2. Wählen Sie den Identitätsanbieter aus der Liste der Quellen aus.
    3. Nehmen Sie die gewünschten Änderungen vor.
      Die ID und die Umleitungs-URL können nicht geändert werden.
    4. Wählen Sie „Änderungen speichern “.
  20. Optional: Löschen Sie den OIDC-Identitätsanbieter.
    1. Wählen Sie „Authentifizierung “ > „Identitätsanbieter “.
    2. Wählen Sie den Identitätsanbieter aus der Liste der Quellen aus.
    3. Wählen Sie das Symbol „Löschen“ aus.
    4. Wählen Sie „Löschen“, um zu bestätigen, dass Sie den Identitätsanbieter löschen möchten.