Verwaltung von Zertifikatsanbietern

Online bearbeiten

Die zertifikatsbasierte Identitätsprüfung ermöglicht den Zugriff auf präzise Einblicke und verbindet externe Zertifikatsanbieter mit einer zusätzlichen Sicherheitsebene, wie beispielsweise einem nach dem „ X.509 “ konformen digitalen Zertifikat. Beim Zugriff auf IBM® Verify die verbundenen Anwendungen erfolgt die Authentifizierung mithilfe des digitalen Zertifikats. Administratoren können Identitäten anhand dieser digitalen Signatur zu Authentifizierungs- und Compliance-Zwecken überprüfen. Darüber hinaus können Zertifikate mit Common Access Cards (CAC) oder Personal Identity Verification (PIV)-Karten verwendet werden.

Vorbereitende Schritte

  • Zur Ausführung dieser Task müssen Sie über Verwaltungsberechtigung verfügen.
  • Melden Sie sich als Administrator bei der IBM Verify Verwaltungskonsole an.
  • Um den Zertifikatsanbieter nutzen zu können, muss Ihr Mandant über einen benutzerdefinierten Hostnamen verfügen. Siehe „Einen benutzerdefinierten Hostnamen einrichten “.
  • Sie müssen das Stammzertifikat und die Zwischenzertifikate über den Support bereitstellen:
    • Wenn Ihr Mandant angelegt wurde und über einen ordnungsgemäß konfigurierten benutzerdefinierten Hostnamen verfügt, wenden IBM Verify Sie sich bitte an das Support-Team von IBM, indem Sie ein Ticket erstellen. Sie erhalten dann Informationen dazu, wie Sie die Zertifikate bereitstellen können.
    • Sie müssen die Zertifikate im format „ X.509 “ ( PEM ) speichern.
    • Hier ein Beispiel:
    # Trust chain intermediate certificate
-----BEGIN CERTIFICATE-----
MIIEaTCCA1GgAwIBAgILBAAAAAABRE7wQkcwDQYJKoZIhvcNAQELBQAwVzELMAkG
C33JiJ1Pi/D4nGyMVTXbv/Kz6vvjVudKRtkTIso21ZvBqOOWQ5PyDLzm+ebomchj
SHh/VzZpGhkdWtHUfcKc1H/hgBKueuqI6lfYygoKOhJJomIZeg0k9zfrtHOSewUj
...
dHBzOi8vd3d3Lmdsb2JhbHNpZ24uY29tL3JlcG9zaXRvcnkvMDMGA1UdHwQsMCow
KKAmoCSGImh0dHA6Ly9jcmwuZ2xvYmFsc2lnbi5uZXQvcm9vdC5jcmwwPQYIKwYB
K1pp74P1S8SqtCr4fKGxhZSM9AyHDPSsQPhZSZg=
-----END CERTIFICATE-----

# Trust chain root certificate
-----BEGIN CERTIFICATE-----
MIIDdTCCAl2gAwIBAgILBAAAAAABFUtaw5QwDQYJKoZIhvcNAQEFBQAwVzELMAkG
YWxTaWduIG52LXNhMRAwDgYDVQQLEwdSb290IENBMRswGQYDVQQDExJHbG9iYWxT
aWduIFJvb3QgQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDaDuaZ
...
jc6j40+Kfvvxi4Mla+pIH/EqsLmVEQS98GPR4mdmzxzdzxtIK+6NiY6arymAZavp
38NflNUVyRRBnMRddWQVDf9VMOyGj/8N7yy5Y0b2qvzfvGn9LhJIZJrglfCm7ymP
HMUfpIBvFSDJ3gyICh3WZlXi/EjJKSZp4A==
-----END CERTIFICATE-----
    Hinweis: Weitere Informationen zum „ PEM “-Kodierungsformat finden Sie in RFC 1421
  • Erhalten Sie eine Bestätigung, dass die Zertifikatskette mit dem benutzerdefinierten Hostnamen in Ihrem Mandanten ordnungsgemäß konfiguriert wurde. Sobald Sie die Bestätigung erhalten haben, können Sie das ausgestellte Client-Zertifikat für die Authentifizierung bei SAML und OIDC sowie für Ihr Benutzer-Launchpad verwenden.
Hinweis: Damit die Authentifizierung über das Client-Zertifikat funktioniert, ist ein öffentlich zugänglicher CRL-Verteilungs- oder OCSP-Endpunkt (der im Client-Zertifikat gespeichert ist) erforderlich.

Informationen zu dieser Task

Verify bietet Zugriff auf verschiedene Funktionen, mit denen komplexe Aufgaben bewältigt werden können. Beispielsweise eigene Basis-Dienstanbieter und andere Anwendungsschnittstellen, die üblicherweise für die Entwicklung benutzerdefinierter Dienstanbieter verwendet werden. X.509 Ein Zertifikat für digitale Signaturen bietet zahlreiche Vorteile. Zwei wichtige Punkte sind certificate revocation lists und certification path validation algorithm schließlich das Erreichen eines Vertrauensankers.

Hinweis: Weitere Informationen zum digitalen Signaturzertifikat „ X.509 “ finden Sie unter „ X.509 -Zertifikate “. Eine ausführlichere Erläuterung finden Sie in RFC 5280.

Vorgehensweise

  1. Wählen Sie „Authentifizierung“ > „Zertifikatsanbieter“
  2. Wählen Sie „Zertifikatsanbieter hinzufügen “.
  3. Geben Sie die allgemeinen Einstellungen ein.
    1. Geben Sie dem Zertifikatsanbieter einen leicht erkennbaren Namen und legen Sie den Identitätsanbieter fest.
    2. Wählen Sie einen Identitätsanbieter aus, der zur Authentifizierung des Benutzers verwendet wird. Die gängigen Identitätsanbieter sind:
      • Cloud Directory
      • IBMid
      Hinweis: Nach der Erstellung des Zertifikatsanbieters kann der Identitätsanbieter nicht mehr geändert werden.
    3. Aktivieren Sie das Kontrollkästchen „JITP“ (Just-in-Time-Bereitstellung), um Benutzerkonten bereitzustellen.
  4. Klicken Sie auf Weiter.
  5. Benutzereigenschaften konfigurieren. Geben Sie die Benutzerattribute an, die aus dem Zertifikat gesendet werden, um Benutzer zu authentifizieren und Benutzerprofile zu erstellen.
    1. Optional: Wählen Sie das Zertifikatsattribut aus.
    2. Wählen Sie das Attribut „ IBM “ unter „ Security Verify “ aus. Diese Auswahl basiert auf früheren Attributen, die vom Administrator ausgewählt oder angelegt wurden.
      Hinweis:

      Sie können eine Option aus den vorhandenen Attributen auswählen. Das Attribut lautet standardmäßig

      None - Do not map

      None - Do not mapWenn Sie diese Option wählen, können Sie Folgendes nicht konfigurieren:

      • Transformation value
      • Store attribute in user profile
    3. Wählen Sie im Menü einen Transformationswert aus.
    4. Wählen Sie im Menü des Benutzerprofils eine Option unter dem Attribut „Speichern“ aus.
      • Immer - Das Attribut wird bei jeder Anmeldung gespeichert oder aktualisiert.
      • Nur bei Benutzererstellung - Das Attribut wird bei der Kontoerstellung einmalig gespeichert.
      • Deaktiviert – Das Attribut darf niemals gespeichert oder aktualisiert werden.
      user attributesNachdem Sie die erste Konfiguration vorgenommen haben, klicken Sie auf „Attributzuordnung hinzufügen“, um weitere Zuordnungen hinzuzufügen.
    5. Wählen Sie „Eindeutige Benutzer-ID“ aus. Diese Kennung ist das Zertifikatsattribut, das verwendet wird, um eine Verknüpfung zu einem bestehenden Benutzer beim Verify Identitätsanbieter herzustellen.
    6. Berechnen Sie den Attributwert, indem Sie unter „Anforderungsregel “ eine benutzerdefinierte Regel erstellen.
      Ein Beispiel für eine Regel:
      requestContext.subjectAlternativeNameEmail.size() != 0 ? requestContext.subjectAlternativeNameEmail[0].split('@')[0] : requestContext.subjectCN[0].split('.')[0]
      Testen Sie Ihre Anforderungsregel, um sicherzustellen, dass sie wie beabsichtigt funktioniert. Klicken Sie auf „Test ausführen“, um das Ergebnis anzuzeigen. Dies ist der Rückgabewert, der auf den Beispiel-Eingaben basiert.
  6. Führen Sie für die Zertifikatskette die folgenden Schritte aus, um die Subject Key Identifier der ausstellenden Zwischen- oder Stammzertifizierungsstelle anzugeben.
    1. Ermitteln Sie die Subject Key Identifier der unmittelbar übergeordneten Zertifizierungsstelle mithilfe des folgenden OpenSSL-Befehls:
      openssl x509 -inform pem -in $input-filename -text -noout
    2. Klicken Sie auf den Abschnitt mit der Bezeichnung „ X.509v3 -Erweiterungen“ und wählen Sie „ X.509v3 Subject Key Identifier“ aus. Kopieren Sie den angegebenen Wert und fügen Sie ihn in das Feld ein.
      Hinweis: Dieser Wert kann nach der Erstellung des Zertifikatsanbieters nicht mehr geändert werden.
  7. Testen Sie die Konfiguration. Auswählen. Weiter. Über die Benutzeroberfläche steht Ihnen ein Authentifizierungs URL für Mandanten zur Verfügung. Sie müssen die Datei „ URL “ kopieren und versuchen, eine Verbindung zu Ihrer IBM Verify… herzustellen.
    Hinweis: Sie müssen den Zertifikatsanbieter aktivieren, bevor Sie ihn in Ihrem IBM Verify Mandanten verwenden können.
  8. Klicken Sie auf „Einrichtung abschließen “. Eine Eingabeaufforderung leitet Sie zu den globalen Einstellungen weiter, wo Sie bestimmte konfigurationsbezogene Informationen verwalten oder aktualisieren können.
  9. Optional: Klicken Sie auf „Zertifikatsanbieter“, um die Liste Ihrer erstellten Zertifikatsanbieter anzuzeigen.
    1. Sie können auf „Liste der Optionen“ klicken, um enable den gewünschten Zertifikatsanbieter hinzuzufügen oder zu löschen.

Fehlerbehebung

Falls die Konfiguration nicht funktioniert, kann dies folgende Ursachen haben:

Wenn alle Schritte zur Einbindung eines Zertifikatsanbieters unter X.509 abgeschlossen sind und die Zertifikatsabfrage beim Testen von URL auf der Testkonfigurationsseite nicht angezeigt wird:

  • Stellen Sie sicher, dass ein Vanity-Hostname verwendet wird.
  • IBM Verify Stellen Sie sicher, dass die Zertifikatskette über den Support-Kanal bereitgestellt wird.

Wenn alle Schritte zur Einbindung eines Zertifikatsanbieters unter X.509 abgeschlossen sind und Sie beim Aufrufen der Test- URL auf der Testkonfigurationsseite keine Zertifikatsabfrage sehen, die Authentifizierung jedoch nicht funktioniert:

  • Stellen Sie sicher, dass der Zertifikatsanbieter aktiviert ist.
  • Wenn JITP aktiviert ist, stellen Sie sicher, dass der Benutzer beim angegebenen Identitätsanbieter angelegt ist.
  • Wenn JITP deaktiviert ist, stellen Sie sicher, dass der Benutzer beim angegebenen Identitätsanbieter vorhanden ist.

Wird uniqueUserIdentifier das Attribut nach der Integration des Zertifikatsanbieters „ X.509 “ geändert, gilt dies nur für neue Authentifizierungen und für Benutzer, die sich zum ersten Mal mit einem Zertifikat authentifizieren.

Wenn JITP aktiviert ist, gilt dies für Benutzer, die zum ersten Mal bei dem jeweiligen Identitätsanbieter angelegt werden.

Standardmäßig ist der Zertifikatsanbieter „ X.509 “ deaktiviert; Administratoren müssen ihn aktivieren, bevor sie die Testkonfiguration ausprobieren.