Vanity-Hostnamen abrufen

Online bearbeiten

Wenn Sie ein markenspezifisches Erlebnis bieten möchten, wenn Nutzer mit identitätsbezogenen Abläufen in Ihrem Unternehmen interagieren, können Sie einen individuellen Hostnamen für Ihren IBM® VerifyMandanten erwerben. Sie können die Funktionen für die Anmeldung, die Registrierung, die Profilverwaltung und vieles mehr individuell anpassen.

Vorbereitende Schritte

Hinweis: Wenden Sie sich an Ihren Vertriebsmitarbeiter, um Ihren Vanity-Hostnamen zu erwerben. Sie müssen den Vanity-Hostnamen erst erwerben, bevor Sie ihn konfigurieren können.

Um einen benutzerdefinierten Hostnamen zu konfigurieren, müssen Sie und IBM mehrere Konfigurationsschritte durchführen. Um den Vorgang zu starten, müssen Sie das IBM Formular zur Beantragung eines Zertifikats für einen benutzerdefinierten Hostnamen ausfüllen, das vom Projektbüro „ IBM “ bereitgestellt wird.

Bitte stellen Sie außerdem sicher, dass die folgenden Punkte erfüllt sind.

  • Machen Sie sich mit der Syntax und den Optionen für Vanity-Hostnamen vertraut und wählen Sie die für Ihr Unternehmen am besten geeignete Option aus, basierend auf den Zertifikatsrichtlinien Ihres Unternehmens.
  • Machen Sie sich mit den Voraussetzungen vertraut.
  • Wenden Sie sich an Ihren „ IBM® “-Ansprechpartner, um einen Tenant und einen Vanity-Hostnamen zu erwerben.
  • Stellen Sie sicher, dass Sie die DNS- und Website-Administratoren Ihres Unternehmens für die Domain-Validierung ordnungsgemäß einbinden können.
  • Der Kunde muss Eigentümer der Domain des Vanity-Hostnamens sein. acme.comsso.acme.comWenn der Vanity-Hostname lautet, muss Ihre Organisation Eigentümer der Domain sein.
  • Der Vanity-Hostname muss eindeutig sein und darf noch nicht existieren. Sie gilt für den Mieter und darf ausschließlich für IBM Verify diesen Zweck verwendet werden.

Informationen zu dieser Task

Ein Vanity-Hostname ist ein benutzerdefinierter Hostname für Ihren IBM Verify Mandanten. Als Standard-Hostname für den Mandanten wird IBM angegeben. Mit einem benutzerdefinierten Hostnamen kann ein Kunde den Hostnamen so anpassen, dass IBM nicht im URL angezeigt wird. login.acme.comacme.verify.ibm.comBeispielsweise könnte der Hostname Ihres Verify-Mandanten lauten, Sie möchten aber vielleicht, dass die Benutzer stattdessen einen benutzerdefinierten Hostnamen sehen.

Syntax für Vanity-Hostnamen
Wenn Ihre Organisation zum ersten Mal einen IBM Verify Mandanten erhält, hat die Mandanten- URL -Datei die folgende Syntax. <tenant identifier>.<domain> Erläuterungen:
  • <tenant identifier> ist die angegebene Mandanten-ID. Ein Beispiel hierfür wäre <acme>.
  • <domain> Die Standardeinstellung ist <verify.ibm.com>, kann aber für einen benutzerdefinierten Hostnamen angepasst werden.
  • IBM VerifyDer vollständige Hostname in diesem Beispiel lautet acme.verify.ibm.com, also die Adresse URL, die den Benutzern bei der Anmeldung sowie bei anderen Identitätsinteraktionen angezeigt wird, die durch aktiviert werden.
VerifyFür jeden Vanity-Hostnamen ist ein Zertifikat erforderlich, um die SSL -Aushandlung zwischen dem Benutzer und dem Server zu ermöglichen.
  • Die Zertifikate müssen von einer „vertrauenswürdigen“ Zertifizierungsstelle signiert werden. Sie dürfen nicht selbst signiert sein.
  • Im folgenden Abschnitt wird die Bereitstellung des Zertifikats für einen benutzerdefinierten Hostnamen beschrieben.
  • Nachdem das Zertifikat bereitgestellt wurde, führt „ IBM “ weitere Schritte durch, um einen benutzerdefinierten Hostnamen vollständig einzurichten. Die Durchführung dieser zusätzlichen Schritte dauert etwa fünf Werktage.
Optionen zur Zertifikatskonfiguration
Jedes Zertifikat muss einen „Common Name“ (CN) enthalten. Es kann auch „Subject Alternative Names“ (SANs) enthalten. Das Zertifikat gilt für alle Hostnamen, die entweder als CN oder als SAN aufgeführt sind.
Hinweis: Platzhalter wie beispielsweise *.sso.acme.com werden weder für CN noch für SAN unterstützt.
Wenn Sie beim Ausfüllen des Zertifikatsformulars nur einen „Common Name“ angeben, ist für jeden benutzerdefinierten Hostnamen ein eigenes Zertifikat erforderlich.
Wenn drei Verify-Mandanten einen benutzerdefinierten Hostnamen benötigen und nur der „Common Name“ angegeben wird, trägt die Organisation die Kosten für jeden einzelnen benutzerdefinierten Hostnamen, da jeder benutzerdefinierte Hostname über ein eigenes Zertifikat verfügt. In diesem Beispiel müssen drei Vanity-Hostnamen erworben werden.
CN = sso.acme.com

CN = sso-qa.acme.com

CN = sso-dev.acme.com
sso.acme.comHinweis: Wenn sich ein Benutzer über Verify einen dieser benutzerdefinierten Hostnamen wie anmeldet, sieht er nur den verwendeten benutzerdefinierten Hostnamen. Der Benutzer sieht sso-qa.acme.com nicht, dass und sso-dev.acme.com ebenfalls gültige Vanity-Hostnamen sind. Potenzielle Angreifer können nicht ohne Weiteres alle Vanity-Hostnamen ausfindig machen. Sie können nur das sehen, das sie gerade benutzen.

Wenn beim Ausfüllen des Zertifikatsformulars zusätzlich zum „Common Name“ auch „SAN-Namen“ angegeben werden, wird jeder SAN-Name auf demselben Zertifikat wie der „Common Name“ bereitgestellt.

Wenn drei Verify-Mandanten einen benutzerdefinierten Hostnamen benötigen, bei dem ein „Common Name“ sowie zwei SAN-Namen angegeben werden, zahlt die Organisation nur für einen benutzerdefinierten Hostnamen. In diesem Beispiel muss ein Vanity-Hostname erworben werden.
CN = sso.acme.com
  SAN = sso-qa.acme.com
  SAN = sso-dev.acme.com
sso.acme.comHinweis: Wenn sich ein Benutzer über Verify einen dieser benutzerdefinierten Hostnamen wie anmeldet, kann er auch die anderen benutzerdefinierten Hostnamen sehen, die von dem Zertifikat abgedeckt werden. In diesem Fall sso-qa.acme.com und sso-dev.acme.com. Leider können potenzielle Angreifer diese Informationen ausnutzen. So können sie alle gültigen Vanity-Hostnamen leichter finden.
Wenn Sie von „SAN“ zu „CN“ wechseln möchten, müssen Sie den Vorgang neu starten und sich an die „CN“-Preisstruktur anpassen.
Optionen zur Zertifikatsbereitstellung
Nachdem eine Option für einen benutzerdefinierten Hostnamen ausgewählt wurde, müssen Organisationen entweder „Von IBM bereitgestellt“ oder „Zertifikat eines Drittanbieters“ auswählen, um das Zertifikat zu validieren oder bereitzustellen.
IBM bereitgestellt
IBM kann im Namen der Organisation Zertifikate bestellen. IBM verwendet DigiCert als Zertifikatsanbieter, und DigiCert signiert die Zertifikate.

Der Zertifikatsvalidierungstyp ist OV (Organization Validation), und der Antragsteller muss den Validierungsprozess „ DigiCert “ für das Zertifikat durchlaufen. Als Zertifizierungsstelle muss Digicert unabhängig überprüfen, ob der rechtmäßige Inhaber der angeforderten Domain das Zertifikat genehmigt hat. Dieser Validierungsprozess unter DigiCert ist unabhängig und findet außerhalb von IBM Verify Interaktionen statt.

Der Prozess umfasst die Überprüfung der Unternehmensadresse und die Überprüfung des Domain-Administrators. Die Kommunikation mit DigiCert erfolgt direkt zwischen DigiCert und dem Kunden.

Wenn Sie die Option „ IBM “ auswählen, läuft der Vorgang wie folgt ab.
  1. Informieren Sie Ihren Domain-Administrator, der unter whois.com DigiCert aufgeführt ist, dass eine Anfrage zur Domain-Validierung gestellt wird.
  2. Bitte senden Sie die Bestätigung umgehend an DigiCert zurück.
  3. DigiCert Anschließend wird versucht, mit dem im Formular zur Beantragung eines Zertifikats für IBM einen benutzerdefinierten Hostnamen angegebenen administrativen Ansprechpartner Kontakt aufzunehmen, und zwar über eine validierte Telefonnummer, die Ihrer Organisation zugeordnet ist. Die Überprüfung erfolgt im Rahmen eines Live-Telefonats.
    Hinweis: Je nachdem, wie gut „ DigiCert “ die richtigen Ansprechpartner in der Organisation finden kann, sind möglicherweise mehrere Versuche erforderlich.
Zertifikat anderer Anbieter
Mit einem Zertifikat eines Drittanbieters können Unternehmen die Zertifizierungsstelle ihrer Wahl nutzen, nachdem IBM eine Zertifikatssignierungsanforderung (CSR) generiert hat.
Die folgenden Schritte veranschaulichen den Ablauf.
  1. IBM Erstellt das CSR.
  2. IBM sendet dieses CSR an Ihre Organisation.
  3. Ihre Organisation sendet dieses CSR an Ihre eigene Zertifizierungsstelle. Ihre Organisation kann die gewünschte Validierungsart auswählen.
  4. Ihre Zertifizierungsstelle sendet das signierte Zertifikat an Ihre Organisation zurück.
  5. Ihre Organisation sendet das Zertifikat (Endzertifikat + Vertrauenskette: Zwischen- und Stammzertifikat) an IBM

Vorgehensweise

  1. Laden Sie das Formular zur Bereitstellung von Zertifikaten für „ IBM Verify “ herunter und füllen Sie es aus.
    Bitte stellen Sie sicher, dass Sie alle Pflichtfelder ausfüllen.
  2. Support-Ticket erstellen
    Gehen Sie zu „So eröffnen Sie einen Fall“ und eröffnen Sie einen Fall mit dem Betreff „Anfrage nach einem benutzerdefinierten Hostnamen für Kundenname“ und fügen Sie das Formular für benutzerdefinierte Hostnamen dem Ticket bei.
  3. Erstellen Sie einen CNAME-DNS-Eintrag, der Ihren benutzerdefinierten Hostnamen auf den zugehörigen IBM Verify Mandanten verweist.
    Nur Ihre Organisation kann den CNAME-DNS-Eintrag erstellen. Beispiel: sso.clienthostname.com CNAME <tenant>.verify.ibm.com.
  4. Nachdem der CNAME-DNS-Eintrag korrekt konfiguriert wurde, benachrichtigen Sie bitte IBM über das zuvor erstellte Support-Ticket.
    Der Vanity-Hostname ist noch nicht einsatzbereit. IBM muss noch weitere Schritte durchführen.
  5. IBM schließt die restliche Konfiguration ab.
    Sobald dieser Schritt abgeschlossen ist, benachrichtigt IBM Ihre Organisation, und der benutzerdefinierte Hostname ist einsatzbereit.