Benutzererlebnis

Standardmäßig werden neue IBMid -EF-Konfigurationen auf der E-Mail-Domänenebene konfiguriert, sodass alle neuen IBMids, die der Organisation zugeordnet sind, automatisch über den JIT IBMid ("Just-In-Time") erstellt werden. Bereitstellungsservice und werden immer über den Identitätsprovider des Partners authentifiziert.

Alle IBMid -Partnerbenutzerkonten, die vor dem Einrichten der IBMid EF-Konfiguration vorhanden waren (und die die native kennwortbasierte Standardauthentifizierung IBMid verwenden), können für die Authentifizierung durch den Partner IdP auf Option des Partners konvertiert werden.

Beispiel: Der Benutzer test@blueid-test.com öffnet eine Anwendung und muss sich über die IBMid authentifizieren. Die roten Pfeile folgen dem Authentifizierungsablauf für nicht föderierte Benutzer. Die BLAUEN PFEILE folgen dem Ablauf der föderalen Authentifizierung.
'Ablaufdiagramm '

Föderierte Benutzer geben ihre E-Mail-Adresse ein und klicken auf 'Weiter'. An diesem Punkt erfolgt eine Suche im Hintergrund der IBMid , um zu überprüfen, ob die E-Mail-Adresse/Domäne der Organisation des Benutzers zugeordnet ist. Der Benutzer wird dann zur Anmeldeerfahrung seines Unternehmens umgeleitet. Nach erfolgreicher Authentifizierung über die Schritte, die für ihre Organisation erforderlich sind, wird der Benutzer mit einer angehängten SAML-Zusicherung an IBMid zurückgegeben. Das IBMid -System verwendet die E-Mail-Adresse in der "SAML-Zusicherung", um sie mit einer vorhandenen IBMidabzugleichen. Wenn keine vorhandene IBMid gefunden wird, stellt IBMid automatisch eine neue IBMid für den Organisationsbenutzer bereit, basierend auf den von der Organisation in der SAML-Zusicherung bereitgestellten Benutzernamensinformationen. Sobald dies abgeschlossen ist, werden sie als vollständig erkannter und authentifizierter IBMid -Benutzer an die ursprünglich angeforderte IBM Anwendung zurückgegeben.

EF unterstützt sowohl vom Dienstanbieter initiierte (SP-initiated) als auch vom Identitätsanbieter initiierteIdP-initiated) Anmeldemethoden. Weitere Details finden Sie in den folgenden Abschnitten:

IBMid -Benutzerauthentifizierung im Vergleich zu IBM Applications Access

Häufig wird EF zusammen mit bestimmten IBM -Anwendungen verwendet (z. B. Planning Analytics, Sterling usw.). Es ist jedoch wichtig, dass Partner verstehen, dass die Erstellung einer föderierten Trust-Konfiguration mit IBMid keinen Zugriff auf eine bestimmte IBM Anwendung bindet. Provider können verwendet werden, um föderierte Identitätsbeziehungen mit bestimmten Anwendungen zu erstellen. IBMid ist jedoch keine Anwendung. Es ist ein Identitätsservice, der die Anmeldung für den Zugriff auf eine Vielzahl von IBM Anwendungen unterstützt. Nur weil sich ein Benutzer bei IBMid anmelden kann, bedeutet dies nicht, dass der Benutzer Zugriff auf eine bestimmte Anwendung hat. Der Zugriff auf eine bestimmte IBM Anwendung (Berechtigung) wird von der Anwendung selbst gesteuert. Zum Beispiel:
  • Jeder Benutzer, der sich bei IBMid anmeldet, kann auf MyIBM (myibm.ibm.com) zugreifen.
  • Zum Öffnen von Supportfällen über das Portal MySupport benötigt ein Benutzer eine bestimmte Berechtigung, die vom IBM Support konfiguriert wurde.
  • Für den Zugriff auf Passport Advantage (PAO) ist es erforderlich, dass die ID des Benutzers auf der Basis der Genehmigung durch den primären Ansprechpartner des Kunden speziell berechtigt wird.
  • Für den Zugriff auf IBM Planning Analytics (PA) muss ein IBMid -Benutzer im entsprechenden PA-Arbeitsbereich konfiguriert sein.
  • Bestimmte Berechtigungen, die über die IBM Cloud -Konsole erteilt werden, ermöglichen es einem IBMid -Benutzer, IBM Cloud -Kontoressourcen zu verwalten.
Der Punkt oben ist, dass IBMid EF für die Authentifizierung von Benutzern mit IBMidverwendet wird, um keinen Zugriff auf eine bestimmte Anwendung zu autorisieren. IBM -Anwendungen steuern ihre eigenen Berechtigungen und es ist für Identitätsprovider, die mit IBMid EF konfiguriert sind, nicht erforderlich, um den Zugriff auf bestimmte IBM -Anwendungenzu steuern. Die Steuerung des individuellen IBM Anwendungszugriffs beim Identitätsprovider ist eine minimal effektive Sicherheitssteuerung und erfordert in der Praxis einen deutlich höheren Verwaltungsaufwand. Die Möglichkeit, dass sich alle EF-Partnerbenutzer (basierend auf der E-Mail-Domäne) über den Identitätsprovider anmelden und die Berechtigungs-/Berechtigungsentscheidungen unter der Kontrolle von Anwendungen verlassen, hat folgende Vorteile:
  1. Partner können uneingeschränkten Zugriff auf den IBMid -Authentifizierungsprozess für alle Benutzer haben, einschließlich Kennwortrichtlinie, Implementierung mehrerer Faktoren usw.
  2. Die Benutzerauthentifizierung über EF bietet Partnern eine verbesserte Überprüfbarkeit und ein besseres Betriebsbewusstsein für die Nutzung von IBMid .
  3. Die Verwaltung der IBMid -Erstellung und -Konfiguration wurde erheblich vereinfacht.

Service-Provider-initiierte (SP-initiierte) Anmeldung User Experience

  1. Der Benutzer verfügt über ein Konto auf der Service-Provider-Site.
  2. Der Benutzer versucht, vom Service-Provider auf die geschützte Ressource zuzugreifen.
  3. Der Service-Provider leitet eine SAML-Authentifizierungsanforderung an den Identitätsprovider ein. Der Service-Provider leitet den Browser des Benutzers zum Identitätsprovider um.
  4. Der Benutzer meldet sich an.
  5. Der Identitätsprovider generiert eine SAML-Authentifizierungsantwort, die bestätigt, dass der Benutzer authentifiziert wird.
  6. Der Service-Provider validiert die SAML-Authentifizierungsantwort.
  7. Der Browser des Benutzers wird zum Ziel des Dienstanbieters URL umgeleitet, und der Benutzer wird zum Zugriff auf die angeforderte Ressource berechtigt.

Vom Identitätsanbieter initiierteIdP-initiated) Anmeldung Benutzerfreundlichkeit

  1. Der Benutzer verfügt über einen Account auf der Identitätsprovidersite.
  2. Der Benutzer meldet sich bei der Website des Identitätsanbieters an oder verwendet das Single Sign-On des Identitätsanbieters URL, um auf die geschützte Ressource des Dienstanbieters zuzugreifen.
  3. Der Identitätsprovider leitet eine SAML-Authentifizierungsantwort ein, die bestätigt, dass der Benutzer authentifiziert ist.
  4. Der Service-Provider validiert die SAML-Authentifizierungsantwort.
  5. Der Browser des Benutzers wird zum Ziel des Dienstanbieters URL umgeleitet, und der Benutzer wird zum Zugriff auf die angeforderte Ressource berechtigt.

IBMid -Erneute Authentifizierung des Benutzers

Die Funktion 'remember me' ist verfügbar und speichert die IBMid des Benutzers, nachdem der Benutzer Weiterausgewählt hat.

Föderierte Benutzer werden nicht automatisch erneut für IBMid über das Übernahmecookie authentifiziert, nachdem ihre Sitzungen abgelaufen sind (das Standardzeitlimit beträgt 30 Minuten Inaktivität und insgesamt 1 Stunde). Viele föderierende Unternehmen haben diese Funktion angefordert, um eine häufigere Authentifizierung zu erzwingen. Sobald das Zeitlimit der IBM -Anwendung oder IBMid -Sitzung überschritten wird, wird jede weitere Authentifizierung zur erneuten Authentifizierung an Ihren IdP umgeleitet. Ob sich der Benutzer erneut bei Ihrem IdP authentifizieren muss, wird durch die Einstellungen für die Sitzungsdauer Ihres IdP's gesteuert. Wenn ' remember me' für den Benutzer aktiviert ist und Ihr IdP eine längere Lebensdauer als IBMidhat, bemerkt der Benutzer möglicherweise keine erneute Authentifizierung bei IBMid . Andernfalls muss sich der Benutzer erneut mit IBMid authentifizieren.