SAML-JIT-Bereitstellung konfigurieren

Online bearbeiten

IBM® VerifyAktivieren Sie die JIT Just-in-Time-Bereitstellung, um ein Benutzerkonto beim Dienstanbieter zu erstellen oder zu aktualisieren, sobald sich ein Benutzer zum ersten Mal bei [Dienstname] anmeldet. Verify übermittelt die für die Erstellung oder Aktualisierung des Kontos erforderlichen Benutzerdaten über eine „ SAML “-Assertion. Verwenden Sie die JIT-Bereitstellung in Fällen, in denen der Service-Provider die Erstellung der Benutzeridentitätsinformationen nicht erfordert oder diese bereits kennt, bevor der Benutzer versucht, auf den Service-Provider zuzugreifen.

Vorbereitende Schritte

  • Zur Ausführung dieser Task müssen Sie über Verwaltungsberechtigung verfügen.
  • Erstellen Sie im Cloudverzeichnis Benutzerprofile für die Benutzer, denen Anwendungszugriffsnutzungsrechte erteilt werden sollen. Fügen Sie die Benutzer über die Seite „Verzeichnis > Benutzer & Gruppen > Benutzer“ hinzu. Siehe „Benutzer verwalten “.
  • Legen Sie die grundlegenden Informationen für die Anwendungsinstanz auf der Registerkarte „Allgemein“ fest. Siehe „Grundlegende Anwendungsdetails festlegen “.

Informationen zu dieser Task

Aktivieren Sie das JIT-Provisioning im Rahmen der Konfiguration des auf „ SAML “ basierenden Single Sign-On zwischen Verify und dem Dienstanbieter. Siehe

Das Benutzerkonto wird in der Benutzerdatenbank des Dienstanbieters anhand der Attribute erstellt, die in der „ SAML “-Assertion enthalten sind. Verify Sendet eine „ SAML “-Bestätigung an den Dienstanbieter, wenn der Benutzer im Rahmen eines Single Sign-On auf den Dienstanbieter zugreift. Wenn für den angegebenen Benutzernamen keine Übereinstimmung gefunden wird, erstellt der Dienstanbieter ein neues Konto mit den in der „ SAML “-Assertion enthaltenen Benutzerattributen. Außerdem erteilt der Service-Provider dem Benutzer sofort Zugriff auf die angeforderten Ressourcen.

VerifyWenn Sie „Just-in-Time-Provisioning“ in aktivieren, müssen Sie es auch beim Dienstanbieter aktivieren. Diese Einstellung muss immer synchron sein.

Möglicherweise wird ein Treffer gefunden, und der Dienstanbieter aktualisiert account does exist das Konto für den Nutzer entsprechend den Attributinformationen in der „ SAML “-Assertion.

Einige Dienstanbieter unterstützen Kontoaktualisierungen bei der nächsten Benutzeranmeldung, wenn JIT die Bereitstellung aktiviert ist. Bestimmen Sie das Verhalten mithilfe der Produktdokumentation des Service-Providers.

Hinweis: Bekanntes Verhalten. user@tenanthostnameWenn der Administrator einen Standardbenutzer in cloudIdentityRealm mit dem userName in der Form angelegt hat, wobei tenanthostname der Hostname des Mandanten ist. Beispiel, hostname.idng.ibmcloudsecurity.com. userWenn während des JIT (Just-In-Time-Bereitstellungs-)Prozesses das empfangene Token einen Benutzernamen enthält, darf für diesen Benutzer kein Verbundbenutzer angelegt werden; stattdessen wird aus Gründen der Benutzerfreundlichkeit der Standardbenutzer user@tenanthostname aus cloudIdentityRealm als Standard konfiguriert.

Vorgehensweise

  1. Wählen Sie „Anwendungen“ > „Anwendungen“ > Bearbeiten > „Anmelden “.
  2. W ählen Sie im Abschnitt „Just-in-Time-Provisioning “ die Option „Provisioning-Attribute in die ‚ SAML ‘-Assertion aufnehmen“ aus, um die Benutzerattribute aufzulisten, die der Dienstanbieter benötigt, um das Benutzerkonto in seiner Benutzerregistrierung anzulegen oder zu aktualisieren.
    Hinweis: Je nach Anwendung kann diese Option verfügbar sein.
    • Sie ist beim Service-Provider immer aktiviert. Daher ist diese Funktion standardmäßig aktiviert und schreibgeschützt in Verify. Es sind keine Provisioning-Attribute erforderlich und es ist keine weitere Konfiguration nötig.
    • Sie zeigt Attribute an, die der Service-Provider für die Bereitstellung des Benutzeraccounts erfordert. Ein Service-Provider erfordert mindestens die folgenden Benutzerattribute:
      • Benutzername
      • Vorname
      • Familienname
      • E-Mail-Adresse
    • Zeige die Attribute an, die der Dienstanbieter für die Einrichtung des Benutzerkontos berücksichtigt. Beispiel:
      • Mitarbeiter-ID
      • Handy
      • Abteilung
      • Jobbezeichnung
    • Es müssen Bereitstellungsattribute verwendet werden, die mit den Anforderungsattributen für Single Sign-On übereinstimmen.

      Es spielt keine Rolle, ob das Kontrollkästchen aktiviert ist. Das Benutzerkonto wird eingerichtet, sobald der Benutzer die Single-Sign-On-Anmeldung bei Verify. abgeschlossen hat.

  3. Weisen Sie unter „Attributzuordnungen “ jedem Attribut des Dienstanbieters ein entsprechendes Verify Benutzerattribut zu.

    Ordnen Sie die Attribute auf der Basis der Anforderungen des Service-Providers zu.

    Verwenden Sie die Attributzuordnung, um zu steuern, wie die Anwendung die Benutzerattribute aus Verifyberechnet. Die Attribute des Dienstanbieters werden mit den Werten gefüllt, die das zugeordnete Verify Benutzerattribut enthält.

    Hinweis: Die Liste der angezeigten Attribute und deren Bedeutung variieren je nach Anwendung. Bestimmte Single-Sign-On-Attribute können für die Bereitstellung erforderlich sein.
  4. Klicken Sie auf „Speichern “.
  5. Konfigurieren Sie das JIT-Provisioning beim Dienstanbieter. Beachten Sie die Anweisungen auf der Verify Registerkarte „Anmeldung “.

Ergebnisse

Hinweis: Wenn ein berechtigter Benutzer zum ersten Mal auf Verify die Anwendung zugreift, wird er aufgefordert, die Nutzungsbedingungen zu akzeptieren. Der Benutzeraccount wird für die Anwendung bereitgestellt und der Benutzer kann sich anmelden.