Konfigurieren eines Identitätsagenten für die Authentifizierung über einen Webdienst

Online bearbeiten

Informationen zu dieser Task

Eine nicht standardmäßige Konfiguration des Identitätsanbieters, bei der Benutzerattribute und -gruppen über einen Webdienst abgerufen werden, der auf eine nicht standardmäßige Datenquelle zugreift (nicht LDAP oder nicht AD).

Vorgehensweise

  1. Wählen Sie „Integrationen “ > „Identitätsagenten “.
  2. Wählen Sie „Agentenkonfiguration erstellen “.
  3. Wählen Sie als Zweck „Authentifizierung“ aus.
  4. Wählen Sie die Webdienst -Kachel aus.
  5. Wählen Sie „Weiter “.
  6. Konfigurieren Sie die Verbindungseinstellungen für den Webdienst. Geben Sie die URI des lokalen Webdienstes ein.
    Bei der Einrichtung eines Failovers für einen Cluster-Webdienst können mehrere Webdienst-URIs hinzugefügt werden, indem man „URI hinzufügen+“ auswählt.
  7. Wählen Sie den Authentifizierungstyp aus.
    Der Authentifizierungstyp ist die Methode, mit der sich der Agent beim lokalen Webdienst authentifiziert.
    • OAUTH
      Tokenendpunkt-URL
      Geben Sie den Token-Endpunkt des Anbieters „ OAuth “ ein. Dieser Token-Endpunkt wird vom Agenten verwendet, um ein Zugriffstoken abzurufen, das an den Webdienst gesendet wird.
      Authentifizierungsmethode für Tokenendpunkt
      Geben Sie die Authentifizierungsmethode für den Token-Endpunkt ein:
      • POST-Anfrage für den Client-Schlüssel – Der Agent sendet die Anmeldedaten des Clients in einer POST-Anfrage an den Token-Endpunkt.
      • Grundlagen zum Client-Secret – Der Agent sendet die nach dem „ base64 “-Verfahren verschlüsselten Client-Anmeldedaten in einem authorization Request-Header an den Token-Endpunkt.
      Client-ID und geheimer Clientschlüssel
      Geben Sie die Anmeldedaten ein, die für die Authentifizierung beim Anbieter „ OAuth “ verwendet werden. Sie können auch eine Zertifizierungsstelle angeben.
      Wenn Sie einen bestehenden Identity Agent-Client bearbeiten, stehen Ihnen die folgenden Optionen für den Client-Secret zur Verfügung:
      • Wählen Sie Anzeigen aus, um den geheimen Clientschlüssel anzuzeigen.
      • Wählen Sie Ausblenden aus, um den geheimen Clientschlüssel auszublenden.
      • Wählen Kopieren Sie diese Option, um die Client-ID oder den geheimen Schlüssel in die Zwischenablage zu kopieren.
      • Wählen Liste Sie diese Option aus, um die rotierten Client-Geheimnisse anzuzeigen.
        • Wählen Sie ein oder mehrere aktualisierte Client-Geheimnisse aus der Liste aus und klicken Sie auf „Löschen“, um sie zu löschen.
      • Wählen Sie Neu generieren aus, um einen neuen geheimen Clientschlüssel zu generieren. Verwenden Sie diese Option, wenn Sie vermuten, dass die Geheimhaltung des geheimen Clientschlüssels nicht mehr gewährleistet ist. Wenn Sie den geheimen Clientschlüssel nicht neu generieren, müssen Sie den geheimen Clientschlüssel in allen OAuth-Clients für die Anwendung aktualisieren.
        • Aktivieren Sie das Kontrollkästchen „Aktuelles Geheimnis beibehalten “, um das aktuelle Client-Geheimnis zur Liste der rotierten Client-Geheimnisse hinzuzufügen.
        • Wenn das Kontrollkästchen „Aktuelles Geheimnis beibehalten“ aktiviert ist, wählen Sie die Beschreibung des Client-Geheimnisses und die Ablaufzeit (in der lokalen Zeit des Browsers) aus. Wenn keine Ablaufzeit ausgewählt wird, gilt die in den Anwendungseinstellungen festgelegte Lebensdauer des rotierten Geheimnisses des Mandanten.
        • Rotierte Client-Geheimnisse werden gehasht und können nicht mehr im Klartext abgerufen werden, können aber bis zum gewählten Ablaufdatum weiterhin verwendet werden.
        • Nach der Bestätigung wird das Client-Geheimnis sofort aktualisiert. Das neue Client-Geheimnis wird auf dem Bildschirm angezeigt.
      Zertifizierungsstelle mit privatem Schlüssel (optional)
      Geben Sie die CA-Zertifikatskette ein, damit der lokale Agent die Verbindung zum externen Authentifizierungsdienst über Transport Layer Security ( TLS ) überprüfen kann.
      Nutzungsrechte für Geltungsbereich (optional)
      Geben Sie eine oder mehrere Berechtigungsbereiche für das Zugriffstoken ein.
      Name des privaten Schlüsselzertifikats (optional)
      Wenn Sie bei Ihrer Agent-Verbindung eine Authentifizierung mittels gegenseitiger Zertifikatsprüfung (Mutual TLS, MTLS) durchführen möchten, geben Sie den Namen des privaten Schlüssels an.
    • JSON Web Token (JWT)
      HTTP-Header
      Geben Sie den „ HTTP “-Header ein, in dem das JWT enthalten ist. Beispiel: authorization.
      Präfix für JWT-Headerwert (optional)
      Geben Sie den Präfixwert ein, der im Header „ HTTP “ vor dem JWT erscheint. Beispiel: Bearer .
      Hinweis: Zwischen dem Präfix und dem JWT wird nicht automatisch ein Leerzeichen eingefügt; es muss daher manuell nach dem angegebenen Präfix eingegeben werden.
      Untergeordneter Anspruch (sub)
      Geben Sie den im JWT enthaltenen Sub-Claim ein.
      Signaturalgorithmus
      Wählen Sie den Signaturalgorithmus aus, den der Agent zum Signieren des JWT verwendet.

      Geben Sie bei symmetrischen Signaturalgorithmen (HSXXX) den Wert des geheimen Schlüssels ein, der als symmetrischer Signaturschlüssel dient. Der eingegebene Signaturschlüssel muss im Format „ base64 “ kodiert sein.

      Bei asymmetrischen Signaturalgorithmen (ESXXX, PSXXX oder RSXXX) geben Sie den Namen des persönlichen Zertifikats ein, der als Bezeichnung für den privaten Schlüssel dient, der zum Signieren des JWT verwendet wird. Unter Windows entspricht diese Bezeichnung dem Subject Wert des Zertifikats für den privaten Schlüssel im Windows-Schlüsselspeicher. /cert/{label}_cert[_{instance}].pemBei „ Linux® “-Systemen entspricht dieser Wert dem label Teil des Pfades.

      Maximale Gültigkeitsdauer des JWT
      Geben Sie die Gültigkeitsdauer des JWT in Sekunden ein.
      Zertifizierungsstelle (optional)
      Geben Sie die CA-Zertifikatskette ein, damit der On-Prem-Agent die Verbindung zum externen Authentifizierungsdienst TLS überprüfen kann.
    • Basisauthentifizierung
      Benutzername und Kennwort
      Der Benutzername und das Passwort, die zur Authentifizierung des Agenten beim Webdienst verwendet werden. Sie werden in einem Header an den Webdienst gesendet, der im Format Basic username:password aufgerufen authorization wird, wobei username:password als base64 -Kodierung vorliegt.
      Zertifizierungsstelle (optional)
      Geben Sie die CA-Zertifikatskette ein, damit der On-Prem-Agent die Verbindung zum externen Authentifizierungsdienst TLS überprüfen kann.
      Name des privaten Schlüsselzertifikats (optional)
      Wenn Sie bei Ihrer Agent-Verbindung eine MTLS-Zertifikatsauthentifizierung durchführen möchten, geben Sie den Namen des privaten Schlüssels an.
    • Zertifikatsauthentifizierung (MTLS)
      Zertifizierungsstelle (optional)
      Geben Sie die CA-Zertifikatskette ein. Diese Zertifikatskette wird vom lokalen Agenten verwendet, um das Zertifikat „ TLS “ zu validieren, das von einem Webdienst vorgelegt wird, der „ TLS “ nutzt. Diese Zertifikatskette wird vom Agenten auch verwendet, wenn er das Zertifikat „ TLS “ überprüft, das vom Token-Endpunkt des Servers „ OAuth “ unter URL bereitgestellt wird.
      Zertifikat für den privaten Schlüssel
      Geben Sie den Namen des Zertifikats für den privaten Schlüssel ein, das der Agent während des MTLS-Prozesses verwendet. Bei anderen Authentifizierungstypen als MTLS führt die Einstellung dieses Werts dazu, dass der Agent zusätzlich zum bereits angegebenen Authentifizierungstyp versucht, MTLS durchzuführen.

      Auf Windows™-Systemen überprüft die Bridge den Subject: Wert im Windows-Schlüsselspeicher. In Systemen mit „ Linux “ prüft die Bridge den Pfad /cert/{label}_cert[_{instance}].pem , wobei „label“ den hier eingegebenen Wert darstellt.

  8. Klicken Sie auf Weiter.
  9. Legen Sie die Benutzereigenschaften fest.
    Geben Sie eine durch Kommas getrennte Liste der Attribute an, die der Webdienst bei erfolgreicher Passwortüberprüfung zurückgibt.
  10. Klicken Sie auf Weiter.
  11. Ordnen Sie die vom Webdienst abgerufenen Attribute den Attributen des Verify Cloud-Verzeichnisses zu.
    Nachdem Sie den Identitäts-Agenten erstellt haben, können Sie die Zuordnungen über die Bearbeitungsfunktion Stiftsymbol auf der Kachel des Agenten ändern oder aktualisieren.
  12. Wählen Sie „Weiter “.
  13. Geben Sie unter „Konfiguration abschließen “ die folgenden Informationen ein.
    • Einen eindeutigen und aussagekräftigen Namen für den Agenten
    • Eine Beschreibung
    • Ein Anzeigename für den Identitätsanbieter
    • Ein Bereich für den Identitätsanbieter
  14. Optional: Wählen Sie „Erweiterte Einstellungen anzeigen“, um Konfigurationsattribute hinzuzufügen oder ein Zertifikat für die Verschlüsselung auszuwählen.
  15. Klicken Sie auf „Speichern“ und fahren Sie fort.
  16. Führen Sie unter „Nächste Schritte “ die folgenden Schritte aus.
    1. Wählen Sie „API-Anmeldedaten anzeigen“ und kopieren Sie die Client-ID und den geheimen Client-Schlüssel mithilfe des Symbols „In die Zwischenablage kopieren“, um sie zu speichern.
      Hinweis: Nur Benutzer mit den entsprechenden Berechtigungen können das Client-Geheimnis einsehen. Weitere Informationen finden Sie unter „Sicherheitsupdates für Berechtigungen “.
    2. Falls noch nicht geschehen, laden Sie den Agenten von IBM® X-Force® App Exchange herunter.
    3. Fügen Sie der Agentenkonfiguration Ihre API-Berechtigungsnachweise hinzu.
  17. Klicken Sie auf „Fertig stellen “.
    Die Konfiguration wird zu den Identitätsagenten hinzugefügt, und der Identitätsanbieter wird unter „Authentifizierung > Identitätsanbieter“ aufgeführt.