Die config.json-Datei

Diese Konfigurationsdatei muss im JSON-Format vorliegen. Sie enthält den Abschnitt ibm-auth-api und einen für Berechtigungsnachweisprovider (credential-provider).

Format

{
    "ibm-auth-api":{
        "client-id":"????????-????-????-????-????????????",
        "ofb-client-secret":"**********",
        "protocol":"https",
        "host":"tenant.verify.ibm.com",
        "port":443,
        "max-handles":16
    },
    "credential-provider":{
        "username-format":"%D\\\\%U",
        /*"trace-file":"c:/credprov/credprov.log",*/
        "disable-builtin-password-logon": false,
        "auth-method":"winpwd-then-choice-then-otp"
    }
}

ibm-auth-api konfigurieren

Eingabe	Beispielwert	Beschreibung
"client-id"	"84e8da25-d7ed-47cc-9782-b852cb64365c"	Dieser Wert ist erforderlich. Ein IBM® Verify-API-Client muss für die Verwendung durch IBM Verify Gateway for Windows Login erstellt werden.
"ofb-client-secret"	"KsjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA="	Dieser Wert ist erforderlich. Der IBM Verify -API-Client erhält bei der Erstellung ein Kennwort und muss in dieser Konfigurationseinstellung festgelegt werden. Der Wert für obf-client-secret wird in verschlüsselter Form bereitgestellt. Hinweis: Dieser geheime obf-client-secret-Wert kann alternativ in Klartext angegeben werden, indem die Option "client-secret" verwendet wird. Beispiel: `"client-secret”:"XOpiba1XeP"` . `"obf-client-secret”: "asjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA=",`
"protocol"	"https"	Dieser Wert ist optional; für den Wert wird standardmäßig "https" angenommen. Dieses Protokoll wird für die Kommunikation mit dem Verify -Server verwendet. Jeder der beiden Werte, "http" oder "https", kann verwendet werden. Wenn HTTPS verwendet wird und die Datei cacert.pem vorhanden ist, werden das IBM Verify-Serverzertifikat und der Servername validiert.
"Host"	"Tenant.verify.ibm.com"	Dieser Wert ist erforderlich. Sie gibt den Verify -Server an, den Sie verwenden.
"port"	443	Dieser Wert ist optional; für den Wert wird standardmäßig 443 angenommen. Dieser Port ist der Port, an dem der Verify -Server für Anforderungen empfangsbereit ist.
"max-handles"	2	Dieser Wert ist optional; für den Wert wird standardmäßig 16 angenommen. Dieser Wert gibt die maximale Anzahl paralleler Verbindungen an, die IBM Verify Gateway for Windows Login zur Benutzerauthentifizierung zum IBM Verify -Server herstellt. Jede Schnittstelle eines Berechtigungsnachweisproviders verwendet nie mehr als zwei Verbindungen gleichzeitig, sodass ein Wert von 2 geeignet ist.
"proxy"	"http://proxy.ibm.com:1080"	Dieser Wert ist optional; für den Wert wird standardmäßig angenommen, dass kein Proxy, sondern Direktverbindungen verwendet werden. Legen Sie den Proxy für den Zugriff auf den Verify -Tenant fest. Der Wert ist ein Hostname oder eine numerische IP-Adresse mit Trennzeichen. Eine numerische IPv6-Adresse muss in eckige Klammern, [], eingeschlossen werden. Um die Portnummer in dieser Zeichenfolge anzugeben, hängen Sie `:[port]` an das Ende des Hostnamens an. Für den Proxy-Port wird standardmäßig `port :1080` angenommen. Die Proxy-Zeichenfolge kann mit dem Präfix `[scheme]://` versehen werden, um anzugeben, welche Art von Proxy verwendet wird. http:// HTTP-Proxy. Der Standardtyp, wenn kein Schema oder Proxy-Typ angegeben ist. https:// HTTPS-Proxy. In 7.52.0 für OpenSSL, Gnus und NSS hinzugefügt. socks4:// SOCKS4-Proxy. socks4a:// SOCKS4a-Proxy. Vom Proxy wird der URL-Hostname aufgelöst. socks5:// SOCKS5-Proxy. socks5h:// SOCKS5-Proxy. Vom Proxy wird der URL-Hostname aufgelöst. Ohne Schemapräfix wird standardmäßig `http://` verwendet. Wenn Sie für die Proxy-Zeichenfolge `""` festlegen (eine leere Zeichenfolge), wird die Verwendung eines Proxys explizit inaktiviert, auch wenn hierfür eine Umgebungsvariable festgelegt ist. Eine Proxy-Host-Zeichenfolge kann auch das Protokollschema `http://` sowie einen eingebetteten Benutzer und ein Kennwort enthalten. Hinweis : Wenn Sie HTTPS verwenden, legen Sie OpenSSL `SSL_CERT_FILE` auf dem Windows-System fest, auf dem IBM Verify ausgeführt wird. Diese Umgebungsvariable gibt den Namen und die Position der CA-Zertifikatsdatei an. Wechseln Sie zu Steuerkonsole > System und Sicherheitssystem > Erweiterte Systemeinstellungen > Umgebungsvariablen > Systemvariablen und geben Sie die Variable an. Beispiel: `SSL_CERT_FILE = C:\ Program Files\IBM\WindowsLogin\ cacert.pem`
"proxytunnel"	wahr	Dieser Wert ist optional; für den Wert wird standardmäßig "true" angenommen, wenn der Proxy aktiviert ist. Setzen Sie das Argument `proxytunnel` auf `true`, um Verify den Tunnel für den Mandantenbetrieb durch HTTP zu leiten. Die Verwendung eines Proxys unterscheidet sich von der Übertragung im Tunnelungsverfahren über den Proxy. Tunnelung bedeutet, dass eine HTTP-Anforderung CONNECT an den Proxy gesendet wird, in der der Proxy aufgefordert wird, die Verbindung zu einem fernen Host an einer bestimmten Portnummer herzustellen; der Datenverkehr erfolgt dann über den Proxy. Proxys verfügen über eine Zulassungsliste, in der die spezifischen Nummern der Ports aufgelistet sind, an die Anforderungen CONNECT gesendet werden können. In der Regel sind nur die Ports 80 und 443 zulässig.
"connect-timeout"	10	Dieser Wert ist optional; für den Wert werden standardmäßig 10 Sekunden angenommen. Die Wartezeit in Sekunden, während versucht wird, eine Verbindung zum Verify -Server zu öffnen. Wenn der erste Versuch fehlschlägt, erfolgt eine einzige Wiederholung.
"timeout"	20	Dieser Wert ist optional; für den Wert werden standardmäßig 20 Sekunden angenommen. Die Zeit in Sekunden, die der IBM Verify Gateway for Windows Login auf den Empfang von Daten auf der Verify Serververbindung wartet.
"token-typ"	"Träger"	Gibt den Zugriffstokentyp "access-token" an
"Zugriffstoken"	"abgebrochen ..."	Gibt das Zugriffstoken an, das für den Tenant verwendet wird Dies ist eine Alternative zur Verwendung der Optionen "client-ID" und "client-secret", wenn das Zugriffstoken bereits bekannt ist.
"ca-pfad"	""C:\Program\Files\IBM\WindowsLogin\cacert.pem"	Gibt eine Datei mit einer Liste zulässiger Zertifizierungsstellen an, die das Zertifikat des Mandanten-Servers Verify signieren. Diese Textdatei enthält ein oder mehrere PEM CA-Zertifikate für öffentliche Schlüssel im Format base64. Standardmäßig wird die Datei cacert.pem verwendet, die sich im Verzeichnis der Konfigurationsdateien befindet.
"ursprungsbenutzeragent"	"IBM Verify"	Gibt den Benutzeragenten an, der in der Anforderung zum Einleiten einer Push-Transaktion (Gerätetransaktion) gesendet wird.
"proxy-ca-pfad"	""C:\Program\Files\IBM\WindowsLogin\cacert.pem"	Gibt eine Datei mit einer Liste zulässiger CA-Unterzeichner des Proxy-Server-Zertifikats an. Diese Textdatei enthält ein oder mehrere PEM CA-Zertifikate für öffentliche Schlüssel im Format base64. Standardmäßig wird die Datei cacert.pem verwendet, die sich im Konfigurationsdateiverzeichnis befindet.
"bestmöglich widerrufen"	falsch	Für die TLS-Kommunikation mit der Verify tenant REST API. Dies gibt an, ob Zertifikatswiderrufsprüfungen bei fehlenden oder Offline-Verteilungspunkten für die TLS-Back-Ends, bei denen ein solches Verhalten vorliegt, ignoriert werden sollen.
"kein Widerruf"	falsch	Für die TLS-Kommunikation mit der Verify tenant REST API. Dies gibt an, ob die Zertifikatssperrprüfungen für die TLS-Backends deaktiviert werden sollen, bei denen ein solches Verhalten auftritt. Diese Option wird nur unter Windows unterstützt, mit Ausnahme der Sperrliste nicht vertrauenswürdiger Herausgeber von Windows, die nicht umgangen werden kann. Diese Option hat Vorrang vor „revoke-best-effort“.

credential-provider konfigurieren

Eingabe	Beispielwert	Beschreibung
"trace-file"	“C:\Temp\credprov.log”	Dieser Wert ist optional; für den Wert wird standardmäßig kein Tracing angenommen. Hinweis: Wenn die Datei C:\Program Files\IBM\WindowsLogin\credprov.log vorhanden ist, wird die Protokollierung automatisch und zu einem früheren Zeitpunkt beim Start von Verify Gateway for Windows Login aktiviert.
"auth-method"	"winpwd-then-choice-then-otp"	Dieser Wert ist optional; für den Wert wird standardmäßig "winpwd-then-choice-then-otp" angenommen. Diese Angabe definiert die MFA-Methode, die zur Authentifizierung des Benutzers verwendet wird. "winpwd" Nur Windows-Kennwort. "winpwd-and-totp" Windows-Kennwort, kombiniert mit dem zeitbasierten Einmalkenncode in einer einzigen Eingabe. "winpwd-then-smsotp" Windows-Kennwort, gefolgt vom SMS-Einmalkenncode. "winpwd-then-emailotp" Windows-Kennwort gefolgt von einem E-Mail-Einmalkenncode. "winpwd-then-choice-then-otp" Windows-Kennwort, gefolgt von einer Auswahl aus den verfügbaren 2FA -Methoden, gefolgt von dem ausgewählten Einmalkenncode oder dem Warten auf Gerätebenachrichtigung. Anmerkung: Wenn nur eine Option verfügbar ist, wird der Auswahlschritt übersprungen. "winpwd-then-device" Windows-Kennwort, gefolgt vom Warten auf Gerätebenachrichtigung. Wenn für den Benutzer mehr als ein Gerät registriert ist, wird ein Auswahlschritt angezeigt. "winpwd-then-transient" Windows-Kennwort, gefolgt vom Kennwort für die Einzelzeit. Wenn für den Benutzer mehr als eine transiente Authentifizierungsmethode registriert ist, wird ein Auswahlschritt angezeigt.
"accept-on-missing-auth-method"	falsch	Dieser Wert ist optional; für den Wert wird standardmäßig "false" angenommen. Wenn der Wert auf "true" gesetzt wird und ein Benutzer über keine geeignete Zwei-Faktor-Authentifizierung (2FA) für die Authentifizierungsmethode (auth-method) verfügt, kann sich der Benutzer anmelden, indem er nur sein Kennwort verwendet.
"password-first"	falsch	Dieser Wert ist optional; für den Wert wird standardmäßig "false" angenommen. Wenn der Wert auf "true" gesetzt wird und für die Authentifizierungsmethode (auth-method) "winpwd-and-totp" festgelegt ist, muss für die kombinierte Eingabe aus Kennwort und TOTP-Wert zuerst das Kennwort angegeben werden. Wenn der Wert "false" lautet, muss in der kombinierten Eingabe zuerst der TOTP-Wert angegeben werden.
"otp-prompt"	"Enter the One Time Passcode %C-"	Dieser Wert ist optional; für den Wert wird standardmäßig "Enter the One Time Passcode %C-" angenommen. Diese Eingabeaufforderung wird angezeigt, wenn der Benutzer zur Eingabe seines Kennworts für einmaliges Anmelden aufgefordert wird. Wenn die Zeichenfolge %C in der Eingabeaufforderung vorhanden ist, wird sie durch den Korrelationswert für die OTP-Methode ersetzt. Sie ist die leere Zeichenfolge für das zeitbasierte Kennwort für einmaliges Anmelden (OTP).
"password-separator"	“,”	Dieser Wert ist optional und weist standardmäßig den Wert "`,`" auf. Dieses Zeichen muss zwischen die kombinierte Eingabe aus Kennwort und zeitbasiertem Kennwort für einmaliges Anmelden (TOTP) für die Authentifizierungsmethode ((auth-method) "winpwd-and-totp" gestellt werden.
"verify-method-order"	["fingerprint","userPresence"]	Dieser Wert ist optional; für den Wert wird standardmäßig ["fingerprint","userPresence"] angenommen.
"verify-message"	"Soll die Anforderung von winhost.ibm.com genehmigt werden?"	Dieser Wert ist optional; für den Wert wird standardmäßig "Soll die Anforderung von {Hostname} genehmigt werden?" angenommen. Dabei wird {hostname} durch den abgeleiteten Hostnamen ersetzt, auf dem Verify Gateway for Windows Login ausgeführt wird. Wenn "device" als Authentifizierungsmethode (auth_method) verwendet wird, wird diese Nachricht am Gerät des Benutzers angezeigt, wenn der Benutzer zur Verifizierung des Zugriffs aufgefordert wird.
"choices"	["Gerät","transient","totp","smsotp","emailotp", "voiceotp"]	Dieser Wert definiert die Typen der Zwei-Faktor-Authentifizierung (2FA), die dem Benutzer für die Authentifizierungsmethode (auth-method) "winpwd-then-choice-then-otp" angezeigt werden.
"transient-choices"	[ {"choice": "phoneNumbers", "sub-choices": ["mobile", "work"]}, "emails" ]	Dieser Wert ist optional; für den Wert wird standardmäßig ["phoneNumbers","emails"] angenommen. Dieser Wert definiert die Typen der transienten OTP-Methoden, die dem Benutzer angezeigt werden, wenn die transiente Zwei-Faktor-Authentifizierung (2FA) aktiviert ist. Sie können für "phoneNumbers" Unteroptionen angeben. Kunden verwenden diese Option normalerweise, um die Telefonnummern auf "Mobil" zu beschränken. Zeichenfolgen und/oder detaillierte Objekte können im Array "transient-choices" gemischt werden, damit die Kompatibilität mit früheren Versionen gegeben ist.
"no-mfa-on-unlock"	true \| false	Dieser Eintrag weist standardmäßig den Wert 'false' auf. Wenn 'true' festgelegt ist, wird keine 2FA-Eingabe angefordert; zum Entsperren des Desktops ist nur das Kennwort erforderlich.
"poll-timeout"	60	Dieser Wert ist optional; für den Wert werden standardmäßig 60 Sekunden angenommen. Dieser Wert gibt an, wie lange eine PUSH-Benachrichtigung eines Geräts auf die Genehmigung oder Zurückweisung einer Anforderung durch den Benutzer wartet. Wenn das Zeitlimit erreicht ist, wird die Anforderung automatisch zurückgewiesen.
"poll-rate-ms"	1000	Dieser Wert ist optional; für den Wert werden standardmäßig 1000 Millisekunden angenommen. Dieser Wert gibt an, wie oft Verify Gateway for Windows Login den Verify-Server überprüft, um zu bestimmen, ob die PUSH-Benachrichtigung eines Geräts zurückgewiesen oder genehmigt wurde. Es wirkt sich darauf aus, wie reaktionsfähig IBM Verify Gateway for Windows Login auf das Gerät PUSH ist. Anmerkung: Kleine Werte für die Abfragerate senden viele Anforderungen pro Sekunde an den Verify -Server, was die Arbeitslast erhöht.
"ignore-isvalidated"	falsch	Dieser Wert ist optional; für den Wert wird standardmäßig "false" angenommen. Wenn der Wert auf "true" gesetzt wird, ermöglicht Verify Gateway for Windows Login die Verwendung von nicht validierten 2FA-Methoden.
"username-format"	"%D\\%U"	Dieser Wert ist optional; für den Wert wird standardmäßig "%D\\%U" angenommen. Es definiert, wie die Windows-Benutzerdomäne und der Windows-Name dem Verify -Benutzernamen zugeordnet werden. Vorkommen von `%D` werden durch die Domäne des Windows-Benutzers und Vorkommen von `%U` durch den Windows-Benutzernamen in der angegebenen Zeichenfolge ersetzt. Die Werte `%D` und `%U` sind in der Zeichenfolge optional.
"disable-builtin-password-logon"	falsch	Dieser Wert ist optional; für den Wert wird standardmäßig "false" angenommen. Bei Angabe von 'true' ist der integrierte Windows-Kennwortberechtigungsnachweisprovider inaktiviert und lässt nur den Verify Gateway for Windows -Anmeldeberechtigungsnachweisprovider übrig. Wenn der Wert auf ' false' gesetzt ist, werden beide von der Windows-Anmeldung als Option zur Verfügung gestellt. Setzen Sie diesen Wert in Produktionsumgebungen auf "true", um sicherzustellen, dass Benutzer den Verify Gateway for Windows Login-Berechtigungsnachweisprovider nicht umgehen können, indem sie den Windows-Berechtigungsnachweisprovider auswählen.
"rdp-only"	falsch	Dieser Wert ist optional; für den Wert wird standardmäßig "false" angenommen. Wenn der Wert auf "true" gesetzt wird, wird der Verify Gateway for Windows Login-Berechtigungsnachweisprovider nur für die Remote Desktop-Anmeldung verwendet. Er wird nicht für andere Anmeldetypen, wie beispielsweise die lokale Desktop-Anmeldung, verwendet.
"no-mfa-account"	"DOMAIN\\User"	Dieser Wert ist optional; für den Wert wird standardmäßig angenommen, dass kein Account vorhanden ist, mit dem die Mehrfaktorauthentifizierung (MFA) umgangen werden kann. Falls definiert, wird jede Benutzeranmeldung mit diesem Account abgeglichen. Bei dem Abgleich muss die Groß-/Kleinschreibung nicht beachtet werden. Wenn er übereinstimmt, verwendet der Benutzer die Authentifizierungsmethode "winpwd", die keine 2FA oder keinen Zugriff auf den Verify -Server erfordert. Für die Anmeldung ist nur das Windows-Kennwort erforderlich. Dies ist ein spezieller Account, der den Zugriff auf das Gerät ermöglicht, auch wenn auf den Verify -Service nicht zugegriffen werden kann. Hinweis: Sie können diesen Account für den Zugriff auf RDP sperren. Der Windows-Administrator kann diesen Zugriff blockieren.
"username-table"	`"username-table": [ { "from": "testuser1", "to": "testuser1@x.y.com" }, { "from": "testuser2", "to": "testuser2@x.y.com" } ]`	Dieses Attribut ordnet den Benutzernamen einem neuen Wert zu. Wenn sich der Benutzername nicht in der Tabelle befindet, wird er unverändert verwendet.
"Trace-Rollover"	0	Gibt die ungefähre maximale Größe der Tracedatei in Byte an, wenn die Datei gespeichert und eine neue leere Tracedatei erstellt wird. Die Tracedatei wird durch Umbenennen gespeichert, indem die aktuelle Zeitmarke angehängt wird.
"trace-localtime"	falsch	Gibt an, ob die Zeitmarken der Tracedatei in Ortszeit angegeben werden sollen Standardmäßig verwenden die Zeitmarken UTC.
"trace-präfix-all"	falsch	Gibt an, ob allen Tracezeilen eine Zeitmarke vorangestellt werden soll. Standardmäßig werden die Verify REST API-Anfrage/Antwort-Trace-Capture-Zeilen nur in der ersten Zeile mit einem Präfix versehen.
"failmode-unsicher"	falsch	Ermöglicht die Anmeldung nur mit dem Passwort und ohne 2FA, wenn die Verbindung zur Verify tenant REST API nicht hergestellt werden kann.
"Benutzername-Attr"	uid	Bei der Verwendung von Active Directory kann der Verify -Benutzername, von dem aus 2FA verwendet werden soll, aus einem Attribut des Active Directory -Benutzers geholt werden, als der er angemeldet ist.
"Benutzername-cd-Attr"	"urn:ietf:params: scim:schemas: extension: ibm:2.0:User:customAttributes.userAlias"	Der Verify -Benutzer mit 2FA wird gefunden, indem ein Verify -Benutzer gefunden wird, der dieses Attribut mit einem Wert hat, der mit dem Windows-Login-Benutzernamen übereinstimmt.
"benutzername-attr-strict"	falsch	Wenn das Attribut "username-attr" für den Benutzer Active Directory nicht vorhanden ist, wird bei der Anmeldung der Windows-Benutzername verwendet, um den Benutzer Verify für 2FA zu finden.
"Benutzername-Attr-Format"	"%A"	Eine Zeichenfolge, mit der der Wert „username-attr“ zugeordnet wird. Jedes %A wird durch den Attributwert ersetzt, sodass Zeichenfolgenkonstanten als Präfix und/oder Suffix hinzugefügt werden können. Der Standardwert ist einfach „%A“, was keine Änderung darstellt.