Identitätsprovider des Typs 'SAML Enterprise' hinzufügen

Online bearbeiten

Sie können jeden Identitätsanbieter, der das „ SAML “-Protokoll unterstützt, als Identitätsanbieter für „ SAML Enterprise“ verwenden. VerifyDer Identitätsanbieter überprüft die Identität des Benutzers anhand der bei ihm gespeicherten Daten, bevor er den Zugriff gewährt.

Vorgehensweise

  1. Wählen Sie „Authentifizierung “ > „Identitätsanbieter “.
  2. Wählen Sie „Identitätsanbieter hinzufügen “.
  3. Wählen Sie „ SAML Enterprise“ aus.
  4. Wählen Sie „Weiter “.
  5. Geben Sie auf der Seite „Allgemein“ die folgenden Informationen ein.
    Ihren Namen
    Geben Sie einen eindeutigen Namen für Ihren Identitätsanbieter an.
    Realm

    Es handelt sich um ein Attribut des Identitätsanbieters, das dabei hilft, Benutzer verschiedener Identitätsanbieter zu unterscheiden, die denselben Benutzernamen haben.

    Dieser Name muss bei allen anderen konfigurierten Identitätsquellen in Ihrer Subskription eindeutig sein. Der Name kann beliebige alphanumerische Zeichen enthalten. Sonderzeichen sind mit Ausnahme von Punkt (.) und Bindestrich (-) nicht zulässig.

    Die maximal zulässige Zeichenfolgelänge beträgt wie bei der maximalen Länge eines Domänennamens 253.
    Hinweis: Der Name kann nach der Erstellung nicht mehr geändert werden.
    ID
    Die ID wird nach dem Speichern der Konfiguration erstellt.
    Aktiviert
    Aktivieren Sie dieses Kontrollkästchen, um diesen Identitätsanbieter für die Anmeldung zu verwenden.

    Gibt an, ob der Identitätsprovider aktiv und verfügbar ist.

    Sobald der Identitätsanbieter konfiguriert und aktiviert ist, können sich Benutzer über den ausgewählten Identitätsanbieter per Single Sign-On bei Verify ihren berechtigten Anwendungen anmelden. Wenn der Identitätsprovider nicht aktiviert ist, wird diese Option nicht auf der Seite Anmelden angezeigt.
    Hinweis:
    • Es muss mindestens ein Identitätsprovider vorhanden sein, damit eine Anmeldung bei Verify möglich ist.
    • Wenn nur ein einziger Identitätsprovider aktiviert wird, wird er zur Standardanmeldeoption für den Benutzer.
    Eindeutige ID verwenden
    Aktivieren Sie dieses Kontrollkästchen, um diesem Identitätsanbieter eine eindeutige Kennung zuzuweisen. Mit dieser Funktion können mehrere Identitätsanbieter, von denen jeder über eine eigene eindeutige ID verfügt, mit derselben Anbieter-ID konfiguriert werden.
    Hinweis: Dieser Wert wird zufällig generiert und kann nach der Erstellung des Identitätsanbieters nicht mehr geändert werden.
    • Die eindeutige Kennung ist in die Verify Endpunkt-URLs des Dienstanbieters eingebettet.
    • Wenn diese Option nicht aktiviert ist, ist dieser Identitätsanbieter der einzige, der mit der Anbieter-ID konfiguriert werden kann.
  6. Wählen Sie „Weiter “.
  7. Stellen Sie dem Identitätsanbieter die folgenden Metadaten-Eigenschaften des Dienstanbieters zur Verfügung. Sie können entweder die Informationen kopieren oder die Metadatendatei herunterladen.
    Entitäts-ID
    Gibt den Aussteller in der AuthentifizierungsanfrageSAML “ und den Empfänger jeder eingehenden AuthentifizierungsantwortSAML “ an.
    Hinweis: Die Entitäts-ID basiert auf dem primären Hostnamen. Das ändert sich nicht, wenn ein Vanity-Hostname verwendet wird. Laden Sie die Metadatendatei herunter, um die entsprechenden Werte zu erhalten, die Sie bei der manuellen Konfiguration eines Partners mit einem benutzerdefinierten Hostnamen verwenden müssen.
    Assertion Consumer Service-URL

    Gibt den Endpunkt beim Dienst anbieter an, der die AuthentifizierungsantwortSAML “ empfängt.

    Der Identitätsanbieter leitet die Authentifizierungsantwort von SAML an diese Adresse weiter: URL. Dieser Endpunkt empfängt und verarbeitet die „ SAML “-Assertion.

    URL für einmalige Abmeldung

    Gibt den Endpunkt des Service-Providers an, der die SAML-Abmeldeanforderung und -antwort empfängt.

    Der Identitätsprovider leitet die SAML-Abmeldeanforderung und -antwort an diese URL um. Dieser Endpunkt empfängt und verarbeitet die SAML-Abmeldeanforderung und -antwort.

    NameID Management- URL

    Gibt den Endpunkt beim Dienstanbieter an, über den Änderungen an der Benutzerkennung ( NameID ) auf Anfrage des Identitätsanbieters synchronisiert werden.

    Der Identitätsanbieter sendet Aktualisierungen der Zuordnung „ NameID “ oder Kündigungsanfragen an diese E-Mail-Adresse: URL. Dieser Endpunkt stellt sicher, dass die Identitätssynchronisierung zwischen dem Dienstanbieter und dem Identitätsanbieter konsistent bleibt, wenn die eindeutige Kennung eines Benutzers geändert wird.

  8. Wählen Sie „Weiter “.
  9. Wählen Sie das Optionsfeld aus, um anzugeben, ob der Dienstanbieter oder der Identitätsanbieter den Single-Sign-On-Ablauf von „ SAML “ initiiert.
    • Dienstleister.
      Hinweis: Wenn Sie diese Option wählen, müssen Sie die Metadaten des Identitätsanbieters in einem .xml bestimmten Format hochladen.
    • Identitätsprovider
      In diesem Szenario gilt Folgendes:
      1. Der Benutzer verfügt an der Site des Identitätsproviders über einen Account.
      2. Der Benutzer meldet sich bei der Site des Identitätsproviders an oder verwendet die URL für die einmalige Anmeldung (SSO-URL) des Identitätsproviders, um auf die geschützte Ressource des Service-Providers zuzugreifen.
      3. Der Identitätsanbieter löst eine „ SAML “-Authentifizierungsantwort aus, die bestätigt, dass der Benutzer authentifiziert ist.
      4. Der Dienstanbieter überprüft die Authentifizierungsantwort von „ SAML “.
      5. Der Browser des Benutzers wird zur Ziel-URL des Service-Providers umgeleitet und der Benutzer wird für den Zugriff auf die angeforderte Ressource berechtigt.
      Wenn Sie „Identitätsanbieter“ ausgewählt haben, müssen Sie die Single-Sign-On- URL angeben. Dies ist die URL, die die einmalige Anmeldung des Identitätsproviders beim Service-Provider initiiert.
  10. Wählen Sie „Weiter “.
  11. Optional: Legen Sie auf der Seite „Einzelabmeldung“ fest, ob die eingehenden Abmeldeanfragen und Antwortnachrichten signiert sein müssen.
    • Wenn für die eingehende Abmeldeanforderungsnachricht eine Signatur erforderlich ist, wählen Sie Abmeldeanforderungssignatur validieren aus.
    • Wenn für die eingehende Abmeldeantwortnachricht eine Signatur erforderlich ist, wählen Sie Abmeldeantwortsignatur validieren aus.
    Hinweis:
    • Wenn die von Ihnen hochgeladene Metadatendatei des Identitätsanbieters das SingleLogoutService Element mit einer POST-Bindung für „ HTTP “ enthält, ist die einmalige Abmeldung für diesen Identitätsanbieter aktiviert.
    • Der „ URL “ für das vom Dienstanbieter initiierte Single-Logout sieht wie der folgende Request-Callback aus: https://<tenant-Host>/saml/sps/saml20sp/saml20/sloinitial?RequestBinding=HTTPPost.
    • VerifyWenn der Identitätsanbieter „ SAML “ in der aktuellen Sitzung nicht auf eine von gesendete Abmeldeanforderung reagiert, wird der einheitliche Abmeldevorgang bei diesem Identitätsanbieter beendet. Um die einmalige Abmeldung wieder aufzunehmen, muss der Benutzer die einmalige Abmeldung erneut durchführen.
  12. Wählen Sie „Weiter “.
  13. Optional: Legen Sie auf der Seite „Just-in-Time-Bereitstellung und Identitätsverknüpfung“ fest, ob die Just-in-Time-Bereitstellung und die Identitätsverknüpfung aktiviert werden sollen.
    1. Wählen Sie aus, ob Sie die Just-in-Time-Bereitstellung aktivieren möchten.
      Diese Option erstellt und aktualisiert das Benutzerkonto in der primären Identitätsanbieter -Domäne, die der Identität „ SAML “ zugeordnet ist. Wenn die Just-in-Time-Bereitstellung deaktiviert ist, können sich Benutzer, die versuchen, sich über diesen Identitätsanbieter anzumelden, nicht authentifizieren, wenn im Verzeichnis kein entsprechender Benutzereintrag vorhanden ist.
    2. Wählen Sie im Menü „Eindeutige Benutzerkennung“ ein Attribut aus, das Benutzer aus dem Benutzerverzeichnis des Identitätsanbieters identifiziert.
      Wenn Sie für diesen Identitätsanbieter die Option „Identitätsverknüpfung aktivieren“ auswählen, müssen Sie die UUID angeben.
    3. Wählen Sie einen Transformationswert aus, um den Wert der eindeutigen Benutzer-ID zu transformieren, oder belassen Sie den Standardwert „Keine “.
    4. Aktivieren Sie das Kontrollkästchen „Identitätsverknüpfung für diesen Identitätsanbieter aktivieren “.
      Aktiviert die Identitätsverknüpfung für einen bestimmten Identitätsanbieter. In Cloud Directory werden keine Schattenkonten in dem Bereich erstellt, der für diesen Identitätsanbieter angegeben wurde.
      Hinweis:
      1. Sie können die Verknüpfung nicht für den Identitätsanbieter aktivieren, der als Ihr Standard-Identitätsanbieter festgelegt ist.
      2. Sie können Ihren standardmäßigen Identitätsanbieter für die Verknüpfung nicht deaktivieren oder löschen.
      Wird das Identitätslinking aktiviert, wählen Sie die eindeutige ID aus, die für die Accounts verwendet werden soll. Diese eindeutige Kennung wird mit dem Username Attribut des Cloud-Verzeichnis-Kontos abgeglichen.
    5. Geben Sie im Menü „Externe ID“ ein Attribut an, das Benutzer aus dem Benutzerverzeichnis des Identitätsanbieters identifiziert, oder eine benutzerdefinierte externe ID.
      Der Standardwert ist die Benutzer-ID.
    6. Wählen Sie einen Transformationswert aus, um den Wert der externen ID zu transformieren, oder belassen Sie den Standardwert „Keine “.
    7. Wählen Sie aus, ob Sie die „Authentifizierung erzwingen“-Option aktivieren möchten, um die Kontenverknüpfung herzustellen.
      Diese Option gilt nur für Abläufe, die dauerhafte nameid Format- SAML -Token verwenden. Wenn diese Option ausgewählt ist, wird der Benutzer aufgefordert, sich zunächst bei dem verknüpften Bereich anzumelden, um das authentifizierte Benutzerkonto mit dem „ SAML “-Token-Subjekt zu verknüpfen. Wenn diese Option nicht ausgewählt ist, nameid werden Verwaltungsvorgänge für den Identitätsanbieter „ SAML Enterprise“ nicht unterstützt.
  14. Wählen Sie „Weiter “.
  15. Optional: Ordnen Sie auf der Seite „Attributzuordnung“ Attribute des Identitätsanbieters „ SAML Enterprise“ dem IBM® Verify Cloud-Verzeichnis zu.
    Hinweis: Wenn Sie keine Auswahl treffen, wird die in den globalen Einstellungen festgelegte Attributzuordnung angewendet. Andernfalls hat die im Identitätsanbieter „ SAML “ festgelegte Attributzuordnung Vorrang vor der Auswahl in den globalen Einstellungen. Weitere Informationen zu den globalen Einstellungen finden Sie unter „Globale Einstellungen konfigurieren “.
    1. Wählen Sie „Attributzuordnung hinzufügen “.
    2. Geben Sie ein Attribut des „ SAML “-Identitätsanbieters für Unternehmen an, indem Sie eine der folgenden Optionen verwenden.
      1. Wählen Sie aus der folgenden Liste aus.
        Attributname Beschreibung
        company Unternehmen des Benutzers.
        country Das Land, in dem der Benutzer seinen Wohnsitz hat.
        displayName Der Anzeigename des Benutzers.
        email Die E-Mail-Adresse des Benutzers, an die die Benachrichtigung gesendet wird.
        family_name Der Familienname des Benutzers.
        given_name Der Vorname des Benutzers.
        mobile_number Die Mobiltelefonnummer des Benutzers, an die die Benachrichtigung gesendet wird.
        userID Die eindeutige ID des Benutzers.
        Custom rule Benutzerdefiniertes Attribut des Identitätsanbieters „ SAML Enterprise “. Wenn Sie „Benutzerdefinierte Regel“ auswählen, geben Sie im Regeleditor eine benutzerdefinierte Regel ein und klicken Sie auf „OK“, um sie zu speichern.
      2. Geben Sie in das Feld Attribut auswählen einen Attributnamen ein. Dies ist ein Attributname, der in der Liste der Optionen nicht verfügbar ist.
    3. Wählen Sie einen Transformationswert aus, um das Attribut des „ SAML “-Enterprise-Identity-Providers zu transformieren, oder belassen Sie den Standardwert „Keine “.
      Attributname Beschreibung
      Uppercase Setzt das Attribut in Großbuchstaben um.
      Lowercase Setzt das Attribut in Kleinbuchstaben um.
      Base64 Encode Das Attribut „transforms“ verwendet den Kodierungsalgorithmus „ base64 “.
      Base64 Decode Ein „transforms“-Attribut, das den Dekodierungsalgorithmus „ base64 “ verwendet.
      Encode URI Ein Attribut, das die Methode „URI-Kodierung“ verwendet.
      Encode URI Component Ein Attribut, das die Methode „encode URI component“ verwendet.
      Decode URI Ein Attribut, das die Methode „decode URI“ verwendet.
      Decode URI Component Attribut-Transformationen, die die Methode „URI-Komponente dekodieren“ verwenden.
      Generate UUID if no value is evaluated Transformiert das Attribut zum Generieren von UUIDs (Universally Unique Identifiers).
      Current Time (seconds) Transformiert das Attribut in Zeit (in Sekunden).
      Current Time (milliseconds) Transformiert das Attribut in Zeit (in Millisekunden).
      SHA-256 Hash Ein Transformationsattribut, das den Algorithmus „ SHA-256 “ verwendet.
      SHA-512 Hash Ein Transformationsattribut, das den Algorithmus „ SHA-512 “ verwendet.
    4. Geben Sie ein IBM Verify Attribut an. Weitere Informationen zu Attributen finden Sie unter „Attribute verwalten “.
      Hinweis: Vermeiden Sie die Auswahl aus den folgenden reservierten integrierten Attributen, da diese nicht den Attributen des Identitätsanbieters zugeordnet sind.
      • groupIds
      • preferred_username
      • realmName
      • tenantId
      • uid
    5. Geben Sie an, wie das Attribut in der user profile. gespeichert wird.
      • Immer - Das Attribut wird bei jeder Anmeldung gespeichert oder aktualisiert.
      • Nur bei der Benutzererstellung – Das Attribut wird seit der Kontoerstellung gespeichert.
      • Inaktivieren - Das Attribut wird nie gespeichert oder aktualisiert.
    6. Erforderlich: Sie müssen diesen Vorgang für jedes Attribut wiederholen, das Sie hinzufügen und zuordnen.
  16. Optional: Wählen Sie eine der folgenden Quellen für die Gruppenmitgliedschaft aus, um die Quelle für die Benutzerzugriffsberechtigungsgruppen festzulegen.
    Achtung: Seien Sie vorsichtig, wenn Sie eine Gruppenmitgliedschaftsquelle konfigurieren. Wenn die Konfiguration so eingestellt ist, dass die Zugriffsberechtigungen vom Identitätsanbieter abgeleitet werden, werden die Zugriffsberechtigungen des Benutzers aus dem Token des Identitätsanbieters abgeleitet, das den groupIds entsprechenden Anspruch enthält. IBM VerifyIBM VerifyWenn die groupIds Berechtigung den Wert „Reservierte Systemgruppen“ hat, erhält der Benutzer die Berechtigung „Reservierte Systemgruppen“, sobald er sich bei anmeldet.
    • Cloud Directory - Benutzerzugriffsberechtigungen werden von den Benutzergruppen in Cloud Directory abgeleitet.
    • Cloud-Verzeichnis und Identitätsquelle – Die Zugriffsberechtigungen der Benutzer leiten sich aus den Benutzergruppen im Cloud-Verzeichnis und dem Token des Identitätsanbieters ab, das einen Claim enthält groupIds .
    • Identitätsquelle – Die Zugriffsberechtigungen des Benutzers werden aus dem Token des Identitätsanbieters abgeleitet, das den groupIds entsprechenden Anspruch enthält.
      Hinweis: Wenn das Token des Identitätsanbieters den groupIds Anspruch nicht enthält, erhalten Sie keine Berechtigungen für die Gruppenmitgliedschaft.
    • Benutzerdefinierte Regel. Wenn Sie „Benutzerdefinierte Regel“ auswählen, geben Sie im Regeleditor eine benutzerdefinierte Regel ein und klicken Sie anschließend auf „OK“, um zu speichern. Benutzerzugriffsberechtigungen werden basierend auf der angepassten Regel abgeleitet.
    Hinweis: Wenn Sie keine Auswahl treffen, wird die in den globalen Einstellungen ausgewählte Quelle für die Gruppenmitgliedschaft verwendet. Andernfalls hat die Quelle der Gruppenmitgliedschaft in der SAML Unternehmen ausgewählte Identitätsanbieter Option Vorrang vor der Auswahl in der Globale Einstellungen.
  17. Wählen Sie „Weiter “.
  18. Optional: Wenn Sie Datenschutzprofile erstellt haben, wählen Sie ein Profil aus dem Menü aus.
    Datenschutzprofile erfordern, dass Benutzer in diesem Verzeichnis eine Reihe von Zwecken der Datennutzung oder Endbenutzer-Lizenzvereinbarungen (EULAs) oder beides prüfen und ihnen zustimmen. Siehe „Verwalten von Datenschutzprofilen “.
  19. Wählen Sie „Weiter “.
  20. Optional: Wenn Sie die öffentliche Vorschau unter CI-108233 aktiviert haben, wählen Sie aus, ob Sie Benutzereinladungen aktivieren möchten.
    Einladungen werden mithilfe von POST /v1.0/usc/user/invitation APIs erstellt und versendet. Siehe „Benutzer einladen “. Aktivieren Sie das Kontrollkästchen „Benutzereinladungen aktivieren“, um andere zur Registrierung als neue Benutzer einzuladen. Sie können auch ein Benutzerprofil für den Benutzer auswählen, damit dieser im Rahmen der Annahme der Einladung weitere Daten eingeben kann. Siehe „Benutzerprofile verwalten “.
  21. Wählen Sie „Fertig “.
    Die Konfiguration des Identitätsanbieters wird im Bearbeitungsmodus geöffnet.