Globale Einstellungen konfigurieren

Online bearbeiten

Verwenden Sie diese Einstellungen, um festzustellen, wie der Tenant Benutzer authentifiziert.

Vorgehensweise

  1. Wählen Sie „Authentifizierung “ > „Identitätsanbieter“ > „Globale Einstellungen “.
  2. Wählen Sie den primären Identitätsprovider aus dem Menü aus, den der Tenant verwendet, um Benutzer bei der Anmeldung zu authentifizieren.
    In der Regel ist der primäre Identitätsprovider für den Tenant das Cloud-Verzeichnis von IBM® Verify.
  3. Optional: Aktualisieren Sie unter „ SAML “ 2.0 „Service provider configuration“ die Konfigurationen für die Dienstanbieter-Verbundfunktion unter „ SAML “ 2.0.
    1. Geben Sie die Entitäts-ID an.
      https://Tenant-Name/saml/sps/saml20sp/saml20In der Regel wird diese ID wie folgt generiert: Sie können dies so anpassen, dass ein benutzerdefinierter Hostname und eine benutzerdefinierte Domain verwendet werden.
      Hinweis: Wenn die Entitäts-ID geändert wird, müssen Sie die Konfiguration des Partners für bestehende Identitätsquellen von „ SAML “ 2.0 mit dem aktuellen Wert der Entitäts-ID aktualisieren.
    2. Geben Sie die Gültigkeitsdauer der Nachricht in Sekunden an.
      Dies ist die Toleranz in Sekunden, mit der die empfangene „ SAML “-Nachricht IssueInstant überprüft wird.
    3. Optional: Wenn Sie die Überprüfung der Zertifikatssperrliste (CRL) aktivieren möchten, aktivieren Sie das Kontrollkästchen „CRL aktiviert “.

      Wenn CRL aktiviert ist, überprüft es die Zertifikatssperrliste. Die Überprüfung erfolgt für alle Kryptofunktionen der Identitätsanbieter von „ SAML Enterprise“, die ein externes Zertifikat verwenden.

      Wenn Ihre Konfiguration keine CRL-Prüfung erfordert, können Sie diese deaktiviert lassen; dies ist die Standardeinstellung. Hier sind einige Gründe, warum Sie die CRL-Prüfung möglicherweise nicht aktivieren möchten:
      • Wenn Sie eine interne, selbstsignierte Zertifizierungsstelle (CA) verwenden.
      • Es gibt Leistungsprobleme. Bei Anwendungen mit hohem Datenaufkommen kann es zu erheblichen Leistungseinbußen kommen.
      • Ich habe Probleme mit der Netzwerkverbindung. Firewalls können den Zugriff auf CRL-Server blockieren, oder Netzwerke sind durch eine physische Trennung vom Internet isoliert.
    4. Wählen Sie ein Auswahlkriterium aus.
      Darin wird festgelegt, welcher Schlüssel oder welches Zertifikat zum Signieren, Validieren, Verschlüsseln oder Entschlüsseln verschiedener Nachrichten verwendet werden soll. Wenn mehrere Schlüssel oder Zertifikate mit demselben SubjectDN Namen wie der Schlüssel oder das Zertifikat mit dem angegebenen Alias vorhanden sind, legt diese Einstellung fest, welcher davon verwendet werden soll. Es stehen die folgenden drei Auswahlmethoden zur Verfügung.
      Nur Alias
      Wählen Sie den Schlüssel oder das Zertifikat mit dem angegebenen Aliasnamen aus. Diese Methode ist die Standardmethode.
      Kürzeste Lebensdauer
      Zum Signieren wird ein gültiger Schlüssel mit der kürzesten verfügbaren Lebensdauer verwendet. Für die Validierung werden Schlüssel, die denselben Wert für SubjectDN aufweisen, auf der Basis der Laufzeitverfügbarkeit sortiert. Die Schlüssel werden nacheinander bis zur erfolgreichen Validierung ausprobiert, wobei es sich bei dem ersten Schlüssel um den Schlüssel mit der kürzesten Lebensdauerverfügbarkeit handelt.
      Längste Lebensdauer
      Zum Signieren wird ein gültiger Schlüssel mit der längsten verfügbaren Lebensdauer verwendet. Für die Validierung werden Schlüssel, die denselben Wert für SubjectDN aufweisen, auf der Basis der Laufzeitverfügbarkeit sortiert. Die Schlüssel werden nacheinander bis zur erfolgreichen Validierung ausprobiert, wobei es sich bei dem ersten Schlüssel um den Schlüssel mit der längsten Lebensdauerverfügbarkeit handelt.
    5. Aktivieren Sie das Kontrollkästchen „Validierung der Ziel- URL überspringen “.
      Es gibt an, ob eine targetURL Validierung in „ SAML “ übersprungen werden soll. Der Standardwert ist false.
    6. Klicken Sie auf „Zulässige Ziel- URL en hinzufügen“, um zulässige Ziel-URLs hinzuzufügen.
      Sie können mehrere URLs hinzufügen.
    7. Wählen Sie das Standardformat für die Namens-ID aus.
      • E-Mail
      • Nicht angegeben.
    8. Wählen Sie den Signaturalgorithmus aus.
      Zur Signierung signiert ein Algorithmus die Nachricht SAMLAuthnRequest digital. Die unterstützten Werte sind RSA-SHA1, RSA-SHA256, RSA-SHA512, ECDSA-SHA256, ECDSA-SHA384 und ECDSA-SHA512. Wenn das Feld leer ist, wird die Standard RSA-SHA256 verwendet.
    9. Wählen Sie das Signaturzertifikat aus.
      Dieses Zertifikat wird zum Signieren der Datei „ SAMLAuthnRequest “ im Rahmen des Single Sign-On verwendet. Die Standardauswahl bezieht sich auf das standardmäßige persönliche Zertifikat, das Sie unter „Sicherheit > Zertifikate > Persönliche Zertifikate“ konfiguriert haben.
    10. Wählen Sie das Entschlüsselungszertifikat aus.
      Verwenden Sie dieses Zertifikat, um die empfangene „ SAML “-Antwortnachricht zu entschlüsseln, falls diese beim Single Sign-On verschlüsselte Elemente enthält. Die Standardauswahl bezieht sich auf das standardmäßige persönliche Zertifikat, das Sie unter „Sicherheit > Zertifikate > Persönliche Zertifikate“ konfiguriert haben.
    11. Aktivieren Sie das Kontrollkästchen „ SPNameQualifier “ unter „ AuthnRequest “ ausschließen.

      Dies gibt an, ob in AuthnRequest ausgeschlossen SPNameQualifier werden soll, wenn ein nicht näher bezeichnetes nameid Format verwendet wird. Der Standardwert ist false, was bedeutet, dass die SPNameQualifier..

  4. Optional: Ordnen Sie unter „Attributzuordnung“ die Attribute des Identitätsanbieters dem IBM Verify Cloud-Verzeichnis zu.
    1. Wählen Sie „Attributzuordnung hinzufügen “.
    2. Verwenden Sie eine der folgenden Optionen, um ein Identitätsproviderattribut anzugeben:
      1. Wählen Sie eine Option aus der folgenden Liste der verfügbaren Optionen aus:
        Attributname Beschreibung
        company Unternehmen des Benutzers.
        country Das Land, in dem der Benutzer seinen Wohnsitz hat.
        displayName Der Anzeigename des Benutzers.
        email Die E-Mail-Adresse des Benutzers, an die die Benachrichtigung gesendet wird.
        family_name Der Familienname des Benutzers.
        given_name Der Vorname des Benutzers.
        mobile_number Die Mobiltelefonnummer des Benutzers, an die die Benachrichtigung gesendet wird.
        userID Die eindeutige ID des Benutzers.
        Custom rule Angepasstes Identitätsproviderattribut. Wenn Sie „Benutzerdefinierte Regel“ auswählen, geben Sie im Regeleditor eine benutzerdefinierte Regel ein und klicken Sie auf „OK“, um sie zu speichern.
      2. Geben Sie in das Feld Attribut auswählen einen Attributnamen ein. Dieser Name ist ein Attributname, der in der Liste der Optionen nicht verfügbar ist.
    3. Wählen Sie einen Transformationswert aus, um das Attribut des Identitätsanbieters zu transformieren, oder belassen Sie den Standardwert „Keine “.
      Attributname Beschreibung
      Uppercase Setzt das Attribut in Großbuchstaben um.
      Lowercase Setzt das Attribut in Kleinbuchstaben um.
      Base64 Encode Wandelt das Attribut mithilfe eines „ base64 “-Kodierungsalgorithmus um.
      Base64 Decode Wandelt das Attribut mithilfe eines „ base64 “-Decodierungsalgorithmus um.
      Encode URI Wandelt das Attribut mithilfe einer URI-Kodierungsmethode um.
      Encode URI Component Wandelt das Attribut mithilfe einer Methode der URI-Komponente „encode“ um.
      Decode URI Wandelt das Attribut mithilfe einer URI-Dekodierungsmethode um.
      Decode URI Component Wandelt das Attribut mithilfe einer Methode der URI-Dekodierungskomponente um.
      Generate UUID if no value is evaluated Transformiert das Attribut zum Generieren von UUIDs (Universally Unique Identifiers).
      Current Time (seconds) Transformiert das Attribut in Zeit (in Sekunden).
      Current Time (milliseconds) Transformiert das Attribut in Zeit (in Millisekunden).
      SHA-256 Hash Wandelt das Attribut mithilfe eines Algorithmus zur „ SHA-256 “ um.
      SHA-512 Hash Wandelt das Attribut mithilfe eines Algorithmus zur „ SHA-512 “ um.
    4. Geben Sie ein IBM Verify Attribut an. Weitere Informationen zu Attributen finden Sie unter „Attribute verwalten “.
      Hinweis: Vermeiden Sie die Auswahl aus den folgenden reservierten integrierten Attributen, da diese nicht den Attributen des Identitätsanbieters zugeordnet sind.
      • groupIds
      • preferred_username
      • realmName
      • tenantId
      • uid
    5. Geben Sie an, wie das Attribut im Benutzerprofil gespeichert wird:
      • Immer - Das Attribut wird bei jeder Anmeldung gespeichert oder aktualisiert.
      • Nur bei Benutzererstellung - Das Attribut wird bei der Kontoerstellung einmalig gespeichert.
      • Inaktivieren - Das Attribut wird nie gespeichert oder aktualisiert.
    6. Wiederholen Sie den Prozess für alle Attribute, die Sie zuordnen.
  5. Optional: Wählen Sie im folgenden Menü die Quelle für die Gruppenmitgliedschaft aus, um die Quelle der Gruppen für Benutzerzugriffsberechtigungen festzulegen:
    • Cloud Directory - Benutzerzugriffsberechtigungen werden von den Benutzergruppen in Cloud Directory abgeleitet.
    • Cloud Directory und Identitätsquelle - Benutzerzugriffsberechtigungen werden von den Benutzergruppen in Cloud Directory und dem Identitätsquellentoken abgeleitet, das den Anspruch groupIds enthält.
    • Identitätsquelle - Benutzerzugriffsberechtigungen werden aus dem Identitätsquellentoken abgeleitet, das den Anspruch groupIds enthält.
      Hinweis: Wenn das Identitätsquellentoken den groupIds Anspruch nicht enthält, erhalten Sie keine Berechtigungen für die Gruppenmitgliedschaft.
    • Benutzerdefinierte Regel – Wenn Sie „Benutzerdefinierte Regel“ auswählen, geben Sie im Regeleditor eine benutzerdefinierte Regel ein und klicken Sie auf „OK“, um sie zu speichern. Benutzerzugriffsberechtigungen werden basierend auf der angepassten Regel abgeleitet.
  6. Unter „Session-Austausch“ können Sie die Weiterleitungs-URLs auswählen, die an die Token Exchange API übergeben werden dürfen.
    Die Token Exchange API akzeptiert einen redirect_url Parameter, der bewirkt, dass die API eine Browser-Weiterleitung mit einer Anmeldesitzung zurückgibt. redirect_url muss mit einem der regulären Ausdrücke in dieser Liste identisch sein.

    In der Regel handelt es sich bei der URL um eine bestimmte URL, auf die der Benutzer zugreifen muss, oder um eine auf Ihr Unternehmen abgestimmte URL. Diese Funktion begrenzt die Umleitung auf die von Ihnen angegebenen URLs.

    Der redirect_url Parameter wird automatisch zugelassen, wenn
    • Er beginnt mit dem Tenantnamen: https://<tenantname>
    • Er beginnt mit "/", d. h. es handelt sich um eine relative URL für den Tenant.
    Andernfalls muss die URL hier als regulärer Ausdruck hinzugefügt werden.
    Um beispielsweise gemeinsame URL-Zeichen mit den richtigen Escapezeichen zu verwenden, gehen Sie wie folgt vor:
    https://www\.example\.com\?key1=value1&key2=value2
    Um alles abzugleichen, was mit einer bestimmten Domäne beginnt, verwenden Sie das Platzhalterzeichen *.
    https://www\.example\.com.*
  7. Wählen Sie den Standardidentitätsprovider aus dem Menü aus, der für die Authentifizierung von mobilen Geräten verwendet wird.
  8. Wählen Sie eine eindeutige Kennung aus dem Menü aus, die für die Benutzerkennung verwendet werden soll.
  9. Automatische Kontobereinigung einrichten.
    1. Aktivieren Sie das Kontrollkästchen, um die automatische Bereinigung zu aktivieren.
    2. Wählen Sie aus, wie viele Tage das Konto inaktiv sein kann.
    3. Wählen Sie die Population aus.
      • Gesamte Benutzerpopulation
      • Geben Sie einen SCIM-Filter an.
  10. Klicken Sie auf „Änderungen speichern “.