Lokalen LDAP-Provider konfigurieren

Online bearbeiten

Nachdem Sie einen LDAP-Identitätsagenten erstellt haben, können Sie einige der Einstellungen für den Provider ändern.

Informationen zu dieser Task

Sie können die ID oder die Standardkennwortrichtlinie nicht ändern. Informationen zum Ändern der Standardkennwortrichtlinie finden Sie unter „ ManagingConfiguring -Kennwortrichtlinien “.

Vorgehensweise

  1. Wählen Sie „Authentifizierung“ > „Identitätsanbieter“
  2. Wählen Sie im Menü auf der linken Seite Ihren LDAP-Agenten aus.
  3. Optional: Ändern Sie den Namen Ihres LDAP-Identitätsanbieters.
  4. Optional: Ändern Sie den Namen des Provider-Bereichs.
  5. Optional: Aktivieren oder deaktivieren Sie das Kontrollkästchen, um Ihren LDAP-Agenten für die Anmeldung zu verwenden.
  6. Optional: Ändern Sie die Passwortrichtlinie.
    Um die Standardkennwortrichtlinie zu ändern, wählen Sie das Feld ab. Wählen Sie im Menü eine andere Richtlinie aus oder erstellen Sie eine neue Kennwortrichtlinie.
    Hinweis : Sie können die Standardkennwortrichtlinieneinstellungen ändern. Siehe ManagingConfiguring Passwortrichtlinien.
  7. Optional: Wählen Sie eine Richtlinie für Passwortintelligenz aus dem Menü aus.
    Informationen zum Erstellen einer Richtlinie für Passwortintelligenz finden Sie unter Verwalten der Passwortintelligenz.
  8. Optional: Wählen Sie „Passwort zurücksetzen aktivieren “.
    Wählen Sie diese Option aus, damit Benutzer ihr Kennwort zurücksetzen können. Außerdem wird die Funktion 'Passwort vergessen' aktiviert.
    • Die Auswahl öffnet eine Liste mit Authentifizierungsfaktoren, die dem Benutzer zum Zeitpunkt der Passwortzurücksetzung angezeigt werden. Wählen Sie mindestens einen der Authentifizierungsfaktoren aus.
      Hinweis: Die Option zum Zurücksetzen des Passworts ist eine auf Anfrage verfügbare Funktion, Beta VDEV-31365: Support bei vergessenem Passwort 2FA. Um diese Funktion anzufordern, wenden Sie sich bitte an Ihren Vertriebsmitarbeiter von IBM oder Ihren Ansprechpartner bei IBM und geben Sie Ihr Interesse an der Aktivierung dieser Funktion an. Wenn Sie die Berechtigung dazu haben, können Sie auch ein Support-Ticket erstellen. IBM® Verify Testabonnements können keine Support-Tickets erstellen.
    • Die mit * gekennzeichneten Authentifizierungsfaktoren sind deaktiviert. Sie können einen deaktivierten Faktor auswählen. Es ist jedoch nur als Option zum Zurücksetzen des Passworts verfügbar, nachdem es aktiviert wurde. Sie können die Faktoren unter „Authentifizierung > Authentifizierungsfaktoren“ aktivieren.
      Hinweis:
      • Stellen Sie sicher, dass Sie unter „Authentifizierungsfaktoren“ die Option „Benutzerprofilattribute und registrierte Methoden“ ausgewählt haben. Wenn „Vom Benutzer registrierte Methoden“ ausgewählt ist, werden dem Benutzer unabhängig vom ausgewählten Authentifizierungsfaktor nur die von ihm eingerichteten Methoden angezeigt.
      • Um zeitbasierte OTP als Verifizierungsmethode anzuzeigen, muss der Benutzer die Authenticator-App-Methode unter „User Launchpad “ > „Profil & Einstellungen “ > „Sicherheit“ einrichten.

    Die Auswahl der vom Administrator initiierten Kennwortzurücksetzung bestimmt den Empfänger der Kennwort-E-Mail nach der Einleitung der Kennwortzurücksetzung.

  9. Optional: Wählen Sie „Benutzername wiederherstellen “.
    Wählen Sie diese Option aus, damit Benutzer ihren Benutzernamen wiederherstellen können, indem sie ein anderes Attribut angeben. Sie können festlegen, ob Benutzer ein Attribut oder zwei Attribute für die Wiederherstellung ihres Benutzernamens angeben müssen. Wenn die Benutzerdetails gültig sind, wird eine E-Mail mit den Benutzernamensinformationen an die registrierte E-Mail-Adresse gesendet.
    Hinweis: Sie benötigen IBM Verify Bridge Version 1.0.11 oder höher, um diese Funktion zu unterstützen. Siehe IBMSecurity Verify Bridge im App Exchange.
  10. Optional: Wählen Sie „Just-in-time-Bereitstellung “.
    Diese Option erstellt und aktualisiert den Benutzeraccount im primären Realm des Identitätsproviders , der der SAML-Identität zugeordnet ist.
  11. Optional: Wählen Sie „Provision-Passwortmigration “.
    Aktivieren Sie diese Option, um Kennwörter vom lokalen LDAP-Identitätsanbieter in das IBM Verify Cloud Directory zu migrieren. Die Kennwortmigration erfolgt nach der ersten erfolgreichen Anmeldung des Benutzers beim LDAP-Anbieter vor Ort.
  12. Optional: Geben Sie im Menü „Eindeutige Benutzerkennung“ ein Attribut an, das Benutzer aus der Benutzerregistrierung des Identitätsanbieters identifiziert.
    Wenn Sie Identitätslinking für diesen Identitätsprovider aktivierenauswählen, müssen Sie die UUID angeben.
  13. Optional: Wählen Sie einen Transformationswert aus, um den Wert der eindeutigen Benutzerkennung zu transformieren. Der Standardwert ist „None “.
  14. Optional: Wählen Sie „Identitätsverknüpfung für diesen Identitätsanbieter aktivieren“ aus.
    1. Wählen Sie die eindeutige ID, die Sie für die Konten verwenden möchten, über den Link 'Eindeutige Benutzer-ID'aus.
      Hinweis: Die UUID kann alles im LDAP-Anspruchsobjekt sein, das den Benutzer eindeutig identifiziert.
    2. Legen Sie die UUID fest, indem Sie den Wert im Feld Attribut für externe ID eingeben.
      Der Standardwert ist sub.
    3. Wählen Sie einen Transformationswert, um den Wert des Attributs Externe ID zu transformieren. Der Standardwert ist Keine.
  15. Optional: Ordnen Sie auf der Seite „Attributzuordnung“ weitere Attribute aus dem OIDC-Anbieter den Verify Attributen zu.
    1. Wählen Sie Attributzuordnung hinzufügenaus.
    2. Wählen Sie im Menü ein LDAP-Attribut aus.
      Wenn der LDAP-Anbieter über andere, nicht standardmäßig unterstützte Attribute verfügt, können Sie den Wert in das Feld Wählen Sie ein Attribut aus eingeben.
    3. Wählen Sie im Menü ein Verify -Attribut aus.
    4. Wählen Sie Sie aus, wie das Attribut verwendet werden soll.
    5. Wiederholen Sie den Prozess für jedes Attribut, das zugeordnet werden soll.
  16. Optional: Wenn Sie die öffentliche Vorschau CI-108233 aktiviert haben, wählen Sie unter „Benutzereinladungen“ aus, ob Sie Benutzereinladungen aktivieren möchten.
    Einladungen werden mit POST /v1.0/usc/user/invitation -APIs erstellt und gesendet. Siehe Benutzer einladen. Aktivieren Sie das Kontrollkästchen Benutzereinladungen aktivieren, um andere zur Registrierung als neue Benutzer einzuladen. Sie können auch ein Benutzerprofil für den Benutzer auswählen, um beim Akzeptieren der Einladung weitere Daten einzugeben. Siehe ManagingAdministering Benutzerprofile.
  17. Wählen Sie Änderungen speichernaus.