Häufig gestellte Fragen

Online bearbeiten

Gibt es weitere Informationen zu den Konfigurationseinträgen für die Attributsynchronisierung?
Die Konfiguration wird von Directory Sync verwendet, um SCIM-REST-API-Aufrufe für Benutzer und Gruppen zu generieren, mit denen das Mandantenverzeichnis aktualisiert wird. Die Konfiguration ähnelt somit den Eingaben für diese APIs, sodass die Dokumentation dieser API zum besseren Verständnis beitragen kann. https://docs.verify.ibm.com/verify/reference/createuser Siehe beispielsweise die POST-, PATCH- und PUT-Operationen für /v2.0/Users und /v2.0/Groups.
@realmWas soll man verwenden: urn:ietf:params:scim:schemas:extension:ibm:2.0:User.realm „und“ unqualifiedUserName oder einfach nur userName „mit“?
urn:ietf:params:scim:schemas:extension:ibm:2.0:User.realm und unqualifiedUserName werden ignoriert und aus der Beispielkonfigurationsdatei entfernt. Verwenden Sie das userName mit @realm. "verify-realm"Wenn Ihr userName Attribut userPrincipalName beispielsweise den Wert testuser@adomain.com hat und der Verify-Bereich lautet, legen Sie userName gemäß dem folgenden Beispiel fest.
{
  "ldap": "userPrincipalName",
  "tweaks": {
    "append": "@verify-realm"
  }
  "new-attr":{
    "scim":{"userName":"{{value}}"}
  },
  "mod-attr":{
    "scim":{
      "add":{"op":"add","path":"userName","value":"{{value}}"},
      "remove":{"op":"remove","path":"userName"},
      "replace":{"op":"replace","path":"userName","value":"{{value}}"}
    }
  }
}
Dies führt dazu, dass userName für die vorangegangenen Beispielwerte auf "testuser@adomain.com@verify-realm" gesetzt wird.
Hinweis: Wenn der IBM® Verify Bridge-Agent ebenfalls für dieselbe lokale Registrierungsdatenbank verwendet wird, muss die Einstellung @realm „set on“ userName mit der Identitätsquelle übereinstimmen, die dem Bridge-Agenten zugeordnet ist.
Die "ldap-base-dn" Konfiguration ist nicht detailliert genug, wenn „ Active Directory “ verwendet wird. Welche Alternativen gibt es?
Active Directory bietet ein Betriebsattribut, mit dem bestimmte Gruppen von DNs abgeglichen werden können, "msDs-parentdistname". Dieses Attribut kann der "ldap-search-filter" Konfigurationszeichenfolge hinzugefügt werden, um die Suche nach Benutzern und Gruppen auf bestimmte Bereiche des Verzeichnisses zu beschränken. "msDs-parentdistname" gilt true für alle direkten Kinder des übereinstimmenden DN. Bei dieser Übereinstimmung handelt es sich nicht um eine Teilbaumübereinstimmung, sondern um eine Übereinstimmung auf einer Ebene. Beispiel:
"ldap-base-dn": "DC=adomain,DC=com",
"ldap-search-filter":"(|(&(objectClass=user)(msDs-parentdistname=CN=SyncUsers,DC=adomain,DC=com))(&(objectClass=group)(msDs-
parentdistname=CN=SyncGroups,DC=adomain,DC=com))"
Dieser Filter findet nur Benutzer wie cn=testuser, CN=SyncUsers, DC=adomain, DC=com, sowie Gruppen wie CN=testgroup, CN=SyncGroups, DC=adomain, DC=com.
Können die zu synchronisierenden Benutzer ausschließlich anhand ihrer Gruppenzugehörigkeit identifiziert werden?
Ja, aber verwende die Gruppenmitgliedschaft niemals als Bedingung "ldap-search-filter" . Wenn ein Benutzereintrag in „ Active Directory “ erstmals angelegt wird, ist seine Gruppenzugehörigkeit noch nicht vorhanden. Es wird nach dem Erstellungsschritt hinzugefügt. Daher wird das Ereignis zur Benutzererstellung ignoriert und geht verloren, wenn es in "ldap-search-filter". verwendet wird. Die Lösung besteht darin, den "user-sync-filter" Konfigurations-Eintrag zu verwenden. Siehe das JSON-Objekt „The cloud-bridge “. memberOfDieses Konfigurationselement ist nicht nur auf. beschränkt. Andere Benutzerattribute können auf ähnliche Weise verwendet werden.
Ist das upn Attribut in Verify „ SaaS “ obligatorisch?
Das UPN-Attribut (User Principal Name) ist zwar für die Integration mit „ Active Directory “ (AD) technisch gesehen nicht zwingend erforderlich, wird jedoch empfohlen. Wenn eine Anwendung oder Integration, wie beispielsweise „ Azure AD“ oder ein bestimmter „ SAML “- oder OIDC-Dienstanbieter, das UPN-Attribut ausdrücklich erfordert, können Sie es als benutzerdefiniertes Attribut innerhalb von IBM Verify… konfigurieren. Dies ist nur erforderlich, wenn Ihr Anwendungsfall SSO-Assertions oder Attributzuordnungen umfasst, die vom UPN abhängen, insbesondere wenn:
  • Verwendung einer benutzerdefinierten Anmeldeseite, die basierend auf dem UPN weiterleitet
  • Unterstützung mehrerer Domänen oder Realms
  • Implementierung von SSO-Szenarien
Wird die Trennung von Bridge-Instanzen (Benutzer, Administratoren, Gruppen) empfohlen?
Nein, diese Trennung entspricht nicht den empfohlenen Vorgehensweisen gemäß den Best Practices von „ IBM “. IBM Verify Bridge for Directory Sync ist so konzipiert, dass sowohl Benutzer als auch Gruppen in einer einzigen Instanz verwaltet werden können. Das Standard-Bereitstellungsmodell sieht eine Directory Sync-Brücke pro Verzeichnisquelle vor, ergänzt durch redundante Standby-Instanzen zur Gewährleistung der Hochverfügbarkeit. Auch eine Trennung nach Funktionen (Benutzer, Gruppen) wird nicht empfohlen, da dies die Komplexität erhöht und zu Synchronisationsproblemen führen kann.
Warum gibt es in „ IBM Verify “ zwei Attribute für den Benutzernamen (preferred_username und username) und worin besteht der Unterschied?
IBM Verify verwendet zwei unterschiedliche Attribute, die sich auf den Benutzernamen beziehen.
  • userName ist die primäre Kennung, die für die Authentifizierung und für Systemvorgänge verwendet wird. Er dient als primäre eindeutige Kennung für den Benutzer im System und muss innerhalb eines Bereichs eindeutig sein. Es wird für Authentifizierungsprozesse, Benutzersuchen und Systemvorgänge verwendet. Er wird häufig dem userPrincipalName (UPN) von Active Directory zugeordnet und ist für die Systemfunktionen von entscheidender Bedeutung.
  • preferred_username ist ein alternativer Benutzername, der in der Regel zu Anzeigezwecken verwendet wird. Er wird in erster Linie zu Anzeigezwecken in der Benutzeroberfläche verwendet und bietet einen benutzerfreundlicheren Anzeigenamen. Es kann in Benutzerprofilen und UI-Elementen angezeigt werden. Es wird nicht für die Authentifizierung oder Systemabfragen verwendet und kann geändert werden, ohne dass dies Auswirkungen auf die Kernauthentifizierung hat.
Welche Art von Benutzern sollte bei der Verknüpfung mit einem Bridge-Agenten für die Passwortauthentifizierung im Rahmen der Verzeichnissynchronisierung besser angelegt werden: Verbundbenutzer oder reguläre Benutzer?
„Federated Users“ ist die richtige Wahl. IBM Verify Verbundene Benutzer unterstützen SSO-Funktionen. Sie nutzen die lokale Registrierungsdatenbank als maßgebliche Quelle für Identitätsdaten. Sie authentifizieren sich bei der externen Identitätsquelle (lokaler Bridge-Agent) und ihre Attribute werden aus der lokalen Registrierungsdatenbank synchronisiert.