Configuración del suministro JIT de SAML

Editar en línea

Habilite el aprovisionamiento «justo JIT a tiempo» para crear o actualizar una cuenta de usuario en el proveedor de servicios la primera vez que un usuario se autentique con IBM® Verify. Verify envía la información del usuario necesaria para crear o actualizar la cuenta mediante una aserción de « SAML ». Utilice el suministro de JIT para casos en los que el proveedor de servicios no requiera que se cree o conozca la información de identidad de usuario antes de que el usuario intente acceder al proveedor de servicios.

Antes de empezar

  • Debe tener permiso administrativo para realizar esta tarea.
  • Cree perfiles de usuario en Cloud Directory para los usuarios a los que desea otorgar autorización de acceso a la aplicación. Añade los usuarios a través de la página Directorio > Usuarios y grupos > Usuarios. Consulte «Gestión de usuarios ».
  • Configure la información básica de la instancia de la aplicación en la pestaña «General ». Consulte la sección «Configuración de los datos básicos de la aplicación ».

Acerca de esta tarea

Active el aprovisionamiento JIT como parte de la configuración del inicio de sesión único basado en SAML entre Verify y el proveedor de servicios. Véase

La cuenta de usuario se crea en el registro de usuarios del proveedor de servicios utilizando los atributos incluidos en una aserción de tipo « SAML ». Verify Envía una declaración de « SAML » al proveedor de servicios cuando el usuario accede a este en el marco de un inicio de sesión único. Si no se encuentra ninguna coincidencia para el nombre de usuario introducido, el proveedor de servicios crea una nueva cuenta con los atributos de usuario que figuran en una aserción de « SAML ». El proveedor de servicios también concede inmediatamente al usuario acceso a los recursos solicitados.

Si habilita el aprovisionamiento justo a tiempo en Verify, también deberá habilitarlo en el proveedor de servicios. Este valor siempre debe estar sincronizado.

Es posible que se encuentre alguna coincidencia y, en account does exist ese caso, el proveedor del servicio actualiza la cuenta del usuario según la información de los atributos que figuran en la aserción « SAML ».

Algunos proveedores de servicios admiten la actualización de cuentas en el siguiente inicio de sesión del usuario cuando JIT la función de aprovisionamiento está habilitada. Consulte la documentación del producto del proveedor de servicios para determinar el comportamiento.

Nota: Comportamiento esperado. user@tenanthostnameSi el administrador ha creado un usuario estándar en cloudIdentityRealm con el nombre userName de usuario en el formato, donde tenanthostname es el nombre de host del inquilino. Por ejemplo, hostname.idng.ibmcloudsecurity.com. userDurante el JIT flujo (aprovisionamiento «Just-In-Time»), si el token recibido contiene un nombre de usuario, no se permitirá crear un usuario federado para ese usuario; en su lugar, se configurará como predeterminado el usuario user@tenanthostname estándar de cloudIdentityRealm , con el fin de facilitar el uso.

Procedimiento

  1. Selecciona Aplicaciones > Aplicaciones > Editar > Iniciar sesión.
  2. En la sección «Aprovisionamiento justo a tiempo », seleccione «Incluir atributos de aprovisionamiento en la afirmación SAML » para enumerar los atributos de usuario que el proveedor de servicios necesita para crear o actualizar la cuenta de usuario en su registro de usuarios.
    Nota: Dependiendo de la aplicación, esta opción podría estar disponible.
    • Estar siempre habilitada en el proveedor de servicios. Por lo tanto, está habilitada y es de solo lectura de forma predeterminada en Verify. No se requieren atributos de aprovisionamiento ni ninguna configuración adicional.
    • Mostrar atributos que el proveedor de servicios necesite para suministrar la cuenta de usuario. Un proveedor de servicios normalmente necesita como mínimo los atributos de usuario siguientes:
      • Nombre de usuario
      • Nombre
      • Apellidos
      • Dirección de correo electrónico
    • Mostrar los atributos que el proveedor de servicios tiene en cuenta a la hora de configurar la cuenta de usuario. Por ejemplo
      • ID de empleado
      • Teléfono móvil
      • Departamento
      • Cargo
    • Se deben especificar atributos de aprovisionamiento que coincidan con los atributos de requisitos para el inicio de sesión único.

      No importa si la casilla está marcada o no. La cuenta de usuario se crea cuando el usuario completa el inicio de sesión único con Verify.

  3. En «Asignaciones de atributos», asigne un atributo de usuario correspondiente Verify a cada uno de los atributos del proveedor de servicios.

    Correlacione los atributos en función de los requisitos del proveedor de servicios.

    Utiliza la asignación de atributos para controlar cómo la aplicación calcula los atributos del usuario a partir de Verify. Los atributos del proveedor de servicios se rellenan con los valores que contenga el atributo de usuario asignado Verify .

    Nota: La lista de atributos que se muestran y su importancia varían en función de la aplicación. Es posible que algunos atributos de inicio de sesión único sean un requisito para el aprovisionamiento.
  4. Haz clic en «Guardar ».
  5. Configure el aprovisionamiento JIT en el proveedor de servicios. Consulte las instrucciones que se incluyen en la Verify pestaña «Inicio de sesión ».

Resultados

Nota: Cuando un usuario autorizado accede a la aplicación por Verify primera vez, se le solicita que acepte los términos y condiciones. La cuenta de usuario se suministra en la aplicación y el usuario puede iniciar la sesión en ella.