Añadir un proveedor de identidad SAML Enterprise

Editar en línea

Puede utilizar cualquier proveedor de identidades que admita el protocolo SAML como proveedor de identidades de SAML Enterprise. El proveedor de identidad verifica la identidad del usuario cotejándola con los datos que obran en su poder antes de concederle acceso a Verify.

Procedimiento

  1. Selecciona «Autenticación » > «Proveedores de identidad ».
  2. Selecciona «Añadir proveedor de identidades ».
  3. Selecciona « SAML » en la sección «Empresa ».
  4. Selecciona «Siguiente ».
  5. En la página «General», introduce la siguiente información.
    Nombre
    Indica un nombre identificativo para tu proveedor de identidad.
    Reino

    Es un atributo del proveedor de identidad que permite distinguir a los usuarios de distintos proveedores de identidad que tienen el mismo nombre de usuario.

    Debe ser un nombre exclusivo en los demás orígenes de identidad configurados en la suscripción. El nombre puede contener cualquier carácter alfanumérico. Los caracteres especiales no están permitidos excepto el punto (.) y guión (-).

    El longitud máxima de serie permitida es 253, parecida a la longitud máxima de un nombre de dominio.
    Nota: No se puede modificar el nombre una vez creado.
    ID
    El ID se crea después de guardar la configuración.
    Habilitado
    Marca esta casilla para utilizar este proveedor de identidad para iniciar sesión.

    Indica si el proveedor de identidades está activo y disponible.

    Una vez configurado y habilitado el proveedor de identidades, los usuarios pueden iniciar sesión de Verify forma unificada en sus aplicaciones autorizadas mediante el proveedor de identidades seleccionado. Si el proveedor de identidades no está habilitado, no se visualiza como una opción en la página Iniciar la sesión.
    Nota:
    • Debe haber al menos un proveedor de identidades habilitado para iniciar la sesión en Verify.
    • Si solo está habilitado un proveedor de identidades, pasa a ser la opción de inicio de sesión predeterminada para el usuario.
    Utilizar ID exclusivo
    Marque esta casilla para asignar un identificador único a este proveedor de identidades. Con esta función, se pueden configurar varios proveedores de identidad, cada uno con su propio identificador único, utilizando el mismo identificador de proveedor.
    Nota: Este valor se genera aleatoriamente y no se puede modificar una vez creado el proveedor de identidad.
    • El identificador único se incluye en las Verify URL de los puntos finales del proveedor de servicios.
    • Si no está habilitado, este proveedor de identidad es el único que se puede configurar con el ID de proveedor.
  6. Selecciona «Siguiente ».
  7. Facilite al proveedor de identidad las siguientes propiedades de metadatos del proveedor de servicios. Puede copiar la información o descargar el archivo de metadatos.
    ID de entidad
    Especifica el emisor en la solicitud de autenticación SAML y el destinatario de cualquier respuesta de autenticación SAML recibida.
    Nota: El ID de entidad se basa en el nombre de host principal. Esto no cambia cuando se utiliza un nombre de host ficticio. Descarga el archivo de metadatos para obtener los valores adecuados que debes utilizar al configurar manualmente un socio con un nombre de host personalizado.
    Dirección URL del servicio consumidor de aserciones

    Especifica el punto final del proveedor de servicios que recibe la respuesta de autenticación de SAML.

    El proveedor de identidad redirige la respuesta de autenticación de SAML a esta dirección: URL. Este punto final recibe y procesa la afirmación « SAML ».

    URL de cierre de sesión único

    Especifica el punto final en el proveedor de servicios que recibe la solicitud y respuesta de cierre de sesión de SAML.

    El proveedor de identidades redirige la solicitud de cierre de sesión de SAML y la respuesta a este URL. Este punto final recibe y procesa la solicitud y la respuesta de cierre de sesión de SAML.

    NameID Dirección URL

    Especifica el punto final del proveedor de servicios que se utiliza para sincronizar los cambios en el identificador de un usuario ( NameID ), tal y como lo solicita el proveedor de identidad.

    El proveedor de identidad envía las actualizaciones de asignación o las solicitudes de rescisión de NameID a esta dirección: URL. Este punto final garantiza que la sincronización de identidades se mantenga coherente entre el proveedor de servicios y el proveedor de identidades cuando se modifica el identificador único de un usuario.

  8. Selecciona «Siguiente ».
  9. Seleccione el botón de opción para indicar si es el proveedor de servicios o el proveedor de identidad quien inicia el flujo de inicio de sesión único de SAML.
    • Proveedor de servicios.
      Nota: Al seleccionar esta opción, deberá cargar los metadatos del proveedor de identidad en un .xml formato.
    • Proveedor de identidades
      En este escenario:
      1. El usuario tiene una cuenta en el sitio del proveedor de identidades.
      2. El usuario inicia la sesión en el sitio del proveedor de identidades o utiliza el URL de inicio de sesión único del proveedor de identidades para acceder al recurso protegido desde el proveedor de servicios.
      3. El proveedor de identidad inicia una respuesta de autenticación de tipo « SAML » que confirma que el usuario ha sido autenticado.
      4. El proveedor de servicios valida la respuesta de autenticación de SAML.
      5. El navegador del usuario se redirige al URL de destino del proveedor de servicios y el usuario tiene autorización para acceder al recurso solicitado.
      Si ha seleccionado «Proveedor de identidad», debe indicar la dirección de inicio de sesión único ( URL ). Es el URL que inicia el inicio de sesión único desde el proveedor de identidades hasta el proveedor de servicios.
  10. Selecciona «Siguiente ».
  11. Opcional: En la página «Cierre de sesión único », especifique si los mensajes de solicitud y respuesta de cierre de sesión entrantes requieren firma.
    • Si el mensaje de solicitud de cierre de sesión entrante requiere una firma, seleccione Validar firma de solicitud de cierre de sesión.
    • Si el mensaje de respuesta de cierre de sesión requiere una firma, seleccione Validar firma de respuesta de cierre de sesión.
    Nota:
    • Si el archivo de metadatos del proveedor de identidades que has subido incluye el SingleLogoutService elemento con un enlace POST de tipo « HTTP », se habilitará el cierre de sesión único para este proveedor de identidades.
    • El método de devolución de llamada de la solicitud « URL » para el cierre de sesión único iniciado por el proveedor de servicios tiene el siguiente aspecto: https://<tenant-Host>/saml/sps/saml20sp/saml20/sloinitial?RequestBinding=HTTPPost.
    • Si el proveedor de identidad SAML de la sesión actual no responde a una solicitud de cierre de sesión enviada desde Verify, el cierre de sesión único se detiene en ese proveedor de identidad. Para reanudar el cierre de sesión único, el usuario debe volver a realizar el cierre de sesión único.
  12. Selecciona «Siguiente ».
  13. Opcional: En la página «Aprovisionamiento justo a tiempo y vinculación de identidades », especifique si desea habilitar el aprovisionamiento justo a tiempo y la vinculación de identidades.
    1. Seleccione si desea habilitar el aprovisionamiento justo a tiempo.
      Esta opción crea y actualiza la cuenta de usuario en el dominio del proveedor de identidad principal asociado a la identidad SAML. Si el aprovisionamiento «justo a tiempo» está desactivado, los usuarios que intenten iniciar sesión con este proveedor de identidades no podrán autenticarse si no existe ningún registro de usuario coincidente en el directorio.
    2. Seleccione en el menú «Identificador único de usuario » un atributo que permita identificar a los usuarios del registro de usuarios del proveedor de identidades.
      Si selecciona «Habilitar vinculación de identidades» para este proveedor de identidades, deberá introducir el UUID.
    3. Selecciona un valor de transformación para transformar el valor del identificador único de usuario o deja el valor predeterminado en «Ninguno ».
    4. Marque la casilla «Habilitar vinculación de identidades para este proveedor de identidades ».
      Activa la vinculación de identidades para un proveedor de identidades específico. No se han creado cuentas de sombra en Cloud Directory en el ámbito especificado para este proveedor de identidades.
      Nota:
      1. No es posible habilitar la vinculación en el proveedor de identidad que está configurado como proveedor de identidad predeterminado.
      2. No puedes desactivar ni eliminar tu proveedor de identidad predeterminado para la vinculación.
      Si habilita el enlace de identidad, seleccione el identificador exclusivo que desea utilizar para las cuentas. Este identificador único se compara con el Username atributo de la cuenta del Directorio en la nube.
    5. Especifica un atributo que identifique a los usuarios del registro de usuarios del proveedor de identidad en el menú «ID externo» o un ID externo personalizado.
      El valor predeterminado es el ID de usuario.
    6. Selecciona un valor de transformación para transformar el valor del ID externo o deja el valor predeterminado en «Ninguno ».
    7. Selecciona si deseas habilitar la autenticación obligatoria para vincular la cuenta.
      Esta opción solo es aplicable a los flujos que utilizan tokens de formato persistente nameid SAML. Si se selecciona esta opción, se le pedirá al usuario que se autentique primero en el dominio vinculado para vincular la cuenta de usuario autenticada con el sujeto del token SAML. Si no se selecciona, nameid no se admiten operaciones de gestión para el proveedor de identidades de SAML Enterprise.
  14. Selecciona «Siguiente ».
  15. Opcional: En la página «Asignación de atributos», asigne los atributos del proveedor de identidades de SAML Enterprise a IBM® Verify Cloud Directory.
    Nota: Si no seleccionas ninguna opción, se aplicará la asignación de atributos especificada en la configuración global. De lo contrario, la asignación de atributos especificada en el proveedor de identidad de « SAML Enterprise» anula la selección de la configuración global. Para obtener más información sobre la configuración global, consulta «Configuración de los ajustes globales ».
    1. Selecciona «Añadir asignación de atributos ».
    2. Especifique un atributo del proveedor de identidades de SAML Enterprise utilizando una de las siguientes opciones.
      1. Seleccione una opción de la siguiente lista.
        Nombre de atributo Descripción
        company Empresa del usuario.
        country País del usuario.
        displayName Nombre de visualización del usuario.
        email Dirección de correo electrónico del usuario donde se envía una notificación.
        family_name Apellido del usuario.
        given_name Nombre dado el usuario.
        mobile_number Número de teléfono móvil del usuario donde se envía una notificación.
        userID Identificador exclusivo del usuario.
        Custom rule Atributo personalizado del proveedor de identidades de Enterprise de SAML. Si selecciona «Regla personalizada », introduzca una regla personalizada en el editor de reglas y haga clic en «Aceptar» para guardarla.
      2. Especifique un nombre de atributo en el campo Seleccionar un atributo. Es un nombre de atributo que no está disponible en la lista de opciones.
    3. Seleccione un valor de transformación para transformar el atributo del proveedor de identidades de SAML Enterprise, o mantenga el valor predeterminado «Ninguno ».
      Nombre de atributo Descripción
      Uppercase Transforma el atributo en mayúsculas.
      Lowercase Transforma el atributo en minúsculas.
      Base64 Encode Atributo «transforms» que utiliza el algoritmo de codificación « base64 ».
      Base64 Decode Atributo «transforms» que utiliza el algoritmo de decodificación « base64 ».
      Encode URI Atributo «transforms» que utiliza el método de codificación URI.
      Encode URI Component Atributo «transforms» que utiliza el método «encode» para codificar componentes URI.
      Decode URI Atributo «transforms» que utiliza el método de decodificación de URI.
      Decode URI Component Atributo «transforms» que utiliza el método de decodificación de componentes URI.
      Generate UUID if no value is evaluated Transforma el atributo para generar identificadores exclusivos universalmente.
      Current Time (seconds) Transforma el atributo en el tiempo en segundos.
      Current Time (milliseconds) Transforma el atributo en el tiempo en milisegundos.
      SHA-256 Hash Atributo «Transforms» que utiliza un algoritmo de « SHA-256 ».
      SHA-512 Hash Atributo «Transforms» que utiliza un algoritmo de « SHA-512 ».
    4. Especifica un IBM Verify atributo. Para obtener más información sobre los atributos, consulta la sección «Gestión de atributos ».
      Nota: Evita seleccionar los siguientes atributos integrados reservados, ya que no se corresponden con los atributos del proveedor de identidad.
      • groupIds
      • preferred_username
      • realmName
      • tenantId
      • uid
    5. Especifica cómo se almacena el atributo en el user profile.
      • Siempre: Almacena o actualiza el atributo en cada inicio de sesión.
      • Solo al crear un usuario : guarda el atributo desde el momento de la creación de la cuenta.
      • Inhabilitar: Nunca almacena o actualiza el atributo.
    6. Requisito: Debes repetir el proceso para cada atributo que añadas y asignes.
  16. Opcional: Seleccione una de las siguientes fuentes de pertenencia a grupos para especificar la fuente de los grupos de permisos de acceso de los usuarios.
    Atención: Ten cuidado al configurar una fuente de pertenencia a un grupo. Si está configurado para derivarse de la fuente de identidad, los permisos de acceso de los usuarios se derivan del token del proveedor de identidad, que incluye la groupIds reivindicación. Si la groupIds solicitud tiene el valor de los grupos de sistema reservados de IBM Verify, se concede al usuario el permiso de grupos de sistema reservados una vez que haya iniciado sesión en IBM Verify.
    • Cloud Directory: Los permisos de acceso de usuario se derivan de los grupos de usuarios en Cloud Directory.
    • Directorio en la nube y fuente de identidad : los permisos de acceso de los usuarios se derivan de los grupos de usuarios del directorio en la nube y del token del proveedor de identidad, que incluye groupIds una reclamación.
    • Fuente de identidad : los permisos de acceso del usuario se derivan del token del proveedor de identidad, que incluye la groupIds afirmación.
      Nota: Si el token del proveedor de identidad no contiene la groupIds reivindicación, no obtendrás ningún permiso de pertenencia a grupos.
    • Regla personalizada. Si selecciona «Regla personalizada », introduzca una regla personalizada en el editor de reglas y, a continuación, haga clic en «Aceptar» para guardarla. Los permisos de acceso de usuario se derivan en función de la regla personalizada.
    Nota: Si no seleccionas ninguna opción, se aplicará la fuente de pertenencia a grupos seleccionada en la configuración global. De lo contrario, la fuente de pertenencia a grupos seleccionada en el proveedor de identidades de « SAML » anula la selección de la configuración global.
  17. Selecciona «Siguiente ».
  18. Opcional: Si has creado perfiles de privacidad, selecciona uno en el menú.
    Los perfiles de privacidad exigen que los usuarios de este directorio revisen y acepten una serie de fines de uso de datos, los acuerdos de licencia de usuario (EULA) o ambos. Consulte «Gestión de perfiles de privacidad ».
  19. Selecciona «Siguiente ».
  20. Opcional: Si ha habilitado la vista previa pública de « CI-108233 », seleccione si desea habilitar las invitaciones de usuarios.
    Las invitaciones se crean y envían mediante POST /v1.0/usc/user/invitation API. Consulte «Invitar a usuarios ». Marca la casilla «Habilitar invitaciones de usuarios » para invitar a otras personas a registrarse como nuevos usuarios. También puedes seleccionar un perfil de usuario para que este introduzca más datos al aceptar la invitación. Consulte «Gestión de perfiles de usuario ».
  21. Pulsa en «Hecho ».
    La configuración del proveedor de identidad se abre en modo de edición.