Configuración de un agente de identidad para la autenticación mediante un servicio web

Editar en línea

Acerca de esta tarea

Una configuración de proveedor de identidades no estándar que recupera los atributos y grupos de los usuarios a través de un servicio web que accede a una fuente de datos no estándar (que no sea LDAP ni AD).

Procedimiento

  1. Selecciona «Integraciones » > «Agentes de identidad ».
  2. Selecciona «Crear configuración de agente ».
  3. Selecciona «Autenticación» como finalidad.
  4. Selecciona el mosaico del servicio web.
  5. Selecciona «Siguiente ».
  6. Configura los ajustes de conexión del servicio web. Introduce la URI del servicio web local.
    Para configurar la conmutación por error de un servicio web en clúster, se pueden añadir varias URI de servicio web seleccionando «Añadir URI+ ».
  7. Seleccione el tipo de autenticación.
    El tipo de autenticación es el método que utiliza el agente para autenticarse en el servicio web local.
    • OAUTH
      URL de punto de punto de señal
      Introduce el punto final del token del proveedor OAuth. El agente utiliza este punto final de token para obtener un token de acceso que se envía al servicio web.
      Método de autenticación de punto final de señal
      Introduce el método de autenticación del punto final de tokens:
      • Publicación del secreto del cliente: el agente envía las credenciales del cliente al punto final del token mediante una solicitud POST.
      • Secreto de cliente básico: el agente envía las credenciales del cliente codificadas mediante el algoritmo « base64 » al punto final de tokens en un authorization encabezado de solicitud.
      ID de cliente y clave secreta de cliente
      Introduzca las credenciales de cliente utilizadas para la autenticación con el proveedor OAuth. También puede proporcionar una autoridad de certificación.
      Si estás editando un cliente de Identity Agent ya existente, puedes utilizar las siguientes opciones de clave secreta de cliente:
      • Seleccione Mostrar para ver el secreto de cliente.
      • Seleccione Ocultar para ocultar el secreto de cliente.
      • Selecciona Copiar esta opción para copiar el ID de cliente o el secreto en el portapapeles.
      • Selecciona Lista esta opción para ver los secretos de cliente rotados.
        • Selecciona uno o varios secretos de cliente renovados de la lista y haz clic en «Eliminar» para borrarlos.
      • Seleccione Volver a generar para generar un nuevo secreto de cliente. Utilice esta opción si piensa que el secreto de cliente está comprometido. Si vuelve a generar el secreto de cliente, debe actualizar el secreto de cliente en todos los clientes OAuth de la aplicación.
        • Marca la casilla «Conservar el secreto actual » para añadir el secreto de cliente actual a la lista de secretos de cliente rotados.
        • Si la casilla «Conservar el secreto actual» está marcada, selecciona la descripción del secreto del cliente y la fecha de caducidad (en la hora local del navegador). Si no se selecciona ningún plazo de caducidad, se aplicará el «Plazo de vigencia del secreto rotado» del inquilino establecido en la configuración de la aplicación.
        • Los secretos de cliente rotados se someten a un proceso de hash y ya no se pueden recuperar en texto sin cifrar, pero pueden seguir utilizándose hasta la fecha de caducidad seleccionada.
        • Tras la confirmación, el secreto de cliente se renueva inmediatamente. El nuevo secreto de cliente aparece en pantalla.
      Autoridad de certificación con clave privada (opcional)
      Introduzca la cadena de certificados de CA para que el agente local pueda validar la conexión TLS (TLS) del servicio de autenticación externo.
      Titularidades de ámbito (opcional)
      Introduzca uno o varios derechos de ámbito para el token de acceso.
      Nombre de certificado de clave privada (opcional)
      Si desea realizar la autenticación mediante certificación MTLS ( TLS ) con su conexión de agente, indique el nombre del certificado de la clave privada.
    • Señal web JSON (JWT)
      Cabecera HTTP
      Introduce el encabezado « HTTP » en el que aparece el JWT. Por ejemplo, authorization.
      Prefijo de valor de cabecera JWT (opcional)
      Introduce el valor del prefijo que aparece antes del JWT en el encabezado « HTTP ». Por ejemplo, Bearer .
      Nota: No se inserta automáticamente un espacio entre el prefijo y el JWT, por lo que debe introducirse manualmente después del prefijo especificado.
      Reclamación sub
      Introduce el subclaim que aparece en el JWT.
      Algoritmo de firma
      Selecciona el algoritmo de firma que utiliza el agente para firmar el JWT.

      En el caso de los algoritmos de firma simétrica (HSXXX), introduzca el valor de la clave secreta, que es la clave de firma simétrica. La clave de firma que se introduzca debe estar codificada en form base64.

      En el caso de los algoritmos de firma asimétrica (ESXXX, PSXXX o RSXXX), introduce el nombre del certificado personal que sirve de etiqueta para la clave privada utilizada para firmar el JWT. En los sistemas Windows, esta etiqueta corresponde al Subject valor del certificado de la clave privada dentro del almacén de claves de Windows. /cert/{label}_cert[_{instance}].pemEn los sistemas « Linux® », este valor corresponde a la label parte de la ruta.

      Vigencia máxima del JWT
      Introduce el tiempo, en segundos, durante el cual el JWT es válido.
      Autoridad de certificación (opcional)
      Introduzca la cadena de certificados de CA para que el agente local pueda validar la conexión TLS del servicio de autenticación externo.
    • Autenticación básica
      Nombre de usuario y contraseña
      El nombre de usuario y la contraseña que se utilizan para autenticar al agente en el servicio web. Se envían al servicio web en un encabezado denominado authorization con el formato Basic username:password donde username:password es una codificación de tipo « base64 ».
      Entidad emisora de certificados (opcional)
      Introduzca la cadena de certificados de CA para que el agente local pueda validar la conexión TLS del servicio de autenticación externo.
      Nombre de certificado de clave privada (opcional)
      Si desea realizar la autenticación mediante certificación MTLS con su conexión de agente, indique el nombre del certificado de la clave privada.
    • Autenticación de certificados (MTLS)
      Entidad emisora de certificados (opcional)
      Introduce la cadena de certificados de la CA. El agente local utiliza esta cadena de certificados para validar el certificado « TLS » que presenta un servicio web que utiliza TLS. El agente también utiliza esta cadena de certificados para validar el certificado TLS que presenta el punto final de tokens del servidor OAuth : URL.
      Certificado de clave privada
      Introduzca el nombre del certificado de clave privada que utiliza el agente durante el MTLS. En el caso de los tipos de autenticación distintos de MTLS, al establecer este valor, el agente intentará realizar MTLS además del tipo de autenticación ya especificado.

      En los sistemas Windows™, el puente comprueba el Subject: valor en el almacén de claves de Windows. En los sistemas de tipo « Linux », el puente examina la ruta /cert/{label}_cert[_{instance}].pem en la que la etiqueta es el valor que se introduce aquí.

  8. Haga clic en Siguiente.
  9. Configura las propiedades del usuario.
    Indique una lista de atributos separados por comas que el servicio web devuelve cuando la operación de verificación de contraseña se ha realizado correctamente.
  10. Haga clic en Siguiente.
  11. Asigna los atributos que recupera el servicio web a los Verify atributos de Cloud Directory.
    Una vez creado el agente de identidad, puedes modificar o actualizar las asignaciones mediante la función icono de lápiz de edición de la ficha del agente.
  12. Selecciona «Siguiente ».
  13. En «Finalizar configuración», introduzca la siguiente información.
    • Un nombre exclusivo y reconocible para el agente
    • Descripción
    • Un nombre para mostrar del proveedor de identidades
    • Un dominio para el proveedor de identidad
  14. Opcional: Selecciona «Ver configuración avanzada » para añadir atributos de configuración o para seleccionar un certificado para el cifrado.
  15. Haz clic en «Guardar» y continúa.
  16. En «Próximos pasos», sigue estos pasos.
    1. Selecciona «Ver credenciales de la API» y utiliza el icono de copiar al portapapeles para copiar y guardar el ID de cliente y el secreto de cliente.
      Nota: Solo los usuarios con los permisos adecuados pueden ver el secreto de cliente. Para obtener más información, consulte las actualizaciones de seguridad para los derechos.
    2. Si aún no lo has descargado, descarga el agente desde IBM® X-Force® App Exchange.
    3. Añada las credenciales de la API a la configuración del agente.
  17. Haz clic en «Finalizar ».
    La configuración se agrega a los agentes de identidad y el proveedor de identidad aparece en Autenticación > Proveedores de identidad.