Configuración de valores globales

Editar en línea

Utilice estos valores para determinar cómo el arrendatario autentica a los usuarios.

Procedimiento

  1. Selecciona «Autenticación » > «Proveedores de identidad » > «Configuración global ».
  2. Seleccione el proveedor de identidad primario en el menú que utiliza el arrendatario para autenticar a los usuarios cuando inician la sesión.
    Normalmente, el proveedor de identidad primario para el arrendatario es IBM® Verify Cloud Directory.
  3. Opcional: En « SAML » (Configuración de proveedores de servicios) 2.0, actualice las configuraciones de federación de los proveedores de servicios SAML 2.0.
    1. Indique el ID de la entidad.
      Normalmente, este identificador se genera como https://Tenant-Name/saml/sps/saml20sp/saml20. Puedes modificarlo para que incluya un nombre de host y un dominio personalizados.
      Nota: Si se modifica el ID de entidad, deberá actualizar la configuración del socio con el valor más reciente del ID de entidad para las fuentes de identidad existentes de SAML y 2.0.
    2. Indica la duración válida del mensaje en segundos.
      Es el margen de tolerancia en segundos durante el que se valida el mensaje IssueInstant recibido de « SAML ».
    3. Opcional: si desea habilitar la comprobación de la Lista de Certificados Revocados (CRL), marque la casilla «CRL habilitada ».

      Cuando CRL está habilitado, comprueba la lista de certificados revocados. Se comprueba todas las funciones de cifrado de los proveedores de identidad de « SAML » Enterprise que utilizan un certificado externo.

      Si tu configuración no requiere la comprobación de la lista CRL, puedes dejarla desactivada, que es la configuración predeterminada. Algunas razones por las que quizá no te interese habilitar la comprobación de CRL son:
      • Si utilizas una autoridad de certificación (CA) interna autofirmada.
      • Tienen problemas de rendimiento. Las aplicaciones con un gran volumen de datos pueden sufrir una disminución significativa del rendimiento.
      • Tengo problemas de conexión a la red. Los cortafuegos pueden bloquear el acceso a los servidores CRL; las redes están aisladas físicamente o desconectadas de Internet.
    4. Selecciona un criterio de selección clave.
      Especifica qué clave o certificado se debe utilizar para firmar, validar, cifrar o descifrar distintos mensajes. Si hay varias claves o certificados con el mismo SubjectDN nombre que la clave o el certificado con el alias especificado, esta configuración determina cuál se debe utilizar. Dispone de los tres métodos de selección siguientes.
      Solo alias
      Seleccione la clave o el certificado con el alias especificado. Este método es el predeterminado.
      Tiempo de vida más corto
      Para la firma, se utiliza una clave válida con el tiempo de vida más corto disponible. Para la validación, las claves que tienen el mismo SubjectDN se ordenan según la disponibilidad de tiempo de vida. Las claves se intentan secuencialmente empezando por la clave que tiene la disponibilidad de tiempo de vida más corta hasta que la validación sea correcta.
      Tiempo de vida más largo
      Para la firma, se utiliza una clave válida con el tiempo de vida más largo disponible. Para la validación, las claves que tienen el mismo SubjectDN se ordenan según la disponibilidad de tiempo de vida. Las claves se intentan secuencialmente empezando por la clave que tiene la disponibilidad de tiempo de vida más larga hasta que la validación sea correcta.
    5. Marca la casilla «Omitir la validación de la dirección de destino URL ».
      Indica si se debe omitir una targetURL validación en SAML. El valor predeterminado es false.
    6. Haz clic en «Añadir URL de destino permitidas» URL para añadir las URL de destino permitidas.
      Puedes añadir varias direcciones URL.
    7. Selecciona el formato predeterminado de ID de nombre.
      • Correo electrónico
      • Sin especificar.
    8. Selecciona el algoritmo de firma.
      Para la firma, un algoritmo firma digitalmente el mensaje SAMLAuthnRequest . Los valores admitidos son RSA-SHA1, RSA-SHA256, RSA-SHA512, ECDSA-SHA256, ECDSA-SHA384 y ECDSA-SHA512. Si está vacío, se utiliza el valor predeterminado RSA-SHA256.
    9. Selecciona el certificado de firma.
      En lo que respecta a la firma, este certificado se utiliza para firmar el certificado « SAMLAuthnRequest » durante el inicio de sesión único. La selección predeterminada hace referencia al certificado personal predeterminado que has configurado en Seguridad > Certificados > Certificados personales.
    10. Selecciona el certificado de descifrado.
      Utilice este certificado para descifrar el mensaje de respuesta « SAML » recibido si contiene elementos cifrados durante el inicio de sesión único. La selección predeterminada hace referencia al certificado personal predeterminado que has configurado en Seguridad > Certificados > Certificados personales.
    11. Marca la casilla «Excluir SPNameQualifier » en « AuthnRequest ».

      Indica si se debe excluir SPNameQualifier en AuthnRequest cuando se utiliza un formato no especificado nameid . El valor predeterminado es false, lo que significa que se incluye el SPNameQualifier..

  4. Opcional: en «Asignación de atributos », asigne los atributos del proveedor de identidades a IBM Verify Cloud Directory.
    1. Selecciona «Añadir asignación de atributos ».
    2. Especifique un atributo de proveedor de identidad utilizando una de las opciones siguientes:
      1. Seleccione en la lista siguiente de opciones disponibles:
        Nombre de atributo Descripción
        company Empresa del usuario.
        country País del usuario.
        displayName Nombre de visualización del usuario.
        email Dirección de correo electrónico del usuario donde se envía una notificación.
        family_name Apellido del usuario.
        given_name Nombre dado el usuario.
        mobile_number Número de teléfono móvil del usuario donde se envía una notificación.
        userID Identificador exclusivo del usuario.
        Custom rule Atributo del proveedor de identidad personalizado. Si selecciona «Regla personalizada », introduzca una regla personalizada en el editor de reglas y haga clic en «Aceptar» para guardarla.
      2. Especifique un nombre de atributo en el campo Seleccionar un atributo. Este nombre es el nombre de un atributo que no figura en la lista de opciones.
    3. Seleccione un valor de transformación para transformar el atributo del proveedor de identidad o deje el valor predeterminado en «Ninguno ».
      Nombre de atributo Descripción
      Uppercase Transforma el atributo en mayúsculas.
      Lowercase Transforma el atributo en minúsculas.
      Base64 Encode Transforma el atributo utilizando un algoritmo de codificación de tipo « base64 ».
      Base64 Decode Transforma el atributo utilizando un algoritmo de decodificación « base64 ».
      Encode URI Transforma el atributo mediante un método de codificación de URI.
      Encode URI Component Transforma el atributo mediante el método «encode» del componente URI.
      Decode URI Transforma el atributo mediante un método de decodificación de URI.
      Decode URI Component Transforma el atributo mediante el método «decode» del componente URI.
      Generate UUID if no value is evaluated Transforma el atributo para generar identificadores exclusivos universalmente.
      Current Time (seconds) Transforma el atributo en el tiempo en segundos.
      Current Time (milliseconds) Transforma el atributo en el tiempo en milisegundos.
      SHA-256 Hash Transforma el atributo utilizando un algoritmo de « SHA-256 ».
      SHA-512 Hash Transforma el atributo utilizando un algoritmo de « SHA-512 ».
    4. Especifica un IBM Verify atributo. Para obtener más información sobre los atributos, consulta la sección «Gestión de atributos ».
      Nota: Evita seleccionar alguno de los siguientes atributos integrados reservados, ya que no están asignados a los atributos del proveedor de identidad.
      • groupIds
      • preferred_username
      • realmName
      • tenantId
      • uid
    5. Especifique cómo se almacena el atributo en el perfil de usuario:
      • Siempre: Almacena o actualiza el atributo en cada inicio de sesión.
      • Sólo para la creación de usuarios: Almacena el atributo una vez en la creación de la cuenta.
      • Inhabilitar: Nunca almacena o actualiza el atributo.
    6. Repita el proceso para cada atributo que correlacione.
  5. Opcional: Seleccione la fuente de pertenencia a grupos en el siguiente menú para especificar la fuente de los grupos de permisos de acceso de los usuarios:
    • Cloud Directory: Los permisos de acceso de usuario se derivan de los grupos de usuarios en Cloud Directory.
    • Cloud Directory y origen de identidad: Los permisos de acceso de usuario se derivan de los grupos de usuarios de Cloud Directory y de la señal de origen de identidad, que incluye la reclamación groupIds.
    • Origen de identidad: Los permisos de acceso de usuario se derivan de la señal de origen de identidad, que incluye la reclamación groupIds.
      Nota: Si el token de la fuente de identidad no contiene la groupIds reivindicación, no se obtienen permisos de pertenencia a grupos.
    • Regla personalizada : si seleccionas «Regla personalizada», introduce una regla personalizada en el editor de reglas y haz clic en «Aceptar» para guardarla. Los permisos de acceso de usuario se derivan en función de la regla personalizada.
  6. En la sección «Intercambio de sesión», puedes seleccionar las URL de redireccionamiento que se pueden enviar a la Token Exchange API.
    La Token Exchange API admite un redirect_url parámetro que hace que la API devuelva una redirección del navegador con una sesión de inicio de sesión. redirect_url debe coincidir con una de las expresiones regulares de esta lista.

    Normalmente, el URL es un URL específico al que el usuario debe acceder o un URL personalizado para su empresa. Esta característica limita la redirección a los URL que especifique.

    El redirect_url parámetro se admite automáticamente si,
    • Se inicia con el nombre de arrendatario: https://<tenantname>
    • Se inicia con "/", lo que significa que es un URL relativo al arrendatario.
    De lo contrario, el URL debe añadirse aquí como una expresión regular.
    Por ejemplo, para utilizar caracteres de URL comunes con los caracteres de escape adecuados:
    https://www\.example\.com\?key1=value1&key2=value2
    Para que coincida con todo lo que se inicia con un determinado dominio, utilice el comodín *.
    https://www\.example\.com.*
  7. Seleccione el proveedor de identidades predeterminado en el menú que se utiliza para autenticarse desde dispositivos móviles.
  8. Seleccione un identificador exclusivo del menú que se utilizará para la identificación del usuario.
  9. Configure la limpieza automatizada de la cuenta.
    1. Marca la casilla para activar la limpieza automática.
    2. Seleccione el número de días que la cuenta puede estar inactiva.
    3. Seleccione la población.
      • Todos los usuarios
      • Especifica un filtro SCIM.
  10. Haz clic en «Guardar cambios ».