Gestión de proveedores de identidad

Editar en línea

Un proveedor de identidad es un repositorio que se utiliza para la autenticación de usuarios y para la creación de cuentas. Puedes configurar más de un proveedor de fuentes de identidad. Todos los proveedores de identidad configurados y habilitados aparecen como opciones en la Verify página de inicio de sesión. Los usuarios pueden iniciar sesión en Verify utilizando cualquiera de estos proveedores de identidad.

Antes de empezar

  • Debe tener permiso administrativo para realizar esta tarea.
  • Inicie sesión en la IBM® Verify consola de administración como administrador.

Acerca de esta tarea

Nota: Verify no admite el cierre de sesión mediante IDP. Al cerrar sesión en Verify no se cerrará la sesión en tu proveedor de identidad ni en ninguna de las aplicaciones Suscrito en las que hayas iniciado sesión a través de dicho proveedor de identidad.
Verify da soporte a los siguientes tipos de proveedores de identidades:
Cloud Directory

Utiliza un registro de usuarios que se aloja en la nube.

Puedes añadir información sobre usuarios y grupos a este proveedor de identidades a través de «Directorio > Usuarios y grupos ».

Este proveedor de identidad se utiliza en una configuración de inicio de sesión único ( SAML ) de salida. Verify verifica la identidad del usuario cotejándola con los datos de este proveedor de identidad.

SAML Enterprise

Utiliza un registro de usuarios local e intercambia tokens de « SAML » para completar la autenticación.

En un inicio de sesión único de « SAML », Verify se puede utilizar cualquiera de los siguientes proveedores:
Proveedor de identidades

Verify depende de su propio registro en la nube o directorio en la nube como proveedor de identidades.

Proveedor de servicios

Puedes integrarte Verify con varios proveedores de identidad para autenticar a los usuarios. Los usuarios de proveedores de identidad externos pueden iniciar sesión de forma unificada en Verify y en las aplicaciones a las que tienen acceso sin necesidad de introducir su Verify contraseña.

Este proveedor de identidad se utiliza en una configuración de inicio de sesión único (SSO) entrante de tipo « SAML »; Verify el proveedor de servicios es [nombre del proveedor de servicios], y la aplicación de destino es el proveedor de identidad.

Puede utilizar cualquier proveedor de identidades que admita el protocolo SAML como proveedor de identidades de SAML Enterprise. El proveedor de identidad verifica la identidad del usuario cotejándola con los datos que tiene registrados antes de concederle acceso a Verify.

Nota: Cuando se añade un proveedor de identidades corporativo de SAML, su certificado de firmante se importa automáticamente a la página «Seguridad > Certificados > Certificados de firmante ».
OIDC empresarial
Cualquier proveedor de identidades que dé soporte al protocolo OIDC se puede utilizar como proveedor de identidades de OIDC Enterprise. El proveedor de identidades autentica la identidad de usuario frente a los datos de este proveedor de identidades antes de otorgar acceso a IBM Verify.
IBMid

Utiliza la solución de gestión y acceso de identidad de IBM para proporcionar el inicio de sesión único de usuarios a todas las aplicaciones, servicios, comunidades, soporte de IBM y otros.

IBMid es la opción de inicio de sesión predeterminada para el primer inicio de sesión del administrador en Verify. Solo el Verify administrador puede iniciar sesión en Verify IBMid. Este proveedor de identidad no es válido para el inicio de sesión de los usuarios finales.

Una vez que el administrador haya iniciado sesión por primera vez, podrá habilitar el Directorio en la nube o los proveedores de identidad de SAML Enterprise configurados como opciones de inicio de sesión adicionales para los siguientes inicios de sesión del administrador.

MaaS360 Cloud Extender

Las identidades de los usuarios se verifican contra la información almacenada en el repositorio empresarial o en el registro de usuarios locales, pero la solicitud de autenticación se delega o se pasa a través de un servidor o agente distinto.

Las identidades de los usuarios autenticados se federan en Verify. Puedes consultar su información en Directorio > Usuarios y grupos.

Social
Las identidades de los usuarios se verifican contra su cuenta de red social. Un proveedor de identidad social se puede configurar una sola vez y se utiliza únicamente como opción de inicio de sesión para las aplicaciones. No se puede utilizar para iniciar sesión en la Verify Consola de administración ni en el panel de inicio de usuario. Verify es compatible con los siguientes proveedores de identidad social:
  • Apple
  • Baidu
  • Facebook
  • GitHub
  • Google
  • LinkedIn
  • QQ
  • Renren
  • WeChat
  • Weibo
  • Yahoo
  • X

Las identidades de los usuarios autenticados se federan en Verify. Puedes consultar su información en Directorio > Usuarios y grupos.

Puede mostrar u ocultar todos los proveedores de identidad en la página de inicio de sesión del administrador o del usuario final, excepto los proveedores de identidad de redes sociales. Si hay más de un proveedor de identidad habilitado y visible, el usuario debe seleccionar cuál desea utilizar para la autenticación. Para facilitar la experiencia del usuario, activa y muestra solo un proveedor de identidad. Si solo hay un proveedor de identidad habilitado, este se convierte en la opción de inicio de sesión predeterminada para el usuario. El usuario no tiene que seleccionar un proveedor de identidad preferido.

Consejo: Si no puedes iniciar sesión Verify utilizando un proveedor de identidades de SAML Enterprise configurado, y la opción de inicio de sesión de Cloud Directory no está disponible o no se ve, utiliza la siguiente dirección: URL :
https://<hostname>.verify.ibm.com/authsvc/mtfim/sps/authsvc?PolicyId=urn:ibm:security:authentication:asf:basicldapuser

Procedimiento

  1. Selecciona «Autenticación» > «Proveedores de identidad»
  2. Selecciona un proveedor de identidad para ver su información.
    Nota: La información que se muestra varía en función del proveedor de identidad.
    Tabla 1. Información sobre el proveedor de identidad
    Información Descripciones
    Nombre

    El nombre que se asigna para identificar el registro de usuarios que utilizan proveedores de identidad como Microsoft™ Active Directory, Microsoft Azure, Active Directory u otros.

    Si hay más de un proveedor de identidades configurado y habilitado, el nombre del proveedor de identidades se muestra en la página Inicio de sesión de Verify.

    Esta información también aparece en la pestaña «Directorio > Usuarios y grupos > Usuarios » y en el cuadro de diálogo «Añadir usuario » cuando se selecciona un proveedor de identidades.
    Reino

    Es un atributo del proveedor de identidad que permite distinguir a los usuarios de distintos proveedores de identidad que tienen el mismo nombre de usuario.

    Esta información aparece en «Directorio > Usuarios y grupos » y en el cuadro de diálogo «Editar usuario ».

    Para los siguientes proveedores de identidad:
    • En Cloud Directory, el valor del dominio es cloudIdentityRealm.
    • IBMid; el valor del dominio es www.ibm.com.
    • SAML En el caso de Enterprise, el valor del dominio puede ser cualquier nombre único que hayas asignado al crear el proveedor de identidades.
    • OnPrem LDAP; el valor del dominio puede ser cualquier nombre único que hayas asignado al crear el proveedor de identidad.
    • Apple, el valor de dominio es www.apple.com.
    • Baidu, el valor de dominio es www.baidu.com.
    • Facebook, el valor de dominio es www.facebook.com.
    • Github, el valor de dominio es www.github.com.
    • Google, el valor de dominio es www.google.com.
    • LinkedIn, el valor de dominio es www.linkedin.com.
    • QQ, el valor de dominio es www.qq.com.
    • Renren, el valor de dominio es www.renren.com.
    • WeChat, el valor de dominio es www.wechat.com.
    • Weibo, el valor de dominio es www.wiebo.com.
    • X, el valor del dominio es www.twitter.com.
    • Yahoo, el valor de dominio es www.yahoo.com.
    ID Al hacer clic en «Guardar», se genera un identificador para el proveedor de identidad.
    Habilitado

    Indica si el proveedor de identidades está activo y disponible.

    Cuando el proveedor de identidades está configurado y habilitado, los usuarios pueden iniciar sesión única en Verify y en sus aplicaciones habilitadas con el proveedor de identidades seleccionado. Si el proveedor de identidades no está habilitado, no se visualiza como una opción en la página Iniciar la sesión.
    Nota:
    • Debe haber al menos un proveedor de identidades habilitado para iniciar la sesión en Verify.
    • Si solo está habilitado un proveedor de identidades, pasa a ser la opción de inicio de sesión predeterminada para el usuario.
    Enlace de identidad

    Habilitado

    		 Activa la vinculación de identidades para un proveedor de identidades específico. No se han creado cuentas de sombra en Cloud Directory en el ámbito especificado para este proveedor de identidades.
    Esta función está disponible para las aplicaciones de SAML y para los siguientes proveedores de identidad social:
    • Apple
    • Facebook
    • GitHub
    • Google
    • LinkedIn
    • SAML Enterprise
    • WeChat
    • X
    • Yahoo

    Esta opción también está disponible para los proveedores de identidad de OnPrem y LDAP. En el caso de las fuentes de identidad de OnPrem y LDAP, la cuenta de usuario debe existir en el proveedor de identidad vinculado principal para que las autenticaciones en tiempo de ejecución se realicen correctamente. Si no existe una cuenta de usuario coincidente en el proveedor de identidad principal vinculado, las autenticaciones fallan.

    Nota:
    1. No es posible habilitar la vinculación en el proveedor de identidad que está configurado como proveedor de identidad predeterminado.
    2. No puedes desactivar ni eliminar tu proveedor de identidad predeterminado para la vinculación.
    Identificador de usuario exclusivo
    Seleccione el atributo del menú que actúa como identificador de la cuenta enlazada.
    Suministro puntual
    Si no se encuentra la cuenta de usuario en el proveedor de identidad principal, esta opción crea una cuenta paralela en ese dominio principal. En el caso de los proveedores de identid OnPrem, LDAP, la cuenta de usuario se crea en el proveedor de identidades vinculado principal si dicha cuenta aún no existe. Los atributos de cuenta se actualizan en la cuenta enlazada primaria con los atributos que se recuperan del sistema de identidad local o externo.
    Identificador de usuario exclusivo

    Esta función está disponible para aplicaciones de SAML y fuentes de identidad de LDAP en las instalaciones.

    		 El atributo de usuario que actúa como identificador para la cuenta enlazada en Cloud Directory.
    Aprovisionamiento «justo a tiempo» para proveedores de identidad de OnPrem y LDAP. Esto se aplica únicamente a los proveedores de identificación de OnPrem y LDAP.

    Cuando se activa, los administradores pueden configurar la migración de registros de usuario de proveedores de identidad externos al dominio de Cloud Directory. Cuando se utiliza con password just-in-time provisioning, las contraseñas de los usuarios también se migran junto con los registros de los usuarios.

    Cuando está desactivada, los administradores detienen la migración de las contraseñas del proveedor de identidades al dominio de Cloud Directory y permiten a los usuarios autenticarse mediante Cloud Directory.
    Suministro puntual de contraseña

    Este botón de conmutador sólo está activo si el conmutador Suministro puntual ya está activado.

    Cuando se activa, los administradores habilitan una fase de migración en la que las cuentas y sus contraseñas del proveedor de identidad se migran al dominio de Cloud Directory. Los usuarios vinculados a un proveedor de identidades de OnPrem no pueden autenticarse en Cloud Directory durante esta fase.

    Cuando se desactiva, los administradores hacen una pausa en la migración de las contraseñas del proveedor de identidad al dominio de Cloud Directory y permiten a los usuarios autenticarse con Cloud Directory.

    Consideraciones al habilitar la opción de suministro puntual (identityLinkingJitPwdEnabled)

    Cuando esta opción está habilitada, la plataforma Verify intenta un suministro puntual "Just in time" (JITP) de los atributos de cuenta de los usuarios y sus contraseñas en el dominio del proveedor de identidad primario que está configurado para el arrendatario. Este suministro se produce después de que el proveedor de identidad local o externo valide correctamente el nombre de usuario y la contraseña. Cuando se intenta suministrar la contraseña, Verify asegura que la contraseña cumple los valores de política de contraseñas que están asociados con el proveedor de identidad primario. Si la contraseña validada por tu proveedor de identidades local no cumple con esta Verify política, el intento de autenticación fallará. Los atributos de cuenta y la contraseña no se suministran en el dominio del proveedor de identidad primario de Verify. El usuario recibe un mensaje de error que indica que el nombre de usuario o la contraseña no son válidos y para ponerse en contacto con el administrador del sistema.

    Para evitar esta situación, defina una política de contraseñas con un nivel de seguridad igual o inferior al de la política aceptada por el sistema de identidades local o externo. Asocie esta política con el proveedor de identidad primario que está configurado para el arrendatario de Verify. Normalmente, el dominio principal del proveedor de identidad es Verify Cloud Directory, que a menudo se configura con la política de contraseñas predeterminada.

    Dado que el suministro de la contraseña «justo a tiempo» se lleva a cabo en cada autenticación local que se realiza con éxito, la configuración del historial de contraseñas en el ámbito del proveedor de identidad principal podría provocar errores en la sincronización de los atributos de la cuenta y las contraseñas. Es posible que desee inhabilitar la aplicación del historial de contraseñas para evitar dichos errores.

    Cuando la opción de asignación de contraseñas «just-in-time» pasa de estar activada a desactivada, se considera que la fase de migración del directorio local al directorio en la nube ha finalizado. Los usuarios migrados pueden autenticarse con Cloud Directory utilizando su contraseña migrada. Quizá le convenga volver a activar la configuración de la política de contraseñas del Directorio en la nube que se modificó para adaptarse a la fase de migración.
    Habilitar suministro JIT

    Esta característica está disponible para aplicaciones SAML.

    		 Si la cuenta no se encuentra en el proveedor de identidad predeterminado, esta opción crea una cuenta de duplicación en dicho dominio predeterminado.
  3. Opcional: Gestión de políticas de contraseñas.
  4. Opcional: añadir un proveedor de identidades de SAML Enterprise.
  5. Opcional: añadir un proveedor de identidades de Cloud Extender de MaaS360.
  6. Opcional: configuración del proveedor de identidad « MaaS360 » y del identificador de usuario.
  7. Opcional: añadir un proveedor de identidad social.
  8. Opcional: Eliminar un proveedor de identidades.
    Nota: No es posible eliminar un directorio en la nube ni un proveedor de identidades de IBMid.
    1. Seleccione el proveedor de identidades y haga clic en «Eliminar» en el cuadro de diálogo «Editar proveedor de identidades ».
    2. Confirme que desea eliminar definitivamente el proveedor de identidad seleccionado.
      Nota:
      • No se puede eliminar un proveedor de identidad que se utilice como opción predeterminada para MaaS360. Debes seleccionar otro proveedor de MaaS360 identidad antes de eliminar el predeterminado actual.
      • No se puede eliminar un proveedor de identidad que esté asignado a una aplicación como opción de inicio de sesión. Para poder suprimirlo, primero debe eliminarlo como opción de la aplicación.