Configuración de un proveedor de identidad OIDC Enterprise

Editar en línea

Puede utilizar cualquier proveedor de identidad que admita el protocolo OIDC como proveedor de identidad de OIDC Enterprise. El proveedor de identidades autentica la identidad de usuario frente a los datos de este proveedor de identidades antes de otorgar acceso a IBM® Verify.

Procedimiento

  1. Selecciona «Autenticación » > «Proveedores de identidad ».
  2. Selecciona OIDC Enterprise.
  3. En la página «General», introduce la siguiente información.
    Nombre
    Indica un nombre identificativo para tu proveedor de identidad.
    Dominio y emisor
    Facilita el certificado de autenticación ( URL ) al proveedor de identidad. Por ejemplo,
    https://accounts.OIDC-IDP.com
    Es el dominio que se utiliza para el directorio en la nube y, si no se proporciona un punto final conocido, también actúa como emisor en el flujo OIDC.
    ID
    El ID se crea después de guardar la configuración.
    Habilitado
    Marca esta casilla para utilizar este proveedor de identidad para iniciar sesión.
  4. Selecciona «Siguiente ».
  5. urlEn la Para identificarse página del proveedor, copia el enlace de redireccionamiento.
    Debes facilitar esta información url al proveedor de identidad cuando registres tu aplicación para el inicio de sesión único.
  6. Selecciona «Siguiente ».
  7. En la página «Proveedor de identidades de origen», introduzca la siguiente información.
    1. Opcional: Indica un nombre descriptivo que se utilizará en lugar del ID del proveedor de identidad que aparece en la página Verify de inicio de sesión URL.
    2. Introduce el ID de cliente y el secreto de cliente que recibiste al registrar tu aplicación en el proveedor de identidad.
    3. Opcional: añade o elimina ámbitos para controlar cómo se utiliza la aplicación.
      Nota: Selecciona Enter para Windows™ o Return para Mac OS después de añadir cada ámbito a tu consola de administración.
    4. Facilita la endpoints información que recibiste al registrar tu solicitud.
      Punto final conocido
      Utilice este atributo para configurar el cliente OIDC con el documento de descubrimiento. Por ejemplo, https://myco.com.

      Si no utiliza el conocido endpoint, deberá facilitar la siguiente información.

      • Punto final de autorización
      • Punto final de señal
      • Punto final de información del usuario
    5. Opcional: si tu proveedor de identidad lo admite, puedes habilitar la compatibilidad con PKCE e indicar el URI de JWKS.
      Añada un URI JWKS si no se proporciona uno con la configuración conocida del proveedor de identidades.
    6. Seleccione el método de autenticación.
      • Secreto de cliente básico
      • POST de secreto de cliente
      • Secreto de cliente JWT: también debes seleccionar el algoritmo de firma para el cifrado.
      • Clave privada JWT: también debes seleccionar el algoritmo de firma para el cifrado y elegir el certificado de firma.
    7. Opcional: si están disponibles, puedes enviar los parámetros de login hint, prompt, y max age al proveedor de identidad durante un flujo de inicio de sesión único.
  8. Selecciona «Siguiente ».
  9. Opcional: Seleccione el aprovisionamiento justo a tiempo.
    Esta opción crea y actualiza la cuenta de usuario en el dominio del proveedor de identidad principal asociado a la identidad SAML.
  10. Opcional: especifica un atributo que identifique a los usuarios del registro de usuarios del proveedor de identidad en el menú «Identificador único de usuario ».
    Si selecciona «Habilitar vinculación de identidades» para este proveedor de identidades, deberá introducir el UUID.
  11. Opcional: Selecciona un valor de transformación para transformar el valor del identificador único de usuario o deja el valor predeterminado en «Ninguno ».
  12. Opcional: Selecciona «Habilitar vinculación de identidades» para este proveedor de identidades.
    1. Selecciona el identificador único que desees utilizar para las cuentas en el enlace «Identificador único de usuario ».
      Nota: El UUID puede ser cualquier elemento del objeto de reclamaciones OIDC que identifique de forma única al usuario.
    2. Configure el UUID introduciendo el valor en el campo «ID externo ».
      El valor predeterminado es «sub ».
    3. Seleccione un valor de transformación para transformar el valor del atributo «ID externo» o deje el valor predeterminado «Ninguno ».
  13. Selecciona «Siguiente ».
  14. Opcional: En la página «Asignación de atributos », asigne más atributos del proveedor OIDC a Verify los atributos.
    1. Selecciona «Añadir asignación de atributos ».
    2. Seleccione un atributo de OIDC en el menú.
      Si el proveedor de OIDC admite otros atributos OIDC no estándar, puede introducir el valor en el campo «Seleccionar un atributo ».
    3. Selecciona un Verify atributo del menú.
    4. Seleccione cómo se utiliza el atributo.
    5. Repita el proceso para cada atributo que desee correlacionar.
  15. Opcional: Seleccione una de las siguientes fuentes de pertenencia a grupos para especificar la fuente de los grupos de permisos de acceso de los usuarios.
    • Cloud Directory: Los permisos de acceso de usuario se derivan de los grupos de usuarios en Cloud Directory.
    • Directorio en la nube y fuente de identidad : los permisos de acceso de los usuarios se derivan de los grupos de usuarios del directorio en la nube y del token del proveedor de identidad, que incluye groupIds una reclamación.
    • Fuente de identidad : los permisos de acceso del usuario se derivan del token del proveedor de identidad, que incluye la groupIds afirmación.
      Nota: Si el token del proveedor de identidad no contiene la groupIds reivindicación, no obtendrás ningún permiso de pertenencia a grupos.
    • Regla personalizada. Si selecciona «Regla personalizada », introduzca una regla personalizada en el editor de reglas y, a continuación, haga clic en «Aceptar» para guardarla. Los permisos de acceso de usuario se derivan en función de la regla personalizada.
  16. Selecciona «Siguiente ».
  17. Opcional: Si ha habilitado la versión preliminar pública de « CI-108233 », seleccione si desea habilitar las invitaciones de usuarios.
    Las invitaciones se crean y envían mediante POST /v1.0/usc/user/invitation API. Consulte «Invitar a usuarios ». Marca la casilla «Habilitar invitaciones de usuarios » para invitar a otras personas a registrarse como nuevos usuarios. También puedes seleccionar un perfil de usuario para que el usuario introduzca más datos al aceptar la invitación. Consulte «Gestión de perfiles de usuario ».
  18. Haga clic en Terminado.
  19. Opcional: Edita el proveedor de identidad OIDC.
    1. Selecciona «Autenticación » > «Proveedores de identidad ».
    2. Selecciona el proveedor de identidades de la lista de fuentes.
    3. Efectúe los cambios.
      No se puede cambiar el ID o el URL de redirección.
    4. Selecciona «Guardar cambios ».
  20. Opcional: Elimina el proveedor de identidades OIDC.
    1. Selecciona «Autenticación » > «Proveedores de identidad ».
    2. Selecciona el proveedor de identidades de la lista de fuentes.
    3. Selecciona el icono de Eliminar.
    4. Selecciona «Eliminar» para confirmar que deseas eliminar el proveedor de identidades.