Gestión de proveedores de certificados

Editar en línea

La identidad basada en certificados permite acceder a información detallada y, al mismo tiempo, conecta a los proveedores de certificados externos con una capa de seguridad adicional, como un certificado digital conforme a la norma « X.509 ». Se autentica mediante el certificado digital cuando accede a IBM® Verify las aplicaciones conectadas. Los administradores pueden verificar las identidades utilizando esta firma digital con fines de autenticación y cumplimiento normativo. Además, los certificados pueden funcionar con tarjetas de acceso común (CAC) o de verificación de identidad personal (PIV).

Antes de empezar

  • Debe tener permiso administrativo para realizar esta tarea.
  • Inicie sesión en la IBM Verify consola de administración como administrador.
  • Para poder utilizar el proveedor de certificados, tu inquilino debe tener un nombre de host personalizado. Consulte «Cómo obtener un nombre de host personalizado ».
  • Debe proporcionar los certificados raíz e intermedios a través del servicio de asistencia:
    • Si su cuenta de inquilino ya está creada y cuenta con un nombre de host personalizado correctamente configurado, póngase IBM Verify en contacto con el equipo de asistencia de IBM abriendo un ticket, y se le indicará cómo proporcionar los certificados.
    • Debes guardar los certificados en formato codificado X.509 PEM.
    • Este es un ejemplo:
    # Trust chain intermediate certificate
-----BEGIN CERTIFICATE-----
MIIEaTCCA1GgAwIBAgILBAAAAAABRE7wQkcwDQYJKoZIhvcNAQELBQAwVzELMAkG
C33JiJ1Pi/D4nGyMVTXbv/Kz6vvjVudKRtkTIso21ZvBqOOWQ5PyDLzm+ebomchj
SHh/VzZpGhkdWtHUfcKc1H/hgBKueuqI6lfYygoKOhJJomIZeg0k9zfrtHOSewUj
...
dHBzOi8vd3d3Lmdsb2JhbHNpZ24uY29tL3JlcG9zaXRvcnkvMDMGA1UdHwQsMCow
KKAmoCSGImh0dHA6Ly9jcmwuZ2xvYmFsc2lnbi5uZXQvcm9vdC5jcmwwPQYIKwYB
K1pp74P1S8SqtCr4fKGxhZSM9AyHDPSsQPhZSZg=
-----END CERTIFICATE-----

# Trust chain root certificate
-----BEGIN CERTIFICATE-----
MIIDdTCCAl2gAwIBAgILBAAAAAABFUtaw5QwDQYJKoZIhvcNAQEFBQAwVzELMAkG
YWxTaWduIG52LXNhMRAwDgYDVQQLEwdSb290IENBMRswGQYDVQQDExJHbG9iYWxT
aWduIFJvb3QgQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDaDuaZ
...
jc6j40+Kfvvxi4Mla+pIH/EqsLmVEQS98GPR4mdmzxzdzxtIK+6NiY6arymAZavp
38NflNUVyRRBnMRddWQVDf9VMOyGj/8N7yy5Y0b2qvzfvGn9LhJIZJrglfCm7ymP
HMUfpIBvFSDJ3gyICh3WZlXi/EjJKSZp4A==
-----END CERTIFICATE-----
    Nota: Para obtener más información sobre el formato de codificación « PEM », consulte el RFC 1421.
  • Reciba la confirmación de que la cadena de certificados se ha configurado correctamente con el nombre de host personalizado en su inquilino. Una vez que recibas la confirmación, podrás utilizar el certificado de cliente emitido para la autenticación mediante SAML y OIDC, así como para tu Launchpad de usuario.
Nota: Para que funcione la autenticación mediante certificado de cliente, es necesario disponer de una distribución de CRL o un punto final OCSP de acceso público (guardado en el certificado de cliente).

Acerca de esta tarea

Verify permite acceder a diversas funciones que permiten realizar tareas complejas. Como los proveedores de servicios propios y otras interfaces de aplicaciones que se utilizan habitualmente para desarrollar proveedores de servicios personalizados. X.509 El certificado de firma digital ofrece numerosas ventajas. Dos aspectos importantes son certificate revocation lists y certification path validation algorithm llegar finalmente a un punto de referencia fiable.

Nota: Para obtener más información sobre los certificados de firma digital de « X.509 », consulte X.509 certificates. Para obtener más información, consulte el RFC 5280.

Procedimiento

  1. Selecciona «Autenticación» > «Proveedores de certificados»
  2. Selecciona «Añadir proveedor de certificados ».
  3. Indica los ajustes generales.
    1. Asigna un nombre fácilmente reconocible al proveedor de certificados y configura el proveedor de identidad.
    2. Seleccione un proveedor de identidad que se utilice para autenticar al usuario. Los proveedores de identidad más habituales son:
      • Cloud Directory
      • IBMid
      Nota: No se puede cambiar el proveedor de identidad una vez creado el proveedor de certificados.
    3. Marque la casilla JITP (aprovisionamiento justo a tiempo) para aprovisionar cuentas de usuario.
  4. Haga clic en Siguiente.
  5. Configurar las propiedades del usuario. Especifique los atributos de usuario que se envían desde el certificado para autenticar a los usuarios y crear perfiles de usuario.
    1. Opcional: Selecciona el atributo «Certificado ».
    2. Selecciona el atributo « IBM » ( Security Verify ). Esta selección se basa en atributos anteriores que han sido seleccionados o creados por el administrador.
      Nota:

      Puedes elegir una opción de entre los atributos disponibles. El valor predeterminado del atributo es

      None - Do not map

      None - Do not mapSi eliges esta opción, no podrás configurar:

      • Transformation value
      • Store attribute in user profile
    3. Selecciona un valor de transformación en el menú.
    4. Selecciona una opción en el menú «Atributos de la tienda» del perfil de usuario.
      • Siempre: Almacena o actualiza el atributo en cada inicio de sesión.
      • Sólo para la creación de usuarios: Almacena el atributo una vez en la creación de la cuenta.
      • Desactivado : nunca se almacena ni se actualiza el atributo.
      user attributesUna vez que hayas configurado el primero, haz clic en «Añadir asignación de atributos» para añadir más asignaciones.
    5. Selecciona «Identificador único de usuario ». Este identificador es el atributo del certificado que se utiliza para vincularlo a un usuario existente en el Verify proveedor de identidad.
    6. Calcule el valor del atributo creando una regla personalizada en la opción «Regla de solicitud ».
      Un ejemplo de regla:
      requestContext.subjectAlternativeNameEmail.size() != 0 ? requestContext.subjectAlternativeNameEmail[0].split('@')[0] : requestContext.subjectCN[0].split('.')[0]
      Pruebe la regla de solicitud para asegurarse de que funciona como se espera. Haz clic en «Ejecutar prueba» para ver el resultado. Es el valor de retorno basado en los datos de ejemplo.
  6. En el caso de la cadena de certificados, siga estos pasos para proporcionar el identificador de clave del sujeto de la autoridad de certificación intermedia o raíz emisora.
    1. Busca la Subject Key Identifier de la autoridad de certificación inmediata utilizando el siguiente comando de OpenSSL:
      openssl x509 -inform pem -in $input-filename -text -noout
    2. Haz clic en la sección titulada «Extensiones de X.509v3 » y selecciona «Identificador de clave de tema de X.509v3 ». Copia el valor indicado e introdúcelo en el cuadro.
      Nota: Este valor no se puede modificar una vez creado el proveedor de certificados.
  7. Pruebe la configuración. Seleccionar. Siguiente. La interfaz te ofrece un enlace de autenticación de inquilinos : URL. Debes copiar la dirección URL e intentar conectarte a tu IBM Verify.
    Nota: Debes habilitar el proveedor de certificados antes de utilizarlo en tu IBM Verify entidad.
  8. Haz clic en «Finalizar configuración ». Aparecerá un mensaje que te redirigirá a la configuración general para gestionar o actualizar cierta información relacionada con la configuración.
  9. Opcional: haz clic en «Proveedores de certificados » para ver la lista de los proveedores de certificados que has creado.
    1. Puede hacer clic en «Lista de opciones» para enable seleccionar o eliminar el proveedor de certificados que desee utilizar.

Resolución de problemas

Si la configuración no funciona, puede deberse a las siguientes razones:

Si se han completado todos los pasos para la incorporación de un proveedor de certificados X.509 y no ves la solicitud de certificado al probar el URL en la página de configuración de pruebas:

  • Asegúrate de que se está utilizando un nombre de host ficticio.
  • Asegúrese de que la cadena de certificados se facilite a IBM Verify a través del canal de asistencia.

Si se han completado todos los pasos para la incorporación de un proveedor de certificados X.509 y no aparece la solicitud de certificado al acceder a la dirección de prueba URL en la página de configuración de pruebas, pero la autenticación no funciona:

  • Asegúrate de que el proveedor de certificados esté habilitado.
  • Si la función JITP está habilitada, asegúrese de que el usuario se haya creado en el proveedor de identidades especificado.
  • Si el JITP está desactivado, asegúrese de que el usuario figure en el proveedor de identidades especificado.

Si uniqueUserIdentifier se modifica el atributo después de la incorporación del proveedor de certificados « X.509 », dicho cambio solo se aplicará a las nuevas autenticaciones y a los usuarios que se autentiquen con un certificado por primera vez.

Si la función JITP está activada, esto se aplica a los usuarios que se crean por primera vez en ese proveedor de identidades concreto.

De forma predeterminada, el proveedor de certificados « X.509 » está desactivado; los administradores deben activarlo antes de probar la configuración.