Obtención de un nombre de host de Vanity

Editar en línea

Si deseas ofrecer una experiencia personalizada cuando los usuarios interactúen con los flujos relacionados con la identidad de tu organización, puedes adquirir un nombre de host personalizado para tu IBM® Verifyinquilino. Puedes personalizar el inicio de sesión, el registro, la gestión del perfil y mucho más.

Antes de empezar

Nota: Ponte en contacto con tu representante comercial para adquirir tu nombre de dominio personalizado. Debes adquirir el nombre de host ficticio antes de poder configurarlo.

Para configurar un nombre de host personalizado, tanto usted como IBM deben seguir varios pasos de configuración. Para iniciar el proceso, debe rellenar el IBM formulario de solicitud de certificados para nombres de host personalizados que le facilitará la oficina del proyecto « IBM ».

Comprueba también los siguientes puntos.

  • Comprenda la sintaxis y las opciones del nombre de host Vanity y elija la mejor opción para su organización en función de las prácticas de certificación de esta.
  • Comprende los requisitos previos.
  • Póngase en contacto con su representante de IBM® para adquirir un dominio de subred y un nombre de host para el servidor web.
  • Asegúrate de poder ponerte en contacto con los administradores del DNS y del sitio web de tu organización para la validación del dominio.
  • El cliente debe ser el propietario del dominio del nombre de host personalizado. Si el nombre de host de la subred es sso.acme.com, tu organización debe ser la propietaria del dominio acme.com.
  • El nombre de host ficticio debe ser único y no debe existir ya. Se aplica al inquilino y debe utilizarse exclusivamente para IBM Verify ese fin.

Acerca de esta tarea

Un nombre de host personalizado es un nombre de host que se puede configurar a medida para su IBM Verify entidad. El nombre de host predeterminado del inquilino es IBM. Con un nombre de host personalizado, el cliente puede personalizar el nombre de host de tal forma que IBM no aparezca en URL. Por ejemplo, el nombre de host de tu tenant de Verify podría ser acme.verify.ibm.com, pero quizá prefieras que los usuarios vean en su lugar un nombre de host personalizado como login.acme.com.

Sintaxis del nombre de host de Vanity
Cuando tu organización recibe por primera vez un IBM Verify tenant, la URL del tenant URL sigue la siguiente sintaxis. <tenant identifier>.<domain> Donde
  • <tenant identifier> es el identificador del inquilino facilitado. <acme>Un ejemplo podría ser...
  • <domain> El valor predeterminado es <verify.ibm.com>, pero se puede personalizar para utilizar un nombre de host personalizado.
  • El nombre de host completo en este ejemplo es acme.verify.ibm.com, que es el URL que ven los usuarios al iniciar sesión, junto con otras funciones de gestión de identidades habilitadas por IBM Verify.
Cada nombre de host ficticio requiere un certificado para permitir la negociación SSL entre el usuario y Verify.
  • Los certificados deben estar firmados por una autoridad de certificación «de confianza». No deben ser certificados autofirmados.
  • En la siguiente sección se describe el proceso de obtención del certificado para un nombre de host personalizado.
  • Una vez que se ha proporcionado el certificado, IBM lleva a cabo unos pasos adicionales para configurar completamente un nombre de host personalizado. Esos trámites adicionales tardan aproximadamente cinco días laborables en completarse.
Opciones de configuración de certificados
Cada certificado debe tener un «nombre común» (CN). También puede tener «nombres alternativos del sujeto» (SAN). El certificado cubre todos los nombres de host que figuran como CN o SAN.
Nota: Los comodines, por ejemplo, *.sso.acme.com no son compatibles ni con el nombre común (CN) ni con el nombre alternativo (SAN).
Si al rellenar el formulario del certificado solo indicas un «nombre común», se necesitará un certificado específico para cada nombre de host personalizado.
Si tres clientes de Verify necesitan un nombre de host personalizado y solo se proporciona el «nombre común», la organización deberá pagar por cada nombre de host personalizado, ya que cada uno de ellos cuenta con su propio certificado. En este ejemplo, hay que adquirir tres nombres de dominio personalizados.
CN = sso.acme.com

CN = sso-qa.acme.com

CN = sso-dev.acme.com
Nota: Cuando un usuario se autentica a Verify través de uno de esos nombres de host personalizados, como sso.acme.com, solo ve el nombre de host personalizado que se está utilizando. El usuario no ve sso-qa.acme.com y sso-dev.acme.com , que también son nombres de dominio personalizados válidos. Los posibles atacantes no pueden descubrir fácilmente todos los nombres de host personalizados. Solo pueden ver el que están utilizando.

Si, al rellenar el formulario del certificado, se proporcionan «nombres SAN» además del «nombre común», cada nombre SAN se incluye en el mismo certificado que el «nombre común».

Si tres clientes de Verify necesitan un nombre de host personalizado en el que se indique el «nombre común» junto con dos nombres SAN, la organización solo pagará por un nombre de host personalizado. En este ejemplo, hay que adquirir un nombre de host personalizado.
CN = sso.acme.com
  SAN = sso-qa.acme.com
  SAN = sso-dev.acme.com
Nota: Cuando un usuario se autentica a Verify través de uno de esos nombres de host personalizados, como sso.acme.com, también puede ver los demás nombres de host personalizados que están cubiertos por el certificado. En este caso, sso-qa.acme.com y sso-dev.acme.com. Por desgracia, los posibles atacantes pueden aprovechar esta información. Esto les facilita la tarea de descubrir todos los nombres de host personalizados válidos.
Si desea pasar de «SAN» a «CN», debe reiniciar el proceso y ajustarse a la estructura de precios de «CN».
Opciones de emisión de certificados
Una vez seleccionada una opción de nombre de host personalizado, las organizaciones deben elegir entre « IBM provisioned» o «Certificado de terceros» para validar o generar el certificado.
IBM aprovisionado
IBM puede solicitar certificados en nombre de la organización. IBM utiliza DigiCert como proveedor de certificados y DigiCert firma los certificados.

El tipo de validación del certificado es OV (validación de organización) y el cliente debe pasar por el proceso de validación de DigiCert para obtener el certificado. En su calidad de autoridad de certificación, Digicert debe verificar de forma independiente que el titular correspondiente del dominio solicitado haya autorizado el certificado. Este proceso de validación de DigiCert es independiente y no forma parte de IBM Verify las interacciones.

El proceso incluye la verificación de la dirección de la empresa y la verificación del administrador del dominio. La interacción con DigiCert se produce directamente entre DigiCert y el cliente.

Si seleccionas la opción « IBM », el proceso es el siguiente.
  1. Informa al administrador de tu dominio, que figura en whois.com DigiCert, de que vas a enviar una solicitud de validación de dominio.
  2. Envíe la validación a DigiCert lo antes posible.
  3. DigiCert A continuación, intenta ponerse en contacto con la persona de contacto administrativo indicada en el IBM formulario de solicitud de certificados de nombre de host personalizado utilizando un número de teléfono validado que pertenezca a su organización. La validación se realiza durante una llamada telefónica en directo.
    Nota: Dependiendo de la capacidad de DigiCert para encontrar los contactos adecuados dentro de la organización, es posible que sea necesario realizar varios intentos.
certificado de terceros
Con un certificado de terceros, las organizaciones pueden utilizar la autoridad de certificación que prefieran una vez que IBM haya generado una solicitud de firma de certificado (CSR).
Los siguientes pasos muestran el flujo del proceso.
  1. IBM Genera el CSR.
  2. IBM envía este certificado de seguridad a tu organización.
  3. Tu organización envía este certificado de firma digital a tu propia autoridad de certificación. Su organización puede elegir el tipo de validación que desee.
  4. Tu CA devuelve el certificado firmado a tu organización.
  5. Su organización envía el certificado (certificado de nivel inferior + cadena de confianza: certificado intermedio y certificado raíz) a IBM

Procedimiento

  1. Descarga y rellena el formulario de solicitud del certificado « IBM Verify ».
    Asegúrate de rellenar todos los campos obligatorios.
  2. Crear un ticket de asistencia
    Ve a «Cómo abrir un caso» y abre un caso con el asunto «Solicitud de nombre de host personalizado para el nombre del cliente » y adjunta el formulario de nombre de host personalizado al ticket.
  3. Crea un registro DNS CNAME que dirija tu nombre de host personalizado al inquilino correspondiente IBM Verify .
    Solo tu organización puede crear el registro DNS CNAME. Por ejemplo, sso.clienthostname.com CNAME <tenant>.verify.ibm.com.
  4. Una vez que el registro DNS CNAME esté correctamente configurado, avisa a IBM a través del ticket de asistencia creado anteriormente.
    El nombre de host ficticio aún no está disponible. IBM aún quedan más procesos por completar.
  5. IBM completa el resto de la configuración.
    Una vez completado este paso, IBM notificará a tu organización y el nombre de host personalizado estará listo para su uso.