Gestión de proveedores de certificados

Editar en línea

La identidad basada en certificados proporciona acceso a información precisa mientras conecta proveedores de certificados externos con una capa de seguridad adicional como, por ejemplo, un certificado digital compatible con X.509 . Se autentica utilizando el certificado digital con IBM® Verify cuando accede a las aplicaciones conectadas. Los administradores pueden verificar las identidades utilizando esta firma digital para fines de autenticación y conformidad. Además, los certificados pueden funcionar con una tarjeta de acceso común (CAC) o de verificación de identidad personal (PIV).

Antes de empezar

  • Debe tener permiso administrativo para realizar esta tarea.
  • Inicie sesión en la consola de administración de IBM Verify como administrador.
  • Para poder utilizar el proveedor de certificados, el arrendatario debe tener un nombre de host personalizado. Consulte Obtener un nombre de host personalizado.
  • Debe proporcionar los certificados raíz y los certificados intermedios a través de la ruta de soporte:
    • Si su inquilino está creado y tiene un nombre de host personalizado correctamente configurado, póngase IBM Verify en contacto con abriendo un ticket a través del IBM equipo de soporte, y se le notificará cómo proporcionar los certificados.
    • Debe mantener los certificados en formato codificado X.509 PEM.
    • Este es un ejemplo:
    # Trust chain intermediate certificate
-----BEGIN CERTIFICATE-----
MIIEaTCCA1GgAwIBAgILBAAAAAABRE7wQkcwDQYJKoZIhvcNAQELBQAwVzELMAkG
C33JiJ1Pi/D4nGyMVTXbv/Kz6vvjVudKRtkTIso21ZvBqOOWQ5PyDLzm+ebomchj
SHh/VzZpGhkdWtHUfcKc1H/hgBKueuqI6lfYygoKOhJJomIZeg0k9zfrtHOSewUj
...
dHBzOi8vd3d3Lmdsb2JhbHNpZ24uY29tL3JlcG9zaXRvcnkvMDMGA1UdHwQsMCow
KKAmoCSGImh0dHA6Ly9jcmwuZ2xvYmFsc2lnbi5uZXQvcm9vdC5jcmwwPQYIKwYB
K1pp74P1S8SqtCr4fKGxhZSM9AyHDPSsQPhZSZg=
-----END CERTIFICATE-----

# Trust chain root certificate
-----BEGIN CERTIFICATE-----
MIIDdTCCAl2gAwIBAgILBAAAAAABFUtaw5QwDQYJKoZIhvcNAQEFBQAwVzELMAkG
YWxTaWduIG52LXNhMRAwDgYDVQQLEwdSb290IENBMRswGQYDVQQDExJHbG9iYWxT
aWduIFJvb3QgQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDaDuaZ
...
jc6j40+Kfvvxi4Mla+pIH/EqsLmVEQS98GPR4mdmzxzdzxtIK+6NiY6arymAZavp
38NflNUVyRRBnMRddWQVDf9VMOyGj/8N7yy5Y0b2qvzfvGn9LhJIZJrglfCm7ymP
HMUfpIBvFSDJ3gyICh3WZlXi/EjJKSZp4A==
-----END CERTIFICATE-----
    Nota: Para obtener más información sobre el formato codificado PEM, consulte RFC 1421.
  • Reciba la confirmación de que la cadena de certificados se ha configurado correctamente con el nombre de host personalizado en el arrendatario. Después de recibir la confirmación, puede utilizar el certificado de cliente emitido para la autenticación SAML y OIDC, así como el launchpad de usuario.
Nota: Es necesaria una distribución de CRL o un punto final OCSP de acceso público (guardado en el certificado de cliente) para que la autenticación de certificado de cliente funcione.

Acerca de esta tarea

Verify da soporte al acceso a varias prestaciones que realizan tareas complejas. Por ejemplo, proveedores de servicios base propios y otras interfaces de aplicación que se utilizan habitualmente para desarrollar proveedores de servicios personalizados. El certificado de firma digital X.509 proporciona muchas ventajas. Dos importantes son certificate revocation lists y certification path validation algorithm que finalmente alcancen un ancla de confianza.

Nota: Para obtener más información sobre certificados X.509 de firma digital, consulte X.509 certificados. Para una revisión más detallada, consulte RFC 5280.

Procedimiento

  1. Seleccione Autenticación > Proveedores de certificados.
  2. Seleccione Añadir proveedor de certificados.
  3. Proporcione los Valores generales.
    1. Proporcione un nombre fácilmente reconocible al proveedor de certificados y establezca el proveedor de identidades.
    2. Seleccione un proveedor de identidad que se utilice para autenticar el usuario. Los proveedores de identidad utilizados habitualmente son:
      • Cloud Directory
      • IBMid
      Nota: No puede cambiar el proveedor de identidades después de crear el proveedor de certificados.
    3. Seleccione el recuadro de selección JITP (suministro puntual) para suministrar cuentas de usuario.
  4. Haga clic en Siguiente.
  5. Configure Propiedades de usuario. Especifique los atributos de usuario que se envían desde el certificado para autenticar usuarios y crear perfiles de usuario.
    1. Opcional: Seleccionar atributo del certificado.
      Nota: El usuario puede añadir varias filas.
    2. Seleccione el atributo IBM Security Verify. Esta selección se basa en atributos anteriores seleccionados o creados por el administrador.
      Nota:

      Puede elegir una opción entre los atributos existentes. De forma predeterminada, el atributo es

      None - Do not map

      Si elige None - Do not map, no podrá configurar:

      • Transformation value
      • Store attribute in user profile
    3. Seleccione un Valor de transformación en el menú.
    4. Seleccione una opción en el menú Almacenar atributo en perfil de usuario .
      • Siempre: Almacena o actualiza el atributo en cada inicio de sesión.
      • Sólo para la creación de usuarios: Almacena el atributo una vez en la creación de la cuenta.
      • Inhabilitado -No almacenar ni actualizar nunca el atributo.
      Después de configurar el primer user attributes, pulse Añadir correlación de atributos para añadir más correlaciones.
      Nota: Puede añadir tantas correlaciones de atributos como prefiera.
    5. Seleccione Identificador de usuario exclusivo. Este identificador es el atributo de certificado que se utiliza para enlazar con un usuario existente en el proveedor de identidad de Verify .
    6. Calcular el valor de atributo creando una regla personalizada en la opción Regla de solicitud .
      Un ejemplo de una regla de ejemplo:
      requestContext.subjectAlternativeNameEmail.size() != 0 ? requestContext.subjectAlternativeNameEmail[0].split('@')[0] : requestContext.subjectCN[0].split('.')[0]
      Pruebe la regla de solicitud para asegurarse de que funciona como se espera. Pulse Ejecutar prueba para obtener el resultado. Es el valor de retorno basado en las entradas de ejemplo.
  6. Para la Cadena de certificados, siga estos pasos para proporcionar el identificador de clave de asunto de la entidad emisora de certificados intermedia o raíz.
    1. Busque el Subject Key Identifier de la entidad emisora de certificados inmediata utilizando el siguiente mandato Openssl:
      openssl x509 -inform pem -in $input-filename -text -noout
    2. Pulse la sección con la etiqueta "X.509v3 extensions" y seleccione "X.509v3 Identificador de clave de asunto". Copie y proporcione el valor especificado en el recuadro.
      Nota: Este valor no se puede cambiar después de crear el proveedor de certificados.
  7. Pruebe la configuración. Seleccione. Siguiente. La interfaz le proporciona una URL autenticación de Tenant. Debe copiar la URL e intentar conectarse a su IBM Verify.
    Nota: Debe habilitar el proveedor de certificados antes de utilizarlo en el arrendatario de IBM Verify .
  8. Pulse Completar configuración. Una solicitud le redirige a los valores globales para gestionar o actualizar alguna información relacionada con la configuración.
  9. Opcional: Haga clic en Proveedores de certificados para ver la lista de los proveedores de certificados que ha creado.
    1. Puede pulsar Lista de opciones para enable o suprimir el proveedor de certificados que desea utilizar.

Resolución de problemas

Si la configuración no funciona, puede ser por las razones siguientes:

Si se han completado todos los pasos para dar de alta un proveedor de certificados X.509 y no puede ver el aviso de certificado al probar URL en la página de configuración de prueba:

  • Asegúrese de que se está utilizando un nombre de host personalizado.
  • Asegúrese de que la cadena de certificados se proporciona a IBM Verify a través de la ruta de soporte.

Si se han completado todos los pasos para dar de alta un proveedor de certificados X.509, y no puede ver el indicador del certificado cuando accede a la URL prueba en la página de configuración de prueba, pero la autenticación no funciona:

  • Asegúrese de que el proveedor de certificados esté habilitado.
  • Si JITP está habilitado, asegúrese de que el usuario se crea en el proveedor de identidad especificado.
  • Si JITP está inhabilitado, asegúrese de que el usuario existe en el proveedor de identidad especificado.

Si el atributo uniqueUserIdentifier se cambia después del proveedor de certificados X.509 incorporado, sólo es aplicable a las nuevas autenticaciones y a los usuarios que se autentican con un certificado por primera vez.

Si JITP está habilitado, para los usuarios creados en el proveedor de identidad específico por primera vez.

De forma predeterminada, un proveedor de certificados X.509 está inhabilitado, los administradores deben habilitarlo antes de intentar la configuración de prueba.