Configuración de un agente de identidad para la autenticación utilizando un servicio web

Editar en línea

Acerca de esta tarea

Una configuración de proveedor de identidad no estándar que recupera atributos de usuario y grupos de un servicio web que accede a un origen de datos no estándar (no ldap o no ad).

Procedimiento

  1. Seleccione Integraciones > Agentes de identidad.
  2. Seleccione Crear configuración de agente.
  3. Seleccione Autenticación como finalidad.
  4. Seleccione el mosaico Servicio web .
  5. Seleccione Siguiente.
  6. Configure los valores de conexión de servicio web. Especifique el URI de servicio web local.
    Para una configuración de migración tras error de servicio web de clúster, se pueden añadir varios URI de servicio web seleccionando ADD URI +.
  7. Seleccione el tipo de autenticación.
    El tipo de autenticación es el método que utiliza el agente para autenticarse a sí mismo con el servicio web local.
    • OAUTH
      URL de punto de punto de señal
      Especifique el punto final de señal del proveedor OAuth. El agente utiliza este punto final de señal para recuperar una señal de acceso que se envía al servicio web.
      Método de autenticación de punto final de señal
      Especifique el método de autenticación de punto final de señal:
      • El agente posterior al secreto de cliente envía las credenciales de cliente al punto final de señal en una solicitud POST.
      • Secreto de cliente básico-El agente envía las credenciales de cliente codificadas base64 al punto final de señal en una cabecera de solicitud authorization .
      ID de cliente y Secreto de cliente
      Especifique las credenciales de cliente utilizadas para la autenticación con el proveedor OAuth. También puede proporcionar una entidad emisora de certificados.
      Si está editando un cliente existente del Agente de Identidad, puede utilizar las siguientes opciones de secreto de cliente:
      • Seleccione Mostrar para ver el secreto de cliente.
      • Seleccione Ocultar para ocultar el secreto de cliente.
      • Seleccione Copiar para copiar el ID del cliente o el secreto al portapapeles.
      • Seleccione Lista para ver los secretos de cliente rotados.
        • Seleccione uno o más secretos de cliente rotados de la lista y haga clic en Eliminar para borrarlos.
      • Seleccione Volver a generar para generar un nuevo secreto de cliente. Utilice esta opción si piensa que el secreto de cliente está comprometido. Si vuelve a generar el secreto de cliente, debe actualizar el secreto de cliente en todos los clientes OAuth de la aplicación.
        • Seleccione la casilla de verificación Conservar secreto actual para añadir el secreto de cliente actual a la lista de secretos de cliente rotados.
        • Si la casilla Conservar secreto actual está seleccionada, elija la descripción del secreto del cliente y la hora de caducidad (en la hora local del navegador). Si no se selecciona ningún tiempo de expiración, se aplicará el tiempo de vida del secreto rotado del inquilino establecido en la configuración de la aplicación.
        • Los secretos de cliente rotados se codifican con hash y ya no pueden recuperarse en texto plano, pero pueden seguir utilizándose hasta la fecha de caducidad seleccionada.
        • Tras la confirmación, el secreto del cliente se rota inmediatamente. El nuevo secreto de cliente se muestra en la pantalla.
      Entidad emisora de certificados de clave privada (opcional)
      Especifique la cadena de certificados de CA para habilitar el agente local para validar la conexión TLS (Transport Layer Security) del servicio de autenticación externo.
      Titularidades de ámbito (opcional)
      Especifique una o más titularidades de ámbito para la señal de acceso.
      Nombre de certificado de clave privada (opcional)
      Si desea realizar la autenticación de certificación MTLS (Mutual TLS) con la conexión de agente, proporcione el nombre de certificado de clave privada.
    • Señal web JSON (JWT)
      Cabecera HTTP
      Introduzca la cabecera HTTP en la que aparece el JWT. Por ejemplo, authorization.
      Prefijo de valor de cabecera JWT (opcional)
      Introduzca el valor del prefijo que aparece antes del JWT en la cabecera HTTP. Por ejemplo, Bearer .
      Nota: No se inserta automáticamente un espacio entre el prefijo y el JWT y, por lo tanto, se debe especificar manualmente a continuación del prefijo especificado.
      Reclamación sub
      Especifique la subreclamación que aparece en el JWT.
      Algoritmo de firma
      Seleccione el algoritmo de firma que el agente utiliza para firmar el JWT.

      Para algoritmos de firma simétrica (HSXXX), especifique el valor de clave secreta que es clave de firma simétrica. La clave de firma especificada debe estar codificada en base64 .

      Para algoritmos de firma asimétricos (ESXXX, PSXXX o RSXXX), especifique el nombre de certificado personal que es la etiqueta de la clave privada que se utiliza para firmar el JWT. En sistemas Windows, esta etiqueta corresponde al valor Subject del certificado de clave privada dentro del almacén de claves de Windows. En sistemas Linux® , este valor corresponde a la parte label de la vía de acceso /cert/{label}_cert[_{instance}].pem.

      Duración máxima válida o JWT
      Especifique el valor de tiempo en segundos que el JWT es válido.
      Entidad emisora de certificados (opcional)
      Especifique la cadena de certificados de CA para habilitar el agente local para validar la conexión TLS del servicio de autenticación externo.
    • Autenticación básica
      Nombre de usuario y contraseña
      El nombre de usuario y la contraseña que se utilizan para autenticar el agente con el servicio web. Se envían al servicio web en una cabecera denominada authorization en el formato Basic username:password donde username:password está codificado en base64 .
      Entidad emisora de certificados (opcional)
      Especifique la cadena de certificados de CA para habilitar el agente local para validar la conexión TLS del servicio de autenticación externo.
      Nombre de certificado de clave privada (opcional)
      Si desea realizar la autenticación de certificación MTLS con la conexión de agente, proporcione el nombre de certificado de clave privada.
    • Autenticación de certificados (MTLS)
      Entidad emisora de certificados (opcional)
      Especifique la cadena de certificados de CA. Esta cadena de certificados la utiliza el agente local para validar el certificado TLS presentado por un servicio web que utiliza TLS. Esta cadena de certificados también es utilizada por el agente cuando valida el certificado TLS que es presentado por la URL del token endpoint del servidor OAuth.
      Certificado de clave privada
      Especifique el nombre del certificado de clave privada que el agente utiliza durante MTLS. Para tipos de autenticación distintos de MTLS, el establecimiento de este valor hace que el agente intente realizar MTLS además del tipo de autenticación ya especificado.

      En los sistemas Windows™, el puente busca el Subject: valor en el almacén de claves de Windows. En sistemas Linux , el puente busca en la vía de acceso /cert/{label}_cert[_{instance}].pem donde la etiqueta es el valor que se especifica aquí.

  8. Haga clic en Siguiente.
  9. Establezca las propiedades de usuario.
    Proporcione una lista de atributos separados por comas que el servicio web devuelve para una operación de verificación de contraseña correcta.
  10. Haga clic en Siguiente.
  11. Correlacionar los atributos recuperados por el servicio web con los atributos de Verify Cloud Directory.
    Después de crear el agente de identidad, puede cambiar o actualizar las asignaciones utilizando la función de edición icono de lápiz en el mosaico del agente.
  12. Seleccione Siguiente.
  13. En Finalizar configuración, proporcione la siguiente información.
    • Un nombre exclusivo y reconocible para el agente
    • Descripción
    • Un nombre de visualización para el proveedor de identidad
    • Un dominio para el proveedor de identidad
  14. Opcional: Seleccione Ver configuración avanzada para añadir atributos de configuración o seleccionar un certificado para el cifrado.
  15. Pulse Guardar y continuar.
  16. En Pasos siguientes , realice los pasos siguientes.
    1. Seleccione Ver credenciales de API y utilice el icono Copiar en portapapeles para copiar y almacenar el ID de cliente y el secreto de cliente.
      Nota: Sólo los usuarios con los derechos adecuados pueden ver el secreto del cliente. Para obtener más información, consulte Actualizaciones de seguridad para derechos.
    2. Si todavía no se ha descargado, descargue el agente desde IBM® X-Force ® App Exchange.
    3. Añada las credenciales de la API a la configuración del agente.
  17. Pulse Finalizar.
    La configuración se añade a los agentes de identidad y el proveedor de identidad aparece en Autenticación > Proveedores de identidad.