Configuración de valores globales

Editar en línea

Utilice estos valores para determinar cómo el arrendatario autentica a los usuarios.

Procedimiento

  1. Seleccione Autenticación > Proveedores de identidad > Configuración global.
  2. Seleccione el proveedor de identidad primario en el menú que utiliza el arrendatario para autenticar a los usuarios cuando inician la sesión.
    Normalmente, el proveedor de identidad primario para el arrendatario es IBM® Verify Cloud Directory.
  3. Opcional: En Configuración del proveedor de servicios ( SAML2.0 ), actualice las configuraciones de federación del proveedor de servicios ( SAML2.0 ).
    1. Proporcione el ID de entidad.
      Normalmente, este ID se genera como https://Tenant-Name/saml/sps/saml20sp/saml20. Puede modificarlo para reflejar un nombre de host y un dominio personalizados.
      Nota: Si se modifica el ID de entidad, deberá actualizar la configuración del socio con el último valor de ID de entidad para las fuentes de identidad existentes SAML 2.0.
    2. Proporcione un tiempo válido de mensaje en segundos.
      Es la tolerancia en segundos cuando se IssueInstant valida el mensaje recibido SAML.
    3. Opcional: Si desea habilitar la comprobación de la Lista de Certificados Revocados (CRL), marque la casilla «CRL habilitada ».

      Cuando CRL está habilitado, comprueba la lista de revocación de certificados. Se comprueban todas las funciones criptográficas de los proveedores de identidad de SAML Enterprise que utilizan un certificado externo.

      Si tu configuración no requiere la comprobación de la lista CRL, puedes dejarla desactivada, que es la configuración predeterminada. Algunas razones por las que quizá no te interese habilitar la comprobación de CRL son:
      • Si utiliza una autoridad de certificación (CA) interna autofirmada.
      • Tienen problemas de rendimiento. Las aplicaciones con un gran volumen de tráfico pueden sufrir una disminución significativa del rendimiento.
      • Tengo problemas de conexión a la red. Los cortafuegos pueden bloquear el acceso a los servidores CRL, o bien las redes están aisladas físicamente o desconectadas de Internet.
    4. Seleccione un Criterio de selección de clave.
      Especifica qué clave o certificado se debe utilizar para firmar, validar, cifrar o descifrar varios mensajes. Si existen varias claves o certificados con el mismo SubjectDN que la clave o certificado con el alias especificado, este valor determina cuál utilizar. Tiene los tres métodos de selección siguientes.
      Solo alias
      Seleccione la clave o el certificado con el alias especificado. Este método es el predeterminado.
      Tiempo de vida más corto
      Para la firma, se utiliza una clave válida con el tiempo de vida más corto disponible. Para la validación, las claves que tienen el mismo SubjectDN se ordenan según la disponibilidad de tiempo de vida. Las claves se intentan secuencialmente empezando por la clave que tiene la disponibilidad de tiempo de vida más corta hasta que la validación sea correcta.
      Tiempo de vida más largo
      Para la firma, se utiliza una clave válida con el tiempo de vida más largo disponible. Para la validación, las claves que tienen el mismo SubjectDN se ordenan según la disponibilidad de tiempo de vida. Las claves se intentan secuencialmente empezando por la clave que tiene la disponibilidad de tiempo de vida más larga hasta que la validación sea correcta.
    5. Seleccione la casilla de verificación Omitir validación de URL destino.
      Indica si se debe omitir una targetURL validación en SAML. El valor predeterminado es false.
    6. Haga clic en Añadir URL de destino permitida para añadir URL de destino permitidas.
      Puede añadir varios URL.
    7. Seleccione el Formato de ID de nombre predeterminado.
      • Correo electrónico
      • No especificado.
    8. Seleccione el algoritmo de firma.
      Para firmar, un algoritmo firma digitalmente el mensaje AuthnRequestSAML. Los valores admitidos son RSA-SHA1, RSA-SHA256, RSA-SHA512, ECDSA-SHA256, ECDSA-SHA384 y ECDSA-SHA512. Cuando está vacío, toma por defecto RSA-SHA256.
    9. Seleccione el Certificado de firma.
      Para la firma, este certificado se utiliza para firmar el SAMLAuthnRequest durante el inicio de sesión único. La selección predeterminada hace referencia al certificado personal predeterminado que ha configurado en Seguridad> Certificados> Certificados personales.
    10. Seleccione el Certificado de descifrado.
      Utilice este certificado para descifrar el mensaje de respuesta « SAML » recibido si contiene elementos cifrados durante el inicio de sesión único. La selección predeterminada hace referencia al certificado personal predeterminado que ha configurado en Seguridad> Certificados> Certificados personales.
    11. Seleccione el recuadro de selección para Excluir SPNameQualifier en AuthnRequest.

      Indica si se debe excluir SPNameQualifier en AuthnRequest cuando se utiliza un formato nameid no especificado. El valor predeterminado es false, que debe incluir SPNameQualifier..

  4. Opcional: En Asignación de atributos, asigne los atributos del proveedor de identidad a IBM Verify Cloud Directory.
    1. Seleccione Añadir correlación de atributos.
    2. Especifique un atributo de proveedor de identidad utilizando una de las opciones siguientes:
      1. Seleccione en la lista siguiente de opciones disponibles:
        Nombre de atributo Descripción
        company Empresa del usuario.
        country País del usuario.
        displayName Nombre de visualización del usuario.
        email Dirección de correo electrónico del usuario donde se envía una notificación.
        family_name Apellido del usuario.
        given_name Nombre dado el usuario.
        mobile_number Número de teléfono móvil del usuario donde se envía una notificación.
        userID Identificador exclusivo del usuario.
        Custom rule Atributo del proveedor de identidad personalizado. Si selecciona Regla personalizada, especifique una regla personalizada en el editor de reglas y pulse Aceptar para guardar.
      2. Especifique un nombre de atributo en el campo Seleccionar un atributo. Este nombre es un nombre de atributo que no está disponible en la lista de opciones.
    3. Seleccione un valor de transformación para transformar el atributo de proveedor de identidades o deje el valor predeterminado como Ninguno.
      Nombre de atributo Descripción
      Uppercase Transforma el atributo en mayúsculas.
      Lowercase Transforma el atributo en minúsculas.
      Base64 Encode Transforma el atributo utilizando un algoritmo de codificación base64 .
      Base64 Decode Transforma el atributo utilizando un algoritmo de decodificación base64 .
      Encode URI Transforma el atributo utilizando un método URI de codificación.
      Encode URI Component Transforma el atributo utilizando un método de componente URI de codificación.
      Decode URI Transforma el atributo utilizando un método de descodificación de URI.
      Decode URI Component Transforma el atributo utilizando un método de componente URI de decodificación.
      Generate UUID if no value is evaluated Transforma el atributo para generar identificadores exclusivos universalmente.
      Current Time (seconds) Transforma el atributo en el tiempo en segundos.
      Current Time (milliseconds) Transforma el atributo en el tiempo en milisegundos.
      SHA-256 Hash Transforma el atributo utilizando un algoritmo SHA-256 .
      SHA-512 Hash Transforma el atributo utilizando un algoritmo SHA-512 .
    4. Especifique un atributo IBM Verify . Para obtener más información sobre los atributos, consulte «Gestión de atributos ».
      Nota: Evite seleccionar entre los siguientes atributos incorporados reservados, ya que no están correlacionados con los atributos del proveedor de identidades.
      • groupIds
      • preferred_username
      • realmName
      • tenantId
      • uid
    5. Especifique cómo se almacena el atributo en el perfil de usuario:
      • Siempre: Almacena o actualiza el atributo en cada inicio de sesión.
      • Sólo para la creación de usuarios: Almacena el atributo una vez en la creación de la cuenta.
      • Inhabilitar: Nunca almacena o actualiza el atributo.
    6. Repita el proceso para cada atributo que correlacione.
  5. Opcional: Seleccione la fuente de pertenencia al grupo en el siguiente menú para especificar la fuente de los grupos de permisos de acceso de los usuarios:
    • Cloud Directory: Los permisos de acceso de usuario se derivan de los grupos de usuarios en Cloud Directory.
    • Cloud Directory y origen de identidad: Los permisos de acceso de usuario se derivan de los grupos de usuarios de Cloud Directory y de la señal de origen de identidad, que incluye la reclamación groupIds.
    • Origen de identidad: Los permisos de acceso de usuario se derivan de la señal de origen de identidad, que incluye la reclamación groupIds.
      Nota: Si la señal de origen de identidad no contiene la reclamación groupIds , no obtendrá ningún permiso de pertenencia a grupos.
    • Regla personalizada -Si selecciona Regla personalizada, especifique una regla personalizada en el editor de reglas y pulse Aceptar para guardar. Los permisos de acceso de usuario se derivan en función de la regla personalizada.
  6. En el intercambio de sesiones, puede seleccionar los URL de redirección que pueden pasarse a la API de Token Exchange .
    La API Token Exchange acepta un parámetro redirect_url que hace que la API devuelva una redirección de navegador con una sesión de inicio de sesión. redirect_url debe coincidir con una de las expresiones regulares de esta lista.

    Normalmente, el URL es un URL específico al que el usuario debe acceder o un URL personalizado para su empresa. Esta característica limita la redirección a los URL que especifique.

    El parámetro redirect_url se permite automáticamente si,
    • Se inicia con el nombre de arrendatario: https://<tenantname>
    • Se inicia con "/", lo que significa que es un URL relativo al arrendatario.
    De lo contrario, el URL debe añadirse aquí como una expresión regular.
    Por ejemplo, para utilizar caracteres de URL comunes con los caracteres de escape adecuados:
    https://www\.example\.com\?key1=value1&key2=value2
    Para que coincida con todo lo que se inicia con un determinado dominio, utilice el comodín *.
    https://www\.example\.com.*
  7. Seleccione el proveedor de identidades predeterminado en el menú que se utiliza para autenticarse desde dispositivos móviles.
  8. Seleccione un identificador exclusivo del menú que se utilizará para la identificación del usuario.
  9. Configure la limpieza automatizada de la cuenta.
    1. Seleccione el recuadro de selección para habilitar la limpieza automatizada.
    2. Seleccione el número de días que la cuenta puede estar inactiva.
    3. Seleccione la población.
      • Todos los usuarios
      • Especifique un filtro SCIM.
  10. Pulse Guardar cambios.