Configuración de valores globales

Editar en línea

Utilice estos valores para determinar cómo el arrendatario autentica a los usuarios.

Procedimiento

  1. Seleccione Autenticación > Proveedores de identidad > Configuración global.
  2. Seleccione el proveedor de identidad primario en el menú que utiliza el arrendatario para autenticar a los usuarios cuando inician la sesión.
    Normalmente, el proveedor de identidad primario para el arrendatario es IBM® Verify Cloud Directory.
  3. Opcional: En la configuración del proveedor de servicios SAML 2.0, actualice las configuraciones de federación del proveedor de servicios SAML 2.0.
    1. Proporcione un tiempo válido de mensaje en segundos.
      Es la tolerancia en segundos cuando se valida el mensaje SAML recibido IssueInstant .
    2. Seleccione el recuadro de selección para CRL habilitado.
      Cuando CRL está habilitado, comprueba la lista de revocación de certificados. La comprobación se realiza para todas las funciones que utilizan un certificado externo. Si la configuración no requiere la comprobación de lista de revocación de certificados, puede inhabilitarla.
      Por ejemplo, si utiliza una entidad emisora de certificados interna, es posible que prefiera inhabilitar la comprobación de lista de revocación de certificados. El valor predeterminado es true.
    3. Seleccione un Criterio de selección de clave.
      Especifica qué clave o certificado se debe utilizar para firmar, validar, cifrar o descifrar varios mensajes. Si existen varias claves o certificados con el mismo SubjectDN que la clave o certificado con el alias especificado, este valor determina cuál utilizar. Tiene los tres métodos de selección siguientes.
      Solo alias
      Seleccione la clave o el certificado con el alias especificado. Este método es el predeterminado.
      Tiempo de vida más corto
      Para la firma, se utiliza una clave válida con el tiempo de vida más corto disponible. Para la validación, las claves que tienen el mismo SubjectDN se ordenan según la disponibilidad de tiempo de vida. Las claves se intentan secuencialmente empezando por la clave que tiene la disponibilidad de tiempo de vida más corta hasta que la validación sea correcta.
      Tiempo de vida más largo
      Para la firma, se utiliza una clave válida con el tiempo de vida más largo disponible. Para la validación, las claves que tienen el mismo SubjectDN se ordenan según la disponibilidad de tiempo de vida. Las claves se intentan secuencialmente empezando por la clave que tiene la disponibilidad de tiempo de vida más larga hasta que la validación sea correcta.
    4. Seleccione la casilla de verificación Omitir validación de URL destino.
      Indica si se debe omitir una validación de targetURL en SAML. El valor predeterminado es false.
    5. Haga clic en Añadir URL de destino permitida para añadir URL de destino permitidas.
      Puede añadir varios URL.
    6. Seleccione el Formato de ID de nombre predeterminado.
      • Correo electrónico
      • No especificado.
    7. Seleccione el algoritmo de firma.
      Para la firma, un algoritmo firma digitalmente el mensaje AuthnRequest de SAML. Los valores soportados son RSA-SHA1, RSA-SHA256, RSA-SHA512, ECDSA-SHA256, ECDSA-SHA384y ECDSA-SHA512. Cuando está vacío, toma el valor predeterminado RSA-SHA256.
    8. Seleccione el Certificado de firma.
      Para la firma, este certificado se utiliza para firmar el AuthnRequest de SAML durante el inicio de sesión único. La selección predeterminada hace referencia al certificado personal predeterminado que ha configurado en Seguridad> Certificados> Certificados personales.
    9. Seleccione el Certificado de descifrado.
      Utilice este certificado para descifrar el mensaje de respuesta SAML recibido si contiene elementos cifrados durante el inicio de sesión único. La selección predeterminada hace referencia al certificado personal predeterminado que ha configurado en Seguridad> Certificados> Certificados personales.
    10. Seleccione el recuadro de selección para Excluir SPNameQualifier en AuthnRequest.

      Indica si se debe excluir SPNameQualifier en AuthnRequest cuando se utiliza un formato nameid no especificado. El valor predeterminado es false, que debe incluir SPNameQualifier..

  4. Opcional: En Asignación de atributos, asigne los atributos del proveedor de identidad a IBM Verify Cloud Directory.
    1. Seleccione Añadir correlación de atributos.
    2. Especifique un atributo de proveedor de identidad utilizando una de las opciones siguientes:
      1. Seleccione en la lista siguiente de opciones disponibles:
        Nombre de atributo Descripción
        company Empresa del usuario.
        country País del usuario.
        displayName Nombre de visualización del usuario.
        email Dirección de correo electrónico del usuario donde se envía una notificación.
        family_name Apellido del usuario.
        given_name Nombre dado el usuario.
        mobile_number Número de teléfono móvil del usuario donde se envía una notificación.
        userID Identificador exclusivo del usuario.
        Custom rule Atributo del proveedor de identidad personalizado. Si selecciona Regla personalizada, especifique una regla personalizada en el editor de reglas y pulse Aceptar para guardar.
      2. Especifique un nombre de atributo en el campo Seleccionar un atributo. Este nombre es un nombre de atributo que no está disponible en la lista de opciones.
    3. Seleccione un valor de transformación para transformar el atributo de proveedor de identidades o deje el valor predeterminado como Ninguno.
      Nombre de atributo Descripción
      Uppercase Transforma el atributo en mayúsculas.
      Lowercase Transforma el atributo en minúsculas.
      Base64 Encode Transforma el atributo utilizando un algoritmo de codificación base64 .
      Base64 Decode Transforma el atributo utilizando un algoritmo de decodificación base64 .
      Encode URI Transforma el atributo utilizando un método URI de codificación.
      Encode URI Component Transforma el atributo utilizando un método de componente URI de codificación.
      Decode URI Transforma el atributo utilizando un método de descodificación de URI.
      Decode URI Component Transforma el atributo utilizando un método de componente URI de decodificación.
      Generate UUID if no value is evaluated Transforma el atributo para generar identificadores exclusivos universalmente.
      Current Time (seconds) Transforma el atributo en el tiempo en segundos.
      Current Time (milliseconds) Transforma el atributo en el tiempo en milisegundos.
      SHA-256 Hash Transforma el atributo utilizando un algoritmo SHA-256 .
      SHA-512 Hash Transforma el atributo utilizando un algoritmo SHA-512 .
    4. Especifique un atributo IBM Verify . Para obtener más información sobre los atributos, consulte Gestión de atributos.
      Nota: Evite seleccionar entre los siguientes atributos incorporados reservados, ya que no están correlacionados con los atributos del proveedor de identidades.
      • groupIds
      • preferred_username
      • realmName
      • tenantId
      • uid
    5. Especifique cómo se almacena el atributo en el perfil de usuario:
      • Siempre: Almacena o actualiza el atributo en cada inicio de sesión.
      • Sólo para la creación de usuarios: Almacena el atributo una vez en la creación de la cuenta.
      • Inhabilitar: Nunca almacena o actualiza el atributo.
    6. Repita el proceso para cada atributo que correlacione.
  5. Opcional: Seleccione la fuente de pertenencia al grupo en el siguiente menú para especificar la fuente de los grupos de permisos de acceso de los usuarios:
    • Cloud Directory: Los permisos de acceso de usuario se derivan de los grupos de usuarios en Cloud Directory.
    • Cloud Directory y origen de identidad: Los permisos de acceso de usuario se derivan de los grupos de usuarios de Cloud Directory y de la señal de origen de identidad, que incluye la reclamación groupIds.
    • Origen de identidad: Los permisos de acceso de usuario se derivan de la señal de origen de identidad, que incluye la reclamación groupIds.
      Nota: Si la señal de origen de identidad no contiene la reclamación groupIds , no obtendrá ningún permiso de pertenencia a grupos.
    • Regla personalizada -Si selecciona Regla personalizada, especifique una regla personalizada en el editor de reglas y pulse Aceptar para guardar. Los permisos de acceso de usuario se derivan en función de la regla personalizada.
  6. En el intercambio de sesiones, puede seleccionar los URL de redirección que pueden pasarse a la API de Token Exchange .
    La API Token Exchange acepta un parámetro redirect_url que hace que la API devuelva una redirección de navegador con una sesión de inicio de sesión. redirect_url debe coincidir con una de las expresiones regulares de esta lista.

    Normalmente, el URL es un URL específico al que el usuario debe acceder o un URL personalizado para su empresa. Esta característica limita la redirección a los URL que especifique.

    El parámetro redirect_url se permite automáticamente si,
    • Se inicia con el nombre de arrendatario: https://<tenantname>
    • Se inicia con "/", lo que significa que es un URL relativo al arrendatario.
    De lo contrario, el URL debe añadirse aquí como una expresión regular.
    Por ejemplo, para utilizar caracteres de URL comunes con los caracteres de escape adecuados:
    https://www\.example\.com\?key1=value1&key2=value2
    Para que coincida con todo lo que se inicia con un determinado dominio, utilice el comodín *.
    https://www\.example\.com.*
  7. Seleccione el proveedor de identidades predeterminado en el menú que se utiliza para autenticarse desde dispositivos móviles.
  8. Seleccione un identificador exclusivo del menú que se utilizará para la identificación del usuario.
  9. Configure la limpieza automatizada de la cuenta.
    1. Seleccione el recuadro de selección para habilitar la limpieza automatizada.
    2. Seleccione el número de días que la cuenta puede estar inactiva.
    3. Seleccione la población.
      • Todos los usuarios
      • Especifique un filtro SCIM.
  10. Pulse Guardar cambios.