Obtención de un nombre de host de Vanity

Editar en línea

Si desea una experiencia de marca cuando los usuarios interactúan con flujos relacionados con la identidad de su organización, puede adquirir un nombre de host personalizado para su inquilino de IBM® Verify. Puede personalizar el inicio de sesión, el registro, las experiencias de gestión de perfiles, etc.

Antes de empezar

Nota: Póngase en contacto con su representante de ventas para adquirir su nombre de host personalizado. Debe adquirir el nombre de host de vanidad antes de poder configurarlo.

Para configurar un nombre de host personalizado, usted y IBM deben completar varios pasos de configuración. Para iniciar el proceso, debe completar el Formulario de suministro de certificados de nombre de host personalizado deIBM proporcionado por la oficina de proyectos de IBM .

Asegúrese también de los elementos siguientes.

  • Comprenda la sintaxis y las opciones del nombre de host de Vanity y seleccione la mejor para su organización en función de las prácticas de certificado de la organización.
  • Comprenda los requisitos previos.
  • Póngase en contacto con el representante de IBM® para adquirir un arrendatario y un nombre de host personalizado.
  • Asegúrese de que puede interactuar correctamente con los administradores de DNS/sitio web de su organización para la validación de dominio.
  • El cliente debe ser propietario del dominio del nombre de host de Vanity. Si el nombre de host de Vanity es sso.acme.com, su organización debe ser propietaria del dominio acme.com.
  • El nombre de host de Vanity debe ser exclusivo y no existe ya. Se aplica al arrendatario y solo se debe utilizar para IBM Verify .

Acerca de esta tarea

Un vanity hostname es un nombre de host personalizado para su tenant IBM Verify . Un nombre de host de inquilino por defecto menciona IBM. Con un nombre de host de vanidad, un cliente puede personalizar el nombre de host de forma que IBM no aparezca en URL. Por ejemplo, el nombre de host de su inquilino de Verify podría ser acme.verify.ibm.com, pero a usted le gustaría que los usuarios vieran un nombre de host de vanidad de login.acme.com.

Sintaxis de nombre de host de Vanity
Cuando su organización recibe por primera vez un inquilino IBM Verify , el inquilino URL sigue la siguiente sintaxis. <tenant identifier>.<domain> Donde
  • <tenant identifier> es el identificador de arrendatario proporcionado. Un ejemplo puede ser <acme>.
  • <domain> toma como valor predeterminado <verify.ibm.com>, pero se puede personalizar para un nombre de host personalizado.
  • El nombre de host completo en este ejemplo es acme.verify.ibm.com, que es el URL que los usuarios ven cuando inician sesión junto con otras interacciones de identidad habilitadas por IBM Verify.
Cada nombre de host vanity requiere un certificado para permitir la negociación SSL entre el usuario y Verify.
  • Una entidad emisora de certificados "de confianza" debe firmar los certificados. No deben estar autofirmados.
  • En la sección siguiente se describe el suministro del certificado para un nombre de host personalizado.
  • Una vez suministrado el certificado, IBM realiza pasos adicionales para suministrar completamente un nombre de host personalizado. Estos pasos adicionales tardan aproximadamente cinco días laborables en completarse.
Opciones de configuración de certificados
Cada certificado debe tener un "Nombre común" (CN). También puede tener "Nombres alternativos de asunto" (SAN). El certificado cubre todos los nombres de host que se listan como CN o SAN.
Nota: Los comodines, por ejemplo, *.sso.acme.com no están soportados para CN o SAN.
Si sólo proporciona un "Nombre común" al completar el formulario de certificado, se necesita un certificado específico para cada nombre de host de Vanity.
Si tres arrendatarios de Verify necesitan un nombre de host de Vanity y solo se proporciona "Nombre común", la organización paga por cada nombre de host de Vanity porque cada nombre de host de Vanity tiene su propio certificado. En este ejemplo, es necesario comprar tres nombres de host personalizados.
CN = sso.acme.com

CN = sso-qa.acme.com

CN = sso-dev.acme.com
Nota: Cuando un usuario se autentica con Verify a través de uno de esos nombres de host semánticos como sso.acme.com, el usuario sólo ve el nombre de host semántico que se está utilizando. El usuario no ve sso-qa.acme.com y sso-dev.acme.com que también son nombres de host semánticos válidos. Los atacantes potenciales no pueden descubrir fácilmente todos los nombres de host vanity. Sólo pueden ver el que están utilizando.

Si se proporcionan "Nombres SAN" además de "Nombre común" al completar el formulario de certificado, cada nombre SAN se suministra en el mismo certificado que el "Nombre común".

Si tres arrendatarios de Verify necesitan un nombre de host de Vanity donde se proporciona "Nombre común" junto con 2 nombres SAN, la organización sólo paga por un nombre de host de Vanity. En este ejemplo, es necesario adquirir un nombre de host de Vanity.
CN = sso.acme.com
  SAN = sso-qa.acme.com
  SAN = sso-dev.acme.com
Nota: Cuando un usuario se autentica con Verify a través de uno de estos nombres de host personalizados como sso.acme.com, el usuario también puede ver los otros nombres de host personalizados que están cubiertos por el certificado. En este caso, sso-qa.acme.com y sso-dev.acme.com. Desafortunadamente, los atacantes potenciales pueden utilizar esta información. Hace que sea más fácil para ellos descubrir todos los nombres de host de vanidad válidos.
Si desea pasar de "SAN" a "CN", debe reiniciar el proceso y alinearse con la estructura de precios "CN".
Opciones de suministro de certificados
Una vez seleccionada la opción de nombre de host de vanidad, las organizaciones deben seleccionar " IBM provisioned" o "3rd party certificate" para validar o provisionar el certificado.
IBM suministrado
IBM puede solicitar certificados en nombre de la organización. IBM utiliza DigiCert como proveedor de certificados y DigiCert firma los certificados.

El tipo de validación de certificado es OV (Organization Validation) y el cliente debe pasar por el proceso de validación DigiCert para el certificado. Como entidad emisora de certificados, Digicert debe validar de forma independiente que el propietario relevante del dominio solicitado haya aprobado el certificado. Este proceso de validación DigiCert es independiente y está fuera de las interacciones de IBM Verify .

El proceso incluye la validación de la dirección de la empresa y la validación del administrador del dominio. La interacción con DigiCert está directamente entre DigiCert y el cliente.

Si selecciona la opción IBM , el proceso es el siguiente.
  1. Notifique al administrador de dominio que aparece en la lista de whois.com que DigiCert va a emitir una solicitud de validación de dominio.
  2. Devuelva la validación a DigiCert rápidamente.
  3. DigiCert , a continuación, intenta comunicarse con el contacto administrativo que se ha proporcionado en el Formulario de suministro de certificados deIBM Vanity Hostname utilizando un número de teléfono validado que pertenece a su organización. La validación se realiza en una llamada telefónica en directo.
    Nota: En función de la capacidad de DigiCert para encontrar los contactos correctos en la organización, es posible que sea necesario realizar varios intentos.
certificado de terceros
Con un certificado de terceros, las organizaciones pueden utilizar la entidad emisora de certificados de su elección después de que IBM genere una solicitud de firma de certificado (CSR).
Los pasos siguientes muestran el flujo de proceso.
  1. IBM Genera la CSR.
  2. IBM envía esta CSR a su organización.
  3. Su organización envía esta CSR a su propia CA. Su organización puede elegir el tipo de validación que desee.
  4. La CA devuelve el certificado firmado a la organización.
  5. Su organización envía el certificado (certificado de hoja + cadena de confianza: certificado intermedio y raíz) a IBM

Procedimiento

  1. Descargue y complete el formulario de provisión de certificados « IBM Verify » (Certificado de provisión de certificados).
    Asegúrese de completar todos los campos obligatorios.
  2. Crear una incidencia de soporte
    Vaya a Cómo abrir un caso y abra un caso con el asunto «Solicitud de nombre de host personalizado para nombre del cliente » y adjunte el formulario de nombre de host personalizado al ticket.
  3. Cree un registro DNS CNAME que apunte su nombre de host personalizado a su arrendatario IBM Verify relacionado.
    Sólo su organización puede crear el registro DNS CNAME. Por ejemplo, sso.clienthostname.com CNAME <tenant>.verify.ibm.com.
  4. Después de que el DNS CNAME se haya configurado correctamente, informe a IBM utilizando la incidencia de soporte creada anteriormente.
    El nombre de host de Vanity todavía no se puede utilizar. IBM debe seguir completando más procesos.
  5. IBM completa la configuración restante.
    Cuando se realiza este paso, IBM notifica a su organización y el nombre de host de Vanity está listo para utilizar.