"ibm-auth-api":{}
Cette section permet de configurer la connexion au Verify serveur.
Format
"ibm-auth-api":{
"client-id":"xxxxxxxx",
"obf-client-secret":"xxxxxxxx",
"protocol":"https",
"host":"xxxxx.verify.ibm.com",
"port":443,
"max-handles":16
},
Valeurs :
- "client-id":"84e8da25-d7ed-47cc-9782-b852cb64365c"
- Cette valeur est obligatoire. Il faut créer un IBM® Verify client API destiné à être utilisé par le IBM Verify Gateway for RADIUS serveur. Consultez la section « Configuration de la passerelle IBM Verify en tant que serveur RADIUS » pour connaître les paramètres d'accès requis. Exemple de valeur client-id :
"84e8da25-d7ed-47cc-9782-b852cb64365c" - “obf-client-secret”:"KsjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA="
- Cette valeur est obligatoire. Le IBM Verify client API se voit attribuer un secret client (mot de passe) lors de sa création, et celui-ci doit être défini dans ce paramètre de configuration. Le « obf-client-secret » est la version obscurcie du secret client. Pour les systèmes d'exploitation Windows, utilisez la
IbmRadius.exe -obf client-secretcommande pour générer la valeur cryptée du secret client. Pour les systèmes d'exploitation d' Linux, utilisez la/opt/ibm/ibm_radius/ibm_radius_64 -obf client-secretcommande pour générer la valeur cryptée du secret client.Remarque : ce secret client obf peut également être fourni en clair en utilisant plutôt l'option « client-secret ». Par exemple.
."client-secret”:"xxxxxxxxxx" - "protocol":"https"
Cette valeur est facultative ; par défaut, il s'agit de “https”. Ce protocole sert à communiquer avec le IBM Verify serveur. Vous pouvez utiliser la valeur “http” ou la valeur “https”. Lorsque https est utilisé et que le fichier cacert.pem est présent, le certificat du serveur IBM Verify et le nom du serveur sont validés.
- « host » : « slick. verify.ibm.com»
Cette valeur est obligatoire. Il identifie le IBM Verify serveur que vous utilisez.
- "port":443
Cette valeur est facultative ; par défaut, il s'agit de 443. Ce port est celui sur lequel le IBM Verify serveur écoute les requêtes.
- "max-handles":16
- Cette valeur est facultative ; par défaut, il s'agit de 16. Cette valeur correspond au nombre maximal de connexions parallèles que le IBM Verify Gateway for RADIUS serveur établit avec le IBM Verify serveur pour l'authentification des utilisateurs.
- « type de jeton » : « Bearer »
- Spécifie le type de jeton d'accès « access-token ».
- « access-token » : "{token}"
- Spécifie le jeton d'accès à utiliser pour le locataire. Il s'agit d'une alternative à l'utilisation des options « client-id » et « client-secret » lorsque le jeton d'accès est déjà connu.
- « ca-path » : "{path-to-ca-file}"
- Spécifie un fichier contenant la liste des autorités de certification autorisées à signer le IBM Verify certificat du serveur du locataire. Ce fichier texte contient un ou plusieurs certificats de clé publique de l'autorité de certification ( PEM ) au format base64.
- « proxy » : "{proxy-uri}"
- Cette valeur est facultative. Le comportement par défaut consiste à ne pas utiliser
de proxy et à se servir de connexions directes. Configurez le proxy pour accéder au IBM Verify tenant. La valeur est un nom d'hôte ou une adresse IP dont les nombres sont séparés par un point. Une adresse IPv6 numérique doit être placée entre [crochets]. Pour indiquer un numéro de port dans cette chaîne, ajoutez :[port] à la fin du nom d'hôte. Le port par défaut du proxy est le port :1080. La chaîne de proxy peut être précédée de [scheme]:// pour indiquer le type de proxy utilisé.Remarque : * http:// - Proxy HTTP. Il s'agit du type par défaut lorsqu'aucun schéma ou type de proxy n'est spécifié.
- https:// - Proxy HTTPS.
- socks4:// - Proxy SOCKS4.
- socks4a:// - Proxy SOCKS4a. La résolution du proxy est le nom d'hôte d'URL.
- socks5:// - Proxy SOCKS5.
- socks5h:// - Proxy SOCKS5.
- « proxytunnel » : true
- Cette valeur est facultative. Il s'agit de true si le proxy est activé.
- « origin-user-agent » : « IBM Security Verify »
- Spécifie l'agent utilisateur envoyé dans la requête pour lancer une transaction push (appareil).
- « connect-timeout » : 10
- Spécifie la durée maximale, en secondes, que peut prendre la phase de connexion d'une opération effectuée via IBM Verify l'API REST du tenant. Ce délai d'expiration ne concerne que la phase de connexion. Une fois connecté, cela n'a aucune incidence.
- « timeout » : 40
- Indique la durée maximale, en secondes, que peut prendre une opération REST API pour un locataire donné.
- « proxy-ca-path » : "{path-to-ca-file}"
- Spécifie un fichier contenant la liste des autorités de certification autorisées à signer le certificat du serveur proxy. Ce fichier texte contient un ou plusieurs certificats de clé publique de l'autorité de certification ( PEM ) au format base64.
- « crl-file » : "{path-to-crl-file}"
- Définit la liste CRL utilisée pour valider le certificat du serveur REST API du IBM Verify locataire.
- « proxy-crl-file » : "{path-to-crl-file}"
- Définit la liste CRL utilisée pour valider le certificat du serveur proxy (et non celui du serveur API REST du tenant concerné IBM Verify ).
- « revoke-best-effort » : false
- Pour la communication de l' TLS vers l'API IBM Verify REST du locataire. Cela indique s'il faut ignorer les vérifications de révocation de certificats en cas d'absence ou de mise hors ligne des points de distribution pour les backends d' TLS s où ce comportement est pris en charge. Cette option n'est prise en charge que sous Windows.
- « no-revoke » : false
- Pour la communication de l' TLS vers l'API IBM Verify REST du locataire. Ceci indique s'il faut désactiver les vérifications de révocation de certificats pour les backends TLS où ce comportement est présent. Cette option n'est prise en charge que sous Windows, à l'exception de la liste de blocage des éditeurs non fiables de Windows, qui ne semble pas pouvoir être contournée. Cette option a priorité sur « revoke-best-effort ».