Le fichier config.json

Ce fichier de configuration doit être au format JSON. Il contient deux sections, ibm-auth-api et le fournisseur de données d'identification.

Format

{
    "ibm-auth-api":{
        "client-id":"????????-????-????-????-????????????",
        "ofb-client-secret":"**********",
        "protocol":"https",
        "host":"tenant.verify.ibm.com",
        "port":443,
        "max-handles":16
    },
    "credential-provider":{
        "username-format":"%D\\\\%U",
        /*"trace-file":"c:/credprov/credprov.log",*/
        "disable-builtin-password-logon": false,
        "auth-method":"winpwd-then-choice-then-otp"
    }
}

Configuration de ibm-auth-api

Entrée Valeur d'échantillon Descriptif
"client-id" "84e8da25-d7ed-47cc-9782-b852cb64365c" Cette valeur est obligatoire. Il faut créer un IBM® Verify client API pour pouvoir utiliser la fonction IBM Verify Gateway for Windows™ Login.
"ofb-client-secret" "KsjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA=" Cette valeur est obligatoire. Le IBM Verify client API se voit attribuer un mot de passe lors de sa création, et celui-ci doit être défini dans ce paramètre de configuration. La valeur obf-client-secret est fournie sous forme brouillée.
Remarque : ce secret client obf peut également être fourni en clair en utilisant plutôt l'option « client-secret ». Par exemple :
"client-secret”:"XOpiba1XeP"
.
"obf-client-secret”:
              "asjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA=",
"protocol" "https" Cette valeur est facultative ; par défaut, il s'agit de “https”. Ce protocole sert à communiquer avec le Verify serveur. Vous pouvez utiliser la valeur “http” ou la valeur “https”. Lorsque https est utilisé et que le fichier cacert.pem est présent, le certificat du serveur IBM Verify et le nom du serveur sont validés.
« hôte » « locataire ».verify.ibm.com Cette valeur est obligatoire. Il identifie le Verify serveur que vous utilisez.
« port » 443 Cette valeur est facultative ; par défaut, il s'agit de 443. Ce port est celui sur lequel le Verify serveur écoute les requêtes.
"max-handles" 2 Cette valeur est facultative ; par défaut, il s'agit de 16. Cette valeur correspond au nombre maximal de connexions parallèles que la passerelle d'authentification Windows « IBM Verify » établit avec le IBM Verify serveur pour l'authentification des utilisateurs. Chaque interface de fournisseur de données d'identification n'utilise jamais plus de deux connexions simultanément ; par conséquent, la valeur 2 est appropriée.
"proxy" "http://proxy.ibm.com:1080" Cette valeur est facultative. Le comportement par défaut consiste à ne pas utiliser de proxy et à se servir de connexions directes.

Configurez le serveur proxy pour accéder au Verify tenant. La valeur est un nom d'hôte ou une adresse IP numérique à points. Une adresse IPv6 numérique doit être placée entre [crochets]. Pour indiquer un numéro de port dans cette chaîne, ajoutez :[port] à la fin du nom d'hôte. Le port du proxy est défini par défaut sur port :1080. Vous pouvez préfixer la chaîne de proxy par [scheme]:// pour spécifier le type de proxy qui est utilisé.

http://
Proxy HTTP. Il s'agit du type par défaut lorsqu'aucun schéma ou type de proxy n'est spécifié.
https://
Proxy HTTPS. Ajouté dans la version 7.52.0 pour OpenSSL, Gnus et NSS.
socks4://
Proxy SOCKS4.
socks4a://
Proxy SOCKS4a. Le proxy résout le nom d'hôte de l'URL.
socks5://
Proxy SOCKS5.
socks5h://
Proxy SOCKS5. Le proxy résout le nom d'hôte de l'URL. Sans préfixe de schéma, la valeur par défaut est http://.
La définition de la chaîne de proxy sur "", une chaîne vide, désactive explicitement l'utilisation d'un proxy, même si une variable d'environnement est définie pour elle.

Une chaîne hôte proxy peut également inclure le schéma de protocole http:// et un utilisateur intégré et un mot de passe.

Remarque : si vous utilisez un proxy HTTPS, définissez la variable d'environnement OpenSSLSSL_CERT_FILE sur le système Windows où la passerelle IBM Verify pour la connexion Windows est en cours d'exécution. Cette variable d'environnement indique le nom et l'emplacement du fichier de certificats de l'autorité de certification.
Accédez au Panneau de configuration > Système et sécurité > Paramètres système avancés > Variables d'environnement > Variables système et spécifiez la variable. Par exemple :
SSL_CERT_FILE = C:\
Program Files\IBM\WindowsLogin\
cacert.pem
"proxytunnel" Oui Cette valeur est facultative. Il s'agit de true si le proxy est activé.

Définissez l'argument proxytunnel sur true pour que Verify les opérations du locataire transitent par le proxy HTTP. L'utilisation d'un proxy et la tunnellisation par un proxy ne sont pas équivalentes. Avec la tunnellisation, une demande de connexion HTTP est envoyée au proxy en vue de la connexion à un hôte distant sur un numéro de port spécifique, puis le trafic est transmis via le proxy. Les proxys placent sur liste autorisée les numéros de port spécifiques sur lesquels ils autorisent les demandes de connexion. En général, seuls les ports 80 et 443 sont autorisés.

"connect-timeout" 10 Cette valeur est facultative ; par défaut, il s'agit de 10 secondes. Le délai d'attente, en secondes, pendant lequel le système tente d'établir une connexion avec le Verify serveur. Si la première tentative échoue, une deuxième tentative a lieu.
"timeout" 20 Cette valeur est facultative ; par défaut, il s'agit de 20 secondes. Le délai, en secondes, pendant lequel la passerelle d' IBM Verify pour la connexion Windows attend la réception de données sur la Verify connexion au serveur.
« de type jeton » « Au porteur » Spécifie le type de jeton d'accès « access-token ».
« access-token » « abced... » Spécifie le jeton d'accès à utiliser pour le locataire. Il s'agit d'une alternative à l'utilisation des options « client-id » et « client-secret » lorsque le jeton d'accès est déjà connu.
« ca-path » "C:\Program\Files\IBM\WindowsLogin\cacert.pem » Spécifie un fichier contenant la liste des autorités de certification autorisées à signer le Verify certificat du serveur du locataire. Ce fichier texte contient un ou plusieurs certificats de clé publique de l'autorité de certification ( PEM ) au format base64. Par défaut, il utilise le cacert.pem fichier situé dans le répertoire des fichiers de configuration.
« origin-user-agent » "IBM Verify" Spécifie l'agent utilisateur envoyé dans la requête pour lancer une transaction push (appareil).
« proxy-ca-path » "C:\Program\Files\IBM\WindowsLogin\cacert.pem » Spécifie un fichier contenant la liste des autorités de certification autorisées à signer le certificat du serveur proxy. Ce fichier texte contient un ou plusieurs certificats de clé publique de l'autorité de certification ( PEM ) au format base64. Par défaut, il utilise le cacert.pem fichier situé dans le répertoire des fichiers de configuration.
« révocation-au-mieux-des-possibilités » Non Pour la communication de l' TLS vers l'API Verify REST du locataire. Cela indique s'il faut ignorer les vérifications de révocation de certificats en cas d'absence ou de mise hors ligne des points de distribution pour les backends d' TLS s où ce comportement est pris en charge.
« irrévocable » Non Pour la communication de l' TLS vers l'API Verify REST du locataire. Ceci indique s'il faut désactiver les vérifications de révocation de certificats pour les backends TLS où ce comportement est présent. Cette option n'est prise en charge que sous Windows, à l'exception de la liste de blocage des éditeurs non fiables de Windows, qui ne peut pas être contournée. Cette option a priorité sur « revoke-best-effort ».

Configuration de credential-provider

Entrée Valeur d'échantillon Descriptif
"trace-file" “C:\Temp\credprov.log” Cette valeur est facultative ; par défaut, le traçage n'est pas activé.
Remarque : si le fichier C:\Program Files\IBM\WindowsLogin\credprov.log existe, la journalisation est automatiquement activée et intervient à une étape antérieure du démarrage de Login Verify Gateway for Windows .
"auth-method" "winpwd-then-choice-then-otp" Cette valeur est facultative ; par défaut, il s'agit de "winpwd-then-choice-then-otp", qui indique la méthode d'authentification multi-facteur utilisée pour authentifier l'utilisateur.
"winpwd"
Mot de passe Windows uniquement.
"winpwd-and-totp"
Le mot de passe Windows associé au code d'accès à usage unique basé sur l'heure, le tout dans un seul champ de saisie.
"winpwd-then-smsotp"
Le mot de passe Windows, suivi du code d'accès à usage unique reçu par SMS.
"winpwd-then-emailotp"
Mot de passe Windows suivi d'un code d'accès à usage unique envoyé par e-mail.
"winpwd-then-choice-then-otp"
Le mot de passe Windows, suivi du choix d'une des méthodes d' 2FA s disponibles, puis de la saisie du code à usage unique sélectionné, ou de l'attente de la notification sur l'appareil.
Remarque : s'il n'y a qu'une seule option disponible, l'étape « Choix » est ignorée.
"winpwd-then-device"
Mot de passe Windows, puis notification d'attente de l'appareil. Si plusieurs appareils sont enregistrés pour l'utilisateur, une étape de choix est présentée.
"winpwd-then-transient"
Le mot de passe Windows, suivi du mot de passe à usage unique. Si plusieurs éléments transitoires sont enregistrés pour l'utilisateur, une étape de choix est présentée.
"accept-on-missing-auth-method" Non Cette valeur est facultative ; par défaut, il s'agit de false. Si la valeur est true et qu'un utilisateur ne dispose pas d'une authentification à deux facteurs enregistrée appropriée pour la méthode d'authentification, ce dernier peut se connecter avec son mot de passe uniquement.
"password-first" Non Cette valeur est facultative ; par défaut, il s'agit de false. Si la valeur est true et que la méthode d'authentification est winpwd-and-totp, l'entrée combinée constituée du mot de passe et de la valeur totp doit présenter le mot de passe en premier. Si la valeur est false, la valeur totp doit apparaître en premier dans l'entrée combinée.
"otp-prompt" “Enter the One Time Passcode %C-” Cette valeur est facultative et la valeur par défaut est "Enter the One Time Passcode %C-". Cette invite s'affiche lorsque l'utilisateur est invité à entrer son mot de passe à usage unique. La chaîne %C, si elle est indiquée dans l'invite, est remplacée par la valeur de corrélation pour la méthode de mot de passe à utilisation unique. Elle est vide pour le mot de passe à utilisation unique limitée dans le temps.
"password-separator" “,” Cette valeur est facultative et prend par défaut la valeur « , ». Ce caractère doit être placé entre le mot de passe et le mot de passe à utilisation unique limitée dans le temps dans l'entrée combinée pour la méthode d'authentification "windpwd-and-totp".
"verify-method-order" ["fingerprint","userPresence"] Cette valeur est facultative ; par défaut, il s'agit de ["fingerprint","userPresence"].
"verify-message" “Do you approve the request from winhost.ibm.com?” Cette valeur est facultative ; par défaut, il s'agit de “Do you approve the request from {nomhôte}?” Où {hostname} est remplacé par le nom d'hôte sous-estimé sur lequel la connexion Verify Gateway for Windows s'exécute. Lorsque la méthode d'authentification “device” est utilisée, l'appareil de l'utilisateur affiche ce message si l'utilisateur doit vérifier l'accès.
"choices" [« device », « transient », « totp », « smsotp », « emailotp », « voiceotp »] Cette valeur définit les types d'authentification à deux facteurs qui sont présentés à l'utilisateur comme méthode d'authentification "winpwd-then-choice-then-otp".
"transient-choices" [ {"choice": "phoneNumbers", "sub-choices": ["mobile", "work"]}, "emails" ] Cette valeur est facultative ; par défaut, il s'agit de ["phoneNumbers","emails"]. Elle définit les types de méthode de mot de passe à utilisation unique transitoire qui sont présentés à l'utilisateur lorsque l'authentification à deux facteurs transitoire est activée.

Vous pouvez spécifier les sous-choix de « phoneNumbers ». Les clients utilisent généralement cette option pour limiter les numéros de téléphone à « mobile ».

Les chaînes et/ou les objets détaillés peuvent être mélangés dans le tableau « transient-choices » pour permettre la compatibilité avec les versions antérieures.

"no-mfa-on-unlock" true | false La valeur par défaut de cette entrée est false. Lorsque la valeur est true, aucune entrée 2FA n'est demandée, seul le mot de passe est requis pour déverrouiller le bureau.
"poll-timeout" 60 Cette valeur est facultative ; par défaut, il s'agit de 60 secondes. Elle spécifie la durée pendant laquelle une notification PUSH d'un appareil attend que l'utilisateur l'approuve ou la refuse. Si le délai est écoulé, la demande est refusée automatiquement.
"poll-rate-ms" 1 000 Cette valeur est facultative ; par défaut, il s'agit de 1000 millisecondes. Cette valeur indique la fréquence à laquelle Verify Gateway for Windows Login vérifie avec le serveur Verify pour déterminer si le périphérique PUSH a été refusé ou approuvé. Cela influe sur la réactivité de la passerelle de connexion IBM Verify pour Windows face aux notifications PUSH de l'appareil.
Remarque : des valeurs de fréquence d'interrogation faibles entraînent l'envoi d'un grand nombre de requêtes par seconde au Verify serveur, ce qui augmente sa charge.
"ignore-isvalidated" Non Cette valeur est facultative ; par défaut, il s'agit de false. Lorsque la valeur est true, Verify Gateway for Windows Login autorise des méthodes 2FA qui ne sont pas validées.
"username-format" “%D\\%U” Cette valeur est facultative ; par défaut, il s'agit de “%D\\%U”. Elle définit comment associer le domaine et le nom d'utilisateur Windows au Verify nom d'utilisateur. Les occurrences de %D sont remplacées par le domaine de l'utilisateur Windows, et les occurrences de %U sont remplacées par le nom d'utilisateur Windows dans la chaîne fournie. Les valeurs %D et %U sont facultatives dans la chaîne.
"disable-builtin-password-logon" Non Cette valeur est facultative ; par défaut, il s'agit de false. Lorsque cette option est définie sur « true », le fournisseur d'identifiants de mot de passe intégré à Windows est désactivé, ne laissant que le Verify Gateway for Windows fournisseur d'identifiants de connexion. Si cette option est définie sur « false », les deux options sont proposées par la fenêtre de connexion Windows. Dans les environnements de production, définissez cette valeur sur « true » pour empêcher les utilisateurs de contourner le Verify Gateway for Windows fournisseur d'identifiants de connexion en sélectionnant le fournisseur d'identifiants Windows.
“rdp-only” Non Cette valeur est facultative ; par défaut, il s'agit de false. Lorsque la valeur est true, le fournisseur de données d'identification de Verify Gateway for Windows Login n'est utilisé qu'avec la connexion Remote Desktop. Il n'est pas utilisé avec d'autres types de connexion, telle que la connexion à un bureau local.
“no-mfa-account” “DOMAIN\\User” Cette valeur est facultative ; par défaut, aucun compte ne peut ignorer l'authentification multi-facteur. Si elle est définie, chaque connexion utilisateur est comparée à ce compte. La comparaison est sensible à la casse. Si la correspondance est établie, l'utilisateur utilise la méthode d'authentification « winpwd », qui ne nécessite 2FA ni accès au compte. Verify serveur. Seul le mot de passe Windows est nécessaire pour se connecter. Il s'agit d'un compte spécial qui permet d'accéder à l'appareil même si le Verify service est indisponible.
Remarque : vous pourriez vouloir bloquer l'accès RDP pour ce compte. L'administrateur Windows peut bloquer cet accès.
"username-table"
"username-table": [ 
{ "from": "testuser1", "to": "testuser1@x.y.com" },
{ "from": "testuser2", "to": "testuser2@x.y.com" } 
]
Cet attribut mappe le nom d'utilisateur à une nouvelle valeur. Si le nom d'utilisateur ne figure pas dans le tableau, il est utilisé en l'état.
« trace-rollover » 0 Indique la taille maximale approximative, en octets, du fichier de trace au moment où celui-ci est enregistré et où un nouveau fichier de trace vide est créé. Le fichier de trace est enregistré en le renommant pour y ajouter l'horodatage actuel.
« trace-localtime » Non Indique si les horodatages du fichier de trace doivent être exprimés en heure locale. Par défaut, les horodatages sont exprimés en UTC.
« trace-prefix-all » Non Indique si toutes les lignes de trace doivent être précédées d'un horodatage. Par défaut, les Verify lignes de capture des traces de requêtes/réponses de l'API REST ne sont préfixées que sur la première ligne.
« mode de défaillance non sécurisé » Non Permet de se connecter en utilisant uniquement le mot de passe, sans 2FA si la connexion au Verify L'API REST du locataire ne peut pas être établie.
« attribut-nom-utilisateur » numéro d"identification utilisateur Lorsque vous utilisez Active Directory, le Verify nom d'utilisateur à utiliser pour accéder à 2FA peut être récupéré à partir d'un attribut de l'utilisateur Active Directory sous lequel la connexion est établie.
« nom-utilisateur-cd-attr » « urn:ietf:params:scim:schemas:extension: ibm:2.0:User:customAttributes.userAlias » L'utilisateur Verify dont l'adresse est 2FA est identifié en recherchant un Verify utilisateur possédant cet attribut dont la valeur correspond au nom d'utilisateur de connexion Windows.
« username-attr-strict » Non Si cette option est définie sur « false », et si l'attribut « username-attr » n'est pas présent pour l'utilisateur Active Directory, la connexion utilisera le nom d'utilisateur Windows pour identifier l'utilisateur Verify sur 2FA.
« format-attribut-nom-utilisateur » « %A » Une chaîne permettant de mapper la valeur « username-attr ». Tout %A est remplacé par la valeur de l'attribut, ce qui permet d'ajouter des constantes de chaîne en préfixe et/ou en suffixe. La valeur par défaut est simplement « %A », ce qui signifie qu'aucune modification n'est apportée.