Configuration de votre application dans Baidu

Pour utiliser Baidu comme fournisseur d'identité, vous devez configurer votre application dans Baidu.

Avant de commencer

Suivez les étapes décrites dans la section « Ajouter un fournisseur d'identité sociale ». Vous devez posséder un compte sur le site Web des développeurs Baidu.

A propos de cette tâche

Remarque : certains fournisseurs chinois ne fournissent pas d'attributs d'identifiant de messagerie. Ils ne requièrent pas non plus d'ID de messagerie pour l'inscription et l'enregistrement d'un compte.

Par conséquent, ces fournisseurs ne renvoient pas nécessairement d'adresse électronique comme élément de données de profil, ce qui a un impact sur l'authentification à deux facteurs auprès de ces fournisseurs.

Ajouter un fournisseur d'identité Baidu ou Baidu Mobile

Vous pouvez configurer Baidu™ pour utiliser soit le flux Web, soit le flux mobile, soit les deux, mais vous devez configurer au moins l'un des deux flux.

Avant de commencer

Configurez votre application sur Baidu. Voir la section « Configuration de votre application dans Baidu ». Procurez au fournisseur d'identité social certaines données sur votre application. Après avoir enregistré l'application, copiez les informations qui ont été affectées par le fournisseur d'identité social. Vous devez fournir les informations à Verify.
Remarque : certains fournisseurs chinois ne fournissent pas d'attributs d'identifiant de messagerie. Ils ne requièrent pas non plus d'ID de messagerie pour l'inscription et l'enregistrement d'un compte.

Par conséquent, ces fournisseurs ne renvoient pas nécessairement d'adresse électronique comme élément de données de profil, ce qui a un impact sur l'authentification à deux facteurs auprès de ces fournisseurs.

Procédure

  1. Connectez-vous au site des développeurs Baidu à l'adresse https://developers.baidu.com/.
  2. Sélectionnez « Authentification » > « Fournisseurs d'identité ». Sélectionnez Ajouter un fournisseur d'identité.
  3. Sélectionnez « Baidu » dans la liste des fournisseurs d'identité sociale, puis cliquez sur « Suivant ».
  4. Spécifiez les informations de base.
    Tableau 1. Informations générales
    Informations Descriptions
    Nom

    Le nom que vous attribuez pour désigner le registre d'utilisateurs utilisé par des fournisseurs d'identité tels que Microsoft™ Active Directory, Microsoft Azure Active Directory ou d'autres.

    Si plusieurs fournisseurs d'identité sont configurés et activés, le nom du fournisseur d'identité s'affiche sur la Verify page de connexion.

    Ces informations s'affichent également dans l'onglet Répertoire > Utilisateurs et groupes > Utilisateurs, dans la boîte de dialogue Ajouter un utilisateur, lorsque vous sélectionnez un fournisseur d'identité.

    Domaine

    Il s'agit d'un attribut de fournisseur d'identité qui permet de distinguer les utilisateurs provenant de plusieurs fournisseurs d'identité et partageant le même nom d'utilisateur.

    Pour Baidu, la valeur du domaine est www.baidu.com.

    Activé

    Indique si le fournisseur d'identité est actif et disponible.

    Si cette option est désactivée, le fournisseur d'identité n'est pas configuré comme option de connexion. Les utilisateurs ne peuvent pas utiliser le fournisseur d'identité configuré pour se connecter à l'application cible.

    Si elle est activée, l'activation est partielle. Ce paramètre n'active pas automatiquement cette source pour toutes les applications. Vous devez sélectionner la source pour chaque application.

    ID Un identifiant est généré pour le fournisseur d'identité lorsque vous cliquez sur « Enregistrer ».
  5. Cliquez sur Paramètres et ajoutez l'URL de redirection.
    L' URL e de Baidu est https://<tenant_name>/idaas/mtfim/sps/idaas/login/baidu/callback.
    Par exemple, https://<tenant_name>.verify.ibm.com/idaas/mtfim/sps/idaas/login/baidu/callback
  6. Cliquez sur Suivant pour continuer, ou sur Précédent pour modifier votre configuration
  7. Au fournisseur d'identité. Passez à la configuration de votre application sur le site WeChat en vous inscrivant au service d'authentification unique. Vous devez fournir à Baidu des informations concernant votre application et indiquer le domaine de rappel autorisé associé à votre tenant.
  8. Cliquez sur Suivant pour continuer, ou sur Précédent pour modifier votre configuration
  9. Provenant du fournisseur d'identité. Sélectionnez le type de configuration.
    Vous pouvez choisir l'une des configurations ou les deux.
    Remarque : chaque parcours correspond à une inscription distincte.
    • Configuration Web
      1. Placez le commutateur sur « On » pour activer la configuration Web de Baidu.
      2. Indiquez l' AppID et l' AppSecret s que vous avez reçues lors de votre inscription dans les champs obligatoires.
    • Configuration mobile
      1. Placez le commutateur sur « On » pour activer la configuration mobile de Baidu.
      2. Indiquez l 'émetteur du JWT social reçu par Verify. L'émetteur que vous spécifiez doit correspondre à l'émetteur qui est reçu pour que la vérification ait lieu.
      3. Sélectionnez dans le menu le certificat de vérification utilisé pour valider le JWT social.
      4. Configurez les jetons que l'application mobile Baidu reçoit.
        Expiration du jeton d'accès (secondes)
        Définit la durée en secondes au bout de laquelle le jeton d'accès expire.

        Définissez l'expiration d'un jeton d'accès pour limiter la durée pendant laquelle un agresseur informatique peut accéder à la ressource s'il a volé le jeton lorsque l'application client est comprise.

        Seuls les entiers positifs sont autorisés.

        La valeur par défaut est 7200 secondes. La valeur minimale admise est 1 seconde et la valeur maximale admise est 2147483647 secondes.

        Format du jeton d'accès
        Indique si le jeton d'accès est généré sous la forme d'une chaîne opaque, ce qui correspond àDefaultréglage, ou dansJWT( JSON Web Token ).
        Générer un jeton d'actualisation
        Indique si l 'application cliente peut demander et utiliser un jeton de rafraîchissement pour obtenir un nouveau jeton d'accès auprès du serveur d'autorisation du fournisseur d'identité OpenID Connect.

        N'utilisez cette option que si l'application prévoit d'utiliser le jeton d'accès pour effectuer des opérations via Verify des API.

        Il suffit d'obtenir un nouveau jeton d'accès si le précédent est arrivé à expiration.

        Durée de vie du jeton d'actualisation
        Ce paramètre définit le délai dont dispose l'utilisateur pour se réauthentifier après l'expiration du jeton.

        Définissez l'expiration du jeton d'actualisation pour obliger l'utilisateur à effectuer une opération de connexion unique complète sur Verify après un certain temps écoulé. La durée d'expiration est basée sur le temps total écoulé et inclut le temps d'inactivité.

        Cette option est affichée mais désactivée, sauf si vous avez activé l'option Générer un jeton d'actualisation.

        Un jeton d'actualisation est utilisé pour obtenir un nouveau jeton d'accès afin d'assurer la continuité de l'accès à la ressource protégée.

        Seuls les entiers positifs sont autorisés.

        La valeur par défaut est 7200 secondes. La valeur minimum doit être égale ou supérieure à la valeur Expiration du jeton d'accès et la valeur maximum est 2147483647 secondes.

      5. Mappez les attributs à inclure sur le noeud final d'introspection et dans le contenu du jeton d'accès JWT.
        Nom d'attribut
        Nom de l'attribut que la partie de confiance utilise et exige de Verify.
        Attribut source

        Répertorie toutes les sources d'attributs que vous avez définies pour chaque type dans Configuration > Attributs.

        La valeur de votre source d'attribut sélectionnée est affectée en tant que valeur d'attribut pour le nom d'attribut de la partie utilisatrice défini dans le jeton d'ID.

      6. Sélectionnez Configure the API access pour spécifier les accès aux API qui sont accordés au jeton d'accès. Vous pouvez sélectionner des accès aux API spécifiques ou définir le bouton à bascule Sélectionner tout sur Activé pour sélectionner tous les accès.
  10. Facultatif : ajoutez ou supprimez des périmètres pour contrôler l'utilisation de l'application.
    Veillez à appuyer sur la touche Entrée après chaque portée que vous ajoutez.
  11. Cliquez sur Suivant pour continuer, ou sur Précédent pour modifier votre configuration.
  12. Pour activer la mise en correspondance des identités, placez le commutateur sur « On » et fournissez les informations suivantes.
    ID utilisateur unique
    Attribut utilisateur qui sert d'identificateur pour le compte lié.
    Application des accès JIT
    Positionnez le bouton à bascule sur Activé pour créer un compte virtuel dans le domaine principal si le compte utilisateur est introuvable dans la source d'identité principale.
    ID externe
    L'identifiant utilisé pour identifier de manière unique les utilisateurs dans le répertoire des utilisateurs de Baidu.
  13. Cliquez sur Enregistrer.