Configuration d'une application WS-Federation d' Microsoft 365 IBM Verify

Configurez IBM® Verify comme fournisseur d'identité après avoir configuré Azure Active Directory en tant que fournisseur de services.

Avant de commencer

  • Vous devez disposer des droits d'administration pour effectuer cette tâche.
  • Connectez-vous à la IBM Verify console d'administration.

Procédure

  1. Sélectionnez Applications > Applications.
  2. Sélectionnez « Ajouter une application ».
  3. Sélectionnez « Microsoft 365 », puis «Ajouter une application ».
  4. Sélectionnez l'onglet « Connexion » et indiquez les informations suivantes :
    Remarque : cochez la case pour désactiver la connexion.
    Paramètres Descriptif
    Méthode de connexion Indique la méthode de connexion. Sélectionnez « SAML2.0 » comme méthode de connexion.
    Identifiant du prestataire* Indique un identificateur unique qui identifie le fournisseur à son fournisseur partenaire.
    URL du service de consommateur d'assertion (HTTP-POST) Le jeton de sécurité est envoyé à ce noeud final de fournisseur de services. Laissez la valeur par défaut.
    Fédérer plusieurs domaines pour Microsoft 365 Cochez cette case pour fédérer plusieurs domaines dans le cadre d' Microsoft™ 365 s et configurer plusieurs noms d'entité de service.
    IssuerUri suffixe Cette option ne s'applique que si la case « Regrouper plusieurs domaines pour Microsoft 365 » est cochée. Sélectionnez une source d'attribut; sa valeur sera ajoutée à la partie « IssuerUri » du jeton. Si l'option (Par défaut) est sélectionnée, l'UPN par défaut de l'utilisateur ou le domaine de messagerie sera ajouté à la partie « IssuerUri » du jeton.
  5. Utilisez les signatures numériques pour établir une relation de confiance entre IBM Security® Verify et le prestataire de services.
    Paramètres Descriptif
    Signer l'assertion Cochez cette case pour indiquer si IBM Verify signe le jeton de sécurité envoyé à Azure Active Directory.
    Algorithme de signature Indique l'algorithme pour la signature à partir des deux algorithmes pris en charge. Laissez la valeur par défaut.
    Certificat de signature Indique le certificat sélectionné pour IBM Verify pour signer le jeton de sécurité. Laissez la valeur par défaut.
  6. Configurez le sujet SAML dans l'assertion SAML pour identifier l'utilisateur authentifié.
    Paramètres Descriptif
    Identificateur de nom Cette option configure le sujet SAML dans l'assertion SAML pour identifier l'utilisateur authentifié. Laissez la valeur par défaut.
  7. Répertoriez les attributs utilisateur connus ou tout autre attribut devant être inclus dans l'assertion « SAML ».
    Paramètres Descriptif
    Nom de l'attribut - UPN Indique l'attribut UserPrincipalName.

    Dans le menu Source d'attribut, sélectionnez l'attribut UserPrincipalName.

    Pour plus d'informations sur l'attribut UserPrincipalName, voir Attributs de nommage utilisateur.

    Nom de l'attribut - ImmutableID Indique l'attribut ImmutableID.

    Dans le menu Source d'attribut, sélectionnez l'attribut ImmutableId.

  8. Télécharger le fichier de clés pour l'authentification Kerberos.
    Paramètres Descriptif
    Télécharger le fichier de clés Cette configuration n'est applicable que pour la jointure hybride Azure Active Directory. Pour plus d'informations sur le téléchargement d'un fichier keytab, consultez la section « Configuration du nom d'entité de service (SPN) et du fichier keytab pour l'authentification via l' Kerberos ».
  9. Configurer les noms principaux de service (SPN) pour l'authentification Kerberos.
    Paramètres Descriptif
    Noms principaux de service Cette configuration n'est applicable que pour la jointure hybride Azure Active Directory. Pour plus d'informations sur les noms d'entité de service, consultez la section « Configuration du nom d'entité de service (SPN) et du fichier Keytab pour l'authentification via l' Kerberos ».
  10. Configurez les paramètres du profil du demandeur d'activation.
    Paramètres Descriptif
    Fournisseur d'identité par défaut Indique le fournisseur d'identité par défaut en tant que répertoire cloud.
    Règle de demande Vous pouvez spécifier une règle personnalisée pour transformer le nom d'utilisateur des flux de profils de demandeur actifs.
    1. Facultatif : Testez votre règle de requête pour vous assurer qu'elle fonctionne comme prévu.
  11. Sélectionnez une stratégie d'accès pour effectuer l'authentification à deux facteurs et, si vous le souhaitez, l'autorisation d'accès adaptatif.
    Paramètres Descriptif
    Règles d'accès - Paramètres Indique la règle d'accès pour l'authentification à deux facteurs. L'autorisation d'accès adaptatif est facultative.

    Par défaut, la case Utiliser la stratégie par défaut est cochée.

  12. Cliquez sur Enregistrer.
  13. Sélectionnez l'onglet « Droits » et configurez le type d'accès.
  14. Cliquez sur Enregistrer.