Configuration de la mise à disposition via SAML JIT

IBM® VerifyActivez la création de comptes à JIT la demande pour créer ou mettre à jour un compte utilisateur chez le fournisseur de services dès la première authentification de l'utilisateur. Verify transmet les informations utilisateur nécessaires à la création ou à la mise à jour du compte via une assertion « SAML ». Utilisez la mise à disposition JIT pour les cas où le fournisseur de services n'exige pas que les informations d'identité de l'utilisateur soient créées ou connues de lui avant que l'utilisateur ne tente d'accéder au fournisseur de services.

Avant de commencer

  • Vous devez disposer des droits d'administration pour effectuer cette tâche.
  • Créez des profils utilisateur dans le répertoire cloud pour les utilisateurs auxquels vous prévoyez d'accorder des droits d'accès à des applications. Ajoutez les utilisateurs via la page Répertoire > Utilisateurs et groupes > Utilisateurs. Voir la section « Gestion des utilisateurs ».
  • Configurez les informations de base de l'instance de l'application dans l'onglet Général. Voir la section « Configuration des informations de base de l'application ».

A propos de cette tâche

Activez l'approvisionnement JIT dans le cadre de la configuration de l'authentification unique basée sur l' SAML entre Verify et le fournisseur de services. Consultez

Le compte utilisateur est créé dans le registre des utilisateurs du fournisseur de services à l'aide des attributs contenus dans l'assertion « SAML ». Verify Envoie une assertion « SAML » au fournisseur de services lorsque l'utilisateur accède à ce dernier dans le cadre d'une authentification unique. Si aucun compte ne correspond au nom d'utilisateur fourni, le fournisseur de services crée un nouveau compte à partir des attributs de l'utilisateur contenus dans l'assertion « SAML ». Le fournisseur de services accorde également immédiatement à l'utilisateur l'accès aux ressources demandées.

VerifySi vous activez le provisionnement « juste à temps » dans [nom du système], vous devez également l'activer chez le fournisseur de services. Ce paramètre doit toujours être synchronisé.

Il se peut qu'une correspondance soit trouvée; dans ce cas, account does exist le fournisseur de services met à jour le compte de l'utilisateur en fonction des informations d'attribut contenues dans l 'assertion « SAML ».

Certains fournisseurs de services prennent en charge la mise à jour des comptes lors de la connexion suivante de l'utilisateur lorsque JIT la fonctionnalité de provisionnement est activée. Voir la documentation produit du fournisseur de services pour déterminer le comportement appliqué.

Remarque : comportement attendu. user@tenanthostnameSi l'administrateur a créé un utilisateur standard dans cloudIdentityRealm avec le userName sous la forme, où tenanthostname correspond au nom d'hôte du tenant. Par exemple, hostname.idng.ibmcloudsecurity.com. userAu cours du processus JIT (provisionnement « juste à temps »), si le jeton reçu contient un nom d'utilisateur, la création d'un utilisateur fédéré pour cet utilisateur ne sera pas autorisée; à la place, l'utilisateur user@tenanthostname standard de cloudIdentityRealm sera configuré par défaut pour des raisons de facilité d'utilisation.

Procédure

  1. Sélectionnez Applications > Applications > Editer > Connexion.
  2. Dans la section « Provisionnement juste à temps », sélectionnez « Inclure les attributs de provisionnement dans l'assertion SAML » pour répertorier les attributs utilisateur dont le fournisseur de services a besoin pour créer ou mettre à jour le compte utilisateur dans son registre d'utilisateurs.
    Remarque : selon l'application, cette option peut être disponible.
    • Toujours être activée dans le fournisseur de services. Par conséquent, cette option est activée et en lecture seule par défaut dans Verify. Aucun attribut de provisionnement requis ni aucune configuration supplémentaire.
    • Afficher les attributs dont le fournisseur de services a besoin pour appliquer les accès au compte utilisateur. Habituellement, un fournisseur de services requiert au moins les attributs utilisateur suivants :
      • Nom d'utilisateur
      • Prénom
      • Nom de famille
      • Adresse électronique
    • Afficher les attributs que le fournisseur de services prend en compte pour la configuration du compte utilisateur. Par exemple
      • ID employé
      • Numéro de téléphone portable
      • Service
      • Intitulé du poste
    • Exiger que les attributs de provisionnement correspondent aux attributs requis pour l'authentification unique.

      Peu importe que la case soit cochée ou non. Le compte utilisateur est créé lorsque l'utilisateur effectue une authentification unique avec Verify.

  3. Dans la section « Mappages d'attributs », attribuez un attribut utilisateur correspondant Verify à chacun des attributs du fournisseur de services.

    Mappez les attributs en fonction des exigences du fournisseur de services.

    Utilisez le mappage d'attributs pour contrôler la manière dont l'application calcule les attributs utilisateur à partir de Verify. Les attributs du fournisseur de services sont renseignés avec les valeurs contenues dans l'attribut utilisateur associé Verify .

    Remarque : la liste des attributs affichés et leur importance varient selon l'application. Certains attributs d'authentification unique peuvent être obligatoires pour la mise en service.
  4. Cliquez sur Enregistrer.
  5. Configurer l'approvisionnement JIT chez le fournisseur de services. Consultez les instructions fournies dans l'onglet Verify « Connexion ».

Résultats

Remarque : lorsqu'un utilisateur autorisé accède à l'application pour Verify la première fois, il est invité à accepter les conditions générales. Les accès sont appliqués au compte utilisateur dans l'application et l'utilisateur peut se connecter au compte.