Configuration de la mise à disposition via SAML JIT
IBM® VerifyActivez la création de comptes à JIT la demande pour créer ou mettre à jour un compte utilisateur chez le fournisseur de services dès la première authentification de l'utilisateur. Verify transmet les informations utilisateur nécessaires à la création ou à la mise à jour du compte via une assertion « SAML ». Utilisez la mise à disposition JIT pour les cas où le fournisseur de services n'exige pas que les informations d'identité de l'utilisateur soient créées ou connues de lui avant que l'utilisateur ne tente d'accéder au fournisseur de services.
Avant de commencer
- Vous devez disposer des droits d'administration pour effectuer cette tâche.
- Créez des profils utilisateur dans le répertoire cloud pour les utilisateurs auxquels vous prévoyez d'accorder des droits d'accès à des applications. Ajoutez les utilisateurs via la page . Voir la section « Gestion des utilisateurs ».
- Configurez les informations de base de l'instance de l'application dans l'onglet Général. Voir la section « Configuration des informations de base de l'application ».
A propos de cette tâche
Le compte utilisateur est créé dans le registre des utilisateurs du fournisseur de services à l'aide des attributs contenus dans l'assertion « SAML ». Verify Envoie une assertion « SAML » au fournisseur de services lorsque l'utilisateur accède à ce dernier dans le cadre d'une authentification unique. Si aucun compte ne correspond au nom d'utilisateur fourni, le fournisseur de services crée un nouveau compte à partir des attributs de l'utilisateur contenus dans l'assertion « SAML ». Le fournisseur de services accorde également immédiatement à l'utilisateur l'accès aux ressources demandées.
VerifySi vous activez le provisionnement « juste à temps » dans [nom du système], vous devez également l'activer chez le fournisseur de services. Ce paramètre doit toujours être synchronisé.
Il se peut qu'une correspondance soit trouvée; dans ce cas, account does exist le fournisseur de services met à jour le compte de l'utilisateur en fonction des informations d'attribut contenues dans l 'assertion « SAML ».
Certains fournisseurs de services prennent en charge la mise à jour des comptes lors de la connexion suivante de l'utilisateur lorsque JIT la fonctionnalité de provisionnement est activée. Voir la documentation produit du fournisseur de services pour déterminer le
comportement appliqué.
user@tenanthostnameSi l'administrateur a créé un utilisateur standard dans cloudIdentityRealm avec le userName sous la forme, où tenanthostname correspond au nom d'hôte du tenant. Par exemple, hostname.idng.ibmcloudsecurity.com. userAu cours du processus JIT (provisionnement « juste à temps »), si le jeton reçu contient un nom d'utilisateur, la création d'un utilisateur fédéré pour cet utilisateur ne sera pas autorisée; à la place, l'utilisateur user@tenanthostname standard de cloudIdentityRealm sera configuré par défaut pour des raisons de facilité d'utilisation.