Ajout d'un fournisseur d'identité d'entreprise SAML

Vous pouvez utiliser n'importe quel fournisseur d'identité prenant en charge le protocole SAML comme fournisseur d'identité pour SAML Enterprise. Le fournisseur d'identité vérifie l'identité de l'utilisateur par rapport aux données qu 'il détient avant de lui accorder l'accès à Verify.

Procédure

  1. Sélectionnez « Authentification » > « Fournisseurs d'identité ».
  2. Sélectionnez « Ajouter un fournisseur d'identité ».
  3. Sélectionnez « SAML Enterprise ».
  4. Cliquez sur Suivant.
  5. Dans l'onglet « Général », indiquez les informations suivantes.
    Nom
    Donnez un nom distinctif à votre fournisseur d'identité.
    Domaine

    Il s'agit d'un attribut de fournisseur d'identité qui permet de distinguer les utilisateurs provenant de plusieurs fournisseurs d'identité et partageant le même nom d'utilisateur.

    Ce doit être un nom unique sur toutes les autres sources d'identité configurées dans votre abonnement. Le nom peut contenir des caractères alphanumériques. Les caractères spéciaux ne sont pas autorisés, sauf le point (.) et le trait d'union (-).

    La longueur de chaîne maximale autorisée est 253, similaire à la longueur maximale d'un nom de domaine.
    Remarque : vous ne pouvez plus modifier le nom une fois que vous l'avez créé.
    ID
    L'ID est créé une fois que vous avez sauvegardé la configuration.
    Activé
    Cochez cette case pour utiliser ce fournisseur d'identité lors de la connexion.

    Indique si le fournisseur d'identité est actif et disponible.

    Une fois le fournisseur d'identité configuré et activé, les utilisateurs peuvent se Verify connecter via une authentification unique à leurs applications autorisées à l'aide du fournisseur d'identité sélectionné. Si le fournisseur d'identité n'est pas activé, il n'apparaît pas sous forme d'option dans la page Connexion.
    Remarque :
    • Il doit y avoir au moins un fournisseur d'identité activé pour la connexion à Verify.
    • Si un seul fournisseur d'identité est activé, il devient l'option de connexion par défaut de l'utilisateur.
    Utiliser un ID unique
    Cochez cette case pour attribuer un identifiant unique à ce fournisseur d'identité. Cette fonctionnalité permet de configurer plusieurs fournisseurs d'identité, chacun doté d'un identifiant unique, avec le même identifiant de fournisseur.
    Remarque : cette valeur est générée aléatoirement et ne peut pas être modifiée une fois le fournisseur d'identité créé.
    • L'identifiant unique est intégré dans les Verify URL des points de terminaison du fournisseur de services.
    • Si cette option n'est pas activée, ce fournisseur d'identité est le seul à pouvoir être configuré avec l'identifiant du fournisseur.
  6. Cliquez sur Suivant.
  7. Fournissez au fournisseur d'identité les propriétés de métadonnées du fournisseur de services suivantes. Vous pouvez copier les informations ou télécharger le fichier de métadonnées.
    ID d'entité
    Indique l'émetteur dans la requête d'authentification SAML et le destinataire de toute réponse d'authentification SAML reçue.
    Remarque : l'identifiant d'entité est basé sur le nom d'hôte principal. Cela ne change pas lorsqu'on utilise un nom d'hôte fantaisiste. Téléchargez le fichier de métadonnées pour obtenir les valeurs à utiliser lors de la configuration manuelle d'un partenaire avec un nom d'hôte personnalisé.
    URL du service consommateur d'assertions

    Indique le point de terminaison chez le fournisseur de services qui reçoit la réponse d'authentification de l' SAML.

    Le fournisseur d'identité redirige la réponse d'authentification de SAML vers cette page : URL. Ce point de terminaison reçoit et traite l 'assertion « SAML ».

    URL de déconnexion unique

    Indique le nœud final au niveau du fournisseur de services qui reçoit la demande et la réponse de déconnexion SAML.

    Le fournisseur d'identité redirige la demande et la réponse de déconnexion SAML vers cette URL. Ce nœud final reçoit et traite la demande et la réponse de déconnexion SAML.

    NameID URL de la direction

    Spécifie le point de terminaison chez le fournisseur de services utilisé pour synchroniser les modifications apportées à l'identifiant d'un utilisateur ( NameID ), conformément à la demande du fournisseur d'identité.

    Le fournisseur d'identité envoie les mises à jour de mappage d' NameID s ou les demandes de résiliation à cette adresse URL. Ce point de terminaison garantit la cohérence de la synchronisation des identités entre le fournisseur de services et le fournisseur d'identité lorsqu'un identifiant unique d'un utilisateur est modifié.

  8. Cliquez sur Suivant.
  9. Cochez la case correspondante pour indiquer si c'est le fournisseur de services ou le fournisseur d'identité qui lance le processus d'authentification unique d' SAML.
    • Prestataire de services.
      Remarque : si vous choisissez cette option, vous devez télécharger les métadonnées du fournisseur d'identité dans un .xml format.
    • Fournisseur d"identité
      Dans ce scénario :
      1. L'utilisateur dispose d'un compte sur le site du fournisseur d'identité.
      2. L'utilisateur se connecte au site du fournisseur d'identité ou utilise l'URL de connexion unique du fournisseur d'identité pour accéder à la ressource protégée du fournisseur de services.
      3. Le fournisseur d'identité lance une réponse d'authentification de type « SAML » qui confirme que l'utilisateur est authentifié.
      4. Le fournisseur de services valide la réponse d'authentification de l' SAML.
      5. Le navigateur de l'utilisateur est redirigé vers l'URL cible du fournisseur de services et l'utilisateur est autorisé à accéder à la ressource demandée.
      Si vous avez sélectionné « Fournisseur d'identité », vous devez indiquer l' URL d'authentification unique. URL qui lance la connexion unique depuis le fournisseur d'identité vers le fournisseur de services.
  10. Cliquez sur Suivant.
  11. Facultatif : sur la page « Single Logout », indiquez si les messages de demande et de réponse de déconnexion entrants doivent être signés.
    • Si le message de demande de déconnexion entrante requiert une signature, sélectionnez Valider la signature de la demande de déconnexion.
    • Si le message de réponse de déconnexion entrante requiert une signature, sélectionnez Valider la signature de la réponse de déconnexion.
    Remarque :
    • Si le fichier de métadonnées du fournisseur d'identité que vous avez téléchargé contient l'élément SingleLogoutService avec une liaison POST de type « HTTP », la déconnexion unique est activée pour ce fournisseur d'identité.
    • L' URL e pour la déconnexion unique initiée par le fournisseur de services se présente comme suit : https://<tenant-Host>/saml/sps/saml20sp/saml20/sloinitial?RequestBinding=HTTPPost.
    • Si le fournisseur d'identité SAML de la session en cours ne répond pas à une demande de déconnexion envoyée depuis Verify, la déconnexion unique s'arrête au niveau de ce fournisseur d'identité. Pour réactiver la déconnexion unique, l'utilisateur doit effectuer à nouveau la procédure de déconnexion unique.
  12. Cliquez sur Suivant.
  13. Facultatif : sur la page « Provisionnement juste à temps et liaison d'identités », indiquez si vous souhaitez activer le provisionnement juste à temps et la liaison d'identités.
    1. Indiquez si vous souhaitez activer l'approvisionnement à la demande.
      Cette option permet de créer et de mettre à jour le compte utilisateur dans le domaine du fournisseur d'identité principal associé à l'identité SAML. Si l'approvisionnement « juste à temps » est désactivé, les utilisateurs qui tentent de se connecter via ce fournisseur d'identité ne pourront pas s'authentifier s'il n'existe aucune fiche utilisateur correspondante dans l'annuaire.
    2. Dans le menu « Identifiant utilisateur unique », sélectionnez un attribut permettant d'identifier les utilisateurs figurant dans le registre des utilisateurs du fournisseur d'identité.
      Si vous sélectionnez « Activer la liaison d'identité » pour ce fournisseur d'identité, vous devez fournir l'UUID.
    3. Sélectionnez une valeur de transformation pour transformer la valeur de l'identifiant utilisateur unique ou conservez la valeur par défaut « Aucun ».
    4. Cochez la case « Activer la liaison d'identité pour ce fournisseur d'identité ».
      Active la mise en relation des identités pour un fournisseur d'identité spécifique. Aucun compte fantôme n'est créé dans Cloud Directory au niveau du domaine spécifié pour ce fournisseur d'identité.
      Remarque :
      1. Vous ne pouvez pas activer la mise en relation sur le fournisseur d'identité défini comme fournisseur d'identité par défaut.
      2. Vous ne pouvez pas désactiver ni supprimer votre fournisseur d'identité de liaison par défaut.
      Si vous activez la liaison d'identité, sélectionnez l'identificateur unique que vous souhaitez utiliser pour les comptes. Cet identifiant unique est comparé à l'attribut Username du compte du répertoire cloud.
    5. Dans le menu « Identifiant externe », indiquez un attribut permettant d'identifier les utilisateurs issus du registre des utilisateurs du fournisseur d'identité, ou saisissez un identifiant externe personnalisé.
      La valeur par défaut est l'identifiant utilisateur.
    6. Sélectionnez une valeur de transformation pour transformer la valeur de l'identifiant externe ou conservez la valeur par défaut « Aucun ».
    7. Indiquez si vous souhaitez activer l'authentification forcée pour effectuer la liaison des comptes.
      Cette option s'applique uniquement aux flux qui utilisent des jetons de formatage persistants nameid SAML. Si cette option est sélectionnée, l'utilisateur est invité à s'authentifier d'abord auprès du domaine associé afin de lier le compte utilisateur authentifié au sujet du jeton SAML. Si cette option n'est pas sélectionnée, nameid les opérations de gestion ne sont pas prises en charge pour le fournisseur d'identité d'entreprise SAML.
  14. Cliquez sur Suivant.
  15. Facultatif : sur la page « Mappage des attributs », mappez les attributs du fournisseur d'identité d' SAML Enterprise vers IBM® Verify Cloud Directory.
    Remarque : si vous ne faites aucun choix, le mappage d'attributs défini dans les paramètres généraux sera appliqué. Dans le cas contraire, la correspondance d'attributs définie dans le fournisseur d'identité d' SAML Enterprise prévaut sur la sélection effectuée dans les paramètres généraux. Pour plus d'informations sur les paramètres généraux, consultez la section « Configuration des paramètres généraux ».
    1. Sélectionnez « Ajouter un mappage d'attributs ».
    2. Spécifiez un attribut du fournisseur d'identité d'entreprise d' SAML en utilisant l'une des options suivantes.
      1. Faites votre choix dans la liste suivante.
        Nom d'attribut Descriptif
        company Entreprise de l'utilisateur.
        country Pays de l'utilisateur.
        displayName Nom affiché de l'utilisateur.
        email Adresse électronique de l'utilisateur, à laquelle la notification est envoyée.
        family_name Nom de l'utilisateur.
        given_name Prénom de l'utilisateur.
        mobile_number Numéro de mobile de l'utilisateur, auquel la notification est envoyée.
        userID Identificateur unique de l'utilisateur.
        Custom rule SAML personnalisée : attribut du fournisseur d'identité d'entreprise. Si vous sélectionnez « Règle personnalisée », saisissez une règle personnalisée dans l'éditeur de règles, puis cliquez sur OK pour enregistrer.
      2. Entrez un nom d'attribut dans la zone Sélectionner un attribut. Il s'agit d'un nom d'attribut qui n'est pas disponible dans la liste des options.
    3. Sélectionnez une valeur de transformation pour transformer l'attribut du fournisseur d'identité d' SAML, ou conservez la valeur par défaut « Aucun ».
      Nom d'attribut Descriptif
      Uppercase Transforme l'attribut en majuscules.
      Lowercase Transforme l'attribut en minuscules.
      Base64 Encode Modifie l'algorithme d'encodage de base64 l'attribut qui utilise .
      Base64 Decode Algorithme de décodage de base64 l'attribut qui utilise « transforms ».
      Encode URI Transformations de l'attribut qui utilise « encode » de la méthode URI.
      Encode URI Component Attribut « transforms » qui utilise la méthode « encode » pour les composants URI.
      Decode URI Méthode de décodage des URI de l'attribut qui utilise « transforms ».
      Decode URI Component Attribut « transforms » utilisant la méthode de décodage des composants URI.
      Generate UUID if no value is evaluated Transforme l'attribut pour générer des identificateurs universellement uniques.
      Current Time (seconds) Transforme l'attribut en secondes.
      Current Time (milliseconds) Transforme l'attribut en millisecondes.
      SHA-256 Hash Attribut « transforms » utilisant un algorithme d' SHA-256.
      SHA-512 Hash Attribut « transforms » utilisant un algorithme d' SHA-512.
    4. Spécifiez un IBM Verify attribut. Pour plus d'informations sur les attributs, consultez la section « Gestion des attributs ».
      Remarque : évitez de sélectionner les attributs intégrés réservés suivants, car ils ne correspondent pas aux attributs du fournisseur d'identité.
      • groupIds
      • preferred_username
      • realmName
      • tenantId
      • uid
    5. Précisez comment l'attribut est stocké dans le fichier user profile.
      • Toujours - Stockez ou mettez à jour l'attribut à chaque connexion.
      • Uniquement lors de la création d'un utilisateur : enregistrer l'attribut dès la création du compte.
      • Désactiver - Ne jamais stocker ou mettre à jour l'attribut.
    6. Remarque : vous devez répéter cette procédure pour chaque attribut que vous ajoutez et mappez.
  16. Facultatif : sélectionnez l'une des sources d'appartenance à un groupe suivantes pour définir la source des groupes de droits d'accès des utilisateurs.
    Attention : soyez vigilant lorsque vous configurez une source d'appartenance à un groupe. S'il est configuré pour s'appuyer sur la source d'identité, les autorisations d'accès des utilisateurs sont dérivées du jeton du fournisseur d'identité, qui contient la groupIds revendication. Si la groupIds demande porte sur les groupes système réservés de IBM Verify, l'utilisateur se voit accorder l'autorisation d'accès à ces groupes après s'être connecté à IBM Verify.
    • Répertoire cloud - Les droits d'accès utilisateur sont dérivés des groupes d'utilisateurs dans le répertoire cloud.
    • Répertoire cloud et source d'identité - Les autorisations d'accès des utilisateurs sont déterminées à partir des groupes d'utilisateurs du répertoire cloud et du jeton du fournisseur d'identité, qui contient groupIds une revendication.
    • Source d'identité - Les autorisations d'accès des utilisateurs sont dérivées du jeton du fournisseur d'identité, qui contient la groupIds revendication.
      Remarque : si le jeton du fournisseur d'identité ne contient pas cette groupIds revendication, vous ne bénéficiez d'aucune autorisation d'appartenance à un groupe.
    • Règle personnalisée. Si vous sélectionnez « Règle personnalisée », saisissez une règle personnalisée dans l'éditeur de règles, puis cliquez sur OK pour enregistrer. Les droits d'accès utilisateur sont dérivés en fonction de la règle personnalisée.
    Remarque : si vous ne faites aucun choix, la source d'appartenance au groupe sélectionnée dans les paramètres généraux sera appliquée. Dans le cas contraire, la source d'appartenance au groupe sélectionnée dans le fournisseur d'identité d'entreprise d' SAML 'annule la sélection effectuée dans les paramètres généraux.
  17. Cliquez sur Suivant.
  18. Facultatif : si vous avez créé des profils de confidentialité, sélectionnez-en un dans le menu.
    Les profils de confidentialité exigent que les utilisateurs figurant dans ce répertoire examinent et acceptent un ensemble de finalités d'utilisation des données, ou des contrats de licence d'utilisateur (CLU), ou les deux. Voir la section « Gestion des profils de confidentialité ».
  19. Cliquez sur Suivant.
  20. Facultatif : si vous avez activé l'aperçu public d' CI-108233, indiquez si vous souhaitez activer les invitations d'utilisateurs.
    Les invitations sont créées et envoyées à l'aide POST /v1.0/usc/user/invitation d'API. Voir « Inviter des utilisateurs ». Cochez la case « Activer les invitations d'utilisateurs » pour inviter d'autres personnes à s'inscrire en tant que nouveaux utilisateurs. Vous pouvez également sélectionner un profil utilisateur afin que celui-ci puisse saisir davantage d'informations lors de l'acceptation de l'invitation. Voir la section « Gestion des profils utilisateur ».
  21. Sélectionnez « Terminé ».
    La configuration du fournisseur d'identité s'ouvre en mode édition.