Configuration des paramètres globaux
Utilisez ces paramètres pour déterminer comment le titulaire authentifie les utilisateurs.
Procédure
- Sélectionnez Authentification > Fournisseurs d'identité > Paramètres généraux.
- Sélectionnez le fournisseur d'identité principal dans le menu utilisé par votre titulaire pour authentifier les utilisateurs lorsqu'ils se connectent.En règle générale, le fournisseur d'identité principal du titulaire est IBM® Verify Cloud Directory.
- Facultatif : sous SAML 2.0, dans la section « Configuration du fournisseur de services », mettez à jour les paramètres de fédération du fournisseur de services SAML 2.0.
- Indiquez l 'identifiant de l'entité.En général, cet identifiant est généré sous la forme https://Tenant-Name/saml/sps/saml20sp/saml20. Vous pouvez le modifier pour y indiquer un nom d'hôte et un domaine personnalisés.Remarque : si l'ID d'entité est modifié, vous devrez mettre à jour la configuration du partenaire en utilisant la nouvelle valeur de l'ID d'entité pour les sources d'identité existantes de type « SAML » et « 2.0 ».
- Indiquez la durée de validité du message en secondes.Il s'agit du délai de tolérance en secondes pendant lequel le message
IssueInstant« SAML » reçu est validé. - Facultatif : si vous souhaitez activer la vérification de la liste de révocation de certificats (CRL), cochez la case « CRL activée ».
Lorsque la fonction CRL est activée, elle vérifie la liste de révocation des certificats. Une vérification est effectuée pour toutes les fonctions de cryptage des fournisseurs d'identité d' SAML Enterprise qui utilisent un certificat externe.
Si votre configuration ne nécessite pas de vérification des listes CRL, vous pouvez laisser cette option désactivée, ce qui correspond au paramètre par défaut. Voici quelques raisons pour lesquelles vous pourriez ne pas vouloir activer la vérification des listes CRL :- Si vous utilisez une autorité de certification (CA) interne auto-signée.
- Rencontrer des problèmes de performances. Les applications à fort volume de données peuvent subir une baisse significative de leurs performances.
- Vous rencontrez des problèmes de connexion réseau. Les pare-feu peuvent bloquer l'accès aux serveurs CRL; les réseaux sont isolés physiquement ou coupés de tout accès à Internet.
- Sélectionnez un critère de sélection clé.Il précise quelle clé ou quel certificat utiliser pour signer, valider, chiffrer ou déchiffrer divers messages. Si plusieurs clés ou certificats existent et que leur nom
SubjectDNcorrespond à celui de la clé ou du certificat associé à l'alias spécifié, ce paramètre détermine lequel utiliser. Il propose les trois méthodes de sélection suivantes.- Alias uniquement
- Sélectionnez la clé ou le certificat avec l'alias spécifié. Il s'agit de la méthode par défaut.
- Durée de vie la plus courte
- Pour la signature, une clé valide avec la durée de vie minimale est utilisée. Pour la validation, les clés ayant le même
SubjectDNsont triées en fonction de la disponibilité de la durée de vie. Les clés sont essayées de manière séquentielle en commençant par celle dont la disponibilité de durée de vie est la plus courte jusqu'à ce que la validation aboutisse. - Durée de vie la plus longue
- Pour la signature, une clé valide avec la durée de vie maximale est utilisée. Pour la validation, les clés ayant le même
SubjectDNsont triées en fonction de la disponibilité de la durée de vie. Les clés sont essayées de manière séquentielle en commençant par celle dont la disponibilité de durée de vie est la plus longue jusqu'à ce que la validation aboutisse.
- Cochez la case « Ignorer la validation de l' URL de la cible ».Cela indique s'il faut ignorer une
targetURLvalidation dans SAML La valeur par défaut estfalse. - Cliquez sur « Ajouter des URL cibles autorisées » URL pour ajouter des URL cibles autorisées.Vous pouvez ajouter plusieurs URL.
- Sélectionnez le format par défaut pour l'identifiant de nom.
- Non précisé.
- Sélectionnez l 'algorithme de signature.Pour la signature, un algorithme signe numériquement le message SAML
AuthnRequest. Les valeurs prises en charge sont : RSA-SHA1, RSA-SHA256, RSA-SHA512, ECDSA-SHA256, ECDSA-SHA384 et ECDSA-SHA512. S'il est vide, il prend la valeur par défaut RSA-SHA256. - Sélectionnez le certificat de signature.En matière de signature, ce certificat sert à signer le certificat SAML
AuthnRequestlors de l'authentification unique. La sélection par défaut fait référence au certificat personnel par défaut que vous avez configuré dans Sécurité > Certificats > Certificats personnels. - Sélectionnez le certificat de déchiffrement.Utilisez ce certificat pour déchiffrer le message de réponse « SAML » reçu s'il contient des éléments chiffrés lors de l'authentification unique. La sélection par défaut fait référence au certificat personnel par défaut que vous avez configuré dans Sécurité > Certificats > Certificats personnels.
- Cochez la case « Exclure SPNameQualifier » dans « AuthnRequest ».
Cela indique s'il faut exclure SPNameQualifier in AuthnRequest lorsqu'un format non nameid spécifié est utilisé. La valeur par défaut est
false, ce qui revient à inclure le SPNameQualifier..
- Indiquez l 'identifiant de l'entité.
- Facultatif : dans la section « Mappage des attributs », mappez les attributs du fournisseur d'identité vers IBM Verify Cloud Directory.
- Sélectionnez « Ajouter un mappage d'attributs ».
- Spécifiez un attribut de fournisseur d'identité à l'aide de l'une des options suivantes :
- Sélectionnez l'une des options disponibles dans la liste suivante :
Nom d'attribut Descriptif companyEntreprise de l'utilisateur. countryPays de l'utilisateur. displayNameNom affiché de l'utilisateur. emailAdresse électronique de l'utilisateur, à laquelle la notification est envoyée. family_nameNom de l'utilisateur. given_namePrénom de l'utilisateur. mobile_numberNuméro de mobile de l'utilisateur, auquel la notification est envoyée. userIDIdentificateur unique de l'utilisateur. Custom ruleAttribut du fournisseur d'identité personnalisé. Si vous sélectionnez « Règle personnalisée », saisissez une règle personnalisée dans l'éditeur de règles, puis cliquez sur OK pour enregistrer. - Entrez un nom d'attribut dans la zone Sélectionner un attribut. Ce nom correspond à un attribut qui ne figure pas dans la liste des options.
- Sélectionnez l'une des options disponibles dans la liste suivante :
- Sélectionnez une valeur de transformation pour transformer l'attribut du fournisseur d'identité ou conservez la valeur par défaut « Aucun ».
Nom d'attribut Descriptif UppercaseTransforme l'attribut en majuscules. LowercaseTransforme l'attribut en minuscules. Base64 EncodeTransforme l'attribut à l'aide d'un algorithme de codage de type « base64 ». Base64 DecodeTransforme l'attribut à l'aide d'un algorithme de décodage de type « base64 ». Encode URITransforme l'attribut à l'aide d'une méthode d'encodage d'URI. Encode URI ComponentTransforme l'attribut à l'aide d'une méthode de composant d'encodage d'URI. Decode URITransforme l'attribut à l'aide d'une méthode de décodage d'URI. Decode URI ComponentTransforme l'attribut à l'aide d'une méthode de décodage des composants URI. Generate UUID if no value is evaluatedTransforme l'attribut pour générer des identificateurs universellement uniques. Current Time (seconds)Transforme l'attribut en secondes. Current Time (milliseconds)Transforme l'attribut en millisecondes. SHA-256 HashTransforme l'attribut à l'aide d'un algorithme d' SHA-256. SHA-512 HashTransforme l'attribut à l'aide d'un algorithme d' SHA-512. - Spécifiez un IBM Verify attribut. Pour plus d'informations sur les attributs, consultez la section « Gestion des attributs ».Remarque : évitez de sélectionner les attributs intégrés réservés suivants, car ils ne correspondent pas aux attributs du fournisseur d'identité.
groupIdspreferred_usernamerealmNametenantIduid
- Indiquez comment l'attribut est stocké dans le profil utilisateur :
- Toujours - Stockez ou mettez à jour l'attribut à chaque connexion.
- Sur la création de l'utilisateur uniquement - Stockez l'attribut une fois lors de la création du compte.
- Désactiver - Ne jamais stocker ou mettre à jour l'attribut.
- Répétez le processus pour chaque attribut que vous avez mappé.
- Facultatif : sélectionnez la source d'appartenance aux groupes dans le menu suivant pour définir la source des groupes de droits d'accès des utilisateurs :
- Répertoire cloud - Les droits d'accès utilisateur sont dérivés des groupes d'utilisateurs dans le répertoire cloud.
- Répertoire cloud et source d'identité - Les droits d'accès utilisateur sont dérivés des groupes d'utilisateurs dans le répertoire cloud et le jeton de source d'identité, qui inclut la réclamation
groupIds. - Source d'identité - Les droits d'accès utilisateur sont dérivés du jeton de source d'identité, qui inclut la réclamation
groupIds.Remarque : si le jeton de la source d'identité ne contient pas cettegroupIdsrevendication, vous ne bénéficiez d'aucune autorisation d'appartenance à un groupe. - Règle personnalisée - Si vous sélectionnez « Règle personnalisée », saisissez une règle personnalisée dans l'éditeur de règles, puis cliquez sur OK pour enregistrer. Les droits d'accès utilisateur sont dérivés en fonction de la règle personnalisée.
- Dans la section « Échange de session », vous pouvez sélectionner les URL de redirection autorisées à être transmises à l'API Token Exchange .L'API Token Exchange accepte un paramètre redirect_url qui oblige l'API à renvoyer une redirection de navigateur avec une session de connexion. redirect_url doit correspondre à l'une des expressions régulières de cette liste.
En règle générale, l'URL correspond à une URL spécifique à laquelle l'utilisateur doit accéder ou à une URL personnalisée pour votre entreprise. Cette fonction limite la redirection vers les URL que vous spécifiez.
Le redirect_url paramètre est automatiquement autorisé si,- Il commence par le nom du titulaire : https://<tenantname>
- Il commence par «
/», ce qui signifie qu'il s'agit d'une URL relative pour le titulaire.
Par exemple, pour utiliser des caractères d'URL courants avec les échappements appropriés :
Pour correspondre à tout ce qui commence par un domaine donné, utilisez le caractère génériquehttps://www\.example\.com\?key1=value1&key2=value2*.https://www\.example\.com.* - Sélectionnez le fournisseur d'identité par défaut dans le menu utilisé pour l'authentification à partir des appareils mobiles.
- Sélectionnez un identificateur unique dans le menu à utiliser pour l'identification de l'utilisateur.
- Configurez le nettoyage automatisé des comptes.
- Cochez la case pour activer le nettoyage automatique.
- Sélectionnez le nombre de jours pendant lesquels le compte peut être inactif.
- Sélectionnez la population.
- Nombre d'utilisateurs total
- Spécifiez un filtre SCIM.
- Cliquez sur « Enregistrer les modifications ».