Configuration des paramètres globaux

Utilisez ces paramètres pour déterminer comment le titulaire authentifie les utilisateurs.

Procédure

  1. Sélectionnez Authentification > Fournisseurs d'identité > Paramètres généraux.
  2. Sélectionnez le fournisseur d'identité principal dans le menu utilisé par votre titulaire pour authentifier les utilisateurs lorsqu'ils se connectent.
    En règle générale, le fournisseur d'identité principal du titulaire est IBM® Verify Cloud Directory.
  3. Facultatif : sous SAML 2.0, dans la section « Configuration du fournisseur de services », mettez à jour les paramètres de fédération du fournisseur de services SAML 2.0.
    1. Indiquez l 'identifiant de l'entité.
      En général, cet identifiant est généré sous la forme https://Tenant-Name/saml/sps/saml20sp/saml20. Vous pouvez le modifier pour y indiquer un nom d'hôte et un domaine personnalisés.
      Remarque : si l'ID d'entité est modifié, vous devrez mettre à jour la configuration du partenaire en utilisant la nouvelle valeur de l'ID d'entité pour les sources d'identité existantes de type « SAML » et « 2.0 ».
    2. Indiquez la durée de validité du message en secondes.
      Il s'agit du délai de tolérance en secondes pendant lequel le message IssueInstant « SAML » reçu est validé.
    3. Facultatif : si vous souhaitez activer la vérification de la liste de révocation de certificats (CRL), cochez la case « CRL activée ».

      Lorsque la fonction CRL est activée, elle vérifie la liste de révocation des certificats. Une vérification est effectuée pour toutes les fonctions de cryptage des fournisseurs d'identité d' SAML Enterprise qui utilisent un certificat externe.

      Si votre configuration ne nécessite pas de vérification des listes CRL, vous pouvez laisser cette option désactivée, ce qui correspond au paramètre par défaut. Voici quelques raisons pour lesquelles vous pourriez ne pas vouloir activer la vérification des listes CRL :
      • Si vous utilisez une autorité de certification (CA) interne auto-signée.
      • Rencontrer des problèmes de performances. Les applications à fort volume de données peuvent subir une baisse significative de leurs performances.
      • Vous rencontrez des problèmes de connexion réseau. Les pare-feu peuvent bloquer l'accès aux serveurs CRL; les réseaux sont isolés physiquement ou coupés de tout accès à Internet.
    4. Sélectionnez un critère de sélection clé.
      Il précise quelle clé ou quel certificat utiliser pour signer, valider, chiffrer ou déchiffrer divers messages. Si plusieurs clés ou certificats existent et que leur nom SubjectDN correspond à celui de la clé ou du certificat associé à l'alias spécifié, ce paramètre détermine lequel utiliser. Il propose les trois méthodes de sélection suivantes.
      Alias uniquement
      Sélectionnez la clé ou le certificat avec l'alias spécifié. Il s'agit de la méthode par défaut.
      Durée de vie la plus courte
      Pour la signature, une clé valide avec la durée de vie minimale est utilisée. Pour la validation, les clés ayant le même SubjectDN sont triées en fonction de la disponibilité de la durée de vie. Les clés sont essayées de manière séquentielle en commençant par celle dont la disponibilité de durée de vie est la plus courte jusqu'à ce que la validation aboutisse.
      Durée de vie la plus longue
      Pour la signature, une clé valide avec la durée de vie maximale est utilisée. Pour la validation, les clés ayant le même SubjectDN sont triées en fonction de la disponibilité de la durée de vie. Les clés sont essayées de manière séquentielle en commençant par celle dont la disponibilité de durée de vie est la plus longue jusqu'à ce que la validation aboutisse.
    5. Cochez la case « Ignorer la validation de l' URL de la cible ».
      Cela indique s'il faut ignorer une targetURL validation dans SAML La valeur par défaut est false.
    6. Cliquez sur « Ajouter des URL cibles autorisées » URL pour ajouter des URL cibles autorisées.
      Vous pouvez ajouter plusieurs URL.
    7. Sélectionnez le format par défaut pour l'identifiant de nom.
      • E-mail
      • Non précisé.
    8. Sélectionnez l 'algorithme de signature.
      Pour la signature, un algorithme signe numériquement le message SAMLAuthnRequest . Les valeurs prises en charge sont : RSA-SHA1, RSA-SHA256, RSA-SHA512, ECDSA-SHA256, ECDSA-SHA384 et ECDSA-SHA512. S'il est vide, il prend la valeur par défaut RSA-SHA256.
    9. Sélectionnez le certificat de signature.
      En matière de signature, ce certificat sert à signer le certificat SAMLAuthnRequest lors de l'authentification unique. La sélection par défaut fait référence au certificat personnel par défaut que vous avez configuré dans Sécurité > Certificats > Certificats personnels.
    10. Sélectionnez le certificat de déchiffrement.
      Utilisez ce certificat pour déchiffrer le message de réponse « SAML » reçu s'il contient des éléments chiffrés lors de l'authentification unique. La sélection par défaut fait référence au certificat personnel par défaut que vous avez configuré dans Sécurité > Certificats > Certificats personnels.
    11. Cochez la case « Exclure SPNameQualifier » dans « AuthnRequest ».

      Cela indique s'il faut exclure SPNameQualifier in AuthnRequest lorsqu'un format non nameid spécifié est utilisé. La valeur par défaut est false, ce qui revient à inclure le SPNameQualifier..

  4. Facultatif : dans la section « Mappage des attributs », mappez les attributs du fournisseur d'identité vers IBM Verify Cloud Directory.
    1. Sélectionnez « Ajouter un mappage d'attributs ».
    2. Spécifiez un attribut de fournisseur d'identité à l'aide de l'une des options suivantes :
      1. Sélectionnez l'une des options disponibles dans la liste suivante :
        Nom d'attribut Descriptif
        company Entreprise de l'utilisateur.
        country Pays de l'utilisateur.
        displayName Nom affiché de l'utilisateur.
        email Adresse électronique de l'utilisateur, à laquelle la notification est envoyée.
        family_name Nom de l'utilisateur.
        given_name Prénom de l'utilisateur.
        mobile_number Numéro de mobile de l'utilisateur, auquel la notification est envoyée.
        userID Identificateur unique de l'utilisateur.
        Custom rule Attribut du fournisseur d'identité personnalisé. Si vous sélectionnez « Règle personnalisée », saisissez une règle personnalisée dans l'éditeur de règles, puis cliquez sur OK pour enregistrer.
      2. Entrez un nom d'attribut dans la zone Sélectionner un attribut. Ce nom correspond à un attribut qui ne figure pas dans la liste des options.
    3. Sélectionnez une valeur de transformation pour transformer l'attribut du fournisseur d'identité ou conservez la valeur par défaut « Aucun ».
      Nom d'attribut Descriptif
      Uppercase Transforme l'attribut en majuscules.
      Lowercase Transforme l'attribut en minuscules.
      Base64 Encode Transforme l'attribut à l'aide d'un algorithme de codage de type « base64 ».
      Base64 Decode Transforme l'attribut à l'aide d'un algorithme de décodage de type « base64 ».
      Encode URI Transforme l'attribut à l'aide d'une méthode d'encodage d'URI.
      Encode URI Component Transforme l'attribut à l'aide d'une méthode de composant d'encodage d'URI.
      Decode URI Transforme l'attribut à l'aide d'une méthode de décodage d'URI.
      Decode URI Component Transforme l'attribut à l'aide d'une méthode de décodage des composants URI.
      Generate UUID if no value is evaluated Transforme l'attribut pour générer des identificateurs universellement uniques.
      Current Time (seconds) Transforme l'attribut en secondes.
      Current Time (milliseconds) Transforme l'attribut en millisecondes.
      SHA-256 Hash Transforme l'attribut à l'aide d'un algorithme d' SHA-256.
      SHA-512 Hash Transforme l'attribut à l'aide d'un algorithme d' SHA-512.
    4. Spécifiez un IBM Verify attribut. Pour plus d'informations sur les attributs, consultez la section « Gestion des attributs ».
      Remarque : évitez de sélectionner les attributs intégrés réservés suivants, car ils ne correspondent pas aux attributs du fournisseur d'identité.
      • groupIds
      • preferred_username
      • realmName
      • tenantId
      • uid
    5. Indiquez comment l'attribut est stocké dans le profil utilisateur :
      • Toujours - Stockez ou mettez à jour l'attribut à chaque connexion.
      • Sur la création de l'utilisateur uniquement - Stockez l'attribut une fois lors de la création du compte.
      • Désactiver - Ne jamais stocker ou mettre à jour l'attribut.
    6. Répétez le processus pour chaque attribut que vous avez mappé.
  5. Facultatif : sélectionnez la source d'appartenance aux groupes dans le menu suivant pour définir la source des groupes de droits d'accès des utilisateurs :
    • Répertoire cloud - Les droits d'accès utilisateur sont dérivés des groupes d'utilisateurs dans le répertoire cloud.
    • Répertoire cloud et source d'identité - Les droits d'accès utilisateur sont dérivés des groupes d'utilisateurs dans le répertoire cloud et le jeton de source d'identité, qui inclut la réclamation groupIds.
    • Source d'identité - Les droits d'accès utilisateur sont dérivés du jeton de source d'identité, qui inclut la réclamation groupIds.
      Remarque : si le jeton de la source d'identité ne contient pas cette groupIds revendication, vous ne bénéficiez d'aucune autorisation d'appartenance à un groupe.
    • Règle personnalisée - Si vous sélectionnez « Règle personnalisée », saisissez une règle personnalisée dans l'éditeur de règles, puis cliquez sur OK pour enregistrer. Les droits d'accès utilisateur sont dérivés en fonction de la règle personnalisée.
  6. Dans la section « Échange de session », vous pouvez sélectionner les URL de redirection autorisées à être transmises à l'API Token Exchange .
    L'API Token Exchange accepte un paramètre redirect_url qui oblige l'API à renvoyer une redirection de navigateur avec une session de connexion. redirect_url doit correspondre à l'une des expressions régulières de cette liste.

    En règle générale, l'URL correspond à une URL spécifique à laquelle l'utilisateur doit accéder ou à une URL personnalisée pour votre entreprise. Cette fonction limite la redirection vers les URL que vous spécifiez.

    Le redirect_url paramètre est automatiquement autorisé si,
    • Il commence par le nom du titulaire : https://<tenantname>
    • Il commence par « / », ce qui signifie qu'il s'agit d'une URL relative pour le titulaire.
    Sinon, l'URL doit être ajoutée ici en tant qu'expression régulière.
    Par exemple, pour utiliser des caractères d'URL courants avec les échappements appropriés :
    https://www\.example\.com\?key1=value1&key2=value2
    Pour correspondre à tout ce qui commence par un domaine donné, utilisez le caractère générique *.
    https://www\.example\.com.*
  7. Sélectionnez le fournisseur d'identité par défaut dans le menu utilisé pour l'authentification à partir des appareils mobiles.
  8. Sélectionnez un identificateur unique dans le menu à utiliser pour l'identification de l'utilisateur.
  9. Configurez le nettoyage automatisé des comptes.
    1. Cochez la case pour activer le nettoyage automatique.
    2. Sélectionnez le nombre de jours pendant lesquels le compte peut être inactif.
    3. Sélectionnez la population.
      • Nombre d'utilisateurs total
      • Spécifiez un filtre SCIM.
  10. Cliquez sur « Enregistrer les modifications ».