Configuration de l'authentification unique d' SAML. dans le fournisseur d'identité
Utilisez SAML pour l'authentification unique afin de permettre aux applications de vérifier l'identité de leurs utilisateurs en s'appuyant sur l'authentification effectuée par Verify. Les utilisateurs sont redirigés vers Verify pour se connecter. Verify vérifie l'identité des utilisateurs, transmet ces informations via une assertion « SAML » et confirme auprès du fournisseur de services que les utilisateurs sont autorisés à accéder à la ressource et à l'utiliser.
Avant de commencer
- Vous devez disposer des droits d'administration pour effectuer cette tâche.
- Ouvrez au moins deux fenêtres de navigateur pour terminer la configuration. L'un pour la Verify console d'administration et l'autre pour la console d'administration de l'application cible.
- Connectez-vous à la IBM® Verify console d'administration en tant qu'administrateur.
- Connectez-vous à la console d'administration de l'application cible avec votre compte administrateur.
- Vous devez configurer les informations de base de l'instance de l'application dans l'onglet « Général ». Voir la section « Configuration des informations de base de l'application ».
A propos de cette tâche
Verify peut servir de fournisseur d'identité pour l'authentification unique ou de fournisseur de services. Dans cette tâche, Verify joue le rôle de fournisseur d'identité, tandis que l'application cible est le fournisseur de services.
Si vous utilisez un modèle d'application personnalisée, consultez la section « Application personnalisée » avant de continuer.
- Verify avec certaines données fournies par le prestataire de services.
- Le prestataire de services disposant de certaines données provenant de Verify.
Si le fournisseur de services signe sa demande d'authentification SAML, vous devez d'abord ajouter le certificat du signataire dans la page . Voir la section « Gestion des certificats ».
Si le fournisseur de services a besoin d'autres attributs provenant de l 'assertion « SAML » en plus des attributs intégrés, ajoutez les sources d'attributs requises dans la page . Voir « Gestion des attributs ».
manageFederations condition de disposer des autorisations API et readFederations .- clockSkew
- Tolérance en secondes lorsque l'assertion SAML reçue
NotBeforeetNotOnOrAfterest validée. - messageValidTime
- Tolérance en secondes lorsque le message SAML reçu
IssueInstantest validé. - skipTargetUrlValidation
- Indique si une validation d'URL cible doit être ignorée dans SAML.
La valeur par défaut est false.
- allowedTargetUrls
- Indique les URL cible autorisées pour SAML.
La valeur de cette propriété de configuration est un tableau de chaînes. Chaque élément de tableau est une URL. Le nom d'hôte URL prend en charge le caractère générique. Par exemple, *.ibmcloud.com.
La valeur est vide par défaut.
- signatureAlgorithm
- Pour la signature, un algorithme signe numériquement le message SAML AuthnRequest. Les valeurs prises en charge sont : RSA-SHA1, RSA-SHA256, RSA-SHA512, ECDSA-SHA256, ECDSA-SHA384, ECDSA-SHA512. S'il est vide, il prend la valeur par défaut RSA-SHA256.
- signingKeyLabel
- En matière de signature, ce certificat sert à signer le site SAML AuthnRequest lors de l'authentification unique. La sélection par défaut fait référence au certificat personnel par défaut que vous avez configuré dans Sécurité > Certificats > Certificats personnels.
- decryptionKeyLabel
- Utilisez ce certificat pour déchiffrer le message de réponse « SAML » reçu s'il contient des éléments chiffrés lors de l'authentification unique. Les certificats personnels par défaut que vous avez configurés dans Sécurité > Certificats > Certificats personnels.
- assertionSettings.assertionValidAfter
- Tolérance en secondes qui est ajoutée à
NotOnOrAfterlorsque l'assertion SAML est émise. - assertionSettings.assertionValidBefore
- Tolérance en secondes qui est ajoutée à
NotBeforelorsque l'assertion SAML est émise. - messageValidTime
- Tolérance en secondes lorsque le message SAML reçu
IssueInstantest validé.
- crlEnabled
- Vérifie la liste de révocation de certificat. La vérification est effectuée pour toutes les fonctions qui utilisent un certificat externe. Si votre configuration ne nécessite pas la vérification CRL, vous pouvez la désactiver. Par exemple, si vous utilisez une autorité de certification interne (CA), vous pouvez désactiver la vérification CRL. :NONE.crlEnabledLa valeur par défaut de la propriété esttrue.
- keySelectionCriteria
- Définissez la clé ou le certificat à utiliser pour la signature, la validation, le chiffrement ou le déchiffrement
de messages. S'il existe plusieurs clés ou certificats dont le nom
SubjectDNcorrespond à celui de la clé ou du certificat associé à l'alias spécifié, ce paramètre permet de déterminer lequel utiliser. Utilisez l'une des méthodes de sélection suivantes :- only.alias
- Sélectionnez la clé ou le certificat avec l'alias spécifié. Il s'agit de la méthode par défaut.
- longest.lifetime
- Pour la signature, une clé valide avec la durée de vie maximale est utilisée. Pour la validation, les clés ayant le même
SubjectDNsont triées en fonction de la disponibilité de la durée de vie. Les clés sont essayées de manière séquentielle en commençant par celle dont la disponibilité de durée de vie est la plus longue jusqu'à ce que la validation aboutisse. - shortest.lifetime
- Pour la signature, une clé valide avec la durée de vie minimale est utilisée. Pour la validation, les clés ayant le même
SubjectDNsont triées en fonction de la disponibilité de la durée de vie. Les clés sont essayées de manière séquentielle en commençant par celle dont la disponibilité de durée de vie est la plus courte jusqu'à ce que la validation aboutisse.
- Type de données : chaîne
- Exemple : only.alias
Procédure
Que faire ensuite
- Fournissez au fournisseur de services les Verify informations nécessaires pour finaliser la configuration de l'authentification unique SAML entre Verify [nom] et le fournisseur de services. Voir les instructions fournies dans
l'interface utilisateur.
Si l'application SAML est configurée avec le certificat personnel par défaut comme certificat de signature, vous pouvez télécharger les métadonnées d' SAML depuis la section « Vérifier à https://{tenantName}/v1.0/saml/federations/saml20ip/metadata». Si l'application SAML est configurée avec un certificat personnel autre que le certificat par défaut, portant la mention « {actualKeyLabel} » comme certificat de signature, vous pouvez télécharger les métadonnées de SAML à partir de https://{tenantName}/v1.0/saml/federations/saml20ip/metadata?keyLabel={actualKeyLabel}.
- Ajoutez des habilitations d'utilisateur ou de groupe pour permettre l'accès aux applications configurées. Voir « Gestion des droits d'accès aux applications » (par l'administrateur ou le propriétaire de l'application).
- Imposez aux utilisateurs l'authentification à deux facteurs pour un meilleur contrôle de la sécurité lorsqu'ils se connectent aux applications configurées. Voir la section « Configuration des facteurs d'authentification ».