Gestion des fournisseurs d'identité

Un fournisseur d'identité est un référentiel utilisé pour l'authentification des utilisateurs et la création de comptes. Vous pouvez configurer plusieurs fournisseurs de sources d'identité. Tous les fournisseurs d'identité configurés et activés apparaissent comme options sur la Verify page de connexion. Les utilisateurs peuvent se connecter à Verify l'aide de n'importe lequel de ces fournisseurs d'identité.

Avant de commencer

  • Vous devez disposer des droits d'administration pour effectuer cette tâche.
  • Connectez-vous à la IBM® Verify console d'administration en tant qu'administrateur.

A propos de cette tâche

Remarque : Verify ne prend pas en charge la déconnexion via IDP. Le fait de vous déconnecter de Verify ne vous déconnecte pas de votre fournisseur d'identité ni d'aucune des applications Abonné auxquelles vous vous êtes connecté via ce fournisseur d'identité.
Verify prend en charge les types de fournisseur d'identité suivants :
Cloud Directory

Il utilise un registre d'utilisateurs qui est hébergé dans le cloud.

Vous pouvez ajouter des informations sur les utilisateurs et les groupes à ce fournisseur d'identité via Répertoire > Utilisateurs et groupes.

Ce fournisseur d'identité est utilisé dans une configuration d'authentification unique (SSO) sortante d' SAML. Verify vérifie l'identité de l'utilisateur par rapport aux données de ce fournisseur d'identité.

SAML Enterprise

Il utilise un registre d'utilisateurs local et échange des jetons d' SAML s pour mener à bien l'authentification.

Dans le cadre d'une authentification unique d' SAML, Verify peut être l'un des fournisseurs suivants :
fournisseur d'identité

Verify utilise son propre registre ou annuaire cloud comme fournisseur d'identité.

fournisseur de services

Vous pouvez intégrer Verify plusieurs fournisseurs d'identité pour authentifier les utilisateurs. Les utilisateurs provenant de fournisseurs d'identité externes peuvent se connecter via l'authentification unique à Verify et à leurs applications autorisées sans avoir à saisir leur Verify mot de passe.

Ce fournisseur d'identité est utilisé dans une configuration d'authentification unique (SSO) pour l' SAML; Verify joue le rôle de fournisseur de services, tandis que l'application cible fait office de fournisseur d'identité.

Vous pouvez utiliser n'importe quel fournisseur d'identité prenant en charge le protocole SAML comme fournisseur d'identité pour SAML Enterprise. Le fournisseur d'identité vérifie l'identité de l'utilisateur par rapport aux données qu 'il détient avant de lui accorder l'accès à Verify.

Remarque : lorsque vous ajoutez un fournisseur d'identité d'entreprise SAML, son certificat de signature est automatiquement importé dans la page Sécurité > Certificats > Certificats de signature.
OIDC d'entreprise
Tout fournisseur d'identité qui prend en charge le protocole OIDC peut être utilisé comme fournisseur d'identité d'entreprise OIDC. Le fournisseur d'identité authentifie l'identité de l'utilisateur par rapport aux données de ce fournisseur d'identité avant d'accorder l'accès à IBM Verify.
IBMid

Il utilise la solution d'accès et de gestion des identités IBM pour fournir aux utilisateurs une connexion unique à l'ensemble des applications, des services, des communautés, de l'assistance, etc., d'IBM.

IBMid Il s'agit de l'option de connexion par défaut pour la première connexion d'un administrateur à Verify. Seul l'administrateur Verify peut se connecter à Verify l'adresse IBMid. Ce fournisseur d'identité ne peut pas être utilisé pour la connexion des utilisateurs finaux.

Une fois la première connexion de l'administrateur effectuée, vous pouvez activer le répertoire Cloud Directory ou les fournisseurs d'identité configurés d' SAML Enterprise afin d'offrir davantage d'options de connexion pour les connexions suivantes de l'administrateur.

MaaS360 Cloud Extender

Les identités des utilisateurs sont vérifiées par rapport aux informations qui sont stockées dans le référentiel d'entreprise ou le registre d'utilisateurs local, mais la demande d'authentification est déléguée ou transmise à un autre serveur ou agent.

Les identités des utilisateurs authentifiés sont fédérées dans Verify. Vous pouvez consulter leurs informations dans Répertoire > Utilisateurs et groupes.

Social
Les identités des utilisateurs sont vérifiées par rapport à leur compte de réseau social. Un fournisseur d'identité sociale peut être configuré une seule fois et sert uniquement d'option de connexion pour les applications. Il ne peut pas être utilisé pour se connecter à la Verify console d'administration ou au tableau de bord utilisateur. Verify prend en charge les fournisseurs d'identité sociale suivants :
  • Apple
  • Baidu
  • Facebook
  • GitHub
  • Google
  • LinkedIn
  • QQ
  • Renren
  • WeChat
  • Weibo
  • Yahoo
  • X

Les identités des utilisateurs authentifiés sont fédérées dans Verify. Vous pouvez consulter leurs informations dans Répertoire > Utilisateurs et groupes.

Vous pouvez afficher ou masquer tous les fournisseurs d'identité sur la page de connexion de l'administrateur ou de l'utilisateur final, à l'exception des fournisseurs d'identité sociaux. Si plusieurs fournisseurs d'identité sont activés et s'affichent, l'utilisateur doit choisir celui qu'il souhaite utiliser pour l'authentification. Pour simplifier l'expérience utilisateur, activez et affichez un seul fournisseur d'identité. Si un seul fournisseur d'identité est activé, celui-ci devient l'option de connexion par défaut pour l'utilisateur. L'utilisateur n'est pas tenu de choisir un fournisseur d'identité préféré.

Conseil : si vous ne parvenez pas à vous connecter à Verify en utilisant un fournisseur d'identité SAML Enterprise configuré, et que l'option de connexion via Cloud Directory n'est pas disponible ou n'apparaît pas, suivez les instructions suivantes : URL
https://<hostname>.verify.ibm.com/authsvc/mtfim/sps/authsvc?PolicyId=urn:ibm:security:authentication:asf:basicldapuser

Procédure

  1. Sélectionnez Authentification > Fournisseurs d'identité
  2. Sélectionnez un fournisseur d'identité pour afficher ses informations.
    Remarque : les informations affichées varient en fonction du fournisseur d'identité.
    Tableau 1. Informations sur le fournisseur d'identité
    Informations Descriptions
    Nom

    Le nom que vous attribuez pour désigner le registre d'utilisateurs utilisé par des fournisseurs d'identité tels que Microsoft™ Active Directory, Microsoft Azure Active Directory ou d'autres.

    Si plusieurs fournisseurs d'identité sont configurés et activés, le nom du fournisseur d'identité s'affiche sur la Verify page de connexion.

    Ces informations s'affichent également dans l'onglet Répertoire > Utilisateurs et groupes > Utilisateurs, dans la boîte de dialogue Ajouter un utilisateur, lorsque vous sélectionnez un fournisseur d'identité.

    Domaine

    Il s'agit d'un attribut de fournisseur d'identité qui permet de distinguer les utilisateurs provenant de plusieurs fournisseurs d'identité et partageant le même nom d'utilisateur.

    Ces informations s'affichent dans Répertoire > Utilisateurs et groupes, ainsi que dans la boîte de dialogue Modifier l'utilisateur.

    Pour les fournisseurs d'identité suivants :
    • Dans Cloud Directory, la valeur du domaine est cloudIdentityRealm.
    • IBMid, la valeur du domaine est www.ibm.com.
    • SAML Dans Enterprise, la valeur « realm » peut correspondre à n'importe quel nom unique que vous avez attribué lors de la création du fournisseur d'identité.
    • OnPrem LDAP, la valeur « realm » peut être n'importe quel nom unique que vous avez attribué lors de la création du fournisseur d'identité.
    • Apple, la valeur du domaine est www.apple.com.
    • Baidu, la valeur du domaine est www.baidu.com.
    • Facebook, la valeur du domaine est www.facebook.com.
    • GitHub, la valeur du domaine est www.github.com.
    • Google, la valeur du domaine est www.google.com.
    • LinkedIn, la valeur du domaine est www.linkedin.com.
    • QQ, la valeur du domaine est www.qq.com.
    • Renren, la valeur du domaine est www.renren.com.
    • WeChat, la valeur du domaine est www.wechat.com.
    • Weibo, la valeur du domaine est www.wiebo.com.
    • X, la valeur du domaine est www.twitter.com.
    • Yahoo, la valeur du domaine est www.yahoo.com.
    ID Un identifiant est généré pour le fournisseur d'identité lorsque vous cliquez sur « Enregistrer ».
    Activé

    Indique si le fournisseur d'identité est actif et disponible.

    Une fois le fournisseur d'identité configuré et activé, les utilisateurs peuvent se Verify connecter via une authentification unique à leurs applications autorisées à l'aide du fournisseur d'identité sélectionné. Si le fournisseur d'identité n'est pas activé, il n'apparaît pas sous forme d'option dans la page Connexion.
    Remarque :
    • Il doit y avoir au moins un fournisseur d'identité activé pour la connexion à Verify.
    • Si un seul fournisseur d'identité est activé, il devient l'option de connexion par défaut de l'utilisateur.
    Liaison d'identité

    Activé

    Active la mise en relation des identités pour un fournisseur d'identité spécifique. Aucun compte fantôme n'est créé dans Cloud Directory au niveau du domaine spécifié pour ce fournisseur d'identité.
    Cette fonctionnalité est disponible pour les applications SAML et les fournisseurs d'identité sociale suivants :
    • Apple
    • Facebook
    • GitHub
    • Google
    • LinkedIn
    • SAML Enterprise
    • WeChat
    • X
    • Yahoo

    Cette option est également disponible pour les fournisseurs d'identité OnPrem et LDAP. Pour les sources d'identité de type « OnPrem » et « LDAP », le compte utilisateur doit exister dans le fournisseur d'identité principal associé pour que les authentifications à l'exécution aboutissent. Si aucun compte utilisateur correspondant n'existe dans le fournisseur d'identité principal associé, l'authentification échoue.

    Remarque :
    1. Vous ne pouvez pas activer la mise en relation sur le fournisseur d'identité défini comme fournisseur d'identité par défaut.
    2. Vous ne pouvez pas désactiver ni supprimer votre fournisseur d'identité de liaison par défaut.
    ID utilisateur unique
    Sélectionnez dans le menu l'attribut qui sert d'identificateur pour le compte lié.
    Application des accès JIT
    Si le compte utilisateur n'est pas trouvé chez le fournisseur d'identité principal, cette option crée un compte fantôme dans ce domaine principal. Pour les sources d'identité de type « OnPrem » et « LDAP », le compte utilisateur est créé dans le fournisseur d'identité principal associé si ce compte n'existe pas. Les attributs de compte sont mis à jour dans le compte lié principal avec les attributs extraits du système d'identité externe ou externe.
    ID utilisateur unique

    Cette fonctionnalité est disponible pour les applications hébergées sur SAML et les sources d'identité sur site LDAP.

    Attribut utilisateur qui sert d'identificateur pour le compte lié dans Cloud Directory.
    Provisionnement « juste à temps » pour les fournisseurs d'identité d' OnPrem LDAP. S'applique uniquement aux fournisseurs d'identifiants OnPrem et LDAP.

    Lorsqu'ils sont activés, les administrateurs peuvent configurer la migration des enregistrements utilisateur des fournisseurs d'identité externes vers le domaine du répertoire cloud. password just-in-time provisioningLorsqu'on utilise cette fonction, les mots de passe des utilisateurs sont également transférés avec les fiches utilisateur.

    Lorsque cette option est désactivée, les administrateurs suspendent la migration des mots de passe du fournisseur d'identité vers le domaine Cloud Directory et autorisent les utilisateurs à s'authentifier via Cloud Directory.

    Application des accès JIT par mot de passe

    Ce bouton à bascule est actif uniquement si l'option Application des accès JIT est déjà activée.

    Lorsqu'ils sont activés, les administrateurs activaient une phase de migration dans laquelle les comptes et leurs mots de passe du fournisseur d'identité sont migrés vers le domaine du répertoire cloud. Les utilisateurs associés à un fournisseur d'identité OnPrem ne peuvent pas s'authentifier auprès de Cloud Directory pendant cette phase.

    Lorsque cette fonction est désactivée, les administrateurs interrompent la migration des mots de passe du fournisseur d'identité vers le domaine du répertoire cloud et permettent aux utilisateurs de s'authentifier auprès du répertoire cloud.

    Remarques sur l'activation de l'option d'application des accès juste-à-temps (identityLinkingJitPwdEnabled) des mots de passe

    Lorsque cette option est activée, la plateforme Verify tente d'appliquer les accès juste-à-temps à la fois des attributs de compte des utilisateurs et de leurs mots de passe dans le domaine du fournisseur d'identité principal configuré pour votre titulaire. Cette mise à disposition se produit une fois que le nom d'utilisateur et le mot de passe ont été validés par le fournisseur d'identité sur site ou externe. Lorsqu'une tentative est effectuée pour fournir le mot de passe, Verify garantit que le mot de passe respecte les paramètres de règles de mot de passe associés au fournisseur d'identité principal. Si le mot de passe validé par votre fournisseur d'identité sur site ne respecte pas cette Verify politique, la tentative d'authentification échoue. Les attributs de compte et le mot de passe ne sont pas mis à disposition dans le domaine du fournisseur d'identité principal Verify. L'utilisateur reçoit un message d'erreur indiquant que le nom d'utilisateur ou le mot de passe n'est pas valide et qu'il doit contacter l'administrateur système.

    Pour éviter cette situation, définissez une politique de mot de passe dont le niveau de sécurité est équivalent ou inférieur à celui accepté par le système d'identité sur site ou externe. Associez cette règle au fournisseur d'identité principal configuré pour votre titulaire Verify. En général, le domaine du fournisseur d'identité principal est le répertoire cloud Verify, qui est souvent configuré avec la règle de mot de passe par défaut.

    Étant donné que la mise à disposition du mot de passe « juste à temps » s'effectue à chaque authentification réussie sur site, le paramètre d'historique des mots de passe défini dans le domaine du fournisseur d'identité principal peut entraîner des échecs lors de la synchronisation des attributs de compte et des mots de passe. Vous pouvez désactiver l'application de l'historique des mots de passe pour éviter de tels incidents.

    Lorsque l'option de provisionnement « juste à temps » des mots de passe passe de l'état « activé » à « désactivé », la phase de migration de l'annuaire local vers le cloud est considérée comme terminée. Les utilisateurs migrés peuvent s'authentifier auprès du répertoire cloud à l'aide de leur mot de passe migré. Vous devriez peut-être réactiver les paramètres de la politique de mot de passe du répertoire Cloud qui avaient été modifiés pour faciliter la phase de migration.

    Activer l'application des accès JIT

    Cette fonction est disponible pour les applications SAML.

    Si le compte n'est pas trouvé dans le fournisseur d'identité par défaut, cette option crée un compte reflet dans ce domaine par défaut.
  3. Facultatif : Gestion des politiques de mot de passe.
  4. Facultatif : Ajout d'un fournisseur d'identité SAML Enterprise.
  5. Facultatif : Ajout d'un fournisseur d'identité MaaS360 Cloud Extender.
  6. Facultatif : configuration du fournisseur d'identité et de l'identifiant utilisateur d' MaaS360.
  7. Facultatif : Ajouter un fournisseur d'identité sociale.
  8. Facultatif : Suppression d'un fournisseur d'identité.
    Remarque : vous ne pouvez pas supprimer un répertoire Cloud Directory ni un fournisseur d'identité IBMid.
    1. Sélectionnez le fournisseur d'identité, puis cliquez sur Supprimer dans la boîte de dialogue Modifier le fournisseur d'identité.
    2. Vérifiez que vous souhaitez bien supprimer définitivement le fournisseur d'identité sélectionné.
      Remarque :
      • Vous ne pouvez pas supprimer un fournisseur d'identité qui est défini comme choix par défaut pour MaaS360. Vous devez choisir un autre fournisseur d'identité avant de MaaS360 supprimer celui qui est actuellement défini par défaut.
      • Vous ne pouvez pas supprimer un fournisseur d'identité qui est associé à une application en tant qu'option de connexion. Vous devez la retirer de l'application en tant qu'option pour pouvoir la supprimer.