Configuration d'un fournisseur d'identité OIDC Enterprise

Vous pouvez utiliser n'importe quel fournisseur d'identité prenant en charge le protocole OIDC comme fournisseur d'identité OIDC Enterprise. Le fournisseur d'identité authentifie l'identité de l'utilisateur par rapport aux données de ce fournisseur d'identité avant d'accorder l'accès à IBM® Verify.

Procédure

  1. Sélectionnez « Authentification » > « Fournisseurs d'identité ».
  2. Sélectionnez OIDC Enterprise.
  3. Dans l'onglet « Général », indiquez les informations suivantes.
    Nom
    Donnez un nom distinctif à votre fournisseur d'identité.
    Domaine et émetteur
    Fournissez l' URL s au fournisseur d'identité. Exemple,
    https://accounts.OIDC-IDP.com
    Il s'agit du domaine utilisé pour l'annuaire cloud et, si aucun point de terminaison connu n'est fourni, il fait également office d'émetteur pour le flux OIDC.
    ID
    L'ID est créé une fois que vous avez sauvegardé la configuration.
    Activé
    Cochez cette case pour utiliser ce fournisseur d'identité lors de la connexion.
  4. Cliquez sur Suivant.
  5. urlSur la Pour s'identifier page du fournisseur, copiez le lien de redirection.
    Vous fournissez ces informations url au fournisseur d'identité lorsque vous enregistrez votre application pour l'authentification unique.
  6. Cliquez sur Suivant.
  7. Sur la page « Fournisseur d'identité d'origine », indiquez les informations suivantes.
    1. Facultatif : indiquez un nom descriptif qui remplacera l'identifiant du fournisseur d'identité affiché dans l' URL de Verify connexion.
    2. Indiquez l 'identifiant client et la clé secrète client que vous avez reçus lors de l'enregistrement de votre application auprès du fournisseur d'identité.
    3. Facultatif : ajoutez ou supprimez des périmètres pour contrôler l'utilisation de l'application.
      Remarque : sélectionnez Enter pour Windows™ ou Return pour Mac OS après chaque ajout d'un périmètre à votre console d'administration.
    4. Veuillez fournir les informations relatives au endpoints que vous avez reçu lors de l'enregistrement de votre demande.
      Noeud final défini
      Utilisez cet attribut pour configurer votre client OIDC avec le document de reconnaissance. Par exemple, https://myco.com.

      Si vous n'utilisez pas le célèbre endpoint, vous devez fournir les informations suivantes.

      • Noeud final d'autorisation
      • Noeud final de jeton
      • Point de terminaison des informations utilisateur
    5. Facultatif : si votre fournisseur d'identité le prend en charge, vous pouvez activer la prise en charge de PKCE et fournir l'URI JWKS.
      Ajoutez un URI JWKS si celui-ci n'est pas indiqué avec la configuration définie des fournisseurs d'identité.
    6. Sélectionnez la méthode d'authentification.
      • Méthode de base pour secret client
      • POST avec secret client
      • Secret client JWT - Vous devez également sélectionner l'algorithme de signature pour le chiffrement.
      • Clé privée JWT - Vous devez également choisir l'algorithme de signature pour le chiffrement et sélectionner le certificat de signature.
    7. Facultatif : si ces informations sont disponibles, vous pouvez transmettre les paramètres, login hint prompt, et max age au fournisseur d'identité au cours d'un processus d'authentification unique.
  8. Cliquez sur Suivant.
  9. Facultatif : sélectionnez « Provisionnement juste à temps ».
    Cette option permet de créer et de mettre à jour le compte utilisateur dans le domaine du fournisseur d'identité principal associé à l'identité SAML.
  10. Facultatif : Dans le menu « Identifiant utilisateur unique », indiquez un attribut permettant d'identifier les utilisateurs issus du registre des utilisateurs du fournisseur d'identité.
    Si vous sélectionnez « Activer la liaison d'identité » pour ce fournisseur d'identité, vous devez fournir l'UUID.
  11. Facultatif : sélectionnez une valeur de transformation pour transformer la valeur de l'identifiant utilisateur unique ou conservez la valeur par défaut « Aucun ».
  12. Facultatif : sélectionnez « Activer la liaison d'identité » pour ce fournisseur d'identité.
    1. Sélectionnez l'identifiant unique que vous souhaitez utiliser pour les comptes en cliquant sur le lien « Identifiant utilisateur unique ».
      Remarque : l 'UUID peut être n'importe quel élément de l'objet de revendication OIDC qui identifie l'utilisateur de manière unique.
    2. Définissez l 'UUID en saisissant la valeur dans le champ « External ID ».
      La valeur par défaut est « sub ».
    3. Sélectionnez une valeur de transformation pour transformer la valeur de l'attribut « External ID » ou conservez la valeur par défaut « None ».
  13. Cliquez sur Suivant.
  14. Facultatif : sur la page « Mappage des attributs », mappez d'autres attributs du fournisseur OIDC vers Verify les attributs.
    1. Sélectionnez « Ajouter un mappage d'attributs ».
    2. Sélectionnez un attribut OIDC dans le menu.
      Si le fournisseur OIDC prend en charge d'autres attributs OIDC non standard, vous pouvez saisir la valeur dans le champ « Sélectionner un attribut ».
    3. Sélectionnez un Verify attribut dans le menu.
    4. Indiquez comment l'attribut est utilisé.
    5. Répétez la procédure pour chaque attribut que vous souhaitez mapper.
  15. Facultatif : sélectionnez l'une des sources d'appartenance à un groupe suivantes pour définir la source des groupes de droits d'accès des utilisateurs.
    • Répertoire cloud - Les droits d'accès utilisateur sont dérivés des groupes d'utilisateurs dans le répertoire cloud.
    • Répertoire cloud et source d'identité - Les autorisations d'accès des utilisateurs sont déterminées à partir des groupes d'utilisateurs du répertoire cloud et du jeton du fournisseur d'identité, qui contient groupIds une revendication.
    • Source d'identité - Les autorisations d'accès des utilisateurs sont dérivées du jeton du fournisseur d'identité, qui contient la groupIds revendication.
      Remarque : si le jeton du fournisseur d'identité ne contient pas cette groupIds revendication, vous ne bénéficiez d'aucune autorisation d'appartenance à un groupe.
    • Règle personnalisée. Si vous sélectionnez « Règle personnalisée », saisissez une règle personnalisée dans l'éditeur de règles, puis cliquez sur OK pour enregistrer. Les droits d'accès utilisateur sont dérivés en fonction de la règle personnalisée.
  16. Cliquez sur Suivant.
  17. Facultatif : si vous avez activé l'aperçu public d' CI-108233, indiquez si vous souhaitez activer les invitations d'utilisateurs.
    Les invitations sont créées et envoyées à l'aide POST /v1.0/usc/user/invitation d'API. Voir « Inviter des utilisateurs ». Cochez la case « Activer les invitations d'utilisateurs » pour inviter d'autres personnes à s'inscrire en tant que nouveaux utilisateurs. Vous pouvez également sélectionner un profil utilisateur afin que celui-ci puisse saisir davantage d'informations lors de l'acceptation de l'invitation. Voir la section « Gestion des profils utilisateur ».
  18. Cliquez sur Terminer.
  19. Facultatif : modifier le fournisseur d'identité OIDC.
    1. Sélectionnez « Authentification » > « Fournisseurs d'identité ».
    2. Sélectionnez le fournisseur d'identité dans la liste des sources.
    3. Enregistrez vos modifications.
      Vous ne pouvez pas modifier l'ID ou l'URL de redirection.
    4. Cliquez sur « Enregistrer les modifications ».
  20. Facultatif : Supprimez le fournisseur d'identité OIDC.
    1. Sélectionnez « Authentification » > « Fournisseurs d'identité ».
    2. Sélectionnez le fournisseur d'identité dans la liste des sources.
    3. Cliquez sur l'icône « Supprimer ».
    4. Sélectionnez « Supprimer » pour confirmer que vous souhaitez supprimer le fournisseur d'identité.