Gestion des fournisseurs de certificats

L'authentification par certificat permet d'accéder à des informations précises tout en associant des fournisseurs de certificats externes à une couche de sécurité supplémentaire, telle qu'un certificat numérique conforme à la norme « X.509 ». IBM® Verify Il s'authentifie à l'aide du certificat numérique lorsqu'il accède aux applications connectées. Les administrateurs peuvent vérifier les identités en utilisant cette signature numérique à des fins d'authentification et de conformité. De plus, les certificats peuvent fonctionner avec une carte d'accès commun (CAC) ou une carte d'identification personnelle (PIV).

Avant de commencer

  • Vous devez disposer des droits d'administration pour effectuer cette tâche.
  • Connectez-vous à la IBM Verify console d'administration en tant qu'administrateur.
  • Pour pouvoir utiliser le fournisseur de certificats, votre tenant doit disposer d'un nom d'hôte personnalisé. Voir la section « Obtenir un nom d'hôte personnalisé ».
  • Vous devez fournir le certificat racine et les certificats intermédiaires via le service d'assistance :
    • Si votre tenant a été créé et dispose d'un nom d'hôte personnalisé correctement configuré, veuillez contacter IBM Verify l'équipe d'assistance de IBM en ouvrant un ticket; vous recevrez alors des instructions sur la manière de fournir les certificats.
    • Vous devez conserver les certificats au format codé X.509 PEM.
    • Voici un exemple :
    # Trust chain intermediate certificate
    -----BEGIN CERTIFICATE-----
    MIIEaTCCA1GgAwIBAgILBAAAAAABRE7wQkcwDQYJKoZIhvcNAQELBQAwVzELMAkG
    C33JiJ1Pi/D4nGyMVTXbv/Kz6vvjVudKRtkTIso21ZvBqOOWQ5PyDLzm+ebomchj
    SHh/VzZpGhkdWtHUfcKc1H/hgBKueuqI6lfYygoKOhJJomIZeg0k9zfrtHOSewUj
    ...
    dHBzOi8vd3d3Lmdsb2JhbHNpZ24uY29tL3JlcG9zaXRvcnkvMDMGA1UdHwQsMCow
    KKAmoCSGImh0dHA6Ly9jcmwuZ2xvYmFsc2lnbi5uZXQvcm9vdC5jcmwwPQYIKwYB
    K1pp74P1S8SqtCr4fKGxhZSM9AyHDPSsQPhZSZg=
    -----END CERTIFICATE-----
    
    # Trust chain root certificate
    -----BEGIN CERTIFICATE-----
    MIIDdTCCAl2gAwIBAgILBAAAAAABFUtaw5QwDQYJKoZIhvcNAQEFBQAwVzELMAkG
    YWxTaWduIG52LXNhMRAwDgYDVQQLEwdSb290IENBMRswGQYDVQQDExJHbG9iYWxT
    aWduIFJvb3QgQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDaDuaZ
    ...
    jc6j40+Kfvvxi4Mla+pIH/EqsLmVEQS98GPR4mdmzxzdzxtIK+6NiY6arymAZavp
    38NflNUVyRRBnMRddWQVDf9VMOyGj/8N7yy5Y0b2qvzfvGn9LhJIZJrglfCm7ymP
    HMUfpIBvFSDJ3gyICh3WZlXi/EjJKSZp4A==
    -----END CERTIFICATE-----
    Remarque : pour plus d'informations sur le format d'encodage « PEM », consultez la RFC 1421
  • Vérifiez que la chaîne de certificats a bien été configurée avec le nom d'hôte personnalisé sur votre tenant. Une fois que vous aurez reçu la confirmation, vous pourrez utiliser le certificat client qui vous a été délivré pour l'authentification via SAML et OIDC, ainsi que pour votre Launchpad utilisateur.
Remarque : pour que l'authentification par certificat client fonctionne, il est nécessaire de disposer d'un point de distribution de listes de révocation (CRL) accessible au public ou d'un point de terminaison OCSP (enregistré dans le certificat client).

A propos de cette tâche

Verify permet d'accéder à plusieurs fonctionnalités permettant d'accomplir des tâches complexes. Tels que les fournisseurs de services de base propres et d'autres interfaces d'application couramment utilisées pour développer des fournisseurs de services personnalisés. X.509 Le certificat de signature numérique offre de nombreux avantages. Deux éléments importants sont certificate revocation lists et certification path validation algorithm parvenir finalement à un point d'ancrage de confiance.

Remarque : pour plus d'informations sur les certificats de signature numérique d' X.509, consultez la page X.509 certificates. Pour plus de détails, consultez la RFC 5280.

Procédure

  1. Sélectionnez Authentification > Fournisseurs de certificats
  2. Sélectionnez « Ajouter un fournisseur de certificats ».
  3. Définissez les paramètres généraux.
    1. Donnez un nom facilement identifiable au fournisseur de certificats et configurez le fournisseur d'identité.
    2. Sélectionnez un fournisseur d'identité utilisé pour authentifier l'utilisateur. Les fournisseurs d'identité les plus couramment utilisés sont :
      • Cloud Directory
      • IBMid
      Remarque : vous ne pouvez pas modifier le fournisseur d'identité une fois que le fournisseur de certificats a été créé.
    3. Cochez la case JITP (Just in time provisioning) pour créer des comptes utilisateur.
  4. Cliquez sur Suivant.
  5. Configurer les propriétés de l'utilisateur. Indiquez les attributs utilisateur transmis par le certificat afin d'authentifier les utilisateurs et de créer des profils utilisateur.
    1. Facultatif : sélectionnez l'attribut « Certificat ».
    2. Sélectionnez l'attribut « IBM » ( Security Verify ). Cette sélection repose sur des attributs antérieurs qui ont été sélectionnés ou créés par l'administrateur.
      Remarque :

      Vous pouvez choisir l'une des options parmi les attributs disponibles. Par défaut, l'attribut est

      None - Do not map

      None - Do not mapSi vous choisissez cette option, vous ne pourrez pas configurer :

      • Transformation value
      • Store attribute in user profile
    3. Sélectionnez une valeur de transformation dans le menu.
    4. Sélectionnez une option dans l 'attribut « Boutique » du menu du profil utilisateur.
      • Toujours - Stockez ou mettez à jour l'attribut à chaque connexion.
      • Sur la création de l'utilisateur uniquement - Stockez l'attribut une fois lors de la création du compte.
      • Désactivé - Ne jamais enregistrer ni mettre à jour l'attribut.
      user attributesUne fois le premier mappage configuré, cliquez sur « Ajouter un mappage d'attributs » pour ajouter d'autres mappages.
    5. Sélectionnez « Identifiant utilisateur unique ». Cet identifiant est l'attribut du certificat utilisé pour établir un lien avec un utilisateur existant au sein du Verify fournisseur d'identité.
    6. Calculez la valeur de l'attribut en créant une règle personnalisée dans l'option « Règle de requête ».
      Exemple de règle type :
      requestContext.subjectAlternativeNameEmail.size() != 0 ? requestContext.subjectAlternativeNameEmail[0].split('@')[0] : requestContext.subjectCN[0].split('.')[0]
      Testez votre règle de demande pour vous assurer qu'elle fonctionne comme prévu. Cliquez sur « Exécuter le test » pour obtenir le résultat. Il s'agit de la valeur de retour calculée à partir des exemples d'entrée.
  6. Pour la chaîne de certificats, suivez ces étapes afin de fournir l'identifiant de clé du sujet de l'autorité de certification intermédiaire ou racine émettrice.
    1. Recherchez l'autorité Subject Key Identifier de certification immédiate à l'aide de la commande OpenSSL suivante :
      openssl x509 -inform pem -in $input-filename -text -noout
    2. Cliquez sur la section intitulée « Extensions X.509v3 » et sélectionnez « Identifiant de clé de sujet X.509v3 ». Copiez la valeur indiquée et collez-la dans le champ.
      Remarque : cette valeur ne peut plus être modifiée une fois le fournisseur de certificats créé.
  7. Testez la configuration. Sélectionner. Suivant. L'interface vous fournit une page d' URL pour l'authentification des locataires. Vous devez copier l' URL, puis essayer de vous connecter à votre IBM Verify.
    Remarque : vous devez activer le fournisseur de certificats avant de pouvoir l'utiliser dans votre IBM Verify tenant.
  8. Cliquez sur « Terminer l'installation ». Une invite vous redirige vers les paramètres généraux pour vous permettre de gérer ou de mettre à jour certaines informations liées à la configuration.
  9. Facultatif : cliquez sur « Fournisseurs de certificats » pour afficher la liste des fournisseurs de certificats que vous avez créés.
    1. Vous pouvez cliquer sur « Liste des options » pour enable sélectionner ou supprimer le fournisseur de certificats que vous souhaitez utiliser.

Traitement des incidents

Si la configuration ne fonctionne pas, cela peut être dû aux raisons suivantes :

Si toutes les étapes d'intégration d'un fournisseur de certificats X.509 ont été suivies et que vous ne voyez pas l'invite de certificat lorsque vous testez l' URL ation sur la page de configuration de test :

  • Assurez-vous qu'un nom d'hôte fantaisiste est utilisé.
  • Assurez-vous que la chaîne de certificats est fournie via IBM Verify le canal d'assistance.

Si toutes les étapes d'intégration d'un fournisseur de certificats X.509 ont été suivies, mais que la fenêtre de demande de certificat ne s'affiche pas lorsque vous accédez à l'adresse de test URL sur la page de configuration de test, et que l'authentification ne fonctionne pas :

  • Assurez-vous que le fournisseur de certificats est activé.
  • Si le JITP est activé, assurez-vous que l'utilisateur a bien été créé dans le fournisseur d'identité spécifié.
  • Si le JITP est désactivé, assurez-vous que l'utilisateur existe bien dans le fournisseur d'identité spécifié.

Si uniqueUserIdentifier l'attribut est modifié après l'intégration du fournisseur de certificats « X.509 », cette modification ne s'applique qu'aux nouvelles authentifications et aux utilisateurs qui s'authentifient avec un certificat pour la première fois.

Si le JITP est activé, cela s'applique aux utilisateurs créés pour la première fois dans ce fournisseur d'identité spécifique.

Par défaut, le fournisseur de certificats « X.509 » est désactivé; les administrateurs doivent l'activer avant de procéder à la configuration de test.