Gestion des fournisseurs de certificats
L'authentification par certificat permet d'accéder à des informations précises tout en associant des fournisseurs de certificats externes à une couche de sécurité supplémentaire, telle qu'un certificat numérique conforme à la norme « X.509 ». IBM® Verify Il s'authentifie à l'aide du certificat numérique lorsqu'il accède aux applications connectées. Les administrateurs peuvent vérifier les identités en utilisant cette signature numérique à des fins d'authentification et de conformité. De plus, les certificats peuvent fonctionner avec une carte d'accès commun (CAC) ou une carte d'identification personnelle (PIV).
Avant de commencer
- Vous devez disposer des droits d'administration pour effectuer cette tâche.
- Connectez-vous à la IBM Verify console d'administration en tant qu'administrateur.
- Pour pouvoir utiliser le fournisseur de certificats, votre tenant doit disposer d'un nom d'hôte personnalisé. Voir la section « Obtenir un nom d'hôte personnalisé ».
- Vous devez fournir le certificat racine et les certificats intermédiaires via le service d'assistance :
- Si votre tenant a été créé et dispose d'un nom d'hôte personnalisé correctement configuré, veuillez contacter IBM Verify l'équipe d'assistance de IBM en ouvrant un ticket; vous recevrez alors des instructions sur la manière de fournir les certificats.
- Vous devez conserver les certificats au format codé X.509 PEM.
- Voici un exemple :
# Trust chain intermediate certificate -----BEGIN CERTIFICATE----- MIIEaTCCA1GgAwIBAgILBAAAAAABRE7wQkcwDQYJKoZIhvcNAQELBQAwVzELMAkG C33JiJ1Pi/D4nGyMVTXbv/Kz6vvjVudKRtkTIso21ZvBqOOWQ5PyDLzm+ebomchj SHh/VzZpGhkdWtHUfcKc1H/hgBKueuqI6lfYygoKOhJJomIZeg0k9zfrtHOSewUj ... dHBzOi8vd3d3Lmdsb2JhbHNpZ24uY29tL3JlcG9zaXRvcnkvMDMGA1UdHwQsMCow KKAmoCSGImh0dHA6Ly9jcmwuZ2xvYmFsc2lnbi5uZXQvcm9vdC5jcmwwPQYIKwYB K1pp74P1S8SqtCr4fKGxhZSM9AyHDPSsQPhZSZg= -----END CERTIFICATE----- # Trust chain root certificate -----BEGIN CERTIFICATE----- MIIDdTCCAl2gAwIBAgILBAAAAAABFUtaw5QwDQYJKoZIhvcNAQEFBQAwVzELMAkG YWxTaWduIG52LXNhMRAwDgYDVQQLEwdSb290IENBMRswGQYDVQQDExJHbG9iYWxT aWduIFJvb3QgQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDaDuaZ ... jc6j40+Kfvvxi4Mla+pIH/EqsLmVEQS98GPR4mdmzxzdzxtIK+6NiY6arymAZavp 38NflNUVyRRBnMRddWQVDf9VMOyGj/8N7yy5Y0b2qvzfvGn9LhJIZJrglfCm7ymP HMUfpIBvFSDJ3gyICh3WZlXi/EjJKSZp4A== -----END CERTIFICATE-----Remarque : pour plus d'informations sur le format d'encodage « PEM », consultez la RFC 1421 - Vérifiez que la chaîne de certificats a bien été configurée avec le nom d'hôte personnalisé sur votre tenant. Une fois que vous aurez reçu la confirmation, vous pourrez utiliser le certificat client qui vous a été délivré pour l'authentification via SAML et OIDC, ainsi que pour votre Launchpad utilisateur.
A propos de cette tâche
Verify permet d'accéder à plusieurs fonctionnalités permettant d'accomplir des tâches complexes. Tels que les fournisseurs de services de base propres et d'autres interfaces d'application couramment utilisées pour développer des fournisseurs de services personnalisés. X.509 Le certificat de signature numérique offre de nombreux avantages. Deux éléments importants sont certificate revocation lists et certification path validation algorithm parvenir finalement à un point d'ancrage de confiance.
Procédure
Traitement des incidents
Si la configuration ne fonctionne pas, cela peut être dû aux raisons suivantes :
Si toutes les étapes d'intégration d'un fournisseur de certificats X.509 ont été suivies et que vous ne voyez pas l'invite de certificat lorsque vous testez l' URL ation sur la page de configuration de test :
- Assurez-vous qu'un nom d'hôte fantaisiste est utilisé.
- Assurez-vous que la chaîne de certificats est fournie via IBM Verify le canal d'assistance.
Si toutes les étapes d'intégration d'un fournisseur de certificats X.509 ont été suivies, mais que la fenêtre de demande de certificat ne s'affiche pas lorsque vous accédez à l'adresse de test URL sur la page de configuration de test, et que l'authentification ne fonctionne pas :
- Assurez-vous que le fournisseur de certificats est activé.
- Si le JITP est activé, assurez-vous que l'utilisateur a bien été créé dans le fournisseur d'identité spécifié.
- Si le JITP est désactivé, assurez-vous que l'utilisateur existe bien dans le fournisseur d'identité spécifié.
Si uniqueUserIdentifier l'attribut est modifié après l'intégration du fournisseur de certificats « X.509 », cette modification ne s'applique qu'aux nouvelles authentifications et aux utilisateurs qui s'authentifient avec un certificat pour la première fois.
Si le JITP est activé, cela s'applique aux utilisateurs créés pour la première fois dans ce fournisseur d'identité spécifique.
Par défaut, le fournisseur de certificats « X.509 » est désactivé; les administrateurs doivent l'activer avant de procéder à la configuration de test.