Obtention d'un nom d'hôte Vanity
Si vous souhaitez offrir une expérience personnalisée à vos utilisateurs lorsqu'ils interagissent avec les processus liés à l'identité au sein de votre organisation, vous pouvez acheter un nom d'hôte personnalisé pour votre IBM® Verifytenant. Vous pouvez personnaliser les processus de connexion, d'inscription et de gestion du profil, entre autres.
Avant de commencer
Pour configurer un nom d'hôte personnalisé, vous et IBM devez suivre plusieurs étapes de configuration. Pour lancer la procédure, vous devez remplir le IBM formulaire de demande de certificat pour nom d'hôte personnalisé fourni par le bureau du projet « IBM ».
Vérifiez également les points suivants.
- Familiarisez-vous avec la syntaxe et les options du nom d'hôte Vanity, puis choisissez celle qui convient le mieux à votre organisation en fonction de ses pratiques en matière de certificats.
- Comprendre les conditions préalables.
- Contactez votre représentant IBM® pour acheter un nom de domaine de sous-domaine et un nom de domaine de sous-domaine personnalisé.
- Assurez-vous de pouvoir collaborer efficacement avec les administrateurs DNS et du site web de votre organisation pour la validation du domaine.
- Le client doit être propriétaire du nom de domaine correspondant au nom d'hôte personnalisé. Si le nom d'hôte de façade est
sso.acme.com, votre organisation doit être propriétaire du domaineacme.com. - Le nom d'hôte fictif doit être unique et ne pas exister déjà. Elle s'applique au locataire et doit être utilisée exclusivement à IBM Verify cette fin.
A propos de cette tâche
Un nom d'hôte personnalisé est un nom d'hôte défini par vos soins pour votre IBM Verify tenant. Le nom d'hôte par défaut du locataire est IBM. Grâce à un nom d'hôte personnalisé, un client peut personnaliser le nom d'hôte de manière à ce que IBM n'apparaisse pas dans l' URL. Par exemple, le nom d'hôte de votre tenant Verify pourrait être acme.verify.ibm.com, mais vous souhaiteriez peut-être que les utilisateurs voient à la place un nom d'hôte personnalisé tel que login.acme.com.
<tenant identifier>.<domain> Où<tenant identifier>est l'identifiant du locataire fourni.<acme>On peut citer par exemple.<domain>La valeur par défaut est<verify.ibm.com>, mais elle peut être personnalisée pour utiliser un nom d'hôte personnalisé.- Dans cet exemple, le nom d'hôte complet est
acme.verify.ibm.com, qui correspond à l' URL que les utilisateurs voient lorsqu'ils se connectent, ainsi que lors d'autres interactions liées à l'identité activées par IBM Verify.
- Les certificats doivent être signés par une autorité de certification « de confiance ». Ils ne doivent pas être auto-signés.
- La section suivante décrit la procédure d'obtention du certificat pour un nom d'hôte personnalisé.
- Une fois le certificat généré, IBM effectue des étapes supplémentaires pour configurer entièrement un nom d'hôte personnalisé. Ces étapes supplémentaires prennent environ cinq jours ouvrables.
*.sso.acme.com ne sont pris en charge ni pour le CN ni pour le SAN.CN = sso.acme.com
CN = sso-qa.acme.com
CN = sso-dev.acme.com
sso.acme.com, il ne voit que le nom d'hôte personnalisé utilisé. L'utilisateur ne voit sso-qa.acme.com pas et sso-dev.acme.com qui sont également des noms d'hôte personnalisés valides. Les pirates potentiels ne peuvent pas facilement découvrir tous les noms d'hôte personnalisés. Ils ne voient que celui qu'ils utilisent.Si, lors du remplissage du formulaire de certificat, des « noms SAN » sont fournis en plus du « nom commun », chaque nom SAN est ajouté au même certificat que le « nom commun ».
CN = sso.acme.com
SAN = sso-qa.acme.com
SAN = sso-dev.acme.com
sso.acme.com, il peut également voir les autres noms d'hôte personnalisés couverts par le certificat. Dans ce cas, sso-qa.acme.com et sso-dev.acme.com. Malheureusement, des pirates potentiels peuvent exploiter ces informations. Cela leur permet de repérer plus facilement tous les noms d'hôte personnalisés valides.- IBM mis à disposition
- IBM peut commander des certificats au nom de l'organisation. IBM utilise DigiCert comme fournisseur de certificats et DigiCert signe les certificats.
Le type de validation du certificat est OV (validation d'organisation) et le client doit suivre la procédure de validation « DigiCert » pour ce certificat. En tant qu'autorité de certification, Digicert doit vérifier de manière indépendante que le propriétaire légitime du domaine demandé a bien approuvé le certificat. Ce processus de validation d' DigiCert s est indépendant et ne relève pas des IBM Verify interactions.
Le processus comprend la vérification de l'adresse de l'entreprise et celle de l'administrateur du domaine. La communication avec DigiCert s'effectue directement entre DigiCert et le client.
Si vous sélectionnez l'option « IBM », la procédure est la suivante.- Veuillez informer l'administrateur de votre domaine, dont les coordonnées figurent sur
whois.comcette page DigiCert, qu'une demande de validation de domaine va être émise. - Veuillez renvoyer sans délai le formulaire de validation à DigiCert.
- DigiCert puis tente de contacter la personne de contact administrative indiquée dans le IBM formulaire de demande de certificat pour nom d'hôte personnalisé à l'aide d'un numéro de téléphone validé appartenant à votre organisation. La validation s'effectue lors d'un appel téléphonique en direct.Remarque : selon la capacité d' DigiCert. à identifier les bons contacts au sein de l'organisation, plusieurs tentatives peuvent s'avérer nécessaires.
- Veuillez informer l'administrateur de votre domaine, dont les coordonnées figurent sur
- meilleure pratique
- Grâce à un certificat tiers, les organisations peuvent faire appel à l'autorité de certification de leur choix une fois qu' IBM a généré une demande de signature de certificat (CSR).Les étapes suivantes illustrent le déroulement du processus.
- IBM Génère le CSR.
- IBM envoie ce CSR à votre organisation.
- Votre organisation envoie ce CSR à votre propre autorité de certification. Votre organisation peut choisir le type de validation qui vous convient.
- Votre autorité de certification renvoie le certificat signé à votre organisation.
- Votre organisation envoie le certificat (certificat de niveau inférieur + chaîne de confiance : certificats intermédiaires et racine) à IBM