Obtention d'un nom d'hôte Vanity

Si vous souhaitez offrir une expérience personnalisée à vos utilisateurs lorsqu'ils interagissent avec les processus liés à l'identité au sein de votre organisation, vous pouvez acheter un nom d'hôte personnalisé pour votre IBM® Verifytenant. Vous pouvez personnaliser les processus de connexion, d'inscription et de gestion du profil, entre autres.

Avant de commencer

Remarque : contactez votre représentant commercial pour acheter votre nom d'hôte personnalisé. Vous devez acheter le nom d'hôte fictif avant de pouvoir le configurer.

Pour configurer un nom d'hôte personnalisé, vous et IBM devez suivre plusieurs étapes de configuration. Pour lancer la procédure, vous devez remplir le IBM formulaire de demande de certificat pour nom d'hôte personnalisé fourni par le bureau du projet « IBM ».

Vérifiez également les points suivants.

  • Familiarisez-vous avec la syntaxe et les options du nom d'hôte Vanity, puis choisissez celle qui convient le mieux à votre organisation en fonction de ses pratiques en matière de certificats.
  • Comprendre les conditions préalables.
  • Contactez votre représentant IBM® pour acheter un nom de domaine de sous-domaine et un nom de domaine de sous-domaine personnalisé.
  • Assurez-vous de pouvoir collaborer efficacement avec les administrateurs DNS et du site web de votre organisation pour la validation du domaine.
  • Le client doit être propriétaire du nom de domaine correspondant au nom d'hôte personnalisé. Si le nom d'hôte de façade est sso.acme.com, votre organisation doit être propriétaire du domaine acme.com.
  • Le nom d'hôte fictif doit être unique et ne pas exister déjà. Elle s'applique au locataire et doit être utilisée exclusivement à IBM Verify cette fin.

A propos de cette tâche

Un nom d'hôte personnalisé est un nom d'hôte défini par vos soins pour votre IBM Verify tenant. Le nom d'hôte par défaut du locataire est IBM. Grâce à un nom d'hôte personnalisé, un client peut personnaliser le nom d'hôte de manière à ce que IBM n'apparaisse pas dans l' URL. Par exemple, le nom d'hôte de votre tenant Verify pourrait être acme.verify.ibm.com, mais vous souhaiteriez peut-être que les utilisateurs voient à la place un nom d'hôte personnalisé tel que login.acme.com.

Syntaxe des noms d'hôte fantaisistes
Lorsque votre organisation reçoit un IBM Verify locataire pour la première fois, l' URL du locataire respecte la syntaxe suivante. <tenant identifier>.<domain>
  • <tenant identifier> est l'identifiant du locataire fourni. <acme>On peut citer par exemple.
  • <domain> La valeur par défaut est <verify.ibm.com>, mais elle peut être personnalisée pour utiliser un nom d'hôte personnalisé.
  • Dans cet exemple, le nom d'hôte complet est acme.verify.ibm.com, qui correspond à l' URL que les utilisateurs voient lorsqu'ils se connectent, ainsi que lors d'autres interactions liées à l'identité activées par IBM Verify.
Chaque nom d'hôte fictif nécessite un certificat pour permettre la négociation du protocole SSL entre l'utilisateur et Verify.
  • Les certificats doivent être signés par une autorité de certification « de confiance ». Ils ne doivent pas être auto-signés.
  • La section suivante décrit la procédure d'obtention du certificat pour un nom d'hôte personnalisé.
  • Une fois le certificat généré, IBM effectue des étapes supplémentaires pour configurer entièrement un nom d'hôte personnalisé. Ces étapes supplémentaires prennent environ cinq jours ouvrables.
Options de configuration des certificats
Chaque certificat doit comporter un « nom commun » (CN). Il peut également comporter des « noms alternatifs du sujet » (SAN). Le certificat couvre tous les noms d'hôte répertoriés en tant que CN ou SAN.
Remarque : les caractères génériques, par exemple, *.sso.acme.com ne sont pris en charge ni pour le CN ni pour le SAN.
Si vous n'indiquez qu'un « nom commun » lors du remplissage du formulaire de certificat, un certificat spécifique est nécessaire pour chaque nom d'hôte personnalisé.
Si trois locataires Verify ont besoin d'un nom d'hôte personnalisé et que seul le « nom commun » est fourni, l'organisation doit payer pour chaque nom d'hôte personnalisé, car chacun d'entre eux dispose de son propre certificat. Dans cet exemple, il faut acheter trois noms de domaine personnalisés.
CN = sso.acme.com

CN = sso-qa.acme.com

CN = sso-dev.acme.com
Remarque : lorsqu'un utilisateur s'authentifie via Verify l'un de ces noms d'hôte personnalisés, tels que sso.acme.com, il ne voit que le nom d'hôte personnalisé utilisé. L'utilisateur ne voit sso-qa.acme.com pas et sso-dev.acme.com qui sont également des noms d'hôte personnalisés valides. Les pirates potentiels ne peuvent pas facilement découvrir tous les noms d'hôte personnalisés. Ils ne voient que celui qu'ils utilisent.

Si, lors du remplissage du formulaire de certificat, des « noms SAN » sont fournis en plus du « nom commun », chaque nom SAN est ajouté au même certificat que le « nom commun ».

Si trois locataires Verify ont besoin d'un nom d'hôte personnalisé pour lequel un « nom commun » est fourni avec deux noms SAN, l'organisation ne paie qu'un seul nom d'hôte personnalisé. Dans cet exemple, il faut acheter un nom d'hôte personnalisé.
CN = sso.acme.com
  SAN = sso-qa.acme.com
  SAN = sso-dev.acme.com
Remarque : lorsqu'un utilisateur s'authentifie via Verify l'un de ces noms d'hôte personnalisés, tels que sso.acme.com, il peut également voir les autres noms d'hôte personnalisés couverts par le certificat. Dans ce cas, sso-qa.acme.com et sso-dev.acme.com. Malheureusement, des pirates potentiels peuvent exploiter ces informations. Cela leur permet de repérer plus facilement tous les noms d'hôte personnalisés valides.
Si vous souhaitez passer du plan « SAN » au plan « CN », vous devez recommencer la procédure et vous aligner sur la structure tarifaire du plan « CN ».
Options de délivrance des certificats
Une fois l'option de nom d'hôte personnalisé sélectionnée, les organisations doivent choisir entre « Certificat fourni par IBM » et « Certificat tiers » pour valider ou obtenir le certificat.
IBM mis à disposition
IBM peut commander des certificats au nom de l'organisation. IBM utilise DigiCert comme fournisseur de certificats et DigiCert signe les certificats.

Le type de validation du certificat est OV (validation d'organisation) et le client doit suivre la procédure de validation « DigiCert » pour ce certificat. En tant qu'autorité de certification, Digicert doit vérifier de manière indépendante que le propriétaire légitime du domaine demandé a bien approuvé le certificat. Ce processus de validation d' DigiCert s est indépendant et ne relève pas des IBM Verify interactions.

Le processus comprend la vérification de l'adresse de l'entreprise et celle de l'administrateur du domaine. La communication avec DigiCert s'effectue directement entre DigiCert et le client.

Si vous sélectionnez l'option « IBM », la procédure est la suivante.
  1. Veuillez informer l'administrateur de votre domaine, dont les coordonnées figurent sur whois.com cette page DigiCert, qu'une demande de validation de domaine va être émise.
  2. Veuillez renvoyer sans délai le formulaire de validation à DigiCert.
  3. DigiCert puis tente de contacter la personne de contact administrative indiquée dans le IBM formulaire de demande de certificat pour nom d'hôte personnalisé à l'aide d'un numéro de téléphone validé appartenant à votre organisation. La validation s'effectue lors d'un appel téléphonique en direct.
    Remarque : selon la capacité d' DigiCert. à identifier les bons contacts au sein de l'organisation, plusieurs tentatives peuvent s'avérer nécessaires.
meilleure pratique
Grâce à un certificat tiers, les organisations peuvent faire appel à l'autorité de certification de leur choix une fois qu' IBM a généré une demande de signature de certificat (CSR).
Les étapes suivantes illustrent le déroulement du processus.
  1. IBM Génère le CSR.
  2. IBM envoie ce CSR à votre organisation.
  3. Votre organisation envoie ce CSR à votre propre autorité de certification. Votre organisation peut choisir le type de validation qui vous convient.
  4. Votre autorité de certification renvoie le certificat signé à votre organisation.
  5. Votre organisation envoie le certificat (certificat de niveau inférieur + chaîne de confiance : certificats intermédiaires et racine) à IBM

Procédure

  1. Téléchargez et remplissez le formulaire de demande de certificat de l' IBM Verify.
    Veillez à remplir tous les champs obligatoires.
  2. Créer un ticket d'assistance
    Rendez-vous sur la page « Comment ouvrir un ticket » et ouvrez un ticket avec pour objet « Demande de nom d'hôte personnalisé pour [nom du client ] », puis joignez le formulaire de nom d'hôte personnalisé au ticket.
  3. Créez un enregistrement DNS de type CNAME qui redirige votre nom d'hôte personnalisé vers le locataire correspondant IBM Verify .
    Seule votre organisation peut créer l'enregistrement DNS CNAME. Par exemple, sso.clienthostname.com CNAME <tenant>.verify.ibm.com.
  4. Une fois que le CNAME DNS a été correctement configuré, veuillez en informer IBM via le ticket d'assistance créé précédemment.
    Le nom d'hôte fantaisiste n'est pas encore utilisable. IBM Il reste encore des étapes à franchir.
  5. IBM achève la configuration restante.
    Une fois cette étape terminée, IBM en informe votre organisation et le nom d'hôte personnalisé est prêt à être utilisé.