Configuration des fournisseurs d'identité

Modifier en ligne

Un fournisseur d'identité est un référentiel utilisé pour l'authentification des utilisateurs et l'application des accès aux comptes. Vous pouvez configurer plusieurs fournisseursde source d'identité. Tous les fournisseurs d'identité configurés et activés sont affichés en tant qu'options dans la page Verify Connexion . Les utilisateurs peuvent se connecter à Verify avec l'un de ces fournisseurs d'identité.

Avant de commencer

  • Vous devez disposer des droits d'administration pour effectuer cette tâche.
  • Connectez-vous à la console d'administration IBM® Verify en tant qu'administrateur.

A propos de cette tâche

Remarque: Verify ne prend pas en charge la déconnexion du fournisseur d'identité. La déconnexion de Verify ne vous déconnecte pas de votre fournisseur d'identité ni d'aucune des applications Abonné auxquelles vous vous êtes connecté via ce fournisseur d'identité.
Verify prend en charge les types de fournisseur d'identité suivants :
Cloud Directory

Il utilise un registre d'utilisateurs qui est hébergé dans le cloud.

Vous pouvez ajouter des informations sur les utilisateurs et les groupes à ce fournisseur d'identité via Répertoire > Utilisateurs et groupes.

Ce fournisseur d'identité est utilisé dans une configuration d'authentification unique SAML sortante. Verify vérifie l'identité de l'utilisateur par rapport aux données de ce fournisseurd'identité.

SAML Enterprise

Il utilise un registre d'utilisateurs local et échange SAML des jetons pour effectuer l'authentification.

Dans le cadre d'une authentification SAML unique, Verify il peut s'agir de l'un des fournisseurs suivants :
fournisseur d'identité

Verify dépend de son propre registre de cloud ou répertoire cloud en tant que fournisseurd'identité.

fournisseur de services

Vous pouvez intégrer Verify à plusieurs fournisseurs d'identité pour authentifier les utilisateurs. Les utilisateurs des fournisseurs d'identité externes peuvent utiliser la connexion unique dans Verify et leurs applications autorisées sans leur mot de passe Verify .

Ce fournisseur d'identité est utilisé dans une configuration d'authentification unique SAML entrante; Verify est le fournisseur de services et l'application cible est le fournisseur d'identité.

Vous pouvez utiliser n'importe quel fournisseur d'identité prenant en charge le SAML protocole comme fournisseur d'identité SAML d'entreprise. Le fournisseur d'identité authentifie l'identité de l'utilisateur par rapport aux données de ce fournisseur d'identité avant d'accorder l'accès à Verify.

Remarque : lorsque vous ajoutez un fournisseur SAML d'identité d'entreprise, son certificat de signature est automatiquement importé dans la page Sécurité > Certificats > Certificats de signature.
OIDC d'entreprise
Tout fournisseur d'identité qui prend en charge le protocole OIDC peut être utilisé comme fournisseur d'identité d'entreprise OIDC. Le fournisseur d'identité authentifie l'identité de l'utilisateur par rapport aux données de ce fournisseur d'identité avant d'accorder l'accès à IBM Verify.
IBMid

Il utilise la solution d'accès et de gestion des identités IBM pour fournir aux utilisateurs une connexion unique à l'ensemble des applications, des services, des communautés, de l'assistance, etc., d'IBM.

IBMid est l'option de connexion par défaut pour la première connexion de l'administrateur à Verify. Seul l'administrateur Verify peut se connecter à Verify à l'aide de IBMid. Ce fournisseur d'identité n'est pas applicable pour la connexion de l'utilisateur final.

Après la première connexion de l'administrateur, vous pouvez activer le répertoire cloud ou les fournisseurs d'identité configurés d' SAML Enterprise comme options de connexion supplémentaires pour les connexions suivantes de l'administrateur.

MaaS360 Cloud Extender

Les identités des utilisateurs sont vérifiées par rapport aux informations qui sont stockées dans le référentiel d'entreprise ou le registre d'utilisateurs local, mais la demande d'authentification est déléguée ou transmise à un autre serveur ou agent.

Les identités des utilisateurs authentifiés sont fédérées dans Verify. Vous pouvez consulter leurs informations dans Répertoire > Utilisateurs et groupes.

Social
Les identités des utilisateurs sont vérifiées par rapport à leur compte de réseau social. Un fournisseur d'identité sociale peut être configuré une fois et il est utilisé comme option de connexion pour les applications uniquement. Il ne peut pas être utilisé pour se connecter à la Verify Console de l'administrateur ou au panneau de lancement de l'utilisateur Verify prend en charge les fournisseurs d'identité sociale suivants :
  • Apple
  • Baidu
  • Facebook
  • GitHub
  • Google
  • LinkedIn
  • QQ
  • Renren
  • WeChat
  • Weibo
  • Yahoo
  • X

Les identités des utilisateurs authentifiés sont fédérées dans Verify. Vous pouvez consulter leurs informations dans Répertoire > Utilisateurs et groupes.

Vous pouvez afficher ou masquer tous les fournisseurs d'identité à partir de la page Connexion de l'administrateur ou de l'utilisateur final à l'exception des fournisseurs d'identité sociale. Si plusieurs fournisseurs d'identité sont activés et affichés, l'utilisateur doit sélectionner le fournisseur d'identité à utiliser pour l'authentification. Pour une expérience utilisateur simple, activez et affichez un seul fournisseurd'identité. Si un seul fournisseur d'identité est activé, il devient l'option de connexion par défaut pour l'utilisateur. L'utilisateur n'a pas besoin de sélectionner un fournisseurd'identité préféré.

Conseil : si vous ne parvenez pas à vous connecter à Verify à l'aide d'un fournisseur d'identité configuré pour SAML Enterprise et que l'option de connexion Cloud Directory n'est pas disponible ou n'apparaît pas, utilisez l' URL suivante :
https://<hostname>.verify.ibm.com/authsvc/mtfim/sps/authsvc?PolicyId=urn:ibm:security:authentication:asf:basicldapuser

Procédure

  1. Sélectionnez Authentification > Fournisseurs d'identité
  2. Sélectionnez un fournisseur d'identité pour afficher ses informations.
    Remarque: Les informations affichées varient en fonction du fournisseurd'identité.
    Tableau 1. Informations sur le fournisseur d'identité
    Informations Descriptions
    Nom

    Nom que vous attribuez pour représenter le registre utilisateur utilisé par les fournisseurs d'identité tels que Microsoft™ Active Directory, Microsoft AzureActive Directory ou autres.

    Si plusieurs fournisseurs d'identité sont configurés et activés, le nom du fournisseur d'identité s'affiche dans la page de connexion Verify .

    Ces informations s'affichent également dans l'onglet Répertoire > Utilisateurs et groupes > Utilisateurs, boîte de dialogue Ajouter un utilisateur, lorsque vous sélectionnez un fournisseur d'identité.
    Domaine

    Il s'agit d'un attribut de fournisseur d'identité qui permet de distinguer les utilisateurs de plusieurs fournisseurs d'identité ayant le même nom d'utilisateur.

    Ces informations s'affichent dans Répertoire > Utilisateurs et groupes, ainsi que dans la boîte de dialogue Modifier l'utilisateur.

    Pour les fournisseursd'identité suivants:
    • Cloud Directory, la valeur de domaine est cloudIdentityRealm.
    • IBMid, la valeur de domaine est www.ibm.com.
    • SAML Entreprise, la valeur du domaine peut être n'importe quel nom unique que vous avez attribué lors de la création du fournisseur d'identité.
    • OnPrem LDAP, la valeur du domaine peut être n'importe quel nom unique que vous avez attribué lors de la création du fournisseur d'identité.
    • Apple, la valeur du domaine est www.apple.com.
    • Baidu, la valeur du domaine est www.baidu.com.
    • Facebook, la valeur du domaine est www.facebook.com.
    • GitHub, la valeur du domaine est www.github.com.
    • Google, la valeur du domaine est www.google.com.
    • LinkedIn, la valeur du domaine est www.linkedin.com.
    • QQ, la valeur du domaine est www.qq.com.
    • Renren, la valeur du domaine est www.renren.com.
    • WeChat, la valeur du domaine est www.wechat.com.
    • Weibo, la valeur du domaine est www.wiebo.com.
    • X, la valeur de domaine est www.twitter.com.
    • Yahoo, la valeur du domaine est www.yahoo.com.
    ID Un ID est généré pour le fournisseur d'identité lorsque vous sélectionnez Sauvegarder.
    Activé

    Indique si le fournisseur d'identité est actif et disponible.

    Lorsque le fournisseur d'identité est configuré et activé, les utilisateurs peuvent se connecter à Verify et à leurs applications autorisées avec le fournisseur d'identité sélectionné. Si le fournisseur d'identité n'est pas activé, il n'apparaît pas sous forme d'option dans la page Connexion.
    Remarque :
    • Il doit y avoir au moins un fournisseur d'identité activé pour la connexion à Verify.
    • Si un seul fournisseur d'identité est activé, il devient l'option de connexion par défaut de l'utilisateur.
    Liaison d'identité

    Activé

    		 Active la liaison d'identité pour un fournisseurd'identité spécifique. Les comptes miroir ne sont pas créés dans Cloud Directory au niveau du domaine spécifié pour ce fournisseurd'identité.
    Cette fonctionnalité est disponible pour les applications SAML et les fournisseurs d'identité sociale suivants :
    • Apple
    • Facebook
    • GitHub
    • Google
    • LinkedIn
    • SAML Enterprise
    • WeChat
    • X
    • Yahoo

    Cette option est également disponible pour les fournisseurs d'identité OnPrem LDAP. Pour les sources d'identifiants OnPrem LDAP, le compte utilisateur doit exister dans le fournisseur d'identifiants principal associé pour que les authentifications d'exécution aboutissent. Si aucun compte utilisateur correspondant n'est présent dans le fournisseur d'identité lié principal, les authentifications échouent.

    Remarque :
    1. Vous ne pouvez pas activer la liaison sur le fournisseur d'identité défini comme votre fournisseurd'identité par défaut.
    2. Vous ne pouvez pas désactiver ou supprimer votre fournisseurd'identité de liaison par défaut.
    ID utilisateur unique
    Sélectionnez dans le menu l'attribut qui sert d'identificateur pour le compte lié.
    Application des accès JIT
    Si le compte utilisateur est introuvable dans le fournisseurd'identité principal, cette option crée un compte miroir dans ce domaine principal. Pour les sources d'identifiants OnPrem LDAP, le compte utilisateur est créé dans le fournisseur d'identifiants principal associé si le compte n'existe pas. Les attributs de compte sont mis à jour dans le compte lié principal avec les attributs extraits du système d'identité externe ou externe.
    ID utilisateur unique

    Cette fonctionnalité est disponible pour les applications d' SAML s et les sources d'identité d' LDAP s sur site.

    		 Attribut utilisateur qui sert d'identificateur pour le compte lié dans Cloud Directory.
    Approvisionnement juste à temps pour les fournisseurs d'identité OnPrem LDAP. S'applique uniquement aux fournisseurs d'identifiants OnPrem LDAP.

    Lorsqu'ils sont activés, les administrateurs peuvent configurer la migration des enregistrements utilisateur des fournisseurs d'identité externes vers le domaine du répertoire cloud. Lorsqu'ils sont utilisés avec password just-in-time provisioning, les mots de passe utilisateur sont également migrés avec les enregistrements utilisateur.

    Lorsque cette option est désactivée, les administrateurs interrompent la migration des mots de passe du fournisseur d'identité vers le domaine Cloud Directory et autorisent les utilisateurs à s'authentifier par Cloud Directory.
    Application des accès JIT par mot de passe

    Ce bouton à bascule est actif uniquement si l'option Application des accès JIT est déjà activée.

    Lorsqu'ils sont activés, les administrateurs activaient une phase de migration dans laquelle les comptes et leurs mots de passe du fournisseur d'identité sont migrés vers le domaine du répertoire cloud. Les utilisateurs liés à un fournisseur d'identité OnPrem ne peuvent pas s'authentifier auprès de Cloud Directory pendant cette phase.

    Lorsque cette fonction est désactivée, les administrateurs interrompent la migration des mots de passe du fournisseur d'identité vers le domaine du répertoire cloud et permettent aux utilisateurs de s'authentifier auprès du répertoire cloud.

    Remarques sur l'activation de l'option d'application des accès juste-à-temps (identityLinkingJitPwdEnabled) des mots de passe

    Lorsque cette option est activée, la plateforme Verify tente d'appliquer les accès juste-à-temps à la fois des attributs de compte des utilisateurs et de leurs mots de passe dans le domaine du fournisseur d'identité principal configuré pour votre titulaire. Cette mise à disposition se produit une fois que le nom d'utilisateur et le mot de passe ont été validés par le fournisseur d'identité sur site ou externe. Lorsqu'une tentative est effectuée pour fournir le mot de passe, Verify garantit que le mot de passe respecte les paramètres de règles de mot de passe associés au fournisseur d'identité principal. Si le mot de passe qui a été validé par votre fournisseur d'identité sur site ne respecte pas cette règle Verify , la tentative d'authentification échoue. Les attributs de compte et le mot de passe ne sont pas mis à disposition dans le domaine du fournisseur d'identité principal Verify. L'utilisateur reçoit un message d'erreur indiquant que le nom d'utilisateur ou le mot de passe n'est pas valide et qu'il doit contacter l'administrateur système.

    Pour éviter cette situation, définissez des règles sur les mots de passe de niveau égal ou inférieur à celles qui sont acceptées par le système d'identité sur site ou externe. Associez cette règle au fournisseur d'identité principal configuré pour votre titulaire Verify. En général, le domaine du fournisseur d'identité principal est le répertoire cloud Verify, qui est souvent configuré avec la règle de mot de passe par défaut.

    Etant donné que l'application des accès JIT du mot de passe est effectuée sur chaque authentification sur site réussie, le paramètre d'historique de mot de passe dans le domaine du fournisseur d'identité principal peut entraîner des échecs de synchronisation des attributs de compte et des mots de passe. Vous pouvez désactiver l'application de l'historique des mots de passe pour éviter de tels incidents.

    Lorsque l'option de mise à disposition JIT de mot de passe est activée ou désactivée, la phase de migration sur site vers Cloud Directory est considérée comme terminée. Les utilisateurs migrés peuvent s'authentifier auprès du répertoire cloud à l'aide de leur mot de passe migré. Vous souhaiterez peut-être réactiver les paramètres de règles sur les mots de passe Cloud Directory qui ont été modifiés pour tenir compte de la phase de migration.
    Activer l'application des accès JIT

    Cette fonction est disponible pour les applications SAML.

    		 Si le compte n'est pas trouvé dans le fournisseur d'identité par défaut, cette option crée un compte reflet dans ce domaine par défaut.
  3. Facultatif : configuration des règles relatives aux mots de passe.
  4. Facultatif : ajout d'un fournisseur d'identité d'entreprise SAML.
  5. Facultatif : Ajout d'un fournisseur MaaS360 d'identité Cloud Extender.
  6. Facultatif : Configuration du fournisseur MaaS360 d'identité et de l'identifiant utilisateur.
  7. Facultatif : ajout d'un fournisseur d'identité sociale.
  8. Facultatif : suppression d'un fournisseur d'identité.
    Remarque: Vous ne pouvez pas supprimer un fournisseur d'identité Cloud Directory ou IBMid .
    1. Sélectionnez le fournisseur d'identité et cliquez sur Supprimer dans la boîte de dialogue Editer le fournisseur d'identité .
    2. Confirmez que vous souhaitez supprimer définitivement le fournisseur d'identité sélectionné.
      Remarque :
      • Vous ne pouvez pas supprimer un fournisseur d'identité utilisé comme choix par défaut pour MaaS360. Vous devez choisir un autre fournisseur d'identité pour MaaS360 avant de supprimer la valeur par défaut en cours.
      • Vous ne pouvez pas supprimer un fournisseur d'identité affecté à une application en tant qu'option de connexion. Vous devez la retirer de l'application en tant qu'option pour pouvoir la supprimer.