Configuration d'un agent d'identité pour l'authentification à l'aide d'un service Web

A propos de cette tâche

Une configuration non standard du fournisseur d'identité qui récupère les attributs et les groupes des utilisateurs à partir d'un service Web accédant à une source de données non standard (non-LDAP ou non-AD).

Procédure

  1. Sélectionnez Intégrations > Agents d'identité.
  2. Sélectionnez « Créer une configuration d'agent ».
  3. Sélectionnez « Authentification » comme motif.
  4. Sélectionnez la vignette du service Web.
  5. Cliquez sur Suivant.
  6. Configurez les paramètres de connexion au service Web. Saisissez l'URI du service Web sur site.
    Pour configurer le basculement d'un service Web en cluster, vous pouvez ajouter plusieurs URI de service Web en sélectionnant « Ajouter une URI+ ».
  7. Sélectionnez le type d'authentification.
    Le type d'authentification correspond à la méthode utilisée par l'agent pour s'authentifier auprès du service Web sur site.
    • protocole d"autorisation OAuth
      URL du nœud final de jeton
      Saisissez le point de terminaison du jeton du fournisseur OAuth. Ce point de terminaison de jeton est utilisé par l'agent pour récupérer un jeton d'accès qui est ensuite envoyé au service web.
      Méthode d'authentification de noeud final de jeton
      Entrez la méthode d'authentification par point de terminaison de jeton :
      • Envoi du secret client - L'agent envoie les identifiants du client au point de terminaison des jetons via une requête POST.
      • Secret client de base - L'agent envoie les informations d'identification du client, codées selon le format « base64 », au point de terminaison des jetons dans un authorization en-tête de requête.
      ID client et secret client
      Saisissez les identifiants du client utilisés pour l'authentification auprès du fournisseur OAuth. Vous pouvez également fournir une autorité de certification.
      Si vous modifiez un client Identity Agent existant, vous pouvez utiliser les options de clé secrète suivantes :
      • Sélectionnez Afficher pour afficher le secret du client.
      • Sélectionnez Masquer pour masquer le secret du client.
      • Cliquez sur Copier pour copier l'identifiant client ou la clé secrète dans le presse-papiers.
      • Cliquez Liste ici pour afficher les secrets client mis à jour.
        • Sélectionnez un ou plusieurs secrets client renouvelés dans la liste, puis cliquez sur « Supprimer » pour les supprimer.
      • Sélectionnez Régénérer pour générer un nouveau secret client. Utilisez cette option si vous pensez que le secret client est compromis. Si vous régénérez le secret client, vous devez le mettre à jour dans tous les clients OAuth de l'application.
        • Cochez la case « Conserver le secret actuel » pour ajouter le secret client actuel à la liste des secrets clients renouvelés.
        • Si la case « Conserver le secret actuel » est cochée, sélectionnez la description du secret client et la date d'expiration (selon l'heure locale du navigateur). Si aucune durée d'expiration n'est sélectionnée, la durée de vie du secret renouvelé du locataire définie dans les paramètres de l'application s'appliquera.
        • Les secrets client renouvelés sont hachés et ne peuvent plus être récupérés en clair, mais ils restent utilisables jusqu'à la date d'expiration choisie.
        • Une fois la confirmation effectuée, le secret client est immédiatement renouvelé. Le nouveau secret client s'affiche à l'écran.
      Autorité de certification à clé privée (facultatif)
      Saisissez la chaîne de certificats CA afin de permettre à l'agent sur site de valider la connexion TLS ( TLS ) du service d'authentification externe.
      Portées autorisées (facultatif)
      Saisissez un ou plusieurs droits d'accès pour le jeton d'accès.
      Nom de certificat de clé privée (facultatif)
      Si vous souhaitez effectuer une authentification par certification MTLS (Mutual TLS ) lors de la connexion de votre agent, indiquez le nom du certificat de la clé privée.
    • Jeton Web JSON (JWT)
      En-tête HTTP
      Indiquez l'en-tête « HTTP » dans lequel figure le JWT. Par exemple, authorization.
      Préfixe de valeur d'en-tête JWT (facultatif)
      Saisissez la valeur du préfixe qui précède le JWT dans l'en-tête « HTTP ». Par exemple, Bearer .
      Remarque : aucun espace n'est automatiquement inséré entre le préfixe et le JWT; il doit donc être ajouté manuellement après le préfixe indiqué.
      Réclamation sub
      Saisissez la sous-déclaration qui figure dans le JWT.
      Algorithme de signature
      Sélectionnez l'algorithme de signature utilisé par l'agent pour signer le JWT.

      Pour les algorithmes de signature symétrique (HSXXX), saisissez la valeur de la clé secrète qui correspond à la clé de signature symétrique. La clé de signature saisie doit être encodée selon le format « base64 ».

      Pour les algorithmes de signature asymétrique (ESXXX, PSXXX ou RSXXX), saisissez le nom du certificat personnel correspondant à l'étiquette de la clé privée utilisée pour signer le JWT. Sous Windows, cette étiquette correspond à la Subject valeur du certificat de clé privée dans le magasin de clés Windows. /cert/{label}_cert[_{instance}].pemSur les systèmes d' Linux®, cette valeur correspond à la label partie du chemin d'accès.

      Durée de validité maximale du JWT
      Indiquez la durée de validité du JWT en secondes.
      Autorité de certification (facultatif)
      Saisissez la chaîne de certificats CA pour permettre à l'agent sur site de valider la connexion au service d'authentification externe TLS.
    • Authentification de base
      Nom d'utilisateur et mot de passe
      Le nom d'utilisateur et le mot de passe utilisés pour authentifier l'agent auprès du service Web. Ils sont envoyés au service web dans un en-tête appelé authorization au format Basic username:passwordusername:password est encodé en base64.
      Autorité de certification (facultatif)
      Saisissez la chaîne de certificats CA pour permettre à l'agent sur site de valider la connexion au service d'authentification externe TLS.
      Nom de certificat de clé privée (facultatif)
      Si vous souhaitez effectuer une authentification par certificat MTLS via votre connexion d'agent, indiquez le nom du certificat de la clé privée.
    • Authentification par certificat (MTLS)
      Autorité de certification (facultatif)
      Saisissez la chaîne de certificats CA. Cette chaîne de certificats est utilisée par l'agent sur site pour valider le certificat « TLS » présenté par un service Web utilisant le protocole TLS. Cette chaîne de certificats est également utilisée par l'agent lorsqu'il valide le certificat TLS présenté par le point de terminaison du jeton du serveur OAuth URL.
      Certificat de clé privée
      Saisissez le nom du certificat de clé privée utilisé par l'agent lors du protocole MTLS. Pour les types d'authentification autres que MTLS, la définition de cette valeur indique à l'agent de tenter d'effectuer une authentification MTLS en plus du type d'authentification déjà spécifié.

      Sur les systèmes Windows™, le pont vérifie la Subject: valeur dans le magasin de clés Windows. Sur les systèmes de type « Linux », le pont examine le chemin /cert/{label}_cert[_{instance}].pem où «label» correspond à la valeur saisie ici.

  8. Cliquez sur Suivant.
  9. Définissez les propriétés de l'utilisateur.
    Indiquez une liste d'attributs séparés par des virgules que le service Web renvoie lorsqu'une opération de vérification du mot de passe aboutit.
  10. Cliquez sur Suivant.
  11. Mettez en correspondance les attributs récupérés par le service Web avec les Verify attributs de Cloud Directory.
    Une fois l'agent d'identité créé, vous pouvez modifier ou mettre à jour les mappages à l'aide de la fonction icône du crayon d'édition située sur la vignette de l'agent.
  12. Cliquez sur Suivant.
  13. Dans la section « Finaliser la configuration », indiquez les informations suivantes.
    • Un nom unique et reconnaissable pour l'agent
    • Une description
    • Un nom d'affichage pour le fournisseur d'identité
    • Un domaine pour le fournisseur d'identité
  14. Facultatif : sélectionnez « Afficher les paramètres avancés » pour ajouter des attributs de configuration ou pour sélectionner un certificat de chiffrement.
  15. Cliquez sur « Enregistrer » puis sur « Continuer ».
  16. Dans la section « Étapes suivantes », procédez comme suit.
    1. Sélectionnez « Afficher les identifiants API » et utilisez l'icône « Copier dans le presse-papiers » pour copier et enregistrer l'ID client et la clé secrète.
      Remarque : seuls les utilisateurs disposant des autorisations nécessaires peuvent voir le secret client. Pour plus d'informations, consultez la section « Mises à jour de sécurité pour les droits d'accès ».
    2. Si vous ne l'avez pas encore téléchargé, téléchargez l'agent depuis IBM® X-Force® App Exchange.
    3. Ajoutez vos données d'identification de l'API à la configuration de l'agent.
  17. Cliquez sur Terminer.
    La configuration est ajoutée aux agents d'identité et le fournisseur d'identité apparaît dans la section Authentification > Fournisseurs d'identité.