Le fichier config.json

Modifier en ligne

Ce fichier de configuration doit être au format JSON. Il contient deux sections, ibm-auth-api et le fournisseur de données d'identification.

Format

{
    "ibm-auth-api":{
        "client-id":"????????-????-????-????-????????????",
        "ofb-client-secret":"**********",
        "protocol":"https",
        "host":"tenant.verify.ibm.com",
        "port":443,
        "max-handles":16
    },
    "credential-provider":{
        "username-format":"%D\\\\%U",
        /*"trace-file":"c:/credprov/credprov.log",*/
        "disable-builtin-password-logon": false,
        "auth-method":"winpwd-then-choice-then-otp"
    }
}

Configuration de ibm-auth-api


Entrée	Valeur d'échantillon	Descriptif
"client-id"	"84e8da25-d7ed-47cc-9782-b852cb64365c"	Cette valeur est obligatoire. Un client API IBM® Verify doit être créé pour être utilisé par la connexion IBM Verify Gateway for Windows™ .
"ofb-client-secret"	"KsjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA="	Cette valeur est obligatoire. Le client API IBM Verify reçoit un mot de passe lors de sa création et doit être défini dans ce paramètre de configuration. La valeur obf-client-secret est fournie sous forme brouillée. Remarque: Cette valeur obf-client-secret peut également être fournie en texte en clair en utilisant l'option "client-secret" à la place. Par exemple : `"client-secret”:"XOpiba1XeP"` . `"obf-client-secret”: "asjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA=",`
"protocol"	"https"	Cette valeur est facultative ; par défaut, il s'agit de “https”. Ce protocole est utilisé pour communiquer avec le serveur Verify . Vous pouvez utiliser la valeur “http” ou la valeur “https”. Lorsque https est utilisé et que le fichier cacert.pem est présent, le certificat du serveur IBM Verify et le nom du serveur sont validés.
"hôte"	"titulaire.verify.ibm.com"	Cette valeur est obligatoire. Il identifie le serveur Verify que vous utilisez.
« port »	443	Cette valeur est facultative ; par défaut, il s'agit de 443. Il s'agit du port sur lequel le serveur Verify écoute les demandes.
"max-handles"	2	Cette valeur est facultative ; par défaut, il s'agit de 16. Cette valeur correspond au nombre maximal de connexions parallèles établies par IBM Verify Gateway for Windows Login avec le serveur IBM Verify pour l'authentification d'utilisateur. Chaque interface de fournisseur de données d'identification n'utilise jamais plus de deux connexions simultanément ; par conséquent, la valeur 2 est appropriée.
"proxy"	"http://proxy.ibm.com:1080"	Cette valeur est facultative. Le comportement par défaut consiste à ne pas utiliser de proxy et à se servir de connexions directes. Définissez le proxy pour accéder au titulaire Verify . La valeur est un nom d'hôte ou une adresse IP numérique à points. Une adresse IPv6 numérique doit être placée entre [crochets]. Pour spécifier le numéro de port dans cette chaîne, ajoutez `:[port]` à la fin du nom d'hôte. Le port du proxy est par défaut `port :1080`. Vous pouvez préfixer la chaîne de proxy par `[scheme]://` pour spécifier le type de proxy qui est utilisé. http:// Proxy HTTP. Il s'agit du type par défaut lorsqu'aucun schéma ou type de proxy n'est spécifié. https:// Proxy HTTPS. Ajouté dans la version 7.52.0 pour OpenSSL, Gnus et NSS. socks4:// Proxy SOCKS4. socks4a:// Proxy SOCKS4a. Le proxy résout le nom d'hôte de l'URL. socks5:// Proxy SOCKS5. socks5h:// Proxy SOCKS5. Le proxy résout le nom d'hôte de l'URL. Sans préfixe de schéma, la valeur par défaut est `http://`. La définition de la chaîne de proxy sur `""`, une chaîne vide, désactive explicitement l'utilisation d'un proxy, même si une variable d'environnement est définie pour elle. Une chaîne hôte proxy peut également inclure le schéma de protocole `http://` et un utilisateur intégré et un mot de passe. Remarque : si vous utilisez un proxy HTTPS, définissez la variable d'environnement OpenSSL, `SSL_CERT_FILE`, sur le système Windows où IBM Verify Gateway for Windows Login est exécuté. Cette variable d'environnement indique le nom et l'emplacement du fichier de certificats de l'autorité de certification. Accédez au Panneau de configuration > Système et sécurité > Paramètres système avancés > Variables d'environnement > Variables système et spécifiez la variable. Par exemple : `SSL_CERT_FILE = C:\ Program Files\IBM\WindowsLogin\ cacert.pem`
"proxytunnel"	Oui	Cette valeur est facultative. Il s'agit de true si le proxy est activé. Définissez l'argument `proxytunnel` à `true` pour que l'opération du locataire passe par le proxy HTTP Verify pour que l'opération locataire passe par le proxy HTTP. L'utilisation d'un proxy et la tunnellisation par un proxy ne sont pas équivalentes. Avec la tunnellisation, une demande de connexion HTTP est envoyée au proxy en vue de la connexion à un hôte distant sur un numéro de port spécifique, puis le trafic est transmis via le proxy. Les proxys placent sur liste autorisée les numéros de port spécifiques sur lesquels ils autorisent les demandes de connexion. En général, seuls les ports 80 et 443 sont autorisés.
"connect-timeout"	10	Cette valeur est facultative ; par défaut, il s'agit de 10 secondes. Délai d'attente en secondes lors de la tentative d'ouverture d'une connexion au serveur Verify . Si la première tentative échoue, une deuxième tentative a lieu.
"timeout"	20	Cette valeur est facultative ; par défaut, il s'agit de 20 secondes. Le temps, en secondes, pendant lequel la passerelle IBM Verify pour Windows Login attend que les données soient reçues sur la connexion au serveur Verify .
"type-jeton"	"porteur"	Indique le type de jeton d'accès de "access-token".
"jeton d'accès"	"abcé ..."	Indique le jeton d'accès à utiliser pour le titulaire. Il s'agit d'une alternative à l'utilisation des options "client-id" et "client-secret" si le jeton d'accès est déjà connu.
« ca-path »	""C:\Program\Files\IBM\WindowsLogin\cacert.pem"	Spécifie un fichier contenant la liste des signataires autorisés de l'autorité de certification du certificat du serveur locataire Verify . Ce fichier texte contient un ou plusieurs certificats de clé publique PEM CA au format base64. Par défaut, il utilise le fichier cacert.pem situé dans le répertoire du fichier de configuration.
"agent-utilisateur-origine"	"IBM Verify"	Indique l'agent utilisateur qui envoie la demande pour lancer une transaction push (unité).
"chemin-ca-proxy"	""C:\Program\Files\IBM\WindowsLogin\cacert.pem"	Indique un fichier avec une liste des signataires d'autorité de certification autorisés du certificat du serveur proxy. Ce fichier texte contient un ou plusieurs certificats de clé publique PEM CA au format base64. Par défaut, il utilise le fichier cacert.pem situé dans le répertoire des fichiers de configuration.
"révoquer-meilleur-effort"	Non	Pour la communication TLS avec l'API REST du locataire Verify . Indique s'il doit ignorer les vérifications de révocation de certificat en cas de points de distribution manquants ou hors ligne pour les systèmes de back end TLS dans lesquels un tel comportement est présent.
"pas de révocation"	Non	Pour la communication TLS avec l'API REST du locataire Verify . Indique si les vérifications de révocation de certificat doivent être désactivées pour les systèmes de back end TLS dans lesquels ce comportement est présent. Cette option n'est prise en charge que sous Windows, avec une exception dans le cas de la liste de blocage des diffuseurs de publications non approuvés de Windows qui ne peut pas être ignorée. Cette option est prioritaire sur "revoke-best-effort".

Configuration de credential-provider


Entrée	Valeur d'échantillon	Descriptif
"trace-file"	“C:\Temp\credprov.log”	Cette valeur est facultative ; par défaut, le traçage n'est pas activé. Remarque: si le fichier C:\Program Files\IBM\WindowsLogin\credprov.log existe, la journalisation est automatiquement activée et à un stade antérieur du démarrage de la connexion Verify Gateway for Windows .
"auth-method"	"winpwd-then-choice-then-otp"	Cette valeur est facultative ; par défaut, il s'agit de "winpwd-then-choice-then-otp", qui indique la méthode d'authentification multi-facteur utilisée pour authentifier l'utilisateur. "winpwd" Mot de passe Windows uniquement. "winpwd-and-totp" Mot de passe Windows associé au code d'accès à usage unique basé sur le temps en une seule entrée. "winpwd-then-smsotp" Mot de passe Windows suivi du code d'accès à usage unique SMS. "winpwd-then-emailotp" Mot de passe Windows suivi d'un code d'accès à usage unique par e-mail. "winpwd-then-choice-then-otp" Mot de passe Windows suivi d'un choix parmi les méthodes 2FA disponibles, suivi du code d'accès unique sélectionné ou de l'attente de la notification de l'appareil. Remarque: Si un seul choix est disponible, l'étape Choix est ignorée. "winpwd-then-device" Mot de passe Windows suivi de l'attente de la notification de l'appareil. Si plusieurs appareils sont enregistrés pour l'utilisateur, une étape de choix est présentée. "winpwd-then-transient" Mot de passe Windows suivi du mot de passe à usage unique. Si plusieurs éléments transitoires sont enregistrés pour l'utilisateur, une étape de choix est présentée.
"accept-on-missing-auth-method"	Non	Cette valeur est facultative ; par défaut, il s'agit de false. Si la valeur est true et qu'un utilisateur ne dispose pas d'une authentification à deux facteurs enregistrée appropriée pour la méthode d'authentification, ce dernier peut se connecter avec son mot de passe uniquement.
"password-first"	Non	Cette valeur est facultative ; par défaut, il s'agit de false. Si la valeur est true et que la méthode d'authentification est winpwd-and-totp, l'entrée combinée constituée du mot de passe et de la valeur totp doit présenter le mot de passe en premier. Si la valeur est false, la valeur totp doit apparaître en premier dans l'entrée combinée.
"otp-prompt"	“Enter the One Time Passcode %C-”	Cette valeur est facultative et la valeur par défaut est "Enter the One Time Passcode %C-". Cette invite s'affiche lorsque l'utilisateur est invité à entrer son mot de passe à usage unique. La chaîne %C, si elle est indiquée dans l'invite, est remplacée par la valeur de corrélation pour la méthode de mot de passe à utilisation unique. Elle est vide pour le mot de passe à utilisation unique limitée dans le temps.
"password-separator"	“,”	Cette valeur est facultative et prend par défaut la valeur « `,` ». Ce caractère doit être placé entre le mot de passe et le mot de passe à utilisation unique limitée dans le temps dans l'entrée combinée pour la méthode d'authentification "windpwd-and-totp".
"verify-method-order"	["fingerprint","userPresence"]	Cette valeur est facultative ; par défaut, il s'agit de ["fingerprint","userPresence"].
"verify-message"	“Do you approve the request from winhost.ibm.com?”	Cette valeur est facultative ; par défaut, il s'agit de “Do you approve the request from {nomhôte}?” Où {hostname} est remplacé par le nom d'hôte sous-estimé sur lequel la connexion Verify Gateway for Windows s'exécute. Lorsque la méthode d'authentification “device” est utilisée, l'appareil de l'utilisateur affiche ce message si l'utilisateur doit vérifier l'accès.
"choices"	[ "device", "transitoire", "totp", "smsotp", "emailotp", "voiceotp" ]	Cette valeur définit les types d'authentification à deux facteurs qui sont présentés à l'utilisateur comme méthode d'authentification "winpwd-then-choice-then-otp".
"transient-choices"	[ {"choice": "phoneNumbers", "sub-choices": ["mobile", "work"]}, "emails" ]	Cette valeur est facultative ; par défaut, il s'agit de ["phoneNumbers","emails"]. Elle définit les types de méthode de mot de passe à utilisation unique transitoire qui sont présentés à l'utilisateur lorsque l'authentification à deux facteurs transitoire est activée. Vous pouvez spécifier les sous-choix de « phoneNumbers ». Les clients utilisent généralement cette option pour limiter les numéros de téléphone à « mobile ». Les chaînes et/ou les objets détaillés peuvent être mélangés dans le tableau « transient-choices » pour permettre la compatibilité avec les versions antérieures.
"no-mfa-on-unlock"	true \| false	La valeur par défaut de cette entrée est false. Lorsque la valeur est true, aucune entrée 2FA n'est demandée, seul le mot de passe est requis pour déverrouiller le bureau.
"poll-timeout"	60	Cette valeur est facultative ; par défaut, il s'agit de 60 secondes. Elle spécifie la durée pendant laquelle une notification PUSH d'un appareil attend que l'utilisateur l'approuve ou la refuse. Si le délai est écoulé, la demande est refusée automatiquement.
"poll-rate-ms"	1 000	Cette valeur est facultative ; par défaut, il s'agit de 1000 millisecondes. Cette valeur indique la fréquence à laquelle Verify Gateway for Windows Login vérifie avec le serveur Verify pour déterminer si le périphérique PUSH a été refusé ou approuvé. Elle affecte la réactivité de la passerelle IBM Verify pour la connexion Windows à l'appareil PUSH. Remarque: les petites valeurs de taux d'interrogation envoient de nombreuses demandes par seconde au serveur Verify , ce qui augmente sa charge.
"ignore-isvalidated"	Non	Cette valeur est facultative ; par défaut, il s'agit de false. Lorsque la valeur est true, Verify Gateway for Windows Login autorise des méthodes 2FA qui ne sont pas validées.
"username-format"	“%D\\%U”	Cette valeur est facultative ; par défaut, il s'agit de “%D\\%U”. Il définit comment mapper le nom et le domaine de l'utilisateur Windows au nom d'utilisateur Verify . Les occurrences de `%D` sont remplacées par le domaine de l'utilisateur Windows et les occurrences de `%U` sont remplacées par le nom d'utilisateur Windows dans la chaîne fournie. Les valeurs `%D` et `%U` sont facultatives dans la chaîne.
"disable-builtin-password-logon"	Non	Cette valeur est facultative ; par défaut, il s'agit de false. Lorsque la valeur est true, le fournisseur de données d'identification par mot de passe intégré à Windows est désactivé et ne laisse que le fournisseur de données d'identification de connexion Verify Gateway for Windows . Si la valeur est false, les deux sont rendus disponibles par la connexion Windows en tant que choix. Dans les environnements de production, définissez cette valeur sur true pour vous assurer que les utilisateurs ne peuvent pas ignorer le fournisseur de données d'identification Verify Gateway for Windows Login en sélectionnant le fournisseur de données d'identification Windows.
“rdp-only”	Non	Cette valeur est facultative ; par défaut, il s'agit de false. Lorsque la valeur est true, le fournisseur de données d'identification de Verify Gateway for Windows Login n'est utilisé qu'avec la connexion Remote Desktop. Il n'est pas utilisé avec d'autres types de connexion, telle que la connexion à un bureau local.
“no-mfa-account”	“DOMAIN\\User”	Cette valeur est facultative ; par défaut, aucun compte ne peut ignorer l'authentification multi-facteur. Si elle est définie, chaque connexion utilisateur est comparée à ce compte. La comparaison est sensible à la casse. Si elle correspond, l'utilisateur utilise la méthode auth-method de " winpwd, qui ne requiert pas l'authentification à deux facteurs ( 2FA ) ni l'accès au serveur Verify . Seul le mot de passe Windows est requis pour la connexion. Il s'agit d'un compte spécial qui permet d'accéder à l'unité même si le service Verify est inaccessible. Remarque: Vous pouvez bloquer ce compte à partir de l'accès RDP. L'administrateur Windows peut bloquer cet accès.
"username-table"	`"username-table": [ { "from": "testuser1", "to": "testuser1@x.y.com" }, { "from": "testuser2", "to": "testuser2@x.y.com" } ]`	Cet attribut mappe le nom d'utilisateur à une nouvelle valeur. Si le nom d'utilisateur ne figure pas dans le tableau, il est utilisé en l'état.
« trace-rollover »	0	Indique la taille maximale approximative, en octets, du fichier de trace lors de la sauvegarde du fichier et de la création d'un nouveau fichier de trace vide. Le fichier de trace est sauvegardé en le renommant en ajoutant l'horodatage en cours.
"heure_local_trace"	Non	Indique si les horodatages du fichier de trace doivent être en heure locale. Par défaut, les horodatages utilisent le temps universel coordonné (UTC).
« trace-prefix-all »	Non	Indique si toutes les lignes de trace doivent être préfixées avec un horodatage. Par défaut, les lignes de capture de la trace des requêtes/réponses de l'API REST de Verify ne sont préfixées que sur la première ligne.
"failmode-secure"	Non	Permet de se connecter en utilisant uniquement le mot de passe et pas de 2FA si la connexion à l'API REST du locataire Verify ne peut pas être établie.
"nom_utilisateur_attr"	numéro d"identification utilisateur	Lors de l'utilisation de Active Directory, le nom d'utilisateur Verify à partir duquel 2FA est utilisé peut être récupéré à partir d'un attribut de l'utilisateur Active Directory sous lequel l'utilisateur est connecté.
"nom d'utilisateur-cd-attr"	"urn:ietf:params: scim:schemas: extension: ibm:2.0:User:customAttributes.userAlias"	L'utilisateur Verify avec 2FA est localisé en trouvant un utilisateur Verify qui a cet attribut avec une valeur correspondant au nom d'utilisateur de connexion Windows.
"nom d'utilisateur-attr-strict"	Non	S'il est défini sur false, si l'attribut "username-attr" n'est pas présent sur l'utilisateur Active Directory, la connexion utilisera le nom d'utilisateur Windows pour localiser l'utilisateur Verify pour 2FA.
"nom d'utilisateur-attr-format"	« %A »	Chaîne permettant de mapper la valeur "username-attr". Tout %A est remplacé par la valeur d'attribut, ce qui permet d'ajouter des constantes de chaîne en tant que préfixe et / ou suffixe. La valeur par défaut est simplement "%A", ce qui n'est pas une modification.