Configurazione del provisioning JIT dell' SAML

Modifica online

Abilitare il provisioning just-in-time JIT per creare o aggiornare un account utente presso il provider del servizio la prima volta che un utente si autentica con IBM® Verify. Verify trasmette le informazioni dell'utente necessarie per creare o aggiornare l'account tramite un'asserzione SAML. Utilizzare il provisioning JIT per i casi in cui il fornitore di servizi non richiede la creazione o la conoscenza delle informazioni sull'identità utente prima che l'utente tenti di accedere al fornitore di servizi.

Prima di iniziare

  • Si deve avere l'autorizzazione amministrativa per completare questa attività.
  • Creare profili utente nella directory cloud per quegli utenti che si intende concedere diritti di accesso alle applicazioni. Aggiungi gli utenti tramite la pagina Directory > Utenti e gruppi > Utenti. Vedi Gestione degli utenti.
  • Impostare le informazioni di base per l'istanza di applicazione nella scheda Generale . Vedere Impostazione dei dettagli di base dell'applicazione.

Informazioni su questa attività

Abilitare il provisioning JIT come parte della configurazione del Single Sign-On basato su SAML tra Verify e il fornitore di servizi. Visualizza

L'account utente viene creato nel registro utenti del fornitore di servizi utilizzando gli attributi inclusi in un'asserzion SAML. Verify Invia un 'asserzione " SAML " al provider di servizi quando l'utente accede al provider di servizi nell'ambito di un'autenticazione unica. Se non esiste alcuna corrispondenza per il nome utente presentato, il fornitore di servizi crea un nuovo account con gli attributi utente contenuti in un'asserzion SAML. Il provider di servizi concede immediatamente all'utente anche l'accesso alle risorse richieste.

Se si abilita Just-in-time Provisioning in Verify, è necessario abilitarlo anche nel provider del servizio. Questa impostazione deve essere sempre sincrona.

Potrebbe essere trovata una corrispondenza e la risposta è account does exist per l'utente da parte del fornitore di servizi che aggiorna l'account in base alle informazioni sugli attributi contenute nell 'asserzione SAML.

Alcuni provider di servizi supportano gli aggiornamenti al successivo accesso utente quando è abilitato il provisioning JIT . Consultare la documentazione del prodotto service provider per determinare il funzionamento.

Nota Funzionamento noto. Se l'amministratore ha creato un utente standard in cloudIdentityRealm con userName nel formato user@tenanthostname, dove tenanthostname è il nome host del tenant. Esempio: hostname.idng.ibmcloudsecurity.com. Durante il flusso JIT (Just - In - Time provisioning), se il token ricevuto ha il nome utente user, a un utente federato non sarà consentito creare per tale utente, ma l'utente standard user@tenanthostname da cloudIdentityRealm verrà configurato come predefinito per scopi di utilizzabilità.

Procedura

  1. Seleziona Applicazioni > Applicazioni > Modifica > Accesso.
  2. Nella sezione Provisioning just-in-time, selezionare Includi attributi di provisioning nell'asserzione SAML per elencare gli attributi utente richiesti dal provider di servizi per creare o aggiornare l'account utente nel proprio registro utenti.
    Nota: a seconda dell'applicazione, questa opzione potrebbe essere.
    • Essere sempre abilitato al provider di servizi. Come tale, è abilitato e di sola lettura per impostazione predefinita in Verify. Nessun attributo di provisioning richiesto o più configurazioni.
    • Gli attributi di visualizzazione che il provider di servizi richiede di fornire l'account utente. Un provider di servizi di solito richiede i seguenti attributi utente al minimo:
      • Nome utente
      • Nome
      • Cognome
      • Indirizzo email
    • Visualizzare gli attributi che il provider del servizio considera per il provisioning dell'account utente. Per esempio
      • ID dipendente
      • Telefono cellulare
      • Reparto
      • Qualifica professionale
    • Richiedere attributi di provisioning uguali agli attributi dei requisiti per SSO (single sign - on).

      Non importa se la casella di spunta è selezionata. Il provisioning dell'account utente viene eseguito quando l'utente completa il single sign-on con Verify.

  3. In Associazioni attributi, assegnare un attributo utente Verify corrispondente per ciascun provider del servizio .

    Associare gli attributi in base ai requisiti del provider di servizi .

    Utilizzare l'associazione di attributi per controllare il modo in cui l'applicazione calcola gli attributi utente da Verify. Gli attributi provider del servizio vengono popolati con i valori contenuti nell'attributo utente Verify associato.

    Nota: L'elenco degli attributi visualizzati e la loro importanza varia a seconda dell'applicazione. Alcuni attributi SSO (Single Sign - On) potrebbero essere un requisito per il provisioning.
  4. Fare clic su Salva.
  5. Configura il provisioning JIT al provider di servizi. Consultare le istruzioni fornite nella scheda Verify Collegamento .

Risultati

Nota: quando un utente autorizzato accede all'applicazione da Verify per la prima volta, all'utente viene chiesto di accettare i termini e le condizioni. L'account utente viene fornito all'applicazione e l'utente può sottoscriverlo.