config.json ファイル

オンラインで編集

この構成ファイルは、JSON 形式でなければなりません。 これには、ibm-auth-apiと資格情報プロバイダーの 2 つのセクションが含まれています。

フォーマット

{
    "ibm-auth-api":{
        "client-id":"????????-????-????-????-????????????",
        "ofb-client-secret":"**********",
        "protocol":"https",
        "host":"tenant.verify.ibm.com",
        "port":443,
        "max-handles":16
    },
    "credential-provider":{
        "username-format":"%D\\\\%U",
        /*"trace-file":"c:/credprov/credprov.log",*/
        "disable-builtin-password-logon": false,
        "auth-method":"winpwd-then-choice-then-otp"
    }
}

ibm-auth-api の構成

エントリー サンプル値 説明
"client-id" "84e8da25-d7ed-47cc-9782-b852cb64365c" この値は必須です。 IBM Verify Gateway for Windows™ Login が使用するための IBM® Verify API クライアントを作成する必要があります。
"ofb-client-secret" "KsjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA=" この値は必須です。 APIクライアントは IBM Verify 作成時にパスワードが割り当てられ、この設定でそのパスワードを設定する必要があります。 obf-client-secret は、難読化した形式で提供されます。
注: この obf-client-secret は、代わりに「client-secret」オプションを使用することで、平文で指定することも可能です。 例えば、以下のとおりです。
"client-secret”:"XOpiba1XeP"
.
"obf-client-secret”:
              "asjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA=",
「プロトコル」 "https" この値はオプションであり、デフォルトは "https" です。 このプロトコルは、サーバー Verify との通信に使用されます。 http と https のいずれの値も使用できます。 HTTPS を使用し、cacert.pemファイルが存在する場合は、IBM Verifyサーバー証明書とサーバー名が検証されます。
"host" verify.ibm.com「賃借人」 この値は必須です。 現在使用しているサーバーを Verify 特定します。
"ポート" 443 この値はオプションであり、デフォルトは 443 です。 このポートは、サーバーが Verify リクエストを待機しているポートです。
"max-handles" 2 この値はオプションであり、デフォルトは 16 です。 この値は、 IBM Verify Gateway for Windows Login がユーザー認証のためにサーバー IBM Verify に対して確立する並列接続の最大数です。 各資格情報プロバイダー・インターフェースで 2 つを超える接続を同時に使用することはないため、適切な値は 2 です。
"proxy" "http://proxy.ibm.com:1080" この値はオプションであり、デフォルトは、プロキシーを使用せずに、直接接続を使用します。

テナントに Verify アクセスするためにプロキシを設定してください。 値は、ホスト名またはドット付き数値の IP アドレスです。 数値 IPv6 アドレスは、[大括弧] 内に記述される必要があります。 この文字列でポート番号を指定するには、ホスト名の末尾に を追加 :[port] してください。 プロキシのポートはデフォルトで port :1080. です。 使用するプロキシーの種類を指定するために、プロキシー・ストリングに接頭部として [scheme]:// を付けることができます。

http://
HTTP プロキシー。 スキームまたはプロキシーのタイプが指定されない場合のデフォルト・タイプ。
https://
HTTPS プロキシー。 OpenSSL、Gnus、および NSS 向けに 7.52.0 で追加されました。
socks4://
SOCKS4 プロキシー。
socks4a://
SOCKS4a プロキシー。 プロキシーが URL ホスト名を解決します。
socks5://
SOCKS5 プロキシー。
socks5h://
SOCKS5 プロキシー。 プロキシーが URL ホスト名を解決します。 スキーマ接頭部がない場合、デフォルトでhttp://になります。
プロキシー・ストリングを"" (空ストリング) に設定すると、環境変数が設定されている場合でも、プロキシーの使用が明示的に無効になります。

プロキシー・ホスト・ストリングには、プロトコル・スキームhttp://、組み込みユーザー、およびパスワードを含めることもできます。

SSL_CERT_FILE注:HTTPS プロキシを使用している場合は、 IBM Verify Gateway for Windows Loginが実行されているWindowsシステム上で、環境変数 OpenSSL を設定してください。 この環境変数は、CA 証明書ファイルの名前と場所を示します。
コントロールパネル > システムとセキュリティ > システムの詳細設定 > 環境変数 > システム変数に移動し、変数を指定します。 例えば、以下のとおりです。
SSL_CERT_FILE = C:\
Program Files\IBM\WindowsLogin\
cacert.pem
"proxytunnel" はい この値はオプションであり、デフォルトは、プロキシーが使用可能であれば true です。

引数を proxytunneltrue 設定すると、テナントの操作が HTTP プロキシを経由して行われるようになります Verify 。 プロキシーの使用は、そのプロキシーを経由するトンネリングとは異なります。 トンネリングは、HTTP CONNECT 要求がプロキシーに送信され、リモート・ホストへの特定のポート番号での接続をそのプロキシーに依頼して、トラフィックがプロキシー経由で渡されることを意味します。 プロキシーは、CONNECT 要求を許可する特定のポート番号を許可リストに登録します。 通常、許可されるポートは、80 と 443 のみです。
"connect-timeout" 10 この値はオプションであり、デフォルトは 10 秒です。 サーバー Verify への接続を試みる際の待機時間(秒単位)。 初回の試行が失敗した場合、1 回再試行します。
"timeout" 20 この値はオプションであり、デフォルトは 20 秒です。 IBM Verify Gateway for Windows Login が、サーバー接続 Verify でデータの受信を待機する時間(秒単位)。
「トークン型」 「持参人」 「access-token」のアクセストークンタイプを指定します。
「アクセス・トークン」 「abced...」 テナントで使用するアクセストークンを指定します。 アクセストークンが既知の場合、これは「client-id」および「client-secret」オプションを使用する代わりに利用できる方法です。
「ca-path」 ""C:\Program\Files\IBM\WindowsLogin\cacert.pem" テナントサーバー証明書 Verify の署名者として許可される認証局の一覧が記載されたファイルを指定します。 このテキストファイルには、 base64 形式の PEM CA公開鍵証明書が1つ以上含まれています。 デフォルトでは、設定ファイルディレクトリにあるファイルが cacert.pem 使用されます。
"origin-user-agent" "IBM Verify" プッシュ(デバイス)トランザクションを開始するためのリクエストで送信されるユーザーエージェントを指定します。
「proxy-ca-path」 ""C:\Program\Files\IBM\WindowsLogin\cacert.pem" プロキシサーバーの証明書に対して署名を行うことが許可された認証局のリストが記載されたファイルを指定します。 このテキストファイルには、 base64 形式の PEM CA公開鍵証明書が1つ以上含まれています。 デフォルトでは、設定ファイルディレクトリにあるファイルが cacert.pem 使用されます。
「revoke-best-effort」 false TLS からテナントREST API Verify への通信について。 これは、証明書失効チェックを無視すべきかどうかを示すものです。これは、そのような動作が存在する TLS バックエンドにおいて、配布ポイントが欠落しているかオフラインの場合に適用されます。
「取り消し不可」 false TLS からテナントREST API Verify への通信について。 これは、そのような動作が存在する TLS バックエンドにおいて、証明書失効チェックを無効にするかどうかを示すものです。 このオプションはWindowsでのみサポートされていますが、Windowsの「信頼できない発行元」ブロックリストについては例外であり、これを無効にすることはできません。 このオプションは「revoke-best-effort」よりも優先されます。

credential-provider の構成

エントリー サンプル値 説明
"trace-file" “C:\Temp\credprov.log” この値はオプションであり、デフォルトではトレースしません。
注: このファイル C:\Program Files\IBM\WindowsLogin\credprov.log が存在する場合、ログ記録は自動的に有効になり、Loginの Verify Gateway for Windows 起動の初期段階で実行されます。
"auth-method" "winpwd-then-choice-then-otp" この値はオプションであり、デフォルトは "winpwd-then-choice-then-otp" で、ユーザーの認証に使用される MFA 方式を定義します。
"winpwd"
Windowsのパスワードのみ。
"winpwd-and-totp"
Windowsのパスワードと、時間ベースのワンタイムパスワードを1つの入力欄に組み合わせて入力します。
"winpwd-then-smsotp"
Windowsのパスワードの後に、SMSで送信されたワンタイムパスワードを入力します。
"winpwd-then-emailotp"
Windowsのパスワードの後に、メールで送信されるワンタイムパスワードを入力します。
"winpwd-then-choice-then-otp"
Windowsのパスワードを入力した後、利用可能な 2FA の認証方法から選択し、その後、選択したワンタイムパスコードを入力するか、デバイスの通知を待ちます。
注: 選択肢が1つしかない場合は、「選択」のステップはスキップされます。
"winpwd-then-device"
Windowsのパスワード入力後、デバイスの通知を待ちます。 複数のデバイスがユーザー用に登録されている場合は、選択ステップが表示されます。
"winpwd-then-transient"
Windowsのパスワードの後にワンタイムパスワードを入力してください。 複数の一時的パスワードがユーザー用に登録されている場合は、選択ステップが表示されます。
"accept-on-missing-auth-method" false この値はオプションであり、デフォルトは false です。 true に設定され、認証方式に適切な 2FA がユーザー用に登録されていない場合、ユーザーは、パスワードのみを使用したログインを許可されます。
"password-first" false この値はオプションであり、デフォルトは false です。 true に設定され、認証方式が winpwd-and-totp である場合、パスワードと totp 値の組み合わせの入力ではパスワードを最初に指定する必要があります。 false の場合は、組み合わせの入力で totp 値を最初に指定する必要があります。
"otp-prompt" “Enter the One Time Passcode %C-” この値はオプションであり、デフォルトは “Enter the One Time Passcode %C-” です。このプロンプトは、ユーザーに対してワンタイム・パスワードの入力を求めるプロンプトが出されたときに表示されます。 %C ストリングは、プロンプトで表示される場合は、OTP 方式の相関値に置き換えられます。 時刻ベースの OTP の場合は空ストリングになります。
"password-separator" “,” この値はオプションで、デフォルトは「,」です。 この文字は、"windpwd-and-totp" 認証方式でパスワードと TOTP の組み合わせの入力の間に指定する必要があります。
"verify-method-order" ["fingerprint","userPresence"] この値はオプションであり、デフォルトは ["fingerprint","userPresence"] です。
"verify-message" “Do you approve the request from winhost.ibm.com?” この値はオプションであり、デフォルトは “Do you approve the request from {hostname}?”です。 ここで、{hostname} は、Verify Gateway for Windowsログインが実行されていると推測されるホスト名に置き換えられます。 “device”auth_method が使用されている場合、ユーザーにアクセスの検証を要求する際、ユーザーのデバイスにこのメッセージが表示されます。
"choices" ["デバイス","一時的","TOTP","SMS-OTP","メールOTP","音声OTP"] この値は、"winpwd-then-choice-then-otp" の認証方式でユーザーに提示される 2FA のタイプを定義します。
"transient-choices" [ {"choice": "phoneNumbers", "sub-choices": ["mobile", "work"]}, "emails" ] この値はオプションであり、デフォルトは ["phoneNumbers","emails"] です。 この値は、一時的 2FA が有効になっている場合にユーザーに提示される一時的 OTP 方式のタイプを定義します。

「phoneNumbers」のサブ選択項目を指定できます。 お客様は通常、このオプションを使用して電話番号を「モバイル」に制限します。

ストリングまたは詳細オブジェクト、あるいはその両方を「transient-choices」配列内で混用して、以前のバージョンとの互換性を持たせることができます。
"no-mfa-on-unlock" true | false このエントリのデフォルトは false です。 true に設定すると、2FA の入力は要求されません。デスクトップをアンロックするために必要なのはパスワードのみです。
"poll-timeout" 60 この値はオプションであり、デフォルトは 60 秒です。 この値で、デバイスからの PUSH 通知がユーザーによって承認または拒否されるまで待機する時間の長さを指定します。 このタイムアウトに達すると、要求は自動的に拒否されます。
"poll-rate-ms" 1000 この値はオプションであり、デフォルトは 1000 ミリ秒です。 この値は、デバイスのPUSHが拒否されたか承認されたかを判断するために、ログインが Verify Gateway for Windows サーバー Verify に確認を行う頻度を指定します。 これは、 IBM Verify Gateway for Windows LoginがデバイスのPUSHに対してどの程度迅速に反応するかに影響します。
注: ポーリング間隔を短く設定すると、1秒あたり多くのリクエストがサーバー Verify に送信され、サーバーの負荷が高まります。
"ignore-isvalidated" false この値はオプションであり、デフォルトは false です。 true に設定すると、Login は Verify Gateway for Windows 検証されていない 2FA メソッドを許可します。
"username-format" “%D¥¥%U” この値はオプションであり、デフォルトは“%D¥¥%U”です。 Windowsのユーザードメインとユーザー名をユーザー Verify 名にマッピングする方法を定義します。 指定された文字列内の は %D Windows ユーザーのドメインに置き換えられ、 は %U Windows ユーザー名に置き換えられます。 ストリングの値 %D および %U はオプションです。
"disable-builtin-password-logon" false この値はオプションであり、デフォルトは false です。 true に設定すると、Windows に組み込まれているパスワード認証プロバイダーが無効になり、「ログイン」認証 Verify Gateway for Windows プロバイダーのみが残ります。 false に設定すると、Windows ログオン画面で両方が選択肢として表示されます。 本番環境では、ユーザーが「Windows 資格情報プロバイダー」を選択して「ログイン」資格情報プロバイダーを Verify Gateway for Windows バイパスできないようにするため、この値を true に設定してください。
“rdp-only” false この値はオプションであり、デフォルトは false です。 true に設定すると、ログイン資格情報プロバイダーは Verify Gateway for Windows リモート デスクトップ ログオンでのみ使用されます。 ローカル・デスクトップ・ログオンなど、他のログオン・タイプでは使用されません。
“no-mfa-account” “DOMAIN¥¥User” この値はオプションであり、デフォルトでは、MFA をバイパスできるアカウントを使用しません。 設定された場合、各ユーザーのログオンはこのアカウントと比較されます。 比較では大/小文字が区別されません。 Verify 一致した場合、ユーザーは「winpwd」という認証方式を使用します。この方式では、 2FA やサーバーへのアクセスは不要です。 ログオンするには、Windowsのパスワードのみが必要です。 これは、サービスに Verify アクセスできない場合でもデバイスにアクセスできる特別なアカウントです。
注: このアカウントのRDPアクセスをブロックすることをお勧めします。 Windowsの管理者は、このアクセスをブロックすることができます。
"username-table" 
"username-table": [ 
{ "from": "testuser1", "to": "testuser1@x.y.com" },
{ "from": "testuser2", "to": "testuser2@x.y.com" } 
]
 この属性は、ユーザー名を新しい値にマップします。 ユーザー名が表にない場合、現状のまま使用されます。
「トレース・ロールオーバー」 0 ファイルが保存され、新しい空のトレースファイルが作成される際の、トレースファイルのおおよその最大サイズ(バイト単位)を指定します。 トレースファイルは、現在のタイムスタンプを末尾に追加して名前を変更することで保存されます。
「trace-localtime」 false トレースファイルのタイムスタンプを現地時間で指定するかどうかを指定します。 デフォルトでは、タイムスタンプはUTCを使用します。
「trace-prefix-all」 false すべてのトレース行にタイムスタンプを付加するかどうかを指定します。 デフォルトでは、REST APIのリクエスト Verify およびレスポンスのトレース記録は、最初の行にのみプレフィックスが付与されます。
「failmode-insecure」 false テナントの Verify REST APIへの接続が確立できない場合、 2FA を使用せずにパスワードのみでログインできるようにします。
「username-attr」 uid Active Directory を使用する場合、 2FA にアクセスする際に使用するユーザー名は Verify 、ログイン中の Active Directory ユーザーの属性から取得できます。
「username-cd-attr」 "urn:ietf:params:scim:schemas:extension: ibm:2.0:User:customAttributes.userAlias " 2FA という属性を持つユーザーは Verify 、この属性の値がWindowsのログインユーザー名と一致するユーザーを Verify 検索することで特定されます。
「username-attr-strict」 false false に設定した場合、 Active Directory ユーザーに「username-attr」属性が存在しないときは、ログイン時に Windows ユーザー名を使用して 2FA のユーザーを Verify 特定します。
「username-attr-format」 "%A" 「username-attr」の値をマッピングするための文字列。 %A はすべて属性値に置き換えられ、文字列定数を接頭辞や接尾辞として追加できるようになります。 デフォルトは単に「%A」であり、変更は加えられていません。