SAML JIT プロビジョニングの構成

オンラインで編集

IBM® Verifyジャストインタイム・プロビジョニングを JIT 有効にし、ユーザーが初めてで認証を行った際に、 サービスプロバイダー 側でユーザーアカウントを作成または更新するようにします。 Verify SAML アサーションを通じて、アカウントの作成または更新に必要なユーザー情報を渡します。 ユーザーがサービス・プロバイダー にアクセスしようとする前に、サービス・プロバイダー がユーザー ID 情報を作成または認識する必要がない場合は、JIT プロビジョニングを使用します。

始める前に

  • このタスクを完了するには管理者権限が必要です。
  • アプリケーション・アクセス資格を付与する予定のユーザーのために、クラウド・ディレクトリーにユーザー・プロファイルを作成します。 「ディレクトリ 」>「 ユーザーとグループ 」>「 ユーザー」 ページからユーザーを追加してください。 「ユーザーの管理」 を参照してください。
  • [ 全般 ] タブで、アプリケーションインスタンスの基本情報を設定します。 「アプリケーションの基本情報の設定」 を参照してください。

このタスクについて

Verifyサービス・プロバイダーの間の SAML ベースのシングル・サインオンの構成の一部として、JIT プロビジョニングを使用可能にします。 以下を参照してください。

ユーザーアカウントは、 SAML アサーションに含まれる属性を使用して、 サービスプロバイダーのユーザーレジストリに作成されます。 Verify ユーザーがシングルサインオンの一環としてサービスプロバイダー にアクセスした際、サービスプロバイダー に対して SAML アサーションを送信します。 指定されたユーザー名に一致するアカウントが存在しない場合、 サービスプロバイダー、 SAML アサーションに含まれるユーザー属性を使用して新しいアカウントを作成します。 また、サービス・プロバイダー は、要求されたリソースへのアクセス権限をユーザーに即時に付与します。

VerifyJIT プロビジョニングを使用可能にする場合は、それをサービス・プロバイダーでも使用可能にする必要があります。 この設定は常に同期している必要があります。

一致するレコードが見つかった場合、 サービスプロバイダーSAML アサーション内の属性情報に基づいてアカウントを更新し、その結果をユーザーに通知します account does exist

プロビジョニングが有効になっている場合 JIT 、一部のサービスプロバイダーでは、 ユーザーが次回ログインした際にアカウントの更新が行われるよう対応しています。 動作を判別するには、サービス・プロバイダー の製品資料を参照してください。

注: 想定内の動作ですuser@tenanthostname管理者が、形式が userNamecloudIdentityRealm である標準ユーザーを作成した場合。ここで、 tenanthostname はテナントのホスト名です。 例: hostname.idng.ibmcloudsecurity.com user(ジャスト・イン・タイム・プロビジョニング)の JIT フローにおいて、受信したトークンにユーザー名が含まれている場合、フェデレーションユーザーはそのユーザー用にアカウントを作成することはできません。その代わり、 cloudIdentityRealm 利便性を考慮して、標準ユーザーが user@tenanthostname デフォルトとして設定されます。

手順

  1. [アプリケーション] > [アプリケーション] > 編集 > [サインオン] を選択します。
  2. ジャストインタイム・プロビジョニング 」セクションで、 「 SAML アサーションにプロビジョニング属性を含める」 を選択し、 サービスプロバイダー がユーザーレジストリ上でユーザーアカウントを作成または更新するために必要なユーザー属性を指定します。
    注: 用途によっては、このオプションが利用できない場合があります。
    • サービス・プロバイダー で常に有効になる。 Verifyそのため、. ではデフォルトで有効化され、読み取り専用となっています。 必要なプロビジョニング属性や追加の設定はありません。
    • ユーザー・アカウントをプロビジョンするためにサービス・プロバイダー が必要とする属性を表示する。 サービス・プロバイダー では、通常、少なくとも以下のユーザー属性が必須です。
      • ユーザー名
      • E メール・アドレス
    • サービスプロバイダー がユーザーアカウントのプロビジョニングを行う際に考慮する属性を表示します。 例:
      • 従業員 ID
      • 携帯電話
      • 所属
      • 役職
    • シングルサインオン(SSO)の要件属性と同じプロビジョニング属性を必須とする。

      チェックボックスがオンになっているかどうかは関係ありません。 ユーザーが Verify でのシングル・サインオンを完了すると、ユーザー・アカウントがプロビジョンされます。

  3. 属性マッピング」 では、 サービスプロバイダー の属性ごとに、対応 Verify するユーザー属性を割り当てます。

    サービス・プロバイダー の要件に基づいて属性をマップします。

    Verify属性マッピングを使用して、アプリケーションが.からユーザー属性をどのように計算するかを制御します。 サービスプロバイダー の属性には、マッピング Verify されたユーザー属性に保持されている値が設定されます。

    注: 表示される属性の一覧とその重要度は、アプリケーションによって異なります。 プロビジョニングには、一部のシングルサインオン属性が必須となる場合があります。
  4. 「保存」 をクリックします。
  5. サービスプロバイダー 側でJITプロビジョニングを設定します。 「サインオン 」タブ Verify に記載されている手順をご確認ください。

結果

注: 権限を持つユーザーが初めてこのアプリケーションに Verify アクセスすると、利用規約への同意を求めるメッセージが表示されます。 ユーザー・アカウントがアプリケーションでプロビジョンされ、ユーザーはそれにサインインできます。