管理 アイデンティティ プロバイダー

オンラインで編集

IDプロバイダーとは、ユーザー認証やアカウントのプロビジョニングに使用されるリポジトリのことです。 複数のIDソースプロバイダー を設定できます。 設定および有効化されたすべてのIDプロバイダーは、「サインイン 」ページ Verify に選択肢として表示されます。 ユーザーは、 Verify 以下のいずれかのIDプロバイダーを使用してサインインできます。

始める前に

  • このタスクを完了するには管理者権限が必要です。
  • IBM® Verify 管理者として管理コンソールにログインしてください。

このタスクについて

注: Verify IDPによるログアウトには対応していません。 から Verify ログアウトしても、IDプロバイダーや、そのIDプロバイダーを介してログインしたアプリケーション サブスクライブ済み からはログアウトされません。
Verify は、次のタイプのアイデンティティー・プロバイダーをサポートします。
Cloud Directory

これは、クラウドでホストされるユーザー・レジストリーを使用します。

「ディレクトリ 」> 「ユーザーとグループ」 から、 この IDプロバイダーにユーザーおよびグループの情報を追加できます。

このID プロバイダーは、 SAML のアウトバウンドシングルサインオン構成で使用されます。 Verify このID プロバイダー のデータと照合して、ユーザーの身元を確認します。

SAML エンタープライズ

ローカルユーザーレジストリを使用し、 SAML トークンを交換することで認証を完了します。

SAML のシングルサインオンでは、 Verify 以下のいずれかのプロバイダーを使用できます:
アイデンティティー・プロバイダー

Verify 独自のクラウドレジストリまたはクラウドディレクトリをID プロバイダー として利用します。

サービス・プロバイダー

複数のIDプロバイダーと連携 Verify して、ユーザー認証を行うことができます。 外部ID プロバイダー のユーザーは、パスワードを入力 Verify することなく、および利用権限のあるアプリケーションに Verify シングルサインオンできます。

この IDプロバイダーはSAML のインバウンドシングルサインオン構成で使用されます。 Verify サービスプロバイダー は、ターゲットアプリケーションは IDプロバイダー です。

SAML Enterprise」 IDプロバイダーとしては、 SAML プロトコルをサポートする任意のIDプロバイダーを使用できます。 VerifyIDプロバイダー は、アクセスを許可する前に、この IDプロバイダー内のデータと照合してユーザーの身元を認証します。

注: SAML のエンタープライズIDプロバイダーを追加するとその署名者証明書は 「セキュリティ 」>「 証明書 」>「 署名者証明書 」ページに自動的にインポートされます。
OIDC エンタープライズ
OIDCプロトコルをサポートするID提供者は、OIDC Enterprise ID提供者として使用できます。 ID提供者は、IBM Verifyへのアクセス権限を付与する前に、このID提供者のデータに対してユーザー IDを認証します。
IBMid

これは、IBM の ID アクセスおよび ID 管理ソリューションを使用して、すべての IBM アプリケーション、サービス、コミュニティー、サポートなどへのシングル・サインオンをユーザーに提供します。

IBMid は、Verify への初回の管理者のサインインのためのデフォルトのサインイン・オプションです。 Verify 管理者のみが、IBMid を使用して Verify にサインインできます。 このID プロバイダーは、 エンドユーザーのサインインには使用できません。

管理者が初めてサインインした後、その後の管理者サインインにおいて、追加のサインインオプションとして「 Cloud Directory 」または設定済みの「 SAML EnterpriseIDプロバイダー を有効にすることができます。

MaaS360 Cloud Extender

企業リポジトリーまたはローカル・ユーザー・レジストリーに格納された情報に対してユーザーの ID が検証されますが、認証要求は別のサーバーまたはエージェントに委任 (パススルー) されます。

認証ユーザーの ID は、Verify に統合されます。 その情報は、「 ディレクトリ 」>「 ユーザーとグループ」 で確認できます。

ソーシャル
ユーザーの ID は、ソーシャル・ネットワーク・アカウントに対して検証されます。 ソーシャルIDプロバイダーは一度設定すれば、アプリケーションのサインイン方法としてのみ利用できます。 Verify これを使用して、管理者コンソールやユーザー・ランチパッドにサインインすることはできません。 Verify 以下のソーシャルIDプロバイダーに対応しています:
  • Apple
  • Baidu
  • Facebook
  • GitHub
  • Google
  • LinkedIn
  • QQ
  • Renren
  • WeChat
  • Weibo
  • Yahoo
  • X

認証ユーザーの ID は、Verify に統合されます。 その情報は、「 ディレクトリ 」>「 ユーザーとグループ」 で確認できます。

ソーシャルIDプロバイダーを除き、管理者またはエンドユーザーのサインインページからすべての IDプロバイダー を表示または非表示にすることができます。 複数の IDプロバイダーが有効化され、表示されている場合、ユーザーは認証に使用するID プロバイダー を選択する必要があります。 ユーザーエクスペリエンスをシンプルにするため、ID プロバイダーは 1つだけ有効にして表示するようにしてください。 有効になっている IDプロバイダーが 1つだけの場合は、それがユーザーのデフォルトのサインインオプションとなります。 ユーザーは、優先するID プロバイダー を選択する必要はありません。

ヒント: 設定済みの SAML Enterprise IDプロバイダー を使用してサインインできない場合、かつ 「Cloud Directory 」の Verify サインインオプションが利用できない、または表示されない場合は、次の URL をご利用ください:
https://<hostname>.verify.ibm.com/authsvc/mtfim/sps/authsvc?PolicyId=urn:ibm:security:authentication:asf:basicldapuser

手順

  1. 「認証 」>「 IDプロバイダー」 を選択します
  2. IDプロバイダーを選択して、その情報を表示してください。
    注: 表示される情報は、 IDプロバイダー によって異なります。
    表 1. IDプロバイダー情報
    情報 説明
    名前

    Microsoft™ Active Directory、 Microsoft Azure、 Active Directory などのIDプロバイダー で使用されるユーザーレジストリを表すために割り当てる名前。

    構成されて使用可能になっているアイデンティティー・プロバイダーが複数ある場合は、アイデンティティー・プロバイダー名が Verify サインイン・ページに表示されます。

    この情報は、 ID プロバイダーを選択した場合、 [ディレクトリ] > [ユーザーとグループ] > [ユーザー] タブの [ユーザーの追加 ] ダイアログボックスにも表示されます。
    レルム

    これは、同じユーザー名を持つ複数のIDプロバイダーのユーザーを区別するのに役立つIDプロバイダー属性です。

    この情報は、「 ディレクトリ 」> 「ユーザーとグループ」 および 「ユーザーの編集 」ダイアログボックスに表示されます。

    以下の IDプロバイダー については:
    • cloudIdentityRealmCloud Directory では、レルム値は. です。
    • www.ibm.comIBMid の場合、領域の値は. です。
    • SAML 「Enterprise 」という領域名は、 IDプロバイダー の作成時に割り当てた一意の名前であれば何でも構いません。
    • OnPrem LDAP、realm 値には、ID プロバイダー の作成時に割り当てた一意の名前を任意に指定できます。
    • アップルの場合、レルム値はwww.apple.comです。
    • 百度の場合、レルム値はwww.baidu.comです。
    • フェイスブックの場合、レルム値はwww.facebook.comです。
    • ギトハブの場合、レルム値はwww.github.comです。
    • グーグルの場合、レルム値は www.google.comです。
    • リンクトインの場合、レルム値はwww.linkedin.comです。
    • QQ の場合、レルム値はwww.qq.comです。
    • レンレンの場合、レルム値はwww.renren.comです。
    • WeChat 社の場合、レルム値はwww.wechat.comです。
    • ウェイボーの場合、レルム値はwww.wiebo.comです。
    • www.twitter.comX、領域の値は です。
    • Yahoo の場合、レルム値はwww.yahoo.comです。
    ID 「保存」 を選択すると、ID プロバイダー用のIDが生成されます。
    有効

    アイデンティティー・プロバイダーがアクティブで使用可能かどうかを示します。

    アイデンティティー・プロバイダーが 構成済み使用可能である場合、ユーザーは、選択されたアイデンティティー・プロバイダーを使用して Verify へと、資格のあるアプリケーションへのシングル・サインオンが可能です。 アイデンティティー・プロバイダーが使用可能になっていない場合は、サインインページにオプションとして表示されません。
    注:
    • Verify にサインインするには、少なくとも 1 つのアイデンティティー・プロバイダーが使用可能になっている必要があります。
    • 使用可能になっているアイデンティティー・プロバイダーが 1 つのみの場合は、そのプロバイダーがユーザーのデフォルトのサインイン・オプションになります。
    ID リンク

    有効

    		 特定のプロバイダー に対してIDリンクを有効にします。 このID プロバイダー に指定されたレルムでは、Cloud Directoryにシャドウアカウントは作成されません。
    この機能は、 SAML アプリケーションおよび以下のソーシャル IDプロバイダー で利用可能です:
    • Apple
    • Facebook
    • GitHub
    • Google
    • LinkedIn
    • SAML エンタープライズ
    • WeChat
    • X
    • Yahoo

    このオプションは、 OnPrem および LDAP のIDプロバイダーでも利用可能です。 OnPrem LDAP のIDソースの場合、実行時の認証を成功させるには、ユーザーアカウントがプライマリのリンクされたIDプロバイダーに存在している必要があります。 プライマリのリンク先IDプロバイダーに該当するユーザーアカウントが存在しない場合、認証は失敗します。

    注:
    1. デフォルトの IDプロバイダー として設定されているID プロバイダー では、リンク機能を有効にすることはできません。
    2. デフォルトのリンク用ID プロバイダー を無効化したり削除したりすることはできません。
    固有ユーザー ID
    リンクされたアカウントの ID として機能する属性をメニューから選択します。
    JIT プロビジョニング
    プライマリIDプロバイダーにユーザーアカウントが見つからない場合、このオプションはそのプライマリレルム内にシャドウアカウントを作成します。 OnPrem LDAP のIDソースの場合、アカウントが存在しないときは、プライマリのリンクされたIDプロバイダーにユーザーアカウントが作成されます。 アカウント属性は、オンプレミス ID システムまたは外部 ID システムから取得された属性を使用して、1 次リンク・アカウントで更新されます。
    固有ユーザー ID

    この機能は、 SAML アプリケーションおよびオンプレミスの LDAP IDソースで利用可能です。

    		 クラウド・ディレクトリーでリンクされたアカウントの ID として機能するユーザー属性。
    OnPrem および LDAP のIDプロバイダーに対するジャストインタイムプロビジョニング OnPrem および LDAP のIDプロバイダーにのみ適用されます。

    オンにすると、管理者は、外部 ID プロバイダーからクラウド・ディレクトリー・レルムへのユーザー・レコードのマイグレーションを構成できます。 password just-in-time provisioningと併用する場合、ユーザーパスワードもユーザーレコードとともに移行されます。

    この設定をオフにすると、管理者はIDプロバイダーのパスワードのCloud Directoryレルムへの移行を一時停止し、ユーザーがCloud Directoryによる認証を行えるようにします。
    パスワードの JIT プロビジョニング

    このスイッチ・ボタンは、スイッチ「JIT プロビジョニング」が既にオンになっている場合にのみアクティブになります。

    オンにすると、管理者はマイグレーション・フェーズを有効にします。このフェーズでは、ID プロバイダーのアカウントとそのパスワードがクラウド・ディレクトリー・レルムにマイグレーションされます。 このフェーズでは、 OnPrem のIDプロバイダーにリンクされているユーザーは、Cloud Directoryでの認証を行うことができません。

    オフにすると、管理者は ID プロバイダー・パスワードのクラウド・ディレクトリー・レルムへのマイグレーションを一時停止し、ユーザーがクラウド・ディレクトリーで認証できるようにします。

    パスワードのジャストインタイム・プロビジョニング (identityLinkingJitPwdEnabled) オプションを有効にする際の考慮事項

    このオプションが有効になっている場合、Verifyプラットフォームは、テナント用に構成されている 1 次 ID プロバイダー・レルムに、ユーザーのアカウント属性とそのパスワードの両方を「ジャストインタイム」プロビジョン (JITP) しようとします。 このプロビジョニングは、ユーザー名とパスワードがオンプレミスまたは外部 ID プロバイダーによって正常に検証された後に行われます。 パスワードをプロビジョンしようとすると、Verifyは、パスワードが 1 次 ID プロバイダーに関連付けられたパスワード・ポリシー設定を満たしていることを確認します。 オンプレミスのIDプロバイダーによって検証されたパスワードがこの Verify ポリシーを満たさない場合、認証は失敗します。 アカウント属性とパスワードは、Verify 1 次 ID プロバイダー・レルムにはプロビジョンされません。 ユーザーは、ユーザー名またはパスワードが無効であることを示すエラー・メッセージを受け取り、システム管理者に連絡します。

    このような事態を避けるため、オンプレミスまたは外部のID管理システムで受け入れられるポリシーと同等か、それ以下の強度のパスワードポリシーを定義してください。 このポリシーを、Verifyテナント用に構成されている 1 次 ID プロバイダーに関連付けます。 通常、1 次 ID プロバイダー・レルムはVerify Cloud Directory であり、多くの場合、デフォルトのパスワード・ポリシーを使用して構成されます。

    オンプレミスでの認証が成功するたびにパスワードのジャストインタイムプロビジョニングが行われるため、プライマリIDプロバイダーのレルムにおけるパスワード履歴の設定により、アカウント属性およびパスワードの同期に失敗する可能性があります。 このような失敗を防ぐために、そのパスワード履歴の適用を無効にすることをお勧めします。

    「パスワードのジャストインタイムプロビジョニング」オプションが「有効」から「無効」に切り替わると、「オンプレミスからクラウドディレクトリへの移行」フェーズは完了したとみなされます。 マイグレーションされたユーザーは、マイグレーションされたパスワードを使用して Cloud Directory で認証できます。 移行期間に合わせて変更したクラウドディレクトリのパスワードポリシー設定を、再度有効にすることをお勧めします。
    JIT プロビジョニングを有効にする (Enable JIT Provisioning)

    この機能は、SAML アプリケーションで使用できます。

    		 アカウントがデフォルトの ID プロバイダーで見つからない場合、このオプションにより、そのデフォルト・レルムにシャドー・アカウントが作成されます。
  3. オプション: パスワードポリシーの管理
  4. オプション: SAML Enterprise IDプロバイダーの追加
  5. オプション: MaaS360 Cloud ExtenderのIDプロバイダーを追加する
  6. (任意): MaaS360 のIDプロバイダーとユーザー識別子の設定
  7. オプション: ソーシャルIDプロバイダーの追加
  8. オプション: IDプロバイダーの削除。
    注: Cloud Directory および「 IBMid 」のIDプロバイダーは削除できません。
    1. IDプロバイダーを選択し、 「IDプロバイダーの編集」 ダイアログボックスで 「削除」 をクリックします。
    2. 選択したIDプロバイダーを完全に削除してもよろしいですか?
      注:
      • MaaS360. のデフォルトの選択肢として設定されているIDプロバイダーは削除できません。 現在のデフォルト設定を削除する前に、 MaaS360 別のIDプロバイダーを選択する必要があります。
      • アプリケーションのサインインオプションとして割り当てられているIDプロバイダーは削除できません。 削除する前に、オプションとしてアプリケーションに割り当てられた ID ソースを解除する必要があります。