SAML JIT プロビジョニングの構成

オンラインで編集

ユーザーが初めて IBM® Verifyで認証を行うときに サービス・プロバイダー でユーザー・アカウントを作成または更新するには、ジャストインタイム JIT プロビジョニングを有効にします。 Verify は、 SAML アサーションによってアカウントの作成または更新に必要なユーザ情報を渡します。 ユーザーがサービス・プロバイダー にアクセスしようとする前に、サービス・プロバイダー がユーザー ID 情報を作成または認識する必要がない場合は、JIT プロビジョニングを使用します。

始める前に

  • このタスクを完了するには管理者権限が必要です。
  • アプリケーション・アクセス資格を付与する予定のユーザーのために、クラウド・ディレクトリーにユーザー・プロファイルを作成します。 ディレクトリ > ユーザーとグループ > ユーザー ページからユーザーを追加します。 ユーザー管理を参照してください。
  • 「一般」 タブで、アプリケーション・インスタンスの基本情報をセットアップします。 基本アプリケーションの詳細の設定を参照してください。

このタスクについて

Verifyサービス・プロバイダーの間の SAML ベースのシングル・サインオンの構成の一部として、JIT プロビジョニングを使用可能にします。 以下を参照してください。

ユーザー・アカウントは、 SAML アサーションに含まれている属性を使用して、 サービス・プロバイダー のユーザー・レジストリー内に作成されます。 Verify ユーザーがシングル・サインオンの一部として サービス・プロバイダー にアクセスすると、 SAML アサーションサービス・プロバイダー に送信します。 指定されたユーザー名に一致するものが存在しない場合、 サービス・プロバイダー は、 SAML アサーションに含まれるユーザー属性を使用して新規アカウントを作成します。 また、サービス・プロバイダー は、要求されたリソースへのアクセス権限をユーザーに即時に付与します。

VerifyJIT プロビジョニングを使用可能にする場合は、それをサービス・プロバイダーでも使用可能にする必要があります。 この設定は常に同期している必要があります。

何らかの一致が検出され、その応答が account does exist サービス・プロバイダーによるユーザーの 応答である場合、 SAML アサーション内の属性情報に従ってアカウントが更新されます。

一部の サービス・プロバイダー は、 JIT プロビジョニングが有効になっている場合に、後続のユーザー・ログインでアカウント更新をサポートします。 動作を判別するには、サービス・プロバイダー の製品資料を参照してください。

注: 既知の動作。 管理者が user@tenanthostnameの形式の userName を使用して cloudIdentityRealm で標準ユーザーを作成した場合、 tenanthostname はテナントのホスト名です。 例: hostname.idng.ibmcloudsecurity.comJIT (ジャストインタイム・プロビジョニング) フロー中に、受信したトークンのユーザー名が userである場合、フェデレーテッド・ユーザーはそのユーザーに対して作成を許可されません。代わりに、 cloudIdentityRealm の標準ユーザー user@tenanthostname が、ユーザビリティーの目的でデフォルトとして構成されます。

手順

  1. アプリケーション > アプリケーション > 編集 > サインオン
  2. 「Just-in-time Provisioning」 セクションで、 「SAML アサーションへのプロビジョニング属性の組み込み」 を選択して、 サービス・プロバイダー がユーザー・レジストリーでユーザー・アカウントを作成または更新するために必要とするユーザー属性をリストします。
    注: アプリケーションによっては、このオプションが使用される場合があります。
    • サービス・プロバイダー で常に有効になる。 そのため、 Verifyではデフォルトで有効になり、読み取り専用になります。 必須のプロビジョニング属性がないか、追加の構成がありません。
    • ユーザー・アカウントをプロビジョンするためにサービス・プロバイダー が必要とする属性を表示する。 サービス・プロバイダー では、通常、少なくとも以下のユーザー属性が必須です。
      • ユーザー名
      • E メール・アドレス
    • サービス・プロバイダー がユーザー・アカウントのプロビジョニングを検討する属性を表示します。 例:
      • 従業員 ID
      • 携帯電話
      • 所属
      • 役職
    • シングル・サインオンの要件属性と同じプロビジョニング属性を必要とします。

      チェック・ボックスが選択されているかどうかは問題ではありません。 ユーザーが Verify でのシングル・サインオンを完了すると、ユーザー・アカウントがプロビジョンされます。

  3. 「属性マッピング」で、 サービス・プロバイダー 属性ごとに、対応する Verify ユーザー属性を割り当てます。

    サービス・プロバイダー の要件に基づいて属性をマップします。

    属性マッピングを使用して、アプリケーションが Verifyからユーザー属性を 計算 する方法を制御します。 サービス・プロバイダー 属性には、マップされた Verify ユーザー属性によって保持されるすべての値が取り込まれます。

    注: 表示される属性のリストとその重要度は、アプリケーションによって異なります。 一部のシングル・サインオン属性は、プロビジョニングの要件となる場合があります。
  4. 「保存」をクリックします。
  5. サービス・プロバイダーで JIT プロビジョニングを構成します。 「 Verify サインオン (Sign-on) 」タブに記載されている説明を参照してください。

結果

注: 資格を持つユーザーが Verify から初めてアプリケーションにアクセスすると、ご使用条件に同意するように求めるプロンプトが出されます。 ユーザー・アカウントがアプリケーションでプロビジョンされ、ユーザーはそれにサインインできます。