config.json ファイル

この構成ファイルは、JSON 形式でなければなりません。 これには、ibm-auth-apiと資格情報プロバイダーの 2 つのセクションが含まれています。

フォーマット

{
    "ibm-auth-api":{
        "client-id":"????????-????-????-????-????????????",
        "ofb-client-secret":"**********",
        "protocol":"https",
        "host":"tenant.verify.ibm.com",
        "port":443,
        "max-handles":16
    },
    "credential-provider":{
        "username-format":"%D\\\\%U",
        /*"trace-file":"c:/credprov/credprov.log",*/
        "disable-builtin-password-logon": false,
        "auth-method":"winpwd-then-choice-then-otp"
    }
}

ibm-auth-api の構成

エントリー サンプル値 説明
"client-id" "84e8da25-d7ed-47cc-9782-b852cb64365c" この値は必須です。 IBM Security Verify Gateway for Windows Login が使用するための IBM® Security Verify API クライアントを作成する必要があります。
"ofb-client-secret" "KsjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA=" この値は必須です。 IBM Security Verify API クライアントには、作成時にパスワードが付与されます。この構成設定で設定する必要があります。 obf-client-secret は、難読化した形式で提供されます。
注: この obf-client-secret は、代わりに「client-secret」オプションを使用して平文で指定することもできます。 例えば、以下のとおりです。
"client-secret”:"XOpiba1XeP"
.
"obf-client-secret”:
              "asjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA=",
"プロトコル" "https" この値はオプションであり、デフォルトは "https" です。 このプロトコルは、 Verify サーバーとの通信に使用されます。 http と https のいずれの値も使用できます。 HTTPS を使用し、cacert.pemファイルが存在する場合は、IBM Security Verifyサーバー証明書とサーバー名が検証されます。
"host" "テナントverify.ibm.com" この値は必須です。 これは、使用している Verify サーバーを識別します。
"ポート" 443 この値はオプションであり、デフォルトは 443 です。 このポートは、 Verify サーバーが要求を listen するポートです。
"max-handles" 2 この値はオプションであり、デフォルトは 16 です。 この値は、 IBM Verify Gateway for Windows Login がユーザー認証のために IBM Security Verify サーバーに対して行う並列接続の最大数です。 各資格情報プロバイダー・インターフェースで 2 つを超える接続を同時に使用することはないため、適切な値は 2 です。
"proxy" "http://proxy.ibm.com:1080" この値はオプションであり、デフォルトは、プロキシーを使用せずに、直接接続を使用します。

Verify テナントにアクセスするためのプロキシーを設定します。 値は、ホスト名またはドット付き数値の IP アドレスです。 数値 IPv6 アドレスは、[大括弧] 内に記述される必要があります。 このストリングでポート番号を指定するには、ホスト名の末尾に :[port] を追加します。 プロキシーのポートのデフォルトは port :1080です。 使用するプロキシーの種類を指定するために、プロキシー・ストリングに接頭部として [scheme]:// を付けることができます。

http://
HTTP プロキシー。 スキームまたはプロキシーのタイプが指定されない場合のデフォルト・タイプ。
https://
HTTPS プロキシー。 OpenSSL、Gnus、および NSS 向けに 7.52.0 で追加されました。
socks4://
SOCKS4 プロキシー。
socks4a://
SOCKS4a プロキシー。 プロキシーが URL ホスト名を解決します。
socks5://
SOCKS5 プロキシー。
socks5h://
SOCKS5 プロキシー。 プロキシーが URL ホスト名を解決します。 スキーマ接頭部がない場合、デフォルトでhttp://になります。
プロキシー・ストリングを"" (空ストリング) に設定すると、環境変数が設定されている場合でも、プロキシーの使用が明示的に無効になります。

プロキシー・ホスト・ストリングには、プロトコル・スキームhttp://、組み込みユーザー、およびパスワードを含めることもできます。

注: HTTPSを使用している場合は、 IBM Verify が実行されているWindowsシステム上で、 OpenSSL SSL_CERT_FILE を設定します。 この環境変数は、CA 証明書ファイルの名前と場所を示します。
コントロール・パネル > システムおよびセキュリティー・システム > 拡張システム設定 > 環境変数 > システム変数 に移動し、変数を指定します。 例えば、以下のとおりです。
SSL_CERT_FILE = C:\
Program Files\IBM\WindowsLogin\
cacert.pem
"proxytunnel" はい この値はオプションであり、デフォルトは、プロキシーが使用可能であれば true です。

proxytunnel の引数を true に設定すると、 Verifyテナントの操作HTTP経由でトンネル接続します。 プロキシーの使用は、そのプロキシーを経由するトンネリングとは異なります。 トンネリングは、HTTP CONNECT 要求がプロキシーに送信され、リモート・ホストへの特定のポート番号での接続をそのプロキシーに依頼して、トラフィックがプロキシー経由で渡されることを意味します。 プロキシーは、CONNECT 要求を許可する特定のポート番号を許可リストに登録します。 通常、許可されるポートは、80 と 443 のみです。
"connect-timeout" 10 この値はオプションであり、デフォルトは 10 秒です。 Verify サーバーへの接続のオープンを試行する間に待機する時間 (秒単位)。 初回の試行が失敗した場合、1 回再試行します。
"timeout" 20 この値はオプションであり、デフォルトは 20 秒です。 Verify サーバー接続で IBM Verify Gateway for Windows Login がデータ受信を待機する時間(秒)。
"トークン・タイプ" "ベアラー" 「アクセス・トークン」のアクセス・トークン・タイプを指定します。
"アクセス・トークン" "棄権 ..." テナントに使用するアクセス・トークンを指定します。 これは、アクセス・トークンが既に認識されている場合に「client-id」および「client-secret」オプションを使用する代わりの方法です。
「ca-path」 ""C:\Program\Files\IBM\WindowsLogin\cacert.pem" Verify テナント・サーバー証明書の許可された認証局署名者のリストを含むファイルを指定します。 このテキスト・ファイルには、1つ以上のPEM CA公開鍵証明書が base64 形式で含まれている。 デフォルトでは、コンフィギュレーション・ファイル・ディレクトリーにある cacert.pem
"起点ユーザー・エージェント" "IBM Security Verify" プッシュ (デバイス) トランザクションを開始するために要求で送信するユーザー・エージェントを指定します。
「proxy-ca-path」 ""C:\Program\Files\IBM\WindowsLogin\cacert.pem" プロキシー・サーバー証明書の許可された認証局署名者のリストを含むファイルを指定します。 このテキスト・ファイルには、1つ以上のPEM CA公開鍵証明書が base64 形式で含まれている。 デフォルトでは、構成ファイル・ディレクトリーにある cacert.pem ファイルが使用されます。
"取り消し-ベスト・エフォート" false Verify テナント REST API への TLS 通信用。 これは、このような動作が存在する TLS バックエンドの配布ポイントが欠落しているかオフラインである場合に、証明書失効検査を無視するかどうかを示します。
「ノーリボーク false Verify テナント REST API への TLS 通信用。 これは、そのような動作が存在する TLS バックエンドの証明書失効検査を無効にするかどうかを示します。 このオプションは Windows でのみサポートされますが、バイパスできない Windows Untrusted Publisher ブロック・リストの場合は例外です。 このオプションは、「revoke-best-フォート」よりも優先されます。

credential-provider の構成

エントリー サンプル値 説明
"trace-file" “C:\Temp\credprov.log” この値はオプションであり、デフォルトではトレースしません。
注: ファイル C:\Program Files\IBM\WindowsLogin\credprov.log が存在する場合、ロギングは自動的に有効になり、 Verify Gateway for Windows Login の始動の初期段階で自動的に有効になります。
"auth-method" "winpwd-then-choice-then-otp" この値はオプションであり、デフォルトは "winpwd-then-choice-then-otp" で、ユーザーの認証に使用される MFA 方式を定義します。
"winpwd"
Windows パスワードのみ。
"winpwd-and-totp"
単一の入力で時間ベースのワンタイム・パスコードと結合された Windows パスワード。
"winpwd-then-smsotp"
Windows パスワードの後に SMS ワンタイム・パスコードが続きます。
"winpwd-then-emailotp"
Windows パスワードの後に E メールのワンタイム・パスコードが続きます。
"winpwd-then-choice-then-otp"
Windows パスワードの後に、使用可能な 2FA 方式の選択項目、選択したワンタイム・パスコード、またはデバイス通知の待機が続きます。
注: 選択可能な項目が 1 つしかない場合、Choice ステップはスキップされます。
"winpwd-then-device"
Windows パスワードの後にデバイス通知待ちが続きます。 複数のデバイスがユーザー用に登録されている場合は、選択ステップが表示されます。
"winpwd-then-transient"
Windows パスワードの後にワンタイム・パスワードが続きます。 複数の一時的パスワードがユーザー用に登録されている場合は、選択ステップが表示されます。
"accept-on-missing-auth-method" false この値はオプションであり、デフォルトは false です。 true に設定され、認証方式に適切な 2FA がユーザー用に登録されていない場合、ユーザーは、パスワードのみを使用したログインを許可されます。
"password-first" false この値はオプションであり、デフォルトは false です。 true に設定され、認証方式が winpwd-and-totp である場合、パスワードと totp 値の組み合わせの入力ではパスワードを最初に指定する必要があります。 false の場合は、組み合わせの入力で totp 値を最初に指定する必要があります。
"otp-prompt" “Enter the One Time Passcode %C-” この値はオプションであり、デフォルトは “Enter the One Time Passcode %C-” です。このプロンプトは、ユーザーに対してワンタイム・パスワードの入力を求めるプロンプトが出されたときに表示されます。 %C ストリングは、プロンプトで表示される場合は、OTP 方式の相関値に置き換えられます。 時刻ベースの OTP の場合は空ストリングになります。
"password-separator" “,” この値はオプションで、デフォルトは「,」です。 この文字は、"windpwd-and-totp" 認証方式でパスワードと TOTP の組み合わせの入力の間に指定する必要があります。
"verify-method-order" ["fingerprint","userPresence"] この値はオプションであり、デフォルトは ["fingerprint","userPresence"] です。
"verify-message" “Do you approve the request from winhost.ibm.com?” この値はオプションであり、デフォルトは “Do you approve the request from {hostname}?”です。 ここで、{hostname} は、Verify Gateway for Windowsログインが実行されていると推測されるホスト名に置き換えられます。 “device”auth_method が使用されている場合、ユーザーにアクセスの検証を要求する際、ユーザーのデバイスにこのメッセージが表示されます。
"choices" ["device"、"transient"、"totp"、"smsotp"、"emailotp"、"voiceotp"] この値は、"winpwd-then-choice-then-otp" の認証方式でユーザーに提示される 2FA のタイプを定義します。
"transient-choices" [ {"choice": "phoneNumbers", "sub-choices": ["mobile", "work"]}, "emails" ] この値はオプションであり、デフォルトは ["phoneNumbers","emails"] です。 この値は、一時的 2FA が有効になっている場合にユーザーに提示される一時的 OTP 方式のタイプを定義します。

「phoneNumbers」のサブ選択項目を指定できます。 お客様は通常、このオプションを使用して電話番号を「モバイル」に制限します。

ストリングまたは詳細オブジェクト、あるいはその両方を「transient-choices」配列内で混用して、以前のバージョンとの互換性を持たせることができます。
"no-mfa-on-unlock" true | false このエントリのデフォルトは false です。 true に設定すると、2FA の入力は要求されません。デスクトップをアンロックするために必要なのはパスワードのみです。
"poll-timeout" 60 この値はオプションであり、デフォルトは 60 秒です。 この値で、デバイスからの PUSH 通知がユーザーによって承認または拒否されるまで待機する時間の長さを指定します。 このタイムアウトに達すると、要求は自動的に拒否されます。
"poll-rate-ms" 1000 この値はオプションであり、デフォルトは 1000 ミリ秒です。 この値は、デバイスのプッシュが拒否されたか承認されたかを判別するために、 Verify Gateway for Windows Login が Verify サーバーを検査する頻度を指定します。 これは、 IBM Verify Gateway for Windows Login がデバイス PUSH に対してどのように応答するかに影響します。
注: ポーリング・レートの値が小さいと、1 秒当たりに多数の要求が Verify サーバーに送信されるため、負荷が増加します。
"ignore-isvalidated" false この値はオプションであり、デフォルトは false です。 true に設定すると、 Verify Gateway for Windows Login は検証されない 2FA 方式を許可します。
"username-format" “%D¥¥%U” この値はオプションであり、デフォルトは“%D¥¥%U”です。 Windows ユーザー・ドメインと名前を Verify ユーザー名にマップする方法を定義します。 %D のオカレンスは Windows ユーザーのドメインに置き換えられ、 %U のオカレンスは指定されたストリング内の Windows ユーザー名に置き換えられます。 ストリングの値 %D および %U はオプションです。
"disable-builtin-password-logon" false この値はオプションであり、デフォルトは false です。 true に設定すると、Windows 組み込みパスワード資格情報プロバイダーは無効になり、 Verify Gateway for Windows ログイン資格情報プロバイダーのみが残ります。 false に設定すると、どちらも選択項目として Windows ログオンによって使用可能になります。 実稼働環境では、ユーザーが Windows 資格情報プロバイダーを選択して Verify Gateway for Windows Login 資格情報プロバイダーをバイパスできないようにするために、この値を true に設定します。
“rdp-only” false この値はオプションであり、デフォルトは false です。 true に設定すると、 Verify Gateway for Windows ログイン資格情報プロバイダーはリモート・デスクトップ・ログオンでのみ使用されます。 ローカル・デスクトップ・ログオンなど、他のログオン・タイプでは使用されません。
“no-mfa-account” “DOMAIN¥¥User” この値はオプションであり、デフォルトでは、MFA をバイパスできるアカウントを使用しません。 設定された場合、各ユーザーのログオンはこのアカウントと比較されます。 比較では大/小文字が区別されません。 一致する場合、ユーザーは「winpwd」の認証方式を使用します。この方式では、 2FA も Verify サーバーへのアクセスも必要ありません。 ログオンに必要なのは Windows パスワードのみです。 これは、 Verify サービスにアクセスできない場合でもデバイスへのアクセスを許可する特別なアカウントです。
注: このアカウントを RDP アクセスからブロックすることをお勧めします。 Windows 管理者はこのアクセスをブロックできます。
"username-table" 
"username-table": [ 
{ "from": "testuser1", "to": "testuser1@x.y.com" },
{ "from": "testuser2", "to": "testuser2@x.y.com" } 
]
 この属性は、ユーザー名を新しい値にマップします。 ユーザー名が表にない場合、現状のまま使用されます。
"トレース・ロールオーバー" 0 ファイルが保存され、新しい空のトレース・ファイルが作成されるときのトレース・ファイルの概算最大サイズをバイト単位で指定します。 トレース・ファイルは、現在のタイム・スタンプを付加して名前を変更することによって保存されます。
「trace-localtime」 false トレース・ファイルのタイム・スタンプを現地時間にするかどうかを指定します。 デフォルトでは、タイム・スタンプは UTC を使用します。
「trace-prefix-all」 false すべてのトレース行の前にタイム・スタンプを付けるかどうかを指定します。 デフォルトでは、 Verify REST API のリクエスト/レスポンスのトレースキャプチャ行は、最初の行にのみ接頭辞が付きます。
"failmode-insecure" false Verify テナント REST API への接続が確立できない場合、パスワードのみを使用したログインを許可し、 2FA は使用しません。
"ユーザー名属性" uid Active Directory を使用する場合、 2FA を使用する Verify ユーザー名は、ログインしている Active Directory ユーザーの属性から取得できます。
"ユーザー名-cd-attr" "urn:ietf:params: scim:schemas: extension: ibm:2.0:User:customAttributes.userAlias" 2FA を持つ Verify ユーザーは、ウィンドウズ・ログイン・ユーザー名に一致する値を持つ、この属性を持つ Verify ユーザーを見つけることによって探し出される。
"ユーザー名-属性-厳密" false falseに設定すると、"username-attr "属性が Active Directory ユーザーに存在しない場合、ログインはウィンドウズのユーザー名を使用して、 Verify ユーザーを 2FA のために検索します。
"ユーザー名属性形式" "%A" 「username-attr」値をマップするためのストリング。 %A は属性値で置き換えられ、ストリング定数を接頭部または接尾部 (あるいはその両方) として追加することができます。 デフォルトは、変更されていない「%A」のみです。