IBM Verify Bridge
この IBM® Verify Bridge コンポーネントは、お客様のオンプレミス環境にある LDAP、 Active Directory、またはカスタムデータベースによって管理されるユーザー属性および認証機能へのクラウド経由のアクセスを提供 IBM します。
概要
この Verify Bridge 機能により、コンポーネントから IBM Verify オンプレミスの LDAP、 Active Directory、またはカスタムデータベースの認証情報やユーザー属性にアクセスできます。
とテナント IBM VerifyVerify Bridge との間の主な接続には、 HTTP または HTTPS Long-Poll のいずれかが使用されます。 この接続は によって開始され、認証済みのアクセストークンが必要です。 Verify Bridge このトークンは、Bridgeが起動時に取得し、定期的に更新します。 Verify Bridgeロングポーリング接続が確立されると、トラフィックは から Verify へと流れる。
コンポーネントの概要
次の図は、この Verify Bridge アーキテクチャの主要な構成要素を示しています。
- ワークロード
- ワークロード要求は、ID ソースを表すエージェントの任意の接続されたインスタンスにディスパッチされます。 これにより高可用性 (HA) と拡張性の高いパフォーマンスが提供されます。 任意のエージェントが選択されます。
- LDAP エージェント ID ソース 1
- ID ソースごとにブリッジ・エージェントのインスタンスを複数デプロイできます。 複数のインスタンスを使用すると、ブリッジ・エージェントのクラスターで、特定の ID ソースに対する要求やワークロードを処理できるようになります。
- LDAP ソース 1 (レプリカ 2)
- 各ブリッジ・エージェント・インスタンスは、実際の外部データ・リポジトリー、またはそのレプリカに接続できる必要があります。 各プライマリー URL とレプリカ URL は、エージェント接続情報の一部として構成されます。 接続試行は、構成で提供される順序で行われます。
この図について以下で説明します。
- ボックス Verify 内に示されているフローやボックスは、あくまで概念的なものです。
- 1 つの ID ソースにブリッジ・エージェントのインスタンスを複数デプロイできます。 この機能により、ブリッジ・エージェントのクラスターで ID ソースに対する要求やワークロードを処理できるようになります。 各ブリッジ・エージェント・インスタンスは、実際の外部データ・リポジトリーまたはそのレプリカに接続できることが必要です。
注:
- IP アドレスを使用してホストが指定された場合は、LDAP TLS サーバー証明書検証が実施されるようになりました。 アップグレード後は、現在のように TLS と IP アドレスを使用できなくなる可能性があります。 この変更の影響を受ける場合は、以下の 2 つのオプションを選択できます。
"LdapCertHostName" "{your cert host name}"オプションの設定項目を使用して、 LDAP サーバーの証明書のホスト名を指定します。- LDAP サーバー証明書ホスト名を使用するように LDAP URI を変更します。 ソリューションが選択されるまで一時的な即時回避策が必要な場合は、オプションの構成
"InsecureSkipVerify"を"true"に設定します。
バージョン 1.0.9 以降では、レガシー共通名フィールドに依存する証明書は受け入れられなくなりました。 証明書は、代わりに SAN (サブジェクト代替名) を使用する必要があります。 レガシー共通名フィールドのホスト名 ID を使用する必要がある場合は、Windows onprem.exe プロセスの
GODEBUG='x509ignoreCN=0'環境変数を設定するか、それを Docker イメージに渡します。
サポートされるソフトウェア
- オペレーティング・システム
- Windows Server 2016
- Windows Server 2019
- Windows Server 2012 R2
- Windowsサーバー2022
- Windows Server 2025
- Linux Docker Engineをサポートするシステム 19.03.0 以降