OIDC 엔터프라이즈 ID 제공자 구성하기입니다.

온라인에서 편집하기

OIDC 프로토콜을 지원하는 모든 ID 공급자를 OIDC 엔터프라이즈 ID 공급자로 사용할 수 있습니다. ID 제공자는 IBM® Verify에 대한 액세스를 부여하기 전에 이 ID 제공자의 데이터에 대해 사용자 ID를 인증합니다.

프로시저

  1. ‘인증 ’ > ‘ID 공급자 ’를 선택합니다.
  2. ‘OIDC Enterprise’를 선택하세요.
  3. ‘일반’ 페이지에서 다음 정보를 입력하십시오.
    이름
    신원 확인 서비스 제공업체에 대해 알아보기 쉬운 이름을 지정하십시오.
    범위 및 발행자
    URL 를 ID 제공자에게 제공하십시오. 예를 들어,
    https://accounts.OIDC-IDP.com
    이 영역은 클라우드 디렉터리에 사용되며, 잘 알려진 엔드포인트가 제공되지 않을 경우 OIDC 흐름의 발급자 역할도 수행합니다.
    ID
    ID는 구성을 저장하고 나면 작성됩니다.
    사용
    로그인 시 이 ID 공급자를 사용하려면 이 확인란을 선택하세요.
  4. ‘다음’을 선택하세요.
  5. url‘To identity provider’ 페이지에서 리디렉션 주소를 복사하세요.
    단일 로그인을 위해 애플리케이션을 등록할 때 이 url 정보를 ID 제공자에게 제공합니다.
  6. ‘다음’을 선택하세요.
  7. 'ID 공급자' 페이지에서 다음 정보를 입력하십시오.
    1. 선택 사항: 로그인 VerifyURL 에 표시되는 ID 제공자 ID 대신 사용할 친숙한 이름을 지정합니다.
    2. ID 제공업체에 애플리케이션을 등록할 때 받은 클라이언트 ID와 클라이언트 시크릿을 입력하세요.
    3. 선택 사항: 애플리케이션 사용 방식을 제어하기 위해 적용 범위를 추가하거나 제거할 수 있습니다.
      참고: 관리 콘솔에 범위를 추가할 때마다 Windows™용은, Return Mac OS용은 를 선택하십시오 Enter .
    4. 신청서를 등록할 때 받은 정보에 endpoints 대해 알려주십시오.
      잘 알려진 엔드포인트
      발견 문서로 OIDC 클라이언트를 구성하려면 이 속성을 사용하십시오. 예를 들어, https://myco.com.

      endpoint잘 알려진 방법을 사용하지 않는 경우, 다음 정보를 제공해야 합니다.

      • 권한 엔드포인트
      • 토큰 엔드포인트
      • 사용자 정보 엔드포인트
    5. 선택 사항: 사용 중인 ID 공급자가 이를 지원하는 경우, PKCE 기능을 활성화하고 JWKS URI를 제공할 수 있습니다.
      ID 제공자 잘 알려진 구성으로 제공되지 않은 경우에는 JWKS URI를 추가하십시오.
    6. 인증 방법을 선택하십시오.
      • 클라이언트 시크릿 기본
      • 클라이언트 시크릿 POST
      • 클라이언트 시크릿 JWT - 또한 암호화를 위한 서명 알고리즘을 선택해야 합니다.
      • JWT 개인 키 - 또한 암호화를 위한 서명 알고리즘을 선택하고 서명 인증서를 선택해야 합니다.
    7. 선택 사항: login hint사용 가능한 경우, 싱글 사인온(SSO) 흐름 중에, prompt, 및 max age 의 매개변수를 ID 제공자에게 전달할 수 있습니다.
  8. ‘다음’을 선택하세요.
  9. 선택 사항: ‘적시 프로비저닝’을 선택합니다.
    이 옵션은 ‘ SAML ’ 신원과 연결된 기본 ID 공급자 영역에서 사용자 계정을 생성하고 업데이트합니다.
  10. 선택 사항: ‘고유 사용자 식별자 ’ 메뉴에서 ID 공급자의 사용자 레지스트리에 있는 사용자를 식별하는 속성을 지정합니다.
    이 ID 공급자에 대해 ‘ID 연결 사용’을 선택한 경우, UUID를 입력해야 합니다.
  11. 선택 사항: 고유 사용자 식별자 값을 변환할 변환 값을 선택하거나 기본값인 ‘없음 ’을 그대로 유지합니다.
  12. 선택 사항: ‘이 ID 공급자에 대해 ID 연결 사용’을 선택합니다.
    1. ‘고유 사용자 식별자’ 링크에서 계정에 사용할 고유 식별자를 선택하십시오.
      참고: UUID 는 OIDC 클레임 객체 내에서 사용자를 고유하게 식별할 수 있는 모든 값일 수 있습니다.
    2. ‘외부 ID’ 속성 필드에 값을 입력하여 UUID 를 설정하십시오.
      기본값은 sub 입니다.
    3. 변환 값을 선택하여 ‘외부 ID’ 속성 값을 변환하거나, 기본값인 ‘없음 ’을 그대로 유지하십시오.
  13. ‘다음’을 선택하세요.
  14. 선택 사항: ‘속성 매핑’ 페이지에서 OIDC 제공자의 추가 속성을 해당 Verify 속성에 매핑합니다.
    1. ‘속성 매핑 추가’를 선택합니다.
    2. 메뉴에서 OIDC 속성을 선택하십시오.
      OIDC 제공자가 표준이 아닌 다른 OIDC 지원 속성을 제공하는 경우, ‘속성 선택’ 필드에 해당 값을 직접 입력할 수 있습니다.
    3. 메뉴에서 속성을 Verify 선택하세요.
    4. 속성이 사용되는 방식을 선택하십시오.
    5. 맵핑하려는 각 속성마다 프로세스를 반복하십시오.
  15. 선택 사항: 사용자 액세스 권한 그룹의 소스를 지정하려면 다음 그룹 멤버십 소스 중 하나를 선택하십시오.
    • 클라우드 디렉토리 - 사용자 액세스 권한은 클라우드 디렉토리의 사용자 그룹에서 파생됩니다.
    • 클라우드 디렉터리 및 ID 소스 - 사용자 액세스 권한은 클라우드 디렉터리의 사용자 그룹과 클레임이 포함된 groupIds ID 공급자 토큰에서 파생됩니다.
    • 신원 소스 - 사용자 액세스 권한은 클레임이 groupIds 포함된 신원 제공자 토큰에서 파생됩니다.
      참고: ID 공급자 토큰에 해당 groupIds 클레임이 포함되어 있지 않으면 그룹 멤버십 권한을 전혀 얻을 수 없습니다.
    • 사용자 정의 규칙. '사용자 지정 규칙'을 선택한 경우, 규칙 편집기에 사용자 지정 규칙을 입력한 다음 '확인'을 클릭하여 저장하십시오. 사용자 액세스 권한은 사용자 정의 규칙을 기반으로 파생됩니다.
  16. ‘다음’을 선택하세요.
  17. 선택 사항: CI-108233 의 공개 미리 보기를 활성화한 경우, 사용자 초대 기능을 활성화할지 여부를 선택하세요.
    초대장은 API를 통해 POST /v1.0/usc/user/invitation 생성 및 발송됩니다. “사용자 초대”를 참조하십시오. 다른 사람을 새 사용자로 등록하도록 초대하려면 ‘사용자 초대 허용’ 확인란을 선택하세요. 또한 사용자가 초대 수락 과정에서 추가 정보를 입력할 수 있도록 사용자 프로필을 선택할 수도 있습니다. “사용자 프로필 관리”를 참조하십시오.
  18. 완료를 클릭하십시오.
  19. 선택 사항: OIDC 신원 제공자를 편집합니다.
    1. ‘인증 ’ > ‘ID 공급자 ’를 선택합니다.
    2. 소스 목록에서 ID 공급자를 선택하십시오.
    3. 변경사항을 작성하십시오.
      ID 또는 경로 재지정 URL은 변경할 수 없습니다.
    4. ‘변경 사항 저장’을 선택하세요.
  20. 선택 사항: OIDC ID 공급자를 삭제합니다.
    1. ‘인증 ’ > ‘ID 공급자 ’를 선택합니다.
    2. 소스 목록에서 ID 공급자를 선택하십시오.
    3. ‘삭제’ 아이콘을 선택하세요.
    4. ‘삭제’를 선택하여 ID 공급자를 삭제할 것인지 확인하십시오.