SAML JIT 프로비저닝 구성

온라인에서 편집하기

IBM® Verify사용자가 처음 인증할 때 서비스 제공업체 에서 사용자 계정을 생성하거나 업데이트할 수 있도록 적시 JIT 프로비저닝을 활성화합니다. Verify SAML 어설션을 통해 계정 생성 또는 업데이트에 필요한 사용자 정보를 전달합니다. 서비스 제공자가 사용자 ID 정보를 작성할 필요가 없거나 사용자가 서비스 제공자에 액세스하기 전에 사용자 ID 정보가 알려진 경우에는 JIT 프로비저닝을 사용하십시오.

시작하기 전에

  • 이 태스크를 완료하려면 관리 권한이 있어야 합니다.
  • 애플리케이션 액세스 인타이틀먼트를 부여하려는 사용자의 클라우드 디렉토리에 사용자 프로파일을 작성하십시오. ‘디렉토리 > 사용자 및 그룹 > 사용자 페이지에서 사용자를 추가하십시오. “사용자 관리”를 참조하십시오.
  • [일반 ] 탭에서 애플리케이션 인스턴스의 기본 정보를 설정합니다. ‘기본 애플리케이션 정보 설정’을 참조하십시오.

이 태스크에 대한 정보

서비스 제공자 간의 Verify SAML 기반 단일 로그인(SSO)을 구성하는 과정에서 JIT 프로비저닝을 활성화하십시오. 참조

사용자 계정은 ` SAML ` 어설션에 포함된 속성을 사용하여 서비스 제공자의 사용자 레지스트리에 생성됩니다. Verify 사용자가 싱글 사인온(SSO)의 일환으로 서비스 제공 자에 액세스할 때, 서비스 제공자에게 ‘ SAML ’ 어설션을 전송합니다. 제시된 사용자 이름과 일치하는 항목이 없는 경우, 서비스 제공자는 ` SAML ` 어설션에 포함된 사용자 속성을 사용하여 새 계정을 생성합니다. 서비스 제공자는 또한 요청된 리소스에 대한 액세스 권한을 사용자에게 즉시 부여합니다.

Verify에서 JIT(Just-in-time) 프로비저닝을 사용 가능하게 하는 경우 서비스 제공자에서도 이를 사용 가능하게 해야 합니다. 이 설정은 항상 일치해야 합니다.

일치하는 항목이 발견될 수 있으며, 서비스 제공자는 ‘ SAML ’ 어설션 에 포함된 속성 정보에 따라 계정을 업데이트함으로써 사용자에게 해당 응답을 제공합니다 account does exist .

일부 서비스 제공업체는 프로비저닝이 활성화된 경우 JIT , 사용자가 다음에 로그인할 때 계정 정보를 업데이트할 수 있도록 지원합니다. 이 동작을 판별하려면 서비스 제공자 제품 문서를 참조하십시오.

참고: 정상적인 동작입니다. user@tenanthostname관리자가 에서 cloudIdentityRealm 형식의 userName 표준 사용자를 생성한 경우, 여기서 tenanthostname 는 테넌트의 호스트 이름입니다. 예를 들어, hostname.idng.ibmcloudsecurity.com. (Just-In-Time 프로비저닝) 프로세스 JIT 중에 수신된 토큰에 사용자 user이름이 포함된 경우, 해당 사용자에 대한 연동 사용자 계정을 생성할 수 없으며, 대신 사용 편의성을 위해 시스템의 cloudIdentityRealm 표준 사용자가 user@tenanthostname 기본값으로 설정됩니다.

프로시저

  1. ‘응용 프로그램’ > ‘응용 프로그램’ > 편집 > ‘로그인’을 선택합니다.
  2. 해당 적시 프로비저닝 섹션에서 를 선택하여 어설션에 SAML 프로비저닝 속성을 포함합니다 , 가 서비스 제공업체 사용자 레지스트리에 사용자 계정을 생성하거나 업데이트하는 데 필요한 사용자 속성을 나열합니다.
    참고: 사용 환경에 따라 이 옵션은 다를 수 있습니다.
    • 서비스 제공자에서 항상 사용으로 설정. Verify따라서.에서는 기본적으로 활성화되어 있으며 읽기 전용으로 설정되어 있습니다. 필수 프로비저닝 속성이 없거나 추가 구성이 필요하지 않습니다.
    • 서비스 제공자가 사용자 계정을 프로비저닝하는 데 필요한 속성 표시. 서비스 제공자는 일반적으로 다음과 같은 사용자 속성을 최소한으로 요구합니다.
      • 사용자 이름
      • 이름
      • 이메일 주소
    • 서비스 제공 자가 사용자 계정 프로비저닝 시 고려하는 속성을 표시합니다. 예를 들어
      • 직원 ID
      • 휴대전화 번호
      • 부서
      • 직책
    • 단일 로그인(SSO)의 요구 사항 속성과 동일한 프로비저닝 속성을 필수로 지정해야 합니다.

      체크박스가 선택되어 있는지 여부는 중요하지 않습니다. Verify사용자가.를 통해 싱글 사인온(SSO)을 완료하면 사용자 계정이 생성됩니다.

  3. ‘속성 매핑’에서 각 서비스 제공자 속성에 해당하는 Verify 사용자 속성을 할당하십시오.

    서비스 제공자 요구사항에 따라 속성을 맵핑하십시오.

    Verify속성 매핑을 사용하여 애플리케이션이 사용자 속성을 계산하는 방식을 제어합니다. 서비스 제공자 속성에는 매핑된 Verify 사용자 속성에 저장된 값이 그대로 반영됩니다.

    참고: 표시되는 속성 목록과 그 중요도는 애플리케이션에 따라 다릅니다. 일부 싱글 사인온(SSO) 속성은 프로비저닝에 필수 조건일 수 있습니다.
  4. ‘저장’을 클릭하세요.
  5. 서비스 제공업체 에서 JIT 프로비저닝을 구성합니다. ‘로그인’ 탭에 Verify 있는 지침을 확인하세요.

결과

참고: 권한이 있는 사용자가 해당 애플리케이션에 Verify 처음 접속할 때, 이용 약관에 동의하라는 메시지가 표시됩니다. 애플리케이션에 사용자 계정이 프로비저닝되고 사용자가 애플리케이션에 사인인할 수 있습니다.