O arquivo config.json

Editar online

Esse arquivo de configuração deve estar no formato JSON. Ele contém duas seções, ibm-auth-api e provedor de credenciais.

Formato

{
    "ibm-auth-api":{
        "client-id":"????????-????-????-????-????????????",
        "ofb-client-secret":"**********",
        "protocol":"https",
        "host":"tenant.verify.ibm.com",
        "port":443,
        "max-handles":16
    },
    "credential-provider":{
        "username-format":"%D\\\\%U",
        /*"trace-file":"c:/credprov/credprov.log",*/
        "disable-builtin-password-logon": false,
        "auth-method":"winpwd-then-choice-then-otp"
    }
}

Configurando o ibm-auth-api


Entrada	Valor de amostra	Descrição
"client-id"	"84e8da25-d7ed-47cc-9782-b852cb64365c"	Este valor é necessário. IBM Verify Gateway for Windows™ É necessário criar um IBM® Verify cliente de API para ser utilizado pelo Login.
"ofb-client-secret"	"KsjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA="	Este valor é necessário. O cliente da IBM Verify API recebe uma senha no momento da criação, e ela deve ser definida nesta configuração. O obf-client-secret é fornecido de forma ofuscada. Observação: esse obf-client-secret também pode ser fornecido em texto simples, utilizando-se da opção "client-secret". Por exemplo, `"client-secret”:"XOpiba1XeP"` . `"obf-client-secret”: "asjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA=",`
"protocolo"	"https"	Esse valor é opcional e é padronizado como "https". Este protocolo é utilizado para se comunicar com o Verify servidor. É possível usar qualquer um dos valores, “http” ou “https”. Quando o https é usado e o arquivo cacert.pem está presente, o certificado do servidor IBM Verify e o nome do servidor são validados.
"anfitrião"	"inquilino.verify.ibm.com"	Este valor é necessário. Ele identifica o Verify servidor que você está usando.
"porto"	443	Esse valor é opcional e é padronizado como 443. Esta é a porta na qual o Verify servidor está à escuta para receber solicitações.
"max-handles"	2	Esse valor é opcional e é padronizado como 16. Este valor corresponde ao número máximo de conexões paralelas que o Gateway do IBM Verify para o Windows estabelece com o IBM Verify servidor para a autenticação do usuário. Cada interface do Provedor de Credenciais nunca usa mais de duas conexões ao mesmo tempo, portanto, um valor de 2 é apropriado.
"proxy"	"http://proxy.ibm.com:1080"	Esse valor é opcional e o padrão é não usar um proxy e usar conexões diretas. Configure o proxy para acessar o Verify locatário. O valor é um nome do host ou um endereço IP numérico pontilhado. Um endereço IPv6 numérico deve ser gravado dentro de [colchetes]. Para especificar o número da porta nesta string, acrescente `:[port]` ao final do nome do host. A porta do proxy é padronizada como `port :1080`. A sequência de proxy pode ser prefixada com `[scheme]://` para especificar o tipo de proxy utilizado. http:// Proxy HTTP. O tipo padrão quando nenhum tipo de esquema ou de proxy é especificado. https:// Proxy HTTPS. Incluído na 7.52.0 para OpenSSL, Gnus e NSS. socks4:// Proxy do SOCKS4. socks4a:// Proxy do SOCKS4a. O proxy resolve o nome do host da URL. socks5:// Proxy do SOCKS5. socks5h:// Proxy do SOCKS5. O proxy resolve o nome do host da URL. Sem um prefixo de esquema, ele é padronizado para `http://`. Configurando a sequência de proxy para `""`, uma sequência vazia, desativa explicitamente o uso de um proxy, mesmo que uma variável de ambiente esteja configurada para ele. Uma sequência de host do proxy também pode incluir esquema de protocolo `http://` e um usuário integrado e uma senha. `SSL_CERT_FILE`Observação: Se você estiver usando um proxy do HTTPS, defina a variável de ambiente OpenSSL no sistema Windows em que o IBM Verify Gateway for Windows Login estiver em execução. Essa variável de ambiente indica o nome e o local do arquivo de certificados de CA. Acesse o Painel de Controle > Sistema e Segurança > Configurações avançadas do sistema > Variáveis de ambiente > Variáveis do sistema e especifique a variável. Por exemplo, `SSL_CERT_FILE = C:\ Program Files\IBM\WindowsLogin\ cacert.pem`
"proxytunnel"	true	Este valor é opcional e padronizado como true se o proxy estiver ativado. Defina o `proxytunnel` argumento como `true` para fazer Verify com que a operação do locatário seja encaminhada através do proxy HTTP. Usar um proxy é diferente de fazer o tunelamento por meio dele. O tunelamento significa que uma solicitação HTTP CONNECT é enviada ao proxy, pedindo que ele se conecte a um host remoto em um número de porta específico e, em seguida, o tráfego passa pelo proxy. Os proxies incluem em uma lista de permissões os números de portas específicos aos quais ele permite que sejam feitas solicitações CONNECT. Geralmente, apenas as portas 80 e 443 são permitidas.
"connect-timeout"	10	Esse valor é opcional e padronizado para 10 segundos. O tempo, em segundos, que se deve aguardar enquanto o sistema tenta estabelecer uma conexão com o Verify servidor. Se a primeira tentativa falhar, ocorrerá uma nova tentativa.
"timeout"	20	Esse valor é opcional e padronizado para 20 segundos. O tempo, em segundos, que o Gateway do IBM Verify para o login no Windows aguarda a recepção de dados na conexão Verify com o servidor.
"tipo de token"	"Ao portador"	Especifica o tipo de token de acesso como "access-token".
"token de acesso"	"abced..."	Especifica o token de acesso a ser usado para o locatário. Essa é uma alternativa ao uso das opções "client-id" e "client-secret" caso o token de acesso já seja conhecido.
"ca-path"	""C:\Program\Files\IBM\WindowsLogin\cacert.pem"	Especifica um arquivo com uma lista das autoridades certificadoras autorizadas a assinar o Verify certificado do servidor do locatário. Este arquivo de texto contém um ou mais certificados de chave pública da CA PEM no formato base64. Por padrão, ele utiliza o cacert.pem arquivo localizado no diretório de arquivos de configuração.
"origin-user-agent"	"IBM Verify"	Especifica o agente do usuário enviado na solicitação para iniciar uma transação push (dispositivo).
"proxy-ca-path"	""C:\Program\Files\IBM\WindowsLogin\cacert.pem"	Especifica um arquivo com uma lista das autoridades certificadoras autorizadas a assinar o certificado do servidor proxy. Este arquivo de texto contém um ou mais certificados de chave pública da CA PEM no formato base64. Por padrão, ele utiliza o cacert.pem arquivo localizado no diretório de arquivos de configuração.
"revogação com o melhor esforço"	false	Para a comunicação do TLS com a API REST do Verify locatário. Isso indica se as verificações de revogação de certificados devem ser ignoradas no caso de pontos de distribuição ausentes ou offline para os back-ends do ` TLS ` nos quais esse comportamento está presente.
"irrevogável"	false	Para a comunicação do TLS com a API REST do Verify locatário. Isso indica se as verificações de revogação de certificados devem ser desativadas nos back-ends do TLS nos quais esse comportamento está presente. Essa opção é compatível apenas com o Windows, com exceção da lista de bloqueio de editores não confiáveis do Windows, que não pode ser contornada. Esta opção tem precedência sobre "revoke-best-effort".

Configurando o credential-provider


Entrada	Valor de amostra	Descrição
"trace-file"	“C:\Temp\credprov.log”	Esse valor é opcional e padronizado para não rastrear. Observação: Se o arquivo C:\Program Files\IBM\WindowsLogin\credprov.log existir, o registro em log será ativado automaticamente em uma fase inicial da inicialização do Verify Gateway for Windows Login.
"auth-method"	"winpwd-then-choice-then-otp"	Esse valor é opcional e padronizado como "winpwd-then-choice-then-otp", que define o método MFA que é usado para autenticar o usuário. "winpwd" Apenas senha do Windows. "winpwd-and-totp" A senha do Windows combinada com o código de acesso único baseado no tempo em uma única entrada. "winpwd-then-smsotp" Senha do Windows seguida do código de acesso único enviado por SMS. "winpwd-then-emailotp" Senha do Windows seguida de um código de acesso único enviado por e-mail. "winpwd-then-choice-then-otp" Senha do Windows, seguida da escolha de um dos métodos disponíveis em 2FA, seguida do código de acesso único selecionado ou da espera pela notificação no dispositivo. Observação: se houver apenas uma opção disponível, a etapa de escolha será ignorada. "winpwd-then-device" Senha do Windows seguida da notificação de espera pelo dispositivo. Se mais de um dispositivo for registrado para o usuário, uma etapa de opção será apresentada. "winpwd-then-transient" Senha do Windows seguida da senha de uso único. Se mais de um transiente for registrado para o usuário, uma etapa de opção será apresentada.
"accept-on-missing-auth-method"	false	Este valor é opcional e padronizado como false. Se configurado como true e um usuário não tiver um 2FA registrado apropriado para o método de autenticação, ele terá permissão para efetuar logon apenas com sua senha.
"password-first"	false	Este valor é opcional e padronizado como false. Se configurado como true e o método de autenticação for winpwd-and-totp, em seguida, a senha combinada, a entrada de valor totp deverá ter a senha primeiro. Se false, o valor totp deverá ser fornecido primeiro na entrada combinada.
"otp-prompt"	“Insira a senha descartável %C-”	Este valor é opcional e padronizado para "Inserir a senha descartável %C-". Este prompt é exibido quando o usuário é solicitado a inserir a senha descartável. A sequência %C, se presente no prompt, é substituída pelo valor de correlação para o método OTP. É a sequência vazia para OTP baseado em tempo.
"password-separator"	“,”	Este valor é opcional e padronizado para "`,`". Esse caractere deve ser colocado entre a entrada combinada de senha e TOTP para o método de autenticação "windpwd-and-totp".
"verify-method-order"	["fingerprint","userPresence"]	Esse valor é opcional e padronizado como ["fingerprint","userPresence"].
"verify-message"	“Você aprova a solicitação de winhost.ibm.com?”	Esse valor é opcional e padronizado como “Você aprova a solicitação de {hostname}?”, em que {hostname} é substituído pelo nome do host inferido no qual o Login do Verify Gateway for Windows está sendo executado. Quando o auth_method “device” é usado, o dispositivo do usuário exibe essa mensagem quando é solicitado que o usuário verifique o acesso.
"choices"	["dispositivo", "transitório", "totp", "smsotp", "emailotp", "voiceotp"]	Esse valor define os tipos de 2FA que são apresentados ao usuário para o método de autenticação de "winpwd-then-choice-then-otp".
"transient-choices"	[ {"choice": "phoneNumbers", "sub-choices": ["mobile", "work"]}, "emails" ]	Esse valor é opcional e padronizado como ["phoneNumbers","emails"]. Esse valor define os tipos de métodos OTP temporários que são apresentados ao usuário quando o 2FA temporário é ativado. É possível especificar as subescolhas para "phoneNumbers". Os clientes geralmente usam essa opção para restringir os números de telefone para "mobile". Sequências ou objetos detalhados, ou ambos, podem ser intermisturados na matriz "transient-choices", para permitir a compatibilidade com versões anteriores.
"no-mfa-on-unlock"	true \| false	Esta entrada é padronizada para false. Quando configurada como true, nenhuma entrada 2FA é solicitada, apenas a senha é necessária para desbloquear a área de trabalho.
"poll-timeout"	60	Esse valor é opcional e padronizado para 60 segundos. Esse valor especifica por quanto tempo uma notificação de PUSH de um dispositivo espera para ser aprovada ou negada pelo usuário. Se o tempo limite for atingido, a solicitação será negada automaticamente.
"poll-rate-ms"	1000	Esse valor é opcional e padronizado para 1000 milissegundos. Este valor especifica com que frequência o Verify Gateway for Windows Login verifica o servidor Verify para determinar se o dispositivo PUSH foi negado ou aprovado. Isso afeta a capacidade de resposta do Gateway de Login do IBM Verify para Windows às notificações PUSH do dispositivo. Observação: valores baixos na taxa de polling enviam muitas solicitações por segundo ao Verify servidor, o que aumenta sua carga.
"ignore-isvalidated"	false	Este valor é opcional e padronizado como false. Quando configurado como true, o Verify Gateway for Windows Login permite métodos 2FA que não são validados.
"username-format"	“%D\\%U”	Esse valor é opcional e padronizado como “%D\\%U”. Ele define como mapear o domínio e o nome do usuário do Windows para o Verify nome de usuário. As ocorrências de `%D` são substituídas pelo domínio do usuário do Windows, e as ocorrências de `%U` são substituídas pelo nome de usuário do Windows na string fornecida. Os valores `%D` e `%U` são opcionais na sequência.
"disable-builtin-password-logon"	false	Este valor é opcional e padronizado como false. Quando definido como "true", o provedor de credenciais de senha integrado do Windows é desativado, restando apenas o Verify Gateway for Windows provedor de credenciais de login. Se definido como false, ambas as opções serão disponibilizadas pelo Logon do Windows. Em ambientes de produção, defina este valor como verdadeiro para garantir que os usuários não possam ignorar o Verify Gateway for Windows provedor de credenciais de login selecionando o provedor de credenciais do Windows.
“rdp-only”	false	Este valor é opcional e padronizado como false. Quando configurado como true, o provedor de credencial do Verify Gateway for Windows Login é usado apenas com o logon do Remote Desktop. Ele não é usado para outros tipos de logon, como um logon da área de trabalho local.
“no-mfa-account”	“DOMAIN\\User”	Esse valor é opcional e padronizado para não ter uma conta que possa ignorar o MFA. Se configurado, cada logon do usuário será comparado com essa conta. A comparação não faz distinção entre maiúsculas e minúsculas. Se houver correspondência, o usuário utiliza o método de autenticação “winpwd”, que não requer uma senh 2FA e nem acesso ao Verify servidor. Para fazer login, basta a senha do Windows. Esta é uma conta especial que permite o acesso ao dispositivo mesmo que o Verify serviço esteja indisponível. Observação: talvez seja recomendável bloquear o acesso RDP desta conta. O administrador do Windows pode bloquear esse acesso.
"username-table"	`"username-table": [ { "from": "testuser1", "to": "testuser1@x.y.com" }, { "from": "testuser2", "to": "testuser2@x.y.com" } ]`	Este atributo mapeia o nome do usuário para um novo valor. Se o nome do usuário não estiver na tabela, ele será usado no estado em que se encontra.
"trace-rollover"	0	Especifica o tamanho máximo aproximado, em bytes, do arquivo de rastreamento quando o arquivo é salvo e um novo arquivo de rastreamento vazio é criado. O arquivo de rastreamento é salvo renomeando-o com a adição da data e hora atuais.
"trace-localtime"	false	Especifica se os carimbos de data e hora do arquivo de rastreamento devem estar na hora local. Por padrão, os carimbos de data e hora utilizam o horário UTC.
"trace-prefix-all"	false	Especifica se todas as linhas de rastreamento devem ser precedidas por um carimbo de data/hora. Por padrão, as Verify linhas de captura de rastreamento de solicitação/resposta da API REST só recebem um prefixo na primeira linha.
"modo de falha inseguro"	false	Permite o login usando apenas a senha, sem a necessidade de um 2FA, caso não seja possível estabelecer a conexão com a Verify API REST do locatário.
"username-attr"	uid	Ao usar o Active Directory, o Verify nome de usuário a ser utilizado no 2FA pode ser obtido a partir de um atributo do usuário Active Directory com o qual o usuário está conectado.
"username-cd-attr"	"urn:ietf:params:scim:schemas:extension: ibm:2.0:User:customAttributes.userAlias "	O Verify usuário com o atributo ` 2FA ` é identificado ao localizar um Verify usuário que possua esse atributo com um valor que corresponda ao nome de usuário de login do Windows.
"username-attr-strict"	false	Se definido como false, caso o atributo "username-attr" não esteja presente no usuário Active Directory, o login utilizará o nome de usuário do Windows para localizar o Verify usuário em 2FA.
"formato-do-atributo-nome-de-usuário"	"%A"	Uma string para mapear o valor de "username-attr". Qualquer %A é substituído pelo valor do atributo, permitindo que constantes de string sejam adicionadas como prefixo e/ou sufixo. O padrão é apenas "%A", o que significa que não há nenhuma modificação.