Configurando o fornecimento JIT do SAML

Editar online

Ative o provisionamento just-in-time JIT para criar ou atualizar uma conta de usuário no provedor de serviços na primeira vez que um usuário se autenticar com IBM® Verify. Verify transmite as informações do usuário necessárias para criar ou atualizar a conta por meio de uma asserção do tipo ` SAML `. Use o fornecimento JIT (just-in-time) para casos em que o provedor de serviços não requer que as informações de identidade do usuário sejam criadas ou conhecidas por ele antes que o usuário tente acessar o provedor de serviços.

Antes de começar

  • Deve-se ter permissão administrativa para concluir esta tarefa.
  • Crie perfis do usuário no diretório da nuvem para os usuários aos quais você pretende conceder as autorizações de acesso do aplicativo. Adicione os usuários pela página Diretório > Usuários e Grupos > Usuários. Consulte "Gerenciamento de usuários".
  • Configure as informações básicas da instância do aplicativo na guia Geral. Consulte a seção “Configurando os detalhes básicos do aplicativo ”.

Sobre esta tarefa

Ative o provisionamento JIT como parte da configuração do logon único baseado em SAML entre Verify e o provedor de serviços. Consulte

A conta de usuário é criada no registro de usuários do provedor de serviços utilizando os atributos incluídos em uma asserção do tipo “ SAML ”. Verify Envia uma afirmação de " SAML " ao provedor de serviços quando o usuário acessa o provedor de serviços como parte de um login único. Se não for encontrada nenhuma correspondência para o nome de usuário fornecido, o provedor de serviços cria uma nova conta com os atributos do usuário contidos em uma asserção d SAML. O provedor de serviços também concede imediatamente ao usuário o acesso aos recursos solicitados.

Se você ativar o Provisionamento Just-in-time em Verify, também deverá ativá-lo no provedor de serviços. Essa configuração deve sempre estar em sincronização.

Pode ser encontrada alguma correspondência, e a resposta é account does exist que o provedor de serviços atualiza a conta de acordo com as informações de atributos contidas na asserção ` SAML `.

Alguns provedores de serviços permitem a atualização de contas no login subsequente do usuário quando JIT o provisionamento está ativado. Consulte a documentação do produto do provedor de serviços para determinar o comportamento.

Nota: Comportamento esperado. Se o administrador criou um usuário padrão em cloudIdentityRealm com o userName no formato user@tenanthostname, onde tenanthostname é o nome do host do locatário. Por exemplo, hostname.idng.ibmcloudsecurity.com. userDurante o JIT fluxo (provisionamento Just-In-Time), se o token recebido contiver um nome de usuário, não será permitido criar um usuário federado para esse usuário; em vez disso, o usuário user@tenanthostname padrão de cloudIdentityRealm será configurado como padrão por motivos de usabilidade.

Procedimento

  1. Selecione Aplicativos > Aplicativos > Editar > Iniciar sessão.
  2. Na seção “Provisionamento Just-in-time”, selecione “Incluir atributos de provisionamento na asserção ` SAML ` ” para listar os atributos de usuário que o provedor de serviços exige para criar ou atualizar a conta de usuário em seu registro de usuários.
    Observação: dependendo da aplicação, essa opção pode estar disponível.
    • Sempre estar ativada no provedor de serviços. Por isso, está ativado e definido como somente leitura por padrão no Verify. Não são necessários atributos de provisionamento nem configurações adicionais.
    • Exibir atributos que o provedor de serviços requer para provisionar a conta do usuário. Um provedor de serviços geralmente requer os seguintes atributos do usuário, no mínimo:
      • Nome do usuário
      • Nome
      • Sobrenome
      • Endereço de e-mail
    • Exibir os atributos que o provedor de serviços considera para o provisionamento da conta do usuário. Por exemplo:
      • ID do funcionário
      • Telefone celular
      • Departamento
      • Título do cargo
    • Exigir que os atributos de provisionamento sejam os mesmos que os atributos de requisito para o logon único.

      Não importa se a caixa de seleção está marcada. A conta do usuário é criada quando o usuário conclui o login único com Verify.

  3. Em “Mapeamentos de atributos ”, atribua um atributo de usuário correspondente Verify a cada um dos atributos do provedor de serviços.

    Mapeie os atributos com base nos requisitos do provedor de serviços.

    Use o mapeamento de atributos para controlar como o aplicativo calcula os atributos do usuário a partir de Verify. Os atributos do provedor de serviços são preenchidos com os valores contidos no atributo do usuário mapeado Verify .

    Observação: A lista de atributos exibidos e sua importância variam de acordo com a aplicação. Alguns atributos de autenticação única podem ser um requisito para o provisionamento.
  4. Clique em Salvar.
  5. Configure o provisionamento JIT no provedor de serviços. Consulte as instruções fornecidas na guia Verify "Login".

Resultados

Observação: Quando um usuário autorizado acessa o aplicativo pela Verify primeira vez, é solicitado que ele aceite os termos e condições. A conta do usuário é fornecida no aplicativo e o usuário pode conectar-se.