Incluindo um provedor de identidade SAML Enterprise

Editar online

Você pode usar qualquer provedor de identidade compatível com o protocolo SAML como provedor de identidade do SAML Enterprise. O provedor de identidade verifica a identidade do usuário em relação aos dados armazenados nesse provedor antes de conceder acesso a Verify.

Procedimento

  1. Selecione Autenticação > Provedores de identidade.
  2. Selecione “Adicionar provedor de identidade ”.
  3. Selecione " SAML " na versão Enterprise.
  4. Selecione “Avançar ”.
  5. Na página Geral, forneça as seguintes informações.
    Nome
    Forneça um nome reconhecível para o seu provedor de identidade.
    Região

    Trata-se de um atributo do provedor de identidade que ajuda a distinguir usuários de diferentes provedores de identidade que possuem o mesmo nome de usuário.

    Ele deve ser um nome exclusivo em todas as outras origens de identidade configuradas em sua assinatura. O nome pode conter quaisquer caracteres alfanuméricos. Caracteres especiais não são permitidos, exceto ponto (.) e hífen (-).

    O comprimento máximo permitido é de 253 caracteres, semelhante ao comprimento máximo de um nome de domínio.
    Observação: não é possível editar o nome depois de criá-lo.
    ID
    O ID é criado após a configuração ser salva.
    Ativado
    Marque esta caixa de seleção para usar este provedor de identidade para fazer login.

    Indica se o provedor de identidade está ativo e disponível.

    Quando o provedor de identidade estiver configurado e ativado, os usuários poderão fazer o login único no sistema Verify e em seus aplicativos autorizados por meio do provedor de identidade selecionado. Se o provedor de identidade não estiver ativado, ele não será exibido como uma opção na página Conectar.
    Nota:
    • Deve haver pelo menos um provedor de identidade habilitado para fazer login no Verify.
    • Se somente um provedor de identidade estiver ativado, ele se tornará a opção de conexão padrão para o usuário.
    Usar ID exclusivo
    Marque esta caixa de seleção para atribuir um identificador exclusivo a este provedor de identidade. Com esse recurso, é possível configurar vários provedores de identidade, cada um com seu próprio ID exclusivo, utilizando o mesmo ID de provedor.
    Observação: este valor é gerado aleatoriamente e não pode ser alterado após a criação do provedor de identidade.
    • O identificador único está incorporado nas URLs dos pontos de extremidade do Verify provedor de serviços.
    • Se não estiver habilitado, este provedor de identidade é o único que pode ser configurado com o ID do provedor.
  6. Selecione “Avançar ”.
  7. Forneça ao provedor de identidade as seguintes propriedades de metadados do provedor de serviços. É possível copiar as informações ou fazer o download do arquivo de metadados.
    ID da entidade
    Especifica o emissor na solicitação de autenticação SAML e o destinatário de qualquer resposta de autenticação SAML recebida.
    Observação: O ID da entidade é baseado no nome de host principal. Isso não muda quando se usa um nome de host personalizado. Baixe o arquivo de metadados para obter os valores corretos a serem usados ao configurar manualmente um parceiro com um nome de host personalizado.
    URL de serviço do consumidor de asserção

    Especifica o ponto de extremidade no provedor de serviços que recebe a resposta de autenticação do protocolo SAML.

    O provedor de identidade redireciona a resposta de autenticação de SAML para este endereço: URL. Este endpoint recebe e processa a asserção " SAML ".

    URL de logout única

    Especifica o terminal no provedor de serviços que recebe a solicitação de logout do SAML e a resposta.

    O provedor de identidade redireciona a solicitação de logout do SAML e a resposta para esta URL. Este terminal recebe e processa a solicitação de logout do SAML e a resposta.

    NameID Administração URL

    Especifica o ponto de extremidade no provedor de serviços usado para sincronizar as alterações no identificador de um usuário ( NameID ), conforme solicitado pelo provedor de identidade.

    O provedor de identidade envia atualizações de mapeamento d NameID e ou solicitações de rescisão para este endereço URL. Este endpoint garante que a sincronização de identidades permaneça consistente entre o provedor de serviços e o provedor de identidades quando o identificador único de um usuário é modificado.

  8. Selecione “Avançar ”.
  9. Selecione o botão de opção para indicar se o provedor de serviços ou o provedor de identidade inicia o fluxo de autenticação única do SAML.
    • Prestador de serviços.
      Observação: Ao escolher esta opção, você precisa enviar os metadados do provedor de identidade em um .xml formato.
    • Provedor deidentidade
      Nesse cenário:
      1. O usuário tem uma conta no provedor de identidade site.
      2. O usuário se conecta ao site do provedor de identidade ou usa a URL de conexão única do provedor de identidade para acessar o recurso protegido do provedor de serviços.
      3. O provedor de identidade inicia uma resposta de autenticação do tipo “ SAML ” que confirma que o usuário está autenticado.
      4. O provedor de serviços valida a resposta de autenticação do SAML.
      5. O navegador do usuário é redirecionado para o provedor de serviços URL de destino e o usuário está autorizado a acessar o recurso solicitado.
      Se você selecionou “Provedor de identidade”, é necessário fornecer o endereço URL para o login único. É a URL que inicia a conexão única do provedor de identidade para o provedor de serviços.
  10. Selecione “Avançar ”.
  11. Opcional: Na página “Logout único ”, especifique se as mensagens de solicitação e resposta de logout recebidas exigem assinatura.
    • Se a mensagem de solicitação de logout recebida requerer uma assinatura, selecione Validar assinatura de solicitação de logout.
    • Se a mensagem de resposta de logout recebida requerer uma assinatura, selecione Validar assinatura de resposta de logout.
    Nota:
    • Se o arquivo de metadados do provedor de identidade que você enviou incluir o SingleLogoutService elemento com uma ligação POST de HTTP, o logout único será ativado para esse provedor de identidade.
    • O ` URL ` para o logout único iniciado pelo provedor de serviços se parece com a seguinte chamada de retorno de solicitação: https://<tenant-Host>/saml/sps/saml20sp/saml20/sloinitial?RequestBinding=HTTPPost.
    • Se o provedor de identidade SAML na sessão atual não responder a uma solicitação de logout enviada por Verify, o logout único será interrompido nesse provedor de identidade. Para retomar o logout único, o usuário deve realizar o logout único novamente.
  12. Selecione “Avançar ”.
  13. Opcional: Na página “Provisionamento Just-in-time e vinculação de identidade ”, especifique se deseja ativar o provisionamento just-in-time e a vinculação de identidade.
    1. Selecione se deseja ativar o provisionamento just-in-time.
      Esta opção cria e atualiza a conta de usuário no domínio do provedor de identidade principal associado à identidade SAML. Se o provisionamento just-in-time estiver desativado, os usuários que tentarem fazer login com esse provedor de identidade não conseguirão se autenticar caso não exista nenhum registro de usuário correspondente no diretório.
    2. Especifique um atributo que identifique os usuários do registro de usuários do provedor de identidade no menu “Identificador único do usuário ”.
      Se você selecionar “Ativar vinculação de identidade” para este provedor de identidade, será necessário fornecer o UUID.
    3. Selecione um valor de transformação para transformar o valor do identificador único do usuário ou mantenha o valor padrão como “Nenhum ”.
    4. Marque a caixa de seleção “Ativar vinculação de identidade para este provedor de identidade ”.
      Ativa a vinculação de identidade para um provedor de identidade específico. Não foram criadas contas fantasmas no Cloud Directory no domínio especificado para este provedor de identidade.
      Nota:
      1. Não é possível ativar a vinculação no provedor de identidade definido como seu provedor de identidade padrão.
      2. Não é possível desativar ou excluir seu provedor de identidade de vinculação padrão.
      Se a vinculação de identidade for ativada, selecione o identificador exclusivo que deseja usar para as contas. Esse identificador único é comparado com o Username atributo da conta do Cloud Directory.
    5. Especifique um atributo que identifique os usuários do registro de usuários do provedor de identidade no menu “ID externa” ou uma “ID externa” personalizada.
      O valor padrão é o ID do usuário.
    6. Selecione um valor de transformação para transformar o valor do ID externo ou mantenha o valor padrão como “Nenhum ”.
    7. Selecione se deseja ativar a opção “Forçar autenticação” para realizar a vinculação de contas.
      Esta opção é aplicável apenas a fluxos que utilizam tokens de formato SAML s persistentes nameid . Se essa opção for selecionada, o usuário será solicitado a se autenticar primeiro no domínio vinculado para associar a conta de usuário autenticada ao sujeito do token SAML. Se essa opção não for selecionada, nameid as operações de gerenciamento não serão compatíveis com o provedor de identidade do SAML Enterprise.
  14. Selecione “Avançar ”.
  15. Opcional: Na página “Mapeamento de atributos ”, mapeie os atributos do provedor de identidade do SAML Enterprise para IBM® Verify o Cloud Directory.
    Observação: Se você não fizer nenhuma seleção, será aplicado o mapeamento de atributos especificado nas configurações globais. Caso contrário, o mapeamento de atributos especificado no provedor de identidade do SAML Enterprise substitui a seleção definida nas Configurações globais. Para obter mais informações sobre as configurações globais, consulte “Configurando as configurações globais ”.
    1. Selecione “Adicionar mapeamento de atributos ”.
    2. Especifique um atributo do provedor de identidade do Enterprise Identity do SAML usando uma das seguintes opções.
      1. Selecione uma opção da lista a seguir.
        Nome do Atributo Descrição
        company Empresa do usuário.
        country O País do usuário.
        displayName Exiba o nome do usuário.
        email Endereço de e-mail do usuário no qual a notificação é enviada.
        family_name O sobrenome do usuário.
        given_name Nome fornecido do usuário.
        mobile_number Número do dispositivo móvel do usuário para o qual a notificação é enviada.
        userID Identificador exclusivo do usuário.
        Custom rule Atributo personalizado do provedor de identidade do Enterprise do SAML. Se você selecionar “Regra personalizada ”, insira uma regra personalizada no editor de regras e clique em OK para salvar.
      2. Digite um nome de atributo no campo Selecionar um atributo. Esse é um nome de atributo que não está disponível na lista de opções.
    3. Selecione um valor de transformação para transformar o atributo do provedor de identidade do SAML Enterprise ou mantenha o valor padrão como “Nenhum ”.
      Nome do Atributo Descrição
      Uppercase Transforma o atributo em maiúscula.
      Lowercase Transforma o atributo em minúscula.
      Base64 Encode Atributo `transforms ` que utiliza o algoritmo de codificação ` base64 `.
      Base64 Decode Atributo `transforms ` que utiliza o algoritmo de decodificação ` base64 `.
      Encode URI Atributo `transforms ` que utiliza o método `encode URI`.
      Encode URI Component Atributo `transforms ` que utiliza o método `encodeUriComponent`.
      Decode URI Atributo `transforms ` que utiliza o método `decodeUri`.
      Decode URI Component Atributo de transformação que utiliza o método de decodificação de componentes de URI.
      Generate UUID if no value is evaluated Transforma o atributo para gerar identificadores universalmente exclusivos.
      Current Time (seconds) Transforma o atributo para tempo em segundos.
      Current Time (milliseconds) Transforma o atributo para tempo em milissegundos.
      SHA-256 Hash Atributo `transforms` que utiliza o algoritmo ` SHA-256 `.
      SHA-512 Hash Atributo `transforms` que utiliza o algoritmo ` SHA-512 `.
    4. Especifique um IBM Verify atributo. Para obter mais informações sobre atributos, consulte Gerenciamento de atributos.
      Observação: evite selecionar os seguintes atributos internos reservados, pois eles não estão mapeados para os atributos do provedor de identidade.
      • groupIds
      • preferred_username
      • realmName
      • tenantId
      • uid
    5. Especifique como o atributo é armazenado no user profile.
      • Sempre - Armazenar ou atualizar o atributo em cada login.
      • Apenas na criação do usuário - Armazene o atributo desde a criação da conta.
      • Desativar - Nunca armazenar ou atualizar o atributo.
    6. Obrigatório: você deve repetir o processo para cada atributo que adicionar e mapear.
  16. Opcional: Selecione uma das seguintes fontes de pertencimento a grupos para especificar a origem dos grupos de permissões de acesso do usuário.
    Atenção: Tenha cuidado ao configurar uma fonte de associação a grupos. Se estiver configurado para derivar da fonte de identidade, as permissões de acesso do usuário são derivadas do token do provedor de identidade, que inclui a groupIds reivindicação. IBM VerifyIBM VerifySe a groupIds solicitação tiver o valor dos grupos de sistema reservados, o usuário receberá a permissão para acessar esses grupos após fazer login no sistema.
    • Cloud Directory - As permissões de acesso do usuário são derivadas dos grupos de usuários no Cloud Directory.
    • Diretório na nuvem e fonte de identidade — As permissões de acesso do usuário são derivadas dos grupos de usuários no diretório na nuvem e do token do provedor de identidade, que inclui groupIds uma reivindicação.
    • Fonte de identidade - As permissões de acesso do usuário são derivadas do token do provedor de identidade, que inclui a groupIds reivindicação.
      Observação: Se o token do provedor de identidade não contiver a groupIds reivindicação, você não terá nenhuma permissão de pertencimento a grupos.
    • Regra personalizada. Se você selecionar “Regra personalizada ”, insira uma regra personalizada no editor de regras e clique em OK para salvar. As permissões de acesso do usuário são derivadas com base na regra customizada.
    Observação: se você não fizer nenhuma seleção, será aplicada a fonte de pertencimento ao grupo selecionada nas Configurações globais. Caso contrário, a fonte de membros do grupo selecionada no provedor de identidade empresarial do SAML substitui a seleção definida nas configurações globais.
  17. Selecione “Avançar ”.
  18. Opcional: Se você criou perfis de privacidade, selecione um perfil no menu.
    Os perfis de privacidade exigem que os usuários deste diretório analisem e concordem com um conjunto de finalidades de uso de dados, com os contratos de licença do usuário (EULAs) ou com ambos. Consulte “Gerenciamento de perfis de privacidade ”.
  19. Selecione “Avançar ”.
  20. Opcional: Se você ativou a pré-visualização pública do CI-108233, selecione se deseja ativar os convites de usuários.
    Os convites são criados e enviados por meio de POST /v1.0/usc/user/invitation APIs. Consulte “Convidando usuários ”. Marque a caixa de seleção “Ativar convites de usuários” para convidar outras pessoas a se cadastrarem como novos usuários. Você também pode selecionar um perfil de usuário para que o usuário insira mais dados ao aceitar o convite. Consulte "Gerenciamento de perfis de usuário".
  21. Selecione Concluído.
    A configuração do provedor de identidade é aberta no modo de edição.