Configurando um agente de identidade para autenticação por meio de um serviço web

Editar online

Sobre esta tarefa

Uma configuração não padrão de provedor de identidade que recupera atributos e grupos de usuários a partir de um serviço web que acessa uma fonte de dados não padrão (não LDAP ou não AD).

Procedimento

  1. Selecione Integrações > Agentes de identidade.
  2. Selecione “Criar configuração de agente ”.
  3. Selecione “Autenticação” como finalidade.
  4. Selecione o bloco do serviço web.
  5. Selecione “Avançar ”.
  6. Configure as definições de conexão do serviço web. Insira o URI do serviço web local.
    Para configurar o failover de um serviço web em cluster, é possível adicionar vários URIs de serviço web selecionando ADICIONAR URI+.
  7. Selecione o tipo de autenticação.
    O tipo de autenticação é o método que o agente utiliza para se autenticar junto ao serviço web local.
    • OAUTH
      URL do terminal do token
      Insira o endpoint do token do provedor OAuth. Este endpoint de token é utilizado pelo agente para recuperar um token de acesso que é enviado ao serviço web.
      Método de autenticação de terminal do token
      Insira o método de autenticação por endpoint de token:
      • Postagem do segredo do cliente - O agente envia as credenciais do cliente para o endpoint de token em uma solicitação POST.
      • Segredo do cliente básico - O agente envia as credenciais do cliente codificadas como base64 para o endpoint do token em um authorization cabeçalho de solicitação.
      ID do cliente e segredo do cliente
      Insira as credenciais do cliente utilizadas para autenticação com o provedor OAuth. Você também pode especificar uma autoridade certificadora.
      Se você estiver editando um cliente do Identity Agent já existente, poderá usar as seguintes opções de segredo do cliente:
      • Selecione Mostrar para visualizar o segredo do cliente.
      • Selecione Ocultar para ocultar o segredo do cliente.
      • Selecione Copiar para copiar o ID do cliente ou o segredo para a área de transferência.
      • Selecione Lista para visualizar os segredos de cliente atualizados.
        • Selecione um ou mais segredos de cliente renovados na lista e clique em Excluir para excluí-los.
      • Selecione Gerar novamente para gerar um novo segredo de cliente. Use essa opção se você achar que o segredo do cliente está comprometido. Se você gerar novamente o segredo do cliente, deverá atualizar o segredo do cliente em todos os clientes do OAuth para o aplicativo.
        • Marque a caixa de seleção “Manter o segredo atual ” para adicionar o segredo do cliente atual à lista de segredos do cliente alternados.
        • Se a caixa de seleção “Manter o segredo atual” estiver marcada, selecione a descrição do segredo do cliente e a data de validade (na hora local do navegador). Se não for selecionado nenhum prazo de validade, será aplicada a duração do segredo rotativo do locatário definida nas configurações do aplicativo.
        • Os segredos de cliente atualizados são submetidos a hash e não podem mais ser recuperados em texto simples, mas ainda podem ser usados até a data de validade selecionada.
        • Após a confirmação, o segredo do cliente é imediatamente atualizado. O novo segredo do cliente é exibido na tela.
      Autoridade certificadora de chave privada (opcional)
      Insira a cadeia de certificados CA para permitir que o agente local valide a conexão Transport Layer Security ( TLS ) do serviço de autenticação externo.
      Autorizações de escopo (opcional)
      Insira um ou mais direitos de escopo para o token de acesso.
      Nome do certificado de chave privada (opcional)
      Se você deseja realizar a autenticação por certificação MTLS ( TLS ) com sua conexão de agente, forneça o nome do certificado da chave privada.
    • JSON Web Token (JWT)
      Cabeçalho de HTTP
      Insira o cabeçalho ` HTTP ` no qual o JWT aparece. Por exemplo, authorization.
      Prefixo de valor do cabeçalho JWT (opcional)
      Insira o valor do prefixo que aparece antes do JWT no cabeçalho ` HTTP `. Por exemplo, Bearer .
      Observação: não é inserido automaticamente um espaço entre o prefixo e o JWT; portanto, ele deve ser inserido manualmente após o prefixo especificado.
      Subsolicitação
      Insira a sub-declaração que aparece no JWT.
      Algoritmo de assinatura
      Selecione o algoritmo de assinatura que o agente usa para assinar o JWT.

      Para algoritmos de assinatura simétrica (HSXXX), insira o valor da chave secreta, que é a chave de assinatura simétrica. A chave de assinatura inserida deve estar codificada no form base64.

      Para algoritmos de assinatura assimétrica (ESXXX, PSXXX ou RSXXX), insira o nome do certificado pessoal que corresponde ao rótulo da chave privada usada para assinar o JWT. Nos sistemas Windows, essa etiqueta corresponde ao Subject valor do certificado da chave privada no armazenamento de chaves do Windows. /cert/{label}_cert[_{instance}].pemNos sistemas d Linux®, esse valor corresponde à label parte do caminho.

      Prazo de validade máximo do JWT
      Insira o tempo, em segundos, durante o qual o JWT é válido.
      Autoridade certificadora (opcional)
      Insira a cadeia de certificados da CA para permitir que o agente local valide a conexão com o serviço de autenticação externo TLS.
    • Autenticação básica
      Nome do usuário e senha
      O nome de usuário e a senha utilizados para autenticar o agente no serviço web. Elas são enviadas ao serviço web em um cabeçalho chamado authorization no formato Basic username:password onde username:password é uma codificação base64.
      A autoridade de certificação (opcional)
      Insira a cadeia de certificados da CA para permitir que o agente local valide a conexão com o serviço de autenticação externo TLS.
      Nome do certificado de chave privada (opcional)
      Se você deseja realizar a autenticação por certificação MTLS com sua conexão de agente, forneça o nome do certificado da chave privada.
    • Autenticação de certificado (MTLS)
      A autoridade de certificação (opcional)
      Insira a cadeia de certificados da CA. Essa cadeia de certificados é utilizada pelo agente local para validar o certificado TLS apresentado por um serviço web que utiliza TLS. Essa cadeia de certificados também é utilizada pelo agente ao validar o certificado TLS apresentado pelo endpoint de token do servidor OAuth, URL.
      Certificado de chave privada
      Insira o nome do certificado da chave privada que o agente utiliza durante o MTLS. Para tipos de autenticação que não sejam MTLS, definir este valor faz com que o agente tente realizar o MTLS além do tipo de autenticação já especificado.

      Nos sistemas Windows™, a ponte verifica o Subject: valor no armazenamento de chaves do Windows. Em sistemas do tipo “ Linux ”, a ponte analisa o caminho /cert/{label}_cert[_{instance}].pem em que “label” é o valor inserido aqui.

  8. Clique em Avançar.
  9. Defina as propriedades do usuário.
    Forneça uma lista de atributos separados por vírgulas que o serviço web retorna quando a verificação de senha é bem-sucedida.
  10. Clique em Avançar.
  11. Mapeie os atributos recuperados pelo serviço web para os Verify atributos do Cloud Directory.
    Depois de criar o agente de identidade, você pode alterar ou atualizar os mapeamentos usando a função ícone de lápis de edição no bloco do agente.
  12. Selecione “Avançar ”.
  13. Em “Finalizar configuração”, forneça as seguintes informações.
    • Um nome exclusivo e reconhecível para o agente
    • Uma descrição
    • Um nome de exibição para o provedor de identidade
    • Um domínio para o provedor de identidade
  14. Opcional: Selecione “Exibir configurações avançadas” para adicionar atributos de configuração ou selecionar um certificado para criptografia.
  15. Clique em “Salvar” e continue.
  16. Na seção "Próximos passos ", siga as etapas a seguir.
    1. Selecione “Ver credenciais da API” e use o ícone “Copiar para a área de transferência” para copiar e salvar o ID do cliente e o segredo do cliente.
      Observação: Somente usuários com as permissões adequadas podem visualizar o segredo do cliente. Para obter mais informações, consulte Atualizações de segurança para direitos.
    2. Caso ainda não tenha feito o download, baixe o agente em IBM® X-Force® App Exchange.
    3. Inclua as credenciais de API na configuração do agente.
  17. Clique em Concluir.
    A configuração é adicionada aos agentes de identidade e o provedor de identidade é listado em Autenticação > Provedores de identidade.