Configurando o logon único d SAML no provedor de identidade

Editar online

Use o SAML para o login único, permitindo que os aplicativos verifiquem a identidade de seus usuários com base na autenticação realizada pelo Verify. Os usuários são redirecionados para Verify para fazer o login. Verify verifica a identidade dos usuários, envia as informações por meio de uma asserção de autenticação de credenciais ( SAML ) e confirma com o provedor de serviços se os usuários estão autorizados a acessar e utilizar o recurso.

Antes de começar

  • Deve-se ter permissão administrativa para concluir esta tarefa.
  • Abra pelo menos duas janelas do navegador para concluir a configuração. Um para o Verify console de administração e outro para o console de administração do aplicativo de destino.
    • Faça login no console IBM® Verify de administração como administrador.
    • Efetue login no console de administração do aplicativo de destino com sua conta do Administrador.
  • É necessário definir as informações básicas da instância da aplicação na guia Geral. Consulte a seção “Configurando os detalhes básicos do aplicativo ”.

Sobre esta tarefa

Verify pode atuar como um provedor de identidade de conexão única ou um provedor de serviços. Nesta tarefa, Verify é o provedor de identidade, e o aplicativo de destino é o provedor de serviços.

Se você estiver usando um modelo de aplicativo personalizado, consulte a seção “Aplicativo personalizado” antes de continuar.

Configure Verify o e o provedor de serviços para que possam se comunicar entre si. Para habilitar o login único d SAML, é necessário fornecer:
  • Verify com determinados dados do provedor de serviços.
  • O provedor de serviços com determinados dados de Verify.

Se o provedor de serviços assinar seu pedido de autenticação do tipo “ SAML ”, você deve primeiro adicionar o certificado do signatário na página Segurança > Certificados. Consulte "Gerenciamento de certificados".

Se o provedor de serviços exigir outros atributos da asserção SAML além dos atributos integrados, adicione as fontes de atributos necessárias na página Diretório > Atributos. Consulte "Gerenciamento de atributos".

/v1.0/saml/federations/{federationName}Observação: os administradores de locatários podem visualizar e atualizar algumas configurações de federação do SAML por meio do novo ponto de extremidade da API, com manageFederations as permissões de API e readFederations .
As propriedades de configuração que são usadas para as origens de identidade são:
clockSkew
A tolerância em segundos quando a asserção SAML recebida NotBefore e NotOnOrAfter é validada.
messageValidTime
A tolerância em segundos quando a mensagem do SAML recebida IssueInstant é validada.
skipTargetUrlValidation
Indica se deve ignorar uma validação de targetURL no SAML.

O valor padrão é false.

allowedTargetUrls
Indica as URLs de destino permitidas para SAML.

O valor desta propriedade de configuração é uma matriz de sequência. Cada elemento da matriz é uma URL. O nome do host URL oferece suporte a curinga. Por exemplo, *.ibmcloud.com.

O valor está vazio por padrão.

signatureAlgorithm
Para a assinatura, um algoritmo assina digitalmente a mensagem SAML AuthnRequest; os valores suportados são: RSA-SHA1, RSA-SHA256, RSA-SHA512, ECDSA-SHA256, ECDSA-SHA384, ECDSA-SHA512. Quando estiver vazio, ele assume o valor padrão RSA-SHA256.
O valor está vazio por padrão.
signingKeyLabel
Para fins de assinatura, este certificado é utilizado para assinar o endereço SAML AuthnRequest durante o login único. A seleção padrão refere-se ao certificado pessoal padrão que você configurou em Segurança > Certificados > Certificados Pessoais.
O certificado pessoal padrão está selecionado.
decryptionKeyLabel
Use este certificado para descriptografar a mensagem de resposta do SAML recebida, caso ela contenha elementos criptografados durante o logon único. Os certificados pessoais padrão que você configurou em Segurança > Certificados > Certificados Pessoais.
O certificado pessoal padrão está selecionado.
As propriedades de configuração que são usadas para os aplicativos são:
assertionSettings.assertionValidAfter
A tolerância em segundos que são incluídos a NotOnOrAfter quando a asserção SAML é emitida.
assertionSettings.assertionValidBefore
A tolerância em segundos que são incluídos a NotBefore quando a asserção SAML é emitida.
messageValidTime
A tolerância em segundos quando a mensagem do SAML recebida IssueInstant é validada.
As propriedades de configuração que são usadas para as origens e aplicativos de identidade são:
crlEnabled
Verifica a lista de revogação de certificado. A verificação é feita para todas as funções que usam um certificado externo. Se a sua configuração não requerer a verificação de CRL, será possível desativá-la. Por exemplo, se uma autoridade de certificação (CA) interna for usada, talvez seja necessário desativar a verificação de CRL. Os comandoscrlEnabledo valor padrão da propriedade étrue.
keySelectionCriteria
Especifique qual chave ou certificado deseja usar para assinatura, validação, criptografia ou decriptografia de várias mensagens. Se houver várias chaves ou certificados com o mesmo SubjectDN nome que a chave ou o certificado com o alias especificado, esta configuração determina qual deles deve ser usado. Use um dos métodos de seleção a seguir:
only.alias
Selecione a chave ou certificado com o alias especificado. Este método é o padrão.
longest.lifetime
Para assinatura, é usada uma chave válida com o tempo de vida mais longo disponível. Para validação, as chaves que possuem o mesmo SubjectDN são classificadas com base na disponibilidade vitalícia. As chaves são experimentadas sequencialmente começando com a chave que tem a disponibilidade de tempo de vida mais longo até que a validação seja bem-sucedida.
shortest.lifetime
Para assinatura, é usada uma chave válida com o tempo de vida disponível mais curto. Para validação, as chaves que possuem o mesmo SubjectDN são classificadas com base na disponibilidade vitalícia. As chaves são experimentadas sequencialmente começando com a chave que tem a disponibilidade de tempo de vida mais curta até que a validação seja bem-sucedida.
  • Tipo de dados: Sequência
  • Exemplo: only.alias

Procedimento

  1. Selecione se deseja usar metadados para configurar o aplicativo.
    Tabela 1. Opções de metadados
    Informações Descrição
    Usar metadados Especifica se deve-se usar metadados para configurar o aplicativo. O valor padrão é "true" ao criar um aplicativo e "false" ao atualizar um aplicativo existente.
    Tipo de importação Especifica o tipo de metadados. A fonte pode ser um arquivo de metadados ou um URL acessível ao público.
    Arquivo de metadados O botão de upload de arquivo é exibido quando a opção “Importar metadados do arquivo” é selecionada como tipo de importação. Clique aqui para enviar um arquivo de metadados.
    URL de metadados O campo “ URL ” é exibido quando a opção “Importar metadados de URL ” é selecionada como tipo de importação. Insira o endereço URL do qual você deseja baixar o arquivo de metadados.
    Observação: quando a opção “Usar metadados” estiver marcada, alguns campos nas tabelas a seguir poderão ficar ocultos.
  2. Identifique o provedor de serviços e os URLs necessários para estabelecer o login único entre os provedores.
    Tabela 2. ID e URLs
    Informações Descrições
    ID do fornecedor

    É o ID do provedor do aplicativo de destino que identifica de forma exclusiva o aplicativo de destino para Verify.

    É possível obter essas informações do aplicativo de terceiros. Dependendo do aplicativo de destino, essas informações podem vir de qualquer uma das origens aplicáveis a seguir:
    • Na página Configuração de conexão única do console de administração do aplicativo de destino.

      Consulte a seção “Configuração do Single Sign-on” para obter instruções sobre como acessar a página.

    • No provedor de serviços metadados.
    • Na documentação de configuração do Single Sign-On do aplicativo de destino, " SAML ".
    • Na equipe de suporte do aplicativo de destino.
    O valor depende do aplicativo de terceiros. Ele pode ser:
    • Estático ou um destes formatos:
      • https://{@domainName}.<application>.com
      • {@domainName}.<application>.com

      em que {@domainName} corresponde ao único componente dinâmico no ID do provedor e é substituído automaticamente no tempo de execução pelo valor especificado na guia Geral.

      Importante: Se você atualizar o ID do provedor e, em seguida, atualizar o nome de domínio na guia Geral, o valor do ID do provedor será redefinido para o valor padrão com base no nome de domínio especificado.
    • Dinâmico

      O ID do provedor tem vários componentes dinâmicos. Como tal, o valor do campo não é automaticamente preenchido.

    Observação: Somente caracteres ASCII são suportados. Para mais informações, consulte https://ascii.cl/.
    Usar ID exclusivo Essa caixa de seleção está disponível em alguns aplicativos.

    Cria um identificador exclusivo para o aplicativo para evitar conflitos de deduplicação do ID do provedor.
    URL de serviço do consumidor de asserção (HTTP-POST)

    Especifica o ponto de extremidade no provedor de serviços que recebe a resposta de autenticação do protocolo SAML.

    O provedor de identidade redireciona a resposta de autenticação de SAML para este endereço: URL. Este endpoint recebe e processa a asserção " SAML ".

    O provedor de serviços pode especificar seu URL preferido ao enviar sua solicitação de autenticação SAML.

    O valor depende do aplicativo de terceiros. Ele pode ser:
    • Estático ou um destes formatos:
      • https://{@domainName}.<application>.com/saml/consume
      • https://{@domainName}.<application>.com/saml/callback

      em que {@domainName} corresponde ao único componente dinâmico na URL de Serviço de asserção do consumidor e é substituído automaticamente no tempo de execução pelo valor especificado na guia Geral.

    • Dinâmico

      A URL do serviço do consumidor de asserção tem vários componentes dinâmicos. Como tal, o valor do campo não é automaticamente preenchido.

    É possível obter essas informações do aplicativo de terceiros. Dependendo do aplicativo de destino, essas informações podem vir de qualquer uma das origens aplicáveis a seguir:
    • Na página Configuração de conexão única do console de administração do aplicativo de destino.

      Consulte a seção “Configuração do Single Sign-on” para obter instruções sobre como acessar a página.

    • No provedor de serviços metadados.
    • Na documentação de configuração do Single Sign-On do aplicativo de destino, " SAML ".
    • Na equipe de suporte do aplicativo de destino.
    Nota:

    Para aplicativos customizados, é possível ter várias URLs de serviço de asserção do consumidor. É possível especificar até 1.500 URLs. É possível modificar o valor de índice da URL, mas cada valor deve ser exclusivo. Também é possível selecionar a URL que você deseja que seja a URL padrão.
    URL de gerenciamento de identificador de nome (HTTP-POST)
    Observação: esta opção está disponível apenas em um modelo de aplicativo personalizado configurado com Persistent o formato NameID, e cujo identificador de nome é Not Specified.

    Especifica o terminal no provedor de serviços que recebe o pedido do SAML Manage Name IDe a resposta do SAML Manage Name ID .

    O provedor de identidade redireciona a solicitação do SAML Manage Name ID e o SAML Manage Name ID resposta a esta URL. Este terminal recebe e processa a resposta do SAML Manage Name ID e resposta do SAML Manage Name ID.

    O valor depende do aplicativo de terceiros.

    É possível obter essas informações do aplicativo de terceiros. Dependendo do aplicativo de destino, essas informações podem vir de qualquer uma das origens aplicáveis a seguir:

    • Use a página Configuração de conexão única do console de administração do aplicativo de destino. Consulte as instruções da Configuração de conexão única do aplicativo para obter informações sobre como acessar a página.

    • Nos metadados do provedor de serviços.
    • Na documentação de configuração de conexão única do SAML do aplicativo de destino.
    • Na equipe de suporte do aplicativo de destino.
    Usar conexão única iniciada pelo provedor de identidade
    Observação: esta opção está disponível apenas em um modelo de aplicativo personalizado.

    Selecione esta opção se o provedor de serviços suporta provedor de identidade a conexão iniciada em. Nesse cenário, os usuários se conectam diretamente ao site do provedor de identidade e, em seguida, acessam o provedor de serviços.

    Se ativado, o login único (SSO) iniciado pelo provedor de identidade URL é criado automaticamente. É o servidor de autenticação ( URL ) que inicia o fluxo de SSO a partir do provedor de identidade. Não é necessário fornecer o endereço URL do provedor de serviços de SSO.

    Se essa opção não estiver ativada, será necessário fornecer o SSO do provedor de serviços URL. É o servidor de autenticação ( URL ) que inicia o fluxo de SSO a partir do provedor de serviços.
    URL de destino

    É a página de entrada do usuário no aplicativo de destino, para a qual o usuário é redirecionado após a conexão.

    Isso não se refere necessariamente ao console de administrador do aplicativo de destino. Pode ser qualquer um dos recursos protegidos do provedor de serviços que é o destino final de uma conexão única.

    Este campo é exibido apenas para estas condições:
    • O aplicativo de destino suporta o estado de retransmissão.
    • O aplicativo de destino suporta conexão única iniciada pelo provedor de identidade. Este URL é utilizado apenas quando o login único é iniciado pelo provedor de identidade SAML 2.0.
    • O par âmetro de destino URL é dinâmico ou possui mais de um valor possível.
    É possível obter essas informações do aplicativo de terceiros. Dependendo do aplicativo de destino, essas informações podem vir de qualquer uma das origens aplicáveis a seguir:
    • Na página Configuração de conexão única do console de administração do aplicativo de destino.

      Consulte a seção “Configuração do Single Sign-on” para obter instruções sobre como acessar a página.

    • No website do aplicativo de destino.
      1. Navegue para a página de entrada de destino.
      2. Copie e cole a URL neste campo.
    URL de SSO do provedor de serviços

    É o ponto de extremidade do provedor de serviços que inicia a solicitação de autenticação SAML a partir do navegador do usuário e retorna uma resposta de autenticação SAML para verificar o usuário.

    Este campo é exibido apenas para estas condições:
    • O aplicativo de destino suporta conexão única iniciada pelo provedor de serviços.
    • A URL SSO do provedor de serviços é dinâmica ou tem mais de um valor possível.
    É possível obter essas informações do aplicativo de terceiros. Dependendo do aplicativo de destino, essas informações podem vir de qualquer uma das origens aplicáveis a seguir:
    • Na página Configuração de conexão única do console de administração do aplicativo de destino.

      Consulte a seção “Configuração do Single Sign-on” para obter instruções sobre como acessar a página.

    • Na documentação de configuração do Single Sign-On do aplicativo de destino, " SAML ".
    • Na equipe de suporte do aplicativo de destino.
  3. Se o provedor de serviços suportar logout único, defina as configurações de logout único.
    Observação: Se algum aplicativo na sessão atual não responder a uma solicitação de logout enviada pelo IBM Verify, o logout único será interrompido nesse aplicativo. Para retomar o logout único do próximo aplicativo, o usuário deve efetuar o logout único novamente.
    Tabela 3. Configurações de logout único
    Informações Descrição
    URL de logout único (HTTP-POST)

    Especifica o ponto de extremidade no provedor de serviços que recebe a solicitação de logout SAML e a resposta de logout SAML.

    O provedor de identidade redireciona a solicitação de logout SAML e a resposta de logout SAML para este endereço URL. Este endpoint recebe e processa a solicitação de logout SAML e a resposta de logout SAML.

    O valor depende do aplicativo de terceiros.

    É possível obter essas informações do aplicativo de terceiros. Dependendo do aplicativo de destino, essas informações podem vir de qualquer uma das origens aplicáveis a seguir:

    • Na página de configuração de conexão única do console de administração do aplicativo de destino. Veja as instruções de configuração de conexão única do aplicativo para obter informações sobre como acessar a página.
    • Nos metadados do provedor de serviços.
    • Na documentação de configuração de conexão única do SAML do aplicativo de destino.
    • Na equipe de suporte do aplicativo de destino.
  4. Configure as opções de assinatura. Use uma assinatura digital para estabelecer confiança entre Verify você e o provedor de serviços.
    Tabela 4. Opções de assinatura
    Informações Descrições
    Assinar resposta de autenticação
    Observação: esta opção está disponível apenas em um modelo de aplicativo personalizado.
    Indica se o provedor de identidade assina a asserção do SAML e a resposta de autenticação.
    Observação: alguns provedores de serviços não aceitam respostas de autenticação assinadas.

    Quando selecionada, tanto a declaração de autenticação quanto a resposta de autenticação do protocolo de autenticação de autenticação de autenticação ( SAML ) são assinadas.

    Se essa opção não estiver selecionada, apenas a asserção " SAML " será assinada. A afirmação " SAML " é sempre assinada, independentemente de a caixa de seleção estar marcada ou não.
    Algoritmo de assinatura
    Observação: esta opção está disponível apenas em um modelo de aplicativo personalizado.

    O algoritmo de assinatura assina digitalmente a declaração SAML ou a resposta de autenticação SAML.

    Use um algoritmo de assinatura digital para compilar os dados e, em seguida, criptografar essa compilação. Selecione a partir dos seguintes algoritmos suportados:
    • RSA-SHA1
    • RSA-SHA256
    • RSA-SHA512
    • ECDSA-SHA256
    • ECDSA-SHA384
    • ECDSA-SHA512

    A maioria dos aplicativos utiliza o algoritmo “ RSA-SHA256 ” como padrão para assinar a asserção “ SAML ” ou a resposta de autenticação.

    O RSA-SHA1 está sendo descontinuado e é fornecido apenas para uso com aplicativos de legado que não suportam criptografia mais forte.
    Certificado de assinatura

    Lista todos os certificados pessoais carregados na página Configurações > Certificados > Certificados Pessoais.

    Selecione o certificado pessoal que você carregou para o aplicativo selecionado.
    Validar assinatura de solicitação SAML

    Indica se o provedor de serviços assina a solicitação de autenticação SAML ao iniciar o fluxo de logon único SAML.

    A assinatura do pedido de autenticação do Protocolo de Autenticação de Servidor de Acesso ( SAML ) pode ser obrigatória para alguns provedores de serviços e opcional para outros.

    Ao selecionar essa opção, você deve selecionar os certificados pessoais.

    Observação: esta opção não está disponível para provedores de serviços que não assinam sua solicitação de autenticação SAML.
    Validar assinatura de solicitação de logout do SAML Indica se a mensagem de solicitação de logout recebida requer uma assinatura.

    Ao selecionar essa opção, você deve selecionar os certificados pessoais.
    Validar assinatura de resposta de logout do SAML Indica se a mensagem de resposta de logout recebida requer uma assinatura.

    Ao selecionar essa opção, você deve selecionar os certificados pessoais.
  5. Configure as opções de criptografia. Ative a criptografia para proteger o conteúdo da asserção SAML, de modo que apenas o destinatário pretendido possa acessá-lo.
    Tabela 5. Opções de criptografia
    Informações Descrições
    Criptografar asserção
    Criptografa toda a declaração de autenticação do servidor de autenticação ( SAML ) enviada ao provedor de serviços. Somente o provedor de serviços desejado poderá decriptografar e entender o conteúdo.
    Observação: esta opção está disponível apenas para provedores de serviços que oferecem suporte à criptografia.
    Algoritmo de criptografia de asserção SAML

    O algoritmo criptografa o conteúdo da asserção “ SAML ”.

    Selecione nos seguintes algoritmos do Padrão de Criptografia Avançado (AES) ou Padrão de Criptografia de Dados (DES):
    AES-128
    Utiliza uma chave de 128 bits no modo AES-CBC. A transformação de dados é repetida por 10 ciclos.
    AES-192
    Utiliza uma chave de 192 bits no modo AES-CBC. A transformação de dados é repetida por 12 ciclos.
    AES-256
    Utiliza uma chave de 256 bits no modo AES-CBC. A transformação de dados é repetida por 14 ciclos. Esse é o padrão ou o algoritmo de criptografia mais usado.
    DES triplo
    Usa uma chave de dados de triplo comprimento que consiste em três chaves DES de 8 bytes para codificar 8 bytes de dados. Ele usa o seguinte método:
    • Codifica os dados usando a primeira chave.
    • Codifica o resultado usando a segunda chave.
    • Codifica o segundo resultado usando a terceira chave.
    AES-128-GCM
    Utiliza uma chave de 128 bits no modo AES- GCM.
    AES-192-GCM
    Utiliza uma chave de 192 bits no modo AES- GCM.
    AES-256-GCM
    Utiliza uma chave de 256 bits no modo AES- GCM.
    Observação: esta opção está disponível para todos os aplicativos que suportam criptografia.
    Algoritmo de transporte de chave de criptografia O algoritmo criptografa a chave de criptografia de asserção. Selecione nos seguintes algoritmos.
    RSA-OAEP

    Esquema de criptografia de chave pública. Designado para criptografar somente mensagens curtas, geralmente chaves secretas para criptografia simétrica.

    Consulte http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.

    RSA-v1.5
    Esquema de assinatura.

    Consulte http://www.w3.org/2001/04/xmlenc#rsa-1_5

    Observação: O algoritmo de transporte de chaves de criptografia “ RSA-v1.5 ” deixará de ser compatível a partir de março de 2024.
    Observação: esta opção está disponível para todos os aplicativos que suportam criptografia.
    Certificado de criptografia do provedor de serviços

    Lista todos os certificados de criptografia do provedor de serviços importados em Segurança > Certificados > Certificados de Signatário.

    Selecione o certificado de criptografia que Verify deve ser usado em conjunto com o algoritmo de criptografia de asserção do SAML selecionado para criptografar o conteúdo da asserção do SAML.
  6. Identifique as fontes de atributos do provedor de identidade para a asserção ` SAML `. Consulte o tópico “Configuração do SAML ” e os atributos de mapeamento.
  7. Selecione a política que determina como os usuários podem acessar o aplicativo.

    É possível continuar a usar a política de acesso padrão designada, que é Permitir acesso de todos os dispositivos. Como alternativa, você pode desmarcar a caixa de seleção e clicar no botão Editar para selecionar uma opção da lista de políticas de acesso predefinidas. Para obter mais informações, consulte Políticas de acesso.

  8. Clique em Salvar.

O quê fazer em seguida

  • Forneça ao provedor de serviços as Verify informações necessárias para concluir a configuração de login único do SAML entre Verify [nome] e o provedor de serviços. Consulte as instruções que são fornecidas na interface com o usuário.

    Se o aplicativo SAML estiver configurado com o “Certificado pessoal padrão” como certificado de assinatura, você poderá baixar os metadados de SAML na seção “Verificar em https://{tenantName}/v1.0/saml/federations/saml20ip/metadata”. Se o aplicativo SAML estiver configurado com um certificado pessoal diferente do padrão, com o rótulo {actualKeyLabel} como certificado de assinatura, você pode baixar os metadados de SAML a partir de https://{tenantName}/v1.0/saml/federations/saml20ip/metadata?keyLabel={actualKeyLabel}.

  • Inclua autorizações de usuário ou do grupo para permitir acesso aos aplicativos configurados. Consulte “Gerenciamento de permissões de aplicativos” (pelo administrador ou pelo proprietário do aplicativo).
  • Aplique a autenticação de dois fatores para controle de segurança incluído nos usuários quando eles se conectam ao aplicativo configurado. Consulte “Configurando fatores de autenticação ”.