Gerenciamento de provedores de identidade

Editar online

Um provedor de identidade é um repositório utilizado para a autenticação de usuários e para o provisionamento de contas. É possível configurar mais de um provedor de fonte de identidade. Todos os provedores de identidade configurados e ativados são exibidos como opções na página Verify de login. Os usuários podem fazer login usando Verify qualquer um desses provedores de identidade.

Antes de começar

  • Deve-se ter permissão administrativa para concluir esta tarefa.
  • Faça login no console IBM® Verify de administração como administrador.

Sobre esta tarefa

Observação: Verify não oferece suporte ao logout via IDP. O fato de sair do Verify não significa que você saiu do seu provedor de identidade nem de qualquer um dos aplicativos Inscrito nos quais você fez login por meio desse provedor de identidade.
Verify suporta os seguintes tipos de provedores de identidade:
Cloud Directory

Ele usa um registro do usuário que é hospedado na nuvem.

Você pode adicionar informações sobre usuários e grupos a este provedor de identidade em Diretório > Usuários e grupos.

Este provedor de identidade é utilizado em uma configuração de logon único ( SAML ) de saída. Verify verifica a identidade do usuário em relação aos dados desse provedor de identidade.

SAML Enterprise

Ele utiliza um registro de usuários local e troca tokens de autenticação ( SAML ) para concluir a autenticação.

Em um sistema de autenticação única do tipo “ SAML ”, Verify pode ser qualquer um dos seguintes provedores:
Provedor de identidade

Verify depende do seu próprio registro na nuvem ou diretório na nuvem como provedor de identidade.

Provedor de serviços

Você pode integrar-se Verify a vários provedores de identidade para autenticar usuários. Os usuários de provedores de identidade externos podem fazer o login único no Verify e em seus aplicativos autorizados sem precisar digitar Verify a senha.

Este provedor de identidade é utilizado em uma configuração de logon único (SSO) de entrada do tipo “ SAML ”; Verify o provedor de serviços é o provedor de identidade, e o aplicativo de destino é o provedor de identidade.

Você pode usar qualquer provedor de identidade compatível com o protocolo SAML como provedor de identidade do SAML Enterprise. O provedor de identidade verifica a identidade do usuário em relação aos dados armazenados nesse provedor antes de conceder acesso a Verify.

Observação: Ao adicionar um provedor de identidade corporativo do tipo “ SAML ”, seu certificado de assinante é importado automaticamente na página Segurança > Certificados > Certificados de assinante.
OIDC Enterprise
Qualquer provedor de identidade que suporte o protocolo OIDC pode ser usado como um provedor de identidade OIDC Enterprise. O provedor de identidade autentica a identidade do usuário em relação aos dados neste provedor de identidade antes de conceder o acesso a IBM Verify.
IBMid

Ele usa a solução de acesso e gerenciamento de identidade da IBM para fornecer aos usuários a conexão única com todos os aplicativos, serviços, comunidades, suporte, etc, da IBM.

IBMid é a opção padrão de login para o primeiro acesso do administrador ao Verify. Verify Somente o Verify administrador pode fazer login usando IBMid. Este provedor de identidade não é válido para o login do usuário final.

Após o primeiro login do administrador, você pode habilitar o Cloud Directory ou os provedores de identidade do SAML Enterprise configurados como opções adicionais de login para os acessos subsequentes do administrador.

MaaS360 Cloud Extender

As identidades dos usuários são verificadas com relação a informações que são armazenadas no repositório corporativo ou no registro do usuário local, mas a solicitação de autenticação é delegada ou transmitida por meio de um servidor ou agente diferente.

As identidades dos usuários autenticados são federadas em Verify. Você pode visualizar as informações deles em Diretório > Usuários e grupos.

Mídia Social
As identidades dos usuários são verificadas com relação à sua conta de rede social. Um provedor de identidade social pode ser configurado uma única vez e é utilizado apenas como opção de login para aplicativos. Ele não pode ser usado para fazer login no Painel Verify do Administrador ou no painel de controle do usuário. Verify suporta os seguintes provedores de identidade social:
  • Apple
  • Baidu
  • Facebook
  • GitHub
  • Google
  • LinkedIn
  • QQ
  • Renren
  • WeChat
  • Weibo
  • Yahoo
  • X

As identidades dos usuários autenticados são federadas em Verify. Você pode visualizar as informações deles em Diretório > Usuários e grupos.

Você pode mostrar ou ocultar todos os provedores de identidade na página de login do administrador ou do usuário final, exceto os provedores de identidade de redes sociais. Se houver mais de um provedor de identidade habilitado e exibido, o usuário deverá selecionar qual provedor de identidade deseja usar para a autenticação. Para facilitar a experiência do usuário, habilite e exiba apenas um provedor de identidade. Se apenas um provedor de identidade estiver habilitado, ele se tornará a opção padrão de login para o usuário. O usuário não precisa selecionar um provedor de identidade preferencial.

Dica: Se você não conseguir fazer login Verify usando um provedor de identidade do SAML Enterprise configurado e a opção de login do Cloud Directory estiver indisponível ou não estiver visível, use o seguinte URL :
https://<hostname>.verify.ibm.com/authsvc/mtfim/sps/authsvc?PolicyId=urn:ibm:security:authentication:asf:basicldapuser

Procedimento

  1. Selecione Autenticação > Provedores de identidade
  2. Selecione um provedor de identidade para visualizar suas informações.
    Observação: as informações exibidas variam de acordo com o provedor de identidade.
    Tabela 1. Informações sobre o provedor de identidade
    Informações Descrições
    Nome

    O nome que você atribui para representar o registro de usuários utilizado por provedores de identidade, como Microsoft™ Active Directory, Microsoft Azure Active Directory ou outros.

    Se houver mais de um provedor de identidade configurado e ativado, o nome do provedor de identidade será exibido na página Verify de login.

    Essas informações também são exibidas na guia Diretório > Usuários e Grupos > Usuários, na caixa de diálogo Adicionar Usuário, quando você seleciona um provedor de identidade.
    Região

    Trata-se de um atributo do provedor de identidade que ajuda a distinguir usuários de diferentes provedores de identidade que possuem o mesmo nome de usuário.

    Essas informações são exibidas em Diretório > Usuários e grupos e na caixa de diálogo Editar usuário.

    Para os seguintes provedores de identidade:
    • No Cloud Directory, o valor do domínio é cloudIdentityRealm.
    • IBMid; o valor do domínio é www.ibm.com.
    • SAML No Enterprise, o valor do domínio pode ser qualquer nome exclusivo que você tenha atribuído ao criar o provedor de identidade.
    • OnPrem LDAP, o valor do domínio pode ser qualquer nome exclusivo que você tenha atribuído ao criar o provedor de identidade.
    • Apple, o valor da região é www.apple.com.
    • Baidu, o valor da região é www.baidu.com.
    • Facebook, o valor da região é www.facebook.com.
    • GitHub, o valor da região é www.github.com.
    • Google, o valor da região é www.google.com.
    • LinkedIn, o valor da região é www.linkedin.com.
    • QQ, o valor da região é www.qq.com.
    • Renren, o valor da região é www.renren.com.
    • WeChat, o valor da região é www.wechat.com.
    • Weibo, o valor da região é www.wiebo.com.
    • X, o valor do domínio é www.twitter.com.
    • Yahoo, o valor da região é www.yahoo.com.
    ID Ao clicar em “Salvar”, é gerado um ID para o provedor de identidade.
    Ativado

    Indica se o provedor de identidade está ativo e disponível.

    Quando o provedor de identidade estiver configurado e ativado, os usuários poderão fazer o login único no sistema Verify e em seus aplicativos autorizados por meio do provedor de identidade selecionado. Se o provedor de identidade não estiver ativado, ele não será exibido como uma opção na página Conectar.
    Nota:
    • Deve haver pelo menos um provedor de identidade habilitado para fazer login no Verify.
    • Se somente um provedor de identidade estiver ativado, ele se tornará a opção de conexão padrão para o usuário.
    Vinculação de identidade

    Ativado

    		 Ativa a vinculação de identidade para um provedor de identidade específico. Não foram criadas contas fantasmas no Cloud Directory no domínio especificado para este provedor de identidade.
    Este recurso está disponível para aplicativos do tipo " SAML " e para os seguintes provedores de identidade social:
    • Apple
    • Facebook
    • GitHub
    • Google
    • LinkedIn
    • SAML corporativo
    • WeChat
    • X
    • Yahoo

    Essa opção também está disponível para os provedores de identidad OnPremLDAP. Para fontes de identidade do tipo OnPrem e LDAP, a conta de usuário deve existir no provedor de identidade principal vinculado para que as autenticações em tempo de execução sejam bem-sucedidas. Se não houver uma conta de usuário correspondente no provedor de identidade principal vinculado, as autenticações falharão.

    Nota:
    1. Não é possível ativar a vinculação no provedor de identidade definido como seu provedor de identidade padrão.
    2. Não é possível desativar ou excluir seu provedor de identidade de vinculação padrão.
    Identificador exclusivo do usuário
    Selecione o atributo no menu que age como o identificador para a conta vinculada.
    Fornecimento JIT (just-in-time)
    Se a conta do usuário não for encontrada no provedor de identidade primário, esta opção cria uma conta paralela nesse domínio primário. Para fontes de identidade do tipo “ OnPrem ” e “ LDAP ”, a conta de usuário é criada no provedor de identidade principal vinculado, caso a conta ainda não exista. Os atributos da conta são atualizados na conta vinculada primária com os atributos que são recuperados do sistema de identidade no local ou externo.
    Identificador exclusivo do usuário

    Esse recurso está disponível para aplicativos do SAML e fontes de identidade locais (On-prem) LDAP.

    		 O atributo do usuário que age como o identificador para a conta vinculada no Cloud Directory.
    Provisionamento just-in-time para provedores de identidade do OnPrem e do LDAP. Aplica-se apenas aos provedores de identificação OnPrem e LDAP.

    Quando ativados, os administradores podem configurar a migração de registros de usuários de provedores de identidade externos para o domínio do Cloud Directory. Quando utilizado com password just-in-time provisioning, as senhas dos usuários também são migradas junto com os registros dos usuários.

    Quando desativada, os administradores suspendem a migração das senhas do provedor de identidade para o domínio do Cloud Directory e permitem que os usuários se autentiquem pelo Cloud Directory.
    Fornecimento JIT (just-in-time) da senha

    Esse botão de alternância estará ativo somente se o comutador Fornecimento just-in-time já estiver ativado.

    Quando ativados, os administradores permitem uma fase de migração na qual contas e suas senhas do provedor de identidade sejam migradas para o domínio do Cloud Directory. Os usuários vinculados a um provedor de identidade do OnPrem não podem se autenticar no Cloud Directory durante esta fase.

    Quando desativados, os administradores pausam a migração de senhas do provedor de identidade para o domínio do Cloud Directory e permitem que os usuários se autentiquem com o Cloud Directory.

    Considerações ao ativar a opção de fornecimento JIT (just-in-time) de senhas (identityLinkingJitPwdEnabled)

    Quando essa opção é ativada, a plataforma Verify tenta provisionar "JIT (just in time)"(JITP) tanto os atributos de conta dos usuários quanto suas senhas no domínio do provedor de identidade primário configurado para o seu locatário. Esse fornecimento ocorre após o nome de usuário e a senha serem validados com sucesso pelo provedor de identidade externo ou no local. Quando é feita uma tentativa de provisionar a senha, o Verify garante que a senha atenda às configurações de política de senha que estão associadas ao provedor de identidade primário. Se a senha validada pelo seu provedor de identidade local não estiver em conformidade com esta Verify política, a tentativa de autenticação falhará. Os atributos de conta e senha não são provisionados no domínio do provedor de identidade primário Verify. O usuário recebe uma mensagem de erro que indica que o nome de usuário ou a senha é inválida e para entrar em contato com o administrador do sistema.

    Para evitar essa situação, defina uma política de senha com nível de segurança igual ou inferior ao da política aceita pelo sistema de identidade local ou externo. Associe essa política ao provedor de identidade primário configurado para o seu locatário Verify. Geralmente, o domínio do provedor de identidade primário é o Verify Cloud Directory, que, muitas vezes, é configurado com a política de senha padrão.

    Como o fornecimento da senha no momento certo é realizado a cada autenticação local bem-sucedida, a configuração do histórico de senhas no domínio do provedor de identidade principal pode causar falhas na sincronização de atributos da conta e senhas. Talvez você queira desativar esse cumprimento de histórico de senha para evitar tais falhas.

    Quando a opção de provisionamento de senha “just-in-time” é alterada de ativada para desativada, a fase de migração do diretório local para a nuvem é considerada concluída. Os usuários migrados podem se autenticar com o Cloud Directory usando sua senha migrada. Talvez seja recomendável reativar as configurações da política de senhas do Cloud Directory que foram alteradas para se adequarem à fase de migração.
    Ativar fornecimento JIT

    Este recurso está disponível para aplicativos SAML.

    		 Se a conta não for localizada no provedor de identidade padrão, essa opção criará uma conta de sombra nesse domínio padrão.
  3. Opcional: Gerenciamento de políticas de senha.
  4. Opcional: Adicionar um provedor de identidade do SAML Enterprise.
  5. Opcional: Adicionar um provedor de identidade do Cloud Extender do MaaS360.
  6. Opcional: Configurar o provedor de identidade e o identificador de usuário do MaaS360.
  7. Opcional: Adicionar um provedor de identidade social.
  8. Opcional: Excluir um provedor de identidade.
    Observação: não é possível excluir um Cloud Directory ou um provedor de identidade do IBMid.
    1. Selecione o provedor de identidade e clique em Excluir na caixa de diálogo Editar provedor de identidade.
    2. Confirme se deseja excluir definitivamente o provedor de identidade selecionado.
      Nota:
      • Não é possível excluir um provedor de identidade que seja usado como opção padrão para MaaS360. Você deve escolher um provedor de identidade diferente para MaaS360 antes de excluir o padrão atual.
      • Não é possível excluir um provedor de identidade que esteja atribuído a um aplicativo como opção de login. Você deve removê-la com uma opção do aplicativo antes de poder excluí-la.