Configurando um provedor de identidade OIDC Enterprise

Editar online

Você pode usar qualquer provedor de identidade compatível com o protocolo OIDC como provedor de identidade do OIDC Enterprise. O provedor de identidade autentica a identidade do usuário em relação aos dados neste provedor de identidade antes de conceder o acesso a IBM® Verify.

Procedimento

  1. Selecione Autenticação > Provedores de identidade.
  2. Selecione OIDC Enterprise.
  3. Na página Geral, forneça as seguintes informações.
    Nome
    Forneça um nome reconhecível para o seu provedor de identidade.
    Região e emissor
    Forneça o endereço URL ao provedor de identidade. Por exemplo,
    https://accounts.OIDC-IDP.com
    É o domínio utilizado para o diretório na nuvem e, caso não seja fornecido um endpoint conhecido, também atua como emissor no fluxo OIDC.
    ID
    O ID é criado após a configuração ser salva.
    Ativado
    Marque esta caixa de seleção para usar este provedor de identidade para fazer login.
  4. Selecione “Avançar ”.
  5. urlNa página “Para o provedor de identidade”, copie o redirecionamento.
    Você fornece isso url ao provedor de identidade ao registrar seu aplicativo para o login único.
  6. Selecione “Avançar ”.
  7. Na página “Do provedor de identidade ”, forneça as seguintes informações.
    1. Opcional: forneça um nome amigável que será usado no lugar do ID do provedor de identidade exibido na página Verify de login URL.
    2. Forneça o ID do cliente e o segredo do cliente que você recebeu ao registrar sua aplicação junto ao provedor de identidade.
    3. Opcional: Adicione ou remova escopos para controlar como o aplicativo é utilizado.
      Observação: Selecione Enter para Windows™ ou Return para Mac OS após cada escopo adicionado ao seu console de administração.
    4. Forneça as informações sobre o endpoints que você recebeu ao registrar sua inscrição.
      Terminal conhecido
      Use este atributo para configurar seu cliente da OIDC com o documento de descoberta. Por exemplo, https://myco.com.

      Caso não utilize o conhecido endpoint, você deverá fornecer as seguintes informações.

      • Terminal de autorização
      • Terminal do token
      • Ponto de extremidade de informações do usuário
    5. Opcional: Se o seu provedor de identidade for compatível, você pode habilitar o suporte a PKCE e fornecer o URI do JWKS.
      Inclua um URI do JWKS se um não for fornecido com a configuração conhecida de provedores de identidade.
    6. Selecione o método de autenticação.
      • Configuração básica de segredo do cliente
      • POST de segredo do cliente
      • Segredo do cliente JWT - Você também precisa selecionar o algoritmo de assinatura para a criptografia.
      • Chave privada JWT - Você também precisa selecionar o algoritmo de assinatura para criptografia e selecionar o certificado de assinatura.
    7. Opcional: Se estiverem disponíveis, você pode encaminhar os parâmetros para login hint, prompt, e max age ao provedor de identidade durante um fluxo de logon único.
  8. Selecione “Avançar ”.
  9. Opcional: Selecione o provisionamento just-in-time.
    Esta opção cria e atualiza a conta de usuário no domínio do provedor de identidade principal associado à identidade SAML.
  10. Opcional: especifique um atributo que identifique os usuários do registro de usuários do provedor de identidade no menu “Identificador único do usuário ”.
    Se você selecionar “Ativar vinculação de identidade” para este provedor de identidade, será necessário fornecer o UUID.
  11. Opcional: Selecione um valor de transformação para transformar o valor do identificador único do usuário ou mantenha o valor padrão como “Nenhum ”.
  12. Opcional: Selecione “Ativar vinculação de identidade” para este provedor de identidade.
    1. Selecione o identificador exclusivo que você deseja usar para as contas no link “Identificador exclusivo do usuário ”.
      Observação: O UUID pode ser qualquer elemento do objeto de reivindicações OIDC que identifique o usuário de forma exclusiva.
    2. Defina o UUID digitando o valor no campo “ID externo ”.
      O valor padrão é sub.
    3. Selecione um valor de transformação para transformar o valor do atributo ID externo ou mantenha o valor padrão como “Nenhum ”.
  13. Selecione “Avançar ”.
  14. Opcional: Na página Mapeamento de atributos, mapeie mais atributos do provedor OIDC para Verify os atributos.
    1. Selecione “Adicionar mapeamento de atributos ”.
    2. Selecione um atributo da OIDC no menu.
      Se o provedor OIDC tiver outros atributos compatíveis com OIDC que não sejam padrão, você pode digitar o valor no campo “Selecionar um atributo ”.
    3. Selecione um Verify atributo no menu.
    4. Selecione como o atributo é usado.
    5. Repita o processo para cada atributo que você deseja mapear.
  15. Opcional: Selecione uma das seguintes fontes de pertencimento a grupos para especificar a origem dos grupos de permissões de acesso do usuário.
    • Cloud Directory - As permissões de acesso do usuário são derivadas dos grupos de usuários no Cloud Directory.
    • Diretório na nuvem e fonte de identidade — As permissões de acesso do usuário são derivadas dos grupos de usuários no diretório na nuvem e do token do provedor de identidade, que inclui groupIds uma reivindicação.
    • Fonte de identidade - As permissões de acesso do usuário são derivadas do token do provedor de identidade, que inclui a groupIds reivindicação.
      Observação: Se o token do provedor de identidade não contiver a groupIds reivindicação, você não terá nenhuma permissão de associação a grupos.
    • Regra personalizada. Se você selecionar “Regra personalizada ”, insira uma regra personalizada no editor de regras e clique em OK para salvar. As permissões de acesso do usuário são derivadas com base na regra customizada.
  16. Selecione “Avançar ”.
  17. Opcional: Se você ativou a pré-visualização pública do CI-108233, selecione se deseja ativar os convites de usuários.
    Os convites são criados e enviados por meio de POST /v1.0/usc/user/invitation APIs. Consulte “Convidando usuários ”. Marque a caixa de seleção “Ativar convites de usuários” para convidar outras pessoas a se cadastrarem como novos usuários. Você também pode selecionar um perfil de usuário para que o usuário insira mais dados ao aceitar o convite. Consulte "Gerenciamento de perfis de usuário".
  18. Clique em Pronto.
  19. Opcional: Editar o provedor de identidade OIDC.
    1. Selecione Autenticação > Provedores de identidade.
    2. Selecione o provedor de identidade na lista de Fontes.
    3. Faça suas mudanças.
      Não é possível mudar o ID ou a URL de redirecionamento.
    4. Selecione “Salvar alterações ”.
  20. Opcional: exclua o provedor de identidade OIDC.
    1. Selecione Autenticação > Provedores de identidade.
    2. Selecione o provedor de identidade na lista de Fontes.
    3. Selecione o ícone "Excluir".
    4. Selecione “Excluir” para confirmar que deseja excluir o provedor de identidade.