Gerenciamento de provedores de certificados

Editar online

A identidade baseada em certificados oferece acesso a informações precisas, ao mesmo tempo em que conecta provedores externos de certificados a uma camada adicional de segurança, como um certificado digital em conformidade com a norma X.509. Ele realiza a autenticação usando o certificado digital ao IBM® Verify acessar os aplicativos conectados. Os administradores podem verificar identidades utilizando essa assinatura digital para fins de autenticação e conformidade. Além disso, os certificados podem funcionar com cartões de acesso comum (CAC) ou de verificação de identidade pessoal (PIV).

Antes de começar

  • Deve-se ter permissão administrativa para concluir esta tarefa.
  • Faça login no console IBM Verify de administração como administrador.
  • Para poder usar o provedor de certificados, seu locatário deve ter um nome de host personalizado. Consulte a seção “Como obter um nome de host personalizado ”.
  • Você precisa fornecer os certificados raiz e intermediários por meio do canal de suporte:
    • Se o seu tenant já tiver sido criado e possuir um nome de host personalizado configurado corretamente, entre IBM Verify em contato com a equipe de suporte da IBM abrindo um ticket, e você receberá instruções sobre como fornecer os certificados.
    • Você deve manter os certificados no formato codificado X.509 PEM.
    • Este é um exemplo:
    # Trust chain intermediate certificate
-----BEGIN CERTIFICATE-----
MIIEaTCCA1GgAwIBAgILBAAAAAABRE7wQkcwDQYJKoZIhvcNAQELBQAwVzELMAkG
C33JiJ1Pi/D4nGyMVTXbv/Kz6vvjVudKRtkTIso21ZvBqOOWQ5PyDLzm+ebomchj
SHh/VzZpGhkdWtHUfcKc1H/hgBKueuqI6lfYygoKOhJJomIZeg0k9zfrtHOSewUj
...
dHBzOi8vd3d3Lmdsb2JhbHNpZ24uY29tL3JlcG9zaXRvcnkvMDMGA1UdHwQsMCow
KKAmoCSGImh0dHA6Ly9jcmwuZ2xvYmFsc2lnbi5uZXQvcm9vdC5jcmwwPQYIKwYB
K1pp74P1S8SqtCr4fKGxhZSM9AyHDPSsQPhZSZg=
-----END CERTIFICATE-----

# Trust chain root certificate
-----BEGIN CERTIFICATE-----
MIIDdTCCAl2gAwIBAgILBAAAAAABFUtaw5QwDQYJKoZIhvcNAQEFBQAwVzELMAkG
YWxTaWduIG52LXNhMRAwDgYDVQQLEwdSb290IENBMRswGQYDVQQDExJHbG9iYWxT
aWduIFJvb3QgQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDaDuaZ
...
jc6j40+Kfvvxi4Mla+pIH/EqsLmVEQS98GPR4mdmzxzdzxtIK+6NiY6arymAZavp
38NflNUVyRRBnMRddWQVDf9VMOyGj/8N7yy5Y0b2qvzfvGn9LhJIZJrglfCm7ymP
HMUfpIBvFSDJ3gyICh3WZlXi/EjJKSZp4A==
-----END CERTIFICATE-----
    Nota: Para obter mais informações sobre o formato de codificação " PEM ", consulte a RFC 1421
  • Receba a confirmação de que a cadeia de certificados foi configurada corretamente com o nome de host personalizado no seu locatário. Após receber a confirmação, você poderá usar o certificado de cliente emitido para autenticação via SAML e OIDC, bem como no seu Launchpad de usuário.
Observação: é necessário que haja uma distribuição de CRL ou um ponto de extremidade OCSP acessível ao público (armazenado no certificado do cliente) para que a autenticação do certificado do cliente funcione.

Sobre esta tarefa

Verify oferece acesso a diversos recursos que permitem realizar tarefas complexas. Como os próprios provedores de serviços básicos e outras interfaces de aplicativos comumente utilizadas para o desenvolvimento de provedores de serviços personalizados. X.509 O certificado de assinatura digital oferece muitas vantagens. Dois aspectos importantes são certificate revocation lists e certification path validation algorithm chegar, por fim, a uma âncora de confiança.

Observação: Para obter mais informações sobre um certificado de assinatura digital d X.509, consulte X.509 certificates. Para uma análise mais aprofundada, consulte a RFC 5280.

Procedimento

  1. Selecione Autenticação > Provedores de certificados
  2. Selecione “Adicionar provedor de certificados ”.
  3. Defina as configurações gerais.
    1. Dê um nome facilmente reconhecível ao provedor de certificados e configure o provedor de identidade.
    2. Selecione um provedor de identidade utilizado para autenticar o usuário. Os provedores de identidade mais comuns são:
      • Cloud Directory
      • IBMid
      Observação: não é possível alterar o provedor de identidade após a criação do provedor de certificados.
    3. Marque a caixa de seleção JITP (provisionamento just-in-time) para provisionar contas de usuário.
  4. Clique em Avançar.
  5. Configurar as propriedades do usuário. Especifique os atributos de usuário que são enviados a partir do certificado para autenticar usuários e criar perfis de usuário.
    1. Opcional: Selecione o atributo do certificado.
    2. Selecione o atributo " IBM " ( Security Verify ). Essa seleção é baseada em atributos anteriores selecionados ou criados pelo administrador.
      Nota:

      Você pode escolher uma opção entre os atributos disponíveis. O valor padrão do atributo é

      None - Do not map

      None - Do not mapSe você escolher essa opção, não será possível configurar:

      • Transformation value
      • Store attribute in user profile
    3. Selecione um valor de transformação no menu.
    4. Selecione uma opção no menu “Atributos da loja” do perfil do usuário.
      • Sempre - Armazenar ou atualizar o atributo em cada login.
      • Somente na criação do usuário - Armazenar o atributo uma vez na criação da conta.
      • Desativado - Nunca armazene ou atualize o atributo.
      user attributesDepois de configurar o primeiro, clique em “Adicionar mapeamento de atributos” para adicionar mais mapeamentos.
    5. Selecione o identificador único do usuário. Este identificador é o atributo do certificado utilizado para vincular a um usuário existente no provedor Verify de identidade.
    6. Calcule o valor do atributo criando uma regra personalizada na opção “Regra de solicitação ”.
      Um exemplo de regra:
      requestContext.subjectAlternativeNameEmail.size() != 0 ? requestContext.subjectAlternativeNameEmail[0].split('@')[0] : requestContext.subjectCN[0].split('.')[0]
      Teste sua regra de solicitação para certificar-se de que ela funciona conforme o esperado. Clique em “Executar teste” para ver o resultado. É o valor de retorno com base nas entradas de exemplo.
  6. Para a cadeia de certificados, siga estas etapas para fornecer o identificador da chave do sujeito da autoridade certificadora intermediária ou raiz emissora.
    1. Encontre a Subject Key Identifier autoridade certificadora imediata usando o seguinte comando do OpenSSL:
      openssl x509 -inform pem -in $input-filename -text -noout
    2. Clique na seção intitulada “Extensões de X.509v3 ” e selecione “Identificador-chave de assunto do X.509v3 ”. Copie e insira o valor especificado na caixa.
      Observação: esse valor não pode ser alterado após a criação do provedor de certificados.
  7. Teste a configuração. Selecionar. Próximo. A interface oferece um URL de autenticação de locatário. Você deve copiar o endereço URL e tentar se conectar ao seu IBM Verify.
    Observação: é necessário habilitar o provedor de certificados antes de utilizá-lo em seu IBM Verify locatário.
  8. Clique em “Concluir a configuração ”. Uma mensagem de aviso redireciona você para as configurações gerais para gerenciar ou atualizar algumas informações relacionadas à configuração.
  9. Opcional: Clique em “Provedores de certificados” para ver a lista dos provedores de certificados criados.
    1. Você pode clicar em “Lista de opções” para enable selecionar ou excluir o provedor de certificados que deseja usar.

Resolução de problemas

Se a configuração não funcionar, pode ser por um dos seguintes motivos:

Se todas as etapas para a integração de um provedor de certificados X.509 tiverem sido concluídas e você não conseguir visualizar o prompt do certificado ao testar o URL na página de configuração de teste:

  • Certifique-se de que está sendo usado um nome de host personalizado.
  • Certifique-se de que a cadeia de certificados seja fornecida por IBM Verify meio do canal de suporte.

Se todas as etapas para a integração de um provedor de certificados X.509 tiverem sido concluídas e você não conseguir ver a solicitação de certificado ao acessar o endereço de teste URL na página de configuração de teste, mas a autenticação não funcionar:

  • Certifique-se de que o provedor de certificados esteja ativado.
  • Se o JITP estiver ativado, certifique-se de que o usuário tenha sido criado no provedor de identidade especificado.
  • Se o JITP estiver desativado, certifique-se de que o usuário exista no provedor de identidade especificado.

Se uniqueUserIdentifier o atributo for alterado após a integração do provedor de certificados X.509, a alteração será aplicável apenas às novas autenticações e aos usuários que se autenticarem com um certificado pela primeira vez.

Se o JITP estiver ativado, isso se aplica aos usuários criados pela primeira vez nesse provedor de identidade específico.

Por padrão, o provedor de certificados X.509 está desativado; os administradores devem ativá-lo antes de testar a configuração.