Informações necessárias

Domínios de e-mail a serem associados à federação

As organizações que adotam o IBMid Enterprise Federation devem fornecer uma lista de todos os domínios de e-mail que os usuários organizacionais podem utilizar para efetuar login no IBMid

Mudanças (conforme necessário) para usuários IBMid pré-existentes

A IBM usará os domínios de e-mail fornecidos para fornecer à organização de integração uma lista de usuários nos domínios fornecidos que já podem existir no sistema do IBMid  A empresa deve, então, analisar essa lista de usuários IBMid pré-existentes e determinar como manipular quaisquer usuários IBMid pré-existentes.  Geralmente, uma das 4 opções precisará ser feita para cada usuário pré-existente:

  • Converter: se o IBMid pré-existente ainda for um funcionário organizacional válido, geralmente a organização desejará que a IBM converta o ID existente para que ele requeira que a autenticação federada seja usada.  Abra um caso em ibm.com/mysupport com Produto, "IBMid Enterprise Federation."
  • Exclua: se o IBMid pré-existente não corresponder mais a um funcionário organizacional válido, a IBM poderá excluir o IBMid para que não haja usuários do IBMid personificando membros da organização que está integrando.
  • Deixar: Mantenha o IBMid original como está, como um usuário IBMid não federado (o exemplo típico de por que isso pode ser solicitado é manter alguns administradores organizacionais com acesso ao serviço IBMid de forma não federada, para que eles possam testar / verificar se a federação está ou não funcionando em algum momento).
  • Modificar: se qualquer um dos atributos do IBMid de usuários pré-existentes precisar mudar (e-mail, nome, país, etc) para alinhar com os valores da organização atual, o IBMid poderá ser modificado para alinhar no momento da integração.
Nota: há IBMids mais antigos em que o "username" não é igual a um endereço de e-mail, mas o e-mail de contato associado ao ID ainda pode corresponder ao domínio de e-mail organizacional.  Nesse caso, a organização federadora pode solicitar à IBM que modifique o nome do usuário IBMid para corresponder ao endereço de e-mail, para que o ID possa ser usado de forma federada.   Isso seria fornecido com um impacto potencialmente negativo para alguns aplicativos em nuvem da IBM que usam o endereço de e-mail como o identificador para o usuário e, assim, mudar o nome do usuário pode afetar os direitos de acesso do IBMid.

Nome da organização a ser exibido para o usuário durante a autenticação

A interface IBMid , ao ver um usuário federado, informa ao usuário que ele será enviado para sua organização para autenticação.  As organizações devem fornecer à IBM um nome que seja usado para exibir ao usuário, que deve ser limitado a 30 caracteres.

O nome que será usado deve ser fornecido nos metadados SAML IdP fornecidos pela organização federada para a IBM, na seção da organização.  O "OrganizationDisplayName" é o que deve conter o nome máximo de 30 caracteres que a organização deseja exibir aos usuários, bem como o nome da organização que será salvo no registro IBMid dos usuários.

Exemplo: <md:Organization> <md:OrganizationName xml:lang="en">IBM</md:OrganizationName> <md:OrganizationDisplayName xml:lang="en">IBM Blueid</md:OrganizationDisplayName> <md:OrganizationURL xml:lang="en"/> </md:Organization> O OrganizationDisplayName deve existir nos metadados do SAML e deve ter menos de 30 caracteres.
Nota: Essa seção de "organização" nos metadados SAML faz parte da especificação de mercado SAML para metadados, mas é considerada opcional.  Como tal, ele pode ter que ser incluído manualmente nos metadados gerados pelas organizações IdP.

Metadados do Provedor de identidade das organizações (IdP)

A organização deve, então, fornecer à IBM os metadados SAML para seu provedor de identidade da organização.   Isso pode ser fornecido por meio de um URL para fazer download dos metadados ou enviado em formato de arquivo XML diretamente para o contato de integração da federação IBMid.

Depois que a organização federada fornecer seus metadados SAML e as informações de domínio de e-mail necessárias acima, a IBM responderá com os metadados SAML do provedor de serviços IBMid