Configurando o fornecimento JIT do SAML

Editar online

Habilitar ajustes just-in-time JIT para criar ou atualizar uma conta de usuário no service provider na primeira vez que um usuário se autenticar com IBM® Verify. Verify passa as informações do usuário que são necessárias para criar ou atualizar a conta por meio da asserção SAML. Use o fornecimento JIT (just-in-time) para casos em que o provedor de serviços não requer que as informações de identidade do usuário sejam criadas ou conhecidas por ele antes que o usuário tente acessar o provedor de serviços.

Antes de começar

  • Deve-se ter permissão administrativa para concluir esta tarefa.
  • Crie perfis do usuário no diretório da nuvem para os usuários aos quais você pretende conceder as autorizações de acesso do aplicativo. Adicione os usuários através da página Diretório > Usuários e Grupos > Usuários. Consulte Gerenciamento de usuários.
  • Configure as informações básicas para a instância do aplicativo na aba Geral . Consulte Definindo os detalhes básicos do aplicativo.

Sobre esta tarefa

Ativar o fornecimento do JIT como parte da configuração de conexão única baseada em SAML entre Verify e o provedor de serviços. Consulte

A conta de usuário é criada no registro do usuário do service provider usando os atributos que estão incluídos na asserção SAML. Verify Envia uma asserção SAML para o provedor de serviços quando o usuário acessa o provedor de serviços como parte de um único sinal-on. Se nenhuma correspondência existir para o nome de usuário apresentado, o provedor de serviços cria uma nova conta com os atributos do usuário contidos na asserção SAML. O provedor de serviços também concede imediatamente ao usuário o acesso aos recursos solicitados.

Se você ativar Fornecimento Just-in-time em Verify, você também deve ativá-lo no provedor de serviços. Essa configuração deve sempre estar em sincronização.

Alguma correspondência pode ser encontrada e sua resposta é account does exist para o usuário pelo provedor de serviços atualiza a conta de acordo com as informações do atributo na asserção SAML.

Alguns provedores de serviços suportam atualizações em login de usuário subsequente quando o fornecimento do JIT é ativado. Consulte a documentação do produto do provedor de serviços para determinar o comportamento.

Nota: Comportamento Conhecido. Se o administrador criou um usuário padrão em cloudIdentityRealm com o userName em forma de user@tenanthostname, onde tenanthostname é o hostname do locatário. Exemplo, hostname.idng.ibmcloudsecurity.com. Durante o fluxo JIT (Just-In-Time provisioning), se o token recebido tiver nome de usuário user, um usuário federado não vai ser permitido criar para esse usuário, em vez disso o usuário padrão user@tenanthostname de cloudIdentityRealm vai ser configurado como padrão para fins de usabilidade.

Procedimento

  1. Selecione Aplicativos > Aplicativos > Editar > Acesso.
  2. Na seção Provisionamento Just-in-time , selecione Include atributos de fornecimento na asserção SAML para listar os atributos do usuário que o service provider requer para criar ou atualizar a conta do usuário em seu registro de usuário.
    Nota: Dependendo do aplicativo, esta opção pode ser.
    • Sempre estar ativada no provedor de serviços. Como tal, ele é ativado e read-only por padrão em Verify. Nenhum atributo de provimento necessário ou mais configuração.
    • Exibir atributos que o provedor de serviços requer para provisionar a conta do usuário. Um provedor de serviços geralmente requer os seguintes atributos do usuário, no mínimo:
      • Nome do usuário
      • Nome
      • Sobrenome
      • Endereço de e-mail
    • Exibir atributos que o provedor de serviços considera provisionar a conta de usuário. Por exemplo:
      • ID do funcionário
      • Telefone celular
      • Departamento
      • Título do cargo
    • Requerer atributos de fornecimento que são os mesmos que os atributos de exigência para single sign-on.

      Não importa se o check-box é selecionado. A conta do usuário é provisionada quando o usuário conclui a conexão única com Verify.

  3. Em Mappings de atributos, atribua um atributo de usuário Verify correspondente para cada um dos atributos do provedor de serviços .

    Mapeie os atributos com base nos requisitos do provedor de serviços.

    Use mapeamento de atributo para controlar como o aplicativo computa os atributos do usuário a partir de Verify. Os atributos do provedor de serviços são preenchidos com quaisquer valores que sejam mantidos pelo atributo de usuário Verify mapeado.

    Nota: A lista de atributos que são exibidos e sua importância varia dependendo do aplicativo. Alguns atributos de conexão única podem ser um requisito para o fornecimento.
  4. Clique em Salvar.
  5. Configure o fornecimento JIT no provedor de serviços. Veja as instruções que são fornecidas na guia Verify Inscrever-se .

Resultados

Nota: Quando um usuário intitulado acessa o aplicativo a partir de Verify pela primeira vez, o usuário é solicitado a aceitar os termos e condições. A conta do usuário é fornecida no aplicativo e o usuário pode conectar-se.