O arquivo config.json

Editar online

Esse arquivo de configuração deve estar no formato JSON. Ele contém duas seções, ibm-auth-api e provedor de credenciais.

Formato

{
    "ibm-auth-api":{
        "client-id":"????????-????-????-????-????????????",
        "ofb-client-secret":"**********",
        "protocol":"https",
        "host":"tenant.verify.ibm.com",
        "port":443,
        "max-handles":16
    },
    "credential-provider":{
        "username-format":"%D\\\\%U",
        /*"trace-file":"c:/credprov/credprov.log",*/
        "disable-builtin-password-logon": false,
        "auth-method":"winpwd-then-choice-then-otp"
    }
}

Configurando o ibm-auth-api


Entrada	Valor de amostra	Descrição
"client-id"	"84e8da25-d7ed-47cc-9782-b852cb64365c"	Este valor é necessário. Um cliente de API IBM® Verify deve ser criado para uso pelo Login IBM Verify Gateway for Windows™ .
"ofb-client-secret"	"KsjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA="	Este valor é necessário. O cliente da API IBM Verify recebe uma senha quando ele é criado e deve ser configurado nessa configuração de configuração. O obf-client-secret é fornecido de forma ofuscada. Nota: Este obf-client-secret pode alternativamente ser fornecido em texto claro usando a opção "client-secret" em vez disso. Por exemplo, `"client-secret”:"XOpiba1XeP"` . `"obf-client-secret”: "asjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA=",`
"protocolo"	“https”	Esse valor é opcional e é padronizado como "https". Este protocolo é usado para comunicar ao servidor Verify . É possível usar qualquer um dos valores, “http” ou “https”. Quando o https é usado e o arquivo cacert.pem está presente, o certificado do servidor IBM Verify e o nome do servidor são validados.
"anfitrião"	"inquilino.verify.ibm.com"	Este valor é necessário. Ele identifica o servidor Verify que você está usando.
"porta"	443	Esse valor é opcional e é padronizado como 443. Esta porta é a porta que o servidor Verify está atendendo para pedidos.
"max-handles"	2	Esse valor é opcional e é padronizado como 16. Este valor é o número máximo de conexões paralelas que o IBM Verify Gateway para o Windows Login faz para o servidor IBM Verify para autenticação de usuário. Cada interface do Provedor de Credenciais nunca usa mais de duas conexões ao mesmo tempo, portanto, um valor de 2 é apropriado.
"proxy"	"http://proxy.ibm.com:1080"	Esse valor é opcional e o padrão é não usar um proxy e usar conexões diretas. Configure o proxy para acessar o locatário Verify . O valor é um nome do host ou um endereço IP numérico pontilhado. Um endereço IPv6 numérico deve ser gravado dentro de [colchetes]. Para especificar o número da porta nesta string, anexe `:[port]` até o final do hostname. A porta do proxy é padronizada como `port :1080`. A sequência de proxy pode ser prefixada com `[scheme]://` para especificar o tipo de proxy utilizado. http:// Proxy HTTP. O tipo padrão quando nenhum tipo de esquema ou de proxy é especificado. https:// Proxy HTTPS. Incluído na 7.52.0 para OpenSSL, Gnus e NSS. socks4:// Proxy do SOCKS4. socks4a:// Proxy do SOCKS4a. O proxy resolve o nome do host da URL. socks5:// Proxy do SOCKS5. socks5h:// Proxy do SOCKS5. O proxy resolve o nome do host da URL. Sem um prefixo de esquema, ele é padronizado para `http://`. Configurando a sequência de proxy para `""`, uma sequência vazia, desativa explicitamente o uso de um proxy, mesmo que uma variável de ambiente esteja configurada para ele. Uma sequência de host do proxy também pode incluir esquema de protocolo `http://` e um usuário integrado e uma senha. Observação: Se estiver usando um proxy HTTPS, defina a variável de ambiente OpenSSL, `SSL_CERT_FILE`, no sistema Windows em que o IBM Verify Gateway for Windows Login está sendo executado. Essa variável de ambiente indica o nome e o local do arquivo de certificados de CA. Acesse Painel de Controle > Sistema e Segurança > Configurações Avançadas do Sistema > Variáveis de Ambiente > Variáveis do Sistema e especifique a variável. Por exemplo, `SSL_CERT_FILE = C:\ Program Files\IBM\WindowsLogin\ cacert.pem`
"proxytunnel"	true	Este valor é opcional e padronizado como true se o proxy estiver ativado. Defina o argumento `proxytunnel` como `true` para fazer com que a Verify a operação do locatário faça um túnel por meio do proxy HTTP. Usar um proxy é diferente de fazer o tunelamento por meio dele. O tunelamento significa que uma solicitação HTTP CONNECT é enviada ao proxy, pedindo que ele se conecte a um host remoto em um número de porta específico e, em seguida, o tráfego passa pelo proxy. Os proxies incluem em uma lista de permissões os números de portas específicos aos quais ele permite que sejam feitas solicitações CONNECT. Geralmente, apenas as portas 80 e 443 são permitidas.
"connect-timeout"	10	Esse valor é opcional e padronizado para 10 segundos. O tempo em segundos para esperar enquanto ele tenta abrir uma conexão com o servidor Verify . Se a primeira tentativa falhar, ocorrerá uma nova tentativa.
"timeout"	20	Esse valor é opcional e padronizado para 20 segundos. O tempo, em segundos, que o IBM Verify Gateway for Windows Login aguarda para que os dados sejam recebidos na conexão do servidor Verify .
"tipo de token"	"Portador"	Especifica o tipo de token de acesso de "access-token"
"token de acesso"	"abced ..."	Especifica o token de acesso para usar para o locatário. Esta é uma alternativa ao uso das opções "client-id" e "client-secret" se o token de acesso já for conhecido.
"caminho"	""C:\Program\Files\IBM\WindowsLogin\cacert.pem"	Especifica um arquivo com uma lista de signatários de autoridade de certificação permitidos do certificado do servidor de tenant Verify . Esse arquivo de texto contém um ou mais certificados de chave pública PEM CA no formato base64. Por padrão, ele usa o arquivo cacert.pem localizado no diretório do arquivo de configuração.
"agente do usuário de origem"	"IBM Verify"	Especifica o envio do agente do usuário na solicitação para iniciar uma transação de push (dispositivo)
"caminho-da-autoridade-de-certificação-proxy"	""C:\Program\Files\IBM\WindowsLogin\cacert.pem"	Especifica um arquivo com uma lista de assinantes de autoridade de certificação permitidos do certificado do servidor proxy Esse arquivo de texto contém um ou mais certificados de chave pública PEM CA no formato base64. Por padrão, ele usa o arquivo cacert.pem localizado no diretório do arquivo de configuração
"revoke-best-esforço"	false	Para a comunicação TLS com a API REST do locatário Verify . Isso indica se deve ignorar as verificações de revogação de certificado no caso de pontos de distribuição ausentes ou off-line para os backends TLS nos quais esse comportamento está presente.
"sem revogação"	false	Para a comunicação TLS com a API REST do locatário Verify . Isso indica se ele deve desativar as verificações de revogação de certificado para os backends TLS nos quais esse comportamento está presente Esta opção é suportada apenas no Windows, com uma exceção no caso da lista de bloqueios de Publicadores não confiáveis do Windows que não pode ser ignorada.. Esta opção tem precedência sobre "revoke-best-esforço".

Configurando o credential-provider


Entrada	Valor de amostra	Descrição
"trace-file"	“C:\Temp\credprov.log”	Esse valor é opcional e padronizado para não rastrear. Nota: Se o arquivo C:\Program Files\IBM\WindowsLogin\credprov.log existir, então o registro de logs será ativado automaticamente e em um estágio anterior na inicialização do Login Verify Gateway for Windows .
"auth-method"	"winpwd-then-choice-then-otp"	Esse valor é opcional e padronizado como "winpwd-then-choice-then-otp", que define o método MFA que é usado para autenticar o usuário. "winpwd" Apenas senha do Windows. "winpwd-and-totp" Senha do Windows combinada com o tempo-passcode baseado em tempo em uma única entrada. "winpwd-then-smsotp" Senha do Windows seguida pelo SMS one-time-passcode. "winpwd-then-emailotp" Senha do Windows seguida por um e-mail one-time-passcode. "winpwd-then-choice-then-otp" Senha do Windows seguida por uma escolha a partir dos métodos 2FA disponíveis, seguida pelo selecionado one-time-passcode ou a espera por notificação de dispositivo. Nota: Se apenas uma escolha estiver disponível, então a etapa do Choice é ignorada. "winpwd-then-device" Senha do Windows seguida da espera por notificação de dispositivo. Se mais de um dispositivo for registrado para o usuário, uma etapa de opção será apresentada. "winpwd-then-transient" Senha do Windows seguida pelo one-time-password. Se mais de um transiente for registrado para o usuário, uma etapa de opção será apresentada.
"accept-on-missing-auth-method"	false	Este valor é opcional e padronizado como false. Se configurado como true e um usuário não tiver um 2FA registrado apropriado para o método de autenticação, ele terá permissão para efetuar logon apenas com sua senha.
"password-first"	false	Este valor é opcional e padronizado como false. Se configurado como true e o método de autenticação for winpwd-and-totp, em seguida, a senha combinada, a entrada de valor totp deverá ter a senha primeiro. Se false, o valor totp deverá ser fornecido primeiro na entrada combinada.
"otp-prompt"	“Insira a senha descartável %C-”	Este valor é opcional e padronizado para "Inserir a senha descartável %C-". Este prompt é exibido quando o usuário é solicitado a inserir a senha descartável. A sequência %C, se presente no prompt, é substituída pelo valor de correlação para o método OTP. É a sequência vazia para OTP baseado em tempo.
"password-separator"	“,”	Este valor é opcional e padronizado para "`,`". Esse caractere deve ser colocado entre a entrada combinada de senha e TOTP para o método de autenticação "windpwd-and-totp".
"verify-method-order"	["fingerprint","userPresence"]	Esse valor é opcional e padronizado como ["fingerprint","userPresence"].
"verify-message"	“Você aprova a solicitação de winhost.ibm.com?”	Esse valor é opcional e padronizado como “Você aprova a solicitação de {hostname}?”, em que {hostname} é substituído pelo nome do host inferido no qual o Login do Verify Gateway for Windows está sendo executado. Quando o auth_method “device” é usado, o dispositivo do usuário exibe essa mensagem quando é solicitado que o usuário verifique o acesso.
"choices"	["device", "transient", "totp", "smsotp", "emailotp", "voiceotp"]	Esse valor define os tipos de 2FA que são apresentados ao usuário para o método de autenticação de "winpwd-then-choice-then-otp".
"transient-choices"	[ {"choice": "phoneNumbers", "sub-choices": ["mobile", "work"]}, "emails" ]	Esse valor é opcional e padronizado como ["phoneNumbers","emails"]. Esse valor define os tipos de métodos OTP temporários que são apresentados ao usuário quando o 2FA temporário é ativado. É possível especificar as subescolhas para "phoneNumbers". Os clientes geralmente usam essa opção para restringir os números de telefone para "mobile". Sequências ou objetos detalhados, ou ambos, podem ser intermisturados na matriz "transient-choices", para permitir a compatibilidade com versões anteriores.
"no-mfa-on-unlock"	true \| false	Esta entrada é padronizada para false. Quando configurada como true, nenhuma entrada 2FA é solicitada, apenas a senha é necessária para desbloquear a área de trabalho.
"poll-timeout"	60	Esse valor é opcional e padronizado para 60 segundos. Esse valor especifica por quanto tempo uma notificação de PUSH de um dispositivo espera para ser aprovada ou negada pelo usuário. Se o tempo limite for atingido, a solicitação será negada automaticamente.
"poll-rate-ms"	1000	Esse valor é opcional e padronizado para 1000 milissegundos. Este valor especifica com que frequência o Verify Gateway for Windows Login verifica o servidor Verify para determinar se o dispositivo PUSH foi negado ou aprovado. Ele afeta o quão responsiva é o IBM Verify Gateway para o Login do Windows é para o dispositivo PUSH. Nota: Os valores da taxa de pesquisa pequenos enviam muitos pedidos por segundo para o servidor Verify , o que aumenta sua carga.
"ignore-isvalidated"	false	Este valor é opcional e padronizado como false. Quando configurado como true, o Verify Gateway for Windows Login permite métodos 2FA que não são validados.
"username-format"	“%D\\%U”	Esse valor é opcional e padronizado como “%D\\%U”. Ele define como mapear o domínio do usuário do Windows e o nome para o username Verify . Ocorrências de `%D` são substituídas pelo domínio do usuário do Windows, e ocorrências de `%U` são substituídas pelo windows username na string que é fornecida. Os valores `%D` e `%U` são opcionais na sequência.
"disable-builtin-password-logon"	false	Este valor é opcional e padronizado como false. Quando configurado como true, o Provedor de Credenciamento de senha integrado do Windows é desativado, e deixa apenas o provedor de credenciamento de Login Verify Gateway for Windows . Se configurado como falso, então ambos são disponibilizados pelo Logon do Windows como uma escolha. Em ambientes de produção, configure esse valor como true para garantir que os usuários não possam contornar o provedor de credencial de Login Verify Gateway for Windows , selecionando o provedor de credencial Windows.
“rdp-only”	false	Este valor é opcional e padronizado como false. Quando configurado como true, o provedor de credencial do Verify Gateway for Windows Login é usado apenas com o logon do Remote Desktop. Ele não é usado para outros tipos de logon, como um logon da área de trabalho local.
“no-mfa-account”	“DOMAIN\\User”	Esse valor é opcional e padronizado para não ter uma conta que possa ignorar o MFA. Se configurado, cada logon do usuário será comparado com essa conta. A comparação não faz distinção entre maiúsculas e minúsculas. Se ele corresponde, então o usuário usa o auth-method de "winpwd", que não requer o 2FA ou acesso ao servidor Verify . Apenas a senha do Windows é necessária para fazer logon. Esta é uma conta especial que permite o acesso ao dispositivo mesmo que o serviço Verify esteja inacessível. Nota: Você pode querer bloquear esta conta do acesso RDP. O administrador do Windows pode bloquear esse acesso.
"username-table"	`"username-table": [ { "from": "testuser1", "to": "testuser1@x.y.com" }, { "from": "testuser2", "to": "testuser2@x.y.com" } ]`	Este atributo mapeia o nome do usuário para um novo valor. Se o nome do usuário não estiver na tabela, ele será usado no estado em que se encontra.
"rastreio-rolagem"	0	Especifica o tamanho máximo aproximado em bytes do arquivo de rastreio quando o arquivo é salvo e um novo arquivo de rastreio vazio é criado. O arquivo de rastreio é salvo renomeando-o anexando o registro de hora atual.
"trace-localtime"	false	Especifica se os registros de data e hora do arquivo de rastreio devem estar no horário local Por padrão os registros de data e hora usam UTC.
"trace-prefix-all"	false	Especifica se todas as linhas de rastreio devem ser prefixadas com um registro de data e hora. Por padrão, as linhas de captura de rastreamento de solicitação/resposta da API Verify REST são prefixadas apenas na primeira linha.
"modo de falha inseguro"	false	Permite o login usando apenas a senha e sem 2FA se a conexão com a API REST do locatário Verify não puder ser estabelecida.
"nome de usuário-attr"	uid	Ao usar Active Directory, o nome de usuário Verify para usar 2FA pode ser obtido de um atributo do usuário Active Directory que está conectado como.
"nome de usuário-cd-attr"	"urn:ietf:params: scim:schemas: extension: ibm:2.0:User:customAttributes.userAlias"	O usuário Verify com 2FA é localizado ao encontrar um usuário Verify que tenha esse atributo com um valor que corresponda ao nome de usuário de login do Windows.
"nome de usuário-atributo-estrito"	false	Se for definido como false, se o atributo "username-attr" não estiver presente no usuário Active Directory, o login usará o nome de usuário do Windows para localizar o usuário Verify para 2FA.
"formato-de-atributo-de-nome-de-usuário"	“%A”	Uma sequência para mapear o valor "username-attr". Qualquer %A é substituído pelo valor de atributo, permitindo que constantes de sequência sejam incluídas como prefixo e / ou sufixo. O padrão é apenas "%A", que não é nenhuma modificação.