Configurando configurações globais

Editar online

Use essas configurações para determinar como o locatário autentica os usuários.

Procedimento

  1. Selecione Autenticação > Provedores de identidade > Configurações globais.
  2. Selecione o provedor de identidade primário no menu que seu locatário usa para autenticar usuários quando eles efetuam login.
    Geralmente, o provedor de identidade primário para o locatário é o IBM® Verify Cloud Directory.
  3. Opcional: Em SAML 2.0, na seção "Configuração do provedor de serviços", atualize as configurações de federação do provedor de serviços SAML 2.0.
    1. Insira o ID da entidade.
      Normalmente, esse ID é gerado como https://Tenant-Name/saml/sps/saml20sp/saml20. Você pode modificá-lo para incluir um nome de host e um domínio personalizados.
      Observação: Se o ID da entidade for alterado, será necessário atualizar a configuração do parceiro com o valor mais recente do ID da entidade para as fontes de identidade existentes do SAML 2.0.
    2. Indique o tempo de validade da mensagem em segundos.
      É a tolerância em segundos durante a validação da mensagem IssueInstant recebida do SAML.
    3. Opcional: Se desejar ativar a verificação da Lista de Revogação de Certificados (CRL), marque a caixa de seleção “CRL ativada ”.

      Quando a CRL está ativada, ela verifica a lista de revogação de certificados. A verificação é realizada em todas as funções de criptografia para os provedores de identidade do SAML Enterprise que utilizam um certificado externo.

      Se a sua configuração não exigir a verificação da CRL, você pode mantê-la desativada, que é a configuração padrão. Algumas razões pelas quais você talvez não queira ativar a verificação de CRL são
      • Se você utilizar uma autoridade certificadora (CA) interna autoassinada.
      • Apresentam problemas de desempenho. Aplicações com grande volume de tráfego podem sofrer uma queda significativa no desempenho.
      • Estou com problemas de conectividade de rede. Os firewalls podem bloquear o acesso aos servidores CRL; as redes estão isoladas fisicamente ou sem acesso à Internet.
    4. Selecione um critério de seleção.
      Especifica qual chave ou certificado deve ser usado para assinar, validar, criptografar ou descriptografar diversas mensagens. Se houver várias chaves ou certificados com o mesmo SubjectDN nome que a chave ou o certificado com o alias especificado, esta configuração determina qual deles deve ser usado. Possui os três métodos de seleção a seguir.
      Somente alias
      Selecione a chave ou certificado com o alias especificado. Este método é o padrão.
      Tempo de vida mais curto
      Para assinatura, é usada uma chave válida com o tempo de vida disponível mais curto. Para validação, as chaves que possuem o mesmo SubjectDN são classificadas com base na disponibilidade vitalícia. As chaves são experimentadas sequencialmente começando com a chave que tem a disponibilidade de tempo de vida mais curta até que a validação seja bem-sucedida.
      Tempo de vida mais longo
      Para assinatura, é usada uma chave válida com o tempo de vida mais longo disponível. Para validação, as chaves que possuem o mesmo SubjectDN são classificadas com base na disponibilidade vitalícia. As chaves são experimentadas sequencialmente começando com a chave que tem a disponibilidade de tempo de vida mais longo até que a validação seja bem-sucedida.
    5. Marque a caixa de seleção “Ignorar a validação do destino URL ”.
      Indica se uma targetURL validação deve ser ignorada no ` SAML `. O valor padrão é false.
    6. Clique em “Adicionar URLs de destino permitidas” URL para adicionar URLs de destino permitidas.
      Você pode adicionar vários URLs.
    7. Selecione o formato padrão de ID de nome.
      • E-mail
      • Não especificado.
    8. Selecione o algoritmo de assinatura.
      Para a assinatura, um algoritmo assina digitalmente a mensagem SAMLAuthnRequest . Os valores suportados são RSA-SHA1, RSA-SHA256, RSA-SHA512, ECDSA-SHA256, ECDSA-SHA384 e ECDSA-SHA512. Quando estiver vazio, ele assume o valor padrão RSA-SHA256.
    9. Selecione o certificado de assinatura.
      Para fins de assinatura, este certificado é utilizado para assinar o SAMLAuthnRequest durante o login único. A seleção padrão refere-se ao certificado pessoal padrão que você configurou em Segurança > Certificados > Certificados Pessoais.
    10. Selecione o certificado de descriptografia.
      Use este certificado para descriptografar a mensagem de resposta do SAML recebida, caso ela contenha elementos criptografados durante o logon único. A seleção padrão refere-se ao certificado pessoal padrão que você configurou em Segurança > Certificados > Certificados Pessoais.
    11. Marque a caixa de seleção “Excluir SPNameQualifier ” em “ AuthnRequest ”.

      Indica se deve excluir SPNameQualifier em AuthnRequest quando for utilizado um formato não especificado nameid . O valor padrão é false, o que significa incluir o SPNameQualifier..

  4. Opcional: Na seção “Mapeamento de atributos ”, mapeie os atributos do provedor de identidade para IBM Verify o Cloud Directory.
    1. Selecione “Adicionar mapeamento de atributos ”.
    2. Especifique um atributo de provedor de identidade usando uma das opções a seguir:
      1. Selecione na lista de opções disponíveis a seguir:
        Nome do Atributo Descrição
        company Empresa do usuário.
        country O País do usuário.
        displayName Exiba o nome do usuário.
        email Endereço de e-mail do usuário no qual a notificação é enviada.
        family_name O sobrenome do usuário.
        given_name Nome fornecido do usuário.
        mobile_number Número do dispositivo móvel do usuário para o qual a notificação é enviada.
        userID Identificador exclusivo do usuário.
        Custom rule Atributo do provedor de identidade customizado. Se você selecionar “Regra personalizada ”, insira uma regra personalizada no editor de regras e clique em OK para salvar.
      2. Digite um nome de atributo no campo Selecionar um atributo. Este nome é um nome de atributo que não está disponível na lista de opções.
    3. Selecione um valor de transformação para transformar o atributo do provedor de identidade ou mantenha o valor padrão como “Nenhum ”.
      Nome do Atributo Descrição
      Uppercase Transforma o atributo em maiúscula.
      Lowercase Transforma o atributo em minúscula.
      Base64 Encode Transforma o atributo utilizando um algoritmo de codificação de base64.
      Base64 Decode Transforma o atributo utilizando um algoritmo de decodificação do padrão base64.
      Encode URI Transforma o atributo utilizando um método de codificação de URI.
      Encode URI Component Transforma o atributo utilizando um método de codificação de URI.
      Decode URI Transforma o atributo utilizando um método de decodificação de URI.
      Decode URI Component Transforma o atributo utilizando um método de decodificação de URI.
      Generate UUID if no value is evaluated Transforma o atributo para gerar identificadores universalmente exclusivos.
      Current Time (seconds) Transforma o atributo para tempo em segundos.
      Current Time (milliseconds) Transforma o atributo para tempo em milissegundos.
      SHA-256 Hash Transforma o atributo utilizando um algoritmo de SHA-256.
      SHA-512 Hash Transforma o atributo utilizando um algoritmo de SHA-512.
    4. Especifique um IBM Verify atributo. Para obter mais informações sobre atributos, consulte Gerenciamento de atributos.
      Observação: evite selecionar os seguintes atributos internos reservados, pois eles não estão mapeados para os atributos do provedor de identidade.
      • groupIds
      • preferred_username
      • realmName
      • tenantId
      • uid
    5. Especifique como o atributo é armazenado no perfil do usuário:
      • Sempre - Armazenar ou atualizar o atributo em cada login.
      • Somente na criação do usuário - Armazenar o atributo uma vez na criação da conta.
      • Desativar - Nunca armazenar ou atualizar o atributo.
    6. Repita o processo para cada atributo que você mapear.
  5. Opcional: Selecione a fonte de associação a grupos no menu a seguir para especificar a origem dos grupos de permissões de acesso do usuário:
    • Cloud Directory - As permissões de acesso do usuário são derivadas dos grupos de usuários no Cloud Directory.
    • Cloud Directory e Origem de identidade - As permissões de acesso do usuário são derivadas dos grupos de usuários no Cloud Directory e do token de origem de identidade, o qual inclui a solicitação groupIds.
    • Origem da identidade - As permissões de acesso do usuário são derivadas do token de origem de identidade, que inclui a solicitação groupIds.
      Observação: Se o token da fonte de identidade não contiver a groupIds reivindicação, você não receberá nenhuma permissão de pertencimento a grupos.
    • Regra personalizada - Se você selecionar "Regra personalizada ", insira uma regra personalizada no editor de regras e clique em OK para salvar. As permissões de acesso do usuário são derivadas com base na regra customizada.
  6. Na seção “Troca de sessão”, você pode selecionar os URLs de redirecionamento que podem ser enviados à Token Exchange API.
    A Token Exchange API aceita um redirect_url parâmetro que faz com que ela retorne um redirecionamento do navegador com uma sessão de login. O redirect_url deve corresponder a uma das expressões regulares nesta lista.

    Geralmente a URL é para uma URL específica que o usuário precisa acessar ou uma URL que é customizada para o seu negócio. Este recurso limita o redirecionamento para as URLs que você especificar.

    O redirect_url parâmetro é automaticamente permitido se,
    • Ele começar com o nome do locatário: https://<tenantname>
    • Ele começar com "/", o que significa que é uma URL relativa ao locatário.
    Caso contrário, a URL deve ser incluída aqui como uma expressão regular.
    Por exemplo, para usar caracteres comuns de URL com os escapes adequados:
    https://www\.example\.com\?key1=value1&key2=value2
    Para corresponder a tudo o que começa com um certo domínio, use o curinga *.
    https://www\.example\.com.*
  7. Selecione o provedor de identidade padrão no menu que é usado para autenticar por meio de dispositivos móveis.
  8. Selecione um identificador exclusivo no menu a ser usado para a identificação do usuário.
  9. Configurar limpeza automatizada de conta.
    1. Marque a caixa de seleção para ativar a limpeza automática.
    2. Selecione o número de dias que a conta pode ficar inativa.
    3. Selecione a população.
      • População inteira de usuários
      • Especifique um filtro SCIM.
  10. Clique em “Salvar alterações ”.