Obtendo um nome do host do Vanity

Editar online

Se você deseja oferecer uma experiência personalizada quando os usuários interagem com fluxos relacionados à identidade na sua organização, pode adquirir um nome de host personalizado para o seu IBM® Verifylocatário. Você pode personalizar o login, o cadastro, a gestão do perfil e muito mais.

Antes de começar

Observação: entre em contato com seu representante de vendas para adquirir seu nome de host personalizado. É necessário adquirir o nome de host personalizado antes de poder configurá-lo.

Para configurar um nome de host personalizado, você e IBM devem seguir várias etapas de configuração. Para iniciar o processo, você deve preencher o IBM Formulário de Provisionamento de Certificado de Nome de Host Personalizado, fornecido pelo escritório do projeto IBM.

Verifique também os seguintes itens.

  • Entenda a sintaxe e as opções do nome de host do Vanity e escolha a melhor opção para a sua organização, com base nas práticas de certificação da sua organização.
  • Entenda os pré-requisitos.
  • Entre em contato com seu representante da IBM® para adquirir um nome de domínio de subdomínio e um nome de domínio personalizado.
  • Certifique-se de que consegue entrar em contato com os administradores de DNS/site da sua organização para a validação do domínio.
  • O cliente deve ser o proprietário do domínio do nome de host personalizado. Se o nome de host personalizado for sso.acme.com, sua organização deve ser proprietária do domínio acme.com.
  • O nome de host fictício deve ser único e não pode já existir. Isso se aplica ao locatário e deve ser usado exclusivamente para IBM Verify esse fim.

Sobre esta tarefa

Um nome de host personalizado é um nome de host definido por você para o seu IBM Verify locatário. O nome de host padrão do locatário é IBM. Com um nome de host personalizado, o cliente pode personalizar o nome de host de forma que IBM não seja exibido no URL. Por exemplo, o nome de host do seu locatário do Verify pode ser acme.verify.ibm.com, mas talvez você prefira que os usuários vejam, em vez disso, um nome de host personalizado como login.acme.com.

Sintaxe do nome de host personalizado
Quando sua organização recebe um IBM Verify locatário pela primeira vez, o endereço do locatário URL segue a seguinte sintaxe. <tenant identifier>.<domain> Em que
  • <tenant identifier> é o identificador do locatário fornecido. Um exemplo pode ser <acme>.
  • <domain> O padrão é <verify.ibm.com>, mas pode ser personalizado para um nome de host personalizado.
  • O nome completo do host neste exemplo é acme.verify.ibm.com, que é o URL que os usuários veem ao fazer login, juntamente com outras interações de identidade habilitadas pelo IBM Verify.
Cada nome de host fictício requer um certificado para permitir a negociação SSL entre o usuário e Verify.
  • Os certificados devem ser assinados por uma autoridade certificadora “confiável”. Eles não devem ser autoassinados.
  • A seção a seguir descreve o provisionamento do certificado para um nome de host personalizado.
  • Após o provisionamento do certificado, o IBM realiza etapas adicionais para concluir o provisionamento de um nome de host personalizado. Essas etapas adicionais levam aproximadamente cinco dias úteis para serem concluídas.
Opções de configuração do certificado
Cada certificado deve ter um "Nome Comum" (CN). Ele também pode ter "Nomes Alternativos do Assunto" (SANs). O certificado abrange todos os nomes de host listados como CN ou SAN.
Observação: Caracteres curinga, por exemplo, *.sso.acme.com não são suportados nem para CN nem para SAN.
Se você fornecer apenas um “Nome Comum” ao preencher o formulário do certificado, será necessário um certificado específico para cada nome de host personalizado.
Se três locatários do Verify precisarem de um nome de host personalizado e apenas o “Nome Comum” for fornecido, a organização arcará com os custos de cada nome de host personalizado, pois cada um deles possui seu próprio certificado. Neste exemplo, é necessário adquirir três nomes de domínio personalizados.
CN = sso.acme.com

CN = sso-qa.acme.com

CN = sso-dev.acme.com
Observação: quando um usuário se autentica por Verify meio de um desses nomes de host personalizados, como sso.acme.com, ele vê apenas o nome de host personalizado que está sendo usado. O usuário não vê sso-qa.acme.com e sso-dev.acme.com que também são nomes de host personalizados válidos. Os possíveis invasores não conseguem descobrir facilmente todos os nomes de host personalizados. Eles só conseguem ver aquele que estão usando.

Se forem fornecidos “Nomes SAN” além do “Nome comum” ao preencher o formulário do certificado, cada nome SAN será incluído no mesmo certificado que o “Nome comum”.

Se três locatários do Verify precisarem de um nome de host personalizado em que o “Nome Comum” seja fornecido juntamente com dois nomes SAN, a organização pagará apenas por um nome de host personalizado. Neste exemplo, é necessário adquirir um nome de host personalizado.
CN = sso.acme.com
  SAN = sso-qa.acme.com
  SAN = sso-dev.acme.com
Observação: quando um usuário se autentica por Verify meio de um desses nomes de host personalizados, como sso.acme.com, ele também pode ver os outros nomes de host personalizados abrangidos pelo certificado. Nesse caso, sso-qa.acme.com e sso-dev.acme.com. Infelizmente, possíveis invasores podem usar essas informações. Isso facilita a identificação de todos os nomes de host personalizados válidos.
Se você quiser mudar do plano “SAN” para o plano “CN”, será necessário reiniciar o processo e se adequar à estrutura de preços do plano “CN”.
Opções de emissão de certificados
Após selecionar uma opção de nome de host personalizado, as organizações devem escolher entre “Certificado provisionado pelo IBM ” ou “Certificado de terceiros” para validar ou provisionar o certificado.
IBM provisionado
IBM pode solicitar certificados em nome da organização. IBM utiliza DigiCert como provedor de certificados e DigiCert assina os certificados.

O tipo de validação do certificado é OV (Validação da Organização) e o cliente deve passar pelo processo de validação DigiCert para o certificado. Na qualidade de autoridade certificadora, a Digicert deve verificar de forma independente se o proprietário do domínio solicitado aprovou o certificado. Este processo de validação do DigiCert é independente e não está relacionado às IBM Verify interações.

O processo inclui a verificação do endereço da empresa e a verificação do administrador do domínio. A interação com DigiCert ocorre diretamente entre DigiCert e o cliente.

Se você selecionar a opção “ IBM ”, o processo é o seguinte.
  1. Informe ao administrador do seu domínio, cujos dados constam em whois.com DigiCert, que será enviada uma solicitação de validação de domínio.
  2. Envie a validação para DigiCert o mais rápido possível.
  3. DigiCert em seguida, tenta entrar em contato com o contato administrativo indicado no Formulário IBM de Provisionamento de Certificado de Nome de Host Personalizado, utilizando um número de telefone validado que pertença à sua organização. A validação é feita por meio de uma ligação telefônica ao vivo.
    Observação: dependendo da capacidade do DigiCert de localizar os contatos corretos na organização, podem ser necessárias várias tentativas.
Certificado de terceiros
Com um certificado de terceiros, as organizações podem utilizar a autoridade certificadora de sua escolha após o site IBM gerar uma solicitação de assinatura de certificado (CSR).
As etapas a seguir ilustram o fluxo do processo.
  1. IBM Gera o CSR.
  2. IBM envia este CSR para a sua organização.
  3. Sua organização envia este CSR para sua própria CA. Sua organização pode escolher o tipo de validação que desejar.
  4. Sua CA devolve o certificado assinado à sua organização.
  5. Sua organização envia o certificado (certificado final + cadeia de confiança: certificados intermediário e raiz) para IBM

Procedimento

  1. Baixe e preencha o Formulário de Emissão de Certificados do IBM Verify.
    Certifique-se de preencher todos os campos obrigatórios.
  2. Criar um ticket de suporte
    Acesse a se ção “Como abrir um ticket” e abra um ticket com o assunto “Solicitação de nome de host personalizado para nome do cliente ”, anexando o formulário de nome de host personalizado ao ticket.
  3. Crie um registro DNS CNAME que direcione seu nome de host personalizado para o locatário correspondente IBM Verify .
    Somente a sua organização pode criar o registro DNS CNAME. Por exemplo, sso.clienthostname.com CNAME <tenant>.verify.ibm.com.
  4. Depois que o DNS CNAME estiver configurado corretamente, informe a IBM por meio do ticket de suporte criado anteriormente.
    O nome de host fictício ainda não está disponível. IBM ainda precisa concluir mais etapas.
  5. IBM conclui a configuração restante.
    Quando essa etapa for concluída, o IBM notificará sua organização e o nome de host personalizado estará pronto para uso.