IBM Verify Bridge

在线编辑

IBM® Verify Bridge 组件提供 IBM 对用户属性的云端访问,并支持由客户本地部署的 LDAP、 Active Directory 或自定义数据库控制的身份验证。

简介

该组件 Verify Bridge 支持通过 LDAP、 Active Directory 或自定义数据库进行身份验证,并可访问来自这些组件的用户属性 IBM Verify

Verify BridgeIBM Verify 之间的主要连接采用 HTTP 或 HTTPS 长轮询。 此连接由 发起,并需要一个授权访问令牌,该令牌由 Verify Bridge Bridge 在启动时获取,并会定期刷新。 Verify Bridge建立长轮询连接后,流量从 Verify 流向。

组件概述

下图展示了该 Verify Bridge 架构的主要组成部分。

该图展示了 LDAP 以及非 LDAP 支持的身份来源的替代流程。
工作负载
将工作负载请求分派到表示身份源的代理程序的任何已连接实例。 这提供了高可用性 (HA) 和可扩展性能。 将选择任何代理程序。
LDAP 代理程序身份 Source1
每个身份源都可以部署多个网桥代理实例。 多个实例使网桥代理集群能够为给定身份源的请求和工作负载提供服务。
LDAP 源 1 (Replica2)
每个网桥代理实例都必须能够连接到实际外部数据存储库的相同或副本。 每个主 URL 和副本 URL 都配置为代理程序连接信息的一部分。 按照配置中提供的顺序尝试连接。
在此图中:
  1. Verify 框中所示的流和框仅是概念性的。
  2. 可以为身份源部署网桥代理程序的多个实例。 此功能启用针对身份源服务器请求和工作负载的网桥代理程序集群。 每个网桥代理程序实例必须能够连接到实际外部数据存储库或其副本。
注意:
  • 现在,使用 IP 地址指定主机时,将强制验证 LDAP TLS 服务器证书。 升级后,可能无法运行已使用的 TLS 和 IP 地址。 有以下两个选项可供受此更改影响的人员使用:
    • "LdapCertHostName" "{your cert host name}"请使用可选配置项指定 LDAP 服务器证书的主机名。
    • 更改 LDAP URI 以使用 LDAP 服务器证书主机名。 如果在选择解决方案之前需要临时立即变通方法,请将可选配置 "InsecureSkipVerify" 设置为 "true"

  • V1.0.9 和更高版本已不再接受依赖于旧版公共名称字段的证书。 这些证书必须改为使用 SAN(主体备用名称)。 如果必须使用旧版公共名称字段主机名标识,请为 Windows onprem.exe 进程设置 GODEBUG='x509ignoreCN=0' 环境变量,或者将其传递到 Docker 映像。

支持的软件

操作系统
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2012 R2
  • Windows Server 2022
  • Windows Server 2025
  • Linux 支持 Docker 引擎 19.03.0 或更高版本的系统