在 Microsoft 365 中配置WS-Federation应用程序 IBM Verify

在线编辑

将 Azure Active Directory 配置为服务提供者后,将 IBM® Verify 配置为身份提供者。

准备工作

  • 您必须具有管理许可权,才能完成此任务。
  • 登录管理控制台 IBM Verify

过程

  1. 选择 “应用程序” > “应用程序”
  2. 选择 “添加应用程序 ”。
  3. 选择“ Microsoft 365 ”,然后选择 “添加应用程序 ”。
  4. 选择 “登录 ”选项卡,并填写以下信息:
    注意: 点击复选框可禁用登录功能。
    设置 描述
    登录方法 指定登录方法。 选择“ SAML2.0 ”作为登录方式。
    服务提供商 ID* 指定用于向合作伙伴提供者标识提供者的唯一标识。
    断言使用者服务 URL (HTTP-POST) 安全性令牌将发送到此服务提供者端点。 保留为缺省值。
    联合 Microsoft 365 的多个域 选中此复选框,可为 Microsoft™ 365 进行多域联合,并配置多个服务主体名称。
    IssuerUri 后缀 此设置仅在勾选 “为 Microsoft 365 联合多个域名 ”时生效。 选择一个属性源,其值将被追加到令牌的 IssuerUri 字段中; 选择(默认)时,默认用户的UPN或电子邮件域将被追加到令牌的 IssuerUri 字段中。
  5. 使用数字签名在 IBM Security® Verify 与服务提供商之间建立信任。
    设置 描述
    断言签名 选中此复选框以指定 IBM Verify 是否对发送至 Azure Active Directory 的安全性令牌签名。
    签名算法 指定用于通过两个受支持算法签名的算法。 保留为缺省值。
    签名证书 指定为 IBM Verify 选择的用于对安全性令牌签名的证书。 保留为缺省值。
  6. 在 SAML 断言中配置 SAML 主题,以识别已认证的用户。
    设置 描述
    名称标识 此选项在 SAML 断言中配置 SAML 主体集以标识已认证用户。 保留为缺省值。
  7. 将已知的用户属性或其他需要包含在 SAML 断言中的属性进行映射。
    设置 描述
    属性名称 - UPN 指定 UserPrincipalName 属性。

    属性源菜单中选择以指定 UserPrincipalName 属性。

    有关 UserPrincipalName 属性的更多信息,请参阅用户命名属性
    属性名称 - ImmutableID 指定 ImmutableID 属性。

    属性源菜单中选择以指定 ImmutableId 属性。
  8. 上载用于 Kerberos 认证的密钥表文件。
    设置 描述
    上载密钥表文件 该配置仅适用于混合 Azure Active Directory 加入。 有关上传 keytab 文件的更多信息,请参阅《 配置服务主体名称 (SPN) 和 keytab 文件以进行 Kerberos 身份验证 》。
  9. 配置用于 Kerberos 认证的服务主体名称 (SPN)。
    设置 描述
    服务主体名称 该配置仅适用于混合 Azure Active Directory 加入。 有关服务主体名称的更多信息,请参阅 《配置用于 Kerberos 身份验证的服务主体名称 (SPN) 和Keytab文件 》。
  10. 配置请求者配置文件的激活设置。
    设置 描述
    缺省身份提供者 将缺省身份提供者指定为云目录
    请求规则 您可以指定一个定制规则以变换活动请求者概要文件流的用户名。
    1. 可选: 测试您的请求规则,以确保其按预期运行。
  11. 选择访问策略以执行第二因子认证以及(可选)自适应访问授权。
    设置 描述
    访问策略 - 设置 指定第二重认证的访问策略。 自适应访问授权是可选项。

    缺省情况下,使用缺省策略复选框处于选中状态。
  12. 点击 “保存”
  13. 选择 “权限 ”选项卡,并配置 “访问类型 ”。
    注意: 有关 “权限 ”的更多信息,请参阅《 管理应用程序权限(由管理员或应用程序所有者执行)》
  14. 点击 “保存”