配置 SAML JIT 供应

在线编辑

IBM® Verify启用“即时 JIT ”配置,以便在用户首次通过 进行身份验证时,在服务提供商处创建或更新用户账户。 Verify 通过 SAML 断言传递创建或更新账户所需的用户信息。 如果服务提供者不需要在用户尝试访问服务提供者之前创建或知道用户身份信息,请使用 JIT 供应。

准备工作

  • 您必须具有管理许可权,才能完成此任务。
  • 在云目录中为您打算为其授予应用程序访问权利的用户创建用户概要文件。 请通过 “目录 > 用户与组 > 用户 ”页面添加用户。 请参阅 “管理用户 ”。
  • “常规 ”选项卡中设置应用程序实例的基本信息。 请参阅 “设置应用程序基本信息 ”。

关于此任务

在配置 SAML 与服务提供商之间的 Verify 单点登录时,请启用JIT配置。 请参阅

该用户账户是通过使用 SAML 断言中包含的属性,在服务提供商的用户注册表中创建的。 Verify 当用户作为单点登录流程的一部分访问服务提供商时,向该服务提供商发送一个 SAML 断言。 如果提交的用户名不存在匹配项, 服务提供商将使用 SAML 断言中包含的用户属性创建一个新账户。 服务提供者还会立即授予用户对所请求资源的访问权。

如果在 Verify 中启用 实时供应,那么还必须在服务提供者中启用此配置。 此设置必须始终处于同步状态。

可能会找到匹配项, 服务提供商account does exist 根据 SAML 断言中的属性信息更新该用户的账户。

某些服务提供商在启用配置功能时 JIT ,支持在用户后续登录时更新账户信息。 请参阅服务提供者产品文档以确定行为。

注: 已知行为。 如果管理员在 cloudIdentityRealm 中创建了一个标准用户,其用户名格式为 userNameuser@tenanthostname ,其中 tenanthostname 是租户的主机名。 hostname.idng.ibmcloudsecurity.com例如,。 user在(即时配置)流程中 JIT ,如果接收到的令牌包含用户名,则不允许联合用户为此用户创建账户;相反,出于易用性考虑,将把来自 cloudIdentityRealm 的标准用户 user@tenanthostname 配置为默认用户。

过程

  1. 选择 “应用程序” > “应用程序” > 编辑 > “登录”
  2. “即时配置 ”部分,请中“在 SAML 断言中包含配置属性”选项,以列出服务提供商在用户注册表中创建或更新用户帐户所需的用户属性。
    注: 根据具体应用情况,此选项可能……
    • 始终在服务提供者处启用。 Verify因此,在.中,该功能默认处于启用且只读状态。 无需指定配置属性,也无需进行更多配置。
    • 显示服务提供者在供应用户帐户时所需的属性。 服务提供者通常至少需要以下用户属性:
      • 用户名
      • 名字
      • Surname
      • 电子邮件地址
    • 显示服务提供商在为用户账户进行配置时所考虑的属性。 例如
      • 员工标识
      • 手机号
      • 部门
      • 职位
    • 要求配置属性与单点登录的要求属性保持一致。

      复选框是否被选中并不重要。 Verify当用户完成与.的单点登录后,系统将为其创建用户账户。

  3. “属性映射 ”中,为每个服务提供商属性分配一个对应 Verify 的用户属性。

    根据服务提供者需求映射这些属性。

    Verify使用属性映射来控制应用程序如何从...中计算用户属性。 服务提供商的属性将填充映射 Verify 的用户属性所包含的任何值。

    注: 显示的属性列表及其重要性因应用程序而异。 某些单点登录属性可能是资源配置的必要条件。
  4. 点击 “保存”
  5. 服务提供商处配置 JIT 配置。 Verify 请参阅 “登录 ”选项卡中提供的说明。

结果

注意: 当有权限的用户首次通过 Verify 访问该应用程序时,系统会提示用户接受条款和条件。 该用户帐户是在应用程序级别供应的,用户可以登录到该应用程序。