添加 SAML Enterprise 身份提供者

在线编辑

您可以将任何支持 SAML 协议的身份提供商用作 SAML Enterprise的身份提供商Verify身份提供商在授予访问权限之前,会根据其自身存储的数据对用户身份进行验证。

过程

  1. 选择 “身份验证 ”> “身份提供商 ”。
  2. 选择 “添加身份提供商 ”。
  3. 选择“ SAML Enterprise ”。
  4. 选择 “下一步”
  5. “常规 ”页面中,请填写以下信息。
    名称
    请为您的身份提供商指定一个易于识别的名称。

    这是一个身份提供商属性,用于区分来自多个身份提供商且用户名相同的用户。

    此名称在预订中的所有其他已配置身份源中必须唯一。 名称可以包含任何字母数字字符。 不允许使用除了点 (.) 和连字符 (-) 之外的特殊字符。

    允许的最大字符串长度为 253,这与域名的最大长度类似。
    注意: 名称一经创建,便无法修改。
    标识
    保存配置后,将创建标识。
    已启用
    选中此复选框,即可使用此身份提供商进行登录。

    指示身份提供程序是否处于活动状态且可供使用。

    配置并启用身份提供商后,用户即可通过所选的身份提供商,对 Verify 及其有权访问的应用程序进行单点登录。 如果未启用身份提供程序,那么不会将其显示为“登录”页面中的选项。
    注意:
    • 必须至少有一个身份提供者才能登录到 Verify
    • 如果仅启用一个身份提供程序,那么其将成为用户的缺省登录选项。
    使用唯一标识
    选中此复选框,为该身份提供商分配一个唯一标识符。 借助此功能,可以配置多个身份提供商,每个提供商都有其唯一的标识符,但它们可以使用相同的提供商标识符。
    注意: 此值为随机生成,身份提供商创建后无法更改。
    • 该唯一标识符已嵌入到服务提供商的端点 URL 中 Verify
    • 如果未启用,则该身份提供商是唯一可以使用“提供商 ID”进行配置的身份提供商。
  6. 选择 “下一步”
  7. 身份提供商提供以下服务提供商元数据属性。 可以复制信息或下载元数据文件。
    实体标识
    指定 SAML 身份验证请求中的发行者,以及任何传入 SAML 身份验证响应的目标受众。
    注: 实体 ID 基于主主机名。 使用自定义主机名时,该情况不会改变。 下载元数据文件,以获取在手动配置具有自定义主机名的合作伙伴时所需的相应值。
    断言使用者服务 URL

    指定服务提供商处用于接收 SAML 身份验证响应的端点。

    身份提供商SAML 的身份验证响应重定向至此 URL。 此端点用于接收并处理 SAML 断言

    单点注销 URL

    指定服务提供者接收 SAML 注销请求和响应的端点。

    身份提供者将 SAML 注销请求和响应重定向至此 URL。 此端点接收并处理 SAML 注销请求和响应。

    NameID 管理层 URL

    指定服务提供商处的端点,该端点用于根据身份提供商的要求,同步用户标识符( NameID )的变更。

    身份提供商将 NameID 映射更新或终止请求发送至此 URL。 该端点可确保在用户的唯一标识符发生变更时,服务提供商与身份提供商之间的身份同步保持一致。

  8. 选择 “下一步”
  9. 请选择单选按钮,以指定是由服务提供商还是身份提供商发起 SAML 单点登录流程。
    • 服务提供商。
      .xml 注意: 选择此选项后,您需要以 格式上传身份提供商的元数据。
    • 身份提供程序
      在此方案中:
      1. 用户在身份提供者站点具有帐户。
      2. 用户登录到身份提供者站点或使用身份提供者单点登录 URL 来从服务提供者访问受保护资源。
      3. 身份提供者发起一个 SAML 身份验证响应 ,该响应声明用户已通过身份验证。
      4. 服务提供商验证 SAML身份验证响应
      5. 用户的浏览器重定向到服务提供者目标 URL,并且该用户有权访问所请求的资源。
      如果您选择了“身份提供商”,则必须提供单点登录的 URL。 这是用于启动从身份提供者单点登录到服务提供者的 URL。
  10. 选择 “下一步”
  11. 可选:“单点注销 ”页面上,指定传入的注销请求和响应消息是否需要签名。
    • 如果入局注销请求消息需要签名,请选择验证注销请求签名
    • 如果入局注销响应消息需要签名,请选择验证注销响应签名
    注意:
    • 如果您上传的身份提供商元数据文件中包含带有 HTTP POST绑定 的 SingleLogoutService 元素,则该身份提供商将启用单点注销功能。
    • https://<tenant-Host>/saml/sps/saml20sp/saml20/sloinitial?RequestBinding=HTTPPost服务提供商发起的单点注销的 URL 类似于以下请求回调:。
    • Verify如果当前会话中的 SAML 身份提供商未响应从 发送的注销请求,则单点注销将在该身份提供商处终止。 要恢复单点注销功能,用户必须再次执行单点注销操作。
  12. 选择 “下一步”
  13. 可选:“即时配置和身份关联 ”页面上,指定是否启用即时配置和身份关联。
    1. 选择是否启用即时配置
      此选项将在与 SAML 身份关联的主身份提供商域中创建并更新用户帐户。 如果“即时配置”功能处于关闭状态,当用户尝试使用此身份提供商登录时,如果目录中不存在匹配的用户记录,则无法通过身份验证。
    2. “唯一用户标识符 ”菜单中,指定一个用于识别身份提供商用户注册表中用户的属性。
      如果您为该身份提供商选中“启用身份关联”选项,则必须提供 UUID。
    3. 选择一个转换值来转换 “唯一用户标识符 ”的值,或保留默认值 “ ”。
    4. 选中 “为此身份提供商启用身份关联 ”复选框。
      为特定的身份提供商启用身份关联。 在为该身份提供商指定的域中,Cloud Directory 中未创建影子账户。
      注意:
      1. 您无法在已设为默认身份提供商的身份提供商上启用链接功能。
      2. 您无法禁用或删除默认的身份提供商。
      如果启用身份链接,请选择要用于帐户的唯一标识。 Username 该唯一标识符将与云目录账户的 属性进行比对。
    5. 从“外部 ID ”菜单中选择一个用于识别身份提供商用户注册表中用户的属性,或指定自定义外部 ID。
      默认值是用户 ID
    6. 选择一个转换值来转换 “外部 ID ”的值,或保留默认值 “ ”。
    7. 请选择是否启用 “强制认证”以实现账户关联
      此选项仅适用于使用持久化 nameid 格式 SAML 令牌的流程。 如果选中此选项,系统将首先提示用户对关联的域进行身份验证,以便将经过身份验证的用户账户与 SAML 令牌的主体相关联。 如果未选中, nameid 则不支持对 SAML 企业身份提供商进行管理操作。
  14. 选择 “下一步”
  15. 可选:“属性映射 ”页面上,将 SAML 企业身份提供商的属性映射到 IBM® Verify Cloud Directory。
    注意: 如果您未进行选择,系统将应用“全局设置”中指定的属性映射。 否则, SAML 企业身份提供商中指定的属性映射将覆盖“全局设置”中的选择。 有关 “全局设置 ”的更多信息,请参阅 “配置全局设置 ”。
    1. 选择 “添加属性映射 ”。
    2. 请使用以下选项之一指定 SAML 企业身份提供商的属性。
      1. 请从以下列表中选择。
        属性名称 描述
        company 用户的公司。
        country 用户所在的国家或地区。
        displayName 用户的显示名称。
        email 用户接收通知的电子邮件地址。
        family_name 用户的姓氏。
        given_name 用户的名字。
        mobile_number 用户接收通知的手机号码。
        userID 用户的唯一标识。
        Custom rule 自定义的 SAML 企业身份提供商属性。 如果选择 “自定义规则 ”,请在规则编辑器中输入自定义规则,然后单击 “确定 ”进行保存。
      2. 选择属性字段中输入属性名称。 这是在选项列表中不可用的属性名称。
    3. 选择一个转换值来转换 SAML 企业身份提供商的属性,或保留默认值 “ ”。
      属性名称 描述
      Uppercase 将属性转换为大写。
      Lowercase 将属性转换为小写。
      Base64 Encode 使用base64 编码算法的Transforms属性。
      Base64 Decode 使用base64 解码算法的Transforms属性。
      Encode URI 使用 URI 编码方法的 Transforms 属性。
      Encode URI Component 使用 encode URI 组件方法的 transforms 属性。
      Decode URI 使用 decode URI 方法的 Transforms 属性。
      Decode URI Component 使用“解码 URI 组件”方法的转换属性。
      Generate UUID if no value is evaluated 变换属性以生成通用唯一标识。
      Current Time (seconds) 将属性转换为时间(以秒为单位)。
      Current Time (milliseconds) 将属性转换为时间(以毫秒为单位)。
      SHA-256 Hash 使用 SHA-256 算法的Transforms属性。
      SHA-512 Hash 使用 SHA-512 算法的Transforms属性。
    4. 指定一个 IBM Verify 属性。 有关属性的更多信息,请参阅 “管理属性 ”。
      注意: 请避免从以下保留的内置属性中进行选择,因为这些属性未与身份提供商的属性进行映射。
      • groupIds
      • preferred_username
      • realmName
      • tenantId
      • uid
    5. user profile指定该属性在.中的存储方式。
      • 始终 - 每次登录时存储或更新属性。
      • 仅在创建用户时 - 自账户创建之日起存储该属性。
      • 禁用 - 从不存储或更新属性。
    6. 注意: 对于每个添加并映射的属性,您都必须重复此过程。
  16. 可选:以下“组成员资格来源 ”中选择一项,以指定用户访问权限组的来源。
    注意: 配置组成员身份来源时请务必谨慎。 如果配置为从身份源派生,则用户访问权限将从身份提供商令牌中派生,该令牌包含该 groupIds 声明。 IBM VerifyIBM Verify如果该 groupIds 声明的值为“保留的系统组”,则用户登录后将获得“保留的系统组”权限。
    • Cloud Directory - 用户访问许可权是从 Cloud Directory 中的用户组派生的。
    • 云目录和身份源 ——用户访问权限源自云目录中的用户组以及身份提供商的令牌,该令牌包含 groupIds 声明。
    • 身份来源 ——用户访问权限源自身份提供商的令牌,该令牌包含该 groupIds 声明。
      注意: 如果身份提供商的令牌中不包含该 groupIds 声明,则您将无法获得任何组成员权限。
    • 自定义规则。 如果您选择 “自定义规则 ”,请在规则编辑器中输入自定义规则,然后单击 “确定 ”进行保存。 用户访问许可权是根据定制规则派生的。
    注意: 如果您未进行选择,系统将应用 “全局设置 ”中选定的 “组成员资格来源 ”。 否则,在 SAML 企业身份提供商中选定的组成员来源将覆盖 “全局设置 ”中的选择。
  17. 选择 “下一步”
  18. 可选: 如果您已创建隐私配置文件,请从菜单中选择一个配置文件。
    隐私配置文件要求该目录中的用户审阅并同意一组数据使用目的、用户许可协议(EULA),或两者兼而有之。 请参阅 “管理隐私配置文件 ”。
  19. 选择 “下一步”
  20. 可选: 如果您已启用 CI-108233 的公开预览版,请选择是否启用用户邀请功能。
    邀请函是通过 POST /v1.0/usc/user/invitation API 创建并发送的。 请参阅 “邀请用户”。 选中 “启用用户邀请 ”复选框,即可邀请他人注册成为新用户。 您还可以为用户选择一个用户资料,以便该用户在接受邀请时填写更多信息。 请参阅 “管理用户配置文件 ”。
  21. 点击 “完成”
    身份提供者的配置将以编辑模式打开。