该文档介绍了相关流程,包括配置代理以与 LDAP 服务器进行通信,以及指定用户属性以实现安全用户身份验证。
关于此任务
社交身份提供商只需设置一次,仅作为应用程序的登录选项使用。 该账号无法用于登录管理控制台 IBM® Verify 或“我的主页”。
过程
- 选择 。
- 选择 “创建代理配置”。
- 选择 “身份验证 ”作为用途。
- 选择“ LDAP ”磁贴。
- 配置连接设置。
提供以下信息以定义 LDAP 连接属性。
- 外部 LDAP 主机 URI
- 此属性是本地 LDAP 服务器连接信息。 对于集群 LDAP 故障转移设置,可以通过选择添加 URI 来添加多个 LDAP 服务器 URI。
- 基本
- 此属性是用户的 LDAP 容器搜索条件。
- LDAP 绑定 DN
- 此属性是 LDAP 服务器连接用户。
- LDAP 绑定密码
- 此属性是 LDAP 服务器连接密码。
- LDAP 认证中心证书
- 此可选属性是在本地代理程序需要与 LDAP 服务器进行 TLS 连接时使用的 SSL 证书。
- 查看其他设置
- 您可以定义以下设置。
- 启用 LDAP 是否需要 TLS。
- LDAP 服务器的最大同时 LDAP 连接数。
- 成功的密码认证结果会被缓存多长时间。
- 保持连接的时长。
- 在 LDAP 服务器关闭连接之前的空闲时间。
- 处理请求的最长时间。
- 单击下一步。
- 提供用户属性。
- 属性
- 此属性是从成功密码验证操作返回的 LDAP 用户属性的逗号分隔列表。
- 二进制属性
- 此属性是从成功密码验证操作返回的二进制 LDAP 用户属性的逗号分隔列表。
- 用户名属性
- 此属性是用于查找用户以进行密码验证的命名属性,例如 user id。
注意: 用户名标识符属性区分大小写。 该默认属性 samaccountName 适用于早期版本的 Windows Active Directory。 对于 2016 版及更高版本的 Active Directory ,该属性为 sAMAccountName.
- 对象类
- 此属性是 LDAP 用户可以具有的对象类的逗号分隔列表。 对象类和 username 属性配合用于查找用户以进行密码验证。
- 选择 “下一步”。
- 将身份提供商的属性映射到 Cloud Directory 的 Verify 属性。
创建身份代理后,您可以通过代理磁贴上的编辑功能
来更改或更新映射。
- 选择 “下一步”。
- 在 “完成配置 ”中,请提供以下信息。
- 代理程序的唯一可识别名称
- 描述
- 身份提供商的显示名称
- 身份提供商的域
- 可选: 选择 “查看高级设置 ”以添加配置属性或选择用于加密的证书。
- 点击 “保存并继续 ”。
- 在 “下一步” 中,请执行以下操作。
- 选择 “查看 API 凭据 ”,然后点击“复制到剪贴板”图标,将客户端 ID 和客户端密钥复制并保存下来。
注意: 只有具备相应权限的用户才能查看客户端密钥。 如需了解更多信息,请参阅
“权限的安全更新”。
- 如果尚未下载,请通过 IBM X-Force App Exchange 下载代理程序。
- 将 API 凭证添加到代理程序配置。
- 单击 “完成”。
该配置已添加到身份代理中,身份提供商列在 ”下。