配置全局设置
使用这些设置可确定租户认证用户的方式。
过程
- 选择 “身份验证” > “身份提供商 ”> “全局设置 ”。
- 从租户在登录时用于认证用户的菜单中选择主身份提供者。通常,租户的主要身份提供者是 IBM® Verify 云目录。
- 可选: 在 “ SAML ” 2.0 服务提供商配置下,更新“ SAML ” 2.0 服务提供商的联合配置。
- 请提供实体 ID。https://Tenant-Name/saml/sps/saml20sp/saml20通常,该 ID 会生成如下所示: 您可以对其进行修改,以使用自定义的主机名和域名。注意: 如果实体 ID 发生变更,您需要针对现有的 SAML 2.0 身份来源,使用最新的实体 ID 值更新合作伙伴的配置。
- 请输入消息的有效时长(单位:秒)。这是在验证接收到的 SAML 消息
IssueInstant时,以秒为单位的容差时间。 - 可选: 若要启用证书撤销列表 (CRL) 检查,请选中 “启用 CRL ”复选框。
启用 CRL 时,系统会检查证书撤销列表。 对所有使用外部证书的 SAML Enterprise身份提供商的加密函数均进行了检查。
如果您的配置不需要进行 CRL 检查,可以保持该功能处于禁用状态,这也是默认设置。 您可能不希望启用 CRL 检查的一些原因是:- 如果您使用的是内部自签名证书颁发机构(CA)。
- 存在性能问题。 在高负载应用中,性能可能会显著下降。
- 遇到网络连接问题。 防火墙可能会阻止对CRL服务器的访问,或者网络处于物理隔离状态且无法访问互联网。
- 选择一个关键筛选条件。它指定了在对各种消息进行签名、验证、加密或解密时应使用哪个密钥或证书。 如果存在多个密钥或证书,且其与指定别名的密钥或证书具有相同的
SubjectDN,则此设置将决定使用哪个。 它有以下三种选择方法。- 仅别名
- 选择具有指定别名的密钥或证书。 此方法为缺省值。
- 最短生存期
- 对于签名,将使用具有最短可用生命周期的有效密钥。 对于验证,将根据生存期可用性对具有相同
SubjectDN的密钥进行排序。 按顺序尝试密钥,从具有最短生命周期可用性的密钥开始,直到验证成功为止。 - 最长生存期
- 对于签名,将使用具有最长可用生命周期的有效密钥。 对于验证,将根据生存期可用性对具有相同
SubjectDN的密钥进行排序。 按顺序尝试密钥,从具有最长生命周期可用性的密钥开始,直到验证成功为止。
- 选中 “跳过目标 URL 验证 ”复选框。它用于指定是否跳过 SAML 中的验证
targetURL。 缺省值为false。 - 点击 “添加允许的目标 URL ”以添加允许的目标 URL。您可以添加多个网址。
- 选择 “默认名称标识符 ”格式。
- 电子邮件
- 未指定。
- 选择签名算法。在签名过程中,算法会对 SAML
AuthnRequest消息进行数字签名。 支持的值包括: RSA-SHA1、 RSA-SHA256、 RSA-SHA512、 ECDSA-SHA256、 ECDSA-SHA384 以及 ECDSA-SHA512。 如果为空,则采用默认值 RSA-SHA256。 - 选择签名证书。在单点登录过程中,该证书用于对 SAML
AuthnRequest进行签名。 默认选择指的是您在“安全” >“证书 ”>“个人证书 ”中配置的默认个人证书。 - 选择解密证书。如果在单点登录过程中,收到的 SAML 响应消息中包含加密元素,请使用此证书对其进行解密。 默认选择指的是您在“安全” >“证书 ”>“个人证书 ”中配置的默认个人证书。
- 在“ AuthnRequest ”中勾选“Exclude SPNameQualifier ”复选框。
该选项用于指定在使用未指定 nameid 格式时是否应将 排除在 AuthnRequestSPNameQualifier 之外。 SPNameQualifier.默认值为
false,即包含。
- 请提供实体 ID。
- 可选: 在 “属性映射 ”下,将身份提供商的属性映射到 IBM Verify Cloud Directory。
- 选择 “添加属性映射 ”。
- 通过使用下列其中一个选项来指定身份提供者属性:
- 从以下可用选项列表中进行选择:
属性名称 描述 company用户的公司。 country用户所在的国家或地区。 displayName用户的显示名称。 email用户接收通知的电子邮件地址。 family_name用户的姓氏。 given_name用户的名字。 mobile_number用户接收通知的手机号码。 userID用户的唯一标识。 Custom rule定制身份提供者属性。 如果选择 “自定义规则 ”,请在规则编辑器中输入自定义规则,然后单击 “确定 ”进行保存。 - 在选择属性字段中输入属性名称。 此名称是一个属性名称,但在选项列表中不可用。
- 从以下可用选项列表中进行选择:
- 选择一个转换值来转换身份提供商属性,或保留默认值 “None ”。
属性名称 描述 Uppercase将属性转换为大写。 Lowercase将属性转换为小写。 Base64 Encode使用 base64 编码算法转换属性。 Base64 Decode使用 base64 解码算法转换该属性。 Encode URI使用 URI 编码方法转换属性。 Encode URI Component使用 URI 组件的 encode 方法转换属性。 Decode URI使用 URI 解码方法转换属性。 Decode URI Component使用 URI 组件的 decode 方法转换属性。 Generate UUID if no value is evaluated变换属性以生成通用唯一标识。 Current Time (seconds)将属性转换为时间(以秒为单位)。 Current Time (milliseconds)将属性转换为时间(以毫秒为单位)。 SHA-256 Hash使用 SHA-256 算法转换属性。 SHA-512 Hash使用 SHA-512 算法转换属性。 - 指定一个 IBM Verify 属性。 有关属性的更多信息,请参阅 “管理属性 ”。注意: 请避免从以下保留的内置属性中进行选择,因为这些属性未与身份提供商的属性进行映射。
groupIdspreferred_usernamerealmNametenantIduid
- 指定属性在用户概要文件中的存储方式:
- 始终 - 每次登录时存储或更新属性。
- 仅在创建用户时 - 创建帐户时存储属性一次。
- 禁用 - 从不存储或更新属性。
- 对您映射的每个属性重复该过程。
- 可选: 从以下菜单中选择 “组成员资格来源 ”,以指定用户访问权限组的来源:
- Cloud Directory - 用户访问许可权是从 Cloud Directory 中的用户组派生的。
- Cloud Directory 和身份源 -用户访问权限派生自 Cloud Directory 中的用户组以及身份源令牌(包括
groupIds声明)。 - 身份源 - 用户访问许可权派生自身份源令牌,该令牌包含
groupIds声明。注意: 如果身份源令牌不包含该groupIds声明,则您将无法获得任何组成员权限。 - 自定义规则 - 如果您选择 “自定义规则 ”,请在规则编辑器中输入自定义规则,然后单击 “确定 ”进行保存。 用户访问许可权是根据定制规则派生的。
- 在“会话交换”下,您可以选择允许传递给 API 的 Token Exchange 重定向 URL。该 Token Exchange API 接受一个 redirect_url 参数,该参数会触发 API 返回包含登录会话的浏览器重定向。 redirect_url 必须与此列表中的某个正则表达式匹配。
通常, URL 指向用户需要访问的特定 URL 或业务定制的 URL。 此功能会将重定向限制为指定的 URL。
如果,则该 redirect_url 参数将自动被允许,- 它以租户名称开头:https://<tenantname>
- 它以 "
/" 开头,这表示它是租户的相对 URL。
例如,要使用具有正确转义的公共 URL 字符:
要匹配以特定域开头的所有内容,请使用https://www\.example\.com\?key1=value1&key2=value2*通配符。https://www\.example\.com.* - 从用于移动设备认证的菜单中选择缺省身份提供者。
- 从菜单中选择唯一标识以用于用户标识。
- 设置自动帐户清除。
- 选中此复选框以启用自动清理功能。
- 选择帐户可处于不活动状态的天数。
- 选择填充。
- 整个用户群体
- 指定一个 SCIM 过滤器。
- 点击 “保存更改 ”。