在目标应用程序中配置单点登录

在线编辑

在目标应用程序中配置单点登录支持。 向应用程序提供有关 Verify 的信息,以便它知道应将身份验证请求发送至何处,并在 与应用程序之间 Verify 建立可信通信。

关于此任务

每个应用程序模板的 “登录 ”选项卡中都包含一个 “单点登录配置 ”部分。 遵循指示信息以在目标应用程序中设置单点登录。

本主题描述通常在目标应用程序的管理控制台中需要的常规信息。

过程

  • Verify如果您正在配置 SAML 单点登录,您需要提供以下信息:
    表 1. 身份提供商信息
    信息 描述
    提供者标识

    这是身份提供者的唯一 URL 标识。 此信息通常由服务提供者称为发行者标识身份提供者IdP 实体标识
    登录 URL

    身份提供者用于登录请求的 URL。

    这是服务提供商发送其 SAML 身份验证请求并验证用户身份的终点。 此信息通常由服务提供者称为身份提供者目标 URLSSO 登录 URL重定向 URL身份提供者端点
    注销 URL

    身份提供者用于重定向用户以进行注销的 URL。
    更改密码 URL

    身份提供者用于重定向用户以更改密码的 URL。
    对证书进行签名

    您在 “安全 > 证书 > 个人证书 ”页面中上传的个人证书或该 IBM® Verify 个人证书公钥
    对证书指纹进行签名

    这是您在 “安全 > 证书 > 个人证书 ”页面中上传的个人证书 IBM Verify 的指纹。
    身份提供者元数据

    包含有关身份提供者信息的 XML 文件。 其 entityID 属性唯一地标识它。

    该文件包含在身份提供者服务提供者之间建立连接所需的配置数据。
  • Verify如果您正在配置 OpenID Connect 单点登录功能,则需要提供以下信息:
    表 2. 身份提供商信息
    信息 描述
    客户机标识

    此信息是在您保存 OpenID Connect 自定义应用程序时生成的。

    复制此信息并在应用程序管理控制台的相关字段中粘贴此信息。
    客户机密钥

    此信息是在您保存 OpenID Connect 自定义应用程序时生成的。

    复制此信息并在应用程序管理控制台的相关字段中粘贴此信息。
    作用域

    Scope 值设置为 openid。 您可以根据应用程序的需要包含其他作用域。

    Verify 支持以下作用域:
    profile
    此作用域值请求访问 namefamily_namegiven_namepreferred_username 声明。
    email
    此作用域值请求访问 emailemail_verified 声明。
    phone
    此作用域值请求访问 phone 声明。
    OpenID Connect 提供者端点
    根据应用程序,指定必需的端点,此端点可以是以下任意格式:
    • 提供者标识或发出者:
      https://[tenant]/oidc/endpoint/default
    • 授权端点 URL:
      https://[tenant]/oidc/endpoint/default/authorize
    • 令牌端点 URL:
      https://[tenant]/oidc/endpoint/default/token
    • 用户信息端点 URL:
      https://[tenant]/oidc/endpoint/default/userinfo
    所有这些信息都可以从 OpenID 配置信息 URL 派生,即
    https://[tenant]/oidc/endpoint/default/.well-known/openid-configuration
    .

    [tenant] 是分配给您 Verify 订阅的完全合格域名。 <hostname>.verify.ibm.com它由……组成。