在 Verify 中配置 Microsoft Entra ID 外部身份验证方法 (EAM) 应用程序

在管理控制台中 IBM® Verify 配置 Microsoft Entra ID EAM 应用程序。

准备工作

您必须具备管理员权限才能完成此任务。
登录管理控制台 IBM Verify 。
Verify在中配置一个 Custom Token Type 。

过程

选择 “应用程序” > “应用程序”。
选择 “添加应用程序 ”。
选择 “Microsoft Entra ID EAM ”，然后选择 “添加应用程序 ”。

选择 “登录 ”选项卡，并填写以下信息：


设置	描述
重定向 URI	Entra ID 要求的重定向 URI。保留默认值。
ID 令牌提示：自定义令牌类型	指定用于验证`id_token_hint` Entra ID 的自定义令牌类型。有关“自定义令牌类型”的更多信息，请参阅《管理自定义令牌类型》。
使用默认会话时长	指定当Verify 并非身份提供商（ IdP ）时所适用的会话时长。
身份验证会话过期时间（秒）	指定当Verify 并非身份提供商（ IdP ）时的身份验证有效期。
当不存在有效会话时，执行第一级身份验证	已选中 – 当 Verify 被配置为 Entra ID 的身份提供商 ( IdP ) 时，如果在双因素身份验证 ( 2FA ) 过程中未检测到有效的登录会话，则需要进行单因素身份验证 ( 1FA )。未通过验证 ——如果未找到登录会话，或者用户是通过即时配置（JITP）进行配置的，而该用户在云目录中不可用，则会返回错误。
访问策略	指定双因素身份验证的访问策略。

转到 “端点配置 ”部分，并添加以下自定义映射规则：

目标属性值

amr

目标属性	值
amr	`[idsuser.factors_completed .map(item, item.split(",")) .flatten() .map(f, f == "smsotp" ? "sms" : f == "emailotp" ? "otp" : f == "totp" ? "otp" : f == "voiceotp" ? "tel" : f == "fido2" ? "fido" : f == "signatures_face" ? "face" : f == "signatures_fingerprint" ? "fpt" : f == "signatures" ? "pop" : f == "signatures_userPresence" ? "pop" : f == "behavioral_biometrics" ? "vbm" : f == "password" ? "pwd" : f ) .filter(mapped, mapped in requestContext.claims_idtoken_amr)[0]]`
acr	`requestContext.claims_idtoken_acr`
sub	`requestContext["id_token_hint_claims"]["sub"]`

[idsuser.factors_completed
.map(item, item.split(","))
.flatten()
.map(f,
f == "smsotp" ? "sms" :
f == "emailotp" ? "otp" :
f == "totp" ? "otp" :
f == "voiceotp" ? "tel" :
f == "fido2" ? "fido" :
f == "signatures_face" ? "face" :
f == "signatures_fingerprint" ? "fpt" :
f == "signatures" ? "pop" :
f == "signatures_userPresence" ? "pop" :
f == "behavioral_biometrics" ? "vbm" :
f == "password" ? "pwd" :
f
)
.filter(mapped, mapped in requestContext.claims_idtoken_amr)[0]]

acr requestContext.claims_idtoken_acr

sub requestContext["id_token_hint_claims"]["sub"]

点击 “保存”。

后续操作

有关配置 Microsoft Entra ID EAM 的更多信息，请参阅《 Entra ID EAM 集成》。