管理身份提供商

在线编辑

身份提供商是一个用于用户身份验证和账户配置的存储库。 您可以配置多个身份源提供程序。 所有已配置并启用的身份提供商都会作为选项显示在 “登录 ”页面中 VerifyVerify 用户可以使用以下任何身份提供商登录。

准备工作

  • 您必须具有管理许可权,才能完成此任务。
  • 以管理员身份登录管理控制台 IBM® Verify

关于此任务

注意: Verify 不支持IDP注销。 退出 不会使 Verify 您退出身份提供商,也不会使您退出通过该身份提供商登录的任何应用程序 已预订
Verify 支持以下类型的身份提供者:
云目录

其使用云中托管的用户注册表。

可以通过“目录 > 用户与组 ”向此身份提供商添加用户和组信息。

此身份提供商用于外向型 SAML 单点登录配置。 Verify 根据该身份提供商中的数据验证用户身份。

SAML 企业

它使用本地用户注册表,并通过交换 SAML 令牌来完成身份验证。

SAML 单点登录中, Verify 提供商可以是以下任一类型:
身份提供程序

Verify 依赖其自身的云注册表云目录作为身份提供商

服务提供者

您可以与多个身份提供商集成 Verify ,以对用户进行身份验证。 来自外部身份提供商的用户无需输入 Verify 密码,即可通过单点登录访问 Verify 及其有权使用的应用程序。

该身份提供商用于入站 SAML 单点登录配置; Verify 服务提供商是,目标应用程序是身份提供商

您可以将任何支持 SAML 协议的身份提供商用作 SAML Enterprise的身份提供商Verify身份提供商在授予访问权限之前,会根据其自身存储的数据对用户身份进行验证。

注意: 当您添加 SAML 企业身份提供商时,其签名证书会自动导入到 “安全 > 证书 > 签名证书 ”页面中。
OIDC 企业
任何支持 OIDC 协议的身份提供程序都可以用作 OIDC 企业身份提供程序。 身份提供者在授予对IBM Verify的访问权之前,针对此身份提供者中的数据对用户身份进行认证。
IBMid

其使用 IBM 身份访问和管理解决方案,向用户提供对所有 IBM 的应用程序、服务、社区和支持等的单点登录。

VerifyIBMid 是管理员首次登录时的默认登录选项。 只有管理员 Verify 才能使用 IBMid 登录。 Verify 此身份提供商不适用于最终用户登录。

管理员首次登录后,您可以启用云目录或已配置的 SAML Enterprise 身份提供商 ,作为后续管理员登录的更多登录选项。

MaaS360 Cloud Extender

将针对存储在企业存储库或本地用户注册表中的信息验证用户身份,但是会通过不同的服务器或代理程序委派或传递认证请求。

Verify经过身份验证的用户的身份信息在.中进行了联合管理。 您可以在 “目录 > 用户与组 ”中查看他们的信息。

社交
针对用户的社交网络帐户验证用户身份。 社交身份提供商只需设置一次,仅作为应用程序的登录选项使用。 该账号无法用于登录管理员控制台 Verify用户启动面板 Verify 支持以下社交身份提供商:
  • Apple
  • 百度
  • Facebook
  • GitHub
  • Google
  • LinkedIn
  • QQ
  • 人人网
  • WeChat
  • 微博
  • Yahoo
  • X

Verify经过身份验证的用户的身份信息在.中进行了联合管理。 您可以在 “目录 > 用户与组 ”中查看他们的信息。

您可以选择在管理员或最终用户登录页面上显示或隐藏所有身份提供商但社交身份提供商除外。 如果启用了多个身份提供商且均显示在界面中,用户必须选择要用于身份验证的身份提供商。 为了简化用户体验,请仅启用并显示一个身份提供商。 如果仅启用了一个身份提供商,它将成为用户的默认登录选项。 用户无需选择首选的身份提供商

提示: 如果您无法使用已配置的 SAML 企业身份提供商登录 Verify ,且 “云目录” 登录选项不可用或不可见,请使用以下 URL :
https://<hostname>.verify.ibm.com/authsvc/mtfim/sps/authsvc?PolicyId=urn:ibm:security:authentication:asf:basicldapuser

过程

  1. 选择 “身份验证 ”> “身份提供商”
  2. 选择一个身份提供商以查看其信息。
    注意: 显示的信息因身份提供商而异。
    表 1. 身份提供商信息
    信息 描述
    名称

    您为代表身份提供商 (例如 Microsoft™ Active Directory、 Microsoft Azure、 Active Directory 或其他服务)所使用的用户注册表指定的名称。

    如果配置并启用了多个身份提供者,那么身份提供者名称将显示在 Verify 登录页面中。

    当您选择身份提供商时,此信息也会显示在 “目录 > 用户和组 > 用户 ”选项卡以及 “添加用户 ”对话框中。

    这是一个身份提供商属性,用于区分来自多个身份提供商且用户名相同的用户。

    此信息显示在“目录 > 用户与组 ”中,以及 “编辑用户 ”对话框中。

    对于以下身份提供商
    • 云目录 ,领域值为 cloudIdentityRealm
    • IBMid ,域值为 www.ibm.com.
    • SAML 在“企业” 中,域值可以是您在创建身份提供商时指定的任何唯一名称。
    • OnPrem LDAP ,其中 realm 值可以是您在创建身份提供商时指定的任何唯一名称。
    • Apple,域值为 www.apple.com
    • 百度,域值为 www.baidu.com
    • Facebook,域值为 www.facebook.com
    • GitHub,域值为 www.github.com
    • Google,域值为 www.google.com
    • LinkedIn,域值为 www.linkedin.com
    • QQ,域值为 www.qq.com
    • 人人,域值为 www.renren.com
    • 微信,域值为 www.wechat.com
    • 微博,域值为 www.wiebo.com
    • X ,域值为 www.twitter.com.
    • Yahoo,域值为 www.yahoo.com
    标识 当您选择 “保存 ”时,系统会为身份提供商生成一个 ID。
    已启用

    指示身份提供程序是否处于活动状态且可供使用。

    配置启用身份提供商后,用户即可通过所选的身份提供商,对 Verify 有权访问的应用程序进行单点登录。 如果未启用身份提供程序,那么不会将其显示为“登录”页面中的选项。
    注意:
    • 必须至少有一个身份提供者才能登录到 Verify
    • 如果仅启用一个身份提供程序,那么其将成为用户的缺省登录选项。
    身份链接

    已启用

    		 为特定的身份提供商启用身份关联。 在为该身份提供商指定的域中,Cloud Directory 中未创建影子账户。
    此功能适用于 SAML 应用程序以及以下社交身份提供商
    • Apple
    • Facebook
    • GitHub
    • Google
    • LinkedIn
    • SAML 企业
    • WeChat
    • X
    • Yahoo

    此选项也适用于 OnPrem LDAP 身份提供商。 对于 OnPrem LDAP 身份提供商,用户账户必须存在于主关联身份提供商中,运行时身份验证才能成功。 如果主关联身份提供商中不存在匹配的用户账户,则身份验证将失败。

    注意:
    1. 您无法在已设为默认身份提供商的身份提供商上启用链接功能。
    2. 您无法禁用或删除默认的身份提供商
    唯一用户标识
    从菜单中选择该属性作为链接帐户的标识。
    即时供应
    如果在主身份提供商中找不到该用户帐户,此选项将在该主域中创建一个影子帐户。 对于 OnPrem LDAP 身份提供商,如果用户账户不存在,则会在主关联身份提供商中创建该账户。 在主链接帐户中,将使用从内部部署或外部身份系统检索到的属性来更新帐户属性。
    唯一用户标识

    此功能适用于 SAML 应用程序以及本地部署的 LDAP 身份来源。

    		 充当 Cloud Directory 中链接帐户的标识的用户属性。
    针对 OnPrem 及 LDAP 身份提供商的即时配置 仅适用于 OnPrem LDAP 身份提供商。

    开启后,管理员可以配置将用户记录从外部身份提供者迁移到 Cloud Directory 域的过程。 password just-in-time provisioning若与 配合使用,用户密码也会随用户记录一起迁移。

    关闭此功能后,管理员将暂停将身份提供商密码迁移至云目录域,并允许用户通过云目录进行身份验证。
    密码即时供应

    此开关按钮仅当开关即时供应已开启时才处于活动状态。

    开启后,管理员将启用迁移阶段,在此阶段,身份提供者的帐户及其密码将迁移到 Cloud Directory 域。 在此阶段,与 OnPrem 身份提供商关联的用户无法通过Cloud Directory进行身份验证。

    关闭后,管理员会暂停将身份提供者密码迁移到 Cloud Directory 域的过程,并允许用户向 Cloud Directory 进行认证。

    启用密码即时配置 (identityLinkingJitPwdEnabled) 选项时的注意事项

    启用此选项后,Verify 平台尝试将用户的帐户属性和密码“及时”配置 (JITP) 到为租户配置的主要身份提供者域。 此配置在 OnPrem 或外部身份提供者成功验证用户名和密码后进行。 尝试配置密码时,Verify 会确保密码符合与主身份提供者关联的密码策略设置。 如果由您的本地身份提供商验证的密码不符合此 Verify 策略,则身份验证尝试将失败。 未将帐户属性和密码配置到 Verify 主身份提供者域中。 用户收到错误消息,指示用户名或密码无效并应联系系统管理员。

    为避免这种情况,请制定一项密码策略,其强度应与本地或外部身份验证系统所接受的策略相当或更低。 将此策略与针对 Verify 租户配置的主身份提供程序相关联。 通常,主身份提供者域是 Verify Cloud Directory,它通常是使用缺省密码策略配置的。

    由于每次本地身份验证成功后都会执行密码的即时配置,主身份提供商域中的密码历史记录设置可能会导致账户属性和密码同步失败。 您可能希望禁用该密码历史记录实施以防止此类故障。

    当“密码即时配置”选项从“启用”切换为“禁用”时,即视为“本地到云目录”迁移阶段已完成。 已迁移用户可以使用其已迁移密码向 Cloud Directory 进行认证。 您可能需要重新启用云目录的密码策略设置,这些设置此前曾为配合迁移阶段而进行了调整。
    启用 JIT 供应

    此功能可用于 SAML 应用程序。

    		 如果在缺省身份提供者中找不到该帐户,那么此选项将在该缺省域中创建影子帐户。
  3. 可选: 管理密码策略
  4. 可选: 添加 SAML 企业身份提供商
  5. 可选: 添加 MaaS360 云扩展程序身份提供商
  6. 可选: 设置 MaaS360 身份提供商和用户标识符
  7. 可选: 添加社交身份提供商
  8. 可选: 删除身份提供商。
    注意: 您无法删除云目录IBMid 身份提供商。
    1. 选择身份提供商,然后在 “编辑身份提供商 ”对话框中单击 “删除”
    2. 请确认您是否要永久删除所选的身份提供商。
      注意:
      • MaaS360您无法删除被设为默认选项的身份提供商。 在删除当前默认身份提供商之前,您必须为其 MaaS360 选择另一个身份提供商。
      • 您无法删除已作为登录选项分配给应用程序的身份提供商。 必须先将其从应用程序的选项中除去,然后才能删除。