配置 OIDC 企业身份提供者

在线编辑

您可以将任何支持 OIDC 协议的身份提供商用作 OIDC Enterprise 身份提供商。 身份提供者在授予对IBM® Verify的访问权之前,针对此身份提供者中的数据对用户身份进行认证。

过程

  1. 选择 “身份验证 ”> “身份提供商 ”。
  2. 选择 OIDC Enterprise
  3. “常规 ”页面中,请提供以下信息。
    名称
    请为您的身份提供商指定一个易于识别的名称。
    域和发行者
    向身份提供商提供 URL。 示例:
    https://accounts.OIDC-IDP.com
    这是用于云目录的域;如果未提供已知端点,它还将作为 OIDC 流程的发行方。
    标识
    保存配置后,将创建标识。
    已启用
    选中此复选框,即可使用此身份提供商进行登录。
  4. 选择 “下一步”
  5. url“身份提供商”页面上,复制重定向链接。
    在为您的应用程序注册单点登录时,您需要向身份提供商提供此 url 信息。
  6. 选择 “下一步”
  7. 在“来自身份提供商 ”页面上,请提供以下信息。
    1. 可选: 提供一个友好名称,用于替代登录页面 Verify URL 上显示的身份提供商 ID。
    2. 请提供您在身份提供商处注册应用程序时收到的客户端 ID客户端密钥
    3. 可选: 添加移除作用域,以控制应用程序的使用方式。
      注意:管理控制台中添加每个范围后,请选择 Enter (适用于 Windows™)或 Return (适用于 Mac OS)。
    4. 请提供您在注册应用程序时收到的相关 endpoints 信息。
      熟知端点
      使用此属性可使用发现文档配置 OIDC 客户机。 https://myco.com例如,.

      endpoint如果您不使用该知名服务,则必须提供以下信息。

      • 授权端点
      • 令牌端点
      • 用户信息接口
    5. 可选: 如果您的身份提供商支持该功能,您可以启用 PKCE 支持并提供 JWKS URI。
      添加带有身份提供者的熟知配置的 JWKS URI(如果未提供)。
    6. 选择认证方法。
      • 客户机私钥 basic
      • 客户机私钥 POST
      • 客户端密钥 JWT - 您还需要选择用于加密的签名算法。
      • JWT 私钥 - 您还需要选择用于加密的签名算法,并选择签名证书。
    7. 可选: 如果可用,您可以在单点登录流程中将 login hintpromptmax age 的参数转发给身份提供商。
  8. 选择 “下一步”
  9. 可选: 选择 “即时配置 ”。
    此选项将在与 SAML 身份关联的主身份提供商域中创建并更新用户帐户。
  10. 可选:“唯一用户标识符 ”菜单中指定一个属性,用于识别身份提供商用户注册表中的用户。
    如果您为该身份提供商选中“启用身份关联”选项,则必须提供 UUID。
  11. 可选: 选择一个转换值来转换 “唯一用户标识符 ”的值,或保留默认值 “ ”。
  12. 可选: 选择 “为此身份提供商启用身份关联 ”。
    1. 请从“唯一用户标识符”链接中选择您希望用于这些账户的唯一标识符。
      注: UUID 可以是 OIDC 声明对象中任何能够唯一标识用户的字段。
    2. “外部 ID”属性字段中输入该值,即可设置 UUID
      默认值为 sub
    3. 选择一个转换值来转换 “外部 ID”属性的值,或保留默认值 “ ”。
  13. 选择 “下一步”
  14. 可选:“属性映射 ”页面上,将 OIDC 提供商的更多属性映射到 Verify 相应属性。
    1. 选择 “添加属性映射 ”。
    2. 从菜单中选择 OIDC 属性。
      如果 OIDC 提供商支持其他非标准的 OIDC 属性,您可以在 “选择属性 ”字段中输入该值。
    3. 从菜单中选择一个 Verify 属性。
    4. 选择属性的使用方式。
    5. 对要映射的每个属性重复该过程。
  15. 可选:以下“组成员资格来源 ”中选择一项,以指定用户访问权限组的来源。
    • Cloud Directory - 用户访问许可权是从 Cloud Directory 中的用户组派生的。
    • 云目录和身份源 ——用户访问权限源自云目录中的用户组以及身份提供商的令牌,该令牌包含 groupIds 声明。
    • 身份来源 ——用户访问权限源自身份提供商的令牌,该令牌包含该 groupIds 声明。
      注意: 如果身份提供商的令牌不包含该 groupIds 声明,则您将无法获得任何组成员权限。
    • 自定义规则。 如果您选择 “自定义规则 ”,请在规则编辑器中输入自定义规则,然后单击 “确定 ”进行保存。 用户访问许可权是根据定制规则派生的。
  16. 选择 “下一步”
  17. 可选: 如果您已启用 CI-108233 的公开预览版,请选择是否启用用户邀请功能。
    邀请函是通过 POST /v1.0/usc/user/invitation API 创建并发送的。 请参阅 “邀请用户”。 选中 “启用用户邀请 ”复选框,即可邀请他人注册成为新用户。 您还可以为用户选择一个用户资料,以便该用户在接受邀请时填写更多信息。 请参阅 “管理用户配置文件 ”。
  18. 单击完成
  19. 可选: 编辑 OIDC 身份提供商。
    1. 选择 “身份验证 ”> “身份提供商 ”。
    2. “来源 ”列表中选择身份提供商。
    3. 进行更改。
      您无法更改“标识”或“重定向 URL”。
    4. 选择 “保存更改 ”。
  20. 可选: 删除 OIDC 身份提供商。
    1. 选择 “身份验证 ”> “身份提供商 ”。
    2. “来源 ”列表中选择身份提供商。
    3. 选择 “删除 ”图标。
    4. 选择 “删除 ”以确认您要删除该身份提供商。