管理证书提供商

在线编辑

基于证书的身份验证不仅能提供精准的洞察,还能通过连接外部证书提供商,为系统增添额外的安全层,例如符合《通用安全标准》( X.509 )的数字证书。 在访问已连接的应用程序时,它会使用数字证书进行 IBM® Verify 身份验证。 管理员可以使用此数字签名进行身份验证,以满足身份认证和合规要求。 此外,证书可能支持通用访问卡(CAC)或个人身份验证卡(PIV)。

准备工作

  • 您必须具有管理许可权,才能完成此任务。
  • 以管理员身份登录管理控制台 IBM Verify
  • 要使用证书提供商,您的租户必须拥有自定义主机名。 请参阅 “获取自定义主机名 ”。
  • 您需要通过支持渠道提供根证书和中间证书:
    • 如果您的租户已创建且自定义主机名配置正确,请 IBM Verify 通过 IBM 向支持团队提交工单,我们将通知您如何提供证书。
    • 您必须将证书保存为 X.509 PEM 所示的编码格式。
    • 这是一个示例:
    # Trust chain intermediate certificate
-----BEGIN CERTIFICATE-----
MIIEaTCCA1GgAwIBAgILBAAAAAABRE7wQkcwDQYJKoZIhvcNAQELBQAwVzELMAkG
C33JiJ1Pi/D4nGyMVTXbv/Kz6vvjVudKRtkTIso21ZvBqOOWQ5PyDLzm+ebomchj
SHh/VzZpGhkdWtHUfcKc1H/hgBKueuqI6lfYygoKOhJJomIZeg0k9zfrtHOSewUj
...
dHBzOi8vd3d3Lmdsb2JhbHNpZ24uY29tL3JlcG9zaXRvcnkvMDMGA1UdHwQsMCow
KKAmoCSGImh0dHA6Ly9jcmwuZ2xvYmFsc2lnbi5uZXQvcm9vdC5jcmwwPQYIKwYB
K1pp74P1S8SqtCr4fKGxhZSM9AyHDPSsQPhZSZg=
-----END CERTIFICATE-----

# Trust chain root certificate
-----BEGIN CERTIFICATE-----
MIIDdTCCAl2gAwIBAgILBAAAAAABFUtaw5QwDQYJKoZIhvcNAQEFBQAwVzELMAkG
YWxTaWduIG52LXNhMRAwDgYDVQQLEwdSb290IENBMRswGQYDVQQDExJHbG9iYWxT
aWduIFJvb3QgQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDaDuaZ
...
jc6j40+Kfvvxi4Mla+pIH/EqsLmVEQS98GPR4mdmzxzdzxtIK+6NiY6arymAZavp
38NflNUVyRRBnMRddWQVDf9VMOyGj/8N7yy5Y0b2qvzfvGn9LhJIZJrglfCm7ymP
HMUfpIBvFSDJ3gyICh3WZlXi/EjJKSZp4A==
-----END CERTIFICATE-----
    注: 有关 PEM 编码格式的更多信息,请阅RFC 1421
  • 确认证书链已在您的租户中正确配置,并使用了自定义主机名。 收到确认后,您可以使用已签发的客户端证书进行 SAML 和 OIDC 身份验证,以及访问您的用户 Launchpad。
注意: 要使客户端证书认证正常工作,必须有一个可供公众访问的 CRL 分发点或 OCSP 端点(保存在客户端证书中)。

关于此任务

Verify 支持访问多种功能,以完成复杂任务。 例如,用于开发自定义服务提供商的自有基础服务提供商以及其他常用应用程序接口。 X.509 数字签名证书具有诸多优势。 其中两个重要环节是 certificate revocation listscertification path validation algorithm 最终到达一个信任锚点。

注意: 有关“ X.509 ”数字签名证书的更多信息,请参阅 X.509 certificates。 如需更深入的了解,请参阅 RFC 5280

过程

  1. 选择 “身份验证 ”> “证书提供程序”
  2. 选择 “添加证书提供程序 ”。
  3. 提供 “常规”设置
    1. 为证书提供商指定一个易于识别的名称,并设置身份提供商。
    2. 选择一个用于验证用户身份的身份提供商。 常用的身份提供商包括:
      • 云目录
      • IBMid
      注意: 创建证书提供程序后,无法更改身份提供程序。
    3. 选中 “JITP(即时配置) ”复选框以配置用户帐户。
  4. 单击下一步
  5. 配置用户属性。 指定从证书中发送的用户属性,用于验证用户身份并创建用户配置文件。
    1. 可选: 选择证书属性
    2. 选择“ IBM ”的“ Security Verify ”属性。 此筛选基于管理员选择或创建的过往属性。
      注意:

      您可以从现有属性中选择一个选项。 该属性的默认值是

      None - Do not map

      如果您选择 None - Do not map,则无法配置:

      • Transformation value
      • Store attribute in user profile
    3. 从菜单中选择一个 “转换”值
    4. 在用户个人资料菜单中,从“商店”属性中选择一个选项。
      • 始终 - 每次登录时存储或更新属性。
      • 仅在创建用户时 - 创建帐户时存储属性一次。
      • 已禁用 - 切勿存储或更新该属性。
      user attributes配置完第一个后,请点击 “添加属性映射 ”以添加更多映射。
    5. 选择唯一用户标识符。 该标识符是证书属性,用于将其与身份提供商 Verify 中的现有用户建立关联。
    6. “请求规则 ”选项中创建自定义规则,以计算属性值。
      规则示例:
      requestContext.subjectAlternativeNameEmail.size() != 0 ? requestContext.subjectAlternativeNameEmail[0].split('@')[0] : requestContext.subjectCN[0].split('.')[0]
      测试请求规则以确保其按预期运行。 点击 “运行测试 ”查看结果。 这是根据示例输入得出的返回值。
  6. 对于证书链 ,请按照以下步骤提供签发该证书的中间或根证书颁发机构的主题密钥标识符。
    1. 使用以下 OpenSSL 命令查找直接证书颁发机构的 Subject Key Identifier
      openssl x509 -inform pem -in $input-filename -text -noout
    2. 点击标有“ X.509v3 扩展”的选项卡,然后选择“ X.509v3 主题键标识符”。 请复制并粘贴指定值到框中。
      注意: 证书提供程序创建后,此值无法更改。
  7. 测试配置。 选择。 下一页。 该接口为您提供了一个租户身份验证接口: URL。 您必须复制 URL 并尝试连接到您的 IBM Verify.
    注意: 在您的 IBM Verify 租户中使用该证书提供程序之前,您需要先启用它。
  8. 点击 “完成设置 ”。 系统会弹出提示,引导您进入全局设置页面,以便管理或更新与配置相关的某些信息。
  9. 可选: 点击 “证书提供商 ”以查看已创建的证书提供商列表。
    1. 您可以单击 “选项列表 ”来 enable 选择或删除您想要使用的证书提供程序。

故障诊断

如果配置无法正常工作,可能有以下原因:

如果已完成添加 X.509 证书提供商的所有步骤,但在测试配置页面中测试 URL 时仍无法看到证书提示:

  • 请确保正在使用自定义主机名。
  • 请确保通过支持渠道向 IBM Verify 提供证书链。

如果已完成引入 X.509 证书提供商的所有步骤,但在测试配置页面访问测试地址 URL 时未看到证书提示,且身份验证无法正常工作:

  • 请确保证书提供程序已启用。
  • 如果已启用 JITP,请确保已在指定的身份提供商中创建了该用户。
  • 如果已禁用 JITP,请确保该用户在指定的身份提供商中确实存在。

如果在 uniqueUserIdentifierX.509 证书提供程序完成安装后更改了该属性,则该更改仅适用于新的身份验证操作以及首次使用证书进行身份验证的用户。

如果启用了 JITP,则对于在特定身份提供商中首次创建的用户。

默认情况下, X.509 证书提供程序处于禁用状态,管理员必须先启用它,然后才能进行测试配置。