配置 SAML JIT 供应

在线编辑

启用即时 JIT 供应,以在用户首次向 IBM® Verify进行认证时在 服务提供者 上创建或更新用户帐户。 Verify 通过 SAML 断言传递创建或更新账户所需的用户信息。 如果服务提供者不需要在用户尝试访问服务提供者之前创建或知道用户身份信息,请使用 JIT 供应。

准备工作

  • 您必须具有管理许可权,才能完成此任务。
  • 在云目录中为您打算为其授予应用程序访问权利的用户创建用户概要文件。 通过“目录 > 用户和组 > 用户 ”页面添加用户。 参见管理用户
  • 常规 选项卡中设置应用程序实例的基本信息。 参见设置基本应用程序详细信息

关于此任务

在配置 Verify服务提供者之间基于 SAML 的单点登录的过程中,启用 JIT 供应。 请参阅

将使用 SAML 断言中包含的属性在 服务提供者 用户注册表中创建用户帐户。 当用户作为单点登录的一部分访问 服务提供者 时, VerifySAML 断言 发送到 服务提供者 。 如果不存在所提供用户名的匹配项,那么 服务提供者 将使用 SAML 断言中包含的用户属性创建新帐户。 服务提供者还会立即授予用户对所请求资源的访问权。

如果在 Verify 中启用 实时供应,那么还必须在服务提供者中启用此配置。 此设置必须始终处于同步状态。

可能会找到一些匹配项, 服务提供者 会根据 SAML 断言中的属性信息为用户 account does exist 更新帐户。

在启用 JIT 供应时,某些 服务提供者 支持帐户在后续用户登录时更新。 请参阅服务提供者产品文档以确定行为。

注: 已知行为。 如果管理员在 cloudIdentityRealm 中使用 user@tenanthostname格式的 userName 创建了标准用户,其中 tenanthostname 是租户的主机名。 例如, hostname.idng.ibmcloudsecurity.com。 在 JIT (即时供应) 流期间,如果接收到的令牌具有用户名 user,那么将不允许联合用户为该用户创建,而是将 cloudIdentityRealm 中的标准用户 user@tenanthostname 配置为缺省用户以实现易用性。

过程

  1. 选择 “应用程序 ” > “应用程序” > 编辑 > “登录 ”。
  2. 即时供应 部分中,选择 在 SAML 断言中包含供应属性 以列出 服务提供者 在其用户注册表中创建或更新用户帐户所需的用户属性。
    注: 根据应用程序,此选项可能是。
    • 始终在服务提供者处启用。 因此,缺省情况下,它在 Verify中处于启用状态且处于只读状态。 没有必需的供应属性或更多配置。
    • 显示服务提供者在供应用户帐户时所需的属性。 服务提供者通常至少需要以下用户属性:
      • 用户名
      • 名字
      • Surname
      • 电子邮件地址
    • 显示 服务提供者 在供应用户帐户时所考虑的属性。 例如
      • 员工标识
      • 手机号
      • 部门
      • 职位
    • 需要与单点登录的需求属性相同的供应属性。

      是否选中该复选框无关紧要。 当用户使用 Verify完成单点登录时,将供应用户帐户。

  3. 属性映射中,为每个 服务提供者 属性分配相应的 Verify 用户属性。

    根据服务提供者需求映射这些属性。

    使用属性映射来控制应用程序 计算 来自 Verify的用户属性的方式。 服务提供者 属性将使用映射的 Verify 用户属性所保留的任何值进行填充。

    注: 显示的属性列表及其重要性因应用程序而异。 供应时可能需要某些单点登录属性。
  4. 单击 保存
  5. 服务提供者上配置 JIT 供应。 请参阅 Verify 登录 选项卡中提供的指示信息。

结果

注: 当授权用户首次从 Verify 访问应用程序时,将提示用户接受条款和条件。 该用户帐户是在应用程序级别供应的,用户可以登录到该应用程序。