管理配置身份提供商

在线编辑

身份提供者是用于用户认证和供应帐户的存储库。 您可以配置多个身份源 provider。 所有已配置和已启用的身份提供者都将显示为 Verify 登录 页面中的选项。 用户可以使用任何这些身份提供者登录到 Verify

准备工作

  • 您必须具有管理许可权,才能完成此任务。
  • 以管理员身份登录到 IBM® Verify 管理控制台。

关于此任务

注: Verify 不支持 IDP 注销。 退出登录 Verify 不会导致您从身份提供商或通过该身份提供商登录的任何 已预订 应用程序中注销。
Verify 支持以下类型的身份提供者:
云目录

其使用云中托管的用户注册表。

可通过“目录 > 用户与组 ”向此身份提供商添加用户和组信息。

此身份 提供者 在出站 SAML 单点登录设置中使用。 Verify 根据此身份 提供者中的数据验证用户身份。

SAML 企业

它使用本地用户注册表并交换 SAML 令牌以完成认证。

SAML 单点登录中, Verify 可以是以下提供程序之一:
身份提供程序

Verify 依赖于其自己的 云注册表云目录 作为身份 提供者

服务提供者

您可以将 Verify 与多个身份提供者集成,以认证用户。 来自外部身份 提供者 的用户可以在没有其 Verify 密码的情况下单点登录到 Verify 及其授权应用程序。

此身份 提供者 在入站 SAML 单点登录设置中使用; Verify服务提供者,而目标应用程序是 身份提供者

您可以将任何支持 SAML 协议的 身份提供者 用作 SAML 企业身份 提供者身份提供者 先针对此身份 提供者 中的数据认证用户身份,然后再授予对 Verify的访问权。

注意: 添加 SAML 企业身份提供商时 ,其签名证书将自动导入至 “安全 > 证书 > 签名证书 ”页面。
OIDC 企业
任何支持 OIDC 协议的身份提供程序都可以用作 OIDC 企业身份提供程序。 身份提供者在授予对IBM Verify的访问权之前,针对此身份提供者中的数据对用户身份进行认证。
IBMid

其使用 IBM 身份访问和管理解决方案,向用户提供对所有 IBM 的应用程序、服务、社区和支持等的单点登录。

IBMid 是首次管理员登录到 Verify的缺省登录选项。 只有 Verify 管理员才能使用 IBMid登录到 Verify 。 此身份 提供者 不适用于最终用户登录。

首次管理员登录后,您可以启用 Cloud Directory 或配置的 SAML Enterprise 身份 提供者 作为后续管理员登录的更多登录选项。

MaaS360 Cloud Extender

将针对存储在企业存储库或本地用户注册表中的信息验证用户身份,但是会通过不同的服务器或代理程序委派或传递认证请求。

已认证用户的身份在 Verify中联合。 您可以在“目录 > 用户和组 ”中查看他们的信息。

社交
针对用户的社交网络帐户验证用户身份。 社交身份提供者可以设置一次,并且它仅用作应用程序的登录选项。 它不能用于登录Verify管理员控制台或用户启动板 Verify 支持以下社会身份供应商
  • Apple
  • 百度
  • Facebook
  • GitHub
  • Google
  • LinkedIn
  • QQ
  • 人人网
  • WeChat
  • 微博
  • Yahoo
  • X

已认证用户的身份在 Verify中联合。 您可以在“目录 > 用户和组 ”中查看他们的信息。

您可以向管理员或最终用户 登录 页面 社交身份提供者除外显示或隐藏所有身份 提供者 。 如果启用并显示了多个身份 提供者 ,那么用户必须选择要用于认证的身份 提供者 。 对于简单用户体验,请仅启用并显示一个身份 提供者。 如果仅启用了一个身份 提供者 ,那么它将成为用户的缺省登录选项。 用户不必选择首选身份 提供者

提示: 供应商 如果您无法使用已配置的 身份登录 ,且 登录选项不可用或不可见,请使用以下 : SAML 企业 Verify 云目录 URL
https://<hostname>.verify.ibm.com/authsvc/mtfim/sps/authsvc?PolicyId=urn:ibm:security:authentication:asf:basicldapuser

过程

  1. 选择身份验证 > 身份提供商
  2. 选择身份提供者以查看其信息。
    注: 显示的信息因身份 提供者而异。
    表 1. 身份提供商信息
    信息 描述
    名称

    您为用户注册表分配的名称,该注册表由身份提供商 (如 Microsoft™ Active Directory、或其他 Microsoft AzureActive Directory 提供商)使用。

    如果配置并启用了多个身份提供者,那么身份提供者名称将显示在 Verify 登录页面中。

    此信息也会在您选择身份提供商时,显示于 “目录 > 用户和组 > 用户 ”选项卡中的 “添加用户 ”对话框中。

    这是一个身份提供者属性,可帮助将用户与具有相同用户名的多个身份提供者区分开来。

    此信息显示在 “目录 > 用户和组 ”以及 “编辑用户 ”对话框中。

    对于以下身份 提供者:
    • Cloud Directory,域值为 cloudIdentityRealm
    • IBMid,域值为 www.ibm.com
    • SAML Enterprise,域值可以是您在创建身份 提供者时分配的任何唯一名称。
    • OnPrem LDAP,域值可以是您在创建身份 提供者时指定的任何唯一名称。
    • Apple,域值为 www.apple.com
    • 百度,域值为 www.baidu.com
    • Facebook,域值为 www.facebook.com
    • GitHub,域值为 www.github.com
    • Google,域值为 www.google.com
    • LinkedIn,域值为 www.linkedin.com
    • QQ,域值为 www.qq.com
    • 人人,域值为 www.renren.com
    • 微信,域值为 www.wechat.com
    • 微博,域值为 www.wiebo.com
    • X,域值为 www.twitter.com
    • Yahoo,域值为 www.yahoo.com
    标识 当您选择 保存时,将为身份 提供者 生成标识。
    已启用

    指示身份提供程序是否处于活动状态且可供使用。

    当身份提供者 已配置已启用时,用户可以单点登录到 Verify ,并使用所选身份提供者进入其授权应用程序。 如果未启用身份提供程序,那么不会将其显示为“登录”页面中的选项。
    注意:
    • 必须至少有一个身份提供者才能登录到 Verify
    • 如果仅启用一个身份提供程序,那么其将成为用户的缺省登录选项。
    身份链接

    已启用

    		 打开特定身份 提供者的身份链接。 不会在为此身份 提供者指定的域中的 Cloud Directory 中创建影子帐户。
    此功能可用于 SAML 应用程序和以下社交身份 提供者:
    • Apple
    • Facebook
    • GitHub
    • Google
    • LinkedIn
    • SAML 企业
    • WeChat
    • X
    • Yahoo

    此选项也可用于 OnPrem LDAP 身份提供者。 对于 OnPrem LDAP 标识源,用户帐户必须存在于主链接身份提供者中,才能成功进行运行时认证。 如果主链接身份提供者中不存在匹配的用户帐户,那么认证将失败。

    注意:
    1. 无法在设置为缺省身份 provider的身份 provider 上启用链接。
    2. 无法禁用或删除缺省链接身份 provider
    唯一用户标识
    从菜单中选择该属性作为链接帐户的标识。
    即时供应
    如果在主身份 提供者中找不到用户帐户,那么此选项将在该主域中创建影子帐户。 对于 OnPrem LDAP 标识源,将在主链接身份提供者中创建用户帐户 (如果该帐户不存在)。 在主链接帐户中,将使用从内部部署或外部身份系统检索到的属性来更新帐户属性。
    唯一用户标识

    此功能可用于 SAML 应用程序和本地 LDAP 身份源。

    		 充当 Cloud Directory 中链接帐户的标识的用户属性。
    OnPrem LDAP 身份提供者的 即时供应 仅适用于 OnPrem LDAP 标识提供程序。

    开启后,管理员可以配置将用户记录从外部身份提供者迁移到 Cloud Directory 域的过程。 与 password just-in-time provisioning配合使用时,还会随用户记录一起迁移用户密码。

    关闭时,管理员会暂停将身份提供者密码迁移到 Cloud Directory 域,并允许用户通过 Cloud Directory 进行认证。
    密码即时供应

    此开关按钮仅当开关即时供应已开启时才处于活动状态。

    开启后,管理员将启用迁移阶段,在此阶段,身份提供者的帐户及其密码将迁移到 Cloud Directory 域。 在此阶段,链接到 OnPrem 身份提供者的用户无法向 Cloud Directory 进行认证。

    关闭后,管理员会暂停将身份提供者密码迁移到 Cloud Directory 域的过程,并允许用户向 Cloud Directory 进行认证。

    启用密码即时配置 (identityLinkingJitPwdEnabled) 选项时的注意事项

    启用此选项后,Verify 平台尝试将用户的帐户属性和密码“及时”配置 (JITP) 到为租户配置的主要身份提供者域。 此配置在 OnPrem 或外部身份提供者成功验证用户名和密码后进行。 尝试配置密码时,Verify 会确保密码符合与主身份提供者关联的密码策略设置。 如果 On-prem 身份提供者验证的密码不满足此 Verify 策略,那么认证尝试将失败。 未将帐户属性和密码配置到 Verify 主身份提供者域中。 用户收到错误消息,指示用户名或密码无效并应联系系统管理员。

    要避免此情况,请定义与本地或外部身份系统所接受的策略相同或较小强度的密码策略。 将此策略与针对 Verify 租户配置的主身份提供程序相关联。 通常,主身份提供者域是 Verify Cloud Directory,它通常是使用缺省密码策略配置的。

    由于在每次成功的内部部署认证上都会执行密码的即时供应,因此主身份提供者域中的密码历史记录设置可能会导致帐户属性和密码同步失败。 您可能希望禁用该密码历史记录实施以防止此类故障。

    将密码即时供应选项从 "已启用" 切换到 "已禁用" 时, "内部部署到 Cloud Directory" 迁移阶段将视为完成。 已迁移用户可以使用其已迁移密码向 Cloud Directory 进行认证。 您可能想要重新启用为适应迁移阶段而更改的 Cloud Directory 密码策略设置。
    启用 JIT 供应

    此功能可用于 SAML 应用程序。

    		 如果在缺省身份提供者中找不到该帐户,那么此选项将在该缺省域中创建影子帐户。
  3. 可选: ManagingConfiguring 密码策略
  4. 可选: 添加 SAML 企业身份提供商
  5. 可选: 添加云扩展身份 MaaS360 提供商
  6. 可选: 设置 MaaS360 身份提供商和用户标识符
  7. 可选: 添加社交身份提供商
  8. 可选: 删除身份提供商。
    注: 无法删除 Cloud DirectoryIBMid 身份提供者。
    1. 选择身份提供者,然后从 " 编辑身份提供者 " 对话框中单击 删除
    2. 确认要永久删除所选身份提供者。
      注意:
      • 无法删除用作 MaaS360的缺省选择的身份提供者。 在删除当前缺省值之前,必须为 MaaS360 选择其他身份提供者。
      • 无法删除作为登录选项分配给应用程序的身份提供者。 必须先将其从应用程序的选项中除去,然后才能删除。