配置身份代理以通过 Web 服务进行身份验证

在线编辑

关于此任务

一种非标准身份提供者配置,该配置通过访问非标准数据源(非 LDAP 或非 AD)的 Web 服务来检索用户属性及组。

过程

  1. 选择 “集成” > “身份代理”
  2. 选择 “创建代理配置”
  3. 选择 “身份验证 ”作为目的。
  4. 选择 Web 服务磁贴。
  5. 选择 “下一步”
  6. 配置 Web 服务连接设置。 请输入本地 Web 服务的 URI。
    在配置集群 Web 服务故障转移时,可通过选择“添加 URI+ ”来添加多个 Web 服务 URI。
  7. 选择认证类型。
    身份验证类型是指代理用于向本地 Web 服务进行身份验证的方法。
    • OAUTH
      令牌端点 URL
      请输入 OAuth 提供商的令牌端点。 代理使用此令牌端点来获取访问令牌,并将该令牌发送至 Web 服务。
      令牌端点认证方法
      请输入令牌端点身份验证方法:
      • 客户端密钥 POST 请求——代理通过 POST 请求将客户端凭据发送至令牌端点。
      • 客户端密钥基础 - 代理将采用 base64 编码的客户端凭据,通过请求头 authorization 发送至令牌端点。
      客户机标识和客户机密钥
      请输入用于通过 OAuth 提供商进行身份验证的客户端凭据。 您还可以提供一个证书颁发机构。
      如果您正在编辑现有的 Identity Agent 客户端,可以使用以下客户端密钥选项:
      • 选择 显示 以查看客户机私钥。
      • 选择 隐藏 以隐藏客户机私钥。
      • 点击 复制 将客户端 ID 或密钥复制到剪贴板。
      • 点击 列表 以查看已轮换的客户端密钥。
        • 从列表中选择一个或多个已轮换的客户端密钥,然后单击 “删除 ”将其删除。
      • 选择 重新生成 以生成新的客户机密钥。 如果您认为客户机密钥被泄露,请使用此选项。 重新生成客户机密钥后,必须在此应用程序的所有 OAuth 客户机中更新客户机密钥。
        • 选中 “保留当前密钥 ”复选框,即可将当前客户端密钥添加到轮换客户端密钥列表中。
        • 如果选中了 “保留当前密钥 ”复选框,请选择客户端密钥的描述和过期时间(以浏览器本地时间为准)。 如果未选择过期时间,则将应用 “应用程序设置 ”中为该租户设置的“轮换密钥生命周期”。
        • 轮换后的客户端密钥已进行哈希处理,无法再以明文形式检索,但在选定的过期日期之前仍可继续使用。
        • 确认后,客户端密钥将立即进行轮换。 新客户端密钥已显示在屏幕上。
      私钥证书颁发机构(可选)
      输入 CA 证书链,以便本地代理能够验证外部身份验证服务的传输层安全 ( TLS ) 连接。
      作用域权利(可选)
      请为访问令牌输入一个或多个作用域权限。
      专用密钥证书名称(可选)
      如果您希望在代理连接中执行“相互 TLS (MTLS)”证书认证,请提供私钥证书的名称。
    • JSON Web 令牌 (JWT)
      HTTP 头
      请输入包含该 JWT 的 ` HTTP ` 标头。 例如,authorization
      JWT 头值前缀(可选)
      请在 HTTP 标头中输入JWT前缀值。 例如,Bearer
      注意: 前缀与 JWT 之间不会自动插入空格,因此必须在指定的前缀后手动输入空格。
      子声明
      请输入JWT中出现的子声明。
      签名算法
      选择代理用于对 JWT 进行签名的签名算法。

      对于对称签名算法(HSXXX),请输入作为对称签名密钥的“密钥”值。 输入的签名密钥必须采用 base64 编码。

      对于非对称签名算法(ESXXX、PSXXX 或 RSXXX),请输入用于对 JWT 进行签名的私钥的标签,即个人证书名称。 Subject 在 Windows 系统中,此标签对应于 Windows 密钥库中私钥证书的 值。 /cert/{label}_cert[_{instance}].pemlabel 在 Linux® 系统中,该值对应于路径的 部分。

      JWT 的最大有效期
      请输入 JWT 的有效时长(单位为秒)。
      证书颁发机构(可选)
      输入 CA 证书链,以便本地代理能够验证与外部身份验证服务 TLS 的连接。
    • 基本认证
      用户名和密码
      用于代理与 Web 服务进行身份验证的用户名和密码。 它们以名为 authorization 的标头形式发送至 Web 服务,格式 Basic username:password 为 ,其中 username:password 采用 base64 编码。
      认证中心(可选)
      输入 CA 证书链,以便本地代理能够验证与外部身份验证服务 TLS 的连接。
      专用密钥证书名称(可选)
      如果您希望在代理连接中进行 MTLS 证书认证,请提供私钥证书的名称。
    • 证书认证 (MTLS)
      认证中心(可选)
      请输入 CA 证书链。 本地代理会使用此证书链来验证由使用 TLS 的 Web 服务提供的 TLS 证书。 代理在验证由 OAuth 服务器的令牌端点 URL 提供的 TLS 证书时,也会使用此证书链。
      私钥证书
      请输入代理在 MTLS 过程中使用的私钥证书名称。 对于 MTLS 以外的身份验证类型,设置此值将导致代理在已指定的身份验证类型之外,尝试执行 MTLS。

      在 Windows™ 系统上,桥接器会检查 Windows 密钥库中的值 Subject: 。 在 Linux 系统中,桥接器会检查路径 /cert/{label}_cert[_{instance}].pem ,其中label即为在此处输入的值。

  8. 单击下一步
  9. 设置用户属性。
    请提供一个以逗号分隔的属性列表,这些属性是 Web 服务在密码验证成功时返回的。
  10. 单击下一步
  11. Verify 将 Web 服务检索到的属性映射到 Cloud Directory 属性。
    创建身份代理后,您可以通过代理磁贴上的编辑功能 “画笔”图标 来更改或更新映射。
  12. 选择 “下一步”
  13. “完成配置 ”中,请提供以下信息。
    • 代理程序的唯一可识别名称
    • 描述
    • 身份提供商的显示名称
    • 身份提供商的域
  14. 可选: 选择 “查看高级设置 ”以添加配置属性或选择用于加密的证书。
  15. 点击 “保存并继续 ”。
  16. “下一步” 中,请执行以下操作。
    1. 选择 “查看 API 凭据 ”,然后点击“复制到剪贴板”图标,将客户端 ID 和客户端密钥复制并保存下来。
      注意: 只有具备相应权限的用户才能查看客户端密钥。 如需了解更多信息,请参阅 “权限的安全更新”
    2. 如果尚未下载,请从 IBM® X-Force® App Exchange 下载该代理程序。
    3. 将 API 凭证添加到代理程序配置。
  17. 单击 “完成”
    该配置已添加到身份代理中,身份提供商“身份验证 > 身份提供商 ”下