管理属性

在线编辑

属性提供了一种机制,可包含要与应用程序共享的更多属性。 这些属性可以包含特定信息,例如,从用户认证的会话获取的公司名称或用户属性。

准备工作

  • 您必须具有管理许可权,才能完成此任务。
  • 以管理员身份登录到 IBM® Verify 管理控制台。
注意: 在“目录 > 属性 ”中定义的属性用于在单点登录应用程序接入过程中进行属性映射。 对于支持生命周期的应用程序,属性也可通过 Applications > Applications > 齿轮图标 > Account lifecycle 进行映射。

关于此任务

Verify 可以充当单点登录 身份提供者服务提供者 在此任务中, Verify身份提供者,而目标应用程序是 服务提供者

Verify 包含来自云目录的默认属性源集,具体说明请参阅内置属性源。 这些 内置 内置属性源被视为全局属性源,或适用于任何 Verify 订阅。

如果应用程序 服务提供者 需要 身份提供者 将其包含在 SAML 断言中,请定义缺省情况下不可用的其他属性源。 在其他情况下,无需创建更多属性源。

过程

  1. 选择目录 > 属性
    这将显示属性及其名称、源、描述和可用性。 可以使用搜索功能来查找特定属性。
  2. 可选: 选择筛选条件以过滤结果。
    您可以使用下列其中一个过滤器选项进行搜索:
    适用目标
    过滤器选择为 SSO、用户概要文件显示和供应。
    属性值类型
    过滤器选择为内置属性、定制属性、身份源凭证和应用程序概要文件
  3. 创建属性。
    1. 选择 添加属性
      此时将显示 " 添加属性 " 页面。
    2. 选择您要添加的属性的类型。
      定制属性
      此类型的属性可用于供应和/或单点登录。
      高级规则
      此类型的属性可用于通过使用代码编辑器应用函数和条件来添加或变换属性。
      身份源凭证
      此类型的属性只能用于单点登录。
      固定值
      此类型的属性可用于供应和/或单点登录。
      应用程序概要文件
      此类型的属性可用于通过应用程序模式进行供应。
    3. 指定属性的用途。
    4. 选择 下一步
    5. 为属性指定以下信息:
      属性名称
      将属性映射到应用程序时,指定易于识别的唯一名称。
      属性标识
      (可选)您可以指定属性的标识。
      描述
      (可选)提供有关属性的说明。
    6. 选择 下一步
    7. 为要创建的属性类型指定以下信息。
      定制属性
      • 如果不想使用配置的属性名称作为标识,那么可以指定其他标识。
        注: 标识不能包含空格,连字符 (-) 或下划线 (_)。
      • 从菜单中指定数据类型 和可用性
      • 选择是否散列属性值。 只有将字符串选为数据类型时,此选项才可用。 此选项还将禁用在目录的所有用户中唯一约束。 Cloud Directory 最多支持 10 个 LDAP 散列属性。
        注: 保存属性后,无法更改散列选项。
      • 从菜单中选择属性值的身份 提供者 ,并指定属性名称。 您可以指定多个 提供者 和属性名称。
      • 选择查看其他设置以设置缺省值和变换。
      高级规则
      1. 通过菜单指定数据类型。
      2. 在代码编辑器中编写基于定制通用表达式语言 (CEL) 的规则。 请参阅属性函数以了解如何编写自定义规则。
      3. 要测试规则,请选择显示
      4. 在左侧,填充您自己的 Cloud Directory 用户 SCIM 对象。 它用作定制规则的缺省输入。 您可以使用查找用户选项以其他 Cloud Directory 用户身份测试规则。 您可以将哑元数据添加到 SCIM 对象以测试更改。 您还可以添加或将 iduser 对象替换为 user 属性作为规则的输入。
      5. 选择 运行测试。 继续测试您的规则,直到对结果感到满意。
      参见属性函数和使用自定义函数配置属性

      转至步骤 j

      身份源凭证
      • 从菜单中选择属性值的身份源,并指定属性名称。 可以指定多个源和属性名称。
      • 通过菜单指定数据类型。
      • 选择查看其他设置以设置缺省值和变换。
      转至步骤 j
      固定值
      • 指定应用于所有用户的值。
      • 通过菜单指定数据类型。
      转至步骤 j
      属性概要文件
      • 指定属性的标识。
        注: 标识不能包含空格或特殊字符。 可以使用连字符 (-) 和下划线 (_)。
      • 通过菜单指定数据类型。
      转至步骤 j
    8. 选择 下一步
      此步骤仅适用于定制属性。
    9. 添加 约束
      此步骤仅适用于定制属性。
      1. 选择用户与属性的交互方式。 选择一个或多个复选框。
        利用电子邮件格式
        每种格式的验证选项不同。
        选择验证类型
        无其他验证
        正则表达式 (regex)
        指定允许的值
        允许使用域名
        不允许使用域名
        值必须为空
        注: 如果选择 Regular expression (regex) ,那么必须在下面的框字段中包含正则表达式。 通过选中 电子邮件格式 复选框,选项的验证类型 Value must be empty 变为可用。
        对于用户是只读的
        创建帐户后,用户无法编辑该值。
        用户必需
        对于用户帐户和注册,此字段是必需的。
        在目录的所有用户中唯一
        该值不能与同一目录中其他用户的值相同。 如果为定制属性选择了散列值选项,那么将禁用此选项。
      2. 选择验证类型。
        正则表达式 (regex)
        提供表达式。
        指定允许的值
        提供值。 您可以选择添加值以添加更多值。
        值必须为空
        无法为属性指定任何值。 如果选择此验证,那么用户只读是唯一的可用选项。
    10. 选择 添加属性
      您将返回到“属性”页面,并且该属性会显示在属性列表中。
  4. 更新属性。
    1. 使用搜索功能来查找特定属性。
    2. 可选: 选择筛选条件以过滤结果。
      可以按以下条件进行搜索
      适用目标
      过滤器选择是none,sso,user profile displayprovisioning.
      属性值类型
      过滤器选择为内置属性、定制属性和身份源凭证。
    3. 选择属性并点击图标 编辑
      您还可以选择属性以查看其详细信息,并从详细信息弹出窗口中 编辑 选择。 从详细信息弹出框中,还可以查看并连接到使用此属性的应用程序。
      此时将显示 " 编辑属性 " 页面。
    4. 编辑属性信息。
      注: 如果更改属性的用途,那么使用该属性的现有应用程序可以继续将该属性用于原始用途。 属性名称已更改为Untagged attribute并在下拉菜单中的 不推荐 下列出。 例如,如果在现有属性上取消选中单点登录 (SSO) 复选框,那么已将该属性用于 SSO 的应用程序可以继续将该属性用于 SSO。 但是,在任何新应用程序上使用 SSO 时,此属性不适用。 对于供应也是如此。

      您可以从属性详细信息弹出框中查看使用该属性的应用程序。 重新映射应用程序以将其他属性用于此用途。

      无法更改“散列值”选项。

      如果某个属性由动态角色使用,并且您更改了该属性的行为,那么必须在该动态角色中重新装入该属性。

    5. 选择 保存
  5. 删除属性。
    注: 在云应用程序连接中使用属性时,或者如果该属性是内置属性,那么无法将其删除。 您可以从属性详细信息弹出框中查看使用该属性的应用程序。 您可以从弹出框连接到那些应用程序以除去属性。 必须先从使用此属性的所有应用程序中将其除去,然后才能删除此属性。
    1. 在应用程序信息中选择 编辑 图标。
      您还可以选择属性以查看其详细信息,并从详细信息弹出窗口中 编辑进行选择。
    2. 确认要永久删除所选属性。