在 IBM® Security Verify 租户上配置 Verify Bridge 后,必须在 Docker 上安装和配置 Verify Bridge。
关于此任务
执行以下步骤部署 IBM Verify Bridge。如果要在 Docker上升级现有 Verify Bridge 安装,请参阅 在 Docker上升级 Verify Bridge。
过程
- 从 IBM Container Registery 中拉取映像以查看许可证。
运行以下命令。
docker pull icr.io/isv-saas/verify-bridge:latest
docker run --rm icr.io/isv-saas/verify-bridge:latest license
注意: 部署 IBM Verify Bridge 时,必须在 docker-compose.yml 文件中使用[参数 - LICENSE_ACCEPT:"yes"]接受许可证。
- 创建具有以下内容的文件 docker-compose.yml 。
version: "3"
services:
verify-bridge:
image: icr.io/isv-saas/verify-bridge:latest
container_name: verify-bridge
environment:
TRACE: "false"
LICENSE_ACCEPT: "yes"
TENANT_URI: "<tenantURL>"
TENANT_PROXY: "<proxyURL>"
CLIENT_ID: "<clientID>"
OBF_CLIENT_SECRET: "<obfClientSecret>"
restart: always
注: 添加 GOLANG_FIPS: "1" 后,在容器中运行的 Verify Bridge 进程将以 FIPS 140-$tag4 方式运行。 此环境变量是可选的。
TENANT_PROXY 是可选的环境值,允许通过代理服务器访问租户。 代理类型由 proxyURL 方案确定。 支持协议“http”、“https”和“socks5”。
在 IBM Security Verify 配置 页面中完成代理程序配置时,将生成 TENANT_URI , CLIENT_ID 和 CLIENT_secret。 配置后,可以加密 CLIENT_SECRET。
可以通过运行以下 docker 命令,从客户机私钥获取 OBF_CLIENT_SECRET 值:
docker run -e "LICENSE_ACCEPT=yes" --rm icr.io/isv-saas/verify-bridge:latest obfuscate"<clientSecret>"
例如
docker run -e "LICENSE_ACCEPT=yes" --rm icr.io/isv-saas/verify-bridge:latest obfuscate "passw0rd"
Emulate Docker CLI using podman. Create /etc/containers/nodocker to quiet msg.
INFO: Found end user license acceptance.
ccxDMMPSE62AYi3o7y+cNCE+xCtTLOyEHZ5MCw4IUzA=
输出的最后一行包含 OBF_CLIENT_SECRET 的屏蔽私钥 (
<obfClientSecret>)。 对于向后兼容性,支持 CLIENT_SECRET 环境值。
租户 URI 必须包含完整 URI 方案和域名,例如 https://tenant.verify.ibm.com。
完成配置后,将向您提供客户机标识和客户机密钥。 请参阅 配置 Verify Bridge 和身份源。
- 要在 Docker上部署 Verify Bridge ,请运行以下命令。
docker-compose -f docker-compose.yml up -d
- 验证容器是否已正确启动。
输入以下命令并观察容器的状态。
docker ps -a
- 可选: 要查看 Verify Bridge 日志并进行故障诊断,请发出以下命令。
docker logs -f verify-bridge