常见问题

在线编辑

关于属性同步的配置条目,是否有更多详细信息?
Directory Sync 会使用该配置来创建用户和组的 SCIM REST API 调用,以更新租户注册表。 因此,该配置与这些 API 的输入类似,因此该 API 的文档有助于理解。 https://docs.verify.ibm.com/verify/reference/createuser 请参阅 POST、PATCH 和 PUT 操作,例如 /v2.0/Users 以及 /v2.0/Groups
@realm应该用“ urn:ietf:params:scim:schemas:extension:ibm:2.0:User.realmunqualifiedUserName ”还是“ userName 或者”?
urn:ietf:params:scim:schemas:extension:ibm:2.0:User.realmunqualifiedUserName 将被忽略,并从示例配置文件中删除。 @realm请将 userName 与 结合使用。 例如,如果您的 userName 是属性 userPrincipalName 且值为 testuser@adomain.com ,而验证域为 "verify-realm",请 userName 按照以下示例设置。
{
  "ldap": "userPrincipalName",
  "tweaks": {
    "append": "@verify-realm"
  }
  "new-attr":{
    "scim":{"userName":"{{value}}"}
  },
  "mod-attr":{
    "scim":{
      "add":{"op":"add","path":"userName","value":"{{value}}"},
      "remove":{"op":"remove","path":"userName"},
      "replace":{"op":"replace","path":"userName","value":"{{value}}"}
    }
  }
}
因此,对于前面的示例值,该值 userName 被设置为 "testuser@adomain.com@verify-realm"
IBM® Verify 注意: 如果 Bridge 代理也用于访问同一本地注册表,则“set on userName@realm 必须与关联到该 Bridge 代理的身份源相匹配。
在使用 Active Directory 时,配置 "ldap-base-dn" 不够精细。 还有哪些替代方案?
"msDs-parentdistname"Active Directory 提供了一个操作属性,可用于匹配特定的DN组,. 可以将此属性添加到配置字符串中 "ldap-search-filter" ,以将用户和组的匹配范围限制在目录的特定区域内。 "msDs-parentdistname" 表示 true 匹配的DN的所有直接子节点。 这种匹配不是子树匹配,而是一级匹配。 例如,
"ldap-base-dn": "DC=adomain,DC=com",
"ldap-search-filter":"(|(&(objectClass=user)(msDs-parentdistname=CN=SyncUsers,DC=adomain,DC=com))(&(objectClass=group)(msDs-
parentdistname=CN=SyncGroups,DC=adomain,DC=com))"
DC=comDC=adomainCN=SyncGroupsCN=testgroupDC=comDC=adomainCN=SyncUserscn=testuser此筛选器仅匹配类似于、、、、的用户,以及类似于、、、、的群组。
正在同步的用户能否仅通过组成员身份来识别?
是的,但切勿将组成员身份作为条件 "ldap-search-filter" 。 在 Active Directory 中初次创建用户条目时,该条目不包含任何组成员身份。 它是在创建步骤之后添加的。 "ldap-search-filter"因此,当在.中使用时,用户创建事件会被忽略并丢失。 解决方法是使用该 "user-sync-filter" 配置项。 参见 The cloud-bridge JSON 对象memberOf此配置项不仅限于…… 其他用户属性也可以以类似的方式使用。
SaaS 中的 Verify 属性 upn 是必填的吗?
虽然从技术上讲,UPN(用户主体名称)属性并非 Active Directory (AD)集成的必备条件,但建议使用。 IBM Verify如果某个应用程序或集成(例如 Azure AD 或特定的 SAML 服务,或是 OIDC 服务提供商)明确要求使用 UPN 属性,您可以在. 中将其配置为自定义属性。 仅当您的使用场景涉及依赖于 UPN 的 SSO 断言或属性映射时才需要这样做,特别是在以下情况下:
  • 使用基于 UPN 进行路由的自定义登录页面
  • 支持多个域或区域
  • 实施单点登录(SSO)方案
建议将桥接实例(用户、管理员、组)进行分离吗?
不,根据 IBM 中的最佳实践,这种分离方式并不推荐。 IBM Verify Bridge for Directory Sync 旨在通过单个实例同时管理用户和组。 标准部署模式是每个目录源配置一个目录同步桥,并配备备用冗余实例以确保高可用性。 此外,不建议按功能(用户、组)进行分离,因为这会增加复杂性,并可能导致同步问题。
username为什么在 IBM Verify 中会有两个username属性(preferred_username 和),它们有什么区别?
IBM Verify 使用了两个不同的与用户名相关的属性。
  • userName 是用于身份验证和系统操作的主要标识符。 它是系统中用户的唯一标识符,且在同一域内必须是唯一的。 它用于身份验证流程、用户查询和系统操作。 它通常映射到 Active Directory 中的 userPrincipalName (UPN),对系统功能至关重要。
  • preferred_username 是一个通常用于显示目的的备用用户名。 它主要用于用户界面的显示,并提供了一个更友好的显示名称。 它可以在用户个人资料和用户界面元素中显示。 它不用于身份验证或系统查询,且修改该设置不会影响核心身份验证功能。
当目录同步与用于密码认证的Bridge代理结合使用时,应创建哪种类型的用户更合适:联合用户还是普通用户?
“联合用户”是正确选项。 联合用户支持单点 IBM Verify 登录(SSO)功能。 他们将本地注册表作为身份信息的权威来源。 它们通过外部身份源(本地 Bridge 代理)进行身份验证,其属性则从本地注册表中同步而来。