Active Directory comme source d'identité
Introduction
Pour minimiser les perturbations lors du déploiement d'IBM Security Verify pour votre personnel, vous pouvez souhaiter que les utilisateurs s'authentifient auprès d'IBM Security Verify en utilisant leurs identifiants d'entreprise existants. Dans de nombreux cas, cela signifie l'utilisation d'un nom d'utilisateur et d'un mot de passe stockés sur site dans Microsoft Active Directory.
Ce guide détaille les étapes nécessaires pour permettre à votre locataire IBM Security Verify d'authentifier les utilisateurs contre un Active Directory sur site.
Prérequis
La configuration décrite dans ce guide nécessite le déploiement d'une ou plusieurs instances d'IBM Security Verify Bridge dans votre environnement. Ceci peut s'exécuter soit comme un service sur une machine Windows Server, soit comme un conteneur sur n'importe quel serveur Linux.
Chaque instance du Verify Bridge doit avoir une connectivité sortante vers un contrôleur de domaine Active Directory et doit avoir une connectivité Internet sortante vers l'instance cloud de Verify. Aucune connexion entrante n'est requise.
Collecte d'informations
Les éléments suivants seront nécessaires pour compléter ce guide :
| Élément | Exemple de valeur/Format |
|---|---|
| URI LDAP pour un ou plusieurs contrôleurs de domaine Active Directory qui seront utilisés pour l'authentification. | ldaps://dc1.example.comldaps://dc2.example.comRemarque : Si votre Active Directory n'est pas configuré pour une communication sécurisée, utilisez ldap:// à la place. |
| Certificat CA qui valide les certificats serveur présentés par les contrôleurs de domaine sur les connexions LDAPS. | Fichier de certificat encodé en Base64. Il a le format-----BEGIN CERTIFICATE-----...-----END CERTIFICATE----- |
| Nom distingué (DN) d'un compte Active Directory avec des permissions de lecture. Aucune permission spéciale requise. | cn=bridge,cn=users,dc=example,dc=com |
| Mot de passe pour le compte Active Directory ci-dessus. | – |
| Branche dans Active Directory où les utilisateurs sont stockés. Utilisée comme Base LDAP. | cn=users,dc=example,dc=com |
| Attribut Active Directory unique que les utilisateurs finaux utiliseront comme nom d'utilisateur. | Habituellement samAccountName (nom d'utilisateur) ou userPrincipalName ([email protected]) |
| Liste des attributs utilisateur que vous voulez rendre disponibles à IBM Security Verify. | cn, sn, mail, telephone, memberOf |
Les certificats serveur pour les connexions LDAP du contrôleur de domaine ne sont générés que si les services de certificats sont activés dans le domaine. Si les services de certificats ne sont pas activés, les contrôleurs de domaine peuvent sembler écouter sur le port LDAPS (636) mais les connexions échoueront. Dans ce cas, utilisez LDAP (ldap://) et changez le port à 389. Désactivez la vérification SSL sur la configuration Verify si vous utilisez cette option.
Créer une configuration d'agent d'identité
La plupart de la configuration pour IBM Security Verify Bridge est créée dans l'interface d'administration de votre locataire IBM Security Verify. La configuration est créée en tant que configuration d'agent d'identité. Cette configuration est lue par le service Bridge lors de son démarrage.
La création d'une configuration d'agent d'identité pour le Verify Bridge est documentée dans le Centre de connaissances ici.
Paramètres de connexion
Il est recommandé d'utiliser une connexion sécurisée (ldaps). Vous pouvez spécifier plusieurs URI pour l'équilibrage de charge et la haute disponibilité.
Lors de la définition de la base de recherche utilisateur, vous pouvez spécifier la racine du répertoire ou limiter à une branche du répertoire. Une seule base peut être spécifiée.
Il est important de se rappeler que le composant IBM Security Verify bridge s'exécutera dans votre environnement, donc les noms d'hôte donnés pour les contrôleurs de domaine peuvent être des noms d'hôte internes.
Propriétés utilisateur
Les valeurs par défaut fournies sur ce panneau sont de bonnes valeurs par défaut pour Active Directory.
Si vous prévoyez de fournir une authentification unique à Microsoft Office365, alors il est probable que vous aurez besoin de l'attribut binaire objectGUID (qui est utilisé pour lier les utilisateurs dans Azure avec les utilisateurs dans Active Directory sur site).
Explorer les attributs Active Directory
Si vous voulez voir les noms d'attributs (et les valeurs) pour les attributs dans votre Active Directory, vous pouvez le faire dans Utilisateurs et ordinateurs Active Directory en activant Fonctionnalités avancées sous le menu Affichage. Cela fait apparaître un nouvel onglet Éditeur d'attributs lorsque vous ouvrez les propriétés utilisateur.
Mappage d'attributs
Une entrée de mappage d'attributs lie un attribut source d'Active Directory avec un attribut utilisateur cible dans IBM Security Verify.
Lorsqu'un utilisateur s'authentifie via le bridge, les valeurs de l'attribut source d'Active Directory remplaceront les valeurs de l'attribut cible dans IBM Security Verify pour la session actuelle.
Il est également possible de spécifier que les valeurs lues depuis Active Directory doivent être stockées dans l'entrée Cloud Directory de l'utilisateur dans IBM Security Verify - écrasant toutes les valeurs existantes. Cela peut être fait soit au premier accès seulement - soit chaque fois qu'un utilisateur s'authentifie.
Finaliser la configuration
Le nom de l'agent est le nom administratif pour la configuration ; il n'est pas vu par les utilisateurs finaux.
Le nom d'affichage est le nom associé à la source d'identité créée pour ce bridge qui sera montré aux utilisateurs finaux s'ils doivent choisir comment s'authentifier.
Le nom de domaine est un suffixe ajouté aux utilisateurs qui s'authentifient en utilisant ce bridge pour les rendre uniques dans le Cloud Directory. Cela peut être vu par les utilisateurs finaux lorsqu'ils consultent leur propre profil.
Récupérer les identifiants API
Après avoir sauvegardé la définition d'agent d'identité, vous verrez une page Détails de connexion qui montre l'ID client et le secret client qui ont été générés pour votre bridge. Vous en aurez besoin lors de l'installation du service Verify Bridge.
Installer IBM Verify Bridge
Option 1 : Service Windows
Téléchargez l'installateur pour IBM Security Verify Bridge depuis IBM Security App Exchange.
Utilisez l'installateur pour installer IBM Verify Bridge. Pendant l'installation, un service Windows (IBM Security Verify Bridge) est créé.
Après la fin de l'installation, il vous sera demandé l'URL de votre locataire IBM Security Verify et l'ID client et le secret client de la définition d'agent d'identité. Ceux-ci sont utilisés pour remplir le fichier de configuration pour le service. Vous pouvez également optionnellement activer le traçage (qui est utile pour déboguer les problèmes).
En supposant que vous fournissiez les informations demandées, le service Windows sera configuré pour démarrer automatiquement et sera démarré. Le bridge est maintenant prêt à être utilisé.
Option 2 : Installation en conteneur
Suivez les instructions de déploiement sur Docker Hub pour déployer le conteneur. Lors de la création du fichier docker-compose, remplacez l'URL, l'ID client et le secret client par les valeurs de la définition d'agent d'identité. Vous pouvez également optionnellement activer le traçage (qui est utile pour déboguer les problèmes).
Installation de plusieurs bridges
Vous pouvez créer un cluster de bridges en installant le bridge sur plusieurs machines et en spécifiant les mêmes URI, ID client et secret client sur chacune. Chaque bridge s'enregistrera avec le locataire Verify et sera disponible pour servir les transactions d'authentification.
Valider la configuration
Fichier de trace
En supposant que vous ayez activé le traçage pendant l'installation, le fichier de trace pour le Verify Bridge peut être utilisé pour valider le démarrage correct du bridge.
Pour le service Windows, l'emplacement par défaut pour le journal de trace est C:\Program Files\IBM\BridgeAgent\bridge_agent.log.
Pour une installation en conteneur, la trace peut être consultée en visualisant le journal du conteneur.
Si vous consultez la trace, vous devriez voir du contenu comme ceci lorsque le bridge démarre :
...
2021-01-12 14:50:37.155:httpmod.go:618: getBearerToken(): expiresAt=2021-01-12 16:50:36.7057442 +0000 GMT m=+7200.071289101 getNewTokenAt=2021-01-12 16:44:36.7057442 +0000 GMT m=+6840.071289101 EX
...
2021-01-12 14:50:37.155:opprocmod.go:363: run(): Waiting for operations
2021-01-12 14:50:37.155:main.go:307: run(): NewConfig event received
...
2021-01-12 14:50:37.462:main.go:332: run(): NewConfig event processing done
2021-01-12 14:50:37.462:opprocmod.go:363: run(): Waiting for operations
...
2021-01-12 14:50:37.511:ldapauth.go:1193: getLDAPType(): type=Active Directory
2021-01-12 14:50:37.511:ldapauth.go:1206: getLDAPType(): autoset group membership attr = memberOf
2021-01-12 14:50:37.511:ldapauth.go:237: setLdapState(OK)
Interface d'administration
Dans l'interface d'administration, sous Agents d'identité, vous devriez voir un agent actif listé pour votre définition de bridge. Cela montre que votre service s'est enregistré avec succès avec votre locataire :
Tuile de statut d'agent d'identité
Test
Pour tester le bridge de bout en bout, tentez de vous authentifier à votre locataire IBM Security Verify en utilisant un nom d'utilisateur et un mot de passe de votre Active Directory.
Sur la page de connexion par défaut, cliquez sur Se connecter d'une autre manière et sélectionnez la source d'identité associée à votre bridge dans la liste déroulante.
Entrez le nom d'utilisateur et le mot de passe d'un utilisateur d'Active Directory. Si tout fonctionne, l'utilisateur devrait être connecté avec succès.
Si l'authentification échoue, vérifiez le fichier de trace du service bridge pour les informations de débogage.
Jon Harry, IBM Security
Updated 8 days ago