IBM Security Verify Bridge
IBM® Security Verify Bridge コンポーネントは、お客様のオンプレミス LDAP、 Active Directory、またはカスタム・データベースによって制御されるユーザー属性および認証への IBM クラウド・アクセスを提供します。
概要
Verify Bridge は、 IBM Security Verify コンポーネントからオンプレミス LDAP、 Active Directory、またはカスタム・データベース認証とユーザー属性へのアクセスを提供します。
Verify Bridge と IBM Security Verify テナントの間のメイン接続では、HTTP または HTTPS Long-Poll のいずれかが使用されます。 この接続は Verify Bridge によって開始され、ブリッジが始動時に取得して定期的にリフレッシュする許可アクセス・トークンを必要とします。 ロング・ポーリング接続が確立されると、トラフィックは Verify から Verify Bridgeに流れます。
コンポーネントの概要
以下の図は、 Verify Bridge アーキテクチャーの主なコンポーネントを示しています。
注:
- ワークロード
- ワークロード要求は、ID ソースを表すエージェントの任意の接続されたインスタンスにディスパッチされます。 これにより高可用性 (HA) と拡張性の高いパフォーマンスが提供されます。 任意のエージェントが選択されます。
- LDAP エージェント ID ソース 1
- ID ソースごとにブリッジ・エージェントのインスタンスを複数デプロイできます。 複数のインスタンスを使用すると、ブリッジ・エージェントのクラスターで、特定の ID ソースに対する要求やワークロードを処理できるようになります。
- LDAP ソース 1 (レプリカ 2)
- 各ブリッジ・エージェント・インスタンスは、実際の外部データ・リポジトリー、またはそのレプリカに接続できる必要があります。 各プライマリー URL とレプリカ URL は、エージェント接続情報の一部として構成されます。 接続試行は、構成で提供される順序で行われます。
この図について以下で説明します。
- Verify ボックス内に示されているフローとボックスは、概念的なものにすぎません。
- 1 つの ID ソースにブリッジ・エージェントのインスタンスを複数デプロイできます。 この機能により、ブリッジ・エージェントのクラスターで ID ソースに対する要求やワークロードを処理できるようになります。 各ブリッジ・エージェント・インスタンスは、実際の外部データ・リポジトリーまたはそのレプリカに接続できることが必要です。
注:
- IP アドレスを使用してホストが指定された場合は、LDAP TLS サーバー証明書検証が実施されるようになりました。 アップグレード後は、現在のように TLS と IP アドレスを使用できなくなる可能性があります。 この変更の影響を受ける場合は、以下の 2 つのオプションを選択できます。
- オプションの構成項目
"LdapCertHostName" "{your cert host name}"
を使用して、LDAP サーバー証明書のホスト名 bu を指定します。 - LDAP サーバー証明書ホスト名を使用するように LDAP URI を変更します。 ソリューションが選択されるまで一時的な即時回避策が必要な場合は、オプションの構成
"InsecureSkipVerify"
を"true"
に設定します。
- オプションの構成項目
バージョン 1.0.9 以降では、レガシー共通名フィールドに依存する証明書は受け入れられなくなりました。 証明書は、代わりに SAN (サブジェクト代替名) を使用する必要があります。 レガシー共通名フィールドのホスト名 ID を使用する必要がある場合は、Windows onprem.exe プロセスの
GODEBUG='x509ignoreCN=0'
環境変数を設定するか、それを Docker イメージに渡します。
サポートされるソフトウェア
- オペレーティング・システム
- Windows Server 2016
- Windows Server 2019
- Windows Server 2012 R2
- Docker エンジン 19.03.0 以上をサポートする Linux システム