Contenido    

Atributos de autenticación de miembros

Los atributos de autenticación de condición de miembro son atributos de organización. Los valores aplicados a estos atributos en "Configuración de servicio" se convierten en los valores predeterminados para la plantilla de autenticación de condición de miembro. Es necesario crear la plantilla de servicio después de registrar el servicio para la organización. El administrador de la organización puede cambiar los valores predeterminados después del registro. Los atributos de organización no los heredan las entradas de los árboles de la organización. Los atributos de autenticación de miembros son:

Longitud de contraseña mínima

Este campo especifica el número mínimo de caracteres necesario para una contraseña definida durante el autorregistro. El valor predeterminado es 8.

Si se modifica este valor, se deberá modificar también en el texto de registro y de error en el siguiente archivo:

AcessManager-base/locale/amAuthMembership.properties (entradaPasswdMinChars)

Funciones de usuario predeterminadas

Este campo especifica los roles asignados a nuevos usuarios cuyos perfiles se crean mediante autorregistro. No hay ningún valor predeterminado. El administrador debe especificar los DN de los roles que se asignarán al nuevo usuario.


Note

El rol especificado debe encontrarse debajo de la organización para la que se está configurando la autenticación. Durante el autorregistro sólo se agregarán los roles que pueden ser asignados al usuario. Todos los otros DNs serán ignorados. El rol puede ser de Access Manager o bien de LDAP, pero no se aceptan roles filtrados.


Estado de usuario después del registro

Este menú especifica si los servicios están inmediatamente disponibles para un usuario que se ha autorregistrado. El valor predeterminado es Activo y los servicios están disponibles para el nuevo usuario. Si selecciona Inactivo, el administrador elige que los servicios no estén disponibles para un usuario nuevo.

Servidor LDAP principal

Este campo indica el nombre de host y el número de puerto del servidor LDAP principal especificado durante la instalación de Access Manager. Este servidor es el primero al que se recurre para la autenticación de LDAP. El formato es nombre_de_host:puerto (Si no aparece ningún número de puerto, de forma predeterminada es 389).

Si Access Manager está implementado en múltiples dominios, puede especificar el vínculo de comunicación entre instancias específicas de Access Manager y el servidor de directorios, utilizando el siguiente formato (las entradas múltiples deben incluir como prefijo el nombre del servidor local):

nombreservidor_local|servidor:puerto nombreservidor2_local|servidor:puerto ...

Por ejemplo, si hay dos Access Manager implementados en ubicaciones distintas (L1-máquina1-IS y L2- máquina2-IS) comunicándose con instancias distintas de Access Manager (L1-máquina1-DS y L2-máquina2-DS), quedaría como sigue:

L1-máquina1-IS.ejemplo.com|L1-máquina1-DS.ejemplo.com:389 L2-máquina2-IS.ejemplo.com|L2-máquina2-DS.ejemplo.com:389

Servidor LDAP secundario

Este campo especifica el nombre de host y el número de puerto de un servidor LDAP secundario disponible para la plataforma Access Manager. Si el servidor LDAP principal no responde a una solicitud de autenticación, se recurrirá a este servidor. Si el servidor principal está en funcionamiento, Access Manager volverá al mismo. El formato es también nombre_de_host:puerto. Las entradas múltiples deben aparecer precedidas del nombre del servidor local como prefijo.


Caution

Cuando autentique usuarios de un servidor de directorios que se encuentre lejos de la empresa de Access Manager, es importante que existan valores para el puerto del servidor LDAP principal y el del servidor LDAP secundario. Se puede utilizar el valor de una ubicación de un servidor de directorios para ambos campos.


DN para iniciar búsqueda de usuario

Este campo especifica el DN del nodo en el que debe comenzar la búsqueda de un usuario. (Por razones de rendimiento, este DN debe ser lo más específico posible). El valor predeterminado es la raíz del árbol de directorio. Se reconocerá cualquier DN válido. Si está seleccionado “OBJETO” en el atributo Ámbito de búsqueda, el DN debería especificar el nivel inmediato superior al nivel donde existe el perfil.

Si utiliza varias entradas, éstas deben aparecer precedidas por el nombre del servidor local como prefijo. El formato es el siguiente:

nombreservidor|dn de búsqueda

Para entradas múltiples

nombreservidor1|dn de búsqueda nombreservidor2|dn de búsqueda nombreservidor3|dn de búsqueda...

Si se encuentran varios usuarios en la misma búsqueda, la autenticación fallará.

DN para enlace de superusuario (root)

Este campo especifica el DN del usuario que se utilizará para conectar con el servidor de directorios especificado en el campo "Puerto y servidor LDAP principales" como administrador. El servicio de autenticación necesita establecer una conexión utilizando este DN para buscar un DN de usuario coincidente con el Id. de inicio de sesión del usuario. El valor predeterminado es amldapuser. Se reconocerá cualquier DN válido.

Contraseña para conexión de superusuario (root)

Este campo contiene la contraseña para el perfil de administrador especificado en el campo "DN para conexión de superusuario (root)". No hay ningún valor predeterminado. Sólo se reconocerá la contraseña LDAP válida del administrador.

Contraseña para conexión de superusuario (root) (confirmar)

Confirmación de la contraseña.

Atributo LDAP utilizado para recuperar el perfil de usuario

Este campo especifica el atributo utilizado en el convenio de asignación de nombre de las entradas de usuario. De forma predeterminada, Access Manager asume que las entradas de usuario se identifican mediante el atributo uid. Si su servidor de directorios utiliza un atributo distinto (como cualquiernombre) especifique en este campo el nombre del atributo.

Atributos LDAP utilizados para buscar un usuario que se va a autenticar

Este campo muestra los atributos que se van a utilizar para formar el filtro de búsqueda para un usuario que se va a autenticar y permite que el usuario se autentique con más de un atributo en la entrada del usuario. Por ejemplo, si este campo se define como uid, númeroempleado y correo, el usuario se podrá autenticar con cualquiera de esos nombres.

Filtro de búsqueda de usuario

Este campo especifica un atributo que se utilizará para buscar al usuario en el campo "DN para iniciar búsqueda de usuario". Funciona con el atributo de nombre de usuario. No hay ningún valor predeterminado. Se reconocerá cualquier atributo de entrada de usuario válido.

Ámbito de búsqueda

Este menú indica el número de niveles de Directory Server en los que se buscará un perfil de usuario coincidente. La búsqueda empieza a partir del nodo especificado en el atributo DN para iniciar búsqueda de usuario. El valor predeterminado es SUBTREE. Se puede elegir una de las siguientes opciones de la lista:

Habilitar acceso SSL al servidor LDAP

Esta opción permite que SSL acceda al servidor de directorios especificado en los campos "Puerto y servidor LDAP principales y secundarios". De forma predeterminada, la casilla no aparece activada y no se utilizará el protocolo SSL para acceder al servidor de directorios.

Devolver a la autenticación el DN de usuario

Si el directorio de Access Manager es el mismo que el directorio configurado para LDAP, puede que esta opción aparezca activada. En ese caso, esta opción permite que el módulo de autenticación LDAP devuelva el DN en lugar de userId y no es necesario realizar ninguna búsqueda. Normalmente, un módulo de autenticación devuelve sólo el userId y el servicio de autenticación busca al usuario en el LDAP local de Access Manager. Si se utiliza un directorio LDAP externo, esta opción, normalmente, no está activada.

Nivel de autenticación

El nivel de autenticación se define por separado para cada método de autenticación. El valor indica en qué medida se debe confiar en una autenticación. Cuando un usuario se ha autenticado, este valor se almacena en el token SSO para la sesión. Cuando el token SSO se presenta a una aplicación a la que desea acceder el usuario, la aplicación utiliza el valor almacenado para determinar si el nivel es suficiente para permitir el acceso al usuario Si el nivel de autenticación almacenado en el token SSO no cumple el valor mínimo necesario, la aplicación puede solicitar al usuario que se vuelva a autenticar a través de un servicio con un nivel de autenticación más alto. El valor predeterminado es 0.


Note

Si no se especifica ningún nivel de autenticación, el token SSO almacena el valor especificado en el "Nivel de autenticación predeterminado" del atributo de autenticación "Principal".



Contenido