Sommaire    

Attributs d'authentification de certificat

Les attributs du module d'authentification de certificat sont des attributs d'organisation. Les valeurs qui leur sont affectées dans Configuration des services deviennent les valeurs par défaut du modèle Authentification de certificat. Le modèle de service doit être créé après enregistrement du service dans l’organisation. Les valeurs par défaut peuvent être modifiées par la suite par l'administrateur de l'organisation. Les attributs d'organisation ne sont pas transmis aux entrées des sous-arborescences de l'organisation. Les attributs d'authentification de certificat sont les suivants :

Faire correspondre le certificat avec LDAP

Cette option détermine s'il faut vérifier que le certificat de l'utilisateur présenté au moment de la connexion est stocké sur le serveur LDAP. S'il n'y a pas de correspondance, l'accès est refusé à l'utilisateur. S'il existe une correspondance et qu'aucune autre validation ne soit exigée, l'accès est accordé à l'utilisateur. Par défaut, le module d'authentification de certificat ne vérifie pas le certificat de l'utilisateur.


Remarque

Un certificat stocké sur Directory Server n'est pas obligatoirement valide ; il peut être inscrit sur la liste des certificats révoqués. Cependant, le conteneur Web peut vérifier la validité du certificat de l’utilisateur présenté lors de la connexion.


Attribut DN de l'objet utilisé pour une recherche LDAP des certificats

Ce champ indique l'attribut de la valeur SubjectDN du certificat à utiliser pour chercher des certificats dans LDAP. Cet attribut doit identifier de manière unique une entrée utilisateur. La valeur réelle sera utilisée pour la recherche. La valeur par défaut est CN.

Faire correspondre le certificat avec CRL

Cette option détermine s'il faut comparer le certificat de l'utilisateur à la liste des certificats révoqués (CRL, Certificate Revocation List) du serveur LDAP. La CRL se trouve à proximité des noms d’attribut dans la commande SubjectDN de l’émetteur. Si le certificat se trouve dans la CRL, l'accès est refusé à l'utilisateur ; dans le cas contraire, l'utilisateur a la permission de continuer. Par défaut, cet attribut n'est pas activé.


Remarque

Les certificats doivent être révoqués lorsque le statut du titulaire du certificat change et qu'il n'a plus le droit d'utiliser le certificat, ou lorsque la clé privée du titulaire du certificat a été compromise.


Attribut DN de l'émetteur utilisé pour une recherche LDAP des CRL

Ce champ indique l'attribut de la valeur subjectDN de l’émetteur du certificat reçu à utiliser pour rechercher des certificats révoqués dans LDAP. Ce champ est utilisé uniquement lorsque l'attribut Faire correspondre le certificat avec CRL est activé. La valeur réelle sera utilisée pour la recherche. La valeur par défaut est CN.

Paramètres HTTP pour la mise à jour des CRL

Ce champ indique les paramètres HTTP permettant d’obtenir une CRL auprès d’un servlet pour une mise à jour des CRL. Contactez l’administrateur de votre autorité de certification pour ces paramètres.

Activer la validation OCSP

Ce paramètre permet d'activer la validation OCSP en contactant le répondeur OCSP correspondant. Ce dernier est défini comme suit au moment de l'exécution :

Si la valeur com.sun.identity.authentication.ocspCheck est fausse ou si la valeur com.sum.identity.authentication.ocspCheck est vraie et qu’un répondeur OCSP est introuvable, aucune validation OCSP n’est effectuée.


Remarque

Avant d’activer la validation OCSP, assurez-vous que l’heure de la machine Access Manager et celle du répondeur OCSP sont aussi synchronisées que possible. De plus, sur la machine Access Manager, l’heure ne doit pas retarder par rapport à celle du répondeur OCSP. Par exemple :

Répondeur OCSP : 12:00:00 après-midi

Machine Access Manager - 12:00:30 après-midi


Serveur LDAP où les certificats sont conservés

Ce champ détermine le nom et le numéro de port du serveur LDAP où sont stockés les certificats. La valeur par défaut est le nom d'hôte et le port spécifiés lors de l'installation du Access Manager. Le nom d'hôte et le port de tout serveur LDAP stockant les certificats peuvent être utilisés. Le format est nomhôte:port.

DN de démarrage de recherche LDAP

Ce champ détermine le DN du nud où la recherche du certificat de l'utilisateur doit commencer. Aucune valeur par défaut n'est définie. Ce champ reconnaît tout DN valide. Si vous utilisez plusieurs entrées, celles-ci doivent être précédées du nom du serveur local. Le format est le suivant :

nomserveur|search dn

Lorsqu'il existe plusieurs entrées :

nomserveur1|search dn nomserveur2|search dn nomserveur3|search dn...

Si la même recherche aboutit à plusieurs utilisateurs, l'authentification échoue.

Utilisateur principal du serveur LDAP

Ce champ accueille le DN de l'utilisateur principal du serveur LDAP où sont stockés les certificats. Il n'existe pas de valeur par défaut pour ce champ qui reconnaît tout DN valide. L'utilisateur principal doit avoir l'autorisation de lire et de rechercher les informations portant sur les certificats stockées sur Directory Server.

Mot de passe principal du serveur LDAP

Ce champ comporte le mot de passe LDAP associé à l'utilisateur spécifié dans le champ Utilisateur principal du serveur LDAP. Il n'existe pas de valeur par défaut pour ce champ qui reconnaît le mot de passe LDAP valide pour l'utilisateur principal indiqué.


Remarque

Cette valeur est stockée en tant que texte lisible dans l'annuaire.


Attribut LDAP pour l'ID de profil

Ce champ détermine l'attribut de l'entrée de Directory Server qui correspond au certificat dont la valeur doit être utilisée pour identifier le profil utilisateur correct. Il n'existe pas de valeur par défaut pour ce champ qui reconnaît tout attribut valide dans une entrée utilisateur (cn, sn, etc.) pouvant être utilisée comme un ID utilisateur.

Utiliser SSL pour l'accès LDAP

Cette option détermine s'il faut utiliser le protocole SSL pour accéder au serveur LDAP. Par défaut, le module d'authentification de certificat n'utilise pas le protocole SSL pour les accès LDAP.

Champ de certificat utilisé pour accéder au profil utilisateur

Ce menu détermine quels champs, dans l’objet DN du certificat, doivent être utilisés pour rechercher un profil utilisateur correspondant. Par exemple, si vous choisissez adresse électronique, le module d'authentification de certificat cherchera le profil utilisateur qui a le même attribut emailAddr dans le certificat de l'utilisateur. La session ouverte par l'utilisateur se sert alors du profil correspondant. Le champ par défaut est objet CN. La liste comporte les entrées suivantes :

Autre champ de certificat utilisé pour accéder au profil utilisateur

Si la valeur de l'attribut Champ de certificat utilisé pour accéder au profil utilisateur est other, ce champ détermine l'attribut qui sera sélectionné dans la valeur subjectDN du certificat reçu. Le module d'authentification recherche ensuite le profil utilisateur qui correspond à la valeur de cet attribut.

Hôtes distants approuvés

Cet attribut définit une liste d'hôtes approuvés étant habilités à envoyer des certificats en toute sécurité à Access Manager. Access Manager n'a qu'à vérifier que le certificat a été émis par l'un de ces hôtes. Cette configuration est uniquement utilisée avec Sun Java System Portal Server.

Cet attribut accepte les valeurs suivantes :

Numéro du port SSL

Cet attribut indique le numéro de port utilisé pour la couche SSL. Actuellement, cet attribut est uniquement utilisé par le servlet de la passerelle. Avant toute modification ou tout ajout d’un numéro de port SSL, reportez-vous à la section « Policy-Based Resource Management (Gestion des ressources en fonction des modalités) » du chapitre 7 du manuel Access Manager Developer’s Guide.

Niveau d'authentification

Le niveau d'authentification est défini indépendamment pour chaque méthode d'authentification. La valeur indique le niveau de confiance accordé à une authentification. Une fois l'utilisateur authentifié, cette valeur est stockée dans le jeton SSO pour la durée de la session. Quand le jeton SSO est présenté à une application à laquelle l'utilisateur veut accéder, celle-ci utilise la valeur stockée pour déterminer si le niveau est suffisant pour accorder l'accès à l'utilisateur. Si le niveau d'authentification stocké dans un jeton SSO n'est pas suffisant, l'application peut inviter l'utilisateur à s'authentifier par l'intermédiaire d'un service doté d'un niveau d'authentification supérieur. La valeur par défaut est 0.


Remarque

Si aucun niveau d'authentification n'est précisé, le jeton SSO stocke la valeur définie dans l'attribut d'authentification principale : Niveau d'authentification par défaut.



Sommaire