Sommaire    

Attributs d'authentification d'appartenance

Les attributs d'authentification d'appartenance sont des attributs d'organisation. Les valeurs qui leur sont affectées dans Configuration des services deviennent les valeurs par défaut du modèle Authentification d’appartenance. Le modèle de service doit être créé après enregistrement du service dans l’organisation. Les valeurs par défaut peuvent être modifiées par la suite par l'administrateur de l'organisation. Les attributs d'organisation ne sont pas transmis aux entrées des sous-arborescences de l'organisation. Les attributs d'authentification d'appartenance sont :

Longueur minimale du mot de passe

Ce champ spécifie le nombre minimal de caractères que doit contenir un mot de passe défini lors de l'auto-enregistrement. La valeur par défaut est de 8.

Si cette valeur est modifiée, elle doit aussi l'être dans le texte d'enregistrement et d'erreur du fichier suivant :

AcessManager-base/locale/amAuthMembership.properties (entrée PasswdMinChars )

Rôles utilisateur par défaut

Ce champ indique les rôles affectés aux nouveaux utilisateurs dont les profils sont créés en utilisant l'auto-enregistrement. Aucune valeur par défaut n'est définie. L'administrateur doit spécifier les DN des rôles qui seront affectés au nouvel utilisateur.


Remarque

Le rôle défini doit se situer sous l'organisation pour laquelle l'authentification est configurée. Seuls les rôles qui peuvent être affectés à l’utilisateur sont ajoutés lors de l’auto-enregistrement. Tous les autres DN sont ignorés. Le rôle peut être soit un rôle Access Manager soit un rôle LDAP, mais les rôles filtrés ne sont pas acceptés.


Statut de l'utilisateur après enregistrement

Ce menu détermine si les services sont mis immédiatement à la disposition d'un utilisateur qui s'est auto-enregistré. La valeur par défaut est Actif et le nouvel utilisateur peut utiliser les services. En sélectionnant Inactif, l'administrateur fait le choix d'interdire l'accès à tous les services au nouvel utilisateur.

Serveur LDAP principal

Ce champ indique le nom de l'hôte et le numéro de port du serveur LDAP principal défini lors de l'installation du serveur Access Manager. C'est le premier serveur contacté pour l'authentification LDAP. Le format est nomhôte:port. (Si aucun numéro de port n'est précisé, le port389 est utilisé par défaut.)

Si Access Manager est déployé avec plusieurs domaines, vous pouvez indiquer la liaison de communication entre des instances spécifiques d'Access Manager et de Directory Server dans le format ci-dessous. (Lorsqu'il y a plusieurs entrées, chacune doit être précédée du nom du serveur local.)

nomserveur_local|serveur:port nomserveur_local2|serveur:port ...

Par exemple, si deux instances Access Manager sont déployées à des emplacements différents (L1-ordinateur1-IS et L2- ordinateur2-IS) et qu'elles communiquent avec différentes instances de Directory Server (L1-ordinateur1-DS et L2-ordinateur2-DS), elles sont indiquées comme suit :

L1-ordinateur1-IS.exemple.com|L1-ordinateur1-DS.exemple.com:389 L2-ordinateur2-IS.exemple.com|L2-ordinateur2-DS.exemple.com:389

Serveur LDAP secondaire

Ce champ spécifie le nom de l'hôte et le numéro de port du serveur LDAP secondaire mis à la disposition de la plate-forme du serveur Access Manager. Si le serveur LDAP principal ne répond pas à une demande d'authentification, c'est ce serveur qui est contacté. Si le serveur principal est activé, Access Manager bascule à nouveau sur le serveur principal. Le format suivi est aussi nomhôte:port. Si vous utilisez plusieurs entrées, celles-ci doivent être précédées du nom du serveur local.


Attention

Lors de l'authentification d'utilisateurs à partir d'un serveur Directory Server distant par rapport à l'entreprise du serveur Access Manager, il importe que les ports primaires et secondaires LDAP soient indiqués. Le même emplacement de serveur Directory Server peut être utilisé pour les deux champs.


DN où démarrer la recherche d'utilisateur

Ce champ détermine le DN du nud où la recherche de l'utilisateur doit commencer. (Pour un maximum d'efficacité, ce DN doit être le plus précis possible.) La valeur par défaut est la racine de l'arborescence des répertoires. Tout DN valide est reconnu. Si la valeur OBJECT est sélectionnée pour l'attribut Étendue de la recherche, le DN doit indiquer le niveau supérieur par rapport au niveau auquel figure le profil.

Si vous utilisez plusieurs entrées, elles doivent être précédées du nom du serveur local. Le format est le suivant :

nomserveur|search dn

Lorsqu'il existe plusieurs entrées :

nomserveur1|search dn nomserveur2|search dn nomserveur3|search dn...

Si la même recherche aboutit à plusieurs utilisateurs, l'authentification échoue.

DN pour liaison utilisateur racine

Ce champ spécifie le DN de l'utilisateur qui sera associé au serveur Directory Server indiqué dans le champ Serveur et port LDAP principaux en tant qu'administrateur. Le module d'authentification doit être associé à ce DN afin de pouvoir rechercher le DN utilisateur qui correspond à un ID de connexion utilisateur donné. La valeur par défaut est amldapuser. Tout DN valide est reconnu.

Mot de passe pour associer l'utilisateur racine

Ce champ comporte le mot de passe du profil administrateur spécifié dans le champ DN pour associer l'utilisateur racine. Aucune valeur par défaut n'est définie. Seul le mot de passe LDAP valide de l'administrateur sera reconnu.

Mot de passe pour associer l'utilisateur racine (confirmer)

Confirmation du mot de passe.

Attribut LDAP utilisé pour récupérer profil utilisateur

Ce champ indique l'attribut utilisé comme convention d'affectation de nom pour les entrées utilisateur. Par défaut, le serveur Access Manager suppose que les entrées utilisateur sont identifiées par l'attribut uid. Si Directory Server utilise un attribut différent (tel que givenname), indiquez le nom de ce dernier dans ce champ.

Attributs LDAP utilisés pour rechercher un utilisateur à authentifier

Ce champ énumère les attributs du filtre de recherche à utiliser pour authentifier un utilisateur, et permet à l'utilisateur de s'authentifier avec plusieurs attributs dans son entrée. Par exemple, si ce champ contient uid, employeenumber et mail, l'utilisateur peut s'authentifier avec chacun de ces noms.

Filtre de recherche d'utilisateur

Ce champ indique l’attribut à utiliser pour trouver un utilisateur à l'aide du champ DN où démarrer la recherche d'utilisateur. Il fonctionne avec l'attribut d'affectation de nom à un utilisateur. Aucune valeur par défaut n'est définie. Tout attribut d'entrée utilisateur valide est reconnu.

Étendue de la recherche

Ce menu indique le nombre de niveaux du serveur Directory Server qui seront inspectés afin de trouver un profil utilisateur correspondant. La recherche commence par le nud spécifié indiqué l'attribut DN où démarrer la recherche d'utilisateur. La valeur par défaut est : SOUS-ARBRE. L'une des options suivantes peut être sélectionnée dans la liste :

Activer accès SSL au serveur LDAP

Cette option active l'accès SSL au serveur Directory Server indiqué dans le champ Serveur et port LDAP principaux et secondaires. Par défaut, cette case n'est pas cochée et le protocole SSL n'est pas utilisé pour accéder à Directory Server.

Renvoyer DN utilisateur à authentifier

Lorsque le répertoire du serveur Access Manager est le même que celui configuré pour LDAP, cette option est activée. Dans ce cas, elle permet au module d'authentification LDAP de renvoyer le DN au lieu de userId et aucune recherche n'est nécessaire. Normalement, un module d'authentification renvoie uniquement le userId, et cherche l'utilisateur dans le LDAP du serveur Access Manager local. Si un répertoire LDAP externe est utilisé, cette option n’est généralement pas activée.

Niveau d'authentification

Le niveau d'authentification est défini indépendamment pour chaque méthode d'authentification. La valeur indique le niveau de confiance accordé à une authentification. Une fois l'utilisateur authentifié, cette valeur est stockée dans le jeton SSO pour la durée de la session. Quand le jeton SSO est présenté à une application à laquelle l'utilisateur veut accéder, celle-ci utilise la valeur stockée pour déterminer si le niveau est suffisant pour accorder l'accès à l'utilisateur. Si le niveau d'authentification stocké dans un jeton SSO n'est pas suffisant, l'application peut inviter l'utilisateur à s'authentifier par l'intermédiaire d'un service doté d'un niveau d'authentification supérieur. La valeur par défaut est 0.


Remarque

Si aucun niveau d'authentification n'est précisé, le jeton SSO stocke la valeur définie dans l'attribut d'authentification principale : Niveau d'authentification par défaut.



Sommaire