Sommaire
|
Attributs d'authentification de certificat
Les attributs du module d'authentification de certificat sont des attributs d'organisation. Les valeurs qui leur sont affectées dans Configuration des services deviennent les valeurs par défaut du modèle Authentification de certificat. Le modèle de service doit être créé après enregistrement du service dans l’organisation. Les valeurs par défaut peuvent être modifiées par la suite par l'administrateur de l'organisation. Les attributs d'organisation ne sont pas transmis aux entrées des sous-arborescences de l'organisation. Les attributs d'authentification de certificat sont les suivants :
Faire correspondre le certificat avec LDAP
Cette option détermine s'il faut vérifier que le certificat de l'utilisateur présenté au moment de la connexion est stocké sur le serveur LDAP. S'il n'y a pas de correspondance, l'accès est refusé à l'utilisateur. S'il existe une correspondance et qu'aucune autre validation ne soit exigée, l'accès est accordé à l'utilisateur. Par défaut, le module d'authentification de certificat ne vérifie pas le certificat de l'utilisateur.
Attribut DN de l'objet utilisé pour une recherche LDAP des certificats
Ce champ indique l'attribut de la valeur SubjectDN du certificat à utiliser pour chercher des certificats dans LDAP. Cet attribut doit identifier de manière unique une entrée utilisateur. La valeur réelle sera utilisée pour la recherche. La valeur par défaut est CN.
Faire correspondre le certificat avec CRL
Cette option détermine s'il faut comparer le certificat de l'utilisateur à la liste des certificats révoqués (CRL, Certificate Revocation List) du serveur LDAP. La CRL se trouve à proximité des noms d’attribut dans la commande SubjectDN de l’émetteur. Si le certificat se trouve dans la CRL, l'accès est refusé à l'utilisateur ; dans le cas contraire, l'utilisateur a la permission de continuer. Par défaut, cet attribut n'est pas activé.
Attribut DN de l'émetteur utilisé pour une recherche LDAP des CRL
Ce champ indique l'attribut de la valeur subjectDN de l’émetteur du certificat reçu à utiliser pour rechercher des certificats révoqués dans LDAP. Ce champ est utilisé uniquement lorsque l'attribut Faire correspondre le certificat avec CRL est activé. La valeur réelle sera utilisée pour la recherche. La valeur par défaut est CN.
Paramètres HTTP pour la mise à jour des CRL
Ce champ indique les paramètres HTTP permettant d’obtenir une CRL auprès d’un servlet pour une mise à jour des CRL. Contactez l’administrateur de votre autorité de certification pour ces paramètres.
Activer la validation OCSP
Ce paramètre permet d'activer la validation OCSP en contactant le répondeur OCSP correspondant. Ce dernier est défini comme suit au moment de l'exécution :
- Si la valeur com.sun.identity.authentication.ocspCheck est vraie et que le répondeur OCSP est défini pour l’attribut com.sun.identity.authentication.ocsp.repsonder.url, la valeur de cet attribut sera utilisée comme répondeur OCSP.
- Si la valeur com.sun.identity.authentication.ocspCheck est vraie et que la valeur de l’attribut n’est pas définie dans le fichier AMConfig.properties, le répondeur OCSP présenté dans votre certificat client est utilisé comme répondeur OCSP.
Si la valeur com.sun.identity.authentication.ocspCheck est fausse ou si la valeur com.sum.identity.authentication.ocspCheck est vraie et qu’un répondeur OCSP est introuvable, aucune validation OCSP n’est effectuée.
Serveur LDAP où les certificats sont conservés
Ce champ détermine le nom et le numéro de port du serveur LDAP où sont stockés les certificats. La valeur par défaut est le nom d'hôte et le port spécifiés lors de l'installation du Access Manager. Le nom d'hôte et le port de tout serveur LDAP stockant les certificats peuvent être utilisés. Le format est nomhôte:port.
DN de démarrage de recherche LDAP
Ce champ détermine le DN du nud où la recherche du certificat de l'utilisateur doit commencer. Aucune valeur par défaut n'est définie. Ce champ reconnaît tout DN valide. Si vous utilisez plusieurs entrées, celles-ci doivent être précédées du nom du serveur local. Le format est le suivant :
nomserveur|search dn
Lorsqu'il existe plusieurs entrées :
nomserveur1|search dn nomserveur2|search dn nomserveur3|search dn...
Si la même recherche aboutit à plusieurs utilisateurs, l'authentification échoue.
Utilisateur principal du serveur LDAP
Ce champ accueille le DN de l'utilisateur principal du serveur LDAP où sont stockés les certificats. Il n'existe pas de valeur par défaut pour ce champ qui reconnaît tout DN valide. L'utilisateur principal doit avoir l'autorisation de lire et de rechercher les informations portant sur les certificats stockées sur Directory Server.
Mot de passe principal du serveur LDAP
Ce champ comporte le mot de passe LDAP associé à l'utilisateur spécifié dans le champ Utilisateur principal du serveur LDAP. Il n'existe pas de valeur par défaut pour ce champ qui reconnaît le mot de passe LDAP valide pour l'utilisateur principal indiqué.
Attribut LDAP pour l'ID de profil
Ce champ détermine l'attribut de l'entrée de Directory Server qui correspond au certificat dont la valeur doit être utilisée pour identifier le profil utilisateur correct. Il n'existe pas de valeur par défaut pour ce champ qui reconnaît tout attribut valide dans une entrée utilisateur (cn, sn, etc.) pouvant être utilisée comme un ID utilisateur.
Utiliser SSL pour l'accès LDAP
Cette option détermine s'il faut utiliser le protocole SSL pour accéder au serveur LDAP. Par défaut, le module d'authentification de certificat n'utilise pas le protocole SSL pour les accès LDAP.
Champ de certificat utilisé pour accéder au profil utilisateur
Ce menu détermine quels champs, dans l’objet DN du certificat, doivent être utilisés pour rechercher un profil utilisateur correspondant. Par exemple, si vous choisissez adresse électronique, le module d'authentification de certificat cherchera le profil utilisateur qui a le même attribut emailAddr dans le certificat de l'utilisateur. La session ouverte par l'utilisateur se sert alors du profil correspondant. Le champ par défaut est objet CN. La liste comporte les entrées suivantes :
Autre champ de certificat utilisé pour accéder au profil utilisateur
Si la valeur de l'attribut Champ de certificat utilisé pour accéder au profil utilisateur est other, ce champ détermine l'attribut qui sera sélectionné dans la valeur subjectDN du certificat reçu. Le module d'authentification recherche ensuite le profil utilisateur qui correspond à la valeur de cet attribut.
Hôtes distants approuvés
Cet attribut définit une liste d'hôtes approuvés étant habilités à envoyer des certificats en toute sécurité à Access Manager. Access Manager n'a qu'à vérifier que le certificat a été émis par l'un de ces hôtes. Cette configuration est uniquement utilisée avec Sun Java System Portal Server.
Cet attribut accepte les valeurs suivantes :
- aucun. Cet attribut est désactivé. Il s’agit de la valeur par défaut.
- Tous. Accepte l’authentification de certificat Portal Server Gateway-style de la part de n’importe quelle adresse IP cliente.
- IP ADDR. Répertorie les adresses IP à partir desquelles les demandes d’authentification de certificat Portal Server Gateway-style sont acceptées (l’adresse IP de la (des) passerelle(s)). L’attribut peut être configuré en fonction d’une organisation.
Numéro du port SSL
Cet attribut indique le numéro de port utilisé pour la couche SSL. Actuellement, cet attribut est uniquement utilisé par le servlet de la passerelle. Avant toute modification ou tout ajout d’un numéro de port SSL, reportez-vous à la section « Policy-Based Resource Management (Gestion des ressources en fonction des modalités) » du chapitre 7 du manuel Access Manager Developer’s Guide.
Niveau d'authentification
Le niveau d'authentification est défini indépendamment pour chaque méthode d'authentification. La valeur indique le niveau de confiance accordé à une authentification. Une fois l'utilisateur authentifié, cette valeur est stockée dans le jeton SSO pour la durée de la session. Quand le jeton SSO est présenté à une application à laquelle l'utilisateur veut accéder, celle-ci utilise la valeur stockée pour déterminer si le niveau est suffisant pour accorder l'accès à l'utilisateur. Si le niveau d'authentification stocké dans un jeton SSO n'est pas suffisant, l'application peut inviter l'utilisateur à s'authentifier par l'intermédiaire d'un service doté d'un niveau d'authentification supérieur. La valeur par défaut est 0.
Remarque
Si aucun niveau d'authentification n'est précisé, le jeton SSO stocke la valeur définie dans l'attribut d'authentification principale : Niveau d'authentification par défaut.
Sommaire |