Inhalt
|
Kern-Authentifizierungsattribute
Das Kern-Authentifizierungsmodul ist das Basismodul sowohl für alle Standard-Authentifizierungsmodule als auch für alle angepassten Authentifizierungsmodulattribute. Für jede Organisation, bei der mit irgendeiner Art von Authentifizierung gearbeitet werden soll, muss zunächst der Kern-Authentifizierungsdienst konfiguriert werden. Der Kern-Authentifizierungsdienst weist globale Attribute und Organisationsattribute auf. Die den globalen Attributen zugewiesenen Werte werden über die gesamte Konfiguration von Sun Java System Access Manager hinweg zugewiesen und an jede konfigurierte Organisation vererbt. (Da die Funktion globaler Attribute in der Anpassung der Access Manager-Anwendung besteht, können sie Rollen oder Organisationen nicht direkt zugewiesen werden.) Die den Organisationsattributen in der Dienstkonfiguration zugewiesenen Werte werden als Standardwerte der Vorlage für die Kern-Authentifizierung verwendet. Die Dienstvorlage muss erstellt werden, nachdem der Dienst für die Organisation hinzugefügt wurde. Die Standardwerte können nach dem Hinzufügen durch den Administrator der Organisation geändert werden. Organisationsattribute werden nicht an Einträge der Organisation vererbt. Es gibt zwei Gruppen von Attributen für die Kern-Authentifizierung:
Globale Attribute
Das Kern-Authentifizierungsmodul weist die folgenden globalen Attribute auf:
PAM-Klassen (Pluggable Authentification Module)
In diesem Feld werden die Java-Klassen der Authentifizierungsmodule angegeben, die für eine der auf der Access Manager-Plattform konfigurierten Organisationen verfügbar sind. Standardmäßig sind dies LDAP, SafeWord, SecurID, Application, Anonymous, HTTP Basic, Membership, Unix, Certificate, NT, RADIUS und Windows Desktop SSO. Sie können benutzerdefinierte Authentifizierungsmodule entwickeln, indem Sie AMLoginModule SPI oder JAAS LoginModule SPI implementieren. Weitere Informationen finden Sie im Handbuch Access Manager Developer’s Guide. In diesem Feld muss der vollständige Klassenname für jedes zu definierende neue Authentifizierungsmodul eingegeben werden (einschließlich des Paketnamens).
Unterstützte Authentifizierungsmodule für Clients
Über dieses Attribut wird eine Liste der unterstützten Authentifizierungsmodule für einen bestimmten Client festgelegt. Das Format ist folgendermaßen aufgebaut:
clientType | module1,module2,module3
Dieses Attribut ist nur aktiv, wenn "Client-Erkennung" aktiviert ist.
LDAP-Verbindung Pool-Größe
Über dieses Attribut wird der Minimal- und Maximalwert des Verbindungs-Pools angegeben, der für einen bestimmten LDAP-Server und Port verwendet werden soll. Dieses Attribut wird nur für LDAP- und Mitgliedschafts-Authentifizierungsmodule verwendet. Das Format ist folgendermaßen aufgebaut:
host:port:min:max
Hinweis
Dieser Verbindungs-Pool ist nicht identisch mit dem SDK-Verbindungs-Pool, der über serverconfig.xml eingerichtet wird.
LDAP-Verbindung Standard-Pool-Größe
Über dieses Attribut wird der standardmäßige Minimal- und Maximalwert des Verbindungs-Pools angegeben, der für alle Konfigurationen von LDAP-Authentifizierungsmodulen verwendet werden soll. Enthält das Attribut LDAP-Verbindung Pool-Größe einen Eintrag für den Host und den Anschluss, werden die Minimal- und Maximaleinstellungen aus dem Attribut "LDAP Verbindung Standard-Pool-Größe" nicht verwendet.
Organisationsattribute
Das Kern-Authentifizierungsmodul weist die folgenden Organisationsattribute auf:
Module für die Organisationsauthentifizierung
In dieser Liste werden die für die Organisation verfügbaren Authentifizierungsmodule angegeben. Der für eine bestimmte Organisation zu verwendende Authentifizierungstyp wird vom jeweiligen Administrator ausgewählt. Das Arbeiten mit mehreren Authentifizierungsmodulen bietet eine höhere Flexibilität, aber die Benutzer müssen hierbei sicherstellen, dass ihre jeweilige Anmeldungseinstellung für das ausgewählte Authentifizierungsmodul geeignet ist. Standardmäßig wird der Authentifizierungsdienst LDAP verwendet. Folgende Authentifizierungsmodule sind in Access Manager verfügbar:
Benutzerprofil
Diese Option ermöglicht Ihnen die Festlegung von Optionen für ein Benutzerprofil.
- Erforderlich - Diese Option legt fest, dass nach der erfolgreichen Authentifizierung eines Benutzers im lokalen, mit Access Manager installierten Directory Server ein entsprechendes Profil vorhanden sein muss, damit der Authentifizierungsdienst ein SSO-Token erzeugen kann.
- Dynamisch erstellt - Diese Option legt fest, dass nach der erfolgreichen Authentifizierung ein Benutzerprofil durch das Authentifizierungsmodul erstellt wird, sofern noch keines vorhanden ist. Das SSO-Token wird anschließend erstellt. Das Benutzerprofil wird im lokalen, mit Access Manager installierten Directory Server erstellt.
- Ignorieren - Diese Option legt fest, dass für die Erzeugung eines SSO-Tokens durch das Authentifizierungsmodul kein Benutzerprofil benötigt wird, um die Authentifizierung erfolgreich durchzuführen.
Administrator-Authentifizierungskonfiguration
Nachdem Sie auf den Link „Bearbeiten“ geklickt haben, können Sie das für Administratoren zu verwendende Authentifizierungsmodul festlegen. Bei einem Administrator handelt es sich um einen Benutzer, der Zugriff auf die Access Manager Console benötigt. Dieses Attribut kann verwendet werden, wenn für Administratoren ein anderes Authentifizierungsmodul verwendet werden soll als für Endbenutzer. Die in diesem Attribut konfigurierten Module werden beim Zugriff auf Access Manager aufgenommen. Beispielsweise:
http://servername.port/console_deploy_uri
Standardrollen für dynamisches Erstellen von Benutzerprofilen
In diesem Feld wird angegeben, welche Rollen einem neuen Benutzer zugewiesen werden, dessen Profil erstellt wird, wenn in der Funktion Benutzerprofil "Dynamische Erstellung" gewählt wurde. Für diese Option gibt es keinen Standardwert. Der Administrator muss die DNs der Rollen angeben, die dem neuen Benutzer zugewiesen werden sollen.
Modus für persistentes Cookie aktivieren
Mit dieser Option wird bestimmt, ob Benutzer nach dem erneuten Starten des Browsers wieder zu einer bereits authentifizierten Sitzung wechseln können. Wenn die Option Modus für persistentes Cookie aktiviert ist, werden Benutzersitzungen bewahrt. Konkret bewirkt das Aktivieren der Option Modus für persistentes Cookie, dass die Benutzersitzung erst dann abläuft, wenn das zugehörige persistente Cookie ungültig wird oder der Benutzer sich explizit abmeldet. Die anzuwendende Ablaufzeit wird unter Maximaler Zeitraum für persistentes Cookie angegeben. In der Standardeinstellung ist die Option Modus für persistentes Cookie nicht aktiviert und das Authentifizierungsmodul verwendet nur im Speicher abgelegte Cookies.
Hinweis
Ein persistentes Cookie muss explizit vom Client unter Verwendung des Parameters iPSPCookie=yes im Anmelde-URL verwendet werden.
Maximaler Zeitraum für persistentes Cookie
In diesem Feld wird angegeben, nach wie vielen Sekunden ein persistentes Cookie abläuft. (Zunächst muss das Kontrollkästchen für die Option Modus für persistentes Cookie aktivieren aktiviert werden.) Das angegebene Zeitintervall beginnt, wenn die Authentifizierung der Benutzersitzung erfolgreich abgeschlossen wurde. Der Standardwert ist 2147483 (Zeitangabe in Sekunden). In diesem Feld ist jede ganze Zahl zwischen 0 und 2147483 zulässig.
Personen-Container für alle Benutzer
Wenn ein Benutzer die Authentifizierung erfolgreich abgeschlossen hat, wird sein Profil abgerufen. Der Wert in diesem Feld gibt an, wo das Profil zu finden ist. In der Regel wird hier der DN des standardmäßigen Personen-Containers verwendet. Alle einer Organisation hinzugefügten Benutzereinträge werden automatisch diesem Container hinzugefügt. Der Standardwert, auf den in der Regel der oder die Organisationsnamen und das Stammsuffix folgen, lautet ou=People. In diesem Feld ist jeder gültige DN einer Organisationseinheit zulässig.
Attributname für Aliassuche
Wenn ein Benutzer die Authentifizierung erfolgreich abgeschlossen hat, wird sein Profil abgerufen. In diesem Feld wird ein zweites LDAP-Attribut angegeben, das für die Suche nach einem übereinstimmenden Benutzerprofil verwendet wird, wenn die Suche unter Verwendung des ersten, im Benutzer-Namensattribut angegebenen LDAP-Attributs nicht erfolgreich ist. Dieses Attribut wird in erster Linie verwendet, wenn die vom Authentifizierungsmodul ermittelte Benutzerkennung nicht mit der unter "Benutzer-Namensattribut" angegebenen Kennung übereinstimmt. (Beispiel: Der RADIUS-Server gibt den Wert abc1234 zurück, der Benutzername ist jedoch abc.) Für dieses Attribut gibt es keinen Standardwert. In diesem Feld ist jedes gültige LDAP-Attribut zulässig (beispielsweise cn).
Benutzer-Namensattribut
Wenn ein Benutzer die Authentifizierung erfolgreich abgeschlossen hat, wird sein Profil abgerufen. Der Wert dieses Attributs gibt das für die Suche zu verwendende LDAP-Attribut an. In Access Manager wird standardmäßig angenommen, dass Benutzereinträge durch das Attribut uid identifiziert werden. Wenn auf Ihrem Directory Server ein anderes Attribut verwendet wird (beispielsweise givenname), geben Sie den Namen des verwendeten Attributs in diesem Feld ein.
Standard-Authentifizierungs-Ländereinstellung
In diesem Feld wird angegeben, welche Sprache das Authentifizierungsmodul standardmäßig verwendet. Der Standardwert ist en_US. Eine Liste der gültigen Sprachen finden Sie in Tabelle 0-1.
Um eine andere Ländereinstellung verwenden zu können, müssen zunächst alle Authentifizierungsvorlagen für die betreffende Ländereinstellung erstellt werden. Anschließend muss ein neues Verzeichnis für diese Vorlagen angelegt werden. Weitere Informationen finden Sie in Kapitel 3 im Abschnitt „Authentication Service“ des Access Manager Developer’s Guide.
Konfiguration der Organisationsauthentifizierung
Über dieses Attribut wird das Authentifizierungsmodul für die Organisation festgelegt. Standardmäßig wird das Authentifizierungsmodul LDAP verwendet. Eine oder mehrere Authentifizierungsmodule können nach Anklicken des Links "Bearbeiten" gewählt werden. Wenn mehr als ein Modul gewählt wird, muss der Benutzer sich bei allen ausgewählten Modulen authentifizieren.
Die in diesem Attribut konfigurierten Module werden zur Authentifizierung verwendet, wenn Benutzer anhand des Formats /server_deploy_uri/UL/Login auf das Authentifizierungsmodul zugreifen. Weitere Informationen finden Sie im Handbuch Access Manager Developer’s Guide.
Anmeldefehler Sperrmodus aktivieren
Diese Option legt fest, ob ein Benutzer einen zweiten Authentifizierungsversuch unternehmen kann, falls der erste fehlschlägt. Durch Auswahl dieses Attributs wird der Sperrmodus aktiviert, sodass der Benutzer nur einen Authentifizierungsversuch hat. Die Sperroption ist standardmäßig nicht aktiviert. Das Attribut wird gemeinsam mit sperrungsspezifischen und Benachrichtigungsattributen eingesetzt.
Anmeldefehler Sperrzählung
Über dieses Attribut wird festgelegt, wie oft der Benutzer versuchen kann, sich innerhalb des über das Attribut Anmeldefehler Sperrintervall angegebenen Zeitraums zu authentifizieren, bevor er gesperrt wird.
Anmeldefehler Sperrintervall
Über dieses Attribut wird die Zeitdauer (in Minuten) angegeben, die zwischen zwei fehlgeschlagenen Anmeldeversuchen liegt. Schlägt ein Anmeldeversuch fehl und es erfolgt ein weiterer Versuch innerhalb des Sperrintervalls, wird die Sperrzählung um einen Schritt erhöht. Andernfalls wird die Sperrzählung zurückgesetzt.
E-Mail-Adresse für das Versenden der Sperrbenachrichtigung
Über dieses Attribut wird die E-Mail-Adresse angegeben, an die eine Nachricht gesendet wird, wenn eine Benutzersperre erfolgt ist. Um E-Mail-Nachrichten an mehrere Adressen zu senden, trennen Sie die einzelnen E-Mail-Adressen durch Leerzeichen voneinander ab. Für nichtenglische Ländereinstellungen lautet das Format:
email_address|locale|charset
Benutzer nach n Fehlern warnen
Über dieses Attribut wird die Anzahl der Authentifizierungsfehler festgelegt, die zugelassen werden, bevor Access Manager den Benutzer anhand einer Warnmeldung darüber informiert, dass er gesperrt wird.
Anmeldefehler Sperrdauer
Dieses Attribut ermöglicht eine Sperrung des Speichers. Standardmäßig deaktiviert der Sperrmechanismus das im Feld "Sperrattributname" definierte Benutzerprofil (nach einem Anmeldefehler). Ist der Wert des Anmeldefehlers Sperrdauer größer als 0, werden der Speicher und das Benutzerkonto für die angegebene Dauer gesperrt.
Sperrattributname
Mit diesem Attribut wird ein mögliches LDAP-Attribut angegeben, das für die Sperrung festgelegt werden soll. Der Wert im Feld "Sperrattributwert" muss ebenfalls geändert werden, um die Sperrung für diesen Attributnamen zu aktivieren. Standardmäßig ist das Feld "Sperrattributname" in der Access Manager Console leer. Die Standardimplementierungswerte lauten inetuserstatus (LDAP-Attribut) und inactive, wenn der Benutzer gesperrt ist und der Wert "Anmeldefehler Sperrdauer" auf 0 gesetzt ist.
Sperrattributwert
Dieses Attribut legt fest, ob die Sperrung für das im Feld Sperrattributname definierte Attribut aktiviert oder deaktiviert ist. Standardmäßig ist der Wert für inetuserstatus auf "deaktiviert" gesetzt.
Standard-URL für erfolgreiche Anmeldung
In diesem Feld wird eine Liste mit mehreren Werten eingegeben, die den URL angeben, an den Benutzer nach erfolgreicher Authentifizierung weitergeleitet werden. Das Format dieses Attributs lautet clientType|URL. Sie können auch nur den Wert des URLs angeben, der als Standardtyp HTML annimmt.
Standard-URL für erfolglose Anmeldung
In diesem Feld wird eine Liste mit mehreren Werten eingegeben, die den URL angeben, an den Benutzer nach erfolgloser Authentifizierung weitergeleitet werden. Das Format dieses Attributs lautet clientType|URL. Sie können auch nur den Wert des URLs angeben, der als Standardtyp HTML annimmt.
Nachverarbeitungs-Authentifizierungsklasse
In diesem Feld wird die Java-Klasse angegeben, die zur angepassten Nachverarbeitung nach erfolgreicher oder fehlgeschlagener Anmeldung dient. Beispiel:
com.abc.authentication.PostProcessClass
Die Java-Klasse muss die folgende Java-Schnittstelle implementieren:
com.sun.identity.authentication.spi.AMPostAuthProcessInterface
Darüber hinaus müssen Sie den Pfad, in dem sich die Klasse befindet, dem Java Classpath-Attribut des Webservers hinzufügen.
Generierung des UserID-Modus aktivieren
Dieses Attribut wird vom Mitgliedschafts-Authentifizierungsmodul verwendet. Wenn dieses Attributfeld aktiviert ist, kann das Mitgliedschaftsmodul bei der Selbstregistrierung Benutzer-IDs für einen bestimmten Benutzer erstellen, wenn die Benutzer-ID bereits vorhanden sein sollte. Die Benutzer-IDs werden von der im Feld Plugfähige Generator-Klasse für Benutzernamen angegebenen Java-Klasse erstellt.
Plugfähige Generator-Klasse für Benutzernamen
In diesem Feld wird der Name der Java-Klasse angegeben, die verwendet wird, um Benutzer-IDs zu erstellen, wenn die Funktion Generierung des UserID-Modus aktivieren aktiviert ist.
Standard-Authentifizierungsebene
Mit dem Wert für die Authentifizierungsebene wird angegeben, wie stark einer Authentifizierung vertraut wird. Nach der Authentifizierung eines Benutzers wird dieser Wert im SSO-Token für die betreffende Sitzung gespeichert. Wird das SSO-Token einer Anwendung vorgelegt, auf die der Benutzer zugreifen möchte, kann die Anwendung anhand des gespeicherten Werts bestimmen, ob die Authentifizierungsebene ausreicht, um dem Benutzer Zugriff zu gewähren. Wenn die in einem SSO-Token gespeicherte Authentifizierungsebene nicht dem erforderlichen Mindestwert entspricht, kann die Anwendung den Benutzer auffordern, sich über einen Dienst mit einer höheren Authentifizierungsebene erneut zu authentifizieren.
Die Authentifizierungsebene sollte in der jeweiligen Authentifizierungsvorlage der Organisation angegeben werden. Der hier beschriebene Wert für das Attribut "Standard-Authentifizierungsebene" wird nur verwendet, wenn im Feld "Authentifizierungsebene" der betreffenden organisationsspezifischen Authentifizierungsvorlage kein Wert angegeben wurde. Der Standardwert für die Standard-Authentifizierungsebene lautet 0. (Der Wert dieses Attributs wird nicht von Access Manager verwendet, sondern ist für jede externe Anwendung verfügbar.)
Inhalt |