Contenido
|
Atributos de autenticación Principal
El módulo de autenticación "Principal" es el módulo básico para todos los módulos de autenticación predeterminados, así como para cualquier atributo de módulo de autenticación personalizado. La autenticación "Principal" debe configurarse como servicio para cada organización que desee utilizar cualquier forma de autenticación. Los atributos de autenticación "Principal" constan de atributos de organización y globales. Los valores que adoptan los atributos globales se aplican a la configuración de Sun Java System Access Manager y todas las organizaciones configuradas los heredan. (No se pueden aplicar directamente a roles u organizaciones, ya que el objetivo de los atributos globales es personalizar la aplicación Access Manager). Los valores aplicados a los atributos de organización en "Configuración de servicio" se convierten en los valores predeterminados para la plantilla de autenticación "Principal". Es necesario crear la plantilla de servicio después de agregar el servicio para la organización. El administrador de la organización puede cambiar los valores predeterminados después del agregado. Los atributos de organización no los heredan las entradas de la organización. Los atributos de autenticación "Principal" se dividen en:
Atributos globales
Los atributos globales en el módulo de autenticación "Principal" son:
Clases de módulo de autenticación conectable
Este campo especifica las clases Java de los módulos de autenticación disponibles para cualquier organización configurada dentro de la plataforma Access Manager. En forma predeterminada, éstas incluyen LDAP, SafeWord, SecurID, Application, Anonymous, HTTP Basic, Membership, Unix, Certificate, NT, RADIUS y Windows Desktop SSO. Puede escribir módulos de autenticación personalizados implementando el SPI del AMLoginModule o el SPI del LoginModule del JAAS. Para obtener más información, consulte Guía del programador del Access Manager. Para definir servicios nuevos, este campo debe contener una cadena de texto que especifique el nombre de clase completo (incluido el nombre de paquete) de cada módulo de autenticación nuevo.
Módulos de autenticación admitidos para clientes
Este atributo especifica una lista de módulos de autenticación admitidos para un cliente específico. El formato es el siguiente:
TipoCliente | módulo1,módulo2,módulo3
Este atributo está en vigor cuando está activado "Detección de cliente" .
Tamaño de conjunto de conexión LDAP
Este atributo especifica el conjunto de conexiones máximo y mínimo que se van a utilizar en un puerto y un servidor LDAP específicos. Este atributo se aplica sólo a los módulos de autenticación" Condición de miembro" y LDAP. El formato es el siguiente:
host:puerto:mín:máx
Nota
Este grupo de conexiones es diferente del grupo de conexiones SDK configurado en serverconfig.xml.
Tamaño de grupo predeterminado de conexión LDAP
Este atributo define el grupo de conexiones máximo y mínimo predeterminado que se debe utilizar con todas las configuraciones de módulos de autenticación LDAP. Si existe una entrada para el puerto y el host en el atributo Tamaño de conjunto de conexión LDAP, se utilizarán los valores mínimo y máximo del tamaño de grupo predeterminado de conexión LDAP.
Atributos de organización
Los atributos de organización en el módulo de autenticación "Principal" son:
Módulos de autenticación de organización
Esta lista especifica los módulos de autenticación disponibles para la organización. Cada administrador puede seleccionar el tipo de autenticación para cada organización particular. Varios módulos de autenticación proporcionan flexibilidad, pero los usuarios deben estar seguros de que las preferencias de inicio de sesión son adecuadas para el módulo de autenticación seleccionado. La autenticación predeterminada es LDAP. Los módulos de autentificación incluidos en Access Manager son:
Perfil de usuario
Esta opción le permite especificar opciones para un perfil de usuario.
- Necesario: Especifica que, en una autenticación satisfactoria, el usuario debe tener un perfil en el servidor de directorios local instalado con Access Manager, para que el servicio de autenticación emita un Token SSO.
- Creado dinámicamente: Especifica que, en una autenticación satisfactoria, el módulo de autenticación creará el perfil de usuario si no existe uno. A continuación, se emitirá el Token SSO. El perfil de usuario se crea en el servidor de directorios local instalado con Access Manager.
- Ignorado: Especifica que el módulo de autenticación no requiere el perfil de usuario para emitir el Token SSO para una autenticación satisfactoria.
Configuración de autenticación del administrador
Si hace clic en el vínculo "Editar", podrá definir el módulo de autenticación sólo para administradores. Un administrador es un usuario que necesita acceder a la consola de Access Manager. Este atributo puede utilizarse si el módulo de autenticación para administradores debe ser distinto del módulo de los usuarios finales. Los módulos configurados en este atributo se utilizan cuando se accede a la consola de Access Manager. Por ejemplo:
http://nombreservidor.puerto/uri_implementación_consola
Roles predeterminados de creación dinámica del perfil de usuario
Este campo especifica las funciones asignadas a un usuario nuevo cuyos perfiles se crean si se selecciona Creación dinámica mediante la función Perfil de usuario. No hay ningún valor predeterminado. El administrador debe especificar los DN de los roles que se asignarán al nuevo usuario.
Nota
El rol especificado debe encontrarse debajo de la organización para la que se está configurando la autenticación. Éste puede ser un rol Access Manager o LDAP, pero no un rol filtrado.
Active el modo de cookie persistente
Esta opción determina si los usuarios pueden reiniciar el explorador y volver a su sesión autenticada. Las sesiones de los usuarios pueden retenerse activando Habilitar el modo de cookie persistente. Cuando está activado Habilitar el modo de cookie persistente, las sesiones de usuario no caducan hasta que lo hagan sus cookies persistentes o hasta que el usuario cierre la sesión explícitamente. El tiempo de caducidad se especifica en Tiempo máximo de cookie persistente. De forma predeterminada, el modo Cookie persistente no está activado, y el módulo de autenticación utiliza sólo cookies de la memoria.
Nota
El cliente debe solicitar explícitamente una cookie persistente utilizando el parámetro iPSPCookie=yes en la URL de inicio de sesión.
Tiempo máximo de cookie persistente
Este campo especifica el intervalo tras el cual caduca una cookie persistente (Active el modo de cookie persistente debe activarse seleccionando su casilla de verificación). El intervalo comienza cuando la sesión del usuario se ha autenticado satisfactoriamente. El valor predeterminado es 2147483 (tiempo en segundos). El campo reconocerá cualquier valor entero entre 0 y 2147483.
Contenedor de personas para todos los usuarios
Después de una autenticación satisfactoria por parte del usuario, se recupera su perfil de usuario. El valor de este campo especifica dónde se debe buscar el perfil. Habitualmente, este valor será el DN del contenedor de personas predeterminado. Todas las entradas de usuario añadidas a una organización se añaden automáticamente al contenedor de personas predeterminado de la organización. El valor predeterminado es ou=People y normalmente se completa con el nombre de la organización y el sufijo de raíz. El campo contendrá un DN válido para cualquier unidad de organización.
Nombre de atributo de búsqueda de alias
Después de una autenticación satisfactoria por parte del usuario, se recupera su perfil de usuario. Este campo especifica el segundo atributo LDAP que debe buscarse si la búsqueda en el primer atributo LDAP especificado en Atributo de nombre de usuario no encuentra un perfil de usuario coincidente. Este atributo se utilizará principalmente si la identificación de usuario devuelta por un módulo de autenticación no es la misma que la especificada en "Atributo de nombre de usuario". Por ejemplo, un servidor RADIUS puede devolver abc1234, pero el nombre de usuario es abc. No hay ningún valor predeterminado para este atributo. El campo contendrá cualquier atributo LDAP válido (por ejemplo, cn).
Atributo de nombre de usuario
Después de una autenticación satisfactoria por parte del usuario, se recupera su perfil de usuario. El valor de este atributo especifica el atributo LDAP que se debe utilizar para la búsqueda. De forma predeterminada, Access Manager asume que las entradas de usuario se identifican mediante el atributo uid. Si su servidor de directorios utiliza un atributo distinto (como cualquiernombre) especifique en este campo el nombre del atributo.
Configuración regional de autenticación predeterminada
Este campo especifica el subtipo de idioma predeterminado que debe utilizar el módulo de autenticación. El valor predeterminado es en_US. Puede consultarse una lista de subtipos de idioma válidos en la Tabla 0-1.
Para utilizar un idioma distinto, es necesario crear previamente todas las plantillas de autenticación para dicho idioma. Deberá crearse un nuevo directorio para estas plantillas. Consulte el “Capítulo 3: Servicio de autenticación” en la Guía del programador del Access Manager para obtener más información.
Configuración de autenticación de organización
Este atributo define el módulo de autenticación para la organización. El módulo de autenticación predeterminado es LDAP. Se pueden seleccionar uno o varios módulos de autenticación haciendo clic en el vínculo "Editar". Si se selecciona más de un módulo, el usuario deberá pasar por la cadena de todos los módulos seleccionados.
Los módulos configurados en este atributo se utilizan para la autenticación de los usuarios cuando éstos acceden al módulo de autenticación a través del formato /uri_implementación_servidor /UL/NombreDeInicio. Consulte la Guía del programador del Access Manager para obtener más información.
Activar modo de bloqueo por fallo de inicio de sesión
Esta función define si un usuario puede intentar una segunda autenticación después de haber fallado la primera. La selección de este atributo activa un bloqueo, y el usuario tendrá una sola oportunidad para autenticarse. De forma predeterminada, la función de bloqueo no está activada. Este atributo funciona en conjunto con los atributos vinculados a los bloqueos y las notificaciones.
Recuento de bloqueos por fallo de inicio de sesión
Este atributo define el número de veces que un usuario puede intentar autenticarse, dentro del intervalo definido en Intervalo de bloqueo por fallo de inicio de sesión, antes de quedar bloqueado.
Intervalo de bloqueo por fallo de inicio de sesión
Este atributo define (en minutos) el intervalo entre dos intentos fallidos de inicio de sesión. Si un inicio de sesión falla, y es seguido por otro inicio fallido dentro del intervalo de bloqueo, se incrementa el recuento de bloqueo. En caso contrario, el recuento de bloqueo se reinicia.
Dirección de correo electrónico para enviar notificación de bloqueo
Este atributo especifica la dirección de correo electrónico que recibirá una notificación si se produce un bloqueo del usuario. Para enviar una notificación de correo electrónico a varias direcciones, separe cada una de ellas con un espacio en blanco. Para configuraciones regionales distintas a inglés, el formato es:
email_address|locale|charset
Avisar a usuario después de N fallos
Este atributo especifica el número de fallos de autenticación que se pueden producir antes de que Access Manager envíe un mensaje de aviso diciendo que se va a bloquear al usuario.
Duración de bloqueo por fallo de inicio de sesión
Este atributo habilita el bloqueo de memoria. De forma predeterminada, el mecanismo de bloqueo desactivará el perfil del usuario (después de un fallo de inicio de sesión) definido en “Nombre del atributo de bloqueo”. Si el valor de “Duración de bloqueo por fallo de inicio de sesión” es mayor que 0, entonces hay un bloqueo de memoria y la cuenta del usuario será bloqueada por el número especificado de minutos.
Nombre de atributo de bloqueo
Este atributo designa a todo atributo LDAP que se defina para ser bloqueado. También debe cambiarse el valor del campo “Valor de atributo de bloqueo” para habilitar el bloqueo de este nombre de atributo. De forma predeterminada, el atributo “Nombre de atributo de bloqueo” aparece vacío en la consola de Access Manager. Los valores de implementación predeterminados son inetuserstatus (atributo LDAP) y inactive cuando el usuario está bloqueado y “Duración de bloqueo por fallo de inicio de sesión” tiene valor 0.
Valor de atributo de bloqueo
Este atributo especifica si se habilita o no el bloqueo para el atributo definido en Nombre de atributo de bloqueo. El valor fijado en forma predeterminada para inetuserstatus es “inactivo”.
Dirección URL de inicio de sesión satisfactorio predeterminada
Este campo admite una lista de varios valores que especifican la dirección URL a la que se redirecciona a los usuarios después de una autenticación exitosa. El formato de este atributo es TipoCliente|dirección URL, aunque se puede especificar sólo el valor de la dirección URL, que asume un tipo predeterminado de HTML.
Dirección URL de fallo de inicio de sesión predeterminada
Este campo admite una lista de varios valores que especifican la dirección URL a la que se redirecciona a los usuarios después de una autenticación fallida. El formato de este atributo es TipoCliente|dirección URL, aunque se puede especificar sólo el valor de la dirección URL, que asume un tipo predeterminado de HTML.
Clase de postprocesamiento de autenticación
Este campo especifica el nombre de la clase Java utilizada para personalizar el proceso de postautenticación para inicios de sesión satisfactorios o no. Ejemplo:
com.abc.authentication.PostProcessClass
La clase Java debe implementar la siguiente interfaz Java:
com.sun.identity.authentication.spi.AMPostAuthProcessInterface
Además, debe agregarse la ruta de la ubicación de la clase al atributo “Java Classpath” del servidor web.
Activar Generar modo UserID
Este atributo se utiliza en el módulo de autenticación "Condición de miembro". Si este campo de atributo está activado, el módulo de miembros puede generar los Id. de usuario – durante el proceso de autorregistro - para un usuario específico, si ya existe el Id. de usuario. Los Id. de usuario se generan a partir de la clase Java especificada en Clase de generador de nombre de usuario conectable.
Clase de generador de nombre de usuario conectable
El campo especifica el nombre de la clase Java que se utilizará para generar los Id. de usuario cuando Activar Generar modo UserID está activado.
Nivel de autenticación predeterminado
El valor del nivel de autenticación indica en qué medida se debe confiar en las autenticaciones. Cuando un usuario se ha autenticado, este valor se almacena en el token SSO para la sesión. Cuando el token SSO se presenta a una aplicación a la que desea acceder el usuario, la aplicación puede utilizar el valor almacenado para determinar si el nivel es suficiente para permitir el acceso al usuario. Si el nivel de autenticación almacenado en el token SSO no cumple el valor mínimo necesario, la aplicación puede solicitar al usuario que se vuelva a autenticar a través de un servicio con un nivel de autenticación más alto.
El nivel de autenticación se debe definir dentro de la plantilla de autenticación específica de la organización. El valor de "Nivel de autenticación predeterminado" que se describe aquí sólo se aplica si no se ha especificado ningún nivel de autenticación en el campo "Nivel de autenticación" para la plantilla de autenticación específica de una organización. El valor predeterminado de “nivel de autenticación predeterminado”·es 0. (El valor de este atributo no lo utiliza Access Manager, sino cualquier aplicación externa que decida utilizarlo).
Contenido |