Inhalt    

Attribute des Authentifizierungskonfigurationsdienstes

Bei den Attributen des Authentifizierungskonfigurationsdienstes handelt es sich um dynamische Organisationsattribute. Diese Attribute können für eine Organisation, einen Dienst oder eine Rolle festgelegt werden. Die Organisationsattribute werden im Kern-Authentifizierungsmodul definiert.

Wenn die Rolle einem Benutzer zugewiesen wird oder wenn ein Benutzer der Organisation zugewiesen wird, werden diese Attribute standardmäßig an den Benutzer vererbt. Die Authentifizierungskonfigurations-Attribute sind:

Authentifizierungskonfiguration

Nachdem Sie auf den Link "Bearbeiten" geklickt haben, wird die Schnittstelle für die Authentifizierungskonfiguration angezeigt. Hier können Sie die Authentifizierungsmodule für rollen- oder organisationsbasierte Authentifizierung einrichten.

In der folgenden Tabelle sind die Optionen bei der Einrichtung der Authentifizierungsmodule aufgeführt:

 

 

Modulname

Hier können Sie aus der Liste der Standard-Authentifizierungsmodule, die für Access Manager zur Verfügung stehen, auswählen.

Flag

Über dieses Dropdown-Menü können Sie die Anforderungen für das Authentifizierunsmodul festlegen. Folgende Werte sind möglich:

  • ERFORDERLICH - Der Erfolg des Authentifizierungsmoduls muss gewährleistet sein. Sowohl bei einem Erfolg als auch bei einem Fehlschlag wird die Authentifizierung in der Liste der Authentifizierungsmodule nach unten hin fortgesetzt.
  • OBLIGATORISCH - Der Erfolg des Authentifizierungsmoduls muss gewährleistet sein. Bei einem Erfolg wird die Authentifizierung in der Liste der Authentifizierungsmodule nach unten hin fortgesetzt. Bei einem Fehlschlag erfolgt die Rückkehr zur Anwendung (die Authentifizierung wird nicht in der Liste der Authentifizierungsmodule nach unten hin fortgesetzt).
  • AUSREICHEND - Der Erfolg des Authentifizierungsmoduls muss nicht gewährleistet sein. Bei einem Erfolg erfolgt die sofortige Rückkehr zur Anwendung (die Authentifizierung wird nicht in der Liste der Authentifizierungsmodule nach unten hin fortgesetzt). Bei einem Fehlschlag wird die Authentifizierung in der Liste nach unten hin fortgesetzt.
  • OPTIONAL - Der Erfolg des Authentifizierungsmoduls muss nicht gewährleistet sein. Sowohl bei einem Erfolg als auch bei einem Fehlschlag wird die Authentifizierung in der Liste nach unten hin fortgesetzt.

Diese Flags stellen Durchführungskriterien für das Authentifizierungsmodul dar, für das sie definiert wurden. Der Wert ERFORDERLICH ist der höchste Wert für eine Durchführung. OPTIONAL ist hierarchisch an letzter Stelle der Werte angesiedelt.

Wenn beispielsweise ein Administrator für ein LDAP-Modul das Flag ERFORDERLICH definiert, so muss der Authentifizierungsnachweis des Benutzers den Anforderungen der LDAP-Authentifizierung gerecht werden, damit der Zugriff auf eine bestimmte Ressource möglich ist.

Falls Sie mehrere Authentifizierungsmodule hinzufügen und das Flag für jedes dieser Module auf ERFORDERLICH gesetzt wird, muss der Benutzer alle Authentifizierungsanforderungen erfüllen, damit ihm der Zugriff gewährt wird.

Weitere Informationen über die Definition von Flags finden Sie in JAAS (Java Authentication and Authorization Service) unter:

http://java.sun.com/security/jaas/doc/module.html

 

Option

Hier können Sie weitere Optionen für das Modul in der Form Schlüssel=Wert festlegen. Mehrfach-Optionen werden durch einen Leerschritt getrennt.

URL für erfolgreiche Anmeldung

Dieses Attribut legt den URL fest, zu dem der Benutzer nach erfolgreicher Authentifizierung weitergeleitet wird.

URL für erfolglose Anmeldung

Dieses Attribut legt den URL fest, zu dem der Benutzer nach erfolgloser Authentifizierung weitergeleitet wird.

Nachverarbeitungs-Authentifizierungsklasse

Dieses Attribut legt die Java-Klasse fest, die zur angepassten Weiterverarbeitung nach erfolgreicher oder fehlgeschlagener Anmeldung dient.

Konfliktlösungsebene

Dieses Attribut trifft nur auf Rollen zu. Die Ebene der Konfliktlösung stellt eine Prioritätsebene für die Authentifizierungskonfigurations-Attribute für Rollen dar, die möglicherweise denselben Benutzer enthalten. Wenn beispielsweise Benutzer1 sowohl der Rolle1 als auch der Rolle2 zugewiesen ist, können Sie für Rolle1 eine höhere Prioritätsebene definieren. In diesem Fall hat Rolle1 bei einem Authentifizierungsversuch durch den Benutzer die höchste Priorität in Bezug auf Umleitungen bei Erfolgen oder Fehlschlägen und im Bezug auf Vorgänge, die nach der Authentifizierung stattfinden.


Inhalt