Inhalt
|
Attribute für Mitgliedschaftsauthentifizierung
Bei den Attributen für Mitgliedschaftsauthentifizierung handelt es sich um Organisationsattribute. Die diesen Attributen in der Dienstkonfiguration zugewiesenen Werte werden als Standardwerte der Vorlage für die Mitgliedschaftsauthentifizierung verwendet. Die Dienstvorlage muss erstellt werden, wenn der Dienst für die Organisation registriert wird. Die Standardwerte können nach der Registrierung durch den Administrator der Organisation geändert werden. Organisationsattribute werden nicht an Einträge in den Unterbäumen der Organisation vererbt. Die Attribute für die Mitgliedschaftsauthentifizierung sind:
Minimale Passwortlänge
In diesem Feld wird die Mindestlänge für bei der Selbstregistrierung eingerichtete Passwörter angegeben. Der Standardwert ist 8.
Wird dieser Wert geändert, sollte er auch im Registrierungs- und Fehlertext der folgenden Datei entsprechend geändert werden:
AcessManager-base/locale/amAuthMembership.properties (PasswdMinChars entry)
Standard-Benutzerrollen
In diesem Feld wird angegeben, welche Rollen neuen Benutzern zugewiesen werden, deren Profil durch die Selbstregistrierung erstellt wurde. Für diese Option gibt es keinen Standardwert. Der Administrator muss die DNs der Rollen angeben, die dem neuen Benutzer zugewiesen werden sollen.
Benutzerstatus nach Registrierung
In diesem Menü wird angegeben, ob ein Benutzer, der sich selbst registriert, sofort Zugriff auf die Dienste erhält. Der Standardwert ist Aktiv, sodass der neue Benutzer standardmäßig Zugriff auf die Dienste erhält. Durch Auswählen von Inaktiv legt der Administrator fest, dass neue Benutzer keinen Zugriff auf Dienste erhalten sollen.
Primärer LDAP-Server
In diesem Feld werden der Host-Name und die Anschlussnummer des während der Access Manager-Installation festgelegten primären LDAP-Servers angegeben. Es handelt sich hierbei um den Server, auf den bei der LDAP-Authentifizierung zuerst zugegriffen wird. Das Format ist hostname:port. (Wenn keine Anschlussnummer angegeben wurde, kann in der Regel 389 verwendet werden.)
Wenn Access Manager mit mehreren Domänen bereitgestellt wurde, können Sie den Kommunikationslink zwischen bestimmten Instanzen von Access Manager und Directory Server in folgendem Format angeben (Mehrfacheingaben müssen als Präfix den örtlichen Servernamen beinhalten):
local_servername|server:port local_servername2|server:port ...
Wenn Sie beispielsweise zwei Access Manager-Instanzen an verschiedenen Standorten bereitgestellt haben (L1-machine1-IS und L2 -machine2-IS), die mit verschiedenen Instanzen von Access Manager kommunizieren (L1-machine1-DS und L2-machine2-DS), lautet das Format wie folgt:
L1-machine1-IS.example.com|L1-machine1-DS.example.com:389 L2-machine2-IS.example.com|L2-machine2-DS.example.com:389
Sekundärer LDAP-Server
In diesem Feld werden der Host-Name und die Anschlussnummer eines zweiten für die Access Manager-Plattform verfügbaren LDAP-Servers angegeben. Wenn der primäre LDAP-Server auf eine Authentifizierungsanforderung nicht reagiert, wird auf diesen Server zugegriffen. Ist der primäre Server bereit, wechselt Access Manager wieder zu diesem Server zurück. Das Format ist ebenfalls hostname:port. Mehrfacheingaben müssen als Präfix den örtlichen Servernamen beinhalten.
DN zum Starten von Benutzersuche
In diesem Feld wird der DN des Knotens angegeben, bei dem die Suche nach einem Benutzer beginnen soll. (Um die Leistung zu erhöhen, sollte der DN möglichst genau angegeben werden.) Standardmäßig wird hier die Root-Ebene des Verzeichnisbaums angegeben. Jeder gültige DN ist zulässig. Wenn im Suchbereich-Attribut OBJECT ausgewählt ist, sollte der DN die Ebene angeben, die unmittelbar über der Ebene liegt, in der sich das Profil befindet.
Wenn Sie Mehrfacheingaben verwenden, müssen diese als Präfix den örtlichen Servernamen beinhalten. Das Format lautet wie folgt:
servername|search dn
Für Mehrfacheingaben
servername1|search dn servername2|search dn servername3|search dn...
Wenn durch einen Suchvorgang mehrere Benutzer ermittelt werden, schlägt die Authentifizierung fehl.
DN für Root-Benutzer-BIND
In diesem Feld wird der DN des Benutzers angegeben, der als Administrator den BIND-Vorgang mit dem im Feld "Primary LDAP-Server und -Anschluss" angegebenen Directory Server durchführen soll. Der BIND-Vorgang für das Authentifizierungsmodul muss mit diesem DN erfolgen, um die Suche nach einem mit der Anmeldungs-ID übereinstimmenden Benutzer-DN zu ermöglichen. Der Standardwert lautet amldapuser. Jeder gültige DN ist zulässig.
Passwort für Root-Benutzer-BIND
In diesem Feld wird das Passwort des im Feld "DN für Root-Benutzer-BIND" festgelegten Administratorprofils angegeben. Für diese Option gibt es keinen Standardwert. Nur das gültige LDAP-Passwort des Administrators ist zulässig.
Passwort für Root-Benutzer-Bind (Bestätigen)
Bestätigung des Passworts.
Zum Abrufen des Benutzerprofils verwendetes LDAP-Attribut
In diesem Feld wird das zur Benennung von Benutzereinträgen zu verwendende Attribut angegeben. In Access Manager wird standardmäßig angenommen, dass Benutzereinträge durch das Attribut uid identifiziert werden. Wenn auf Ihrem Directory Server ein anderes Attribut verwendet wird (beispielsweise givenname), geben Sie den Namen des verwendeten Attributs in diesem Feld ein.
Zum Suchen nach einem zu authentifizierenden Benutzer verwendete LDAP-Attribute
In diesem Feld werden die Attribute aufgelistet, die vom Suchfilter für einen zu authentifizierenden Benutzer zu verwenden sind und die es ermöglichen, dass der Benutzer eine Authentifizierung mit mehreren Attributen im Benutzereintrag durchführen kann. Wird dieses Feld beispielsweise auf uid, employeenumber und mail gesetzt, kann der Benutzer jeden dieser Namen für die Authentifizierung verwenden.
Benutzer-Suchfilter
In diesem Feld wird ein Attribut angegeben, das für die Suche nach dem im Feld "DN zum Starten von Benutzersuche" festgelegten Benutzer verwendet wird. Dieses Feld wird gemeinsam mit dem Benutzer-Namensattribut eingesetzt. Für diese Option gibt es keinen Standardwert. Jedes gültige Benutzereintragsattribut ist zulässig.
Suchbereich
In diesem Menü wird angegeben, wie viele Ebenen des Directory Servers bei der Suche nach einem übereinstimmenden Benutzerprofil durchsucht werden sollen. Die Suche beginnt bei dem im Attribut DN zum Starten von Benutzersuche angegebenen Knoten. Der Standardwert ist SUBTREE. In der Liste kann eine der folgenden Optionen ausgewählt werden:
SSL-Zugriff auf LDAP-Server aktivieren
Mit dieser Option wird der SSL-Zugriff auf die in den Feldern "Primary LDAP-Server und -Anschluss" und "Secondary LDAP-Server und -Anschluss" angegebenen Directory Server aktiviert. Standardmäßig ist dieses Kontrollkästchen nicht aktiviert, sodass der Zugriff auf den Directory Server nicht über das SSL-Protokoll erfolgt.
Benutzer-DN zur Authentifizierung zurückgeben
Wenn das Access Manager-Verzeichnis dem für LDAP eingerichteten Verzeichnis entspricht, kann diese Option aktiviert werden. Wird diese Option aktiviert, lässt das LDAP-Authentifizierungsmodul die Rückgabe der DN anstelle der Benutzer-ID zu, sodass kein Suchlauf erforderlich ist. Normalerweise gibt ein Authentifizierungsmodul nur die Benutzer-ID zurück und der Authentifizierungsdienst sucht nach dem Benutzer in dem lokalen Access Manager LDAP. Falls ein externes LDAP-Verzeichnis verwendet wird, wird diese Option normalerweise nicht aktiviert.
Authentifizierungsebene
Die Authentifizierungsebene wird für jede Authentifizierungsmethode separat eingestellt. Mit diesem Wert wird angegeben, wie stark einer Authentifizierung vertraut wird. Nach der Authentifizierung eines Benutzers wird dieser Wert im SSO-Token für die betreffende Sitzung gespeichert. Wird das SSO-Token einer Anwendung vorgelegt, auf die der Benutzer zugreifen möchte, bestimmt die Anwendung anhand des gespeicherten Werts, ob die Authentifizierungsebene ausreicht, um dem Benutzer Zugriff zu gewähren. Wenn die in einem SSO-Token gespeicherte Authentifizierungsebene nicht dem erforderlichen Mindestwert entspricht, kann die Anwendung den Benutzer auffordern, sich über einen Dienst mit einer höheren Authentifizierungsebene erneut zu authentifizieren. Der Standardwert ist 0.
Hinweis
Wenn keine Authentifizierungsebene angegeben wird, wird im SSO-Token der im Kern-Authentifizierungsattribut "Standard-Authentifizierungsebene" angegebene Wert verwendet.
Inhalt |