Contenido
|
Atributos de autenticación de certificado
Los atributos del módulo de autenticación de certificado son atributos de organización. Los valores aplicados a estos atributos en "Configuración de servicio" se convierten en los valores predeterminados para la plantilla de autenticación de certificado. Es necesario crear la plantilla de servicio después de registrar el servicio para la organización. El administrador de la organización puede cambiar los valores predeterminados después del registro. Los atributos de organización no los heredan las entradas de los árboles de la organización. Los atributos de autenticación de certificado son:
Hacer coincidir certificado en LDAP
Esta opción especifica si se comprueba que el certificado de usuario presentado al iniciar la sesión está almacenado en el servidor LDAP. Si no se encuentra ninguna coincidencia, se deniega el acceso al usuario. Si se encuentra una coincidencia y no es necesaria ninguna otra validación, se permite el acceso al usuario. El valor predeterminado es que el módulo de autenticación de certificado no compruebe si existe certificado de usuario.
Atributo DN de asunto utilizado para buscar certificados en LDAP
Este campo especifica el atributo del valor SubjectDN del certificado que se va a utilizar para realizar búsquedas de certificados en LDAP. Este atributo debe identificar unívocamente a una entrada de usuario. Dicho valor se utilizará para realizar la búsqueda. El valor predeterminado es CN.
Hacer coincidir certificado con CRL
Esta opción especifica si se comprueba la presencia del certificado de usuario en la lista de revocación de certificados (CRL) del servidor LDAP. El CRL se ubica por medio de uno de los nombres de atributo en el SubjectDN del emisor. Si el certificado se encuentra en la CRL, se deniega acceso al usuario; si no es así, se permite que el usuario continúe. De forma predeterminada, este atributo no se encuentra activado.
Atributo DN de emisor utilizado para buscar LDAP para CRL
Este campo especifica el atributo del valor subjectDN del emisor del certificado recibido, que se utilizará para realizar búsquedas LDAP para CRL. Este campo sólo se utiliza cuando está activado el atributo "Hacer coincidir certificado con CRL". Dicho valor se utilizará para realizar la búsqueda. El valor predeterminado es CN.
Parámetros HTTP para actualización de CRL
Estos campos especifican los parámetros http necesarios para obtener un CRL de un servlet, para una actualización de CRL. Contacte al administrador de su CA para obtener estos parámetros.
Activar validación de OCSP
Este parámetro permite que se realice la validación de OCSP poniéndose en contacto con el contestador OCSP correspondiente. El contestador OCSP se decide como sigue en el momento de la ejecución:
- Si com.sun.identity.authentication.ocspCheck es verdadero y el contestador OCSP se define en el atributo com.sun.identity.authentication.ocsp.responder.url, el valor del atributo se usará como contestador OCSP.
- Si com.sun.identity.authentication.ocspCheck es verdadero y el valor del atributo no está definido en el archivo AMConfig.properties, se utilizará como contestador OCSP el presentado en el certificado del cliente.
Si com.sun.identity.authentication.ocspCheck está definido como falso, o si com.sum.identity.authentication.ocspCheck está definido como verdadero y no se puede encontrar un contestador OCSP, no se realizará ninguna validación OCSP.
Servidor LDAP donde se almacenan los certificados
Este campo especifica el nombre y el número de puerto del servidor LDAP en el que se almacenan los certificados. El valor predeterminado es el nombre de host y el puerto especificados cuando se instaló Access Manager. Puede utilizarse el nombre de host y el puerto de cualquier servidor LDAP en el que estén almacenados los certificados. El formato es nombre_de_host:puerto
DN para iniciar búsqueda de LDAP
Este campo especifica el DN del nodo en el que debe comenzar la búsqueda del certificado del usuario. No hay ningún valor predeterminado. El campo reconocerá cualquier DN válido. Las entradas múltiples deben aparecer precedidas del nombre del servidor local como prefijo. El formato es el siguiente:
nombreservidor|dn de búsqueda
Para entradas múltiples
nombreservidor1|dn de búsqueda nombreservidor2|dn de búsqueda nombreservidor3|dn de búsqueda...
Si se encuentran varios usuarios en la misma búsqueda, la autenticación fallará.
Usuario principal del servidor LDAP
Este campo acepta el DN del usuario principal para el servidor LDAP donde se almacenan los certificados. No hay ningún valor predeterminado para este campo, que reconocerá cualquier DN válido. El usuario principal debe estar autorizado para leer y buscar la información de certificado almacenada en el servidor de directorios.
Contraseña principal del servidor LDAP
Este campo incluye la contraseña LDAP asociada al usuario especificado en el campo Usuario principal del servidor LDAP. No hay ningún valor predeterminado para este campo, que reconocerá la contraseña LDAP válida para el usuario principal especificado.
Atributo LDAP para Id. de perfil
Este campo especifica el atributo de la entrada del servidor de directorios que coincide con el certificado cuyo valor debe utilizarse para identificar el perfil de usuario correcto. No hay ningún valor predeterminado para este campo, que reconocerá cualquier atributo válido en una entrada de usuario (cn, sn, etc.) que pueda utilizarse como Id. de usuario.
Use SSL para el acceso LDAP
Esta opción especifica si se utiliza SSL para acceder al servidor LDAP. El valor predeterminado es que el módulo de autenticación de certificado no utilice SSL para el acceso LDAP.
Campo de certificado utilizado para acceder al perfil de un usuario
Este menú especifica qué campo del DN de asunto del certificado debe utilizarse para buscar un perfil de usuario coincidente. Por ejemplo, si selecciona dirección de correo electrónico, el módulo de autenticación de certificado buscará el perfil de usuario que coincida con el atributo emailAddr del certificado de usuario. El usuario que inicia sesión utiliza a continuación el perfil coincidente. El campo predeterminado es CN de asunto. La lista contiene:
Otro campo de certificado utilizado para acceder al perfil de un usuario
Si el valor del atributo Campo de certificado utilizado para acceder al perfil de un usuario está definido como otro, este campo especifica el atributo que se seleccionará en el valor subjectDN del certificado recibido. El módulo de autenticación buscará el perfil de usuario que coincida con el valor de dicho atributo.
Hosts remotos de confianza
Este atributo define una lista de hosts de confianza en los que se puede confiar para enviar certificados a Access Manager. Access Manager debe verificar si el certificado emitido procede de uno de estos hosts. Esta configuración sólo se utilizará con Sun Java System Portal Server.
Este atributo admite los siguientes valores:
- ninguno.Este atributo está desactivado. Ésta es la configuración predeterminada.
- cualquiera. Admite autenticación tipo “puerta de enlace” de Portal Server para certificados procedentes de cualquier dirección IP de cliente.
- IP ADDR. Lista las direcciones IP de donde recibir pedidos de autenticación de certificados tipo “puerta de enlace” de Portal Server (la dirección IP de la(s) puerta(s) de enlace). El atributo es configurable de acuerdo a la organización.
Número de puerto SSL
Este atributo especifica el número de puerto de SSL. Actualmente, este atributo sólo es utilizado por el servlet de la puerta de enlace. Antes de agregar o modificar un número de puerto SSL, consulte la sección “Administración de recursos en base a políticas “ en el capítulo 7 de la Guía del programador del Access Manager.
Nivel de autenticación
El nivel de autenticación se define por separado para cada método de autenticación. El valor indica en qué medida se debe confiar en una autenticación. Cuando un usuario se ha autenticado, este valor se almacena en el token SSO para la sesión. Cuando el token SSO se presenta a una aplicación a la que desea acceder el usuario, la aplicación utiliza el valor almacenado para determinar si el nivel es suficiente para permitir el acceso al usuario Si el nivel de autenticación almacenado en el token SSO no cumple el valor mínimo necesario, la aplicación puede solicitar al usuario que se vuelva a autenticar a través de un servicio con un nivel de autenticación más alto. El valor predeterminado es 0.
Nota
Si no se especifica ningún nivel de autenticación, el token SSO almacena el valor especificado en el "Nivel de autenticación predeterminado" del atributo de autenticación "Principal".
Contenido |