Contenido    

Atributos de autenticación Principal

El módulo de autenticación "Principal" es el módulo básico para todos los módulos de autenticación predeterminados, así como para cualquier atributo de módulo de autenticación personalizado. La autenticación "Principal" debe configurarse como servicio para cada organización que desee utilizar cualquier forma de autenticación. Los atributos de autenticación "Principal" constan de atributos de organización y globales. Los valores que adoptan los atributos globales se aplican a la configuración de Sun Java System Access Manager y todas las organizaciones configuradas los heredan. (No se pueden aplicar directamente a roles u organizaciones, ya que el objetivo de los atributos globales es personalizar la aplicación Access Manager). Los valores aplicados a los atributos de organización en "Configuración de servicio" se convierten en los valores predeterminados para la plantilla de autenticación "Principal". Es necesario crear la plantilla de servicio después de agregar el servicio para la organización. El administrador de la organización puede cambiar los valores predeterminados después del agregado. Los atributos de organización no los heredan las entradas de la organización. Los atributos de autenticación "Principal" se dividen en:

Atributos globales

Los atributos globales en el módulo de autenticación "Principal" son:

Clases de módulo de autenticación conectable

Este campo especifica las clases Java de los módulos de autenticación disponibles para cualquier organización configurada dentro de la plataforma Access Manager. En forma predeterminada, éstas incluyen LDAP, SafeWord, SecurID, Application, Anonymous, HTTP Basic, Membership, Unix, Certificate, NT, RADIUS y Windows Desktop SSO. Puede escribir módulos de autenticación personalizados implementando el SPI del AMLoginModule o el SPI del LoginModule del JAAS. Para obtener más información, consulte Guía del programador del Access Manager. Para definir servicios nuevos, este campo debe contener una cadena de texto que especifique el nombre de clase completo (incluido el nombre de paquete) de cada módulo de autenticación nuevo.

Módulos de autenticación admitidos para clientes

Este atributo especifica una lista de módulos de autenticación admitidos para un cliente específico. El formato es el siguiente:

TipoCliente | módulo1,módulo2,módulo3

Este atributo está en vigor cuando está activado "Detección de cliente" .

Tamaño de conjunto de conexión LDAP

Este atributo especifica el conjunto de conexiones máximo y mínimo que se van a utilizar en un puerto y un servidor LDAP específicos. Este atributo se aplica sólo a los módulos de autenticación" Condición de miembro" y LDAP. El formato es el siguiente:

host:puerto:mín:máx


Nota

Este grupo de conexiones es diferente del grupo de conexiones SDK configurado en serverconfig.xml.


Tamaño de grupo predeterminado de conexión LDAP

Este atributo define el grupo de conexiones máximo y mínimo predeterminado que se debe utilizar con todas las configuraciones de módulos de autenticación LDAP. Si existe una entrada para el puerto y el host en el atributo Tamaño de conjunto de conexión LDAP, se utilizarán los valores mínimo y máximo del tamaño de grupo predeterminado de conexión LDAP.

Atributos de organización

Los atributos de organización en el módulo de autenticación "Principal" son:

Módulos de autenticación de organización

Esta lista especifica los módulos de autenticación disponibles para la organización. Cada administrador puede seleccionar el tipo de autenticación para cada organización particular. Varios módulos de autenticación proporcionan flexibilidad, pero los usuarios deben estar seguros de que las preferencias de inicio de sesión son adecuadas para el módulo de autenticación seleccionado. La autenticación predeterminada es LDAP. Los módulos de autentificación incluidos en Access Manager son:

Perfil de usuario

Esta opción le permite especificar opciones para un perfil de usuario.

Configuración de autenticación del administrador

Si hace clic en el vínculo "Editar", podrá definir el módulo de autenticación sólo para administradores. Un administrador es un usuario que necesita acceder a la consola de Access Manager. Este atributo puede utilizarse si el módulo de autenticación para administradores debe ser distinto del módulo de los usuarios finales. Los módulos configurados en este atributo se utilizan cuando se accede a la consola de Access Manager. Por ejemplo:

http://nombreservidor.puerto/uri_implementación_consola

Roles predeterminados de creación dinámica del perfil de usuario

Este campo especifica las funciones asignadas a un usuario nuevo cuyos perfiles se crean si se selecciona Creación dinámica mediante la función Perfil de usuario. No hay ningún valor predeterminado. El administrador debe especificar los DN de los roles que se asignarán al nuevo usuario.


Nota

El rol especificado debe encontrarse debajo de la organización para la que se está configurando la autenticación. Éste puede ser un rol Access Manager o LDAP, pero no un rol filtrado.


Active el modo de cookie persistente

Esta opción determina si los usuarios pueden reiniciar el explorador y volver a su sesión autenticada. Las sesiones de los usuarios pueden retenerse activando Habilitar el modo de cookie persistente. Cuando está activado Habilitar el modo de cookie persistente, las sesiones de usuario no caducan hasta que lo hagan sus cookies persistentes o hasta que el usuario cierre la sesión explícitamente. El tiempo de caducidad se especifica en Tiempo máximo de cookie persistente. De forma predeterminada, el modo Cookie persistente no está activado, y el módulo de autenticación utiliza sólo cookies de la memoria.


Nota

El cliente debe solicitar explícitamente una cookie persistente utilizando el parámetro iPSPCookie=yes en la URL de inicio de sesión.


Tiempo máximo de cookie persistente

Este campo especifica el intervalo tras el cual caduca una cookie persistente (Active el modo de cookie persistente debe activarse seleccionando su casilla de verificación). El intervalo comienza cuando la sesión del usuario se ha autenticado satisfactoriamente. El valor predeterminado es 2147483 (tiempo en segundos). El campo reconocerá cualquier valor entero entre 0 y 2147483.

Contenedor de personas para todos los usuarios

Después de una autenticación satisfactoria por parte del usuario, se recupera su perfil de usuario. El valor de este campo especifica dónde se debe buscar el perfil. Habitualmente, este valor será el DN del contenedor de personas predeterminado. Todas las entradas de usuario añadidas a una organización se añaden automáticamente al contenedor de personas predeterminado de la organización. El valor predeterminado es ou=People y normalmente se completa con el nombre de la organización y el sufijo de raíz. El campo contendrá un DN válido para cualquier unidad de organización.


Nota

La autenticación busca un perfil de usuario de la siguiente manera:

  • buscando en el contenedor de personas predeterminado y, a continuación,
  • buscando en la organización predeterminada y, por último,
  • buscando el usuario en la organización predeterminada utilizando el atributo "Nombre de atributo de búsqueda de alias".

La búsqueda final se realiza para encontrar casos SSO en los que puede que el nombre de usuario que se va a autenticar no sea el atributo de nombre del perfil. Por ejemplo, un usuario puede autenticarse utilizando el Id. de Safeword jn10191, pero el perfil es uid=jaime.


Nombre de atributo de búsqueda de alias

Después de una autenticación satisfactoria por parte del usuario, se recupera su perfil de usuario. Este campo especifica el segundo atributo LDAP que debe buscarse si la búsqueda en el primer atributo LDAP especificado en Atributo de nombre de usuario no encuentra un perfil de usuario coincidente. Este atributo se utilizará principalmente si la identificación de usuario devuelta por un módulo de autenticación no es la misma que la especificada en "Atributo de nombre de usuario". Por ejemplo, un servidor RADIUS puede devolver abc1234, pero el nombre de usuario es abc. No hay ningún valor predeterminado para este atributo. El campo contendrá cualquier atributo LDAP válido (por ejemplo, cn).

Atributo de nombre de usuario

Después de una autenticación satisfactoria por parte del usuario, se recupera su perfil de usuario. El valor de este atributo especifica el atributo LDAP que se debe utilizar para la búsqueda. De forma predeterminada, Access Manager asume que las entradas de usuario se identifican mediante el atributo uid. Si su servidor de directorios utiliza un atributo distinto (como cualquiernombre) especifique en este campo el nombre del atributo.

Configuración regional de autenticación predeterminada

Este campo especifica el subtipo de idioma predeterminado que debe utilizar el módulo de autenticación. El valor predeterminado es en_US. Puede consultarse una lista de subtipos de idioma válidos en la Tabla 0-1.


 

Para utilizar un idioma distinto, es necesario crear previamente todas las plantillas de autenticación para dicho idioma. Deberá crearse un nuevo directorio para estas plantillas. Consulte el “Capítulo 3: Servicio de autenticación” en la Guía del programador del Access Manager para obtener más información.


Tabla 0-1  Configuracionesde idiomas admitidos  

Etiqueta de idioma

Idioma

af

Afrikaans

be

Bielorruso

bg

Búlgaro

ca

Catalán

cs

Checo

da

Danés

de

Alemán

el

Griego

en

Inglés

es

Español

eu

Vasco

fi

Finés

fo

Feroés

fr

Francés

ga

Gaélico

gl

Gallego

hr

Croata

hu

Húngaro

id

Indonesio

is

Islandés

it

Italiano

ja

Japonés

ko

Coreano

nl

Holandés

no

Noruego

pl

Polaco

pt

Portugués

ro

Rumano

ru

Ruso

sk

Eslovaco

sl

Esloveno

sq

Albanés

sr

Serbio

sv

Sueco

tr

Turco

uk

Ucraniano

zh

Chino

Configuración de autenticación de organización

Este atributo define el módulo de autenticación para la organización. El módulo de autenticación predeterminado es LDAP. Se pueden seleccionar uno o varios módulos de autenticación haciendo clic en el vínculo "Editar". Si se selecciona más de un módulo, el usuario deberá pasar por la cadena de todos los módulos seleccionados.

Los módulos configurados en este atributo se utilizan para la autenticación de los usuarios cuando éstos acceden al módulo de autenticación a través del formato /uri_implementación_servidor /UL/NombreDeInicio. Consulte la Guía del programador del Access Manager para obtener más información.

Activar modo de bloqueo por fallo de inicio de sesión

Esta función define si un usuario puede intentar una segunda autenticación después de haber fallado la primera. La selección de este atributo activa un bloqueo, y el usuario tendrá una sola oportunidad para autenticarse. De forma predeterminada, la función de bloqueo no está activada. Este atributo funciona en conjunto con los atributos vinculados a los bloqueos y las notificaciones.

Recuento de bloqueos por fallo de inicio de sesión

Este atributo define el número de veces que un usuario puede intentar autenticarse, dentro del intervalo definido en Intervalo de bloqueo por fallo de inicio de sesión, antes de quedar bloqueado.

Intervalo de bloqueo por fallo de inicio de sesión

Este atributo define (en minutos) el intervalo entre dos intentos fallidos de inicio de sesión. Si un inicio de sesión falla, y es seguido por otro inicio fallido dentro del intervalo de bloqueo, se incrementa el recuento de bloqueo. En caso contrario, el recuento de bloqueo se reinicia.

Dirección de correo electrónico para enviar notificación de bloqueo

Este atributo especifica la dirección de correo electrónico que recibirá una notificación si se produce un bloqueo del usuario. Para enviar una notificación de correo electrónico a varias direcciones, separe cada una de ellas con un espacio en blanco. Para configuraciones regionales distintas a inglés, el formato es:

email_address|locale|charset

Avisar a usuario después de N fallos

Este atributo especifica el número de fallos de autenticación que se pueden producir antes de que Access Manager envíe un mensaje de aviso diciendo que se va a bloquear al usuario.

Duración de bloqueo por fallo de inicio de sesión

Este atributo habilita el bloqueo de memoria. De forma predeterminada, el mecanismo de bloqueo desactivará el perfil del usuario (después de un fallo de inicio de sesión) definido en “Nombre del atributo de bloqueo”. Si el valor de “Duración de bloqueo por fallo de inicio de sesión” es mayor que 0, entonces hay un bloqueo de memoria y la cuenta del usuario será bloqueada por el número especificado de minutos.

Nombre de atributo de bloqueo

Este atributo designa a todo atributo LDAP que se defina para ser bloqueado. También debe cambiarse el valor del campo “Valor de atributo de bloqueo” para habilitar el bloqueo de este nombre de atributo. De forma predeterminada, el atributo “Nombre de atributo de bloqueo” aparece vacío en la consola de Access Manager. Los valores de implementación predeterminados son inetuserstatus (atributo LDAP) y inactive cuando el usuario está bloqueado y “Duración de bloqueo por fallo de inicio de sesión” tiene valor 0.

Valor de atributo de bloqueo

Este atributo especifica si se habilita o no el bloqueo para el atributo definido en Nombre de atributo de bloqueo. El valor fijado en forma predeterminada para inetuserstatus es “inactivo”.

Dirección URL de inicio de sesión satisfactorio predeterminada

Este campo admite una lista de varios valores que especifican la dirección URL a la que se redirecciona a los usuarios después de una autenticación exitosa. El formato de este atributo es TipoCliente|dirección URL, aunque se puede especificar sólo el valor de la dirección URL, que asume un tipo predeterminado de HTML.

Dirección URL de fallo de inicio de sesión predeterminada

Este campo admite una lista de varios valores que especifican la dirección URL a la que se redirecciona a los usuarios después de una autenticación fallida. El formato de este atributo es TipoCliente|dirección URL, aunque se puede especificar sólo el valor de la dirección URL, que asume un tipo predeterminado de HTML.

Clase de postprocesamiento de autenticación

Este campo especifica el nombre de la clase Java utilizada para personalizar el proceso de postautenticación para inicios de sesión satisfactorios o no. Ejemplo:

com.abc.authentication.PostProcessClass

La clase Java debe implementar la siguiente interfaz Java:

com.sun.identity.authentication.spi.AMPostAuthProcessInterface

Además, debe agregarse la ruta de la ubicación de la clase al atributo “Java Classpath” del servidor web.

Activar Generar modo UserID

Este atributo se utiliza en el módulo de autenticación "Condición de miembro". Si este campo de atributo está activado, el módulo de miembros puede generar los Id. de usuario – durante el proceso de autorregistro - para un usuario específico, si ya existe el Id. de usuario. Los Id. de usuario se generan a partir de la clase Java especificada en Clase de generador de nombre de usuario conectable.

Clase de generador de nombre de usuario conectable

El campo especifica el nombre de la clase Java que se utilizará para generar los Id. de usuario cuando Activar Generar modo UserID está activado.

Nivel de autenticación predeterminado

El valor del nivel de autenticación indica en qué medida se debe confiar en las autenticaciones. Cuando un usuario se ha autenticado, este valor se almacena en el token SSO para la sesión. Cuando el token SSO se presenta a una aplicación a la que desea acceder el usuario, la aplicación puede utilizar el valor almacenado para determinar si el nivel es suficiente para permitir el acceso al usuario. Si el nivel de autenticación almacenado en el token SSO no cumple el valor mínimo necesario, la aplicación puede solicitar al usuario que se vuelva a autenticar a través de un servicio con un nivel de autenticación más alto.

El nivel de autenticación se debe definir dentro de la plantilla de autenticación específica de la organización. El valor de "Nivel de autenticación predeterminado" que se describe aquí sólo se aplica si no se ha especificado ningún nivel de autenticación en el campo "Nivel de autenticación" para la plantilla de autenticación específica de una organización. El valor predeterminado de “nivel de autenticación predeterminado”·es 0. (El valor de este atributo no lo utiliza Access Manager, sino cualquier aplicación externa que decida utilizarlo).


Contenido