Inhalt    

Kern-Authentifizierungsattribute

Das Kern-Authentifizierungsmodul ist das Basismodul sowohl für alle Standard-Authentifizierungsmodule als auch für alle angepassten Authentifizierungsmodulattribute. Für jede Organisation, bei der mit irgendeiner Art von Authentifizierung gearbeitet werden soll, muss zunächst der Kern-Authentifizierungsdienst konfiguriert werden. Der Kern-Authentifizierungsdienst weist globale Attribute und Organisationsattribute auf. Die den globalen Attributen zugewiesenen Werte werden über die gesamte Konfiguration von Sun Java System Access Manager hinweg zugewiesen und an jede konfigurierte Organisation vererbt. (Da die Funktion globaler Attribute in der Anpassung der Access Manager-Anwendung besteht, können sie Rollen oder Organisationen nicht direkt zugewiesen werden.) Die den Organisationsattributen in der Dienstkonfiguration zugewiesenen Werte werden als Standardwerte der Vorlage für die Kern-Authentifizierung verwendet. Die Dienstvorlage muss erstellt werden, nachdem der Dienst für die Organisation hinzugefügt wurde. Die Standardwerte können nach dem Hinzufügen durch den Administrator der Organisation geändert werden. Organisationsattribute werden nicht an Einträge der Organisation vererbt. Es gibt zwei Gruppen von Attributen für die Kern-Authentifizierung:

Globale Attribute

Das Kern-Authentifizierungsmodul weist die folgenden globalen Attribute auf:

PAM-Klassen (Pluggable Authentification Module)

In diesem Feld werden die Java-Klassen der Authentifizierungsmodule angegeben, die für eine der auf der Access Manager-Plattform konfigurierten Organisationen verfügbar sind. Standardmäßig sind dies LDAP, SafeWord, SecurID, Application, Anonymous, HTTP Basic, Membership, Unix, Certificate, NT, RADIUS und Windows Desktop SSO. Sie können benutzerdefinierte Authentifizierungsmodule entwickeln, indem Sie AMLoginModule SPI oder JAAS LoginModule SPI implementieren. Weitere Informationen finden Sie im Handbuch Access Manager Developer’s Guide. In diesem Feld muss der vollständige Klassenname für jedes zu definierende neue Authentifizierungsmodul eingegeben werden (einschließlich des Paketnamens).

Unterstützte Authentifizierungsmodule für Clients

Über dieses Attribut wird eine Liste der unterstützten Authentifizierungsmodule für einen bestimmten Client festgelegt. Das Format ist folgendermaßen aufgebaut:

clientType | module1,module2,module3

Dieses Attribut ist nur aktiv, wenn "Client-Erkennung" aktiviert ist.

LDAP-Verbindung Pool-Größe

Über dieses Attribut wird der Minimal- und Maximalwert des Verbindungs-Pools angegeben, der für einen bestimmten LDAP-Server und Port verwendet werden soll. Dieses Attribut wird nur für LDAP- und Mitgliedschafts-Authentifizierungsmodule verwendet. Das Format ist folgendermaßen aufgebaut:

host:port:min:max


Hinweis

Dieser Verbindungs-Pool ist nicht identisch mit dem SDK-Verbindungs-Pool, der über serverconfig.xml eingerichtet wird.


LDAP-Verbindung Standard-Pool-Größe

Über dieses Attribut wird der standardmäßige Minimal- und Maximalwert des Verbindungs-Pools angegeben, der für alle Konfigurationen von LDAP-Authentifizierungsmodulen verwendet werden soll. Enthält das Attribut LDAP-Verbindung Pool-Größe einen Eintrag für den Host und den Anschluss, werden die Minimal- und Maximaleinstellungen aus dem Attribut "LDAP Verbindung Standard-Pool-Größe" nicht verwendet.

Organisationsattribute

Das Kern-Authentifizierungsmodul weist die folgenden Organisationsattribute auf:

Module für die Organisationsauthentifizierung

In dieser Liste werden die für die Organisation verfügbaren Authentifizierungsmodule angegeben. Der für eine bestimmte Organisation zu verwendende Authentifizierungstyp wird vom jeweiligen Administrator ausgewählt. Das Arbeiten mit mehreren Authentifizierungsmodulen bietet eine höhere Flexibilität, aber die Benutzer müssen hierbei sicherstellen, dass ihre jeweilige Anmeldungseinstellung für das ausgewählte Authentifizierungsmodul geeignet ist. Standardmäßig wird der Authentifizierungsdienst LDAP verwendet. Folgende Authentifizierungsmodule sind in Access Manager verfügbar:

Benutzerprofil

Diese Option ermöglicht Ihnen die Festlegung von Optionen für ein Benutzerprofil.

Administrator-Authentifizierungskonfiguration

Nachdem Sie auf den Link „Bearbeiten“ geklickt haben, können Sie das für Administratoren zu verwendende Authentifizierungsmodul festlegen. Bei einem Administrator handelt es sich um einen Benutzer, der Zugriff auf die Access Manager Console benötigt. Dieses Attribut kann verwendet werden, wenn für Administratoren ein anderes Authentifizierungsmodul verwendet werden soll als für Endbenutzer. Die in diesem Attribut konfigurierten Module werden beim Zugriff auf Access Manager aufgenommen. Beispielsweise:

http://servername.port/console_deploy_uri

Standardrollen für dynamisches Erstellen von Benutzerprofilen

In diesem Feld wird angegeben, welche Rollen einem neuen Benutzer zugewiesen werden, dessen Profil erstellt wird, wenn in der Funktion Benutzerprofil "Dynamische Erstellung" gewählt wurde. Für diese Option gibt es keinen Standardwert. Der Administrator muss die DNs der Rollen angeben, die dem neuen Benutzer zugewiesen werden sollen.


Hinweis

Die angegebene Rolle muss unterhalb der Organisation liegen, für die die Authentifizierung konfiguriert wird. Bei dieser Rolle kann es sich entweder um eine Access Manager- oder eine LDAP-Rolle, nicht jedoch um eine gefilterte Rolle handeln.


Modus für persistentes Cookie aktivieren

Mit dieser Option wird bestimmt, ob Benutzer nach dem erneuten Starten des Browsers wieder zu einer bereits authentifizierten Sitzung wechseln können. Wenn die Option Modus für persistentes Cookie aktiviert ist, werden Benutzersitzungen bewahrt. Konkret bewirkt das Aktivieren der Option Modus für persistentes Cookie, dass die Benutzersitzung erst dann abläuft, wenn das zugehörige persistente Cookie ungültig wird oder der Benutzer sich explizit abmeldet. Die anzuwendende Ablaufzeit wird unter Maximaler Zeitraum für persistentes Cookie angegeben. In der Standardeinstellung ist die Option Modus für persistentes Cookie nicht aktiviert und das Authentifizierungsmodul verwendet nur im Speicher abgelegte Cookies.


Hinweis

Ein persistentes Cookie muss explizit vom Client unter Verwendung des Parameters iPSPCookie=yes im Anmelde-URL verwendet werden.


Maximaler Zeitraum für persistentes Cookie

In diesem Feld wird angegeben, nach wie vielen Sekunden ein persistentes Cookie abläuft. (Zunächst muss das Kontrollkästchen für die Option Modus für persistentes Cookie aktivieren aktiviert werden.) Das angegebene Zeitintervall beginnt, wenn die Authentifizierung der Benutzersitzung erfolgreich abgeschlossen wurde. Der Standardwert ist 2147483 (Zeitangabe in Sekunden). In diesem Feld ist jede ganze Zahl zwischen 0 und 2147483 zulässig.

Personen-Container für alle Benutzer

Wenn ein Benutzer die Authentifizierung erfolgreich abgeschlossen hat, wird sein Profil abgerufen. Der Wert in diesem Feld gibt an, wo das Profil zu finden ist. In der Regel wird hier der DN des standardmäßigen Personen-Containers verwendet. Alle einer Organisation hinzugefügten Benutzereinträge werden automatisch diesem Container hinzugefügt. Der Standardwert, auf den in der Regel der oder die Organisationsnamen und das Stammsuffix folgen, lautet ou=People. In diesem Feld ist jeder gültige DN einer Organisationseinheit zulässig.


Hinweis

Bei der Suche nach einem Benutzerprofil im Rahmen der Authentifizierung werden folgende Schritte durchgeführt:

  • Suche im Standard-Personen-Container, dann
  • Suche in der Standard-Organisation, dann
  • Suche nach dem Benutzer in der Standard-Organisation unter Verwendung des Attributs "Attributname für Aliassuche".

Der letzte Suchlauf ist für SSO-Fälle vorgesehen, in denen der für die Authentifizierung verwendete Benutzername möglicherweise nicht mit dem Namensattribut im Profil übereinstimmt. Der Benutzer führt die Authentifizierung beispielsweise unter Verwendung der Safeword-ID jn10191 durch, obgleich das Profil uid=jamie lautet.


Attributname für Aliassuche

Wenn ein Benutzer die Authentifizierung erfolgreich abgeschlossen hat, wird sein Profil abgerufen. In diesem Feld wird ein zweites LDAP-Attribut angegeben, das für die Suche nach einem übereinstimmenden Benutzerprofil verwendet wird, wenn die Suche unter Verwendung des ersten, im Benutzer-Namensattribut angegebenen LDAP-Attributs nicht erfolgreich ist. Dieses Attribut wird in erster Linie verwendet, wenn die vom Authentifizierungsmodul ermittelte Benutzerkennung nicht mit der unter "Benutzer-Namensattribut" angegebenen Kennung übereinstimmt. (Beispiel: Der RADIUS-Server gibt den Wert abc1234 zurück, der Benutzername ist jedoch abc.) Für dieses Attribut gibt es keinen Standardwert. In diesem Feld ist jedes gültige LDAP-Attribut zulässig (beispielsweise cn).

Benutzer-Namensattribut

Wenn ein Benutzer die Authentifizierung erfolgreich abgeschlossen hat, wird sein Profil abgerufen. Der Wert dieses Attributs gibt das für die Suche zu verwendende LDAP-Attribut an. In Access Manager wird standardmäßig angenommen, dass Benutzereinträge durch das Attribut uid identifiziert werden. Wenn auf Ihrem Directory Server ein anderes Attribut verwendet wird (beispielsweise givenname), geben Sie den Namen des verwendeten Attributs in diesem Feld ein.

Standard-Authentifizierungs-Ländereinstellung

In diesem Feld wird angegeben, welche Sprache das Authentifizierungsmodul standardmäßig verwendet. Der Standardwert ist en_US. Eine Liste der gültigen Sprachen finden Sie in Tabelle 0-1.


 

Um eine andere Ländereinstellung verwenden zu können, müssen zunächst alle Authentifizierungsvorlagen für die betreffende Ländereinstellung erstellt werden. Anschließend muss ein neues Verzeichnis für diese Vorlagen angelegt werden. Weitere Informationen finden Sie in Kapitel 3 im Abschnitt „Authentication Service“ des Access Manager Developer’s Guide.


Tabelle 0-1  Unterstützte Sprach- bzw. Ländereinstellungen 

Sprach-Tag

Sprache

af

Afrikaans

be

Weißrussisch

bg

Bulgarisch

ca

Katalanisch

cs

Tschechisch

da

Dänisch

de

Deutsch

el

Griechisch

en

Englisch

es

Spanisch

eu

Baskisch

fi

Finnisch

fo

Faröisch

fr

Französisch

ga

Irisch

gl

Galizisch

hr

Kroatisch

hu

Ungarisch

id

Indonesisch

is

Isländisch

it

Italienisch

ja

Japanisch

ko

Koreanisch

nl

Niederländisch

no

Norwegisch

pl

Polnisch

pt

Portugiesisch

ro

Rumänisch

ru

Russisch

sk

Slowakisch

sl

Slowenisch

sq

Albanisch

sr

Serbisch

sv

Schwedisch

tr

Türkisch

uk

Ukrainisch

zh

Chinesisch

Konfiguration der Organisationsauthentifizierung

Über dieses Attribut wird das Authentifizierungsmodul für die Organisation festgelegt. Standardmäßig wird das Authentifizierungsmodul LDAP verwendet. Eine oder mehrere Authentifizierungsmodule können nach Anklicken des Links "Bearbeiten" gewählt werden. Wenn mehr als ein Modul gewählt wird, muss der Benutzer sich bei allen ausgewählten Modulen authentifizieren.

Die in diesem Attribut konfigurierten Module werden zur Authentifizierung verwendet, wenn Benutzer anhand des Formats /server_deploy_uri/UL/Login auf das Authentifizierungsmodul zugreifen. Weitere Informationen finden Sie im Handbuch Access Manager Developer’s Guide.

Anmeldefehler Sperrmodus aktivieren

Diese Option legt fest, ob ein Benutzer einen zweiten Authentifizierungsversuch unternehmen kann, falls der erste fehlschlägt. Durch Auswahl dieses Attributs wird der Sperrmodus aktiviert, sodass der Benutzer nur einen Authentifizierungsversuch hat. Die Sperroption ist standardmäßig nicht aktiviert. Das Attribut wird gemeinsam mit sperrungsspezifischen und Benachrichtigungsattributen eingesetzt.

Anmeldefehler Sperrzählung

Über dieses Attribut wird festgelegt, wie oft der Benutzer versuchen kann, sich innerhalb des über das Attribut Anmeldefehler Sperrintervall angegebenen Zeitraums zu authentifizieren, bevor er gesperrt wird.

Anmeldefehler Sperrintervall

Über dieses Attribut wird die Zeitdauer (in Minuten) angegeben, die zwischen zwei fehlgeschlagenen Anmeldeversuchen liegt. Schlägt ein Anmeldeversuch fehl und es erfolgt ein weiterer Versuch innerhalb des Sperrintervalls, wird die Sperrzählung um einen Schritt erhöht. Andernfalls wird die Sperrzählung zurückgesetzt.

E-Mail-Adresse für das Versenden der Sperrbenachrichtigung

Über dieses Attribut wird die E-Mail-Adresse angegeben, an die eine Nachricht gesendet wird, wenn eine Benutzersperre erfolgt ist. Um E-Mail-Nachrichten an mehrere Adressen zu senden, trennen Sie die einzelnen E-Mail-Adressen durch Leerzeichen voneinander ab. Für nichtenglische Ländereinstellungen lautet das Format:

email_address|locale|charset

Benutzer nach n Fehlern warnen

Über dieses Attribut wird die Anzahl der Authentifizierungsfehler festgelegt, die zugelassen werden, bevor Access Manager den Benutzer anhand einer Warnmeldung darüber informiert, dass er gesperrt wird.

Anmeldefehler Sperrdauer

Dieses Attribut ermöglicht eine Sperrung des Speichers. Standardmäßig deaktiviert der Sperrmechanismus das im Feld "Sperrattributname" definierte Benutzerprofil (nach einem Anmeldefehler). Ist der Wert des Anmeldefehlers Sperrdauer größer als 0, werden der Speicher und das Benutzerkonto für die angegebene Dauer gesperrt.

Sperrattributname

Mit diesem Attribut wird ein mögliches LDAP-Attribut angegeben, das für die Sperrung festgelegt werden soll. Der Wert im Feld "Sperrattributwert" muss ebenfalls geändert werden, um die Sperrung für diesen Attributnamen zu aktivieren. Standardmäßig ist das Feld "Sperrattributname" in der Access Manager Console leer. Die Standardimplementierungswerte lauten inetuserstatus (LDAP-Attribut) und inactive, wenn der Benutzer gesperrt ist und der Wert "Anmeldefehler Sperrdauer" auf 0 gesetzt ist.

Sperrattributwert

Dieses Attribut legt fest, ob die Sperrung für das im Feld Sperrattributname definierte Attribut aktiviert oder deaktiviert ist. Standardmäßig ist der Wert für inetuserstatus auf "deaktiviert" gesetzt.

Standard-URL für erfolgreiche Anmeldung

In diesem Feld wird eine Liste mit mehreren Werten eingegeben, die den URL angeben, an den Benutzer nach erfolgreicher Authentifizierung weitergeleitet werden. Das Format dieses Attributs lautet clientType|URL. Sie können auch nur den Wert des URLs angeben, der als Standardtyp HTML annimmt.

Standard-URL für erfolglose Anmeldung

In diesem Feld wird eine Liste mit mehreren Werten eingegeben, die den URL angeben, an den Benutzer nach erfolgloser Authentifizierung weitergeleitet werden. Das Format dieses Attributs lautet clientType|URL. Sie können auch nur den Wert des URLs angeben, der als Standardtyp HTML annimmt.

Nachverarbeitungs-Authentifizierungsklasse

In diesem Feld wird die Java-Klasse angegeben, die zur angepassten Nachverarbeitung nach erfolgreicher oder fehlgeschlagener Anmeldung dient. Beispiel:

com.abc.authentication.PostProcessClass

Die Java-Klasse muss die folgende Java-Schnittstelle implementieren:

com.sun.identity.authentication.spi.AMPostAuthProcessInterface

Darüber hinaus müssen Sie den Pfad, in dem sich die Klasse befindet, dem Java Classpath-Attribut des Webservers hinzufügen.

Generierung des UserID-Modus aktivieren

Dieses Attribut wird vom Mitgliedschafts-Authentifizierungsmodul verwendet. Wenn dieses Attributfeld aktiviert ist, kann das Mitgliedschaftsmodul bei der Selbstregistrierung Benutzer-IDs für einen bestimmten Benutzer erstellen, wenn die Benutzer-ID bereits vorhanden sein sollte. Die Benutzer-IDs werden von der im Feld Plugfähige Generator-Klasse für Benutzernamen angegebenen Java-Klasse erstellt.

Plugfähige Generator-Klasse für Benutzernamen

In diesem Feld wird der Name der Java-Klasse angegeben, die verwendet wird, um Benutzer-IDs zu erstellen, wenn die Funktion Generierung des UserID-Modus aktivieren aktiviert ist.

Standard-Authentifizierungsebene

Mit dem Wert für die Authentifizierungsebene wird angegeben, wie stark einer Authentifizierung vertraut wird. Nach der Authentifizierung eines Benutzers wird dieser Wert im SSO-Token für die betreffende Sitzung gespeichert. Wird das SSO-Token einer Anwendung vorgelegt, auf die der Benutzer zugreifen möchte, kann die Anwendung anhand des gespeicherten Werts bestimmen, ob die Authentifizierungsebene ausreicht, um dem Benutzer Zugriff zu gewähren. Wenn die in einem SSO-Token gespeicherte Authentifizierungsebene nicht dem erforderlichen Mindestwert entspricht, kann die Anwendung den Benutzer auffordern, sich über einen Dienst mit einer höheren Authentifizierungsebene erneut zu authentifizieren.

Die Authentifizierungsebene sollte in der jeweiligen Authentifizierungsvorlage der Organisation angegeben werden. Der hier beschriebene Wert für das Attribut "Standard-Authentifizierungsebene" wird nur verwendet, wenn im Feld "Authentifizierungsebene" der betreffenden organisationsspezifischen Authentifizierungsvorlage kein Wert angegeben wurde. Der Standardwert für die Standard-Authentifizierungsebene lautet 0. (Der Wert dieses Attributs wird nicht von Access Manager verwendet, sondern ist für jede externe Anwendung verfügbar.)


Inhalt