Sommaire    

Attributs d'authentification principale

Le module d'authentification principale est le module de base de tous les modules d'authentification par défaut, ainsi que de tout module d'authentification personnalisée. L'authentification principale doit être configurée comme un service pour chaque organisation qui souhaite utiliser un mode d'authentification quel qu'il soit. Les attributs d'authentification se composent d'attributs globaux et d'organisation. Les valeurs affectées aux attributs globaux s'appliquent à la totalité de la configuration de Sun Java System Access Manager et sont transmises à chaque organisation configurée. (Elles ne peuvent pas être affectées directement aux rôles ou aux organisations dans la mesure où les attributs globaux ont pour finalité de personnaliser le serveur Access Manager.) Les valeurs qui sont affectées aux attributs d'organisation dans Configuration des services deviennent les valeurs par défaut du modèle Authentification principale. Le modèle de service doit être créé après ajout du service dans l’organisation. Les valeurs par défaut peuvent être modifiées après ajout par l'administrateur de l'organisation. Les attributs d'organisation ne sont pas transmis aux entrées de l'organisation. Les attributs d'authentification principale se répartissent en :

Attributs globaux

Les attributs globaux du module d'authentification principale sont les suivants :

Classes du module d'authentification enfichable

Ce champ indique les classes Java des modules d'authentification à la disposition de toutes les organisations configurées sur la plate-forme d’Access Manager. Par défaut, cela comprend LDAP, SafeWord, SecurID, Application, Anonyme, HTTP Basic, Appartenance, Unix, Certificat, NT, RADIUS et SSO Bureau Windows. Vous pouvez écrire des modules d’authentification personnalisés en mettant en uvre le SPI AMLoginModule ou le SPI JAAS LoginModule. Pour davantage d'informations, voir Access Manager Developer’s Guide. Pour définir de nouveaux services, ce champ doit recevoir une chaîne de texte spécifiant le nom complet de la classe (y compris le nom de paquet) de chaque nouveau module d'authentification.

Modules d'authentification pris en charge pour les clients

Cet attribut définit une liste de modules d'authentification pris en charge pour un client spécifique. Le format est le suivant :

clientType | module1,module2,module3

Cet attribut entre en vigueur lorsque la détection de client est activée.

Taille de pool de connexion LDAP

Cet attribut détermine le pool de connexion minimal et maximal à utiliser sur un serveur LDAP et un port donnés. Cet attribut concerne uniquement les modules d'authentification LDAP et d'appartenance. Le format est le suivant :

hôte:port:min:max


Remarque

Ce pool de connexion diffère du pool de connexion SDK configuré dans serverconfig.xml.


Taille de pool de connexion LDAP par défaut

Cet attribut définit le pool de connexion minimal et maximal par défaut à utiliser avec toutes les configurations du module d'authentification LDAP. Si une entrée existe pour l'hôte et le port dans l'attribut Taille de pool de connexion LDAP, les valeurs minimale et maximale ne seront pas empruntées à l'attribut Taille de pool par défaut de connexion LDAP.

Attribut d'organisation

Les attributs d'organisation du module d'authentification principale sont les suivants :

Modules d’authentification des organisations

Cette liste répertorie les modules d'authentification dont dispose l'organisation. Chaque administrateur peut choisir le type d'authentification qui convient à chaque organisation spécifique. La sélection de plusieurs modules d’authentification offre une plus grande flexibilité, mais les utilisateurs doivent s'assurer que leurs paramètres de connexion sont adaptés aux modules d'authentification sélectionnés. L'authentification par défaut est LDAP. Les modules d'authentification livrés avec Access Manager sont :

Profil utilisateur

Il vous est possible de définir les options d'un profil utilisateur.

Configuration d'authentification des administrateurs

Cliquez sur le lien de modification pour pouvoir définir le module d'authentification réservé aux administrateurs. Un administrateur est un utilisateur qui doit avoir accès à la console du Access Manager. Cet attribut peut être utilisé s'il est nécessaire d'avoir un module d'authentification différent pour les administrateurs et pour les utilisateurs finals. Les modules configurés dans cet attribut sont obtenus lors de l’accès à la console Access Manager. Par exemple :

http://nomserveur.port/console_deploy_uri

Rôles par défaut de création dynamique de profil utilisateur

Ce champ indique les rôles affectés à un nouvel utilisateur dont les profils sont créés si l'option Création dynamique est sélectionnée avec la fonction Profil utilisateur. Aucune valeur par défaut n'est définie. L'administrateur doit spécifier les DN des rôles qui seront affectés au nouvel utilisateur.


Remarque

Le rôle défini doit se situer sous l'organisation pour laquelle l'authentification est configurée. Il peut s’agit d’un rôle Access Manager ou LDAP, mais pas d’un rôle filtré.


Activer le mode de cookie permanent

Cette option détermine si les utilisateurs peuvent redémarrer le navigateur et retourner à leur session sans avoir à s'authentifier à nouveau. Vous pouvez conserver les sessions utilisateur en activant l'option Mode de cookie permanent. Quand l'option Mode de cookie permanent est activée, une session utilisateur reste valide tant que son cookie permanent n'est pas arrivé à expiration ou que l'utilisateur ne s'est pas déconnecté explicitement. La durée d'expiration est spécifiée dans le champ Délai maximal de cookie permanent. Par défaut, l'option Mode de cookie permanent n'est pas activée et le module d'authentification utilise uniquement des cookies temporaires.


Remarque

Un cookie permanent doit être explicitement demandé par le client avec le paramètre iPSPCookie=yes dans l'URL de connexion.


Délai maximal de cookie permanent

Ce champ spécifie la durée au-delà de laquelle un cookie permanent arrive à expiration. (Le Activer le mode de cookie permanent doit être activé en cochant la case correspondante.) Le temps est décompté à partir du moment où la session de l'utilisateur a été authentifiée avec succès. La valeur par défaut est 2147483 (durée en secondes). Ce champ accepte toute valeur entière comprise entre 0 et 2147483.

Conteneur de personnes pour tous les utilisateurs

Une fois qu'un utilisateur s'est authentifié avec succès, son profil est récupéré. La valeur de ce champ indique l'emplacement où rechercher le profil. En général, cette valeur sera le DN du conteneur de personnes par défaut. Toutes les entrées utilisateur ajoutées à une organisation sont automatiquement ajoutées au conteneur de personnes par défaut de l'organisation. La valeur par défaut est ou=People, et est généralement complétée par le(s) nom(s) d'organisations et le suffixe racine. Ce champ accepte un DN valide pour toute unité d'organisation.


Remarque

Pour trouver un profil utilisateur, l'authentification :

  • cherche dans le conteneur de personnes par défaut, puis
  • cherche dans l'organisation par défaut, puis
  • cherche l'utilisateur dans l'organisation par défaut en utilisant l'attribut Nom d'attribut de recherche du pseudo.

La recherche finale concerne les cas où, dans SSO, le nom d'utilisateur employé pour l'authentification peut ne pas être l'attribut d'affectation de nom défini dans le profil. Par exemple, un utilisateur peut s'authentifier à l’aide de l'ID Safeword jn10191 alors que son profil est uid=jamie.


Nom d'attribut de recherche du pseudo

Une fois qu'un utilisateur s'est authentifié avec succès, son profil est récupéré. Ce champ contient un deuxième attribut LDAP pour effectuer la recherche au cas où le premier attribut LDAP indiqué dans Attribut d'affectation de nom à un utilisateur ne permettrait pas de repérer un profil utilisateur qui corresponde. Cet attribut est utilisé principalement quand l'identification utilisateur renvoyée par un module d'authentification n'est pas la même que celle spécifiée dans le champ Attribut d'affectation de nom à un utilisateur. Par exemple, il se peut qu'un serveur RADIUS renvoie abc1234, mais que le nom d'utilisateur soit abc. Il n'y a pas de valeur par défaut pour cet attribut. Ce champ accepte tout attribut LDAP valide (par exemple, cn).

Attribut d'affectation de nom à un utilisateur

Une fois qu'un utilisateur s'est authentifié avec succès, son profil est récupéré. La valeur de cet attribut détermine l'attribut LDAP à utiliser pour la recherche. Par défaut, le serveur Access Manager suppose que les entrées utilisateur sont identifiées par l'attribut uid. Si Directory Server utilise un attribut différent (tel que givenname), indiquez le nom de ce dernier dans ce champ.

Langue d'authentification par défaut

Ce champ indique le sous-type de langue par défaut utilisé par le module d'authentification. La valeur par défaut est : en_US (anglais américain). Une liste des sous-types de langue valides peut être consultée dans la section Tableau 0-1 ci-dessous.


 

Pour pouvoir utiliser un paramètre régional différent, il faut d'abord créer tous les modèles d'authentification pour ce paramètre. Un nouvel annuaire doit ensuite être créé pour ces modèles. Voir le Chapitre 3 : « Authentication Service » du manuel Access Manager Developer’s Guide pour un complément d’information.


Tableau 0-1  Langues prises en charge 

Balise de la langue

Langue

af

Afrikaans

be

Biélorusse

bg

Bulgare

ca

Catalan

cs

Tchécoslovaque

da

Danois

de

Allemand

el

Grec

en

Anglais

es

Espagnol

eu

Basque

fi

Finnois

fo

Féroïen

fr

Français

ga

Irlandais

gl

Galicien

hr

Croate

hu

Hongrois

id

Indonésien

est

Islandais

it

Italien

ja

Japonais

ko

Coréen

nl

Néerlandais

non

Norvégien

pl

Polonais

pt

Portugais

ro

Roumain

ru

Russe

sk

Slovaque

sl

Slovène

sq

Albanais

sr

Serbe

sv

Suédois

tr

Turc

uk

Ukrainien

zh

Chinois

Configuration de l'authentification des organisations

Cet attribut définit le module d'authentification de l'organisation. Le module d'authentification par défaut est LDAP. Il est possible de sélectionner plusieurs modules en cliquant sur le lien Modifier. Si plusieurs modules sont sélectionnés, l’utilisateur doit s’authentifier auprès de la chaîne complète des modules sélectionnés.

Les modules configurés dans cet attribut servent à l’authentification lorsque les utilisateurs accèdent au module d’authentification à l’aide du format /server_deploy_uri/UL/Login. Consultez le manuel Access Manager Developer’s Guide pour de plus amples informations.

Activer le mode de verrouillages d'échec de connexion

Cette fonction indique si l’utilisateur peut faire une deuxième tentative d’authentification en cas d’échec de la première. La sélection de cet attribut active un verrouillage et l’utilisateur ne dispose que d’une seule tentative d’authentification. Par défaut, la fonction de verrouillage n'est pas activée. Cet attribut fonctionne conjointement avec les attributs de verrouillage et de notification.

Comptage des verrouillages d'échecs de connexion

Cet attribut définit le nombre de tentatives d'authentification autorisées pour un utilisateur dans l'intervalle défini dans le champ Intervalle de verrouillage d'échec de connexion avant verrouillage.

Intervalle de verrouillage d'échec de connexion

Cet attribut définit (en minutes) la durée entre deux échecs de connexion. Si une connexion échoue et qu’elle est suivie d’une autre tentative infructueuse dans l’intervalle de verrouillage, le comptage de verrouillages est augmenté. Sinon, il est réinitialisé.

Adresse électronique où envoyer la notification de verrouillage

Cet attribut indique une adresse électronique à laquelle une notification sera envoyée si un utilisateur est bloqué. Pour envoyer une notification à plusieurs adresses électroniques, séparez chaque adresse électronique par un espace. Pour les langues autres que l'anglais, le format est le suivant :

email_address|locale|charset

Avertir utilisateur après N échecs

Cet attribut détermine le nombre d'échecs d'authentification autorisés avant que le Access Manager n'envoie un message avertissant l'utilisateur qu'il va être bloqué.

Durée de verrouillage d'échec de connexion

Cet attribut active le verrouillage de la mémoire. Par défaut, le mécanisme de verrouillage désactive le profil utilisateur (après un échec de connexion) défini dans le Nom d’attribut de verrouillage. Si la valeur de Durée de verrouillage d’échec de connexion est supérieure à 0, le verrouillage de la mémoire et le compte utilisateur seront verrouillés pendant le temps spécifié.

Nom d'attribut de verrouillage

Cet attribut indique tout attribut LDAP devant être défini pour le verrouillage. La valeur de Nom d’attribut de verrouillage doit également être modifiée pour activer le verrouillage de ce nom d’attribut. Par défaut, Nom d’attribut de verrouillage est vide dans la console Access Manager. Les valeurs d’implémentation par défaut sont inetuserstatus (attribut LDAP) et inactive lorsque l’utilisateur est verrouillé et que Durée de verrouillage d’échec de connexion est définie sur 0.

Valeur d'attribut de verrouillage

Cet attribut indique si le verrouillage est activé ou non pour l’attribut défini dans Nom d'attribut de verrouillage. Par défaut, la valeur est définie sur inactive pour inetuserstatus.

URL par défaut de connexion réussie

Ce champ accepte une liste de plusieurs valeurs qui indiquent l’URL vers laquelle les utilisateurs sont redirigés après une authentification réussie. Le format de cet attribut est clientType|URL, bien que vous puissiez ne spécifier que la valeur de l’URL qui suppose le type par défaut HTML.

URL par défaut d'échec de connexion

Ce champ accepte une liste de plusieurs valeurs qui indiquent l’URL vers laquelle les utilisateurs sont redirigés après une authentification infructueuse. Le format de cet attribut est clientType|URL, bien que vous puissiez ne spécifier que la valeur de l’URL qui suppose le type par défaut HTML.

Classe de post-traitement de l'authentification

Ce champ permet d'indiquer la classe Java utilisée pour personnaliser la procédure d'authentification lors d'une connexion (qu'elle soit réussie ou non). Exemple :

com.abc.authentication.PostProcessClass

La classe Java doit implémenter l’interface Java suivante :

com.sun.identity.authentication.spi.AMPostAuthProcessInterface

En outre, vous devez ajouter le chemin d’accès à la classe à l’attribut Java Classpath de Web Server.

Activer le mode de génération de l'ID utilisateur

Cet attribut est utilisé par le module d'authentification d'appartenance. Lorsque ce champ est activé, le module d'appartenance est capable de générer des ID utilisateur, pendant le processus d’auto-enregistrement, pour un utilisateur particulier si l'ID existe déjà. Les ID utilisateur sont créés à partir de la classe Java spécifiée dans le champ Classe du générateur de nom d'utilisateur enfichable.

Classe du générateur de nom d'utilisateur enfichable

Ce champ permet d'indiquer la classe Java utilisée pour générer des ID utilisateur lorsque le Activer le mode de génération de l'ID utilisateur est activé.

Niveau d'authentification par défaut

La valeur du niveau d'authentification indique le degré de confiance accordé aux authentifications. Une fois l'utilisateur authentifié, cette valeur est stockée dans le jeton SSO pour la durée de la session. Quand le jeton SSO est présenté à une application à laquelle l'utilisateur veut accéder, l'application peut utiliser la valeur stockée pour déterminer si le niveau est suffisant pour accorder l'accès à l'utilisateur. Si le niveau d'authentification stocké dans un jeton SSO n'est pas suffisant, l'application peut inviter l'utilisateur à s'authentifier par l'intermédiaire d'un service doté d'un niveau d'authentification supérieur.

Le niveau d'authentification doit être défini dans le modèle d'authentification spécifique de l'organisation. La valeur du niveau d'authentification par défaut décrite ici est prise en compte seulement quand aucun niveau d'authentification n'a été spécifié dans le champ Niveau d'authentification du modèle d'authentification d'une organisation donnée. La valeur par défaut du niveau d’authentification par défaut est égale à 0. (La valeur de cet attribut n'est pas utilisée par Access Manager, mais par toute application externe qui souhaite s'en servir.)


Sommaire