Contenido    

Atributos de autenticación de certificado

Los atributos del módulo de autenticación de certificado son atributos de organización. Los valores aplicados a estos atributos en "Configuración de servicio" se convierten en los valores predeterminados para la plantilla de autenticación de certificado. Es necesario crear la plantilla de servicio después de registrar el servicio para la organización. El administrador de la organización puede cambiar los valores predeterminados después del registro. Los atributos de organización no los heredan las entradas de los árboles de la organización. Los atributos de autenticación de certificado son:

Hacer coincidir certificado en LDAP

Esta opción especifica si se comprueba que el certificado de usuario presentado al iniciar la sesión está almacenado en el servidor LDAP. Si no se encuentra ninguna coincidencia, se deniega el acceso al usuario. Si se encuentra una coincidencia y no es necesaria ninguna otra validación, se permite el acceso al usuario. El valor predeterminado es que el módulo de autenticación de certificado no compruebe si existe certificado de usuario.


Nota

Un certificado almacenado en el servidor de directorios no es necesariamente válido; puede encontrarse en la lista de revocación de certificados. Sin embargo, el contenedor web puede verificar la validez del certificado de usuario presentado en el inicio de sesión.


Atributo DN de asunto utilizado para buscar certificados en LDAP

Este campo especifica el atributo del valor SubjectDN del certificado que se va a utilizar para realizar búsquedas de certificados en LDAP. Este atributo debe identificar unívocamente a una entrada de usuario. Dicho valor se utilizará para realizar la búsqueda. El valor predeterminado es CN.

Hacer coincidir certificado con CRL

Esta opción especifica si se comprueba la presencia del certificado de usuario en la lista de revocación de certificados (CRL) del servidor LDAP. El CRL se ubica por medio de uno de los nombres de atributo en el SubjectDN del emisor. Si el certificado se encuentra en la CRL, se deniega acceso al usuario; si no es así, se permite que el usuario continúe. De forma predeterminada, este atributo no se encuentra activado.


Nota

Los certificados deben revocarse si su propietario ha cambiado de estado y ya no tiene derecho a utilizarlo o si se ha visto comprometida la seguridad de la clave privada del propietario de un certificado.


Atributo DN de emisor utilizado para buscar LDAP para CRL

Este campo especifica el atributo del valor subjectDN del emisor del certificado recibido, que se utilizará para realizar búsquedas LDAP para CRL. Este campo sólo se utiliza cuando está activado el atributo "Hacer coincidir certificado con CRL". Dicho valor se utilizará para realizar la búsqueda. El valor predeterminado es CN.

Parámetros HTTP para actualización de CRL

Estos campos especifican los parámetros http necesarios para obtener un CRL de un servlet, para una actualización de CRL. Contacte al administrador de su CA para obtener estos parámetros.

Activar validación de OCSP

Este parámetro permite que se realice la validación de OCSP poniéndose en contacto con el contestador OCSP correspondiente. El contestador OCSP se decide como sigue en el momento de la ejecución:

Si com.sun.identity.authentication.ocspCheck está definido como falso, o si com.sum.identity.authentication.ocspCheck está definido como verdadero y no se puede encontrar un contestador OCSP, no se realizará ninguna validación OCSP.


Nota

Antes de activar la validación de OCSP, asegúrese de que las horas de la máquina de Access Manager y de la máquina del contestador OCSP estén lo más sincronizadas que sea posible. Además, la hora de la máquina de Access Manager no debe estar retrasada con respecto a la hora del contestador OCSP. Por ejemplo:

Máquina del contestador OCSP - 12:00:00 pm

Máquina de Access Manager - 12:00:30 pm


Servidor LDAP donde se almacenan los certificados

Este campo especifica el nombre y el número de puerto del servidor LDAP en el que se almacenan los certificados. El valor predeterminado es el nombre de host y el puerto especificados cuando se instaló Access Manager. Puede utilizarse el nombre de host y el puerto de cualquier servidor LDAP en el que estén almacenados los certificados. El formato es nombre_de_host:puerto

DN para iniciar búsqueda de LDAP

Este campo especifica el DN del nodo en el que debe comenzar la búsqueda del certificado del usuario. No hay ningún valor predeterminado. El campo reconocerá cualquier DN válido. Las entradas múltiples deben aparecer precedidas del nombre del servidor local como prefijo. El formato es el siguiente:

nombreservidor|dn de búsqueda

Para entradas múltiples

nombreservidor1|dn de búsqueda nombreservidor2|dn de búsqueda nombreservidor3|dn de búsqueda...

Si se encuentran varios usuarios en la misma búsqueda, la autenticación fallará.

Usuario principal del servidor LDAP

Este campo acepta el DN del usuario principal para el servidor LDAP donde se almacenan los certificados. No hay ningún valor predeterminado para este campo, que reconocerá cualquier DN válido. El usuario principal debe estar autorizado para leer y buscar la información de certificado almacenada en el servidor de directorios.

Contraseña principal del servidor LDAP

Este campo incluye la contraseña LDAP asociada al usuario especificado en el campo Usuario principal del servidor LDAP. No hay ningún valor predeterminado para este campo, que reconocerá la contraseña LDAP válida para el usuario principal especificado.


Nota

Este valor se almacena en el directorio como texto que se puede leer.


Atributo LDAP para Id. de perfil

Este campo especifica el atributo de la entrada del servidor de directorios que coincide con el certificado cuyo valor debe utilizarse para identificar el perfil de usuario correcto. No hay ningún valor predeterminado para este campo, que reconocerá cualquier atributo válido en una entrada de usuario (cn, sn, etc.) que pueda utilizarse como Id. de usuario.

Use SSL para el acceso LDAP

Esta opción especifica si se utiliza SSL para acceder al servidor LDAP. El valor predeterminado es que el módulo de autenticación de certificado no utilice SSL para el acceso LDAP.

Campo de certificado utilizado para acceder al perfil de un usuario

Este menú especifica qué campo del DN de asunto del certificado debe utilizarse para buscar un perfil de usuario coincidente. Por ejemplo, si selecciona dirección de correo electrónico, el módulo de autenticación de certificado buscará el perfil de usuario que coincida con el atributo emailAddr del certificado de usuario. El usuario que inicia sesión utiliza a continuación el perfil coincidente. El campo predeterminado es CN de asunto. La lista contiene:

Otro campo de certificado utilizado para acceder al perfil de un usuario

Si el valor del atributo Campo de certificado utilizado para acceder al perfil de un usuario está definido como otro, este campo especifica el atributo que se seleccionará en el valor subjectDN del certificado recibido. El módulo de autenticación buscará el perfil de usuario que coincida con el valor de dicho atributo.

Hosts remotos de confianza

Este atributo define una lista de hosts de confianza en los que se puede confiar para enviar certificados a Access Manager. Access Manager debe verificar si el certificado emitido procede de uno de estos hosts. Esta configuración sólo se utilizará con Sun Java System Portal Server.

Este atributo admite los siguientes valores:

Número de puerto SSL

Este atributo especifica el número de puerto de SSL. Actualmente, este atributo sólo es utilizado por el servlet de la puerta de enlace. Antes de agregar o modificar un número de puerto SSL, consulte la sección “Administración de recursos en base a políticas “ en el capítulo 7 de la Guía del programador del Access Manager.

Nivel de autenticación

El nivel de autenticación se define por separado para cada método de autenticación. El valor indica en qué medida se debe confiar en una autenticación. Cuando un usuario se ha autenticado, este valor se almacena en el token SSO para la sesión. Cuando el token SSO se presenta a una aplicación a la que desea acceder el usuario, la aplicación utiliza el valor almacenado para determinar si el nivel es suficiente para permitir el acceso al usuario Si el nivel de autenticación almacenado en el token SSO no cumple el valor mínimo necesario, la aplicación puede solicitar al usuario que se vuelva a autenticar a través de un servicio con un nivel de autenticación más alto. El valor predeterminado es 0.


Nota

Si no se especifica ningún nivel de autenticación, el token SSO almacena el valor especificado en el "Nivel de autenticación predeterminado" del atributo de autenticación "Principal".



Contenido