Configuração de mapeamentos de identidades

Os mapeamentos de identidades fornecem um método aprimorado de mapeamento de usuários de um diretório de origem para um diretório de destino usando critérios de pesquisa personalizados. Você pode usar mapeamentos de identidades para autorização e validação de usuário.
casso1283
Os mapeamentos de identidades fornecem um método aprimorado de mapeamento de usuários de um diretório de origem para um diretório de destino usando critérios de pesquisa personalizados. Você pode usar mapeamentos de identidades para autorização e validação de usuário.
Observação:
 o vídeo faz referência ao nome do produto como CA SiteMinder, o antigo nome do Symantec
SiteMinder
.

O mapeamento de identidade fornece os dois seguintes métodos de mapeamento:
  • Mapeamento de autorização (o padrão)
  • Mapeamento de validação
Tanto o mapeamento de autorização quanto o mapeamento de validação estão disponíveis apenas para proteção com base em domínio, mas não para proteção de modelo de aplicativo.
Os mapeamentos de identidades permitem a pesquisa personalizada e que você controle a ordem das regras de mapeamento usando diferentes objetos de entrada de mapeamento de identidades. O servidor de políticas tenta primeiro localizar um usuário com o mecanismo de mapeamento definido em um mapeamento de identidade. Se o mapeamento falhar, o diretório de usuários da sessão será usado para localizar o usuário. O diretório de sessão deve estar no repositório de políticas para que o servidor de políticas seja padronizado para esse diretório.
Para o mapeamento de validação, o diretório de autenticação não precisa estar no repositório local.
2
Diretórios suportados para mapeamentos de identidades
A tabela a seguir lista os mapeamentos de diretórios suportados e o método disponível para mapear o diretório de autenticação para o diretório de autorização ou validação.
Diretório de autorização/diretório de validação
Diretório de autenticação
LDAP
Banco de dados relacional
AD
LDAP
DN idêntico
ID universal
Pesquisa personalizada
ID universal
Pesquisa personalizada
DN idêntico
ID universal
Pesquisa personalizada
AD
DN idêntico
ID universal
Pesquisa personalizada
ID universal
Pesquisa personalizada
DN idêntico
ID universal
Pesquisa personalizada
Banco de dados relacional
ID universal
Pesquisa personalizada
DN idêntico
ID universal
Pesquisa personalizada
ID universal
Pesquisa personalizada
O servidor de políticas oferece suporte ao namespace do AD como diretório de autorização/validação para o mapeamento de identidade, da release 12.52 SP1 CR05 em diante.
Tipos de entrada do mapeamento de identidade
Um mapeamento de identidades pode conter uma ou mais entradas. Uma entrada de mapeamento de identidade define uma regra que especifica como localizar um usuário no diretório de destino. Para localizar o usuário no diretório de destino, o servidor de políticas usa o critério de pesquisa com base nas informações do ticket da sessão.
Um mapeamento de identidade pode conter mais de um diretório de usuários de destino. Você pode adicionar entradas para diferentes diretórios de usuários de destino no mesmo objeto de mapeamento de identidade. As entradas do mapeamento de identidade são processadas como uma lista ordenada de mapeamentos.
Os dois tipos de entrada do mapeamento de identidade são:
  • Entrada do mapeamento de identidade de autorização
    Especifica os links para os diretórios de origem e de destino. Se os links não estiverem disponíveis, o diretório de autenticação será usado para autorização. Você pode selecionar um DN idêntico, uma ID universal ou especificar critérios de pesquisa personalizados.
  • Entrada do mapeamento de identidade de validação
    Especifica o nome do diretório de origem como uma sequência de caracteres de texto e um link para o diretório de destino. É possível fornecer o nome do diretório de origem ou selecionar o valor padrão, o diretório de usuários SMSESSION. O valor padrão denota que o diretório de usuários dentro do ticket da sessão é usado para validação. Se não houver um link para o diretório de destino, o diretório de autenticação será usado para validação. Você pode selecionar um DN idêntico, uma ID universal ou especificar um atributo de pesquisa personalizado.
Como usar expressões de pesquisa de usuário complexas
Você pode mapear um diretório de autenticação para um diretório de autorização ou um diretório de validação usando critérios de pesquisa de usuário complexos. Um critério de pesquisa de usuário é uma combinação de atributos. O atributo pode ser de um diretório de origem ou de destino.
Normalmente, o critério de pesquisa de usuário é específico do diretório de usuários. Por exemplo, um critério de pesquisa de usuário com base em ODBC pode ser diferente de um critério de pesquisa de usuário com base em LDAP.
Para oferecer suporte a diretórios de usuários em diferentes namespaces, defina os critérios de pesquisa para cada diretório de usuários. Também é possível definir um mapeamento de atributo de diretório de usuários para o diretório de usuários de destino. Cada diretório de usuários precisa definir seu próprio critério de pesquisa específico para o mapeamento de atributo. O mapeamento de atributo de diretório de usuários permite definir critérios de pesquisa específicos do diretório de usuários.
Como configurar um mapeamento de identidade de autorização
A configuração de um mapeamento de identidade de autenticação-autorização é um processo de duas etapas:
  1. Configurar um mapeamento de identidade de autorização
  2. Atribuir um mapeamento de identidade de autorização a um realm
Configurar um mapeamento de identidade de autorização
Para autenticar usuários em um diretório e autorizar usuários em outro diretório, configure um mapeamento de identidade.
Siga estas etapas
:
  1. Clique em Infraestrutura, Diretório.
  2. Clique em Mapeamentos de identidades.
  3. Clique em Criar mapeamento de identidade.
  4. Especifique um nome e uma descrição para o mapeamento.
  5. Selecione o tipo de mapeamento como Autenticação-Autorização.
  6. Clique em Criar entrada.
  7. Especifique um nome para a entrada de mapeamento de identidade.
  8. Selecione os diretórios de origem e de destino nas respectivas listas.
  9. Selecione uma das opções a seguir como um critério de pesquisa de usuário:
    • DN idêntico
      Mapeia o DN (Distinguished Name - Nome Diferenciado) de um usuário do diretório de autenticação para o diretório de validação.
    • ID universal
      Corresponde o valor do atributo de ID universal do diretório de autenticação com o valor de ID universal do diretório de validação.
    • Pesquisa personalizada
      Especifica os atributos do diretório de destino e do diretório de origem. O atributo do diretório de origem pode ser um atributo especificado pelo usuário ou um atributo de sessão do
      SiteMinder
      .
  10. Clique em OK.
    A entrada do mapeamento de identidade é adicionada ao objeto do mapeamento de identidade de autorização.
  11. Clique em Submit.
    O objeto do mapeamento de identidade de autorização é configurado.
Atribuir um mapeamento de identidade de autorização a um realm
Atribua um mapeamento de identidade de autorização a um realm. O servidor de políticas usa o mapeamento de autorização especificado no realm para autorizar os usuários.
Siga estas etapas
:
  1. Clique em Políticas, Domínio, Realms.
    A página Realms é exibida.
  2. Selecione o realm que deseja modificar.
  3. Clique em Modificar.
  4. Selecione o mapeamento de identidade que deseja usar como o diretório de autorização na lista Mapeamento de autorização.
  5. Clique em Submit.
    O mapeamento de identidade de autorização é atribuído ao realm selecionado.
Configurar um mapeamento de identidade de validação
A configuração de um mapeamento de identidade de autenticação e validação é um processo de duas etapas:
  1. Configurar um mapeamento de identidade de validação.
  2. Atribuir um mapeamento de identidade de validação a um realm.
Você pode criar mapeamentos de validação para diretórios dentro do mesmo repositório. O diretório de origem não precisa estar no repositório local.
Configurar um mapeamento de identidade de validação
Configure um mapeamento de identidade para autenticar usuários em um diretório e validar usuários em outro diretório.
Siga estas etapas
:
  1. Clique em Infraestrutura, Diretório.
  2. Clique em Mapeamentos de identidades.
  3. Clique em Criar mapeamento de identidade.
  4. Digite o nome e a descrição.
  5. Selecione o tipo de mapeamento como Autenticação-Validação.
  6. Clique em Criar entrada.
  7. Digite o nome.
  8. Especifique um diretório de origem se o diretório não estiver dentro da sessão.
  9. Selecione o diretório de destino.
  10. Selecione um critério de pesquisa de usuário.
    Se você selecionar Pesquisa personalizada, especifique os atributos em Diretório de destino e Diretório de origem. O atributo do diretório de origem pode ser um atributo especificado pelo usuário ou um atributo de sessão do
    SiteMinder
    Para um atributo especificado pelo usuário, o servidor de políticas que recebe a solicitação de validação deve conter um diretório de usuários de origem com os seguintes critérios:
    • O diretório de usuários de origem deve ter o mesmo nome ou OID que o diretório que está presente em SMSESSION
    • O DN do usuário deve corresponder ao DN do usuário que está presente em SMSESSION
  11. Clique em OK.
    A entrada do mapeamento de identidade é adicionada ao objeto do mapeamento de identidade de validação.
  12. Clique em Submit.
    O objeto do mapeamento de identidade de validação é configurado.
Atribuir um mapeamento de identidade de validação a um realm
Atribua um mapeamento de identidade de validação a um realm. O servidor de políticas usa o mapeamento de diretório de validação especificado no realm para autorizar os usuários.
Siga estas etapas
:
  1. Clique em Políticas, Domínio, Realms.
  2. Selecione o realm que deseja modificar.
  3. Clique em Modificar.
  4. Selecione o mapeamento de identidade que deseja usar como o diretório de autorização na lista Mapeamento de validação.
  5. Clique em Submit.
    O mapeamento de identidade de validação é atribuído ao realm selecionado.
Configurar um mapeamento de diretório de validação global padrão
Um único mapeamento de identidade de validação pode servir como o padrão global para o mapeamento de validação. A definição de um mapeamento de identidade de validação global poupa tempo, pois não é necessário definir um para cada realm. No entanto, você pode substituir o mapeamento de identidade de validação global por um mapeamento local.
Siga estas etapas
:
  1. Clique em Políticas, Global.
  2. Clique em Selecionar mapeamento de diretório de validação global.
    A página Selecionar mapeamento de diretório de validação global é exibida.
  3. Selecione um objeto de mapeamento de identidade de validação na lista correspondente.
  4. Clique em Submit.
    O objeto do mapeamento de identidade de validação selecionado é definido como o padrão global para o mapeamento de validação.
Para obter informações sobre os logs de mapeamento de identidade, consulte o arquivo smtracedefault.log.