Caixa de diálogo Diretório de usuários
2
casso128figsbrbr
HID_user-directory
2
A caixa de diálogo Diretório de usuários do
CA Single Sign-on
permite configurar uma conexão entre o servidor de políticas e um repositório de usuários. Essa caixa de diálogo contém as seguintes caixas de grupo:- GeralIdentifica o diretório de usuários.
- Configuração de diretórioIdentifica o espaço para nome (tipo de repositório de usuários), especifica o diretório ou o banco de dados que contém os dados do usuário e, se necessário, fornece informações adicionais sobre como localizar dados do usuário no diretório ou no banco de dados.O tipo de conexão do diretório de usuários escolhido determina os campos de informações que você deve preencher para uma conexão de diretório.
- Credenciais do administradorEspecifica as credenciais de administrador que o servidor de políticas usa para acessar o repositório de usuários. Para espaços para nome do LDAP, você também pode especificar se deseja ou não estabelecer conexão com o servidor LDAP por meio de uma conexão de segurança (SSL). Para o Active Directory, diretórios do WinNT e diretórios personalizados, é possível especificar se deseja usar o contexto de segurança de um usuário autenticado ao se conectar aoCA Single Sign-on.
- Configurações dodiretórioMostra as configurações do diretório de usuários em exibição. O nome dessa caixa de grupo é alterado de acordo com o tipo de diretório.
- Atributos do usuárioEspecifica os atributos de perfil de usuário que serão usados pelo servidor de políticas para armazenar dados de vários recursos doCA Single Sign-on, incluindo serviços de senha, serviços de registro e a ferramenta XPSCounter.
Caixa de diálogo Diretório de usuários — Espaço para nome ODBC
A caixa de diálogo Diretório de usuários contém as seguintes configurações padrão:
- NomeEspecifica o nome do objeto de conexão do diretório de usuários. Esse é o nome que será usado na interface administrativa para exibir o repositório de usuários.Observação:para manter o logon único em um ambiente doCA Single Sign-onque inclui vários repositórios de políticas, use o mesmo nome de diretório de usuários ao definir uma conexão de diretório. Por exemplo, se você possui uma conexão de diretório de usuários do ODBC chamada ODBC1, que você configurou no Repositório de diretivas A, e possui um segundo repositório de diretivas chamado Repositório de diretivas B, para manter o logon único, você deve configurar a conexão no Repositório de diretivas B usando o nome ODBC1.
- DescriçãoDescreve a conexão do diretório de usuários.
- Exibir conteúdosAbre a caixa de diálogo Conteúdo do diretório, que lista o conteúdo do diretório especificado.
Para obter detalhes sobre caixas de grupo individuais, consulte:
Caixa de grupo Configurações personalizadas
Na caixa de grupo Configuração de diretório, você pode selecionar o espaço para nome ODBC e identificar a origem de dados que aponta para o banco de dados que contém os dados do diretório de usuários.
- Espaço para nomeEspecifica o espaço para nome do repositório de usuários.
- Origem dos dadosEspecifica o nome da origem de dados do ODBC.Essa origem de dados deve ser configurada para que o servidor de políticas acesse o banco de dados ODBC. Em plataformas Windows, a origem de dados deve ser definida como uma origem de dados do sistema.Para inserir vários nomes de origem de dados para a tolerância a falhas, separe os nomes por vírgulas ou clique em Configurar.
- ConfigurarAbre a caixa de diálogo Configuração de tolerância a falhas do ODBC, onde você pode especificar vários bancos de dados ODBC para a tolerância a falhas.
Caixa de grupo Credenciais do administrador
A caixa de grupo Credenciais do administrador permite especificar as credenciais administrativas que o servidor de políticas usa para acessar o diretório de usuários.
- Exigir credenciaisSe essa opção for selecionada, o servidor de políticas deverá usar as credenciais especificadas ao se conectar ao diretório de usuários.
- Nome de usuárioEspecifica o nome de usuário de uma conta que possui privilégios administrativos de banco de dados. Esse usuário também deve ter as tabelas que contêm os dados do diretório de usuários.Observação:se pretender utilizar recursos doCA Single Sign-onque exigem acesso de leitura/gravação para o diretório, a conta de administrador deverá ter privilégios de leitura/gravação.
- Senha e Confirmar senhaEspecifica a senha para a conta de administrador. O servidor de políticas usa as credenciais para se conectar ao banco de dados. O servidor de políticas tem acesso a todas as informações disponíveis para o usuário especificado.
Caixa de grupo Esquema de consulta SQL
Na caixa de grupo Esquema de consulta SQL, você pode selecionar, modificar ou criar um esquema de consulta que o servidor de políticas deverá usar para a sua conexão de diretório de usuários ODBC. Um esquema de consulta SQL é que o servidor de políticas usa para criar consultas a fim de localizar dados do usuário em um banco de dados relacional. Sem um esquema de consulta SQL, o servidor de políticas não consegue corresponder os atributos em seu banco de dados ODBC com as informações de que necessita para autenticar e autorizar usuários.
- Esquema de consulta SQLEspecifica um esquema de consulta SQL a partir de uma lista com todos os objetos de esquema de consulta SQL existentes.Observação:não use a mesma origem de dados em esquemas de consulta SQL diferentes. Crie uma origem de dados exclusiva para cada esquema de consulta SQL.
- ConfigurarAbre a caixa de diálogo Esquema de consulta SQL para o esquema de consulta SQL especificado no campo Esquema de consulta SQL.
- NovoAbre a caixa de diálogo Esquema de consulta SQL para que você possa configurar um novo esquema de consulta SQL.
Caixa de grupo Atributos do usuário
Alguns recursos do
CA Single Sign-on
exigem acesso de leitura ou leitura/gravação para os atributos do diretório. Essa informação deve ser armazenada em um diretório de usuários ao qual o CA Single Sign-on
tenha acesso. Ao configurar as conexões de diretório de usuários, você deve fornecer os nomes de determinados atributos de perfil do usuário nos diretórios.Os atributos especificados devem ter tipos de dados específicos. O atributo de senha e os dados da senha exigem atributos binários, e todos os outros exigem atributos de sequência de caracteres.
Os atributos que você especificar devem:
- Existir em seu banco de dados.
- Ser do tipo correto, sequência de caracteres ou binário.
- Não devem ser usados para armazenar outros tipos de dados (somente para atributos de leitura/gravação).
Os atributos a seguir podem ser configurados:
- ID universalEspecifica o nome do atributo do diretório de usuários do ODBC que oCA Single Sign-onusa como a ID universal. A ID universal pode ser transmitida para outros aplicativos que se comunicam com oCA Single Sign-ona fim de manter a identidade do usuário. Esse recurso é usado principalmente como uma ponte entre oCA Single Sign-one os aplicativos herdados que, geralmente, usam atributos diferentes do nome de usuário, como o cadastro de pessoas físicas, para identificar o usuário.Limite: exige um atributo de sequência de caracteres.
- Sinalizador desativadoEspecifica o nome do atributo do diretório de usuários do ODBC que oCA Single Sign-onusa para rastrear usuários desativados.Limite: exige um atributo de sequência de caracteres.
- Atributo SenhaEspecifica o nome do atributo do diretório de usuários do ODBC que oCA Single Sign-ondeve usar para autenticar a senha de um usuário. O nome do atributo inserido deve corresponder ao local no diretório ODBC que contém senhas de usuário.Limite: exige um atributo binário.
- Dados da senhaEspecifica o nome do atributo do diretório de usuários que oCA Single Sign-onpode usar para dados de serviços de senha. O recurso Serviços de senha exige um local no diretório de usuários para armazenar um histórico das informações de senha do usuário.Limite: exige um atributo varchar.
Caixa de grupo Lista de mapeamentos de atributos
casso128figsbrbr
A caixa de grupo Lista de mapeamentos de atributos lista os nomes comuns que são mapeados para nomes de atributos de usuários nesse diretório de usuários. O
CA Single Sign-on
usa nomes comuns para acessar as informações do usuário que são iguais, mas armazenados de forma diferente em diretórios diferentes.A caixa de grupo Lista de mapeamentos de atributos contém os seguintes botões:
- >Abre o mapeamento selecionado no painel Mapeamento de atributos:Nome, onde você pode visualizar e modificar o mapeamento.
- -Exclui o mapeamento selecionado da Lista de mapeamentos de atributos.
- CriarAbre o painel Criar mapeamento de atributos.
Caixa de diálogo Diretório de usuários — Espaço para nome LDAP
A caixa de diálogo Diretório de usuários contém as seguintes configurações padrão:
- NomeEspecifica o nome do novo objeto de conexão do diretório de usuários. Esse é o nome que será usado na interface administrativa para exibir o repositório de usuários.Observação:para manter o logon único em um ambiente doCA Single Sign-onque inclui vários repositórios de políticas, use o mesmo nome de diretório de usuários ao definir uma conexão de diretório. Por exemplo, se você possui uma conexão de diretório de usuários do LDAP chamada LDAP1, que você configurou no Repositório de diretivas A, e possui um segundo repositório de diretivas chamado Repositório de diretivas B, para manter o logon único, você deve configurar a conexão no Repositório de diretivas B usando o nome LDAP1.
- Descrição(Opcional) Descreve a conexão do diretório de usuários.
- Exibir conteúdosAbre a caixa de diálogo Conteúdo do diretório, que lista o conteúdo do diretório especificado.
Para obter detalhes sobre caixas de grupo individuais, consulte:
- Caixa de grupo Configurações personalizadas
- Caixa de grupo Pesquisa LDAP
Caixa de grupo Configurações personalizadas
Na caixa de grupo Configuração de diretório, você pode especificar o espaço para nome do repositório de usuários, além de informações de conexão adicionais.
- Espaço para nomeEspecifica o espaço para nome do repositório de usuários. Selecione LDAP para os espaços para nome usando o SDK de LDAP do Netscape.
- ServidorEspecifica o endereço IP e o número da porta do servidor LDAP. Se você não inserir um número de porta, a porta padrão (389) será utilizada. Esse campo também lista os servidores designados para a tolerância a falhas e o balanceamento de carga. Um espaço separa cada servidor designado para a tolerância a falhas. Uma vírgula (,) separa cada servidor designado para o balanceamento de carga.
- Limites:
- Opções do Windows
- endereço IPv4
- Nome do host
Exemplo: domain1 domain2,domain3 domain4O balanceamento de carga das solicitações do servidor de políticas será entre domain1 e domain3. Se domain1 falhar, suas solicitações serão processadas por domain2. Se domain3 falhar, suas solicitações serão processadas por domain4.Observação:para obter conexões seguras entre o servidor de políticas e um repositório de usuários do LDAP via SSL, você deve especificar o número da porta nesse campo. - ConfigurarAbre a caixa de diálogo Tolerância a falhas do diretório e configuração do balanceamento de carga, na qual você pode especificar vários servidores para o balanceamento de carga e a tolerância a falhas.
- Usar o contexto de segurança do usuário autenticadoPara os repositórios de usuários do Active Directory compatíveis com LDAP para os quais deseja usar o espaço para nome LDAP, marque essa caixa de seleção para fornecer um contexto de segurança de usuário do Windows para aplicativos web executados em servidores web IIS e protegidos peloCA Single Sign-on.
- Conexão seguraSelecione essa opção para forçar uma conexão SSL quando o servidor de políticas e o diretório de usuários do LDAP se comunicarem.Observação:certifique-se de especificar a porta para SSL no campo Servidor. Certifique-se de que você também tenha especificado o local do arquivo de banco de dados do certificado no Console de gerenciamento do servidor de políticas.
Caixa de grupo Credenciais do administrador
A caixa de grupo Credenciais do administrador permite especificar as credenciais administrativas que o servidor de políticas usa para acessar o diretório de usuários do LDAP.
- Exigir credenciaisSe essa opção for selecionada, o servidor de políticas deverá usar as credenciais especificadas ao se conectar ao diretório de usuários.
- Nome de usuárioEspecifica o DN (Distinguished Name - Nome Distinto) de um usuário que possui privilégios suficientes para acessar o diretório de usuários.Exemplo: cn=Administrator
- Se uma ACL (Access Control List - Lista de Controle de Acesso) de leitura tiver sido definida para controlar o acesso à ramificação do LDAP que contém o diretório de usuários, forneça as credenciais de uma conta de administrador com acesso de leitura para essa ramificação do diretório de usuários.
- Se pretender utilizar os recursos doCA Single Sign-onque exigem acesso de leitura/gravação para o diretório, a conta de administrador deverá ter privilégios de leitura/gravação.
- Senha e Confirmar senhaEspecifica a senha para a conta de administrador. O servidor de políticas usa o DN do campo Nome de usuário e a senha do campo Senha para acessar o diretório de usuários.
Caixa de grupo Pesquisa LDAP
Na caixa de grupo Pesquisa LDAP, você pode especificar raízes de pesquisa para o servidor LDAP.
- RaizEspecifica o local na árvore LDAP que o servidor de políticas usa como ponto de partida para a conexão de diretório — normalmente, uma organização (o) ou unidade organizacional (ou). O servidor de políticas começa a pesquisa pela raiz para localizar um usuário.Observação:dependendo do fornecedor LDAP, a raiz de um repositório de usuários do LDAP é representada de várias maneiras.
- EscopoDetermina qual o detalhamento da procura do servidor de políticas por usuários na árvore do diretório do LDAP:
- Um nívelEspecifica um nível abaixo da raiz.
- SubárvoreEspecifica todos os níveis abaixo da raiz.
- Tempo máximoDefine o tempo em segundos transmitido pelo servidor de políticas para o diretório de usuários após o qual o diretório de usuários interrompe a pesquisa de resultados.Após o período de tempo especificado, o servidor de políticas para de pesquisar o diretório e retorna os registros correspondentes ou um erro.Padrão:30Observação:o tempo limite também pode ser configurado por meio da interface de usuário do diretório do LDAP. Se os períodos de tempo limite forem diferentes, o tempo limite mais curto terá preferência. Um valor igual a zero (0) não é suportado. Um valor igual a zero pode levar a deslocamento de threads indefinidamente no servidor de políticas. Considere o tempo de resposta do sistema ao definir um valor máximo.
- Máximo de resultadosEspecifica o número máximo de registros que pode ser retornado de uma única pesquisa de diretório de usuários do LDAP.Padrão: 0. O valor padrão especifica que não há limite máximo para o número de registros que pode ser retornado de uma única pesquisa de diretório de usuários do LDAP.
- Objeto do usuárioEspecifica uma sequência de caracteres que será adicionada a qualquer filtro de pesquisa do LDAP ao pesquisar um usuário. Esse atributo é opcional para o objeto de diretório.Padrão: NULO
- Classe de usuárioEspecifica uma sequência de caracteres que é um filtro de classe específico do diretório. Esse valor é opcional e substitui a configuração global no registro UserClassFilters.Padrão: NULO
Caixa de grupo Pesquisa de DN de usuário do LDAP
Na caixa de grupo Pesquisa de DN de usuário do LDAP, você pode especificar parâmetros para localizar usuários em um repositório de usuários do LDAP.
- IniciarEspecifica a sequência de caracteres de texto que atuará como o início de uma expressão de pesquisa LDAP ou de um DN de usuário. Quando um usuário tenta efetuar logon, o servidor de políticas acrescenta essa sequência de caracteres no início do nome de usuário.As expressões de pesquisa dependem da configuração de seu diretório de usuários.
- EndEspecifica a sequência de caracteres de texto que atuará como o final de uma expressão de pesquisa LDAP ou de um DN de usuário. Quando um usuário tenta efetuar logon, o servidor de políticas acrescenta essa sequência de caracteres no final do nome de usuário. A combinação da sequência de caracteres de início, do nome de usuário e da sequência de caracteres de término é usada para pesquisar o diretório de usuários do LDAP.Um exemplo da expressão de pesquisa ou do DN de usuário que o servidor de políticas usará para consultar o diretório de usuários do LDAP com base nos campos Início e Término é exibido na caixa de grupo Pesquisa de DN do usuário do LDAP.Observação:sempre que você usar a interface administrativa para atualizar os parâmetros relacionados a uma conexão LDAP, reinicie o servidor de políticas para que os novos parâmetros entrem em vigor.
Caixa de grupo Atributos do usuário
Alguns recursos do
CA Single Sign-on
exigem acesso de leitura ou leitura/gravação para os atributos do diretório. Essa informação deve ser armazenada em um diretório de usuários ao qual o CA Single Sign-on
tenha acesso. Ao configurar as conexões de diretório de usuários, você deve fornecer os nomes de determinados atributos de perfil do usuário nos diretórios.Os atributos especificados devem ter tipos de dados específicos. O atributo de senha e os dados da senha exigem atributos binários, e todos os outros exigem atributos de sequência de caracteres.
Os atributos que você especificar devem:
- Existir em seu diretório de usuários.
- Ser do tipo correto, sequência de caracteres ou binário.
- Não devem ser usados para armazenar outros tipos de dados (somente para atributos de leitura/gravação).
Os atributos a seguir podem ser configurados para diretórios do LDAP:
- ID universalEspecifica um atributo do diretório LDAP que oCA Single Sign-onusa como a ID universal.Exemplo: uid
- Sinalizador desativadoEspecifica um atributo do diretório LDAP que oCA Single Sign-onusa para rastrear usuários desativados.Exemplo: carLicenseLimite: exige um atributo de sequência de caracteres.
- Atributo SenhaEspecifica um atributo do diretório LDAP que oCA Single Sign-onusa para autenticar a senha de um usuário. O nome do atributo inserido nesse campo deve corresponder ao local no diretório LDAP que contém senhas de usuário.Exemplo: userPassword.Limite: exige um atributo binário.
- Dados da senhaEspecifica um atributo do diretório LDAP que oCA Single Sign-onusa para os dados de serviços de senha, como senhas antigas.Exemplo: audioLimite: exige um atributo binário.
- ID anônimaEspecifica um atributo de diretório LDAP que contém a ID anônima do usuário.Exemplo: displayName
- EmailEsse atributo não é usado atualmente por nenhum recurso doCA Single Sign-on.
- Desafio/respostaEspecifica um atributo do diretório LDAP que contém uma resposta que oCA Single Sign-onpode enviar de volta a um usuárioExemplo: jpegphoto
Caixa de grupo Lista de mapeamentos de atributos
casso128figsbrbr
A caixa de grupo Lista de mapeamentos de atributos lista os nomes comuns que são mapeados para nomes de atributos de usuários nesse diretório de usuários. O
CA Single Sign-on
usa nomes comuns para acessar as informações do usuário que são iguais, mas armazenados de forma diferente em diretórios diferentes.A caixa de grupo Lista de mapeamentos de atributos contém os seguintes botões:
- >Abre o mapeamento selecionado no painel Mapeamento de atributos:Nome, onde você pode visualizar e modificar o mapeamento.
- -Exclui o mapeamento selecionado da Lista de mapeamentos de atributos.
- CriarAbre o painel Criar mapeamento de atributos.
Caixa de diálogo Diretório de usuários — Espaço para nome Personalizado
A caixa de diálogo Diretório de usuários contém as seguintes configurações padrão:
- NomeEspecifica o nome do objeto de conexão do diretório de usuários. Esse é o nome que será usado na interface administrativa para exibir o repositório de usuários.Observação:para manter o logon único em um ambiente doCA Single Sign-onque inclui vários repositórios de políticas, use o mesmo nome de diretório de usuários ao definir uma conexão de diretório. Por exemplo, se você possui uma conexão de diretório de usuários do ODBC chamada ODBC1, que você configurou no Repositório de diretivas A, e possui um segundo repositório de diretivas chamado Repositório de diretivas B, para manter o logon único, você deve configurar a conexão no Repositório de diretivas B usando o nome ODBC1.
- DescriçãoDescreve a conexão do diretório de usuários.
- Exibir conteúdosAbre a caixa de diálogo Conteúdo do diretório, que lista o conteúdo do diretório especificado.
Para obter detalhes sobre caixas de grupo individuais, consulte:
Caixa de grupo Configurações personalizadas
Na caixa de grupo Configuração de diretório, você deve inserir o caminho e o nome da biblioteca personalizada, além de configurações adicionais de conexão.
- Espaço para nomeEspecifica o espaço para nome do diretório de usuários.
- BibliotecaEspecifica a biblioteca compartilhada para a conexão de diretório personalizada. Você pode especificar a biblioteca compartilhada usando um dos métodos a seguir:
- Se a biblioteca estiver localizada em um diretório do Windows ou do UNIX do servidor de políticas, Bin e lib, respectivamente, você poderá especificar o nome da biblioteca sem uma extensão de arquivo.Exemplo: você pode compilar o arquivo de amostra da API de diretório, colocar a biblioteca em um dos diretórios do servidor de políticas e digitarsmdirapi.
- Se a biblioteca estiver localizada em qualquer outro local, especifique o caminho completo para a biblioteca, incluindo o nome da biblioteca, sem uma extensão de arquivo.Exemplo: D:\CustomLibraries\MyLib
- Usar o contexto de segurança do usuário autenticado(Opcional) Permite que oCA Single Sign-onforneça um contexto de segurança de usuário do Windows para os aplicativos web executados em servidores web IIS e protegidos peloCA Single Sign-on.
- Conexão segura(Opcional) Força uma conexão SSL quando o servidor de políticas e o diretório de usuários do LDAP se comunicarem.Observação:para conexões SSL, certifique-se de que você tenha especificado o local do arquivo de banco de dados do certificado no Console de gerenciamento do servidor de políticas.
Caixa de grupo Credenciais do administrador
A caixa de grupo Credenciais do administrador permite especificar as credenciais administrativas que o servidor de políticas usa para acessar o diretório de usuários.
- Exigir credenciaisSe essa opção for selecionada, o servidor de políticas deverá usar as credenciais especificadas ao se conectar ao diretório de usuários.
- Nome de usuárioDefine o nome de usuário de um administrador do diretório de usuários. O servidor de políticas usa esse nome ao se conectar ao diretório de usuários.
- Senha e Confirmar senhaDefine a senha de administrador.
Caixa de grupo Configuração de diretório
Na caixa de grupo Configurações personalizadas, você deve inserir os parâmetros e os tempos limite para a conexão de diretório de usuários.
- ParâmetroEspecifica os parâmetros necessários.Os requisitos da biblioteca compartilhada criada com as APIs doCA Single Sign-ondeterminam os parâmetros exigidos pelo servidor de políticas para a conexão personalizada do diretório de usuários.Por exemplo, com o uso de APIs de terceiros, você pode ter compilado uma biblioteca compartilhada que as APIs doCA Single Sign-onprecisam chamar. Você pode usar o campo Parâmetro para especificar a biblioteca de terceiros.
- Tempo máximoEspecifica a quantidade máxima de tempo, em segundos, que o servidor de políticas procura por resultados no diretório de usuários. Se o servidor de políticas não conseguir localizar a conexão, ele retornará uma mensagem de erro.
- Máximo de resultadosEspecifica o número máximo de resultados que o servidor de políticas pode retornar ao pesquisar o diretório de usuários. Quando o servidor de políticas pesquisa o diretório de usuários, os resultados da pesquisa são limitados a esse valor.
Caixa de grupo Atributos do usuário
Alguns recursos do
CA Single Sign-on
exigem acesso de leitura ou leitura/gravação para os atributos do diretório. Essa informação deve ser armazenada em um diretório de usuários ao qual o CA Single Sign-on
tenha acesso. Ao configurar as conexões de diretório de usuários, você deve fornecer os nomes de determinados atributos de perfil do usuário nos diretórios.Os atributos especificados devem ter tipos de dados específicos. O atributo de senha e os dados da senha exigem atributos binários, e todos os outros exigem atributos de sequência de caracteres.
Os atributos que você especificar devem:
- Existir em seu diretório de usuários.
- Ser do tipo correto (sequência de caracteres, binário)
- Não devem ser usados para armazenar outros tipos de dados (somente para atributos de leitura/gravação).
Os campos a seguir podem estar disponíveis, com base na biblioteca para sua conexão personalizada de diretório de usuários:
- ID universalEspecifica o nome do atributo que oCA Single Sign-onusa como a ID universal. A ID universal pode ser transmitida para outros aplicativos que se comunicam com oCA Single Sign-ona fim de manter a identidade do usuário. Esse recurso é usado principalmente como uma ponte entre oCA Single Sign-one os aplicativos herdados que, geralmente, usam atributos diferentes do nome de usuário, como o cadastro de pessoas físicas, para identificar o usuário.Exemplo: para testar a amostra da API do diretório, insiralogon.
- Sinalizador desativadoEspecifica o nome do atributo do diretório de usuários que possui o estado desativado do usuário. O nome do atributo inserido deve corresponder ao local no diretório que contém o sinalizador desativado.Exemplo: para testar a amostra da API do diretório, insiradesativado.Limite: exige um atributo de sequência de caracteres.
- Atributo SenhaEspecifica o nome do atributo do diretório de usuários que oCA Single Sign-ondeve usar para autenticar a senha de um usuário. O nome do atributo inserido deve corresponder ao local no diretório que contém senhas de usuário.Exemplo: para testar a amostra da API do diretório, insirasenha.Limite: exige um atributo binário.
- Dados da senhaEspecifica o nome do atributo do diretório de usuários que oCA Single Sign-onpode usar para dados de serviços de senha. O recurso Serviços de senha doCA Single Sign-onexige um local no diretório de usuários para armazenar um histórico das informações de senha do usuário.Limite: exige um atributo binário.
- ID anônimaEspecifica o nome do atributo no diretório de usuários que contém a ID anônima do usuário. Para sites doCA Single Sign-onque permitem o logon anônimo, os usuários podem acessar os recursos fazendo autenticação com uma ID anônima estabelecida por um esquema de autenticação anônimo. Quando um usuário efetua logon usando um esquema anônimo, oCA Single Sign-onarmazena o DN especificado como o valor do atributo especificado no campo ID anônima.
- Desafio/respostaEspecifica o nome do atributo no diretório de usuários que contém uma resposta que oCA Single Sign-onpode enviar de volta a um usuário. Esse atributo de diretório de usuários contém as informações de desafio e resposta usadas nos serviços de senha. Se os usuários esquecerem suas senhas, oCA Single Sign-onusará esse atributo para determinar a dica de senha que deve ser retornada aos usuários.
Caixa de grupo Lista de mapeamentos de atributos
casso128figsbrbr
A caixa de grupo Lista de mapeamentos de atributos lista os nomes comuns que são mapeados para nomes de atributos de usuários nesse diretório de usuários. O
CA Single Sign-on
usa nomes comuns para acessar as informações do usuário que são iguais, mas armazenados de forma diferente em diretórios diferentes.A caixa de grupo Lista de mapeamentos de atributos contém os seguintes botões:
- >Abre o mapeamento selecionado no painel Mapeamento de atributos:Nome, onde você pode visualizar e modificar o mapeamento.
- -Exclui o mapeamento selecionado da Lista de mapeamentos de atributos.
- CriarAbre o painel Criar mapeamento de atributos.
Caixa de diálogo Diretório de usuários — Espaço para nome AD
A caixa de diálogo Diretório de usuários contém as seguintes configurações padrão:
- NomeEspecifica o nome da nova conexão do Active Directory.Observação:para manter o logon único em um ambiente doCA Single Sign-onque inclui vários repositórios de políticas, use o mesmo nome de diretório de usuários ao definir uma conexão de diretório. Por exemplo, se você possui uma conexão de diretório de usuários do AD chamada AD1, que você configurou no Repositório de diretivas A, e possui um segundo repositório de diretivas chamado Repositório de diretivas B, para manter o logon único, você deve configurar a conexão no Repositório de diretivas B usando o nome AD1.
- DescriçãoDescreve a conexão do diretório de usuários.
- Exibir conteúdosAbre a caixa de diálogo Conteúdo do diretório, que lista o conteúdo do diretório especificado.
Para obter detalhes sobre caixas de grupo individuais, consulte:
Caixa de grupo Configuração de diretório, AD
Especifique as informações que o servidor de políticas deve usar para se conectar ao diretório do Active Directory na caixa de grupo Configuração de diretório.
- Espaço para nomeEspecifica o espaço para nome do repositório de usuários. Para os diretórios que usam o Microsoft SDK, selecione AD.
- ServidorEspecifica o endereço IP e número da porta ou o nome de domínio totalmente qualificado do servidor do AD. Se você não inserir um número de porta, a porta padrão (389) será utilizada.Para obter conexões seguras do servidor de políticas para um espaço para nome AD via SSL, você deve especificar o nome de domínio totalmente qualificado e o número da porta nesse campo.Se você especificar apenas o endereço IP, em vez do nome de domínio totalmente qualificado, um erro semelhante ao seguinte será exibido nos logs:error 29, "User Directory Can Not be Contacted"Um relatório também será exibido no log de eventos do Windows informando que o certificado não corresponde ao nome do servidor.
- ConfigurarAbre a caixa de diálogo Tolerância a falhas do diretório e configuração do balanceamento de carga, na qual você pode especificar vários servidores para o balanceamento de carga e a tolerância a falhas.
- Conexão seguraSe selecionada, força uma conexão SSL quando o servidor de políticas e o Active Directory se comunicarem.Observação:certifique-se de especificar a porta para SSL no campo Servidor. Certifique-se de que você também tenha especificado o local do arquivo de banco de dados do certificado no Console de gerenciamento do servidor de políticas.
- Usar o contexto de segurança do usuário autenticadoSe selecionada, essa opção fornece um contexto de segurança de usuário do Windows para os aplicativos web executados em servidores web IIS e protegidos peloCA Single Sign-on.
Caixa de grupo Credenciais do administrador
A caixa de grupo Credenciais do administrador permite especificar as credenciais administrativas que o servidor de políticas deve usar para acessar o Active Directory.
- Exigir credenciaisSe essa opção for selecionada, o servidor de políticas deverá usar as credenciais especificadas para se conectar ao diretório de usuários.
- Nome de usuárioEspecifica o DN (Distinguished Name - Nome Distinto) de um usuário administrativo que possui privilégios suficientes para acessar o diretório de usuários.Observação:para o Active Directory, é necessário inserir um DN completo.Exemplo:cn=,cn= ,dc= ,dc=,dc=
- Senha e Confirmar senhaEspecifica a senha de administrador. O servidor de políticas usa o DN e a senha para acessar o diretório do usuários.
Caixa de grupo Pesquisa LDAP
Na caixa de grupo Pesquisa LDAP, você deve especificar as raízes de pesquisa.
- RaizEspecifica a raiz do Active Directory que o servidor de políticas usa como ponto de partida para a conexão de diretório.Para o Active Directory, a raiz normalmente terá o seguinte formato:dc=,dc= ,dc=Por exemplo, dc=server,dc=myorg,dc=org
- EscopoEspecifica qual o detalhamento da procura do servidor de políticas por usuários na árvore do diretório:
- Um nívelIndica um nível abaixo da raiz.
- SubárvoreEspecifica todos os níveis abaixo da raiz.
- Tempo máximoDefine o tempo em segundos transmitido pelo servidor de políticas para o diretório de usuários após o qual o diretório de usuários interrompe a pesquisa de resultados.Após o período de tempo especificado, o diretório de usuários para de pesquisar e retorna os registros correspondentes ou um erro.Padrão:30Observação:o tempo limite também pode ser configurado por meio da interface de usuário do Active Directory. Se os períodos de tempo limite forem diferentes, o tempo limite mais curto terá preferência. Um valor igual a zero (0) não é suportado. Um valor igual a zero pode levar a travamentos de threads indefinidamente no servidor de políticas. Considere o tempo de resposta do sistema ao definir um valor máximo.
- Máximo de resultadosEspecifica o número máximo de registros que pode ser retornado de uma única pesquisa de diretório de usuários do LDAP.O valor padrão para esse campo é 0, o que indica que não há limite máximo para o número de registros que pode ser retornado de uma única pesquisa do diretório de usuários do LDAP.
Caixa de grupo Pesquisa de DN de usuário do LDAP
Na caixa de grupo Pesquisa de DN de usuário do LDAP, você pode especificar parâmetros para localizar usuários em um repositório de usuários.
- IniciarEspecifica a sequência de caracteres de texto que atuará como o início de uma expressão de pesquisa do Active Directory (LDAP) ou de um DN de usuário. Quando um usuário tenta efetuar logon, o servidor de políticas acrescenta essa sequência de caracteres no início do nome de usuário.As expressões de pesquisa dependem da configuração de seu diretório de usuários.
- EndEspecifica a sequência de caracteres de texto que atuará como o final de uma expressão de pesquisa do Active Directory (LDAP) ou de um DN de usuário. Quando um usuário tenta efetuar logon, o servidor de políticas acrescenta essa sequência de caracteres no final do nome de usuário. A combinação da sequência de caracteres de início, do nome de usuário e da sequência de caracteres de término é usada para pesquisar o diretório de usuários do LDAP.Observação:sempre que você usar a interface administrativa para atualizar os parâmetros relacionados a uma conexão LDAP, reinicie o servidor de políticas para que os novos parâmetros entrem em vigor.
Caixa de grupo Atributos do usuário
Alguns recursos do
CA Single Sign-on
exigem acesso de leitura ou leitura/gravação para os atributos do diretório. Essa informação deve ser armazenada em um diretório de usuários ao qual o CA Single Sign-on
tenha acesso. Ao configurar as conexões de diretório de usuários, você deve fornecer os nomes de determinados atributos de perfil do usuário nos diretórios.Os atributos especificados devem ter tipos de dados específicos. O atributo de senha e os dados da senha exigem atributos binários, e todos os outros exigem atributos de sequência de caracteres.
Os atributos que você especificar devem:
- Existir em seu diretório de usuários.
- Ser do tipo correto (sequência de caracteres, binário)
- Não devem ser usados para armazenar outros tipos de dados (somente para atributos de leitura/gravação).
Os atributos a seguir podem ser configurados:
- ID universalEspecifica um atributo do Active Directory que oCA Single Sign-onusa como a ID universal.Exemplo: uid.
- Sinalizador desativadoEspecifica um atributo do Active Directory que oCA Single Sign-onusa para rastrear usuários desativados.Exemplo: carLicenseLimite: exige um atributo de sequência de caracteres.
- Atributo SenhaEspecifica um atributo do Active Directory que oCA Single Sign-onusa para autenticar a senha de um usuário. O nome do atributo inserido nesse campo deve corresponder ao local no diretório LDAP que contém senhas de usuário.Exemplo: unicodePwdLimite: exige um atributo binário.
- Dados da senhaEspecifica um atributo do Active Directory que oCA Single Sign-onusa para os dados de serviços de senha, como senhas antigas.Exemplo: audioLimite: exige um atributo binário.
- ID anônimaEspecifica um atributo do Active Directory que contém a ID anônima do usuário.Exemplo: displayName
- EmailEsse atributo não é usado atualmente por nenhum recurso doCA Single Sign-on.
- Desafio/respostaEspecifica um atributo do Active Directory que contém uma resposta que oCA Single Sign-onpode enviar de volta a um usuário.Exemplo: jpegphoto
Caixa de grupo Lista de mapeamentos de atributos
casso128figsbrbr
A caixa de grupo Lista de mapeamentos de atributos lista os nomes comuns que são mapeados para nomes de atributos de usuários nesse diretório de usuários. O
CA Single Sign-on
usa nomes comuns para acessar as informações do usuário que são iguais, mas armazenados de forma diferente em diretórios diferentes.A caixa de grupo Lista de mapeamentos de atributos contém os seguintes botões:
- >Abre o mapeamento selecionado no painel Mapeamento de atributos:Nome, onde você pode visualizar e modificar o mapeamento.
- -Exclui o mapeamento selecionado da Lista de mapeamentos de atributos.
- CriarAbre o painel Criar mapeamento de atributos.