Referência à caixa de diálogo Realm
Na caixa de diálogo Realm, é possível configurar realms. Essa caixa de diálogo contém as seguintes seções:
casso128figsbrbr
HID_realm
Na caixa de diálogo Realm, é possível configurar realms. Essa caixa de diálogo contém as seguintes seções:
Caixa de diálogo Realm — Seção Geral
A seção Geral identifica o realm. As configurações são:
- NomeDefine o nome do realm.
- DescriçãoDescreve o realm.
Caixa de diálogo Realm - Seção Recurso
É na seção Recurso que você pode especificar informações de recurso para o realm.
Não crie um realm cujo filtro de recursos e agente sejam iguais ao agente e ao filtro de recursos especificados em um realm existente. Em geral, a interface de usuário o impede de fazer isso, mas a combinação de dois agentes ou dois filtros de recursos que pareçam diferentes como sequências de caracteres, mas resolvem de maneira idêntica, pode evitar algoritmos de validação do servidor de políticas.
Estas são as configurações:
- AgenteEspecifica o nome do agente ou grupo de agentes que protegerá os recursos no realm.
- Botão de elipseAbre a caixa de diálogo Definir agente/grupo, na qual você pode selecionar um agente ou grupo de agentes a partir de uma lista de todos os objetos existentes ou pode pesquisá-lo por nome.
- Filtro de recursosEspecifica o caminho para o filtro de recursos. Esse campo funciona como uma raiz para a localização de recursos.Todo recurso no servidor protegido pelo agente que corresponder ao filtro de recursos será incluído no realm ao qual você está se conectando. Por exemplo,/marketing/indica que o novo realm incluirá apenas os recursos localizados no diretório /marketing/ do servidor protegido pelo agente ou grupo de agentes.Observação:os caracteres de asterisco (*) e ponto de interrogação (?) são tratados como caracteres literais em filtros de recursos (e não curingas).
- Recurso vigente(Informativo) Exibe o agente e o recurso protegido pelo realm.
- Proteção do recurso padrão
- ProtegidoIndica que os recursos no realm não estão protegidos peloSingle Sign-On. Para permitir o acesso a esse recurso, crie uma regra e vincule-a a uma diretiva que permita acesso por usuários e grupos. O botão de opção Protegido é selecionado por padrão.Pode haver uma pequena diferença entre a hora da criação do realm e a hora em que o servidor de políticas começa a proteger o realm. Os agentes web pesquisam o servidor de políticas em busca de alterações em um intervalo fixo (por padrão, 30 segundos). Por padrão, o servidor de políticas pode levar até um minuto para reconhecer o realm. Em vez de esperar, você pode reiniciar o servidor de políticas para que ele reconheça o novo realm imediatamente.
- DesprotegidoIndica que os recursos no realm não estão protegidos por padrão. Os recursos no realm podem ser protegidos se você criar uma regra e vinculá-la a uma diretiva.
- Esquema de autenticaçãoEspecifica o esquema de autenticação que protege o realm.
Caixa de diálogo Realm - Seção Regras
A seção Regras permite listar as regras existentes vinculadas ao realm, além de criar novas regras.
- NomeIdentifica a regra.
- DescriçãoDescreve a regra.
- RecursoEspecifica o recurso que a regra protege.
- AçõesEspecifica a ação do agente web ou o evento que dispara a regra.
- AtivadoEspecifica se as regras estão ativadas ou desativadas.
- CriarAbre a caixa de diálogo Regras.
Caixa de diálogo Realm - Seção Sub-realms
A seção Sub-realms permite configurar os realms aninhados.
- NomeIdentifica o realm aninhado.
- Filtro de recursosExibe o filtro de recursos.
- Criar sub-realmAbre o painel Criar realm no qual é possível criar um realm. Um realm criado dessa maneira é aninhado sob o realm.
Caixa de diálogo Realm — Seção Sessão
Na seção Sessão, é possível definir tempos limite de sessão, escolher sessões persistentes ou não persistentes e ativar ou desativar a auditoria síncrona para o realm.
O tempo limite da sessão baseia-se na sessão estabelecida quando um usuário se autentica em um realm. Se um usuário acessar um recurso em outro realm, o servidor de políticas manterá a sessão do usuário. Por exemplo, se um usuário se autenticar no RealmA, que tem um limite de tempo de sessão de 30 minutos, e acessar um recurso no RealmB 15 minutos depois, independentemente de o tempo limite da sessão do RealmB, a sessão do usuário expirará nos próximos 15 minutos. Se você quiser alterar esse comportamento padrão, é possível criar respostas para substituir os valores de tempo limite da sessão.
- Tempo limite máximoSe ativado, determina a quantidade máxima de tempo que uma sessão de usuário pode ficar ativa antes que o agente solicite que o usuário se autentique novamente.Observação:é possível ignorar essa configuração usando o atributo de resposta WebAgent-OnAuthAccept-Session-Max-Timeout.Essa configuração é ativada por padrão. Para especificar nenhum período máximo de sessão, desmarque a caixa de seleção. O período máximo de sessão padrão é duas horas.
- HorasEspecifica o valor de horas para o período máximo de sessão.
- MinutosEspecifica o valor de minutos para o período máximo de sessão.Para usar esse recurso com o esquema de autenticação Básico, o agente web deve ser configurado para exigir cookies.
- Tempo limite ociosoSe ativado, determina a quantidade de tempo que uma sessão de usuário autorizada pode ficar inativa antes que o agente a encerre. Se você estiver preocupado com os usuários que deixam suas estações de trabalho depois de acessar um recurso protegido, defina o tempo limite de ociosidade como um período mais curto. Se o tempo limite da sessão for atingido, o usuário deverá se autenticar novamente antes de acessar os recursos no realm.Essa configuração é ativada por padrão. Para especificar nenhum limite de tempo de ociosidade de sessão, desmarque a caixa de seleção. O tempo limite de ociosidade padrão é uma hora.Observaçãoa sessão realmente expira dentro de um determinado período de manutenção após o valor de tempo limite de ociosidade especificado. O período de tempo extra é determinado pelo número de segundos especificado na seguinte chave do Registro:HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder\CurrentVersion\SessionServer\MaintenancePeriodPadrão: 60 segundos.Por exemplo, se você definir o tempo limite de ociosidade como 10 minutos e usar o valor padrão da configuração do Registro MaintenancePeriod, o período mais longo antes de uma sessão atingir o tempo limite devido à inatividade será 11 minutos (tempo limite especificado + período de manutenção).Para usar esse recurso com o esquema de autenticação Básico, o agente web deve ser configurado para exigir cookies.Observação:esteja ciente do seguinte:
- Para sessões persistentes, o tempo limite de ociosidade deve ser ativado e definido como um valor maior do que o especificado para o período de validação.
- É possível ignorar essa configuração usando o atributo de resposta WebAgent-OnAuthAccept-Session-Idle-Timeout. Um valor igual a zero indica que a sessão não será encerrada devido à inatividade.
- HorasEspecifica o valor de horas para o período de tempo limite de ociosidade.
- MinutosEspecifica o valor de minutos para o período de tempo limite de ociosidade.
- Sessão persistenteObservação:para verificar essas configurações, ative o servidor da sessão usando o Console de gerenciamento do servidor de políticas.
- Não persistenteEspecifica que as sessões nesse realm não são persistentes. As sessões de usuário são rastreadas por meio de cookies.
- PersistenteEspecifica que as sessões nesse realm são persistentes. As sessões de usuário são rastreadas no repositório de sessões e em cookies opcionais.Se você selecionar essa opção, a opção Tempo limite de ociosidade ativadodeveráser definida. Além disso, é possível especificar um período de validação.Se você configurar um ou mais realms para usar sessões persistentes, você deverá garantir que o servidor da sessão esteja ativado e configurado.
- Período de validaçãoObservação: para verificar essas configurações, ative o servidor da sessão usando o Console de gerenciamento do servidor de políticas e ative a opção Sessão persistente (acima).Se ativado, determina o período durante o qual o agente armazena em cache o resultado de uma chamada de validação de sessão para o servidor de políticas. As chamadas de validação de sessão executam duas funções: informar ao servidor de políticas que um usuário ainda está ativo e verificar se a sessão de usuário ainda está válida. As chamadas de validação de sessão informam o servidor de políticas que um usuário está ativo e confirmam se a sessão do usuário é válida. Se desativado, o agente sempre tenta validar a sessão a partir de seu cache e somente chama o servidor de políticas se a sessão não estiver disponível em seu cache.Para especificar o período de validação, insira valores nos campos Horas, Minutos e Segundos. Se você estiver configurando o sistema para fornecer um contexto de segurança de usuário do Windows, defina para um valor alto, por exemplo, 15 a 30 minutos.Observação: o valor do Período de validação deve ser maior que zero.o período de validação da sessão deve ser menor do que o valor de tempo limite de ociosidade especificado.
- Auditoria síncronaEspecifica que o servidor de políticas e o agente web devem registrar em log as ações relacionadas antes que os usuários tenham permissão de acesso a recursos. O acesso também é impedido até que a atividade seja registrada nos logs de auditoria.
- casso128figsbrbrGarantia da sessão aprimoradaProtege os recursos que são especificados no realm (do modelo de domínio Política) ou no componente (do modelo de aplicativo). Também é possível proteger as solicitações de autenticação de certas parcerias de federação. O terminal de garantia da sessão coleta o DeviceDNA™ do usuário e valida a sessão.Valor:especifique terminais de garantia da sessão.
- casso128figsbrbrGarantia da sessãoEspecifica o nome de um terminal de garantia da sessão avançado com DeviceDNA™ definido anteriormente na interface administrativa. As sessões de usuários que acessam esse realm (para domínios de política) ou componente (para aplicativos) são validadas usando esse terminal.
Caixa de diálogo Realm - Seção Avançado
Na seção Avançado, você pode configurar esquemas de registro, mapeamentos de diretórios avançados (autorização e validação) e mapeamentos de diretórios herdados. Além disso, é possível configurar os tipos de eventos que são processados para o realm, o que permite associar regras aos tipos de eventos indicados, bem como um nível de confiança mínimo.
- Mapeamento de identidades de autorizaçãoNa seção Mapeamento de identidades de autorização, você pode especificar um diretório de autorização no qual os usuários acessam os recursos no realm. Os mapeamentos de identidades de autorização permitem que os usuários autenticados em um diretório sejam autorizados em outro diretório.
- Mapeamento de autorizaçãoEspecifica o diretório de autorização do realm. Apenas os mapeamentos de diretórios que já tenham sido configurados por meio da caixa de diálogo Mapeamento de diretórios: Mapeamento de identidades são exibidos na lista.
- Criar mapeamento de autorizaçãoAbre a caixa de diálogo Mapeamento de identidades para criar um objeto de mapeamento de identidade de autorização.
- Mapeamento de identidades de validaçãoNa seção Mapeamento de identidades de validação, você pode especificar um diretório de validação no qual os usuários acessam os recursos no realm. Os mapeamentos de identidades de validação permitem que os usuários autenticados em um diretório sejam validados em outro diretório.
- Mapeamento de validaçãoEspecifica o diretório de validação do realm. Apenas os mapeamentos de diretórios que já tenham sido configurados por meio da caixa de diálogo Mapeamento de diretórios: Mapeamento de identidades são exibidos na lista.
- Criar mapeamento de validaçãoAbre a caixa de diálogo Mapeamento de identidades para criar um objeto de mapeamento de identidade de validação.
- Mapeamento de diretório de autorização legadoNa seção Mapeamento de diretórios, você pode especificar um diretório de autorização no qual os usuários acessam os recursos no realm. Os mapeamentos de diretórios permitem que os usuários autenticados em um diretório sejam autorizados em outro diretório.
- Mapeamento de diretórioEspecifica o diretório de autorização do realm. Apenas os mapeamentos de diretórios que já tenham sido configurados por meio da caixa de diálogo Mapeamento de diretórios: Mapeamento de Auth/AZ são exibidos na lista. Você pode selecionar mapeamentos para os diretórios de autorização incluídos no domínio da política no qual o realm está localizado.
- Criar mapeamento de autorização legadaAbre a caixa de diálogo Mapeamento de diretórios para o mapeamento de diretórios de autenticação e autorização.
- EventosNa seção Eventos, é possível ativar o processamento de eventos para eventos de autenticação e autorização a fim de oferecer suporte às regras que são disparadas por esses eventos.
- Eventos de autenticação de processosOferece suporte a regras disparadas por tentativas de autenticação.
- Eventos de autorização de processosOferece suporte a regras disparadas por tentativas de autorização.Se os recursos no realm estiverem associados a regras globais em uma diretiva global, os eventos de autenticação e autorização deverão ser ativados. O servidor de políticas processará as diretivas globais apenas se os eventos de autenticação e autorização estiverem ativados.
- Suporte o fator de riscoSe o servidor de políticas estiver integrado a um mecanismo de análise de risco com suporte, a seção Suporte o fator de risco permitirá que você insira um nível de confiança mínimo. Um nível de confiança representa a garantia da credencial, que é a probabilidade de que o usuário que está solicitando o recurso protegido seja legítimo.Essa seção será disponibilizada apenas se o suporte ao nível de confiança estiver ativado.
Caixa de diálogo Realm - Seção Liberar recursos no realm
A seção Liberar recursos no realm é exibida quando você modifica um realm existente. Ela contém os itens a seguir:
- DescarregarLimpa as informações do realm no cache do recurso.