Dialogfeld "Benutzeridentifikation" (OAuth)
Geben Sie im Schritt "Benutzeridentifikation" ein Attribut aus einem OAuth-Autorisierungsserver an, den das Federation-System verwendet, um einen Datensatz in einem Benutzerspeicher zu suchen.
casso13de
HID_userid-oauth
Geben Sie im Schritt "Benutzeridentifikation" ein Attribut aus einem OAuth-Autorisierungsserver an, den das Federation-System verwendet, um einen Datensatz in einem Benutzerspeicher zu suchen.
- Anonymen Benutzer verwendenLegt fest, dass die Benutzerinformationen anonym sind. Wenn Sie diese Option auswählen, durchsucht das System die Benutzerverzeichnisse nach einem Benutzer, der mit dem angegebenen anonymen Benutzer übereinstimmt, um den Benutzer zu authentifizieren. Wenn Sie diese Option deaktivieren, verwendet das System den Anspruchswert, um den Benutzer zu authentifizieren.
- Anonymer BenutzerWenn Sie die Option "Anonymen Benutzer verwenden" ausgewählt haben, definiert dieser Wert den Namen des identifizierenden Attributs des Benutzers im Benutzerspeicher.
- Benutzer-ID - AttributnameWenn das identifizierende Attribut des Benutzers aus Benutzeransprüchen abgerufen werden muss, definiert dieser Wert den Anspruch aus den OAuth-Benutzerinformationen, der den Benutzer identifiziert.Beispiel: E-MailWenn der Autorisierungsserver ein Attribut zurückgibt, das der Benutzer als Teil eines Attributs mit mehreren Werten haben möchte, definieren Sie den Attributnamen im folgenden Format:parent_attribute:target_child_attributeBeispiel:Windows Live gibt E-Mail-Daten als Attribut mit mehreren Werten in der JSON-Antwort zurück. Das Attribut ist im folgenden Format:"emails": {"preferred": "[email protected]","account": "[email protected]","personal": null,"business": null},Um auf die bevorzugte E-Mail-ID zuzugreifen, muss der Benutzer den Attributnamen als "emails:preferred" konfigurieren.
- GeltungsbereichGibt den Typ der Berechtigung an, die die Anwendung vom Benutzer erfordert. Wenn der Bereichswert beispielsweise "https://www.googleapis.com/auth/userinfo.profile" ist, kann die Anwendung schreibgeschützten Zugriff auf elementare Benutzerprofilinformation erhalten.
- URL des Dienstes für BenutzerinformationenDefiniert die URLs für Benutzerinformationen, die das System verwenden muss, um Benutzeransprüche abzurufen. Wenn "Anonymer Benutzer" nicht ausgewählt ist, müssen Sie mindestens eine URL für Benutzerinformationen angeben. Wenn "Anonymer Benutzer" ausgewählt ist, können Sie eine URL für Benutzerinformationen angeben.Beispiel:Wert für Google: https://www.googleapis.com/oauth2/v1/userinfoWert für LinkedIn: https://api.linkedin.com/v1/people/~?format=json | https://api.linkedin.com/v1/people/~:(email-address)?format=jsonWichtig!Wenn LinkedIn der OAuth-Autorisierungsserver ist, muss der Abfrageparameter "format=json" über die Benutzerinformationsdienst-URLs gesendet werden, um das System die zurückgegebenen Daten analysieren zu lassen.Hinweis:WindowsLive gibt E-Mail-Daten als Teil mehrwertiger Ansprüche zurück.
- CA Single Sign-on-Connector aktivierenZeigt an, dass die Partnerschaft denCA Single Sign-on-Connector für die Integration von Federation undCA Single Sign-onverwendet. Aktivieren Sie den Connector, und konfigurieren Sie ihn in den Bereitstellungseinstellungen global, um den Connector für die Partnerschaft verfügbar zu machen.An der behauptenden Seite kann der Connector eine Federation-Sitzung ausgehend von einerCA Single Sign-on-Sitzung einrichten, damit das System die Anmeldeinformationen des Benutzers nicht erneut anfordert. Um zunächst dieCA Single Sign-on-Sitzung einzurichten, authentifiziertCA Single Sign-onden Benutzer, und danach besucht der Benutzer die behauptende Seite.
- Vergleich des Benutzer-DN und Verzeichnisnamens erzwingenBeauftragt das Federation-System, die Authentifizierungsinformationen, die der Benutzer angibt, mit Benutzer-DN und Verzeichnisnamen des Benutzerdatensatzes zu vergleichen. Aktivieren Sie den Vergleich nur, wenn derCA Single Sign-on-Connector aktiviert ist. Wenn Sie das Kontrollkästchen aktiviert belassen (Standard), muss das System das gleiche physische Benutzerverzeichnis verwenden.Deaktivieren Sie einen Vergleich, indem Sie dieses Kontrollkästchen deaktivieren. Wenn der Vergleich deaktiviert ist, verwendet das System eine universelle ID, um Benutzerdatensätze abzurufen. Die universelle ID ermöglicht es dem System, Verzeichnisse zu verwenden, die physisch voneinander abweichen und unterschiedlichen Typen angehören. Die Verwendung der universellen ID ist ausreichend, um den abgerufenen Benutzerdatensatz als den korrekten Datensatz zu erachten.Hinweis:Wenn Sie eine universelle ID verwenden, muss jeder Benutzer über eine eindeutige universelle ID verfügen. Wenn die universelle ID nicht eindeutig ist, kann das System, das auf den Benutzerdatensatz zugreift, den falschen Datensatz abrufen und verwenden.
- Schutzebene überschreibenAktiviert eine Überschreibung der Authentifizierungsebene, die durch das Authentifizierungsschema "CA Single Sign-on-Connector" bestimmt wird. Aktivieren Sie das Kontrollkästchen, und geben Sie für das Feld "Schutzebene" einen numerischen Wert zwischen 1 und 1000 ein.Verwenden Sie diese Einstellung, wenn Sie die Authentifizierungsebene auf der Ebene der einzelnen Partnerschaften anpassen wollen.