Dialogfeld "Federation-Benutzer" (Behauptende Seite)

Im Schritt "Federation-Benutzer" können Sie die Benutzer und Gruppen angeben, für die stmndr Assertionen generieren kann.
casso126figsbrde
HID_federation-users
Im Schritt "Federation-Benutzer" können Sie die Benutzer und Gruppen angeben, für die
CA Single Sign-on
Assertionen generieren kann.
Das Dialogfeld zeigt folgende Einstellungen an:
  • Verbundbenutzer
    Definiert die Benutzer und Gruppen, die auf Ressourcen auf der vertrauenden Seite zugreifen dürfen.
    • Verzeichnis
      Gibt das Verzeichnis an, aus dem
      CA Single Sign-on
      Benutzerdatensätze erhält, für die Assertionen erstellt werden.
    • USER-Klasse
      Gibt eine Kategorie von individuellen Benutzern oder Gruppen von Benutzern an, die authentifiziert werden können. Die Optionen für dieses Feld hängen vom Typ des Benutzerverzeichnisses (LDAP oder ODBC) ab. Eine Erklärung und Beispiele für jede Benutzerklasse finden Sie in den Tabellen.
    • Benutzername / Filtern nach
      Gibt den entsprechenden Eintrag für den Wert an, den Sie im Feld "Benutzerklasse" ausgewählt haben. Beispiele finden Sie in den Tabellen.
      Wert:
      Ein Filter
    • Ausschließen
      Zeigt an, dass der Benutzer oder die Gruppe als Verbundbenutzer ausgeschlossen wird und nicht mit dem anderen Partner in einen Verbund aufgenommen werden darf.
    • Zeile hinzufügen
      Klicken Sie auf die Schaltfläche, um eine Zeile hinzuzufügen, um eine andere Teilmenge von Benutzern aus diesem Verzeichnis für die Authentifizierung anzugeben.
    • Löschen
      Klicken Sie auf das Symbol, um einen Eintrag aus der Tabelle zu löschen.
LDAP-Beispiele
Verwenden Sie beim Festlegen von Eingaben die LDAP-Filter-Syntax.
USER-Klasse
Gültiger Eintrag
Benutzer (User)
Eindeutiger Name eines Benutzers.
Beispiel:
uid=user1,ou=People,dc=example,dc=com
Gruppe
Aus der Liste ausgewählte Gruppe.
Beispiel: ou=Sales,dc=example,dc=com
Organisationseinheit
Aus der Liste ausgewählte Organisationseinheit.
Beispiel: ou=People,dc=example,dc=com
Benutzereigenschaft filtern
LDAP-Filter. Der aktuelle Benutzer ist der Ausgangspunkt für die Suche.
Beispiel 1:
[email protected]
Beispiel 2:
(|(mail=*@.example.com)(memberOf=cn=Employees,ou=Groups,dc=example,dc=com))
Gruppeneigenschaft filtern
LDAP-Filter. Der aktuelle Benutzer wird genehmigt, wenn er Mitglied einer der mit dem Filter übereinstimmenden Gruppen ist. Die "objectclasses" für Gruppen, wie in der
CA Single Sign-on
-Registrierung konfiguriert, werden mit dem Filter kombiniert.
Beispiel 1:
Um Benutzer zu genehmigen, die Mitglieder einer Gruppe der Geschäftskategorie "CA Support" sind, geben Sie Folgendes ein: businessCategory=CA Support
Beispiel 2:
Um Benutzer zu genehmigen, die Mitglieder einer Gruppe mit einer Beschreibung sind, die "Administrator" enthält, und die der Geschäftskategorie "Verwaltung" angehören, geben Sie Folgendes ein: (|(description=*Administrator*)(businessCategory=Administration))
Hinweis:
Nicht alle Attribute einer Gruppe funktionieren als Suchkriterium.
OU-Eigenschaft filtern
LDAP-Filter. Der aktuelle Benutzer wird genehmigt, wenn er zu einer Organisationseinheit gehört, die mit dem Filter übereinstimmt. Die "objectclasses" für Organisationseinheiten, wie in der
CA Single Sign-on
-Registrierung konfiguriert, werden mit dem Filter kombiniert.
Beispiel 1:
Um Benutzer innerhalb einer Organisationseinheit mit einer Postleitzahl von "12345" zu genehmigen, geben Sie ein: postalCode=12345
Beispiel 2
: Um Benutzer in einer Organisationseinheit zu genehmigen, deren bevorzugte Lieferungsmethode auf "Telefon" endet und die die Lokalität "London" hat, geben Sie ein: (|(preferredDeliveryMethod=*phone)(l=London))
Alle filtern
LDAP-Filter. Der aktuelle Benutzer wird genehmigt, wenn er mit dem Filter übereinstimmt.
Beispiel 1:
Um Benutzer der Abteilung "CA Support" zu genehmigen, geben Sie ein: department=CA Support
Beispiel 2:
Um Benutzer zu genehmigen, die Mitglieder der Gruppe "Administratoren" sind und als Abteilungszahl "123" oder "789" haben, geben Sie Folgendes ein: (&(memberof=cn=Administrators,ou=Groups,dc=example,dc=com)(|(departmentNumber=123)(departmentNumber=789)))
ODBC-Beispiele
Verwenden Sie beim Festlegen von Abfragen die SQL-Syntax.
USER-Klasse
Gültiger Eintrag
Benutzer (User)
Der Wert der Spalte "Name" für einen Benutzer. Der aktuelle Benutzer wird genehmigt, wenn er mit dem Eintrag übereinstimmt.
Beispiel: user1
Gruppe
Der Wert der Spalte "Name" für eine Benutzergruppe. Der aktuelle Benutzer wird genehmigt, wenn er ein Mitglied der Gruppe ist, die mit der Abfrage übereinstimmt.
Beispiel: Administratoren
Abfrage
Eine SQL SELECT-Anweisung. Der aktuelle Benutzer wird genehmigt, wenn er mit der Abfrage übereinstimmt.
Beispiel 1:
Mit der Benutzer-ID "user1":
Eingabe: SELECT * FROM SmUser
Sich ergebende Abfrage: SELECT * FROM SmUser WHERE Name = 'user1'
Beispiel 2:
Mit der Benutzer-ID "user1":
Eingabe: SELECT * FROM SmUser WHERE Status LIKE 'Active%'
Sich ergebende Abfrage: SELECT * FROM SmUser WHERE Status LIKE 'Active%' AND Name = 'user1'
Beispiel 3:
Mit der Benutzer-ID "user1":
Eingabe: SELECT * FROM SmUser WHERE Location IN ('London', 'Paris')
Sich ergebende Abfrage: SELECT * FROM SmUser WHERE Location IN ('London', 'Paris') AND Name = 'user1'