Dialogfeld "Federation-Benutzer" (Behauptende Seite)
Im Schritt "Federation-Benutzer" können Sie die Benutzer und Gruppen angeben, für die stmndr Assertionen generieren kann.
casso127figsbrde
HID_federation-users
Im Schritt "Federation-Benutzer" können Sie die Benutzer und Gruppen angeben, für die
CA Single Sign-on
Assertionen generieren kann.Das Dialogfeld zeigt folgende Einstellungen an:
- VerbundbenutzerDefiniert die Benutzer und Gruppen, die auf Ressourcen auf der vertrauenden Seite zugreifen dürfen.
- VerzeichnisGibt das Verzeichnis an, aus demCA Single Sign-onBenutzerdatensätze erhält, für die Assertionen erstellt werden.
- USER-KlasseGibt eine Kategorie von individuellen Benutzern oder Gruppen von Benutzern an, die authentifiziert werden können. Die Optionen für dieses Feld hängen vom Typ des Benutzerverzeichnisses (LDAP oder ODBC) ab. Eine Erklärung und Beispiele für jede Benutzerklasse finden Sie in den Tabellen.
- Benutzername / Filtern nachGibt den entsprechenden Eintrag für den Wert an, den Sie im Feld "Benutzerklasse" ausgewählt haben. Beispiele finden Sie in den Tabellen.Wert:Ein Filter
- AusschließenZeigt an, dass der Benutzer oder die Gruppe als Verbundbenutzer ausgeschlossen wird und nicht mit dem anderen Partner in einen Verbund aufgenommen werden darf.
- Zeile hinzufügenKlicken Sie auf die Schaltfläche, um eine Zeile hinzuzufügen, um eine andere Teilmenge von Benutzern aus diesem Verzeichnis für die Authentifizierung anzugeben.
- LöschenKlicken Sie auf das Symbol, um einen Eintrag aus der Tabelle zu löschen.
LDAP-Beispiele
Verwenden Sie beim Festlegen von Eingaben die LDAP-Filter-Syntax.
USER-Klasse
| Gültiger Eintrag
|
Benutzer (User) | Eindeutiger Name eines Benutzers. Beispiel: uid=user1,ou=People,dc=example,dc=com |
Gruppe | Aus der Liste ausgewählte Gruppe. Beispiel: ou=Sales,dc=example,dc=com |
Organisationseinheit | Aus der Liste ausgewählte Organisationseinheit. Beispiel: ou=People,dc=example,dc=com |
Benutzereigenschaft filtern | LDAP-Filter. Der aktuelle Benutzer ist der Ausgangspunkt für die Suche. Beispiel 1: [email protected]Beispiel 2: (|(mail=*@.example.com)(memberOf=cn=Employees,ou=Groups,dc=example,dc=com)) |
Gruppeneigenschaft filtern | LDAP-Filter. Der aktuelle Benutzer wird genehmigt, wenn er Mitglied einer der mit dem Filter übereinstimmenden Gruppen ist. Die "objectclasses" für Gruppen, wie in der CA Single Sign-on -Registrierung konfiguriert, werden mit dem Filter kombiniert.Beispiel 1: Um Benutzer zu genehmigen, die Mitglieder einer Gruppe der Geschäftskategorie "CA Support" sind, geben Sie Folgendes ein: businessCategory=CA SupportBeispiel 2: Um Benutzer zu genehmigen, die Mitglieder einer Gruppe mit einer Beschreibung sind, die "Administrator" enthält, und die der Geschäftskategorie "Verwaltung" angehören, geben Sie Folgendes ein: (|(description=*Administrator*)(businessCategory=Administration))Hinweis: Nicht alle Attribute einer Gruppe funktionieren als Suchkriterium. |
OU-Eigenschaft filtern | LDAP-Filter. Der aktuelle Benutzer wird genehmigt, wenn er zu einer Organisationseinheit gehört, die mit dem Filter übereinstimmt. Die "objectclasses" für Organisationseinheiten, wie in der CA Single Sign-on -Registrierung konfiguriert, werden mit dem Filter kombiniert.Beispiel 1: Um Benutzer innerhalb einer Organisationseinheit mit einer Postleitzahl von "12345" zu genehmigen, geben Sie ein: postalCode=12345Beispiel 2 : Um Benutzer in einer Organisationseinheit zu genehmigen, deren bevorzugte Lieferungsmethode auf "Telefon" endet und die die Lokalität "London" hat, geben Sie ein: (|(preferredDeliveryMethod=*phone)(l=London)) |
Alle filtern | LDAP-Filter. Der aktuelle Benutzer wird genehmigt, wenn er mit dem Filter übereinstimmt. Beispiel 1: Um Benutzer der Abteilung "CA Support" zu genehmigen, geben Sie ein: department=CA SupportBeispiel 2: Um Benutzer zu genehmigen, die Mitglieder der Gruppe "Administratoren" sind und als Abteilungszahl "123" oder "789" haben, geben Sie Folgendes ein: (&(memberof=cn=Administrators,ou=Groups,dc=example,dc=com)(|(departmentNumber=123)(departmentNumber=789))) |
ODBC-Beispiele
Verwenden Sie beim Festlegen von Abfragen die SQL-Syntax.
USER-Klasse
| Gültiger Eintrag
|
Benutzer (User) | Der Wert der Spalte "Name" für einen Benutzer. Der aktuelle Benutzer wird genehmigt, wenn er mit dem Eintrag übereinstimmt. Beispiel: user1 |
Gruppe | Der Wert der Spalte "Name" für eine Benutzergruppe. Der aktuelle Benutzer wird genehmigt, wenn er ein Mitglied der Gruppe ist, die mit der Abfrage übereinstimmt. Beispiel: Administratoren |
Abfrage | Eine SQL SELECT-Anweisung. Der aktuelle Benutzer wird genehmigt, wenn er mit der Abfrage übereinstimmt. Beispiel 1: Mit der Benutzer-ID "user1":Eingabe: SELECT * FROM SmUser Sich ergebende Abfrage: SELECT * FROM SmUser WHERE Name = 'user1' Beispiel 2: Mit der Benutzer-ID "user1":Eingabe: SELECT * FROM SmUser WHERE Status LIKE 'Active%' Sich ergebende Abfrage: SELECT * FROM SmUser WHERE Status LIKE 'Active%' AND Name = 'user1' Beispiel 3: Mit der Benutzer-ID "user1":Eingabe: SELECT * FROM SmUser WHERE Location IN ('London', 'Paris') Sich ergebende Abfrage: SELECT * FROM SmUser WHERE Location IN ('London', 'Paris') AND Name = 'user1' |