Dialogfeld "Benutzerverzeichnis"
2
casso128figsbrde
HID_user-directory
2
Das
CA Single Sign-on
-Dialogfeld "Benutzerverzeichnis" ermöglicht es Ihnen, eine Verbindung zwischen dem Richtlinienserver und einem Benutzerspeicher zu konfigurieren. Das Dialogfeld enthält folgende Gruppenfelder:- AllgemeinIdentifiziert das Benutzerverzeichnis.
- VerzeichniseinrichtungIdentifiziert den Namespace (Typ des Benutzerspeichers), gibt das Verzeichnis oder die Datenbank an, die Benutzerdaten enthalten, und gibt gegebenenfalls zusätzliche Informationen darüber an, wie Benutzerdaten im Verzeichnis oder in der Datenbank gefunden werden können.Der Verbindungstyp zum Benutzerverzeichnis, den Sie auswählen, legt die Felder der Informationen fest, die Sie für eine Verbindung zum Verzeichnis ausfüllen müssen.
- Anmeldeinformationen des AdministratorsGibt Anmeldeinformationen der Administratoren an, die der Richtlinienserver verwendet, um auf den Benutzerspeicher zuzugreifen. Bei LDAP-Namespaces können Sie auch angeben, ob Sie eine Verbindung zum LDAP-Server mithilfe einer sicheren Verbindung (SSL) herstellen. Bei Active Directory, WinNT-Verzeichnissen und benutzerdefinierten Verzeichnissen können Sie angeben, ob der Sicherheitskontext eines authentifizierten Benutzers verwendet werden soll, wenn eine Verbindung zuCA Single Sign-onhergestellt wird.
- DirectorySettings (Verzeichniseinstellungen)Zeigt die Einstellungen für das Benutzerverzeichnis an, das angezeigt wird. Der Name dieses Gruppenfelds ändert sich je nach Verzeichnistyp.
- BenutzerattributeGibt Attribute des Benutzerprofils an, die vom Richtlinienserver verwendet werden, um Daten für verschiedeneCA Single Sign-on-Funktionen zu speichern, einschließlich der Kennwortservices, der Registrierungsservices und des XPSCounter-Tools .
Dialogfeld "Benutzerverzeichnis" - ODBC-Namespace
Das Dialogfeld "Benutzerverzeichnis" enthält folgende standardmäßige Einstellungen:
- NameGibt den Namen des Verbindungsobjekts des Benutzerverzeichnisses an. Dies ist der Name, der auf der Verwaltungsoberfläche verwendet wird, um den Benutzerspeicher anzuzeigen.Hinweis:Um Single Sign-On in einerCA Single Sign-on-Umgebung zu verwalten, die mehrere Richtlinienspeicher enthält, verwenden Sie den gleichen Benutzerverzeichnisnamen, wenn Sie eine Verzeichnisverbindung definieren. Wenn Sie beispielsweise eine Verbindung zum ODBC-Benutzerverzeichnis mit dem Namen "ODBC1" haben, die Sie in "Richtlinienspeicher A" konfiguriert haben, und wenn Sie einen zweiten Richtlinienspeicher mit dem Namen "Richtlinienspeicher B" haben, um Single Sign-On zu verwalten, dann müssen Sie die Verbindung in Richtlinienspeicher B mithilfe des Namens "ODBC1" konfigurieren.
- BeschreibungBeschreibt die Verbindung des Benutzerverzeichnisses.
- Inhalte anzeigenÖffnet das Dialogfeld "Inhalte anzeigen", das die Inhalte des angegebenen Verzeichnisses auflistet.
Weitere Details über individuelle Gruppenfelder finden Sie hier:
Gruppenfeld "Verzeichniseinrichtung"
Im Gruppenfeld "Verzeichniseinrichtung" wählen Sie den ODBC-Namespace aus, und Sie identifizieren die Datenquelle, die auf die Datenbank verweist, die Daten des Benutzerverzeichnisses enthalten.
- NamespaceGibt den Namespace des Benutzerspeichers an.
- DatenquelleGibt den Namen der ODBC-Datenquelle an.Diese Datenquelle muss konfiguriert werden, damit der Richtlinienserver auf die ODBC-Datenbank zugreifen kann. Auf Windows-Plattformen muss die Datenquelle als Systemdatenquelle definiert werden.Um mehrere Namen der Datenquelle für das Failover einzugeben, trennen Sie die Namen durch ein Komma oder klicken Sie auf "Konfigurieren".
- KonfigurierenÖffnet das Dialogfeld "ODBC-Failover-Setup", in dem Sie mehrere ODBC-Datenbanken für das Failover angeben können.
Gruppenfeld "Anmeldeinformationen des Administrators"
Mit dem Gruppenfeld "Anmeldeinformationen des Administrators" können Sie die administrativen Anmeldeinformationen angeben, die der Richtlinienserver verwendet, um auf das Benutzerverzeichnis zuzugreifen.
- Anmeldeinformationen sind erforderlichWenn ausgewählt, dann ist es erforderlich, dass der Richtlinienserver die angegebenen Anmeldeinformationen verwendet, wenn eine Verbindung zum Benutzerverzeichnis hergestellt wird.
- BenutzernameGibt den Benutzernamen eines Kontos an, das administrative Datenbankberechtigungen hat. Dieser Benutzer muss auch die Tabellen besitzen, die Daten des Benutzerverzeichnisses enthalten.Hinweis:Wenn SieCA Single Sign-on-Funktionen verwenden, die Lese- bzw. Schreibzugriff auf das Verzeichnis benötigen, muss das Administratorkonto über Lese- bzw. Schreibberechtigungen verfügen.
- Kennwort und KennwortbestätigungGibt das Kennwort für das Administratorkonto ein. Der Richtlinienserver verwendet die Anmeldeinformationen, um eine Verbindung zur Datenbank herzustellen. Der Richtlinienserver hat Zugriff auf Informationen, die für den angegebenen Benutzer verfügbar sind.
Gruppenfeld "SQL-Abfrageschema"
Im Gruppenfeld "SQL-Abfrageschema" können Sie ein Abfrageschema auswählen, ändern oder erstellen, das der Richtlinienserver für Ihre Verbindung zum ODBC-Benutzerverzeichnis verwenden soll. Richtlinienserver verwendet ein SQL-Abfrageschema, um Abfragen zu erstellen, die Benutzerdaten in einer relationalen Datenbank finden. Ohne ein SQL-Abfrageschema kann der Richtlinienserver keine Attribute in Ihrer ODBC-Datenbank mit den Informationen abgleichen, die erforderlich sind, um Benutzer zu authentifizieren und zu autorisieren.
- SQL-AbfrageschemaGibt ein SQL-Abfrageschema aus einer Liste von allen vorhandenen Objekten des SQL-Abfrageschemas an.Hinweis:Verwenden Sie nicht die gleiche Datenquelle mit verschiedenen SQL-Abfrageschemen. Erstellen Sie eine eindeutige Datenquelle für jedes SQL-Abfrageschema.
- KonfigurierenÖffnet das Dialogfeld "SQL-Abfrageschema" für das SQL-Abfrageschema, das im Feld "SQL-Abfrageschema" angegeben ist.
- NeuÖffnet das Dialogfeld "SQL-Abfrageschema", sodass Sie ein neues SQL-Abfrageschema konfigurieren können.
Gruppenfeld "Benutzerattribute"
Einige
CA Single Sign-on
-Funktionen benötigen Lesezugriff oder Lese- und Schreibzugriff auf Verzeichnisattribute. Diese Informationen müssen in einem Benutzerverzeichnis gespeichert werden, auf das CA Single Sign-on
Zugriff hat. Wenn Sie Verbindungen zum Benutzerverzeichnis konfigurieren, müssen Sie die Namen bestimmter Attribute der Benutzerprofile in den Verzeichnissen angeben.Die Attribute, die Sie angeben, müssen bestimmte Datentypen haben. Kennwortattribut und Kennwortdaten benötigen binäre Attribute, und alle anderen benötigen Zeichenfolgenattribute.
Die von Ihnen angegebenen Attribute müssen:
- In Ihrer Datenbank vorhanden sein
- Der korrekte Typ sein, entweder Zeichenfolge oder Binärdatei
- Dürfen nicht verwendet werden, um andere Datentypen zu speichern (nur für Lese- und Schreibattribute)
Folgende Attribute können konfiguriert werden:
- Universelle IDGibt den Namen des ODBC-Benutzerverzeichnisattributs an, dasCA Single Sign-onals universelle ID verwendet. Die "Universelle ID" kann an andere Anwendungen übergeben werden, die mitCA Single Sign-onkommunizieren, um die Identität des Benutzers zu verwalten. Diese Funktion wird hauptsächlich als Brücke zwischenCA Single Sign-onund Legacy-Anwendungen verwendet, die oft Attribute verwenden, außer einem Benutzernamen, wie z. B. eine Sozialversicherungsnummer, um den Benutzer zu identifizieren.Einschränkung: Benötigt ein Zeichenfolgenattribut.
- Deaktivierte MarkierungGibt den Namen des ODBC-Benutzerverzeichnisattributs an, dasCA Single Sign-onverwendet, um deaktivierte Benutzer zu verfolgen.Einschränkung: Benötigt ein Zeichenfolgenattribut.
- Password Attribute (Kennwortattribut)Gibt den Namen des ODBC-Benutzerverzeichnisattributs an, dasCA Single Sign-onverwenden sollte, um ein Benutzerkennwort zu authentifizieren. Der von Ihnen eingegebene Attributname muss dem Speicherort im ODBC-Verzeichnis entsprechen, das die Benutzerkennwörter enthält.Einschränkung: Benötigt ein binäres Attribut.
- KennwortdatenGibt den Namen des Benutzerverzeichnisattributs an, dasCA Single Sign-onfür Daten des Kennwortdienstes verwenden kann. Die Funktion "Kennwortdienste" benötigt einen Speicherort im Benutzerverzeichnis, um den Verlauf der Benutzerkennwortinformationen zu speichern.Einschränkung: Benötigt ein VARCHAR-Attribut.
Gruppenfeld "Liste der Attributzuordnung"
casso128figsbrde
Das Gruppenfeld "Liste der Attributzuordnung" listet die allgemeinen Namen auf, die zu Benutzerattributnamen in diesem Benutzerverzeichnis zugeordnet sind.
CA Single Sign-on
verwendet allgemeine Namen, um auf Benutzerinformationen zuzugreifen, die identisch sind, aber in verschiedenen Verzeichnissen anders gespeichert wurden.Das Gruppenfeld "Liste der Attributzuordnung" enthält folgende Schaltflächen:
- >Öffnet die ausgewählte Zuordnung in der Attributzuordnung: ImNamensbereich, wo Sie die Zuordnung anzeigen und ändern können.
- -Löscht die ausgewählte Zuordnung aus der Liste der Attributzuordnung.
- ErstellenÖffnet den Bereich "Attributzuordnung erstellen".
Dialogfeld "Benutzerverzeichnis" - LDAP-Namespace
Das Dialogfeld "Benutzerverzeichnis" enthält folgende standardmäßige Einstellungen:
- NameGibt den Namen des neuen Verbindungsobjekts des Benutzerverzeichnisses an. Dies ist der Name, der auf der Verwaltungsoberfläche verwendet wird, um den Benutzerspeicher anzuzeigen.Hinweis:Um Single Sign-On in einerCA Single Sign-on-Umgebung zu verwalten, die mehrere Richtlinienspeicher enthält, verwenden Sie den gleichen Benutzerverzeichnisnamen, wenn Sie eine Verzeichnisverbindung definieren. Wenn Sie beispielsweise eine Verbindung zum LDAP-Benutzerverzeichnis mit dem Namen "LDAP1" haben, die Sie in "Richtlinienspeicher A" konfiguriert haben, und wenn Sie einen zweiten Richtlinienspeicher mit dem Namen "Richtlinienspeicher B" haben, um Single Sign-On zu verwalten, dann müssen Sie die Verbindung in Richtlinienspeicher B mithilfe des Namens "LDAP1" konfigurieren.
- Beschreibung(Optional) Beschreibt die Verbindung des Benutzerverzeichnisses.
- Inhalte anzeigenÖffnet das Dialogfeld "Inhalte anzeigen", das die Inhalte des angegebenen Verzeichnisses auflistet.
Weitere Details über individuelle Gruppenfelder finden Sie hier:
- Gruppenfeld "Verzeichniseinrichtung"
- Gruppenfeld "LDAP-Suche"
Gruppenfeld "Verzeichniseinrichtung"
Im Gruppenfeld "Verzeichniseinrichtung" geben Sie den Namespace des Benutzerspeichers und zusätzliche Verbindungsinformationen an.
- NamespaceGibt den Benutzerspeicher-Namespace an. Wählen Sie "LDAP" für Namespaces aus, die "Netscape LDAP SDK" verwenden.
- ServerGibt die IP-Adresse und die Portnummer des LDAP-Servers an. Wenn Sie keine Portnummer eingeben, dann wird der Standardport (389) verwendet. Dieses Feld listet auch Server auf, die für ein Failover und einen Lastenausgleich vorgesehen sind. Ein Leerzeichen trennt jeden Server, der für ein Failover vorgesehen ist. Ein Komma (,) trennt jeden Server, der für einen Lastenausgleich vorgesehen ist.
- Einschränkungen:
- Windows-Optionen
- IPv4-Adresse
- Hostname
Beispiel: Domäne1 Domäne2,Domäne3 Domäne4Bei Anforderungen vom Richtlinienserver wird der Lastenausgleich zwischen Domäne1 und Domäne3 durchgeführt. Wenn Domäne1 fehlschlägt, werden die Anforderungen von Domäne2 erfüllt. Wenn Domäne3 fehlschlägt, werden die Anforderungen von Domäne4 erfüllt.Hinweis:Bei sicheren Verbindungen vom Richtlinienserver zu einem LDAP-Benutzerspeicher über SSL müssen Sie die Portnummer in diesem Feld angeben. - KonfigurierenÖffnet das Dialogfeld "Directory Failover" (Verzeichnis-Failover) und "Lastenausgleich", wo Sie mehrere Server für den Lastenausgleich und das Failover angeben.
- Sicherheitskontext des authentifizierten Benutzers verwendenAktivieren Sie dieses Kontrollkästchen für LDAP-kompatible Active Directory-Benutzerspeicher, für die Sie den LDAP-Namespace verwenden möchten, um einen Windows-Benutzersicherheitskontext in Webanwendungen anzugeben, die auf IIS-Webservern ausgeführt und vonCA Single Sign-ongeschützt werden.
- Sichere VerbindungWählen Sie diese Option aus, um eine SSL-Verbindung (Secure Sockets Layer) zu erzwingen, wenn der Richtlinienserver und das LDAP-Benutzerverzeichnis miteinander kommunizieren.Hinweis:Stellen Sie sicher, dass Sie den Port für SSL im Serverfeld angeben. Stellen Sie sicher, dass Sie auch den Speicherort der Datenbankdatei des Zertifikats in der Richtlinienserver-Verwaltungskonsole angegeben haben.
Gruppenfeld "Anmeldeinformationen des Administrators"
Mit dem Gruppenfeld "Anmeldeinformationen des Administrators" können Sie die administrativen Anmeldeinformationen angeben, die der Richtlinienserver verwendet, um auf das LDAP-Benutzerverzeichnis zuzugreifen.
- Anmeldeinformationen sind erforderlichWenn ausgewählt, dann ist es erforderlich, dass der Richtlinienserver die angegebenen Anmeldeinformationen verwendet, wenn eine Verbindung zum Benutzerverzeichnis hergestellt wird.
- BenutzernameGibt den Distinguished Name (DN) eines Benutzers an, der über ausreichende Berechtigungen verfügt, um auf das Benutzerverzeichnis zuzugreifen.Beispiel: cn=Administrator
- Wenn eine Zugriffssteuerungsliste (Access Control List, ACL) definiert wurde, um den Zugriff auf die LDAP-Verzweigung, die das Benutzerverzeichnis enthält, zu steuern, dann geben Sie die Anmeldeinformationen für ein Administratorkonto mit Lesezugriff auf diese Verzweigung des Benutzerverzeichnisses an.
- Wenn SieCA Single Sign-on-Funktionen verwenden, die Lese- bzw. Schreibzugriff auf das Verzeichnis benötigen, muss das Administratorkonto über Lese- bzw. Schreibberechtigungen verfügen.
- Kennwort und KennwortbestätigungGibt das Kennwort für das Administratorkonto ein. Der Richtlinienserver verwendet den DN im Feld "Benutzername" und das Kennwort im Feld "Kennwort", um auf das Benutzerverzeichnis zuzugreifen.
Gruppenfeld "LDAP-Suche"
Im Gruppenfeld "LDAP-Suche" geben Sie Suchstämme für den LDAP-Server an.
- StammGibt den Speicherort in der LDAP-Struktur an, die der Richtlinienserver als Ausgangspunkt für die Verbindung zum Verzeichnis verwendet. Normalerweise eine Organisation (organization, o) oder Organisationseinheit (organizational unit, ou). Bei der Suche eines Benutzers beginnt der Richtlinienserver am Stamm.Hinweis:Die Darstellung des Stamms eines LDAP-Benutzerspeichers fällt abhängig vom LDAP-Anbieter unterschiedlich aus.
- GeltungsbereichLegt fest, wie weit der Richtlinienserver in der LDAP-Verzeichnisstruktur nach Benutzern sucht:
- Eine EbeneLegt eine Ebene unter dem Stamm fest.
- UnterstrukturLegt alle Ebenen unter dem Stamm fest.
- HöchstzeitDefiniert die Zeit in Sekunden, während derer der Richtlinienserver das Benutzerverzeichnis nach Ergebnissen durchsucht.Nach der angegebenen Zeit hört der Richtlinienserver auf, das Verzeichnis zu suchen und gibt übereinstimmende Datensätze oder einen Fehler zurück.Standard: 30Hinweis:Das Zeitlimit kann auch über die Benutzeroberfläche Ihres LDAP-Verzeichnisses konfiguriert werden. Wenn die Zeiträume des Zeitlimits unterschiedlich sind, dann hat das kürzere Zeitlimit Vorrang. Ein Nullwert (0) wird nicht unterstützt. Ein Nullwert kann zu dazu führen, dass Threads für unbegrenzte Zeit im Richtlinienserver bleiben. Achten Sie auf die Antwortzeit Ihres Systems, wenn Sie einen Maximalwert festlegen.
- Maximale ErgebnisseGibt die Höchstanzahl der Datensätze an, die für eine einzelne Suche nach dem LDAP-Benutzerverzeichnis zurückgegeben werden können.Standard:0. Der Standardwert gibt an, dass es keine maximale Grenze für die Anzahl der Datensätze gibt, die für eine einzelne Suche des LDAP-Benutzerverzeichnisses zurückgegeben werden können.
- BenutzerobjektGibt eine Zeichenfolge an, die zu einem LDAP-Suchfiltern hinzugefügt wird, wenn nach einem Benutzer gesucht wird. Dieses Attribut ist für das Verzeichnisobjekt optional.Standard: NULL
- USER-KlasseGibt eine Zeichenfolge an, bei der es sich um einen verzeichnisspezifischen Klassenfilter handelt. Dieser Wert ist optional und überschreibt die globale Einstellung in der Registrierung "UserClassFilters".Standard: NULL
Gruppenfeld "LDAP-Benutzer-DN-Suche"
Im Gruppenfeld "LDAP-Benutzer-DN-Suche" geben Sie die Parameter für die Suche der Benutzer in einem LDAP-Benutzerspeicher an.
- StartenGibt die Textzeichenfolge an, die als Anfang eines LDAP-Suchausdrucks oder Benutzer-DN dient. Wenn ein Benutzer versucht, sich anzumelden, stellt der Richtlinienserver diese Zeichenfolge dem Anfang des Benutzernamens voran.Suchausdrücke sind vom Setup Ihres Benutzerverzeichnisses abhängig.
- EndeGibt die Textzeichenfolge an, die als Ende eines LDAP-Suchausdrucks oder Benutzer-DN dient. Wenn ein Benutzer versucht, sich anzumelden, hängt der Richtlinienserver die Zeichenfolge "Ende" an das Ende des Benutzernamens an. Die Kombination aus der Zeichenfolge "Starten", Benutzername und Zeichenfolge "Ende" wird verwendet, um das LDAP-Benutzerverzeichnis zu suchen.Ein Beispiel für den Suchausdruck oder den Benutzer-DN, den der Richtlinienserver verwenden wird, um das LDAP-Benutzerverzeichnis abzufragen, das auf den Feldern "Starten" und "Ende" basiert, wird im Gruppenfeld "LDAP-Benutzer-DN-Suche" angezeigt.Hinweis:Wenn Sie die Verwaltungsoberfläche verwenden, um Parameter mit einer LDAP-Verbindung zu aktualisieren, starten Sie den Richtlinienserver neu, um die neuen Parameter gültig zu machen.
Gruppenfeld "Benutzerattribute"
Einige
CA Single Sign-on
-Funktionen benötigen Lesezugriff oder Lese- und Schreibzugriff auf Verzeichnisattribute. Diese Informationen müssen in einem Benutzerverzeichnis gespeichert werden, auf das CA Single Sign-on
Zugriff hat. Wenn Sie Verbindungen zum Benutzerverzeichnis konfigurieren, müssen Sie die Namen bestimmter Attribute der Benutzerprofile in den Verzeichnissen angeben.Die Attribute, die Sie angeben, müssen bestimmte Datentypen haben. Kennwortattribut und Kennwortdaten benötigen binäre Attribute, und alle anderen benötigen Zeichenfolgenattribute.
Die von Ihnen angegebenen Attribute müssen:
- In Ihrem Benutzerverzeichnis vorhanden sein
- Der korrekte Typ sein, entweder Zeichenfolge oder Binärdatei
- Dürfen nicht verwendet werden, um andere Datentypen zu speichern (nur für Lese- und Schreibattribute)
Folgende Attribute dürfen für LDAP-Verzeichnisse konfiguriert werden:
- Universelle IDGibt ein LDAP-Verzeichnisattribut an, dasCA Single Sign-onals universelle ID verwendet.Beispiel: uid
- Deaktivierte MarkierungGibt ein LDAP-Verzeichnisattribut an, dasCA Single Sign-onverwendet, um deaktivierte Benutzer zu verfolgen.Beispiel:carLicenseEinschränkung: Benötigt ein Zeichenfolgenattribut.
- Password Attribute (Kennwortattribut)Gibt ein LDAP-Verzeichnisattribut an, dasCA Single Sign-onverwendet, um das Kennwort eines Benutzers zu authentifizieren. Der von Ihnen eingegebene Attributname in diesem Feld muss dem Speicherort im LDAP-Verzeichnis entsprechen, das die Benutzerkennwörter enthält.Beispiel: userPassword.Einschränkung: Benötigt ein binäres Attribut.
- KennwortdatenGibt ein LDAP-Verzeichnisattribut an, dasCA Single Sign-onfür Daten des Kennwortdienstes verwendet, wie z. B. alte Kennwörter.Beispiel: audioEinschränkung: Benötigt ein binäres Attribut.
- Anonyme IDGibt ein LDAP-Verzeichnisattribut an, das die anonyme ID des Benutzers enthältBeispiel: displayName
- E-MailDieses Attribut wird derzeit von keinerCA Single Sign-on-Funktion verwendet.
- Challenge/AntwortGibt ein LDAP-Verzeichnisattribut an, das eine Antwort enthält, dieCA Single Sign-onan einen Benutzer zurückschicken kannBeispiel: jpegphoto
Gruppenfeld "Liste der Attributzuordnung"
casso128figsbrde
Das Gruppenfeld "Liste der Attributzuordnung" listet die allgemeinen Namen auf, die zu Benutzerattributnamen in diesem Benutzerverzeichnis zugeordnet sind.
CA Single Sign-on
verwendet allgemeine Namen, um auf Benutzerinformationen zuzugreifen, die identisch sind, aber in verschiedenen Verzeichnissen anders gespeichert wurden.Das Gruppenfeld "Liste der Attributzuordnung" enthält folgende Schaltflächen:
- >Öffnet die ausgewählte Zuordnung in der Attributzuordnung: ImNamensbereich, wo Sie die Zuordnung anzeigen und ändern können.
- -Löscht die ausgewählte Zuordnung aus der Liste der Attributzuordnung.
- ErstellenÖffnet den Bereich "Attributzuordnung erstellen".
Dialogfeld "Benutzerverzeichnis" - Benutzerdefiniertes Namespace
Das Dialogfeld "Benutzerverzeichnis" enthält folgende standardmäßige Einstellungen:
- NameGibt den Namen des Verbindungsobjekts des Benutzerverzeichnisses an. Dies ist der Name, der auf der Verwaltungsoberfläche verwendet wird, um den Benutzerspeicher anzuzeigen.Hinweis:Um Single Sign-On in einerCA Single Sign-on-Umgebung zu verwalten, die mehrere Richtlinienspeicher enthält, verwenden Sie den gleichen Benutzerverzeichnisnamen, wenn Sie eine Verzeichnisverbindung definieren. Wenn Sie beispielsweise eine Verbindung zum ODBC-Benutzerverzeichnis mit dem Namen "ODBC1" haben, die Sie in "Richtlinienspeicher A" konfiguriert haben, und wenn Sie einen zweiten Richtlinienspeicher mit dem Namen "Richtlinienspeicher B" haben, um Single Sign-On zu verwalten, dann müssen Sie die Verbindung in Richtlinienspeicher B mithilfe des Namens "ODBC1" konfigurieren.
- BeschreibungBeschreibt die Verbindung des Benutzerverzeichnisses.
- Inhalte anzeigenÖffnet das Dialogfeld "Inhalte anzeigen", das die Inhalte des angegebenen Verzeichnisses auflistet.
Weitere Details über individuelle Gruppenfelder finden Sie hier:
Gruppenfeld "Verzeichniseinrichtung"
Im Gruppenfeld "Verzeichniseinrichtung" geben Sie den Pfad und den Namen der benutzerdefinierten Bibliothek und zusätzliche Verbindungseinstellungen ein.
- NamespaceGibt den Namespace des Benutzerverzeichnisses an.
- BibliothekGibt die freigegebene Bibliothek für die benutzerdefinierte Verzeichnisverbindung an. Sie können die freigegebene Bibliothek mithilfe von einer der folgenden Methoden angeben:
- Wenn sich die Bibliothek unter einem Windows- oder UNIX-Verzeichnis des Richtlinienservers befindet, jeweils unter "Bin" und "lib", dann können Sie den Bibliotheksnamen ohne Dateierweiterung angeben.Beispiel:Sie können das Beispiel für die Verzeichnis-API kompilieren. Platzieren Sie die Bibliothek in eines der Richtlinienserver-Verzeichnisse, und geben Siesmdirapiein.
- Wenn sich die Bibliothek an einem anderen Ort befindet, geben Sie den vollständigen Pfad zur Bibliothek, einschließlich des Bibliotheksnamens, ohne Dateierweiterung an.Beispiel: D:\CustomLibraries\MyLib
- Sicherheitskontext des authentifizierten Benutzers verwenden(Optional) Ermöglicht esCA Single Sign-on, einen Windows-Benutzersicherheitskontext in Webanwendungen anzugeben, die auf IIS-Webservern ausgeführt und vonCA Single Sign-ongeschützt werden.
- Sichere Verbindung(Optional) Erzwingt eine SSL-Verbindung (Secure Sockets Layer), wenn der Richtlinienserver und das LDAP-Benutzerverzeichnis miteinander kommunizieren.Hinweis:Stellen Sie bei SSL-Verbindungen sicher, dass Sie den Speicherort der Datenbankdatei des Zertifikats in der Richtlinienserver-Verwaltungskonsole angegeben haben.
Gruppenfeld "Anmeldeinformationen des Administrators"
Mit dem Gruppenfeld "Anmeldeinformationen des Administrators" können Sie die administrativen Anmeldeinformationen angeben, die der Richtlinienserver verwendet, um auf das Benutzerverzeichnis zuzugreifen.
- Anmeldeinformationen sind erforderlichWenn ausgewählt, dann ist es erforderlich, dass der Richtlinienserver die angegebenen Anmeldeinformationen verwendet, wenn eine Verbindung zum Benutzerverzeichnis hergestellt wird.
- BenutzernameDefiniert den Benutzernamen eines Administrators für das Benutzerverzeichnis. Der Richtlinienserver verwendet diesen Namen, wenn eine Verbindung zum Benutzerverzeichnis hergestellt wird.
- Kennwort und KennwortbestätigungDefiniert das Administratorkennwort.
Gruppenfeld "Benutzerdefinierte Einstellungen"
Im Gruppenfeld "Benutzerdefinierte Einstellungen" geben Sie Parameter und Zeitlimits für die Verbindung zum Benutzerverzeichnis ein.
- ParameterGibt die erforderlichen Parameter an.Die Anforderungen der freigegebenen Bibliothek, die mit denCA Single Sign-on-APIs erstellt wurden, legen die Parameter fest, die der Richtlinienserver für die Verbindung zum benutzerdefinierten Benutzerverzeichnis benötigt.Wenn Sie zum Beispiel APIs von Drittanbietern verwenden, dann haben Sie möglicherweise eine freigegebene Bibliothek erstellt, die dieCA Single Sign-on-APIs abrufen müssen. Sie können das Parameterfeld verwenden, um diese Bibliothek des Drittanbieters anzugeben.
- HöchstzeitGibt die maximale Zeit in Sekunden an, die der Richtlinienserver verwenden soll, um nach Ergebnissen im Benutzerverzeichnis zu suchen. Wenn der Richtlinienserver die Verbindung nicht finden kann, gibt der Richtlinienserver eine Fehlermeldung zurück.
- Maximale ErgebnisseGibt die maximale Anzahl der Ergebnisse an, die der Richtlinienserver zurückgeben kann, wenn eine Suche im Benutzerverzeichnis durchgeführt wird. Wenn der Richtlinienserver das Benutzerverzeichnis sucht, sind die Suchergebnisse auf diese Anzahl beschränkt.
Gruppenfeld "Benutzerattribute"
Einige
CA Single Sign-on
-Funktionen benötigen Lesezugriff oder Lese- und Schreibzugriff auf Verzeichnisattribute. Diese Informationen müssen in einem Benutzerverzeichnis gespeichert werden, auf das CA Single Sign-on
Zugriff hat. Wenn Sie Verbindungen zum Benutzerverzeichnis konfigurieren, müssen Sie die Namen bestimmter Attribute der Benutzerprofile in den Verzeichnissen angeben.Die Attribute, die Sie angeben, müssen bestimmte Datentypen haben. Kennwortattribut und Kennwortdaten benötigen binäre Attribute, und alle anderen benötigen Zeichenfolgenattribute.
Die von Ihnen angegebenen Attribute müssen:
- In Ihrem Benutzerverzeichnis vorhanden sein
- Der korrekte Typ sein (Zeichenfolge, Binärdatei)
- Dürfen nicht verwendet werden, um andere Datentypen zu speichern (nur für Lese- und Schreibattribute)
Folgende Felder sind möglicherweise verfügbar, abhängig von der Bibliothek für Ihre Verbindung zum benutzerdefinierten Benutzerverzeichnis:
- Universelle IDGibt den Namen des Attributs an, dasCA Single Sign-onals universelle ID verwendet. Die "Universelle ID" kann an andere Anwendungen übergeben werden, die mitCA Single Sign-onkommunizieren, um die Identität des Benutzers zu verwalten. Diese Funktion wird hauptsächlich als Brücke zwischenCA Single Sign-onund Legacy-Anwendungen verwendet, die oft Attribute verwenden, außer einem Benutzernamen, wie z. B. eine Sozialversicherungsnummer, um den Benutzer zu identifizieren.Beispiel: Um das Beispiel für die Verzeichnis-API zu testen, geben Sieloginein.
- Deaktivierte MarkierungGibt den Namen des Benutzerverzeichnisattributs an, das den deaktivierten Status des Benutzers enthält. Der von Ihnen eingegebene Attributname muss dem Speicherort im Verzeichnis entsprechen, das die deaktivierte Markierung enthält.Beispiel:Um das Beispiel für die Verzeichnis-API zu testen, geben Siedisabledein.Einschränkung: Benötigt ein Zeichenfolgenattribut.
- Password Attribute (Kennwortattribut)Gibt den Namen des Benutzerverzeichnisattributs an, dasCA Single Sign-onverwenden sollte, um ein Benutzerkennwort zu authentifizieren. Der von Ihnen eingegebene Attributname muss dem Speicherort im Verzeichnis entsprechen, das die Benutzerkennwörter enthält.Beispiel: Um das Beispiel für die Verzeichnis-API zu testen, geben Siepasswordein.Einschränkung: Benötigt ein binäres Attribut.
- KennwortdatenGibt den Namen des Benutzerverzeichnisattributs an, dasCA Single Sign-onfür Daten des Kennwortdienstes verwenden kann. DieCA Single Sign-on-Funktion "Kennwortdienste" benötigt einen Speicherort im Benutzerverzeichnis, um den Verlauf der Benutzerkennwortinformationen zu speichern.Einschränkung: Benötigt ein binäres Attribut.
- Anonyme IDGibt den Namen des Attributs im Benutzerverzeichnis an, das die anonyme ID des Benutzers enthält. AufCA Single Sign-on-Sites, die anonyme Anmeldung erlauben, können Benutzer auf Ressourcen zugreifen, indem eine Authentifizierung mit einer anonymen ID, die von einem anonymen Authentifizierungsschema eingerichtet wurde, durchgeführt wird. Wenn sich ein Benutzer mithilfe des anonymen Schemas anmeldet, speichertCA Single Sign-onden angegebenen DN als Wert des Attributs, das im Feld "Anonyme ID" angegeben wurde.
- Challenge/AntwortGibt den Namen des Attributs im Benutzerverzeichnis an, das eine Antwort enthält, dieCA Single Sign-onan einen Benutzer zurückschicken kann. Dieses Benutzerverzeichnisattribut enthält Challenge- und Antwortinformationen, die in Kennwortdiensten verwendet werden. Wenn Benutzer ihre Kennwörter vergessen, verwendetCA Single Sign-ondieses Attribut, um den Hinweis für das Kennwort festzustellen, der an die Benutzer zurückgegeben werden soll.
Gruppenfeld "Liste der Attributzuordnung"
casso128figsbrde
Das Gruppenfeld "Liste der Attributzuordnung" listet die allgemeinen Namen auf, die zu Benutzerattributnamen in diesem Benutzerverzeichnis zugeordnet sind.
CA Single Sign-on
verwendet allgemeine Namen, um auf Benutzerinformationen zuzugreifen, die identisch sind, aber in verschiedenen Verzeichnissen anders gespeichert wurden.Das Gruppenfeld "Liste der Attributzuordnung" enthält folgende Schaltflächen:
- >Öffnet die ausgewählte Zuordnung in der Attributzuordnung: ImNamensbereich, wo Sie die Zuordnung anzeigen und ändern können.
- -Löscht die ausgewählte Zuordnung aus der Liste der Attributzuordnung.
- ErstellenÖffnet den Bereich "Attributzuordnung erstellen".
Dialogfeld "Benutzerverzeichnis" - AD-Namespace
Das Dialogfeld "Benutzerverzeichnis" enthält folgende standardmäßige Einstellungen:
- NameGibt den Namen der neuen Verbindung zum Active Directory an.Hinweis:Um Single Sign-On in einerCA Single Sign-on-Umgebung zu verwalten, die mehrere Richtlinienspeicher enthält, verwenden Sie den gleichen Benutzerverzeichnisnamen, wenn Sie eine Verzeichnisverbindung definieren. Wenn Sie beispielsweise eine Verbindung zum AD-Benutzerverzeichnis mit dem Namen "AD1" haben, die Sie in "Richtlinienspeicher A" konfiguriert haben, und wenn Sie einen zweiten Richtlinienspeicher mit dem Namen "Richtlinienspeicher B" haben, um Single Sign-On zu verwalten, dann müssen Sie die Verbindung in Richtlinienspeicher B mithilfe des Namens "AD1" konfigurieren.
- BeschreibungBeschreibt die Verbindung des Benutzerverzeichnisses.
- Inhalte anzeigenÖffnet das Dialogfeld "Inhalte anzeigen", das die Inhalte des angegebenen Verzeichnisses auflistet.
Weitere Details über individuelle Gruppenfelder finden Sie hier:
Gruppenfeld "Verzeichniseinrichtung", AD
Sie geben Informationen an, die der Richtlinienserver verwendet, um eine Verbindung mit Ihrem Active Directory-Verzeichnis im Gruppenfeld "Verzeichniseinrichtung" herzustellen.
- NameSpaceGibt den Namespace des Benutzerspeichers an. Für Verzeichnisse, die das "Microsoft SDK" verwenden, wählen Sie "AD" aus.
- ServerGibt die IP-Adresse und die Portnummer oder den vollqualifizierten Domänennamen (FQDN) des AD-Servers an. Wenn Sie keine Portnummer eingeben, dann wird der Standardport (389) verwendet.Hinweis: Bei sicheren Verbindungen vom Richtlinienserver zu einem AD-Namespace über SSL müssen Sie den FQDN und die Portnummer in diesem Feld angeben.Wenn Sie nur die IP-Adresse anstatt des FQDN angeben, dann wird folgender Fehler in den Protokollen angezeigt:error 29, "User Directory Can Not be Contacted"Ein Bericht wird auch im Windows-Ereignisprotokoll angezeigt, das angibt, dass das Zertifikat nicht mit dem Namen des Servers übereinstimmt.
- KonfigurierenÖffnet das Dialogfeld "Setup für Verzeichnis-Failover und Lastenausgleich", wo Sie mehrere Server für den Lastenausgleich und das Failover angeben können.
- Sichere VerbindungWenn diese Option ausgewählt ist, wird eine SSL-Verbindung (Secure Sockets Layer) erzwungen, wenn der Richtlinienserver und das LDAP-Benutzerverzeichnis miteinander kommunizieren.Hinweis:Stellen Sie sicher, dass Sie den Port für SSL im Serverfeld angeben. Stellen Sie sicher, dass Sie auch den Speicherort der Datenbankdatei des Zertifikats in der Richtlinienserver-Verwaltungskonsole angegeben haben.
- Sicherheitskontext des authentifizierten Benutzers verwendenWenn diese Option ausgewählt ist, wird ein Windows-Benutzersicherheitskontext in Webanwendungen bereitgestellt, die auf IIS-Webservern ausgeführt und vonCA Single Sign-ongeschützt werden.
Gruppenfeld "Anmeldeinformationen des Administrators"
Im Gruppenfeld "Anmeldeinformationen des Administrators" können Sie administrative Anmeldeinformationen angeben, die der Richtlinienserver verwenden soll, um auf das Active Directory zuzugreifen.
- Anmeldeinformationen sind erforderlichWenn ausgewählt, dann ist es erforderlich, dass der Richtlinienserver die angegebenen Anmeldeinformationen verwendet, wenn eine Verbindung zum Benutzerverzeichnis hergestellt wird.
- BenutzernameGibt den Distinguished Name (DN) eines Admin-Benutzers an, der über ausreichende Berechtigungen verfügt, um auf das Benutzerverzeichnis zuzugreifen.Hinweis:Für Active Directory müssen Sie einen vollständigen DN eingeben.Beispiel:cn=<Administrator>,cn=<Gruppe des Administrators>,dc=<Server>,dc=<Organisation>,dc=<com, net etc.>
- Kennwort und KennwortbestätigungGibt das Administratorkennwort an. Der Richtlinienserver verwendet den DN und das Kennwort, um auf das Benutzerverzeichnis zuzugreifen.
Gruppenfeld "LDAP-Suche"
Im Gruppenfeld "LDAP-Suche" geben Sie Suchstämme an.
- StammGibt den Active Directory-Stamm an, den der Richtlinienserver als Ausgangspunkt für die Verzeichnisverbindung verwendet.Für Active Directory hat der Stamm normalerweise folgendes Format:dc=,dc= ,dc=Zum Beispiel, dc=Server,dc=myorg,dc=org
- GeltungsbereichLegt fest, wie weit der Richtlinienserver in der Verzeichnisstruktur nach Benutzern sucht:
- Eine EbeneLegt eine Ebene unter dem Stamm fest
- UnterstrukturLegt alle Ebenen unter dem Stamm fest
- HöchstzeitDefiniert die Zeit in Sekunden, während derer der Richtlinienserver das Benutzerverzeichnis nach Ergebnissen durchsucht.Nach der angegebenen Zeit beendet der Richtlinienserver die Suche und gibt übereinstimmende Datensätze oder einen Fehler zurück.Standard: 30Hinweis:Das Zeitlimit kann auch über die Benutzeroberfläche Ihres Active Directory konfiguriert werden. Wenn die Zeiträume des Zeitlimits unterschiedlich sind, dann hat das kürzere Zeitlimit Vorrang. Ein Nullwert (0) wird nicht unterstützt. Ein Nullwert kann zu Threads führen, die unbegrenzt im Richtlinienserver verbleiben. Achten Sie auf die Antwortzeit Ihres Systems, wenn Sie einen Maximalwert festlegen.
- Maximale ErgebnisseGibt die Höchstanzahl der Datensätze an, die für eine einzelne Suche nach dem LDAP-Benutzerverzeichnis zurückgegeben werden können.Der Standardwert für dieses Feld ist 0. Dies zeigt an, dass es keine maximale Grenze für die Anzahl der Datensätze gibt, die für eine einzelne Suche des LDAP-Benutzerverzeichnisses zurückgegeben werden können.
Gruppenfeld "LDAP-Benutzer-DN-Suche"
Im Gruppenfeld "LDAP-Benutzer-DN-Suche" geben Sie die Parameter für die Suche der Benutzer in einem Benutzerspeicher an.
- StartenGibt die Textzeichenfolge an, die als Anfang eines Active Directory-Suchausdrucks (LDAP) oder Benutzer-DN dient. Wenn ein Benutzer versucht, sich anzumelden, stellt der Richtlinienserver diese Zeichenfolge dem Anfang des Benutzernamens voran.Suchausdrücke sind vom Setup Ihres Benutzerverzeichnisses abhängig.
- EndeGibt die Textzeichenfolge an, die als Ende eines Active Directory-Suchausdrucks (LDAP) oder Benutzer-DN dient. Wenn ein Benutzer versucht, sich anzumelden, hängt der Richtlinienserver die Zeichenfolge "Ende" an das Ende des Benutzernamens an. Die Kombination aus der Zeichenfolge "Starten", Benutzername und Zeichenfolge "Ende" wird verwendet, um das LDAP-Benutzerverzeichnis zu suchen.Hinweis:Wenn Sie die Verwaltungsoberfläche verwenden, um Parameter mit einer LDAP-Verbindung zu aktualisieren, starten Sie den Richtlinienserver neu, um die neuen Parameter gültig zu machen.
Gruppenfeld "Benutzerattribute"
Einige
CA Single Sign-on
-Funktionen benötigen Lesezugriff oder Lese- und Schreibzugriff auf Verzeichnisattribute. Diese Informationen müssen in einem Benutzerverzeichnis gespeichert werden, auf das CA Single Sign-on
Zugriff hat. Wenn Sie Verbindungen zum Benutzerverzeichnis konfigurieren, müssen Sie die Namen bestimmter Attribute der Benutzerprofile in den Verzeichnissen angeben.Die Attribute, die Sie angeben, müssen bestimmte Datentypen haben. Kennwortattribut und Kennwortdaten benötigen binäre Attribute, und alle anderen benötigen Zeichenfolgenattribute.
Die von Ihnen angegebenen Attribute müssen:
- In Ihrem Benutzerverzeichnis vorhanden sein
- Der korrekte Typ sein (Zeichenfolge, Binärdatei)
- Dürfen nicht verwendet werden, um andere Datentypen zu speichern (nur für Lese- und Schreibattribute)
Folgende Attribute können konfiguriert werden:
- Universelle IDGibt ein Active Directory-Attribut an, dasCA Single Sign-onals universelle ID verwendet.Beispiel: uid.
- Deaktivierte MarkierungGibt ein Active Directory-Attribut an, dasCA Single Sign-onverwendet, um deaktivierte Benutzer zu verfolgen.Beispiel:carLicenseEinschränkung: Benötigt ein Zeichenfolgenattribut.
- Password Attribute (Kennwortattribut)Gibt ein Active Directory-Attribut an, dasCA Single Sign-onverwendet, um das Kennwort eines Benutzers zu authentifizieren. Der von Ihnen eingegebene Attributname in diesem Feld muss dem Speicherort im LDAP-Verzeichnis entsprechen, das die Benutzerkennwörter enthält.Beispiel: unicodePwdEinschränkung: Benötigt ein binäres Attribut.
- KennwortdatenGibt ein Active Directory-Attribut an, dasCA Single Sign-onfür Daten des Kennwortdienstes verwendet, wie z. B. alte Kennwörter.Beispiel: audioEinschränkung: Benötigt ein binäres Attribut.
- Anonyme IDGibt ein Active Directory-Attribut an, das die anonyme ID des Benutzers enthält.Beispiel: displayName
- E-MailDieses Attribut wird derzeit von keinerCA Single Sign-on-Funktion verwendet.
- Challenge/AntwortGibt ein Active Directory-Attribut an, das eine Antwort enthält, dieCA Single Sign-onan einen Benutzer zurückschicken kannBeispiel: jpegphoto
Gruppenfeld "Liste der Attributzuordnung"
casso128figsbrde
Das Gruppenfeld "Liste der Attributzuordnung" listet die allgemeinen Namen auf, die zu Benutzerattributnamen in diesem Benutzerverzeichnis zugeordnet sind.
CA Single Sign-on
verwendet allgemeine Namen, um auf Benutzerinformationen zuzugreifen, die identisch sind, aber in verschiedenen Verzeichnissen anders gespeichert wurden.Das Gruppenfeld "Liste der Attributzuordnung" enthält folgende Schaltflächen:
- >Öffnet die ausgewählte Zuordnung in der Attributzuordnung: ImNamensbereich, wo Sie die Zuordnung anzeigen und ändern können.
- -Löscht die ausgewählte Zuordnung aus der Liste der Attributzuordnung.
- ErstellenÖffnet den Bereich "Attributzuordnung erstellen".