Configuración de las asignaciones de identidades

Las asignaciones de identidades proporcionan un método mejorado para asignar usuarios de un directorio de origen a un directorio de destino usando criterios de búsqueda personalizados. Se pueden utilizar las asignaciones de identidades para la autorización de usuarios y la validación de usuarios.
casso1283
Las asignaciones de identidades proporcionan un método mejorado para asignar usuarios de un directorio de origen a un directorio de destino usando criterios de búsqueda personalizados. Se pueden utilizar las asignaciones de identidades para la autorización de usuarios y la validación de usuarios.
Nota:
 El vídeo hace referencia al nombre del producto como CA SiteMinder, el nombre anterior de Symantec
SiteMinder
.

La asignación de identidades proporciona los dos métodos siguientes de realizar las asignaciones:
  • Asignación de la autorización (opción predeterminada)
  • Asignación de la validación
La asignación de la autorización y la asignación de la validación solo están disponibles para la protección basada en dominios, pero no para la protección del modelo de la aplicación.
Las asignaciones de identidades habilitan la búsqueda personalizada y permiten controlar el orden de las reglas de asignación utilizando distintos objetos de entrada de la asignación de identidades. El Servidor de políticas primero intenta localizar a un usuario con el mecanismo de asignación definido en una asignación de identidades. Si se produce un error en la asignación, se utiliza el directorio de usuarios de la sesión para localizar al usuario. El directorio de la sesión debe estar en el almacén de políticas para que el Servidor de políticas utilice este directorio como valor predeterminado.
Para la asignación de la validación, el directorio de autenticación no tiene que estar en el almacén local.
2
Directorios admitidos para las asignaciones de identidades
La tabla siguiente enumera las asignaciones de directorios admitidas y el método disponible para asignar el directorio de autenticación al directorio de autorización o validación.
Directorio de autorización o directorio de validación
Directorio de autenticación
LDAP
Base de datos relacional
AD
LDAP
Nombres distintivos idénticos
ID universal
Búsqueda personalizada
ID universal
Búsqueda personalizada
Nombres distintivos idénticos
ID universal
Búsqueda personalizada
AD
Nombres distintivos idénticos
ID universal
Búsqueda personalizada
ID universal
Búsqueda personalizada
Nombres distintivos idénticos
ID universal
Búsqueda personalizada
Base de datos relacional
ID universal
Búsqueda personalizada
Nombres distintivos idénticos
ID universal
Búsqueda personalizada
ID universal
Búsqueda personalizada
El Servidor de políticas es compatible con el espacio de nombres de Active Directory como directorio de autorización o validación para la asignación de identidades a partir de la versión 12.52 SP1 CR05 en adelante.
Tipos de entrada de la asignación de identidades
Una asignación de identidades puede contener una o más entradas. Una entrada de la asignación de identidades define una regla que especifica cómo encontrar un usuario en el directorio de destino. Para encontrar al usuario en el directorio de destino, el Servidor de políticas utiliza criterios de búsqueda basados en la información del ticket de sesión.
Una asignación de identidades puede contener más de un directorio de usuarios de destino. Es posible agregar entradas para diversos directorios de usuarios de destino en el mismo objeto de asignación de identidades. Las entradas de la asignación de identidades se procesan como una lista ordenada de asignaciones.
Los dos tipos de entradas de la asignación de identidades son las siguientes:
  • Entrada de la asignación de identidades de autorización
    Especifica los vínculos a los directorios de origen y de destino. Si los vínculos no están disponibles, se utilizará el directorio de autenticación para la autorización. Se puede seleccionar un nombre distintivo idéntico, un ID universal o se pueden especificar criterios de búsqueda personalizados.
  • Entrada de la asignación de identidades de validación
    Especifica el nombre del directorio de origen como una cadena de texto y un vínculo al directorio de destino. Se puede proporcionar el nombre del directorio de origen o se puede seleccionar el valor predeterminado, Directorio de usuarios SMSESSION. El valor predeterminado indica que el directorio de usuarios del ticket de sesión se utiliza para la validación. Si no hay ningún vínculo al directorio de destino, se utilizará el directorio de autenticación para la validación. Se puede seleccionar un nombre distintivo idéntico, un ID universal o se puede especificar un atributo de búsqueda personalizado.
Uso de expresiones de búsqueda de usuarios complejas
Se puede asignar un directorio de autenticación a un directorio de autorización o a un directorio de validación usando criterios de búsqueda de usuarios complejos. Un criterio de búsqueda de usuarios es una combinación de atributos. El atributo puede ser de un directorio de origen o de destino.
Normalmente, el criterio de búsqueda de usuarios es específico del directorio de usuarios. Por ejemplo, un criterio de búsqueda de usuarios basado en ODBC puede ser diferente de un criterio de búsqueda de usuarios basado en LDAP.
Para admitir directorios de usuarios en diferentes espacios de nombres, defina los criterios de búsqueda para cada directorio de usuarios. También se puede definir una asignación de atributos del directorio de usuarios para el directorio de usuarios de destino. A continuación, cada directorio de usuarios debe definir su propio criterio de búsqueda específico para la asignación de atributos. La asignación de atributos del directorio de usuarios permite definir criterios de búsqueda específicos del directorio de usuarios.
Cómo configurar una asignación de identidades de autorización
La configuración de una asignación de identidades de autenticación - autorización es un proceso de dos pasos:
  1. Configuración de una asignación de identidades de autorización
  2. Asignación de una asignación de identidades de autorización a un territorio
Configuración de una asignación de identidades de autorización
Para autenticar a los usuarios en un directorio y autorizar a los usuarios en otro directorio, configure una asignación de identidades.
Lleve a cabo los pasos siguientes:
  1. Haga clic en infraestructura, Directorio.
  2. Haga clic en Asignaciones de identidades.
  3. Haga clic en Crear asignaciones de identidades.
  4. Especifique un nombre y una descripción para la asignación.
  5. Seleccione el tipo de asignación como Autenticación-Autorización.
  6. Haga clic en Crear entrada.
  7. Especifique un nombre para la entrada de la asignación de identidades.
  8. Seleccione los directorios de origen y de destino de las listas respectivas.
  9. Seleccione una de las siguientes opciones como criterio de búsqueda de usuarios:
    • Nombres distintivos idénticos
      Asigna el nombre distintivo (DN) de un usuario del directorio de autenticación al directorio de validación.
    • ID universal
      Hace coincidir el valor del atributo ID universal del directorio de autenticación con el valor del ID universal del directorio de validación.
    • Búsqueda personalizada
      Especifica los atributos del directorio de destino y del directorio de origen. El atributo del directorio de origen puede ser un atributo especificado por el usuario o un atributo de sesión de
      SiteMinder
      .
  10. Haga clic en Aceptar.
    La entrada de la asignación de identidades se agrega al objeto de asignación de identidades de autorización.
  11. Haga clic en Enviar.
    Se ha configurado el objeto de asignación de identidades de autorización.
Asignación de una asignación de identidades de autorización a un territorio
Asigne una asignación de identidades de autorización a un territorio. El Servidor de políticas utiliza la asignación de autorización que se especifica en el territorio para autorizar a los usuarios.
Lleve a cabo los pasos siguientes:
  1. Haga clic en Políticas, Dominio, Territorios.
    Aparecerá la página Territorios.
  2. Seleccione el territorio que desea modificar.
  3. Haga clic en Modificar.
  4. Seleccione la asignación de identidades que desea utilizar como el directorio de autorización de la lista Asignación de autorización.
  5. Haga clic en Enviar.
    La asignación de identidades de autorización se asigna al territorio seleccionado.
Configuración de una asignación de identidades de validación
La configuración de una asignación de identidades de autenticación y validación es un proceso de dos pasos:
  1. Configure una asignación de identidades de validación.
  2. Asigne una asignación de identidades de validación a un territorio.
Se pueden crear asignaciones de validación para los directorios dentro del mismo almacén. El directorio de origen no tiene que estar en el almacén local.
Configuración de una asignación de identidades de validación
Para autenticar a los usuarios en un directorio y autorizar a los usuarios en otro directorio, configure una asignación de identidades.
Lleve a cabo los pasos siguientes:
  1. Haga clic en infraestructura, Directorio.
  2. Haga clic en Asignaciones de identidades.
  3. Haga clic en Crear asignaciones de identidades.
  4. Escriba el nombre y la descripción.
  5. Seleccione el tipo de asignación como Autenticación-Validación.
  6. Haga clic en Crear entrada.
  7. Escriba el nombre.
  8. Especifique un Directorio de origen si el directorio no es de la sesión.
  9. Seleccione el directorio de destino.
  10. Seleccione un criterio de búsqueda de usuarios.
    Si se selecciona la búsqueda personalizada, especifique los atributos del directorio de destino y del directorio de origen. El atributo del directorio de origen puede ser un atributo especificado por el usuario o un atributo de sesión de
    SiteMinder
    Para un atributo especificado por el usuario, el Servidor de políticas que recibe la solicitud de validación debe contener un directorio de usuarios de origen con los criterios siguientes:
    • El directorio de usuarios de origen debe tener el mismo nombre u OID que el directorio que está presente en SMSESSION.
    • El nombre distintivo del usuario debe coincidir con el nombre distintivo del usuario que está presente en SMSESSION.
  11. Haga clic en Aceptar.
    La entrada de la asignación de identidades se agrega al objeto de asignación de identidades de validación.
  12. Haga clic en Enviar.
    Se ha configurado el objeto de asignación de identidades de validación.
Asignación de una asignación de identidades de validación a un territorio
Asigne una asignación de identidades de validación a un territorio. El Servidor de políticas utiliza la asignación de directorios de validación que se especifica en el territorio para autorizar a los usuarios.
Lleve a cabo los pasos siguientes:
  1. Haga clic en Políticas, Dominio, Territorios.
  2. Seleccione el territorio que desea modificar.
  3. Haga clic en Modificar.
  4. Seleccione la asignación de identidades que desea utilizar como el directorio de autorización de la lista Asignación de validación.
  5. Haga clic en Enviar.
    La asignación de identidades de validación se asigna al territorio seleccionado.
Configuración de una asignación predeterminada de directorios de validación global
Una única asignación de identidades de validación puede servir como la opción predeterminada global para la asignación de validación. Al configurar una asignación de identidades de validación global se ahorra tiempo porque no es necesario establecer una para cada territorio. Sin embargo, se puede anular la asignación de identidades de validación global con una asignación local.
Lleve a cabo los pasos siguientes:
  1. Haga clic en Políticas, Global.
  2. Haga clic en Selección de asignaciones de directorios de validación global.
    Aparecerá la página Selección de asignaciones de directorios de validación global.
  3. Seleccione un objeto de asignación de identidades de validación de la lista correspondiente.
  4. Haga clic en Enviar.
    El objeto de asignación de identidades de validación seleccionado se ha configurado como la opción predeterminada global para la asignación de validación.
Para obtener información sobre los registros de asignación de identidades, consulte el archivo smtracedefault.log.