Boîte de dialogue Utilisateurs de fédération (entité générant des assertions)

L'étape Utilisateurs de fédération permet de spécifier les utilisateurs et les groupes pour lesquels stmndr génère des assertions.
casso126figsbrfr
HID_federation-users
L'étape Utilisateurs de fédération permet de spécifier les utilisateurs et les groupes pour lesquels
CA Single Sign-on
génère des assertions.
Cette boîte de dialogue contient les paramètres suivants :
  • Utilisateurs fédérés
    Définit les utilisateurs et les groupes autorisés à accéder aux ressources au niveau de l'entité de confiance.
    • Annuaire
      Indique l'annuaire à partir duquel
      CA Single Sign-on
      obtient des enregistrements des utilisateurs pour lesquels il crée des assertions.
    • Classe de l'utilisateur
      Spécifie une catégorie d'utilisateurs ou groupes d'utilisateurs spécifiques qui peuvent être authentifiés. Les options de ce champ dépendent du type d'annuaire d'utilisateurs (LDAP ou ODBC). Reportez-vous aux tableaux pour obtenir une description et des exemples pour chaque classe d'utilisateur.
    • Nom d'utilisateur/filtrer par
      Spécifie l'entrée appropriée pour la valeur sélectionnée dans le champ Classe d'utilisateur. Reportez-vous aux tableaux pour obtenir des exemples.
      Valeur :
      Un filtre
    • Exclure
      Indique que l'utilisateur ou le groupe est exclu comme utilisateur fédéré et n'est pas autorisé à fédérer avec l'autre partenaire.
    • Ajouter une ligne
      Pour ajouter une ligne et spécifier un sous-ensemble d'utilisateurs différent à partir de cet annuaire pour l'authentification, cliquez sur cette option.
    • Supprimer
      Pour supprimer une entrée de la table, cliquez sur cette icône.
Exemples LDAP
Utilisez la syntaxe de filtre LDAP pour spécifier des entrées.
Classe de l'utilisateur
Entrée valide
Utilisateur
Nom unique d'un utilisateur
Exemple :
uid=user1,ou=People,dc=example,dc=com
Groupe
Groupe choisi dans la liste.
Exemple : ou=Sales,dc=example,dc=com
Unité organisationnelle
Unité organisationnelle choisie dans la liste.
Exemple : ou=People,dc=example,dc=com
Filtrer les propriétés d'utilisateur
Filtre LDAP. L'utilisateur actuel représente le point de départ pour la recherche.
Exemple 1 :
[email protected]
Exemple 2 :
(|(mail=*@.example.com)(memberOf=cn=Employees,ou=Groups,dc=example,dc=com))
Filtrer les propriétés de groupe
Filtre LDAP. L'utilisateur actuel est autorisé s'il est membre d'un des groupes correspondant au filtre. Les classes objectclass pour les groupes configurés comme dans le registre
CA Single Sign-on
sont combinées au filtre.
Exemple 1 :
pour autoriser des utilisateurs qui sont membres d'un groupe avec la catégorie professionnelle Support CA, entrez : businessCategory=Support CA
Exemple 2 :
pour autoriser des utilisateurs qui sont membres d'un groupe avec une description contenant Administrateur et la catégorie professionnelle Administration, entrez : (|(description=*Administrateur*)(businessCategory=Administration))
Remarque :
Certains attributs d'une équipe ne pourront pas servir de critère de recherche.
Filtrer les propriétés d'unité organisationnelle
Filtre LDAP. L'utilisateur actuel est autorisé s'il appartient à une unité organisationnelle qui correspond au filtre. Les classes objectclass pour les unités organisationnelles configurées comme dans le registre
CA Single Sign-on
sont combinées au filtre.
Exemple 1 :
pour autoriser des utilisateurs dans une unité organisationnelle avec le code postal 12345, entrez : postalCode=12345
Exemple 2 :
pour autoriser des utilisateurs dans une unité organisationnelle avec une méthode de livraison préférée finissant par phone et la région Londres, entrez : (|(preferredDeliveryMethod=*phone)(l=Londres))
Filtrer
Filtre LDAP. L'utilisateur actuel est autorisé si ses critères correspondent au filtre.
Exemple 1 :
pour autoriser les utilisateurs du département Support CA, entrez : department=Support CA
Exemple 2 :
pour autoriser des utilisateurs membres du groupe Administrateurs avec les numéros de départements 123 ou 789, entrer : (&(memberof=cn=Administrateurs,ou=Groups,dc=example,dc=com)(|(departmentNumber=123)(departmentNumber=789)))
Exemples d'ODBC :
Utilisez la syntaxe SQL pour spécifier des requêtes.
Classe de l'utilisateur
Entrée valide
Utilisateur
Valeur de la colonne Nom pour un utilisateur. L'utilisateur actuel est autorisé si ses critères correspondent à l'entrée.
Exemple : user1
Groupe
Valeur de la colonne Nom pour un groupe d'utilisateurs. L'utilisateur actuel est autorisé s'il est membre du groupe correspondant à la requête.
Exemple : Administrateurs
Requête
Instruction SQL SELECT L'utilisateur actuel est autorisé si ses critères correspondent à la requête.
Exemple 1 :
avec l'ID d'utilisateur user1 :
Entrée : SELECT * FROM SmUser
Requête obtenue : SELECT * FROM SmUser WHERE Name = 'user1'
Exemple 2 :
avec l'ID d'utilisateur user1 :
Entrée : SELECT * FROM SmUser WHERE Status LIKE 'Active%'
Requête obtenue : SELECT * FROM SmUser WHERE Status LIKE 'Active%' AND Name = 'user1'
Exemple 3 :
avec l'ID d'utilisateur user1 :
Entrée : SELECT * FROM SmUser WHERE Location IN ('London', 'Paris')
Requête obtenue : SELECT * FROM SmUser WHERE Location IN ('London', 'Paris') AND Name = 'user1'