Boîte de dialogue Modifier le composant

casso126figsbrfr
HID_modify-component-dialog
La boîte de dialogue Modifier le composant affiche la session et les paramètres avancés permettant de modifier les domaines d'authentification et de créer des sous-domaines (composants). Les domaines d'authentification font partie des composants
CA Single Sign-on
sous-jacents que vous ne devez pas configurer lorsqu'une application est protégée. Toutefois, vous pouvez les modifier pour un meilleur contrôle des paramètres de vos stratégies
CA Single Sign-on
.
  • Session
    La section Session vous permet :
    • De définir le délai d'expiration des sessions.
    • De sélectionner les sessions persistantes ou non persistantes.
    • Activer ou désactiver l'audit synchrone pour le domaine.
    Le délai d'expiration de la session d'un utilisateur est déterminé en fonction de la session établie lorsqu'un utilisateur s'authentifie dans un domaine. Si un utilisateur accède à une ressource dans un autre domaine d'authentification,
    CA Single Sign-on
    maintient la session de l'utilisateur.
    Exemple :
    si un utilisateur s'authentifie dans RealmA, au délai d'expiration de session de 30 minutes, et que l'utilisateur accède à une ressource dans RealmB 15 minutes plus tard, la session de l'utilisateur expire dans 15 minutes, indépendamment du délai d'expiration de session de RealmB. Si vous voulez modifier ce comportement par défaut, vous pouvez créer des réponses pour remplacer les valeurs du délai d'expiration de session.
    • Délai d'expiration maximum
      Détermine la durée d'activité maximum d'une session d'utilisateur avant que l'agent ne requiert sa réauthentification.
      Ce paramètre est activé par défaut. Pour ne spécifier aucune durée maximum de session, décochez la case. La durée maximum de session par défaut est de deux heures.
      • Heures
        Spécifie les heures pour la durée maximum de session.
      • Minutes
        Spécifie les minutes pour la durée maximum de session.
        Pour utiliser cette fonctionnalité avec le schéma d'authentification de base, votre agent Web doit requérir des cookies.
        Remarque :
        Vous pouvez remplacer ce paramètre à l'aide de l'attribut de réponse WebAgent-OnAuthAccept-Session-Max-Timeout.
    • Idle Timeout Enabled (Délai d'inactivité activé)
      Permet de déterminer la durée d'inactivité d'une session d'utilisateur autorisée avant que l'agent ne termine la session. Si vous voulez limiter les problèmes que peut supposer l'abandon de la station de travail d'un utilisateur après qu'il ait accédé à une ressource protégée, réduisez le délai d'inactivité. Si la session expire, les utilisateurs doivent se réauthentifier avant d'accéder aux ressources du domaine d'authentification.
      Ce paramètre est activé par défaut. Pour ne spécifier aucune durée d'inactivité de session, décochez la case. Le délai d'inactivité de session par défaut est une heure.
      Remarque :
      Une fois que le délai d'inactivité spécifié s'est écoulé, la session expire après un certain délai de maintenance. Ce délai supplémentaire est déterminé par le nombre de secondes spécifiées dans la clé de registre suivante :
      HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\
      CA Single Sign-on
      \CurrentVersion\SessionServer\MaintenancePeriod
      Valeur par défaut :
      60 secondes
      Exemple :
      Si vous définissez le délai d'inactivité sur 10 minutes et vous utilisez la valeur par défaut du paramètre de registre MaintenancePeriod, le délai d'expiration d'une session le plus long due à l'inactivité de l'utilisateur est de 11 minutes, c'est-à-dire le délai de maintenance plus le délai d'expiration spécifié.
      Pour utiliser cette fonctionnalité avec le schéma d'authentification de base, votre agent Web doit requérir des cookies.
      Tenez compte des éléments suivants :
      • Le délai d'inactivité est requis pour les sessions persistantes. Définissez une valeur plus élevée que celle spécifiée pour la période de validation.
      • Vous pouvez remplacer ce paramètre global à l'aide de l'attribut de réponse WebAgent-OnAuthAccept-Session-Idle-Timeout. Une valeur zéro indique que l'inactivité de l'utilisateur n'entraînera pas l'expiration de la session.
      • Heures
        Spécifie les heures pour le délai d'inactivité.
      • Minutes
        Spécifie les minutes pour le délai d'inactivité.
    • Non persistant
      Indique que les sessions de ce domaine d'authentification ne sont pas persistantes. Les sessions d'utilisateur sont suivies à l'aide de cookies.
    • Persistant
      Indique que les sessions de ce domaine sont persistantes. Les sessions d'utilisateur sont suivies par le référentiel de sessions et les cookies facultatifs.
      Si vous sélectionnez cette option, l'option Idle Timeout Enabled (Délai d'inactivité activé) doit être définie. Vous pouvez également spécifier une période de validation.
      Remarque :
      Si vous configurez un ou plusieurs domaines pour pouvoir utiliser des sessions persistantes, un serveur de sessions est requis.
    • Audit synchrone
      Indique que
      CA Single Sign-on
      doit journaliser les actions effectuées sur le serveur de stratégies et sur l'agent Web avant de permettre l'accès aux ressources.
      CA Single Sign-on
      ne permettra pas l'accès aux ressources du domaine d'authentification tant que les activités n'ont pas été enregistrées dans les journaux d'audit.
    • casso126figsbrfr
      Contrôle amélioré des sessions
      Protège les ressources spécifiées dans le domaine d'authentification (du modèle de domaine de stratégies) ou le composant (du modèle d'application). Vous pouvez également protéger les demandes d'authentification de certains partenariats de fédération. Le terminal de contrôle des sessions collecte les informations DeviceDNA™ à partir de l'utilisateur et valide la session.
      Valeur
      : spécifiez les terminaux de contrôle de sessions.
    • casso126figsbrfr
      Contrôle des sessions
      Spécifie le nom d'un contrôle amélioré des sessions avec le terminal DeviceDNA™ que vous avez défini au préalable dans l'interface d'administration. Les sessions d'utilisateurs qui accèdent à ce domaine d'authentification (pour des domaines de stratégie) ou à ce composant (pour des applications) sont validées à l'aide de ce terminal.
  • Mappage d'annuaires d'autorisation hérité
    La section Mappage d'annuaires d'autorisation hérité vous permet de spécifier un annuaire d'autorisation pour les utilisateurs qui peuvent accéder aux ressources du domaine. Les mappages d'annuaires permettent d'authentifier les utilisateurs dans un annuaire et de les autoriser dans un autre annuaire.
    • Mappage d'annuaires
      Spécifie l'annuaire d'autorisation pour le domaine. Seuls les mappages d'annuaires déjà configurés à l'aide de la boîte de dialogue Mappage d'annuaires : Mappage Auth/Az s'affichent dans la liste.
      Remarque :
      Vous pouvez uniquement sélectionner les mappages vers les annuaires d'autorisation inclus dans le domaine de stratégie dans lequel le domaine est localisé.
  • Evénements
    La section Evénements vous permet d'activer le traitement des événements d'authentification et d'autorisation pour la prise en charge des règles déclenchées par ceux-ci.
    • Traiter les événements d'authentification
      Prend en charge les règles déclenchées par des tentatives d'authentification.
    • Traiter les événements d'autorisation
      Prend en charge les règles déclenchées par des tentatives d'autorisation.
      Si les ressources du domaine d'authentification sont associées à des règles globales dans une stratégie globale, les événements d'authentification et d'autorisation doivent être activés. Le serveur de stratégies traitera les stratégies globales uniquement si les événements d'authentification et d'autorisation sont activés.
  • Prise en charge du facteur de risque
    Si
    CA Single Sign-on
    est intégré avec un moteur d'analyse des risques pris en charge, la section Prise en charge du facteur de risque vous permet d'entrer un niveau de confiance minimum. Un niveau de confiance représente la garantie des informations d'identification, c'est-à-dire la légitimité de l'utilisateur qui demande l'accès à la ressource protégée.
    Remarque :
    Cette section est disponible uniquement si la prise en charge du niveau de confiance est activée.
  • Sous-composants
    La section Sous-composants vous permet de configurer des composants imbriqués (domaines d'authentification).
    • Créer un sous-composant
      Ouvre la fenêtre Créer un composant pour permettre la modification du composant actuel. Cette fenêtre vous permet de créer un composant imbriqué (domaine).