Boîte de dialogue Utilisateurs de fédération (entité générant des assertions)
L'étape Utilisateurs de fédération permet de spécifier les utilisateurs et les groupes pour lesquels stmndr génère des assertions.
casso127figsbrfr
HID_federation-users
L'étape Utilisateurs de fédération permet de spécifier les utilisateurs et les groupes pour lesquels
CA Single Sign-on
génère des assertions.Cette boîte de dialogue contient les paramètres suivants :
- Utilisateurs fédérésDéfinit les utilisateurs et les groupes autorisés à accéder aux ressources au niveau de l'entité de confiance.
- AnnuaireIndique l'annuaire à partir duquelCA Single Sign-onobtient des enregistrements des utilisateurs pour lesquels il crée des assertions.
- Classe de l'utilisateurSpécifie une catégorie d'utilisateurs ou groupes d'utilisateurs spécifiques qui peuvent être authentifiés. Les options de ce champ dépendent du type d'annuaire d'utilisateurs (LDAP ou ODBC). Reportez-vous aux tableaux pour obtenir une description et des exemples pour chaque classe d'utilisateur.
- Nom d'utilisateur/filtrer parSpécifie l'entrée appropriée pour la valeur sélectionnée dans le champ Classe d'utilisateur. Reportez-vous aux tableaux pour obtenir des exemples.Valeur :Un filtre
- ExclureIndique que l'utilisateur ou le groupe est exclu comme utilisateur fédéré et n'est pas autorisé à fédérer avec l'autre partenaire.
- Ajouter une lignePour ajouter une ligne et spécifier un sous-ensemble d'utilisateurs différent à partir de cet annuaire pour l'authentification, cliquez sur cette option.
- SupprimerPour supprimer une entrée de la table, cliquez sur cette icône.
Exemples LDAP
Utilisez la syntaxe de filtre LDAP pour spécifier des entrées.
Classe de l'utilisateur
| Entrée valide
|
Utilisateur | Nom unique d'un utilisateur Exemple : uid=user1,ou=People,dc=example,dc=com |
Groupe | Groupe choisi dans la liste. Exemple : ou=Sales,dc=example,dc=com |
Unité organisationnelle | Unité organisationnelle choisie dans la liste. Exemple : ou=People,dc=example,dc=com |
Filtrer les propriétés d'utilisateur | Filtre LDAP. L'utilisateur actuel représente le point de départ pour la recherche. Exemple 1 : [email protected]Exemple 2 : (|(mail=*@.example.com)(memberOf=cn=Employees,ou=Groups,dc=example,dc=com)) |
Filtrer les propriétés de groupe | Filtre LDAP. L'utilisateur actuel est autorisé s'il est membre d'un des groupes correspondant au filtre. Les classes objectclass pour les groupes configurés comme dans le registre CA Single Sign-on sont combinées au filtre.Exemple 1 : pour autoriser des utilisateurs qui sont membres d'un groupe avec la catégorie professionnelle Support CA, entrez : businessCategory=Support CAExemple 2 : pour autoriser des utilisateurs qui sont membres d'un groupe avec une description contenant Administrateur et la catégorie professionnelle Administration, entrez : (|(description=*Administrateur*)(businessCategory=Administration))Remarque : Certains attributs d'une équipe ne pourront pas servir de critère de recherche. |
Filtrer les propriétés d'unité organisationnelle | Filtre LDAP. L'utilisateur actuel est autorisé s'il appartient à une unité organisationnelle qui correspond au filtre. Les classes objectclass pour les unités organisationnelles configurées comme dans le registre CA Single Sign-on sont combinées au filtre.Exemple 1 : pour autoriser des utilisateurs dans une unité organisationnelle avec le code postal 12345, entrez : postalCode=12345Exemple 2 : pour autoriser des utilisateurs dans une unité organisationnelle avec une méthode de livraison préférée finissant par phone et la région Londres, entrez : (|(preferredDeliveryMethod=*phone)(l=Londres)) |
Filtrer | Filtre LDAP. L'utilisateur actuel est autorisé si ses critères correspondent au filtre. Exemple 1 : pour autoriser les utilisateurs du département Support CA, entrez : department=Support CAExemple 2 : pour autoriser des utilisateurs membres du groupe Administrateurs avec les numéros de départements 123 ou 789, entrer : (&(memberof=cn=Administrateurs,ou=Groups,dc=example,dc=com)(|(departmentNumber=123)(departmentNumber=789))) |
Exemples d'ODBC :
Utilisez la syntaxe SQL pour spécifier des requêtes.
Classe de l'utilisateur
| Entrée valide
|
Utilisateur | Valeur de la colonne Nom pour un utilisateur. L'utilisateur actuel est autorisé si ses critères correspondent à l'entrée. Exemple : user1 |
Groupe | Valeur de la colonne Nom pour un groupe d'utilisateurs. L'utilisateur actuel est autorisé s'il est membre du groupe correspondant à la requête. Exemple : Administrateurs |
Requête | Instruction SQL SELECT L'utilisateur actuel est autorisé si ses critères correspondent à la requête. Exemple 1 : avec l'ID d'utilisateur user1 :Entrée : SELECT * FROM SmUser Requête obtenue : SELECT * FROM SmUser WHERE Name = 'user1' Exemple 2 : avec l'ID d'utilisateur user1 :Entrée : SELECT * FROM SmUser WHERE Status LIKE 'Active%' Requête obtenue : SELECT * FROM SmUser WHERE Status LIKE 'Active%' AND Name = 'user1' Exemple 3 : avec l'ID d'utilisateur user1 :Entrée : SELECT * FROM SmUser WHERE Location IN ('London', 'Paris') Requête obtenue : SELECT * FROM SmUser WHERE Location IN ('London', 'Paris') AND Name = 'user1' |