Boîte de dialogue Modifier le composant
casso127figsbrfr
HID_modify-component-dialog
CA Single Sign-on
sous-jacents que vous ne devez pas configurer lorsqu'une application est protégée. Toutefois, vous pouvez les modifier pour un meilleur contrôle des paramètres de vos stratégies CA Single Sign-on
.- SessionLa section Session vous permet :
- De définir le délai d'expiration des sessions.
- De sélectionner les sessions persistantes ou non persistantes.
- Activer ou désactiver l'audit synchrone pour le domaine.
CA Single Sign-onmaintient la session de l'utilisateur.Exemple :si un utilisateur s'authentifie dans RealmA, au délai d'expiration de session de 30 minutes, et que l'utilisateur accède à une ressource dans RealmB 15 minutes plus tard, la session de l'utilisateur expire dans 15 minutes, indépendamment du délai d'expiration de session de RealmB. Si vous voulez modifier ce comportement par défaut, vous pouvez créer des réponses pour remplacer les valeurs du délai d'expiration de session.- Délai d'expiration maximumDétermine la durée d'activité maximum d'une session d'utilisateur avant que l'agent ne requiert sa réauthentification.Ce paramètre est activé par défaut. Pour ne spécifier aucune durée maximum de session, décochez la case. La durée maximum de session par défaut est de deux heures.
- HeuresSpécifie les heures pour la durée maximum de session.
- MinutesSpécifie les minutes pour la durée maximum de session.Pour utiliser cette fonctionnalité avec le schéma d'authentification de base, votre agent Web doit requérir des cookies.Remarque :Vous pouvez remplacer ce paramètre à l'aide de l'attribut de réponse WebAgent-OnAuthAccept-Session-Max-Timeout.
- Idle Timeout Enabled (Délai d'inactivité activé)Permet de déterminer la durée d'inactivité d'une session d'utilisateur autorisée avant que l'agent ne termine la session. Si vous voulez limiter les problèmes que peut supposer l'abandon de la station de travail d'un utilisateur après qu'il ait accédé à une ressource protégée, réduisez le délai d'inactivité. Si la session expire, les utilisateurs doivent se réauthentifier avant d'accéder aux ressources du domaine d'authentification.Ce paramètre est activé par défaut. Pour ne spécifier aucune durée d'inactivité de session, décochez la case. Le délai d'inactivité de session par défaut est une heure.Remarque :Une fois que le délai d'inactivité spécifié s'est écoulé, la session expire après un certain délai de maintenance. Ce délai supplémentaire est déterminé par le nombre de secondes spécifiées dans la clé de registre suivante :HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\CA Single Sign-on\CurrentVersion\SessionServer\MaintenancePeriodValeur par défaut :60 secondesExemple :Si vous définissez le délai d'inactivité sur 10 minutes et vous utilisez la valeur par défaut du paramètre de registre MaintenancePeriod, le délai d'expiration d'une session le plus long due à l'inactivité de l'utilisateur est de 11 minutes, c'est-à-dire le délai de maintenance plus le délai d'expiration spécifié.Pour utiliser cette fonctionnalité avec le schéma d'authentification de base, votre agent Web doit requérir des cookies.Tenez compte des éléments suivants :
- Le délai d'inactivité est requis pour les sessions persistantes. Définissez une valeur plus élevée que celle spécifiée pour la période de validation.
- Vous pouvez remplacer ce paramètre global à l'aide de l'attribut de réponse WebAgent-OnAuthAccept-Session-Idle-Timeout. Une valeur zéro indique que l'inactivité de l'utilisateur n'entraînera pas l'expiration de la session.
- HeuresSpécifie les heures pour le délai d'inactivité.
- MinutesSpécifie les minutes pour le délai d'inactivité.
- Non persistantIndique que les sessions de ce domaine d'authentification ne sont pas persistantes. Les sessions d'utilisateur sont suivies à l'aide de cookies.
- PersistantIndique que les sessions de ce domaine sont persistantes. Les sessions d'utilisateur sont suivies par le référentiel de sessions et les cookies facultatifs.Si vous sélectionnez cette option, l'option Idle Timeout Enabled (Délai d'inactivité activé) doit être définie. Vous pouvez également spécifier une période de validation.Remarque :Si vous configurez un ou plusieurs domaines pour pouvoir utiliser des sessions persistantes, un serveur de sessions est requis.
- Audit synchroneIndique queCA Single Sign-ondoit journaliser les actions effectuées sur le serveur de stratégies et sur l'agent Web avant de permettre l'accès aux ressources.CA Single Sign-onne permettra pas l'accès aux ressources du domaine d'authentification tant que les activités n'ont pas été enregistrées dans les journaux d'audit.
- casso127figsbrfrContrôle amélioré des sessionsProtège les ressources spécifiées dans le domaine d'authentification (du modèle de domaine de stratégies) ou le composant (du modèle d'application). Vous pouvez également protéger les demandes d'authentification de certains partenariats de fédération. Le terminal de contrôle des sessions collecte les informations DeviceDNA™ à partir de l'utilisateur et valide la session.Valeur: spécifiez les terminaux de contrôle de sessions.
- casso127figsbrfrContrôle des sessionsSpécifie le nom d'un contrôle amélioré des sessions avec le terminal DeviceDNA™ que vous avez défini au préalable dans l'interface d'administration. Les sessions d'utilisateurs qui accèdent à ce domaine d'authentification (pour des domaines de stratégie) ou à ce composant (pour des applications) sont validées à l'aide de ce terminal.
- Mappage d'annuaires d'autorisation héritéLa section Mappage d'annuaires d'autorisation hérité vous permet de spécifier un annuaire d'autorisation pour les utilisateurs qui peuvent accéder aux ressources du domaine. Les mappages d'annuaires permettent d'authentifier les utilisateurs dans un annuaire et de les autoriser dans un autre annuaire.
- Mappage d'annuairesSpécifie l'annuaire d'autorisation pour le domaine. Seuls les mappages d'annuaires déjà configurés à l'aide de la boîte de dialogue Mappage d'annuaires : Mappage Auth/Az s'affichent dans la liste.Remarque :Vous pouvez uniquement sélectionner les mappages vers les annuaires d'autorisation inclus dans le domaine de stratégie dans lequel le domaine est localisé.
- EvénementsLa section Evénements vous permet d'activer le traitement des événements d'authentification et d'autorisation pour la prise en charge des règles déclenchées par ceux-ci.
- Traiter les événements d'authentificationPrend en charge les règles déclenchées par des tentatives d'authentification.
- Traiter les événements d'autorisationPrend en charge les règles déclenchées par des tentatives d'autorisation.Si les ressources du domaine d'authentification sont associées à des règles globales dans une stratégie globale, les événements d'authentification et d'autorisation doivent être activés. Le serveur de stratégies traitera les stratégies globales uniquement si les événements d'authentification et d'autorisation sont activés.
- Prise en charge du facteur de risqueSiCA Single Sign-onest intégré avec un moteur d'analyse des risques pris en charge, la section Prise en charge du facteur de risque vous permet d'entrer un niveau de confiance minimum. Un niveau de confiance représente la garantie des informations d'identification, c'est-à-dire la légitimité de l'utilisateur qui demande l'accès à la ressource protégée.Remarque :Cette section est disponible uniquement si la prise en charge du niveau de confiance est activée.
- Sous-composantsLa section Sous-composants vous permet de configurer des composants imbriqués (domaines d'authentification).
- Créer un sous-composantOuvre la fenêtre Créer un composant pour permettre la modification du composant actuel. Cette fenêtre vous permet de créer un composant imbriqué (domaine).