Configuration des mappages d'identités
Les mappages d'identités fournissent une méthode améliorée de mappage des utilisateurs d'un annuaire source à un annuaire cible à l'aide de critères de recherche personnalisés. Vous pouvez utiliser les mappages d'identités pour l'autorisation des utilisateurs et la validation des utilisateurs.
casso1283
Les mappages d'identités fournissent une méthode améliorée de mappage des utilisateurs d'un annuaire source à un annuaire cible à l'aide de critères de recherche personnalisés. Vous pouvez utiliser les mappages d'identités pour l'autorisation des utilisateurs et la validation des utilisateurs.
Remarque :
La vidéo fait référence au nom de produit CA SiteMinder, l'ancien nom de Symantec SiteMinder
.Le mappage d'identités fournit les deux méthodes de mappage suivantes :
- Mappage d'autorisations (méthode par défaut)
- Mappage de validations
Le mappage d'autorisations et le mappage de validations sont disponibles seulement pour la protection basée sur le domaine, mais pas pour la protection basée sur le modèle d'application.
Les mappages d'identités activent la recherche personnalisée et permettent de contrôler l'ordre des règles de mappage à l'aide de différents objets d'entrée de mappage d'identités. Le serveur de stratégies tente d'abord de localiser un utilisateur au moyen du mécanisme de mappage défini dans un mappage d'identités. Si le mappage échoue, l'annuaire d'utilisateurs de la session est utilisé pour localiser l'utilisateur. L'annuaire de la session doit résider dans le référentiel de stratégies pour que le serveur de stratégies puisse utiliser cet annuaire par défaut.
Pour le mappage de validations, il n'est pas nécessaire que l'annuaire d'authentification réside dans le référentiel local.
2
Annuaires pris en charge pour les mappages d'identités
Le tableau suivant répertorie les mappages d'annuaires pris en charge et la méthode disponible pour mapper l'annuaire d'authentification vers l'annuaire d'autorisation ou de validation.
Annuaire d'autorisation/Annuaire de validation | |||
Annuaire d'authentification | LDAP | Base de données relationnelles | AD |
LDAP | Noms uniques identiques ID universel Recherche personnalisée | ID universel Recherche personnalisée | Noms uniques identiques ID universel Recherche personnalisée |
AD | Noms uniques identiques ID universel Recherche personnalisée | ID universel Recherche personnalisée | Noms uniques identiques ID universel Recherche personnalisée |
Base de données relationnelles | ID universel Recherche personnalisée | Noms uniques identiques ID universel Recherche personnalisée | ID universel Recherche personnalisée |
A compter de la version 12.52 SP1 CR05, le serveur de stratégies prend en charge les espaces de noms AD en tant qu'annuaire d'autorisation/de validation pour le mappage d'identités.
Types d'entrées de mappage d'identités
Un mappage d'identités peut contenir une ou plusieurs entrées. Une entrée de mappage d'identités définit une règle qui spécifie la méthode à suivre pour trouver un utilisateur dans l'annuaire cible. Pour trouver l'utilisateur dans l'annuaire cible, le serveur de stratégies utilise des critères de recherche basés sur les informations du ticket de session.
Un mappage d'identités peut contenir plusieurs annuaires d'utilisateurs cibles. Vous pouvez ajouter des entrées pour différents annuaires d'utilisateurs cibles dans le même objet de mappage d'identités. Les entrées de mappage d'identités sont traitées comme une liste triée de mappages.
Les deux types d'entrées de mappage d'identités ci-dessous sont utilisés :
- Entrée Mappage d'identités d'autorisationSpécifie les liens vers les annuaires source et cible. Si les liens ne sont pas disponibles, l'annuaire d'authentification est utilisé pour l'autorisation. Vous pouvez sélectionner un nom unique identique, un ID universel ou des critères de recherche personnalisés.
- Entrée Mappage d'identités de validationSpécifie le nom de l'annuaire source comme chaîne de texte et lien vers l'annuaire cible. Vous pouvez fournir le nom de l'annuaire source ou sélectionner la valeur par défaut Annuaire d'utilisateurs SMSESSION. La valeur par défaut indique que l'annuaire d'utilisateurs du ticket de session est utilisé pour la validation. S'il n'existe aucun lien vers l'annuaire cible, l'annuaire d'authentification est utilisé pour la validation. Vous pouvez sélectionner un nom unique identique ou un ID universel ou spécifier un attribut de recherche personnalisé.
Utilisation d'expressions de recherche d'utilisateur complexes
Vous pouvez mapper un annuaire d'authentification vers un annuaire d'autorisation ou vers un annuaire de validation à l'aide de critères de recherche d'utilisateur complexes. Un critère de recherche d'utilisateur est une combinaison d'attributs. L'attribut peut être issu d'un annuaire source ou cible.
En général, le critère de recherche d'utilisateur est spécifique à l'annuaire d'utilisateurs. Par exemple, un critère de recherche d'utilisateur basé sur ODBC peut être différent d'un critère de recherche d'utilisateur basé sur LDAP.
Pour prendre en charge les annuaires d'utilisateurs dans différents espaces de noms, définissez les critères de recherche pour chaque annuaire d'utilisateurs. Vous pouvez également définir un mappage d'attributs d'annuaire d'utilisateurs pour l'annuaire d'utilisateurs cible. Chaque annuaire d'utilisateurs doit alors définir ses propres critères de recherche pour le mappage d'attributs. Le mappage d'attributs d'annuaire d'utilisateurs permet de définir des critères de recherche spécifiques à l'annuaire d'utilisateurs.
Procédure de configuration d'un mappage d'identités d'autorisation
Le processus de configuration d'un mappage d'identités d'authentification/autorisation se compose de deux étapes :
- Configuration d'un mappage d'identités d'autorisation
- Affectation d'un mappage d'identités d'autorisation à un domaine d'authentification
Configuration d'un mappage d'identités d'autorisation
Pour authentifier les utilisateurs auprès d'un annuaire et pour les autoriser auprès d'un autre annuaire, configurez un mappage d'identités.
Procédez comme suit :
- Cliquez sur Infrastructure, Répertoire.
- Cliquez sur Mappages d'identités.
- Cliquez sur Créer un mappage d'identités.
- Spécifiez un nom et une description pour le mappage.
- Sélectionnez le type de mappage Authentification-Autorisation.
- Cliquez sur Créer une entrée.
- Spécifiez un nom pour l'entrée de mappage d'identités.
- Sélectionnez les annuaires source et cible dans les listes respectives.
- Sélectionnez l'une des options suivantes comme critère de recherche d'utilisateur :
- Noms uniques identiquesMappe le nom unique d'un utilisateur à partir de l'annuaire d'authentification vers l'annuaire de validation.
- ID universelRenvoie la valeur de l'attribut ID universel dans l'annuaire d'authentification avec la valeur ID universel dans l'annuaire de validation.
- Recherche personnaliséeSpécifie les attributs inclus dans les annuaires cible et source. L'attribut Annuaire source peut être un attribut spécifié par l'utilisateur ou un attribut de la sessionSiteMinder.
- Cliquez sur OK.L'entrée de mappage d'identités est ajoutée à l'objet de mappage d'identités d'autorisation.
- Cliquez sur Soumettre.L'objet de mappage d'identités d'autorisation est configuré.
Affectation d'un mappage d'identités d'autorisation à un domaine d'authentification
Affectez un mappage d'identités d'autorisation à un domaine d'authentification. Le serveur de stratégies utilise le mappage d'autorisation spécifié dans le domaine d'authentification pour autoriser les utilisateurs.
Procédez comme suit :
- Cliquez sur Stratégies, Domaine, puis sur Domaines d'authentification.La page Domaines d'authentification s'affiche.
- Sélectionnez le domaine d'authentification à modifier.
- Cliquez sur Modifier.
- Dans la liste Mappages d'autorisations, sélectionnez le mappage d'identités à utiliser comme annuaire d'autorisation.
- Cliquez sur Soumettre.Le mappage d'identités d'autorisation est affecté au domaine d'authentification sélectionné.
Configuration d'un mappage d'identités de validation
Le processus de configuration d'un mappage d'identités d'authentification et de validation se compose de deux étapes :
- Configuration d'un mappage d'identités de validation
- Affectez un mappage d'identités de validation à un domaine d'authentification.
Vous pouvez créer des mappages de validations pour les annuaires se trouvant dans le même référentiel. L'annuaire source ne doit pas obligatoirement résider dans le référentiel local.
Configuration d'un mappage d'identités de validation
Configurez un mappage d'identités pour authentifier les utilisateurs auprès d'un annuaire et pour les valider auprès d'un autre annuaire.
Procédez comme suit :
- Cliquez sur Infrastructure, Répertoire.
- Cliquez sur Mappages d'identités.
- Cliquez sur Créer un mappage d'identités.
- Entrez un nom et une description.
- Sélectionnez le type de mappage Authentification-Validation.
- Cliquez sur Créer une entrée.
- Entrez le nom.
- Spécifiez un annuaire source si l'annuaire n'est pas issu de la session.
- Sélectionnez l'annuaire cible.
- Sélectionnez un critère de recherche d'utilisateur.Si vous sélectionnez Recherche personnalisée, spécifiez les attributs dans Annuaire cible et Annuaire source. L'attribut Annuaire source peut être un attribut spécifié par l'utilisateur ou un attribut de la sessionSiteMinder.En cas d'attribut spécifié par l'utilisateur, le serveur de stratégies qui reçoit la demande de validation doit contenir un annuaire d'utilisateurs source avec les critères suivants :
- L'annuaire d'utilisateurs source doit posséder le même nom ou le même OID que l'annuaire présent dans la demande SMSESSION.
- Le nom unique d'utilisateur doit correspondre au nom unique d'utilisateur présent dans la demande SMSESSION.
- Cliquez sur OK.L'entrée de mappage d'identités est ajoutée à l'objet de mappage d'identités de validation.
- Cliquez sur Soumettre.L'objet de mappage d'identités de validation est configuré.
Affectation d'un mappage d'identités de validation à un domaine d'authentification
Affectez un mappage d'identités de validation à un domaine d'authentification. Le serveur de stratégies utilise le mappage d'annuaires de validation spécifié dans le domaine d'authentification pour autoriser les utilisateurs.
Procédez comme suit :
- Cliquez sur Stratégies, Domaine, puis sur Domaines d'authentification.
- Sélectionnez le domaine d'authentification à modifier.
- Cliquez sur Modifier.
- Dans la liste Mappages de validations, sélectionnez le mappage d'identités à utiliser comme annuaire d'autorisation.
- Cliquez sur Soumettre.Le mappage d'identités de validation est affecté au domaine d'authentification sélectionné.
Configuration d'un mappage global d'annuaires de validation par défaut
Un mappage d'identités de validation unique peut servir de paramètre par défaut global pour le mappage de validations. La définition d'un mappage global d'identités de validation permet de gagner du temps, dans la mesure où cela évite d'avoir à définir un tel mappage pour tous les domaines d'authentification. Cependant, vous pouvez remplacer le mappage global d'identités de validation par un mappage local.
Procédez comme suit :
- Cliquez sur Stratégies, puis sur Global.
- Cliquez sur Sélectionner un mappage global d'annuaires de validation.La page Sélectionner un mappage global d'annuaires de validation s'affiche.
- Dans la liste correspondante, sélectionnez un objet de mappage d'identités de validation.
- Cliquez sur Soumettre.L'objet de mappage d'identités de validation sélectionné est défini comme paramètre par défaut global pour le mappage de validations.
Pour plus d'informations sur les journaux de mappage d'identités, consultez le fichier smtracedefault.log.