Finestra di dialogo Identificazione utente (OAuth)
Il passaggio Identificazione utente consente di specificare un attributo da un server di autorizzazione OAuth utilizzato dal sistema di federazione per trovare un record in un User Store.
casso13it
HID_userid-oauth
Il passaggio Identificazione utente consente di specificare un attributo da un server di autorizzazione OAuth utilizzato dal sistema di federazione per trovare un record in un User Store.
- Usa utente anonimoSpecifica che le informazioni dell'utente sono di tipo anonimo. Se si seleziona questa opzione, il sistema cerca le directory utenti per un utente corrispondente all'utente anonimo specificato per l'autenticazione dell'utente. Se questa opzione viene deselezionata, il sistema utilizza il valore di attestazione per autenticare l'utente.
- Utente anonimoSe l'opzione Usa utente anonimo viene selezionata, l'opzione definisce il nome dell'attributo di identificazione dell'utente nello User Store.
- Nome attributo ID utenteSe è necessario recuperare l'attributo di identificazione dell'utente dalle attestazioni utente, questa opzione definisce l'attestazione di identificazione dell'utente dalle informazioni dell'utente OAuth.Esempio: emailSe il server di autorizzazione restituisce un attributo che l'utente desidera come parte di un attributo multivalore, definire il nome dell'attributo nel formato seguente:parent_attribute:target_child_attributeEsempio: Windows Live restituisce i dati del messaggio di posta elettronica come attributo multivalore nella risposta JSON. L'attributo è nel formato seguente:"emails": {"preferred": "[email protected]","account": "[email protected]","personal": null,"business": null},Per accedere all'ID di posta elettronica preferito, è necessario configurare il nome dell'attributo come emails:preferred.
- AmbitoSpecifica il tipo di autorizzazione richiesto dall'applicazione all'utente. Ad esempio, se il valore di ambito è https://www.googleapis.com/auth/userinfo.profile, l'applicazione può ottenere l'accesso in sola lettura alle informazioni di base del profilo utente.
- URL servizio di informazione utenteDefinisce gli URL di informazione utente utilizzati dal sistema per recuperare le attestazioni dell'utente. Se non è selezionata l'opzione Utente anonimo, è necessario specificare almeno un URL di informazione utente. Se è selezionata l'opzione Utente anonimo, è possibile specificare un URL di informazione utente.Esempio:Valore per Google: https://www.googleapis.com/oauth2/v1/userinfoValore per LinkedIn: https://api.linkedin.com/v1/people/~?format=json | https://api.linkedin.com/v1/people/~:(email-address)?format=jsonse LinkedIn corrisponde al server di autorizzazione OAuth, è necessario inviare il parametro di query format=json agli URL del servizio di informazioni utente per consentire al sistema di analizzare i dati restituiti.NotaWindowsLive restituisce dati di posta elettronica come parte di attestazioni multivalore.
- Attivazione del connettore diCA Single Sign-onIndica che la partnership sta utilizzando il connettoreCA Single Sign-onper la federazione e l'integrazione diCA Single Sign-on. Abilitare il connettore e configurarlo globalmente nelle Impostazioni di distribuzione per rendere il connettore disponibile per la partnership.Nell'entità di generazione asserzioni, il connettore può stabilire una sessione di federazione da una sessione diCA Single Sign-onin modo che il sistema non contatti nuovamente l'utente. Per stabilire innanzitutto la sessione diCA Single Sign-on,CA Single Sign-onautentica l'utente, quindi l'utente visita l'entità di generazione asserzioni.
- Forza confronto DN utente e Nome directoryIndica al sistema di confrontare le informazioni di autenticazione fornite dall'utente con il DN utente e il nome directory per il record utente. Abilitare il confronto solo se il connettoreCA Single Sign-onè abilitato. Se la casella di controllo è selezionata (impostazione predefinita), il sistema deve utilizzare la stessa directory utenti fisica.Disabilitare il confronto deselezionando questa casella di controllo. Se si disabilita il confronto, il sistema utilizza un ID universale per recuperare il record utente. L'ID universale consente al sistema di utilizzare directory fisicamente diverse e di tipo diverso. L'uso dell'ID universale è sufficiente per considerare corretto il record utente recuperato.Notase si utilizza l'ID Universale, ciascun utente dovrà disporre di un ID universale univoco. Se l'ID universale non è univoco, il sistema che accede al record utente può recuperare e utilizzare il record incorretto.
- Sovrascrivi livello di protezioneConsente di sovrascrivere il livello di autenticazione determinato dallo schema di autenticazione del connettoreCA Single Sign-on. Selezionare la casella di controllo, quindi immettere un valore numerico da 1 a 1000 per il campo Livello di protezione.Utilizzare questa impostazione se si desidera personalizzare il livello di autenticazione per ciascuna partnership.