Finestra di dialogo Utenti federazione (entità di generazione asserzioni)

Il passaggio relativo agli utenti della federazione consente di specificare gli utenti e i gruppi per cui stmndr genera asserzioni.
casso127figsbrit
HID_federation-users
Il passaggio relativo agli utenti della federazione consente di specificare gli utenti e i gruppi per cui
CA Single Sign-on
genera asserzioni.
La finestra di dialogo visualizza le seguenti impostazioni:
  • Utenti federati
    Definisce gli utenti e i gruppi con l'accesso consentito alle risorse del relying party.
    • Directory
      Specifica la directory dalla quale
      CA Single Sign-on
      ottiene i record utente per cui vengono create le asserzioni.
    • Classe utente
      Specifica una categoria di utenti singoli o di gruppi di utenti che possono essere autenticati. Le opzioni per questo campo dipendono dal tipo di directory utenti (LDAP o ODBC). Per la descrizione ed esempi relativi a ciascuna classe utente, consultare le tabelle.
    • Nome utente/Filtra per
      Specifica la voce appropriata per il valore selezionato nel campo Classe utente. Consultare le tabelle contenenti gli esempi.
      Valore
      : un filtro
    • Escludi
      Indica che l'utente o il gruppo viene escluso come utente federato e non può federarsi con l'altro partner.
    • Aggiungi riga
      Fare clic per aggiungere una riga e specificare un sottoinsieme diverso di utenti dalla directory di autenticazione.
    • Elimina
      Fare clic sull'icona per eliminare una voce dalla tabella.
Esempi LDAP
Utilizzare la sintassi di filtro LDAP per specificare le voci.
Classe utente
Voce valida
Utente
Nome distinto di un utente.
Esempio:
uid=user1,ou=People,dc=example,dc=com
Gruppo
Gruppo selezionato dall'elenco.
Esempio: ou=Sales,dc=example,dc=com
Unità organizzativa
Unità organizzativa selezionata dall'elenco.
Esempio: ou=People,dc=example,dc=com
Filtra proprietà utente
Filtro LDAP. L'utente corrente corrisponde al punto di partenza per la ricerca.
Esempio 1
: [email protected]
Esempio 2
: (|(mail=*@.example.com)(memberOf=cn=Employees,ou=Groups,dc=example,dc=com))
Filtra proprietà gruppo
Filtro LDAP. L'utente corrente viene autorizzato se è membro di uno dei gruppi corrispondenti al filtro. Le classi di oggetto per i gruppi configurati nel registro di sistema di
CA Single Sign-on
vengono combinate con il filtro.
Esempio 1
: per autorizzare gli utenti membri di un gruppo con una categoria di business Supporto CA, immettere: businessCategory=Supporto CA
Esempio 2
: Per autorizzare gli utenti membri di un gruppo con una descrizione contenente "Amministratore" e una categoria di business "Amministrazione", immettere (|(description=*Amministratore*)(businessCategory=Amministrazione))
Nota
: non tutti gli attributi di un gruppo fungono da criterio di ricerca.
Filtra proprietà unità organizzativa
Filtro LDAP. L'utente corrente viene autorizzato se appartiene a un'unità organizzativa corrispondente al filtro. Le classi di oggetto per le unità organizzative configurate nel registro di sistema di
CA Single Sign-on
vengono combinate con il filtro.
Esempio 1
: Per autorizzare gli utenti inclusi in un'unità organizzativa con codice postale "12345", immettere postalCode=12345
Esempio 2
: Per autorizzare gli utenti inclusi in un'unità organizzativa il cui metodo di recapito preferito finisce in "telefono" e con località "Londra", immettere: (|(preferredDeliveryMethod=*telefono)(l=Londra))
Filtra qualsiasi elemento
Filtro LDAP. L'utente corrente viene autorizzato in caso di corrispondenza con il filtro.
Esempio 1
: Per autorizzare gli utenti con dipartimento "Supporto CA", immettere: department=Supporto CA
Esempio 2
: Per autorizzare gli utenti membri del gruppo "Amministratori" con numero di dipartimento "123" o "789", immettere: (&(memberof=cn=Amministratori,ou=Gruppi,dc=example,dc=com)(|(departmentNumber=123)(departmentNumber=789)))
Esempi ODBC
Utilizzare la sintassi SQL per specificare le query.
Classe utente
Voce valida
Utente
Valore della colonna Nome per un utente. L'utente corrente viene autorizzato in caso di corrispondenza con la voce.
Esempio: user1
Gruppo
Valore della colonna Nome per un gruppo utente. L'utente corrente viene autorizzato se è membro del gruppo che corrisponde alla query.
Esempio: Amministratori
Query
Istruzione SQL SELECT. L'utente corrente viene autorizzato in caso di corrispondenza con la query.
Esempio 1
: con ID utente user1:
Voce: SELECT * FROM SmUser
Query risultante: SELECT * FROM SmUser WHERE Name = 'user1'
Esempio 2
: con ID utente user1:
Voce: SELECT * FROM SmUser WHERE Status LIKE 'Active%'
Query risultante: SELECT * FROM SmUser WHERE Status LIKE 'Active%' AND Name = 'user1'
Esempio 3
: con ID utente user1:
Voce: SELECT * FROM SmUser WHERE Location IN ('London', 'Paris')
Query risultante: SELECT * FROM SmUser WHERE Location IN ('London', 'Paris') AND Name = 'user1'