CA SiteMinder® 生成のユーザ属性
以下は、が自動的に生成するユーザ属性のリストです。これらの属性は、Web エージェント レスポンス用のレスポンス属性として指定でき、名前付き式に利用可能です。
sm1252sp1jjp
以下は、が自動的に生成するユーザ属性のリストです。これらの属性は、Web エージェント レスポンス用のレスポンス属性として指定でき、名前付き式に利用可能です。
- %SM_USERWeb エージェントは、すべてのリクエストに対して SM_USER http ヘッダ変数にユーザ名を配置します。以下のいずれかの条件に当てはまる場合、Web エージェントは、SM_USER ヘッダ変数の値を設定しません。
- ユーザが証明書ベースの認証のようにユーザ名を提供しない場合。
- ユーザ名が不明の場合。
- %SM_USER_CONFIDENCE_LEVELユーザが認証方式で認証され、認証方式が信頼レベルを生成する場合、この属性は整数(0 ~ 1000)を保持します。認証方式は、ユーザのセッション チケットに整数を挿入します。信頼レベルが高いほど、認証情報保証も高くなります。信頼レベルがゼロの場合、認証情報保証がないことを示します。認証情報保証がない場合、はリクエストされたリソースへのアクセスを拒否します。注: 詳細については、「信頼レベルの導入」(Confidence Levels Introduced)を参照してください。
- %SM_USERDN認証されたユーザの場合、Web エージェントはこの http ヘッダ変数に、ポリシー サーバによって決定される DN を設定します。証明書ベースの認証の場合、この属性を使用してユーザの身元を確認できます。
- %SM_USERNAME認証されたユーザの場合、この属性には によって特定されるユーザ DN が格納されます。認証されていないユーザの場合、この属性は、ユーザがログイン試行時に指定するユーザ ID を保持します。
- %SM_USERIMPERSONATORNAME認証方式でインパーソネーションが実行される場合、この属性には によって認証されるユーザ DN が格納されます。
- %SM_USERLOGINNAMEこの属性は、ユーザがログイン試行時に指定するユーザ ID を保持します。
- %SM_USERIPADDRESSこの属性には、認証または許可時のユーザの IP アドレスが格納されます。
- %SM_USERPATH認証されたユーザの場合、この属性には(いずれもユーザ ディレクトリ定義で指定される)ディレクトリ ネームスペースとディレクトリ サーバ、およびユーザ DN( によって特定)が格納されます。例:"LDAP://123.123.0.1/uid=scarter,ou=people,o=airius.com"認証されていないユーザの場合は、SM_USERNAME と同じです。
- %SM_USERPASSWORDこの属性にはログイン試行時にユーザが指定するパスワードが格納されます。この属性は、OnAuthAccept を通じて認証が成功した場合にのみ使用できます。値は認証時時にのみ返され、許可時には返されません。
- %SM_TRANSACTIONID
この属性には、エージェントによって生成されるトランザクション ID が格納されます。
- %SM_USERSESSIONSPECユーザのセッション チケット。
- %SM_USERSESSIONIDこの属性には、すでに認証済みユーザのセッション ID または認証が成功したときに によってユーザに割り当てられる予定のセッション ID が格納されます。
- %SM_USERSESSIONIPこの属性には、最初のユーザの認証中(セッションの確立時)に使用された IP アドレスが格納されます。
- %SM_USERSESSIONUNIVIDこの属性には、ユーザのユニバーサル ID が格納されます。ユーザ ディレクトリ定義にユニバーサル ID ディレクトリ属性の指定がない場合には、この値はデフォルトでユーザの DN に設定されます。
- %SM_USERSESSIONDIRNAMEこの属性には、ポリシー サーバが使用するように設定されているユーザ ディレクトリの名前が格納されます。
- %SM_USERSESSIONDIROIDこの属性には、ポリシー サーバが使用するように設定されているユーザ ディレクトリのオブジェクト ID が格納されます。
- %SM_USERSESSIONTYPEこの属性には、ユーザのセッション タイプが格納されます。値は次のいずれかです。
- 2 - セッション
- 1 - ID
- %SM_USERLASTLOGINTIMEこの属性には、ユーザが前回ログインし、認証された時刻が GMT 時で格納されます。このレスポンス属性は、OnAuthAccept 認証イベントに対してのみ使用可能です。次の 2 つの条件が満たされる場合のみ、この属性は値を持ちます。
- パスワード サービスが有効になっていること。
- ユーザが少なくとも 1 回は を通じてログインしていること。
- %SM_USERPREVIOUSLOGINTIMEこの属性は、直前のログインの前に正常にログインした時刻を GMT を使用して格納します。このレスポンス属性は、OnAuthAccept 認証イベントに対してのみ使用可能です。パスワード サービスが有効になっている場合のみ、この属性は値を持ちます。
- %SM_USERGROUPSこの属性には、ユーザが属するグループが格納されます。ユーザがネストされたグループに属する場合には、この属性には階層の最下位にあるグループが含まれます。ユーザが属するすべてのネストされたグループについては、SM_USERNESTEDGROUPS を使用してください。例:ユーザが Accounting グループに含まれる Accounts Payable グループに属する場合、SM_USERGROUPS には Accounts Payable グループが含まれます。Accounting グループと Accounts Payable グループの両方を使用するには、SM_USERNESTEDGROUPS を使用します。
- %SM_USERNESTEDGROUPSこの属性には、ユーザが属するネストされたグループが格納されます。階層の最下位にあるグループについてのみ、SM_USERGROUPS[ を使用してください。例:ユーザが Accounting グループに含まれる Accounts Payable グループに属する場合、SM_USERNESTEDGROUPS には Accounting グループと Accounts Payable グループが含まれます。Accounting グループのみを使用する場合には、SM_USERGROUPS を使用します。
- %SM_USERSCHEMAATTRIBUTESこの属性には、DN に関連付けられたユーザ属性、またはユーザに関連付けられたプロパティが格納されます。ユーザ ディレクトリが SQL データベースの場合、SM_USERSCHEMAATTRIBUTES には、ユーザ データが格納されているテーブルの列名が格納されます。たとえば、SmSampleUsers スキーマを使用している場合には、SM_USERSCHEMAATTRIBUTES には、SmUser テーブルの列名が格納されます。
- %SM_USERPOLICIESユーザがリソースへのアクセスを許可されていて、ユーザにアクセス許可を付与するポリシーが存在する場合、この属性にはそのポリシーの名前が格納されます。例: 商品を購入するには、Buyer ポリシーに関連付けられたユーザである必要があります。ポリシー サーバがユーザに商品の購入を許可した場合、SM_USERPOLICIES には Buyer が含まれます。
- %SM_USERPRIVSユーザがリソースへのアクセスを許可または認証されている場合、SM_USERPRIVS 属性には、すべてのポリシー ドメイン内で、そのユーザに適用されるすべてのポリシーのレスポンス属性がすべて格納されます。
- %SM_USERREALMPRIVSユーザがレルムにあるリソースへのアクセスを許可または認証されている場合、SM_USERREALMPRIVS 属性には、そのレルムのすべてのルールのすべてのレスポンス属性が格納されます。例:「Equipment Purchasing」と呼ばれるレルムが存在するとします。このレルムには、「CheckCredit」と呼ばれるルールがあります。ルールは、次のようなレスポンス属性として購入者のクレジット上限を返すレスポンスと関連付けられます。limit = $15000購入者が 5000 ドル相当の装置を購入しようとすると、ルールが起動します。この場合、SM_USERREALMPRIVS には、Equipment Purchasing レルムの下にあるすべてのルールのレスポンス属性がすべて格納されます。
- %SM_AUTHENTICATIONLEVELユーザがリソースに対して認証されると、この属性はユーザが認証された認証方式の保護レベルを表す整数値(0 〜 1000)を格納します。
- %SM_USERDISABLEDSTATEこの属性に格納される 10 進数値は、ユーザが無効化された理由を表すビットマスクです。このビットは、SDK の一部である Sm_Api_DisabledReason_t データ構造下の SmApi.h に定義されます。たとえば、ユーザが一定の時間何も操作を行わなかった場合には、Sm_Api_Disabled_Inactivity という理由で無効化されます。Sm_Api_DisabledReason_t では、理由 Sm_Api_Disabled_Inactivity は、値 0x00000004 に対応します。したがって、この場合には SM_USERDISABLEDSTATE は 4 になります。ユーザが無効化されるには、他にもさまざまな理由があります。
- %SM_USER_APPLICATION_ROLESCA Identity Manager を購入済みであれば、この属性をレスポンスに使用できます。この属性には、ユーザに割り当てられたか、ユーザに委任されたすべてのロールの一覧が含まれています。アプリケーション名を指定すると、そのアプリケーションに関連付けられたロールのみがレスポンス属性で返されます。レスポンス属性名は、[レスポンス属性]ウィンドウの[変数名]フィールドに入力します。レスポンス属性名の構文は以下のとおりです。SM_USER_APPLICATION_ROLES[:application_name]application_nameには、Identity Manager で定義されたアプリケーションの任意の名前を指定します。application_nameに指定した値は、ポリシー サーバ管理者に知らせておく必要があります。アプリケーション名が自動的に管理 UI に渡されることはありません。
- %SM_USER_APPLICATION TASKSCA Identity Manager を購入済みであれば、この属性をレスポンスに使用できます。この属性には、ユーザに割り当てられているか、ユーザに委任されているすべてのタスクの一覧が含まれています。アプリケーション名を指定すると、そのアプリケーションに関連付けられたタスクのみがレスポンス属性で返されます。レスポンス属性名は、[レスポンス属性]ウィンドウの[変数名]フィールドに入力します。レスポンス属性名の構文は以下のとおりです。SM_USER_APPLICATION_TASKS[:application_name]:application_nameには、Identity Manager で定義されたアプリケーションの任意の名前を指定します。application_nameに指定した値は、ポリシー サーバ管理者に知らせておく必要があります。アプリケーション名が自動的に管理 UI に渡されることはありません。
で生成されるレスポンス属性の使用可否
以下の表は、認証、許可、インパーソネーションの各イベントの発生時に で生成されるレスポンス属性の使用可否をまとめたものです。
レスポンス属性
| 認証イベントと許可イベント
| ImpersonationEvents
| ||||
GET/PUT
| OnAuthAccept
| OnAuthReject
| OnAccessAccept
| OnAccessReject
| ImpersonateStart ユーザ
| |
SM_USER_CONFIDENCE_LEVEL | はい | はい | はい | はい | はい | いいえ |
SM_USERNAME | はい | はい | はい | はい | はい | いいえ |
SM_USERPATH | はい | はい | はい | はい | はい | いいえ |
SM_USERIPADDRESS | はい | はい | はい | はい | はい | いいえ |
SM_USERPASSWORD | いいえ | はい | はい | いいえ | いいえ | いいえ |
SM_TRANSACTIONID | はい | いいえ | いいえ | はい | はい | いいえ |
SM_USERSESSIONID | はい | はい | いいえ | はい | はい | いいえ |
SM_USERSESSIONSPEC | はい | いいえ | いいえ | はい | はい | いいえ |
SM_USERSESSIONIP | はい | はい | はい | はい | はい | いいえ |
SM_USERSESSIONUNIVID | はい | はい | いいえ | はい | はい | いいえ |
SM_USERSESSIONDIRNAME | はい | はい | いいえ | はい | はい | いいえ |
SM_USERSESSIONDIROID | はい | はい | いいえ | はい | はい | いいえ |
SM_USERSESSIONTYPE | はい | はい | いいえ | はい | はい | いいえ |
SM_USERLASTLOGINTIME | いいえ | はい | いいえ | いいえ | いいえ | いいえ |
SM_USERGROUPS | はい | はい | いいえ | はい | はい | いいえ |
SM_USERNESTEDGROUPS | はい | はい | いいえ | はい | はい | いいえ |
SM_USERSCHEMAATTRIBUTES | はい | はい | はい | はい | はい | いいえ |
SM_USERLOGINNAME | いいえ | はい | はい | いいえ | いいえ | いいえ |
SM_USERIMPERSONATORNAME | いいえ | いいえ | いいえ | いいえ | いいえ | はい |
SM_USERDISABLEDSTATE | はい | はい | いいえ | はい | はい | いいえ |
SM_USERPOLICIES | いいえ | いいえ | いいえ | はい | いいえ | いいえ |
SM_USERREALMPRIVS | はい | いいえ | いいえ | いいえ | いいえ | いいえ |
SM_USERPRIVS | はい | いいえ | いいえ | いいえ | いいえ | いいえ |