[フェデレーション ユーザ]ダイアログ ボックス(アサーティング パーティ)

フェデレーション ユーザ手順では、stmndr がアサーションを生成するユーザおよびグループを指定できます。
casso126jjp
HID_federation-users
フェデレーション ユーザ手順では、
CA Single Sign-on
がアサーションを生成するユーザおよびグループを指定できます。
このダイアログ ボックスでは、以下の設定が表示されます。
  • フェデレーション ユーザ
    依存パーティでリソースへのアクセスが許可されているユーザおよびグループを定義します。
    • ディレクトリ
      アサーションが作成されるユーザ レコードを
      CA Single Sign-on
      が取得するディレクトリを指定します。
    • ユーザ クラス
      認証できるユーザのグループまたは個別ユーザのカテゴリを指定します。このフィールドのオプションは、ユーザ ディレクトリのタイプ(LDAP または ODBC)に依存します。各ユーザ クラスの説明および例については、以下の表を参照してください。
    • ユーザ名/フィルタ基準
      [ユーザ クラス]フィールドで選択した値に対して適切なエントリを指定します。例については、テーブルを参照してください。
      値:
      フィルタ
    • 除外
      ユーザまたはグループがフェデレーション ユーザとして除外され、他のパートナーとフェデレーションできないことを示します。
    • 行の追加
      ディレクトリからユーザの異なるサブセットを認証目的で指定するために行を追加するにはクリックします。
    • Delete
      テーブルからエントリを削除するにはアイコンをクリックします。
LDAP の例
エントリを指定する場合は、LDAP フィルタ構文を使用します。
ユーザ クラス
有効なエントリ
[User]
ユーザの識別名。
例:
uid=user1,ou=People,dc=example,dc=com
グループ
リストから選択されたグループ。
例: ou=Sales,dc=example,dc=com
組織単位
リストから選択された組織単位。
例: ou=People,dc=example,dc=com
ユーザ プロパティのフィルタ
LDAP フィルタ。現在のユーザは検索の出発点です。
例 1:
[email protected]
例 2:
(|(mail=*@.example.com)(memberOf=cn=Employees,ou=Groups,dc=example,dc=com))
グループ プロパティのフィルタ
LDAP フィルタ。現在のユーザがフィルタに一致するグループの 1 つのメンバである場合、現在のユーザが許可されます。
CA Single Sign-on
レジストリで設定されているグループ用のオブジェクト クラスは、フィルタと組み合わされます。
例 1:
ビジネス カテゴリが「CA Support」であるグループのメンバであるユーザを許可するには、「businessCategory=CA Support」と入力します。
例 2:
説明に「Administrator」が含まれ、ビジネス カテゴリが「Administration」であるグループのメンバであるユーザを許可するには、「(|(description=*Administrator*)(businessCategory=Administration))」と入力します。
注:
グループ作業の属性には、検索条件として機能しないものもあります。
OU プロパティのフィルタ
LDAP フィルタ。現在のユーザがフィルタに一致する組織単位に属する場合、現在のユーザが許可されます。
CA Single Sign-on
レジストリで設定されている組織単位用のオブジェクト クラスは、フィルタと組み合わされます。
例 1:
郵便番号が「12345」の組織単位内のユーザを許可するには、「postalCode=12345」と入力します。
例 2:
優先配布方法が「phone」で終わり、市区町村が「London」の組織単位内のユーザを許可するには、「(|(preferredDeliveryMethod=*phone)(l=London))」と入力します。
任意の項目のフィルタ
LDAP フィルタ。現在のユーザがフィルタに一致する場合、現在のユーザが許可されます。
例 1:
部門が「CA Support」のユーザを許可するには、「department=CA Support」と入力します。
例 2:
グループ「Administrators」のメンバで、部門番号が「123」または「789」のユーザを許可するには、「(&(memberof=cn=Administrators,ou=Groups,dc=example,dc=com)(|(departmentNumber=123)(departmentNumber=789)))」と入力します。
ODBC の例
クエリを指定する場合、SQL 構文を使用します。
ユーザ クラス
有効なエントリ
[User]
ユーザの[名前]列の値。現在のユーザがエントリに一致する場合、現在のユーザが許可されます。
例: user1
グループ
ユーザ グループの[名前]列の値。現在のユーザがクエリに一致するグループのメンバである場合、現在のユーザが許可されます。
例: 管理者
クエリ
SQL SELECT ステートメント。現在のユーザがクエリに一致する場合、現在のユーザが許可されます。
例 1:
ユーザ ID が「user1」
エントリ: SELECT * FROM SmUser
結果のクエリ: SELECT * FROM SmUser WHERE Name = 'user1'
例 2:
ユーザ ID が「user1」
エントリ: SELECT * FROM SmUser WHERE Status LIKE 'Active%'
結果のクエリ: SELECT * FROM SmUser WHERE Status LIKE 'Active%' AND Name = 'user1'
例 3:
ユーザ ID が「user1」
エントリ: FROM SmUser WHERE Location IN ('London', 'Paris')
結果のクエリ: SELECT * FROM SmUser WHERE Location IN ('London', 'Paris') AND Name = 'user1'