CA Single Sign-on 생성 사용자 특성

 다음 목록에는 이 자동으로 생성하는 사용자 특성이 있습니다. 이러한 특성은 웹 에이전트 응답의 응답 특성으로 지정할 수 있으며 명명된 식에서 사용할 수 있습니다.
casso12kr
 다음 목록에는
Single Sign-On
이 자동으로 생성하는 사용자 특성이 있습니다. 이러한 특성은 웹 에이전트 응답의 응답 특성으로 지정할 수 있으며 명명된 식에서 사용할 수 있습니다.
  • %SM_USER
    웹 에이전트는 모든 요청에 대해 SM_USER http 헤더 변수에 사용자 이름을 넣습니다. 웹 에이전트는 다음 항목 중 하나에 해당될 경우 SM_USER 헤더 변수의 값을 설정하지 않습니다.
    • 사용자가 사용자 이름을 제공하지 않는 경우(예: 인증서 기반 인증)
    • 사용자 이름을 알 수 없는 경우
  • %SM_USER_CONFIDENCE_LEVEL
    사용자가 인증 체계를 통해 인증되고 인증 체계에서 신뢰 수준을 생성하는 경우 이 특성은 정수(0~1000)를 포함합니다. 인증 체계에서 이 정수를 사용자의 세션 티켓에 삽입합니다. 신뢰 수준이 높을수록 자격 증명의 보장 수준이 높아집니다. 신뢰 수준이 0이면 자격 증명이 전혀 보장되지 않음을 나타냅니다. 자격 증명이 전혀 보장되지 않으면
    Single Sign-On
    이 요청된 리소스에 대한 액세스를 거부합니다.
    참고:
    자세한 내용은 신뢰 수준 소개를 참조하십시오.
  • %SM_USERDN
    인증된 사용자에 대해 웹 에이전트는 정책 서버에서 결정한 DN을 사용하여 이 http 헤더 변수를 채웁니다. 인증서 기반 인증의 경우 이 특성을 통해 사용자를 식별할 수 있습니다.
  • %SM_USERNAME
    인증된 사용자에 대해 이 특성은
    Single Sign-On
    이 식별하는 사용자 DN을 포함합니다. 인증되지 않은 사용자에 대해 이 특성은 사용자가 로그인 시도 중에 지정하는 사용자 ID를 포함합니다.
  • %SM_USERIMPERSONATORNAME
    인증 체계에서 가장을 수행하는 경우 이 특성은
    Single Sign-On
    이 인증하는 사용자 DN을 포함합니다.
  • %SM_USERLOGINNAME
    이 특성은 사용자가 로그인 시도 중에 지정하는 사용자 ID를 포함합니다.
  • %SM_USERIPADDRESS
    이 특성은 인증 또는 권한 부여 시 사용자의 IP 주소를 포함합니다.
  • %SM_USERPATH
    인증된 사용자에 대해 이 특성은 사용자 디렉터리 정의에 지정된 디렉터리 네임스페이스와 디렉터리 서버 및
    Single Sign-On
    이 식별하는 사용자 DN을 나타내는 문자열을 포함합니다. 예를 들면 다음과 같습니다.
    "LDAP://123.123.0.1/uid=scarter,ou=people,o=airius.com"
    인증되지 않은 사용자에 대해 이 특성은 SM_USERNAME과 동일한 값을 포함합니다.
  • %SM_USERPASSWORD
    이 특성은 사용자가 로그인 시도 중에 지정하는 암호를 포함합니다. 이 특성은 OnAuthAccept 이벤트를 통해 성공적인 인증 후에만 사용할 수 있습니다. 값은 인증 시에만 반환되고 권한 부여 시에는 반환되지 않습니다.
  • %SM_TRANSACTIONID
이 특성은 에이전트에서 생성하는 트랜잭션 ID를 포함합니다.
  • %SM_USERSESSIONSPEC
    사용자의 세션 티켓입니다.
  • %SM_USERSESSIONID
    이 특성은 이미 인증된 사용자의 세션 ID 또는
    Single Sign-On
    이 성공적인 인증 시 사용자에게 할당하는 세션 ID를 포함합니다.
  • %SM_USERSESSIONIP
    이 특성은 (세션 설정 시) 초기 사용자 인증 중에 사용된 IP 주소를 포함합니다.
  • %SM_USERSESSIONUNIVID
    이 특성은 사용자의 유니버설 ID를 포함합니다. 유니버설 ID 디렉터리 특성이 사용자 디렉터리 정의에 지정되지 않은 경우 값은 기본적으로 사용자의 DN으로 설정됩니다.
  • %SM_USERSESSIONDIRNAME
    이 특성은 정책 서버에서 사용하도록 구성된 사용자 디렉터리의 이름을 포함합니다.
  • %SM_USERSESSIONDIROID
    이 특성은 정책 서버에서 사용하도록 구성된 사용자 디렉터리의 개체 ID를 포함합니다.
  • %SM_USERSESSIONTYPE
    이 특성은 사용자의 세션 유형을 포함합니다. 값은 다음 중 하나입니다.
    • 2 - 세션
    • 1 - 아이덴티티
  • %SM_USERLASTLOGINTIME
    이 특성은 사용자가 마지막으로 로그인하고 인증된 시간(GMT 사용)을 포함합니다. 이 응답 특성은 OnAuthAccept 인증 이벤트에 대해서만 사용할 수 있습니다. 이 특성은 다음 두 조건을 모두 충족할 경우에만 값을 포함합니다.
    • 암호 서비스가 사용되도록 설정되었습니다.
    • 사용자가
      Single Sign-On
      을 통해 한 번 이상 로그인했습니다.
  • %SM_USERPREVIOUSLOGINTIME
    이 특성은 마지막 로그인 이전에 성공한 로그인 시간(GMT 사용)을 포함합니다. 이 응답 특성은 OnAuthAccept 인증 이벤트에 대해서만 사용할 수 있습니다. 이 특성은 암호 서비스가 사용되도록 설정된 경우에만 값을 포함합니다.
  • %SM_USERGROUPS
    이 특성은 사용자가 속하는 그룹을 포함합니다. 사용자가 중첩 그룹에 속할 경우 이 특성은 계층에서 가장 아래의 그룹을 포함합니다. 사용자가 속한 모든 중첩 그룹에 대해 SM_USERNESTEDGROUPS를 사용합니다.
    예:
    사용자가 "지급 계정" 그룹에 속하고 이 "지급 계정"이 "회계" 그룹에 포함된 경우 SM_USERGROUPS에 "지급 계정" 그룹이 포함됩니다. "지급 계정"과 "회계" 그룹을 모두 원할 경우에는 SM_USERNESTEDGROUPS를 사용하십시오.
  • %SM_USERNESTEDGROUPS
    이 특성은 사용자가 속한 중첩 그룹을 포함합니다. 계층의 최하위 그룹에 대해서만 SM_USERGROUPS를 사용합니다.
    예:
    사용자가 "지급 계정" 그룹에 속하고 이 "지급 계정"이 "회계" 그룹에 포함된 경우 SM_USERNESTEDGROUPS에 "회계" 및 "지급 계정" 그룹이 포함됩니다. "회계" 그룹만 원할 경우 SM_USERGROUPS를 사용하십시오.
  • %SM_USERSCHEMAATTRIBUTES
    이 특성은 DN과 관련된 사용자 특성 또는 사용자와 관련된 속성을 포함합니다. 사용자 디렉터리가 SQL 데이터베이스일 경우 SM_USERSCHEMAATTRIBUTES는 테이블에서 사용자 데이터가 저장된 열의 이름을 포함합니다. 예를 들어 SmSampleUsers 스키마를 사용할 경우 SM_USERSCHEMAATTRIBUTES는 SmUser 테이블에 있는 열의 이름을 포함합니다.
  • %SM_USERPOLICIES
    사용자가 리소스에 대해 권한이 부여되고 사용자 권한 부여를 제공하는 정책이 있을 경우 이 특성은 이러한 정책의 이름을 포함합니다.
    예:
    물품을 구매하려면 "구매자" 정책과 관련된 사용자여야 합니다. 정책 서버에서 물품을 구매할 권한을 부여하는 경우 SM_USERPOLICIES에 "구매자"라는 이름이 포함됩니다.
  • %SM_USERPRIVS
    사용자가 리소스에 대해 인증되거나 권한이 부여되면 SM_USERPRIVS는 모든 정책 도메인에서 이 사용자에게 적용되는 모든 정책에 대한 모든 응답 특성을 포함합니다.
  • %SM_USERREALMPRIVS
    사용자가 특정 영역의 리소스에 대해 인증되거나 권한이 부여되면 SM_USERREALMPRIVS는 이 영역의 모든 규칙에 대한 모든 응답 특성을 포함합니다.
    예:
    "장비 구매"라는 영역이 있고, 이 영역 아래에 "신용확인"이라는 규칙이 있습니다. 이 규칙은 다음과 같은 응답 특성으로 구매자의 신용 한도를 반환하는 응답과 관련됩니다.
    limit = $15000
    구매자가 5000달러 상당의 장비를 구매하려고 하면 규칙이 실행됩니다. SM_USERREALMPRIVS는 "장비 구매" 영역 아래 모든 규칙에 대한 모든 응답 특성을 포함하게 됩니다.
  • %SM_AUTHENTICATIONLEVEL
    사용자가 리소스에 대해 인증될 경우 이 특성은 사용자가 인증된 인증 체계의 보호 수준을 나타내는 정수(0~1000)를 포함합니다.
  • %SM_USERDISABLEDSTATE
    이 특성은 사용자가 비활성화된 이유의 비트 마스크를 나타내는 십진수를 포함합니다. 이러한 비트는 SDK의 일부인 SmApi.h의 Sm_Api_DisabledReason_t 데이터 구조 아래에 정의되어 있습니다.
    예를 들어 비활성 Sm_Api_Disabled_Inactivity의 결과로 사용자가 비활성화될 수 있습니다. Sm_Api_DisabledReason_t에서 Sm_Api_Disabled_Inactivity 이유는 0x00000004 값에 해당됩니다. 따라서 이 경우 SM_USERDISABLEDSTATE는 4입니다.
    사용자는 여러 가지 이유로 비활성화될 수 있습니다.
  • %SM_USER_APPLICATION_ROLES
    CA Identity Manager를 구매했을 경우 이 특성을 응답에 사용할 수 있습니다. 이 특성은 사용자에게 할당되거나 위임된 모든 역할의 목록을 포함합니다. 응용 프로그램 이름이 지정된 경우에는 해당 응용 프로그램과 관련된 역할만 응답 특성에 반환됩니다.
    응답 특성 이름은 "응답 특성" 창의 "변수 이름" 필드에 입력합니다. 응답 특성 이름의 구문은 다음과 같습니다.
    SM_USER_APPLICATION_ROLES[:
    application_name
    ]
    여기서
    application_name
    은 Identity Manager에 정의된 응용 프로그램의 이름으로, 선택 사항입니다.
    application_name
    값을 정책 서버 관리자에게 전달해야 합니다. 응용 프로그램 이름은 관리 UI에 자동으로 전달되지 않습니다.
  • %SM_USER_APPLICATION TASKS
    CA Identity Manager(Identity Manager)를 구매했을 경우 이 특성을 응답에 사용할 수 있습니다. 이 특성은 사용자에게 할당되거나 위임된 모든 태스크의 목록을 포함합니다. 응용 프로그램 이름이 지정된 경우에는 해당 응용 프로그램과 관련된 태스크만 응답 특성에 반환됩니다.
    응답 특성 이름은 "응답 특성" 창의 "변수 이름" 필드에 입력합니다. 응답 특성 이름의 구문은 다음과 같습니다.
    SM_USER_APPLICATION_TASKS[:
    application_name
    ]
    여기서
    application_name
    은 Identity Manager에 정의된 응용 프로그램의 이름으로, 선택 사항입니다.
    application_name
    값을 정책 서버 관리자에게 전달해야 합니다. 응용 프로그램 이름은 관리 UI에 자동으로 전달되지 않습니다.
Single Sign-On
생성 응답 특성의 사용 가능 여부
다음 표에서는 인증, 권한 부여 및 가장 이벤트 도중
Single Sign-On
생성 응답 특성의 사용 가능 여부를 보여 줍니다.
응답 특성
인증 및 권한 부여 이벤트
ImpersonationEvents
GET/PUT
OnAuthAccept
OnAuthReject
OnAccessAccept
OnAccessReject
ImpersonateStart User
SM_USER_CONFIDENCE_LEVEL
아니요
SM_USERNAME
아니요
SM_USERPATH
아니요
SM_USERIPADDRESS
아니요
SM_USERPASSWORD
아니요
아니요
아니요
아니요
SM_TRANSACTIONID
아니요
아니요
아니요
SM_USERSESSIONID
아니요
아니요
SM_USERSESSIONSPEC
아니요
아니요
아니요
SM_USERSESSIONIP
아니요
SM_USERSESSIONUNIVID
아니요
아니요
SM_USERSESSIONDIRNAME
아니요
아니요
SM_USERSESSIONDIROID
아니요
아니요
SM_USERSESSIONTYPE
아니요
아니요
SM_USERLASTLOGINTIME
아니요
아니요
아니요
아니요
아니요
SM_USERGROUPS
아니요
아니요
SM_USERNESTEDGROUPS
아니요
아니요
SM_USERSCHEMAATTRIBUTES
아니요
SM_USERLOGINNAME
아니요
아니요
아니요
아니요
SM_USERIMPERSONATORNAME
아니요
아니요
아니요
아니요
아니요
SM_USERDISABLEDSTATE
아니요
아니요
SM_USERPOLICIES
아니요
아니요
아니요
아니요
아니요
SM_USERREALMPRIVS
아니요
아니요
아니요
아니요
아니요
SM_USERPRIVS
아니요
아니요
아니요
아니요
아니요