对于每种方法,用户验证都可能通过或失败。一旦确定,每种方法都遵守这一过程。步骤 1 到步骤 3 接着成功的验证执行;步骤 4 接着成功或失败的验证执行。
Access Manager 确认是否在 Directory Server 数据存储库中定义了验证的用户以及概要文件是否处于活动状态。
“核心验证”模块中的“用户概要文件”属性可以定义为必需、动态、随用户别名动态变换或忽略。在成功的验证之后,Access Manager 确认是否在 Directory Server 数据存储库中定义了验证的用户。如果“用户概要文件”值为必需,则确认用户概要文件是否处于活动状态。(这是默认情况。)如果“用户概要文件”是动态配置,“验证服务”将在 Directory Server 数据存储库中创建用户概要文件。如果“用户概要文件”被设置成忽略,将不进行用户验证。
完成验证后期处理 SPI 的执行。
“核心验证模块”包含一个“验证后期处理类”属性,该属性可以把验证后期处理类的名称作为自己的值。AMPostAuthProcessInterface 是后期处理接口。它可以在验证成功、验证失败或注销后执行。
以下属性会被添加或更新到会话标记中,并且用户会话会被激活。
领域。这是用户所属领域的 DN。
负责人。这是用户的 DN。
多个负责人。这是用户已经验证的名称的列表。(此属性可以有多个值,各值之间以管道符分隔。)
用户 ID。这是模块返回的用户 DN,如果模块不是“LDAP”或“成员资格”,则为用户名。(所有的“负责人”必须映射到同一用户。用户 ID 是它们映射到的用户 DN。)
该属性可能是一个非 DN 值。
UserToken。这是一个用户名。(所有的“负责人”必须映射到同一用户。UserToken 是它们映射到的用户名。)
主机。这是客户机的主机名或 IP 地址。
authLevel。这是用户已经验证的最高级别。
AuthType。这是用户已经验证的验证模块的管道符分隔列表(例如module1|module2|module3)。
clientType。这是客户机浏览器的设备类型。
语言环境。这是客户机的语言环境。
字符集。这是为客户机确定的字符集。
角色。仅适用于基于角色的验证,这是用户所属的角色。
服务。仅适用于基于服务的验证,这是用户所属的服务。
验证成功或失败后,会在该 URL 中查找信息,以重定向用户。
URL 重定向可以是一个 Access Manager 页面或 URL。重定向取决于 Access Manager 根据验证方法查找重定向的优先顺序,以及验证是成功还是失败。此顺序在以下验证方法章节的 URL 重定向部分有详细描述。
在验证配置服务中,您可以指定 URL 重定向以进行成功的或不成功的验证。而 URL 本身是在该服务的“登录成功 URL”和“登录失败 URL”属性中进行定义的。为了启用 URL 重定向,必须将验证配置服务添加到您的领域中,以便可以为角色、领域或用户进行配置。添加验证配置服务时,请确保添加一个验证模块,例如 LDAP - REQUIRED。