Edición de módulos de inicio de sesión
A continuación se explica cómo introducir detalles o seleccionar opciones para los módulos de inicio de sesión. (No todas las opciones están disponibles para cada módulo de inicio de sesión.).
-
Requisito para un inicio de sesión correcto. Seleccione un requisito que se aplique a este módulo. Las opciones son:
-
Requerido. Es necesario el módulo de inicio de sesión para una autenticación con éxito. Independientemente de si se realiza con éxito o falla, la autenticación continúa con el siguiente módulo de inicio de sesión de la lista. Si es el único módulo de inicio de sesión, el usuario o el administrador ha iniciado la sesión con éxito.
-
Requisito. Es necesario el módulo de inicio de sesión para una autenticación con éxito. Si se realiza con éxito, la autenticación continúa con el siguiente módulo de inicio de sesión de la lista. Si falla, la autenticación no continúa.
-
Suficiente. No es necesario el módulo de inicio de sesión para una autenticación con éxito. Si se realiza con éxito, el proceso de autenticación no necesita pasar al siguiente módulo de inicio de sesión y el administrador accede correctamente. Si fracasa, el proceso de autenticación continúa con el siguiente módulo de inicio de sesión de la lista.
-
Opcional. No es necesario el módulo de inicio de sesión para una autenticación con éxito. Independientemente de si se realiza con éxito o falla, la autenticación continúa con el siguiente módulo de inicio de sesión de la lista.
-
-
Atributos de búsqueda de inicio de sesión. (Sólo LDAP.) Especifique la lista ordenada de nombres de atributos de usuarios de LDAP que se vaya a utilizar al intentar iniciar la sesión en el servidor LDAP asociado. Cada atributo de usuario de LDAP especificado, junto con el nombre de inicio de sesión especificado del usuario, se utiliza para buscar un usuario de LDAP que coincida. Esto permite que un usuario inicie la sesión en Identity Manager utilizando una dirección de correo electrónico o un cn de LDAP (cuando Identity Manager está configurado para autenticación al paso en LDAP).
Por ejemplo, si especifica lo siguiente y el usuario intenta iniciar la sesión como gwilson, el recurso de LDAP intentará primero encontrar un usuario de LDAP cuyo cn=gwilson.
cn
mail
Si lo encuentra, se intenta establecer la conexión utilizando la contraseña especificada por el usuario. Si no se consigue, el recurso de LDAP buscará un usuario de LDAP cuyo mail=gwilson. Si también falla esto, se producirá un error en el inicio de sesión.
Si no especifica un valor, los atributos predeterminados de búsqueda de LDAP son:
uid
cn
-
Regla de correlación de inicio de sesión. Seleccione una regla de correlación de inicio de sesión para usarla con objeto de asignar la información de inicio de sesión que proporciona el usuario a un usuario de Identity Manager. Esta regla se utiliza para buscar usuarios de Identity Manager mediante la lógica especificada en la regla. La regla debe ofrecer una lista de uno o varios elementos AttributeConditions que se utilizarán para buscar el usuario de Identity Manager que coincida. La regla que seleccione debe tener el tipo de autenticación LoginCorrelationRule authType. Los pasos que sigue Identity Manager para asignar un ID de usuario autenticado a un usuario de Identity Manager se describen en el Ejemplo 12–2.
-
Regla de nombre de usuario nuevo. Seleccione una regla de nombre de usuario nuevo para usarla al crear automáticamente usuarios de Identity Manager como parte del inicio de sesión.
Haga clic en Guardar para guardar el módulo de inicio de sesión. Una vez guardado, puede ubicar el módulo con relación a los otros módulos del grupo de módulos de inicio de sesión.
Precaución – Si el inicio de sesión de Identity Manager está configurado para autenticar en más de un sistema, se debe definir el mismo ID de usuario de cuenta y la misma contraseña en todos los sistemas en los que Identity Manager realiza la autenticación.
Si varían las combinaciones de ID de usuario y contraseña, el inicio de sesión puede fallar en los sistemas cuyos ID de usuario y contraseña no coincidan con aquéllos introducidos en el formulario de inicio de sesión de Identity Manager.
Algunos de estos sistemas pueden tener una directiva de bloqueo que fuerce el bloqueo de una cuenta tras un número de intentos erróneos de inicio de sesión. En estos casos, las cuentas se acaban bloqueando, incluso aunque los usuarios sigan iniciando las sesiones satisfactoriamente en Identity Manager.
El Ejemplo 12–2 contiene seudocódigo que describe los pasos que sigue Identity Manager para asignar IDs de usuario autenticado a usuarios de Identity Manager.
Ejemplo 12–2 Lógica de proceso de módulo de inicio de sesión
if an existing IDM user’s ID is the same as the specified user ID
if that IDM user has a linked resource whose resource name matches the
resource that was authenticated and whose accountId matches the resource
accountId returned by successful authentication (e.g. dn), then we have
found the right IDM user
otherwise if there is a LoginCorrelationRule associated with the
configured login module
evaluate it to see if it maps the login credentials to a single IDM
user
otherwise login fails
otherwise login fails
if the specified userID does not match an existing IDM user’s ID
try to find an IDM user that has a linked resource whose resource
name matches the resource accountID returned by successful authentication
if found, then we have found the right IDM user
otherwise if there is a LoginCorrelationRule associated with the
configured login module
evaluate it to see if it maps the login credentials to a single
IDM user
otherwise login fails
otherwise login fails
|
En el Ejemplo 12–2, el sistema intentará encontrar un usuario coincidente de Identity Manager empleando los recursos vinculados del usuario (información de recursos). Si falla el intento con la información de recursos y hay configurada una regla de correlación de inicio de sesión, el sistema intentará encontrar un usuario coincidente aplicando dicha regla.
- © 2010, Oracle Corporation and/or its affiliates