Guía del administrador de negocio de Sun Identity Manager 8.1

Configuración de la autenticación mediante certificado X509

Utilice la información y los procedimientos descritos a continuación para configurar la autenticación basada en el certificado X509 para Identity Manager.

Requisitos previos de configuración

Para poder realizar autenticación basada en el certificado X509 en Identity Manager, asegúrese de que esté bien configurada la autenticación SSL bidireccional (de cliente y servidor). Desde la perspectiva del cliente, esto significa que se debe haber importado al navegador un certificado de usuario conforme con X509 (o tenerlo disponible en un lector de tarjetas inteligentes), y que el certificado de confianza empleado para firmar el certificado de usuario debe importarse al almacén de claves de certificados de confianza situado en el servidor de aplicaciones.

Asimismo, el certificado de cliente debe habilitarse para autenticación de cliente.

Para verificar si está seleccionada la opción de autenticación de cliente del certificado de cliente

En Internet Explorer, elija Herramientas y después Opciones de Internet.

Seleccione la ficha Contenido.

En el área Certificados, pulse Certificados.

Seleccione el certificado de cliente y pulse Avanzadas.

Dentro de Propósito del certificado, asegúrese de que esté marcada la opción Autenticación del cliente.

Configuración de la autenticación mediante certificado X509 en Identity Manager

Para configurar la autenticación mediante certificado X509

Inicie una sesión en la interfaz de administración como configurador (o con permisos equivalentes).

Seleccione Configurar y después Inicio de sesión para acceder a la página de inicio de sesión.

Haga clic en Administrar grupos de módulos de inicio de sesión para ver la página Grupos de módulos de inicio de sesión.

Seleccione un grupo de módulos de inicio de sesión en la lista.

Elija Módulo de inicio de sesión con certificado X509 de Identity Manager en la lista Asignar módulo de inicio de sesión. Identity Manager muestra la página Modificar módulo de inicio de sesión.

Defina el requisito para un inicio de sesión correcto.

Se admiten los valores siguientes:
- Requerido. Es necesario el módulo de inicio de sesión para una autenticación con éxito. Independientemente de si se realiza con éxito o falla, la autenticación continúa con el siguiente módulo de inicio de sesión de la lista. Si es el único módulo de inicio de sesión, el usuario o el administrador ha iniciado la sesión con éxito.
- Requisito. Es necesario el módulo de inicio de sesión para una autenticación con éxito. Si se realiza con éxito, la autenticación continúa con el siguiente módulo de inicio de sesión de la lista. Si falla, la autenticación no continúa.
- Suficiente. No es necesario el módulo de inicio de sesión para una autenticación con éxito. Si se realiza con éxito, el proceso de autenticación no necesita pasar al siguiente módulo de inicio de sesión y el administrador accede correctamente. Si fracasa, el proceso de autenticación continúa con el siguiente módulo de inicio de sesión de la lista.
- Opcional. No es necesario el módulo de inicio de sesión para una autenticación con éxito. Independientemente de si se realiza con éxito o falla, la autenticación continúa con el siguiente módulo de inicio de sesión de la lista.

Seleccione una regla de correlación de inicio de sesión. Puede ser una regla de correlación interna o personalizada. (En la próxima sección se explica cómo crear reglas de correlación personalizadas.)

Pulse Guardar para volver a la página Modificar grupo de módulos de inicio de sesión.

Si lo desea, reordene los módulos de inicio de sesión (cuando hay varios módulos de inicio de sesión asignados al grupo) y pulse Guardar.

Asigne el grupo de módulos de inicio de sesión a una aplicación de inicio de sesión si aún no está asignado. En la página Grupos de módulos de inicio de sesión, haga clic en Volver a las aplicaciones de inicio de sesión y seleccione una aplicación de inicio de sesión. Una vez asignado un grupo de módulos de inicio de sesión a la aplicación, hacer clic, pulse Guardar.

Nota –
Si la opción allowLoginWithNoPreexistingUser está definida en true en el archivo waveset.properties, al configurar el Módulo de inicio de sesión con certificado X509 de Identity Manager, se le pedirá que seleccione una regla de nombre de usuario nuevo. Esta regla determina cómo se nombran los nuevos usuarios creados cuando no los encuentra la regla de correlación de inicio de sesión asociada. La regla de nombre de usuario nuevo tiene disponibles los mismos argumentos de entrada que la regla de correlación de inicio de sesión. Devuelve una sola cadena, consistente en el nombre de usuario empleado para crear la nueva cuenta de usuario de Identity Manager. En idm/sample/rules, hay un ejemplo de regla de nombre de usuario nuevo denominada NewUserNameRules.xml.

Creación e importación de reglas de correlación de inicio de sesión

Una regla de correlación de inicio de sesión sirve al Módulo de inicio de sesión con certificado X509 de Identity Manager para establecer cómo asignar los datos del certificado al usuario adecuado de Identity Manager. Identity Manager incluye una regla de correlación de inicio de sesión interna, denominada Correlacionar con SubjectDN de Certificado X509.

También se pueden agregar reglas de correlación propias. Consulte el ejemplo de LoginCorrelationRules.xml , situado en el directorio idm/sample/rules.

Cada regla de correlación debe respetar estas pautas:

Su atributo authType debe definirse en LoginCorrelationRule
Se espera que devuelva una instancia de una lista de AttributeConditions que el módulo de inicio de sesión utilizará para buscar el usuario asociado de Identity Manager. Por ejemplo, la regla de correlación de inicio de sesión podría devolver una condición AttributeCondition que busque el usuario asociado de Identity Manager por la dirección de correo electrónico.

Estos son los argumentos que admiten las reglas de correlación de inicio de sesión:

Campos de certificado X509 estándar (como subjectDN, issuerDN y fechas válidas)
Propiedades de extensión críticas y no críticas

Los argumentos de certificado que admiten las reglas de correlación de inicio de sesión siguen esta convención de nomenclatura:

cert.field name.subfield name

Los nombres de argumento de ejemplo disponibles para la regla incluyen:

cert.subjectDN
cert.issuerDN
cert.notValidAfter
cert.notValidBefore
cert.serialNumber

La regla de correlación de inicio de sesión, con los argumentos admitidos, devuelve una lista de una o varias AttributeConditions. El Módulo de inicio de sesión con certificado X509 de Identity Manager utiliza estas condiciones para encontrar el usuario de Identity Manager asociado.

En idm/sample/rules hay un ejemplo de regla de correlación de inicio de sesión denominada LoginCorrelationRules.xml.

Tras crear una regla de correlación personalizada, debe importarla a Identity Manager. En la interfaz de administración, seleccione Configurar y después Importar archivo de intercambio para usar la utilidad de importación.

Verificación de la conexión SSL

Para verificar la conexión SSL, acceda a la URL de la interfaz de la aplicación configurada mediante SSL (por ejemplo, https://idm007:7002/idm/user/login.jsp). Se le advertirá que está entrando en un sitio seguro y luego se le pedirá que elija un certificado personal para enviarlo al servidor web.

Diagnóstico de problemas

Puede informar sobre los problemas de autenticación utilizando los certificados X509 como mensajes de error en el formulario de inicio de sesión.

Para realizar diagnósticos más completos, habilite el seguimiento en el servidor de Identity Manager para estas clases y niveles:

com.waveset.session.SessionFactory 1
com.waveset.security.authn.WSX509CertLoginModule 1
com.waveset.security.authn.LoginModule 1

Si el atributo de certificado de cliente tiene un nombre distinto a javaxservlet.request.X509Certificate en la solicitud HTTP, un mensaje le advertirá que este atributo no se puede encontrar dicho atributo en la solicitud HTTP.

Para corregir un nombre de atributo de certificado de cliente en una solicitud HTTP

Habilite el seguimiento de SessionFactory para ver la lista completa de atributos HTTP y averiguar el nombre del certificado X509.

Con la utilidad de depuración de Identity Manager (Página de depuración de Identity Manager), edite el objeto LoginConfig.

Cambie el nombre de <AuthnProperty> en <LoginConfigEntry> por el nombre correcto para el Módulo de inicio de sesión con certificado X509 de Identity Manager.

Guarde y vuelva a intentarlo.

Quizá también necesite suprimir y después volver a añadir el Módulo de inicio de sesión con certificado X509 de Identity Manager en la aplicación de inicio de sesión.