Authentification d'intercommunication

L'authentification d'intercommunication permet d'accorder des droits d'accès utilisateur et administrateur par le biais de un ou plusieurs mots de passe différents.

Identity Manager gère l'authentification à travers l'implémentation des éléments suivants :

• applications de connexion (ensemble de groupes de modules de connexion),

• groupes de modules de connexion (ensemble ordonné de modules de connexion),

• modules de connexion (définissez l'authentification pour chaque ressource assignée et spécifiez une exigence de réussite parmi plusieurs pour l'authentification).

À propos des applications de connexion

Les applications de connexion définissent un ensemble de groupes de modules de connexion, qui définissent eux-mêmes l'ensemble et l'ordre des modules de connexion utilisés lorsqu'un utilisateur se connecte à Identity Manager. Chaque application de connexion comprend un ou plusieurs groupes de modules de connexion.

Au moment de la connexion, l'application de connexion vérifie son ensemble de groupes de modules de connexion. Si seul un groupe de modules de connexion est défini, il est utilisé et les modules de connexion qu'il contient sont traités dans l'ordre défini à l'intérieur du groupe. Si l'application de connexion comporte plusieurs groupes de modules de connexion définis, Identity Manager vérifie les règles de contrainte de connexion appliquées à chaque groupe de modules pour déterminer celui à traiter.

Règles de contrainte de connexion

Les règles de contrainte de connexion sont appliquées aux groupes de modules de connexion. Dans chacun des ensembles de groupes de modules d'une application de connexion, seul un groupe peut ne pas se voir appliquer de règle de contrainte de connexion.

Pour déterminer, dans un ensemble, celui des groupes de modules de connexion qui doit être traité, Identity Manager évalue la compatibilité du premier groupe de modules de connexion avec la règle de contrainte. Si ce premier groupe de modules de connexion respecte la règle, il est traité par Identity Manager. Si ce groupe ne respecte pas la règle, Identity Manager évalue tous les groupes de modules de connexion les uns après les autres jusqu'à ce que l'un des groupes soit conforme à la règle, ou qu'un groupe de modules de connexion auquel aucune règle de contrainte n'est appliquée soit évalué (et donc utilisé).

Si une application de connexion contient plus d'un groupe de modules de connexion, le groupe auquel aucune règle de contrainte n'est appliquée doit être placé en dernière position dans l'ensemble des groupes.

Exemple de règle de contrainte de connexion

L'exemple suivant est un exemple de règle de contrainte de connexion basée sur l'emplacement. La règle récupère l'adresse IP du demandeur dans l'en-tête HTTP, puis vérifie si elle se trouve sur le réseau 192.168. Si l'adresse IP contient la valeur 192.168, la règle retourne la valeur true et le groupe de modules de connexion est sélectionné.

Exemple 12–1 Règle de contrainte de connexion basée sur l'emplacement

<Rule authType=’LoginConstraintRule’ name=’Sample On Local Network’> 
<match> <ref>remoteAddr</ref> <s>192.168.</s> </match> 
<MemberObjectGroups> <ObjectRef type=’ObjectGroup’ name=’All’/> </MemberObjectGroups> 
</Rule>

Édition des applications de connexion

Dans la barre de menu, sélectionnez Sécurité -> Connexion pour accéder à la page Connexion.

La liste des applications de connexion affiche les éléments suivants :

• les différentes applications de connexion à Identity Manager (interfaces) définies ;

• les groupes de modules de connexion constituant l'application de connexion ;

• les limites de délai d'attente de la session Identity Manager définies pour chaque application de connexion.

Depuis la page Connexion, vous pouvez :

• créer des applications de connexion personnalisées ;

• supprimer des applications de connexion personnalisées ;

• gérer les groupes de modules de connexion.

Pour éditer une application de connexion, sélectionnez-la dans la liste.

Définition des limites des sessions Identity Manager

La page Modifier une application de connexion vous permet de définir un délai d'attente (limite) pour chaque session de connexion à Identity Manager. Sélectionnez les heures, minutes et secondes, puis cliquez sur Enregistrer. Les limites établies s'affichent dans la liste des applications de connexion.

Vous pouvez définir des délais d'attente de session pour chaque application de connexion à Identity Manager. Lorsqu'un utilisateur se connecte à une application Identity Manager, la valeur de délai d'attente de session actuellement configurée est utilisée pour calculer la date et l'heure à venir auxquelles la session de l'utilisateur expirera pour être restée inactive. La date calculée est ensuite stockée avec la session Identity Manager de l'utilisateur de sorte à pouvoir être contrôlée à chaque fois qu'une demande est formulée.

Si un administrateur de connexion modifie la valeur du délai d'attente de session d'une application de connexion, la nouvelle valeur sera appliquée pour toutes les connexions futures. Les sessions existantes expireront sur la base de la valeur en vigueur au moment de la connexion de l'utilisateur.

Les valeurs définies pour le délai d'attente HTTP s'appliquent à toutes les applications Identity Manager et ont la priorité sur la valeur de délai d'attente de session de l'application de connexion.

Désactivation de l'accès aux applications

Dans les pages Créer une application de connexion et Modifier une application de connexion, vous pouvez sélectionner l'option Désactiver pour désactiver une application de connexion et empêcher par là les utilisateurs de se connecter. Si un utilisateur essaie de se connecter à une application désactivée, l'utilisateur est réacheminé sur une autre page indiquant que l'application est actuellement désactivée. Vous pouvez éditer le message qui s'affiche sur cette page en éditant le catalogue personnalisé.

Les applications de connexion restent désactivées jusqu'à ce que vous désélectionniez l'option. À titre de protection, vous ne pouvez pas désactiver la connexion de l'administrateur.

Édition des groupes de modules de connexion

La liste des groupes de modules de connexion affiche les éléments suivants :

• les différents groupes de modules de connexion ;

• les modules de connexion individuels qui constituent un groupe de modules de connexion ;

• si un groupe de modules de connexion contient des règles de contrainte.

Vous pouvez créer, éditer et supprimer des groupes de modules de connexion depuis la page Groupes de modules de connexion. Sélectionnez un groupe de modules de connexion dans la liste pour l'éditer.

Édition des modules de connexion

Saisissez les détails ou effectuez des sélections pour les modules de connexion comme indiqué ci-après (les options ne sont pas toutes disponibles pour tous les modules de connexion).

• Exigence de réussite de connexion. Sélectionnez une exigence applicable à ce module. Les sélections sont les suivantes :

  • requis. Le module de connexion doit réussir. Qu'il réussisse ou non, l'authentification passe au module de connexion suivant de la liste. S'il n'y a pas d'autre module de connexion, l'ouverture de session administrateur réussit.

  • exigence. Le module de connexion est requis pour la réussite de l'opération. En cas de réussite, l'authentification passe au module de connexion suivant de la liste. Dans le cas contraire, l'authentification s'arrête.

  • suffisant. Le module de connexion n'est pas requis pour la réussite de l'opération. En cas de réussite, l'authentification ne passe pas au module de connexion suivant et l'administrateur est connecté. Dans le cas contraire, l'authentification passe au module de connexion suivant de la liste.

  • en option. Le module de connexion n'est pas requis pour la réussite de l'opération. Que l'opération réussisse ou non, l'authentification passe au module de connexion suivant de la liste.

• Attributs de recherche de connexion. (LDAP uniquement). Indiquez une liste ordonnée de noms d'attributs utilisateur LDAP à utiliser lors des tentatives de liaison (connexion) au serveur LDAP associé. Chacun des attributs utilisateur LDAP indiqués, ainsi que le nom de connexion spécifié par l'utilisateur, est utilisé, en respectant l'ordre, pour rechercher un utilisateur LDAP correspondant. Ceci permet à un utilisateur de se connecter à Identity Manager en utilisant un cn LDAP ou une adresse e-mail (quand Identity Manager est configuré pour l'intercommunication avec LDAP).

  Par exemple, si vous indiquez ce qui suit et que l'utilisateur tente de se connecter sous le nom gwilson, la ressource LDAP va d'abord rechercher un utilisateur LDAP répondant au critère cn=gwilson.

  cn

  mail

  Si une correspondance est trouvée, une tentative de connexion est lancée avec le mot de passe indiqué par l'utilisateur. Si aucune correspondance n'est trouvée, la ressource LDAP va rechercher un utilisateur LDAP correspondant au critère mail=gwilson. Si cette opération se solde également par un échec, la connexion échoue.

  Si vous n'indiquez aucune valeur, les attributs de recherche LDAP par défaut sont les suivants :

  uid

  cn

• Règle de corrélation de connexion. Sélectionnez une règle de corrélation à utiliser pour mapper les informations de connexion fournies par l'utilisateur vers un utilisateur Identity Manager. Cette règle permet de rechercher un utilisateur Identity Manager à l'aide de la logique qui y est spécifiée. Cette règle doit retourner une liste d'une ou plusieurs conditions AttributeConditions qui serviront à rechercher un utilisateur Identity Manager concordant. La règle sélectionnée doit avoir l'authType LoginCorrelationRule. Pour la description des étapes suivies par Identity Manager pour mapper un ID utilisateur authentifié vers un utilisateur Identity Manager, voir l'Exemple 12–2.

• Règle de nom de nouvel utilisateur. Sélectionnez une règle de nom de nouvel utilisateur à utiliser lors de la création automatique de nouveaux utilisateurs Identity Manager dans le cadre de la connexion.

Cliquez sur Enregistrer pour enregistrer un module de connexion. Une fois le module enregistré, vous pouvez en choisir la position par rapport aux autres modules de connexion du groupe.

Si la configuration de connexion d'Identity Manager permet de s'authentifier sur plusieurs systèmes, il est recommandé d'utiliser les mêmes ID utilisateur et mot de passe de compte sur tous les systèmes cibles de l'authentification Identity Manager.

Si les combinaisons ID utilisateur/mot de passe diffèrent, la connexion échoue sur tous les systèmes dont l'ID utilisateur et le mot de passe ne correspondent pas à ceux saisis dans le formulaire Identity Manager User Login.

Certains de ces systèmes peuvent avoir une stratégie de blocage qui impose un nombre limite d'échecs de connexion au-delà duquel le compte est verrouillé. Pour ces systèmes, les comptes utilisateur peuvent être verrouillés même si la connexion de l'utilisateur à travers Identity Manager continue à fonctionner.

L'Exemple 12–2 contient un pseudocode qui décrit les étapes suivies par Identity Manager pour mapper les ID utilisateur authentifiés vers les utilisateurs Identity Manager.

Exemple 12–2 Logique de traitement des modules de connexion

if an existing IDM user’s ID is the same as the specified user ID 

   if that IDM user has a linked resource whose resource name matches the 
   resource that was authenticated and whose accountId matches the resource 
   accountId returned by successful authentication (e.g. dn), then we have 
   found the right IDM user 

   otherwise if there is a LoginCorrelationRule associated with the 
   configured login module 

      evaluate it to see if it maps the login credentials to a single IDM 
      user 

      otherwise login fails 

   otherwise login fails 

if the specified userID does not match an existing IDM user’s ID 

   try to find an IDM user that has a linked resource whose resource 
   name matches the resource accountID returned by successful authentication 

     if found, then we have found the right IDM user 

     otherwise if there is a LoginCorrelationRule associated with the 
     configured login module 

         evaluate it to see if it maps the login credentials to a single 
         IDM user 

         otherwise login fails 

     otherwise login fails

Dans l'Exemple 12–2, le système essaie de trouver un utilisateur Identity Manager correspondant en utilisant les ressources reliées de l'utilisateur (informations sur les ressources). Si l'approche basée sur les informations sur les ressources échoue et qu'une règle loginCorrelationRule est configurée, le système essaie de trouver un utilisateur correspondant en utilisant cette règle.