Édition des modules de connexion

Saisissez les détails ou effectuez des sélections pour les modules de connexion comme indiqué ci-après (les options ne sont pas toutes disponibles pour tous les modules de connexion).

• Exigence de réussite de connexion. Sélectionnez une exigence applicable à ce module. Les sélections sont les suivantes :

  • requis. Le module de connexion doit réussir. Qu'il réussisse ou non, l'authentification passe au module de connexion suivant de la liste. S'il n'y a pas d'autre module de connexion, l'ouverture de session administrateur réussit.

  • exigence. Le module de connexion est requis pour la réussite de l'opération. En cas de réussite, l'authentification passe au module de connexion suivant de la liste. Dans le cas contraire, l'authentification s'arrête.

  • suffisant. Le module de connexion n'est pas requis pour la réussite de l'opération. En cas de réussite, l'authentification ne passe pas au module de connexion suivant et l'administrateur est connecté. Dans le cas contraire, l'authentification passe au module de connexion suivant de la liste.

  • en option. Le module de connexion n'est pas requis pour la réussite de l'opération. Que l'opération réussisse ou non, l'authentification passe au module de connexion suivant de la liste.

• Attributs de recherche de connexion. (LDAP uniquement). Indiquez une liste ordonnée de noms d'attributs utilisateur LDAP à utiliser lors des tentatives de liaison (connexion) au serveur LDAP associé. Chacun des attributs utilisateur LDAP indiqués, ainsi que le nom de connexion spécifié par l'utilisateur, est utilisé, en respectant l'ordre, pour rechercher un utilisateur LDAP correspondant. Ceci permet à un utilisateur de se connecter à Identity Manager en utilisant un cn LDAP ou une adresse e-mail (quand Identity Manager est configuré pour l'intercommunication avec LDAP).

  Par exemple, si vous indiquez ce qui suit et que l'utilisateur tente de se connecter sous le nom gwilson, la ressource LDAP va d'abord rechercher un utilisateur LDAP répondant au critère cn=gwilson.

  cn

  mail

  Si une correspondance est trouvée, une tentative de connexion est lancée avec le mot de passe indiqué par l'utilisateur. Si aucune correspondance n'est trouvée, la ressource LDAP va rechercher un utilisateur LDAP correspondant au critère mail=gwilson. Si cette opération se solde également par un échec, la connexion échoue.

  Si vous n'indiquez aucune valeur, les attributs de recherche LDAP par défaut sont les suivants :

  uid

  cn

• Règle de corrélation de connexion. Sélectionnez une règle de corrélation à utiliser pour mapper les informations de connexion fournies par l'utilisateur vers un utilisateur Identity Manager. Cette règle permet de rechercher un utilisateur Identity Manager à l'aide de la logique qui y est spécifiée. Cette règle doit retourner une liste d'une ou plusieurs conditions AttributeConditions qui serviront à rechercher un utilisateur Identity Manager concordant. La règle sélectionnée doit avoir l'authType LoginCorrelationRule. Pour la description des étapes suivies par Identity Manager pour mapper un ID utilisateur authentifié vers un utilisateur Identity Manager, voir l'Exemple 12–2.

• Règle de nom de nouvel utilisateur. Sélectionnez une règle de nom de nouvel utilisateur à utiliser lors de la création automatique de nouveaux utilisateurs Identity Manager dans le cadre de la connexion.

Cliquez sur Enregistrer pour enregistrer un module de connexion. Une fois le module enregistré, vous pouvez en choisir la position par rapport aux autres modules de connexion du groupe.

Si la configuration de connexion d'Identity Manager permet de s'authentifier sur plusieurs systèmes, il est recommandé d'utiliser les mêmes ID utilisateur et mot de passe de compte sur tous les systèmes cibles de l'authentification Identity Manager.

Si les combinaisons ID utilisateur/mot de passe diffèrent, la connexion échoue sur tous les systèmes dont l'ID utilisateur et le mot de passe ne correspondent pas à ceux saisis dans le formulaire Identity Manager User Login.

Certains de ces systèmes peuvent avoir une stratégie de blocage qui impose un nombre limite d'échecs de connexion au-delà duquel le compte est verrouillé. Pour ces systèmes, les comptes utilisateur peuvent être verrouillés même si la connexion de l'utilisateur à travers Identity Manager continue à fonctionner.

L'Exemple 12–2 contient un pseudocode qui décrit les étapes suivies par Identity Manager pour mapper les ID utilisateur authentifiés vers les utilisateurs Identity Manager.

Exemple 12–2 Logique de traitement des modules de connexion

if an existing IDM user’s ID is the same as the specified user ID 

   if that IDM user has a linked resource whose resource name matches the 
   resource that was authenticated and whose accountId matches the resource 
   accountId returned by successful authentication (e.g. dn), then we have 
   found the right IDM user 

   otherwise if there is a LoginCorrelationRule associated with the 
   configured login module 

      evaluate it to see if it maps the login credentials to a single IDM 
      user 

      otherwise login fails 

   otherwise login fails 

if the specified userID does not match an existing IDM user’s ID 

   try to find an IDM user that has a linked resource whose resource 
   name matches the resource accountID returned by successful authentication 

     if found, then we have found the right IDM user 

     otherwise if there is a LoginCorrelationRule associated with the 
     configured login module 

         evaluate it to see if it maps the login credentials to a single 
         IDM user 

         otherwise login fails 

     otherwise login fails

Dans l'Exemple 12–2, le système essaie de trouver un utilisateur Identity Manager correspondant en utilisant les ressources reliées de l'utilisateur (informations sur les ressources). Si l'approche basée sur les informations sur les ressources échoue et qu'une règle loginCorrelationRule est configurée, le système essaie de trouver un utilisateur correspondant en utilisant cette règle.