针对登录模块的以下各个选项输入详细信息或进行选择。(并非所有选项对每个登录模块均可用。)
登录成功要求。选择应用于此模块的要求。选项包括:
必需。要求登录模块必须成功。无论验证成功或失败,都将继续验证列表中的下一个登录模块。如果这是唯一的登录模块,则管理员登录成功。
必备。要求登录模块必须成功。如果验证成功,将继续验证列表中的下一个登录模块。如果验证失败,则验证不再继续进行。
足够。不要求登录模块必须成功。如果验证成功,将不再继续验证列表中的下一个登录模块,并且管理员成功登录。如果验证失败,将继续验证列表中的下一个登录模块。
可选。不要求登录模块必须成功。无论验证成功或失败,都将继续验证列表中的下一个登录模块。
登录搜索属性。(仅限 LDAP。)指定尝试绑定(登录)到关联 LDAP 服务器时要使用的 LDAP 用户属性名称的有序列表。按顺序使用每个指定的 LDAP 用户属性以及用户的指定登录名称,搜索匹配的 LDAP 用户。这将允许用户使用 LDAP cn 或电子邮件地址登录到 Identity Manager(将 Identity Manager 配置为传递到 LDAP 时)。
例如,如果指定以下内容并且用户尝试以 gwilson 身份登录,则 LDAP 资源首先尝试查找 cn=gwilson 的 LDAP 用户。
cn
如果成功,则使用该用户指定的密码尝试绑定。如果不成功,则 LDAP 资源将搜索 mail=gwilson 的 LDAP 用户。如果仍失败,则登录失败。
如果不指定值,则默认 LDAP 搜索属性是:
uid
cn
登录关联规则。选择用于将用户提供的登录信息映射到 Identity Manager 用户的登录关联规则。此规则用于搜索 Identity Manager 用户(使用规则中指定的逻辑)。此规则必须返回包含一个或多个 AttributeCondition 的列表,用于搜索匹配的 Identity Manager 用户。所选规则必须具有 LoginCorrelationRule authType。有关 Identity Manager 将验证的用户 ID 映射到 Identity Manager 用户所需的步骤的说明,请参见示例 12–2。
新建用户名称规则。作为登录的一部分,选择自动创建新的 Identity Manager 用户时使用的新用户名称规则。
单击“保存”可以保存登录模块。保存后,可将该模块放在登录模块组中所有其他模块所在的位置。
如果将 Identity Manager 登录配置为对多个系统进行验证,则 Identity Manager 要验证的所有目标系统的帐户都应使用相同的用户 ID 和密码。
如果用户 ID 和密码组合不同,则对于用户 ID 和密码不同于在 Identity Manager 的“用户表单”表单中输入的用户 ID 和密码的系统,将不能成功登录。
某些此类系统可能使用锁定策略强制限定锁定帐户前失败登录尝试的次数。对于这些系统,虽然用户可通过 Identity Manager 继续成功登录,但用户帐户最终将被锁定。
示例 12–2 中包含一些伪代码,用于描述 Identity Manager 将验证的用户 ID 映射到 Identity Manager 用户所需的步骤。
if an existing IDM user’s ID is the same as the specified user ID if that IDM user has a linked resource whose resource name matches the resource that was authenticated and whose accountId matches the resource accountId returned by successful authentication (e.g. dn), then we have found the right IDM user otherwise if there is a LoginCorrelationRule associated with the configured login module evaluate it to see if it maps the login credentials to a single IDM user otherwise login fails otherwise login fails if the specified userID does not match an existing IDM user’s ID try to find an IDM user that has a linked resource whose resource name matches the resource accountID returned by successful authentication if found, then we have found the right IDM user otherwise if there is a LoginCorrelationRule associated with the configured login module evaluate it to see if it maps the login credentials to a single IDM user otherwise login fails otherwise login fails |
在示例 12–2 中,系统将尝试使用用户的链接资源(资源信息)查找匹配的 Identity Manager 用户。如果资源信息方法失败,但配置了 loginCorrelationRule,则系统将尝试使用 loginCorrelationRule 查找匹配的用户。