CA IdentityMinder - Konfigurationshandbuch - CA Technologies

SiteMinder-VorgängeSiteMinder-generierte AntwortattributeUm einer geschützten Anwendung Benutzerberechtigungen zu liefern, ordnet einSiteMinder-Administrator eine Regel in der Richtlinie der Anwendung paarweise miteiner Antwort an. Die Antwort enthält ein SiteMinder-generiertes Antwortattribut, dasBerechtigungsinformationen aus Identity Manager abruft.Wenn SiteMinder ein Rollenmitglied für eine geschützte Ressource genehmigt, findendie folgenden Ereignisse statt:1. Die Regel der Richtlinie wird in SiteMinder ausgeführt und löst die gepaarteAntwort aus.2. Der Richtlinienserver erhält Berechtigungsinformationen von Identity Manager zumEinschließen in eine Antwort.3. Der Richtlinienserver übergibt das Antwortattribut an den Web-Agenten.4. Der Web-Agent macht die Berechtigungsinformationen für die Anwendung alsHTTP-Header-Variable oder als Cookie verfügbar.Identity Manager übergibt Berechtigungsinformationen durch Antworten vonSiteMinder-Web-Agent an Anwendungen. Diese Antworten enthaltenHTTP-Header-Variablen in Antwortattributen, die von der Anwendung verwendetwerden können, um die Zugriffsberechtigungen eines Benutzers zu bestimmen.Antworten sind in SiteMinder-Richtlinien eingeschlossen, die entscheiden, wie Benutzermit einer geschützten Ressource interagieren.SiteMinder-Administratoren können eine Antwort konfigurieren, die zwei Typen vonAntwortattributen einschließt, um einer Anwendung Informationen zu übergeben:■■SM_USER_APPLICATION_ROLES[:Anwendungs-ID] – Gibt eine Liste von Rollenzurück, die einem Benutzer zugeordnet sindSM_USER_APPLICATION_TASKS[:Anwendungs-ID] – Gibt eine Liste von Aufgabenzurück, die ein Benutzer basierend auf ihm zugewiesenen Rollen ausführen kannDie Anwendungs-ID beschränkt das angeforderte Set von Rollen und Aufgaben auf einebestimmte Anwendung. Wenn Sie beispielsweise das folgende Antwortattributerstellen:SM_USER_APPLICATION_ROLES:FinanzanwendungGibt SiteMinder die Rollen, die Aufgaben in der Finanzanwendung haben, an denWeb-Agenten zurück, der dann die Informationen der Finanzanwendung übergibt.Hinweis: Die Anwendungs-ID, die Sie liefern, sollte mit einer Anwendungs-IDübereinstimmen, die Sie angegeben haben, als Sie "Zugriffsaufgabe erstellen" in IdentityManager verwendet haben. Wenn Sie die Aufgabe noch nicht erstellt haben, kann dieAnwendungs-ID ein von Ihnen gewählter Name sein, aber er darf keine Leerzeichen odernicht-alphanumerische Zeichen enthalten.Kapitel 12: Integration von CA SiteMinder 355