IBM Security Access Manager for Enterprise Single Sign-On V8.2.1

配置 ActiveCode 部署

ActiveCode 是次要因素认证机制,用于在用户桌面没有连接到 IMS Server 时认证用户。 您可以编辑不同的 ActiveCode 设置,例如其有效期、验证尝试次数和分配的消息传递连接器。

过程

  1. 登录到 IMS 配置实用程序。
  2. 选择基本设置 > ActiveCode 部署(从 IMS 配置实用程序导航面板选择)。
  3. 填写下列字段:
    选项 描述
    最大 ActiveCode 验证尝试次数 输入错误的最大移动 ActiveCode 条目数量,之后将锁定帐户。
    ActiveCode 帐户重置锁定时间(秒) 输入重置被锁定的移动 ActiveCode 之前的等待时间(毫秒)。输入数字。
    移动 ActiveCode 有效期(秒) 输入移动 ActiveCode 可供使用的期限。
    允许的 ActiveCode 客户机 IP
    指定启用了 MAC 的应用程序的 IP 地址,该应用程序连接到 IMS Server 的 MAC 服务模块。
    注: IBM® Security Access Manager for Enterprise Single Sign-On V8.2.1 支持因特网协议 V6 (IPv6)。
    为 ActiveCode 客户机启用 SSL 指定请求或验证移动 ActiveCode 调用的客户机是否需要 SSL 访问权。

    从列表中选择以启用 SSL。

    如果使用的是 RADIUS,请从列表中选择
    ActiveCode 访问密码 输入客户机与服务器之间用于调用移动 ActiveCode 的密码。
    OTP 预测数 输入出于验证目的从种子值中按顺序生成一次性密码 (OTP) 的次数。
    OTP 未同步时间窗口 指定 OTP 种子未同步的时间窗口大小。
    OTP 令牌重置时间窗口 输入重置 OTP 令牌时要检查的 OTP 数量。
    IP 应用程序名称绑定 用于从调用者 IP 搜索应用程序名称。 每个条目都使用格式 IP:authentication service。 输入 IP 应用程序名称,然后单击添加

    要移除 IP 应用程序名称,请单击对应 IP 应用程序名称旁边的移除
    NASID 应用程序名称绑定 用于从调用者的网络访问服务器 (NAS) 标识搜索应用程序名称。

    每个条目都使用格式 IP:authentication service

    输入 NASID 应用程序名称,然后单击添加

    要移除 NASID 应用程序名称,请单击对应 NASID 应用程序名称旁边的移除
    MAC/OTP 帐户的应用程序绑定 指定应用程序绑定属性。应用程序绑定将应用程序用户名映射到企业标识。
    值包括:
    • 显式:登录标识不能与企业标识相同,且用户可以使用 MAC
    • 隐式:登录标识为企业标识
    使用仅 MAC 方式用户注册 指定是否支持非 AccessAgent 的仅 MAC 方式用户注册。
    允许移动 ActiveCode 特定于应用程序 指定 MAC 是特定于应用程序还是在多个应用程序中均有效。
    要对仅 MAC 方式用户注册显示的 ActiveDirectory 属性 输入在“用户注册”页面上搜索用户时显示的 Active Directory 属性。
    以大写形式发出移动 ActiveCode 指定是以大写还是小写形式发出 MAC。
    值包括:
    • True - MAC 以大写形式发出
    • False - MAC 以小写形式发出
    用于仅 MAC 方式用户注册 UI 的搜索过滤器

    指定以逗号分隔的搜索过滤器,用于在“用户注册”页面上搜索用户。

    以逗号分隔列表的形式指定“名称/值”对,例如:

    sAMAccountName=*,objectClass=user
    缺省消息传递连接器 指定缺省消息传递连接器。
    阶段 1 认证机制 指定 RADIUS 提问应答阶段 1(认证请求)中可接受的用户输入。
    这是包含以下一个或多个值的有序列表:
    • ENC_PWD_OR_APP_PWD:密码或应用程序密码
    • MAC:移动 ActiveCode
    • AA_OTP:AccessAgent 生成的 OTP
    • BYPASS:ActiveCode 绕过(例如,授权代码 + 密码)
    • OATH:OATH 令牌生成的 OTP
    阶段 2 认证机制

    指定 RADIUS 提问应答阶段 2(响应提问)中可接受的用户输入。

    如果已在阶段 1 中使用 MAC 或 OTP 认证了用户,那么将跳过阶段 2 认证。

    这是包含阶段 1 认证机制中的一个或多个值的有序列表。
    在 MAC/OTP 请求/验证之前要匹配的企业目录属性

    指定为 MAC/OTP 请求/验证而检查的企业目录属性。此属性 指示用户是否可以使用 MAC/OTP。如果没有此类属性,可以将此设置保留为空。

    限制:
    • 只能指定一个属性。
    • 如果设置为 true,那么性能会下降,因为每个 OTP/MAC 请求或验证都会调用企业目录。
    • 为了支持访存多值属性(例如,memberOf),将使用 ADSI 连接器配置企业目录
    在 MAC/OTP 请求/验证之前要匹配的企业目录属性的值

    指定企业目录属性的值列表。如果用户的企业目录属性与此列表中的任意值匹配,那么该用户可以使用 MAC/OTP。

    同时支持单值和多值属性。对于多值属性(例如,memberOf),用户可以使用 MAC/OTP。 但是,其中一个值必须与列表中的任意值匹配。

    对于 memberOf 属性,值为专有名称 (DN)。

    例如:cn=Domain Usersdc=IBMdc=com
    支持 ActiveCode 的认证服务 指定列表中支持 ActiveCode 的认证服务的值列表。
  4. 单击更新

    请参阅字符集ActiveCode 长度算法绑定参数,这些参数在部署期间设置,不可修改。在 IMS 配置实用程序中只能查看这些参数。

    YZ23456789ABCDEFGHJKLMNPQRSTUVWX,6,AES

    WXYZ23456789ABCDEFGHJKLMNPQRSTUV,8,AES

    1234567890,8,AES

    JKLMNPQRSTUVWXYZ23456789ABCDEFGH,6,MCA

    XYZ23456789ABCDEFGHJKLMNPQRSTUVW,6,TRIPLEDES

    VWXYZ23456789ABCDEFGHJKLMNPQRSTU,8,TRIPLEDES

    用于 MAC 的参数是 JKLMNPQRSTUVWXYZ23456789ABCDEFGH,6,MCA

父主题: 基本设置

反馈