In questo documento sono definiti i parametri di configurazione per gestire l'autenticazione degli utenti su più profili.

PARAMETRI DI CONFIGURAZIONE MULTI PROFILO

Sono stati introdotti 3 nuovi parametri di configurazione che permettono diverse modalità di gestione dei profili: 

PRODOTTO

MODULO

PAR_COD

ESSE3

18

USER_PROFILE

ESSE3

18

USER_PROFILE_AUTH

ESSE3

18

USER_PROFILE_MODE


USER_PROFILE

Abilita la selezione del profilo utente dopo la login.

VAL_NUM:
  • 0 = non abilitato
  • 1 = abilitato
VAL_ALFA indica l'elenco dei tipi di client per cui va abilitato il servizio, separati da virgola (ad es 'WEB,TOTEM' oppure 'PB,WEB,TOTEM') dove PB sta per CLIENT


USER_PROFILE_AUTH

Indica la modalità di autenticazione nel caso di abilitazione dei profili utente.

VAL_NUM:
  • 1 = DBMS
  • 2 = LDAP
  • 3 = SHIBBOLETH
VAL_ALFANULL

USER_PROFILE_MODE

Indica la modalità di ricerca dei profili utente in base all'user_id fornito in fase di login

VAL_NUM:
  • 1 = lo USER_ID è il codice fiscale
  • 2 = lo USER_ID è l'EXTERNAL_ID
  • 3 = USER_ID canonico e ricerca dei profili tramite CODICE FISCALE
  • 4 = USER_ID canonico e ricerca dei profili tramite EXTERNAL_ID
VAL_ALFANULL

* Nota

Nei casi in cui la ricerca dei profili viene eseguita per codice fiscale: se è abiltata la gestione dei profili (USER_PROFILE=1) e se l’utente ha un solo profilo (es. come SOGGETTO ESTERNO) e la sua anagrafica non ha codice fiscale (nel caso delle anagrafiche di soggetti esterni non è un campo obbligatorio) la ricerca del profilo non recupera nulla e l’utenza non potrà accedere (anomalia in corso di risoluzione dalla release 16.04.00)

AUTENTICAZIONE MULTI PROFILO CON LDAP

Per poter gestire correttamente l'autenticazione multi profilo tramite LDAP è necessario che i gruppi utente cui appartengono i profili associati ad un certo codice fiscale, abbiano tutti lo stesso tipo di autenticazione che è definita nel parametro USER_PROFILE_AUTH.

In sintesi, se USER_PROFILE_AUTH = 2 vuol dire che l'autenticazione multi profilo avviene via LDAP; di conseguenza anche gli USER_ID associati ai diversi profili devono avere la stessa configurazione (p18_user.auth_pwd_location); o meglio i gruppi cui sono associati gli user_id devo autenticarsi su LDAP (p18_grp.auth_pwd_master_location). 

NOTA BENE: la configurazione dell'autenticazione sullo user (p18_user.auth_pwd_location) è in override di quella sul gruppo (p18_grp.auth_pwd_master_location). 

PARAMETRI DI CONFIGURAZIONE AUTENTICAZIONE LDAP

PAR_CODDESNOTAVAL_NUMVAL_ALFA
LDAP_AUTH_HOSTLDAP server di autenticazioneNome logico o IP LDAP server di autenticazione
ldaps://ldap-nomehost.it
LDAP_AUTH_PORTPorta LDAP server di autenticazioneNumero porta LDAP server di autenticazione636636
LDAP_AUTH_ADMIN_USER_DNDn dell'utente amministratore LDAPDistinguish Name dell´utente amministratore LDAP
cn=ugov,ou=utenti, dc=kion,dc=it
LDAP_AUTH_ADMIN_PWDPassword dell'utente amministratore LDAPPassword dell´utente amministratore LDAP
password
LDAP_AUTH_BASEBase dn di visibilitàBase dn di visibilità
dc=kion,dc=it
LDAP_AUTH_USER_ID_ATTR_NAMENome attributo LDAP che mappa lo userID di Esse3Nome attributo LDAP che mappa lo userID di Esse3
uid
LDAP_AUTH_SEARCH_ATTR_NAMENome attributo LDAP utilizzato per individuate il DN dello USERID di ESSE3


LDAP_AUTH_SEARCH_ATTR_VALUENome attributo DB utilizzato per individuate il DN dello USERID di ESSE3


LDAP_AUTH_SEARCH_VIEWNome vista DB utilizzata per individuate il DN dello USERID di ESSE3


LDAP_AUTH_SEARCH_WHERE_CONDEventuale condizione di WHERE da applicare alla vista DB utilizzata per individuate il DN dello USERID di ESSE3


PARAMETRI DI CONFIGURAZIONE AUTENTICAZIONE LDAP PER GRUPPO UTENTE

La configurazione tramite parametri per consentire l'autenticazione, può essere differenziata per gruppo utente, ricorrendo alla tabella P18_LDAP_INFO o più comodamente nella maschera CONFIGURAZIONE LDAP cui si accede attraverso la maschera GRUPPI/FUNZIONI/UTENTE.

In tal modo è possibile differenziare per ogni gruppo utente tutti i parametri di autenticazione.


CASO 1 : TUTTI GLI USER DEI PROFILI IN ESSE3 HANNO EQUIVALENTE ENTRY SU LDAP

Oltre ai parametri di configurazione per la gestione multi profilo, occorre gestire anche i parametri di configurazione per autenticazione su LDAP, con la possibilità o meno di differenziare per gruppo.

In fase di login, vengono presentati all'utente i profili legati alla propria anagrafica e quando l'utente sceglie il profilo (es. Docente) viene eseguita una autenticazione su LDAP.

CASO 2: UN SOLO USER HA LA ENTRY IN LDAP

In questo specifico caso, l'autenticazione LDAP definita sui gruppi, non è piu solo un'opzione, ma una necessita, perchè l'autenticazione con lo user_id non presente su LDAP non avrebbe successo. Ricorrendo alla configurazione per gruppi, invece, è possibile innanzitutto definire con quale attributo ricercare (l'unica) entry su LDAP (es. codicefiscale) e poi utilizzare una vista che estragga il codice fiscale del profilo utente con cui eseguire la search.

Un esempio di vista: V_VISTA_LDAP_AUTH_SEARCH_VIEW

Script V_VISTA_LDAP_AUTH_SEARCH_VIEW 
CREATE OR REPLACE FORCE VIEW V_VISTA_LDAP_AUTH_SEARCH_VIEW
(
   USER_LDAP
 , USER_ID
)
AS
   SELECT a.cod_fis AS user_ldap, u.user_id
     FROM    p01_anaper a
          JOIN
             p18_user u
          ON a.pers_id = u.ana_id AND u.grp_id = 6
    WHERE u.disable_flg = 0
   UNION ALL
   SELECT NVL (d.cod_fis, REPLACE (u.user_id, '-D', '')) AS user_ldap
        , u.user_id AS user_id
     FROM    docenti d
          JOIN
             p18_user u
          ON d.docente_id = u.ana_id AND u.grp_id = 7
    WHERE u.disable_flg = 0;

Configurando quindi l'autenticazione sul gruppo in modo che il sistema recuperi l'attributo con cui eseguire la login su LDAP dalla Vista: