In questo documento sono definiti i parametri di configurazione per gestire l'autenticazione degli utenti su più profili.
PARAMETRI DI CONFIGURAZIONE MULTI PROFILO
Sono stati introdotti 3 nuovi parametri di configurazione che permettono diverse modalità di gestione dei profili:
PRODOTTO | MODULO | PAR_COD |
---|---|---|
ESSE3 | 18 | USER_PROFILE |
ESSE3 | 18 | USER_PROFILE_AUTH |
ESSE3 | 18 | USER_PROFILE_MODE |
USER_PROFILE
Abilita la selezione del profilo utente dopo la login.
VAL_NUM: |
|
VAL_ALFA | indica l'elenco dei tipi di client per cui va abilitato il servizio, separati da virgola (ad es 'WEB,TOTEM' oppure 'PB,WEB,TOTEM') dove PB sta per CLIENT |
USER_PROFILE_AUTH
Indica la modalità di autenticazione nel caso di abilitazione dei profili utente.
VAL_NUM: |
|
VAL_ALFA | NULL |
USER_PROFILE_MODE
Indica la modalità di ricerca dei profili utente in base all'user_id fornito in fase di login
VAL_NUM: |
|
VAL_ALFA | NULL |
* Nota
Nei casi in cui la ricerca dei profili viene eseguita per codice fiscale: se è abiltata la gestione dei profili (USER_PROFILE=1) e se l’utente ha un solo profilo (es. come SOGGETTO ESTERNO) e la sua anagrafica non ha codice fiscale (nel caso delle anagrafiche di soggetti esterni non è un campo obbligatorio) la ricerca del profilo non recupera nulla e l’utenza non potrà accedere (anomalia in corso di risoluzione dalla release 16.04.00)
AUTENTICAZIONE MULTI PROFILO CON LDAP
Per poter gestire correttamente l'autenticazione multi profilo tramite LDAP è necessario che i gruppi utente cui appartengono i profili associati ad un certo codice fiscale, abbiano tutti lo stesso tipo di autenticazione che è definita nel parametro USER_PROFILE_AUTH.
In sintesi, se USER_PROFILE_AUTH = 2 vuol dire che l'autenticazione multi profilo avviene via LDAP; di conseguenza anche gli USER_ID associati ai diversi profili devono avere la stessa configurazione (p18_user.auth_pwd_location); o meglio i gruppi cui sono associati gli user_id devo autenticarsi su LDAP (p18_grp.auth_pwd_master_location).
NOTA BENE: la configurazione dell'autenticazione sullo user (p18_user.auth_pwd_location) è in override di quella sul gruppo (p18_grp.auth_pwd_master_location).
PARAMETRI DI CONFIGURAZIONE AUTENTICAZIONE LDAP
PAR_COD | DES | NOTA | VAL_NUM | VAL_ALFA |
---|---|---|---|---|
LDAP_AUTH_HOST | LDAP server di autenticazione | Nome logico o IP LDAP server di autenticazione | ldaps://ldap-nomehost.it | |
LDAP_AUTH_PORT | Porta LDAP server di autenticazione | Numero porta LDAP server di autenticazione | 636 | 636 |
LDAP_AUTH_ADMIN_USER_DN | Dn dell'utente amministratore LDAP | Distinguish Name dell´utente amministratore LDAP | cn=ugov,ou=utenti, dc=kion,dc=it | |
LDAP_AUTH_ADMIN_PWD | Password dell'utente amministratore LDAP | Password dell´utente amministratore LDAP | password | |
LDAP_AUTH_BASE | Base dn di visibilità | Base dn di visibilità | dc=kion,dc=it | |
LDAP_AUTH_USER_ID_ATTR_NAME | Nome attributo LDAP che mappa lo userID di Esse3 | Nome attributo LDAP che mappa lo userID di Esse3 | uid | |
LDAP_AUTH_SEARCH_ATTR_NAME | Nome attributo LDAP utilizzato per individuate il DN dello USERID di ESSE3 | |||
LDAP_AUTH_SEARCH_ATTR_VALUE | Nome attributo DB utilizzato per individuate il DN dello USERID di ESSE3 | |||
LDAP_AUTH_SEARCH_VIEW | Nome vista DB utilizzata per individuate il DN dello USERID di ESSE3 | |||
LDAP_AUTH_SEARCH_WHERE_COND | Eventuale condizione di WHERE da applicare alla vista DB utilizzata per individuate il DN dello USERID di ESSE3 |
PARAMETRI DI CONFIGURAZIONE AUTENTICAZIONE LDAP PER GRUPPO UTENTE
La configurazione tramite parametri per consentire l'autenticazione, può essere differenziata per gruppo utente, ricorrendo alla tabella P18_LDAP_INFO o più comodamente nella maschera CONFIGURAZIONE LDAP cui si accede attraverso la maschera GRUPPI/FUNZIONI/UTENTE.
In tal modo è possibile differenziare per ogni gruppo utente tutti i parametri di autenticazione.
CASO 1 : TUTTI GLI USER DEI PROFILI IN ESSE3 HANNO EQUIVALENTE ENTRY SU LDAP
Oltre ai parametri di configurazione per la gestione multi profilo, occorre gestire anche i parametri di configurazione per autenticazione su LDAP, con la possibilità o meno di differenziare per gruppo.
In fase di login, vengono presentati all'utente i profili legati alla propria anagrafica e quando l'utente sceglie il profilo (es. Docente) viene eseguita una autenticazione su LDAP.
CASO 2: UN SOLO USER HA LA ENTRY IN LDAP
In questo specifico caso, l'autenticazione LDAP definita sui gruppi, non è piu solo un'opzione, ma una necessita, perchè l'autenticazione con lo user_id non presente su LDAP non avrebbe successo. Ricorrendo alla configurazione per gruppi, invece, è possibile innanzitutto definire con quale attributo ricercare (l'unica) entry su LDAP (es. codicefiscale) e poi utilizzare una vista che estragga il codice fiscale del profilo utente con cui eseguire la search.
Un esempio di vista: V_VISTA_LDAP_AUTH_SEARCH_VIEW
Configurando quindi l'autenticazione sul gruppo in modo che il sistema recuperi l'attributo con cui eseguire la login su LDAP dalla Vista: