2.3. 创建验证方法

步骤

1. 在导航面板中，选择 Access Management Authentication Methods。
2. 点 Create authentication。

3. 输入 验证器 的唯一名称。名称是必需的，在所有验证器间都必须是唯一的，且不得超过 512 个字符。这是为验证器生成的唯一标识符。

   注意

   更改名称不会更新验证器的唯一标识符。例如，如果您使用名称 My Authenticator 创建验证器，稍后将其改为 My LDAP Authenticator，您将无法使用名称 My Authenticator 创建另一个验证器，因为唯一标识符仍在使用。

4. 从 Authentication type 列表中选择 authenticator 类型。有关可用身份验证插件的完整列表，请参阅配置验证类型。

5. Authentication details 部分自动更新，以显示与所选验证类型相关的字段。如需所需详情，请参阅配置验证类型中的相应部分。

   对于所有验证类型，您可以输入 Name, Additional Authenticator Fields and Create Objects。

6. 启用或禁用 Enabled，以指定是否应启用或禁用验证器。如果启用，用户可以从验证器登录。如果禁用，则不允许用户从验证器登录。

7. 启用或禁用 Create Object，以指定 验证器是否应该在用户登录时在系统中创建团队和机构。

   Enabled

   创建验证器映射中定义的团队和机构，并添加了用户。

   Disabled

   在验证器映射中定义的机构和团队不会被在系统中自动创建。但是，如果它们已存在（例如由超级用户创建），触发映射的用户将被授予其访问权限。

8. 启用或禁用 删除用户。如果启用，则在从此源进行身份验证时，之前授予用户的任何访问权限都会被删除。如果禁用，则仅根据验证器的映射器映射的结果，为用户添加或删除权限。

   例如，假设用户已在系统中被授予了 is_superuser 权限。并且，该用户将登录到验证器，其映射不会按照用户是否为超级用户来制定建议。如果启用了 Remove Users，则 is_superuser 权限将从用户中删除，验证器映射不会像它应该是否存在一样，在登录用户时没有 is_superuser 权限。

   如果禁用 Remove Users，则不会 从用户中删除 is_superuser 权限。登录用户后，验证器映射不会像它一样使用 is_superuser 权限。

9. 单击 Create Authentication Method，再继续 定义身份验证映射规则并触发器。

步骤

1. 在导航面板中，选择 Access Management Authentication Methods。
2. 在列表视图中，选择 Name 列中显示的验证器名称。
3. 在验证器的 Details 页面中选择 Mapping 选项卡。
4. 点 Create mapping。

5. 从 Authentication 映射列表中选择映射类型。有关不同 映射类型的详情，请参阅 Authenticator 映射类型。选择包括：

   • Allow
   • 机构（Organization）
   • Team
   • 角色
   • 是超级用户
6. 输入唯一规则 Name 来标识该规则。

7. 从列表中选择 Trigger。如需了解更多详细信息，请参阅 Authenticator 映射触发器。选择包括：

   • Always
   • Never
   • 组
   • 属性
8. 点 Create mapping。
9. 重复此步骤，为验证器创建额外的映射规则和触发器。

10. 继续 调整映射顺序，以便 选择性地对验证器的映射进行重新排序。

    注意

    只有定义了多个验证器映射时，映射顺序设置才可用。

步骤

1. 在导航面板中，选择 Access Management Authentication Methods。
2. 在列表视图中，选择 Name 列中显示的验证器名称。
3. 在验证器的 Details 页面中选择 Mapping 选项卡。
4. 点 Manage mappings。

5. 通过使用拖放列表中的映射，使用拖放列表来调整映射顺序。

   注意

   映射优先级由列出映射的顺序决定。

6. 在您的验证器映射以正确顺序后，单击 Apply。