Décrit un processus par lequel l'ESM lit et traite les informations provenant de la demande de connexion d'un utilisateur avec ESA .

1. ESM vérifie si le nom d'utilisateur principal de la requête est nul. Dans ce cas, l'ESM refuse la connexion.

2. L'ESM lit ensuite l'attribut esm_userLevel de la requête. Si l'attribut est NOACCESS, l'ESM refuse la connexion. L'attribut UserLevel provient d' ESA ; il peut être manquant s'il n'est pas utilisé. Cette étape est alors ignorée. ESA envoie l'attribut UserLevel comme étant Normal, Root ou NOACCESS.

3. Si l'utilisateur (PAS Personne) portant le même nom principal existe déjà, l'ESM vérifie si l'indicateur « servlet.auth.create.users » est défini sur FAUX. Si c'est le cas et que l'utilisateur est introuvable, l'ESM rejette la connexion.

4. Si l'utilisateur est introuvable, ESM tente de le créer si l'indicateur « servlet.auth.create.users » est défini sur TRUE. Il recherche la personne correspondante (par nom principal) et crée une fiche utilisateur si aucune n'est trouvée. Si la création de l'utilisateur rencontre des erreurs ou des doublons avec le même nom, ESM rejette la connexion.

5. L' ESM confirme que l'utilisateur et la personne sont connectés via la propriété « servlet.auth.person.user.attribute.code » (valeur par défaut : efecte_user). Si aucun utilisateur n'est présent dans cette référence, l'ESM rejette la connexion.

6. En cas de problème lors de la création de l'utilisateur, l'ESM refuse la connexion. Il vérifie toutefois si l'utilisateur a été créé/modifié par l'installateur/l'administrateur.

7. Si la personne qui doit être liée à un utilisateur n'est PAS présente, l'ESM essaie de créer une fiche de données de personne et de la lier à l'utilisateur.

8. L'ESM tente de lire le niveau utilisateur à partir de la requête (si présent dans le message SAML ). Si aucune personne n'est créée, l'ESM attribue automatiquement le niveau « AD SEULE ». Sinon, l'ESM parcourt les groupes attribués à la personne (le nom de la propriété est défini dans « servlet.auth.person.groups.attribute.code », valeur par défaut : « groups »).

• Si l'un des groupes est égal à ' servlet.auth.admin.ad .group' (valeur par défaut : « Effect Administrator »), l'ESM donne un accès de niveau ROOT
• Si l'un des groupes est égal à ' servlet.auth.user.ad .group' (valeur par défaut : « Effect User »), l'ESM donne le niveau NORMAL
• Sinon, l'ESM donne le niveau RE AD ONLY

9. Si un « esm_userLevel » a été envoyé dans la requête, l'ESM tente d'attribuer des rôles à l'utilisateur. L'ESM lit la propriété SAML « roles » et tente d'ajouter chaque rôle à l'utilisateur (séparé par un point-virgule).

10. Enfin, l'ESM agit différemment selon le niveau Utilisateur défini précédemment.

• Si le niveau utilisateur a été défini sur NORMAL ou ROOT, et que l'utilisateur a été réellement créé pendant le traitement de la demande, et qu'aucun « esm_userLevel » n'a été envoyé dans le message SAML , l'ESM essaiera d'attribuer à cet utilisateur le rôle par défaut, défini avec la propriété système : « servlet.auth.user.roles » (valeur par défaut : personne de support).
• Si le niveau utilisateur a été défini sur AD UNIQUEMENT et que « esm_userLevel » n'a PAS été envoyé avec le message SAML , l'ESM essaiera d'ajouter les rôles « servlet.auth.user.readonly.roles » à cet utilisateur