Beskriver en process där ESM läser och bearbetar information från en användares inloggningsförfrågan med ESA .

1. ESM kontrollerar om userPrincipal-namnet från begäran är NULL. Om det är NULL avvisar ESM inloggning.

2. Nästa steg är att ESM läser esm_userLevel från begäran. Om det är NOACCESS, avvisar ESM inloggning. Användarnivån kommer från ESA , den kan saknas om den inte används. Då hoppas detta steg över. ESA skickar Användarnivån som Normal, Root eller NOACCESS.

3. Om användaren (INTE Personen) med samma huvudnamn redan finns, fortsätter ESM att kontrollera om flaggan 'servlet.auth.create.users' är satt till FALSE. Om den är det, och användaren inte hittas, avvisar ESM inloggningen.

4. Om användaren inte hittas försöker ESM skapa den om flaggan 'servlet.auth.create.users' är satt till TRUE. Den söker efter matchande person (efter huvudnamn) och skapar ett användardatakort om inget hittas. Om det uppstår fel eller dubbletter med samma namn vid skapandet av användaren avvisar ESM inloggningen.

5. ESM bekräftar att användaren och personen är sammankopplade via egenskapen 'servlet.auth.person.user.attribute.code' (standardvärde: efecte_user). Om det inte finns någon användare i den referensen avvisar ESM inloggningen.

6. Om det uppstår problem med att skapa användaren avvisar ESM inloggning. Den kontrollerar dock om användaren skapades/redigerades av installatören/administratören.

7. Om personen som ska kopplas till en användare INTE är närvarande, försöker ESM skapa ett persondatakort och koppla det till användaren.

8. ESM försöker läsa användarnivån från begäran (om den finns i SAML -meddelandet). Om ingen person fortfarande har skapats tilldelar ESM automatiskt nivån AD ONLY. Annars itererar ESM över de grupper som tilldelats personen (egenskapsnamnet är inställt i 'servlet.auth.person.groups.attribute.code', standardvärde: "groups").

• Om en av grupperna är lika med ' servlet.auth.admin.ad.group ' (standardvärde: "Effekterad administratör"), ger ESM åtkomst på ROOT-nivå.
• Om en av grupperna är lika med ' servlet.auth.user.ad.group ' (standardvärde: "Effektera användare"), ger ESM nivån NORMAL
• Annars ger ESM nivån RE AD ONLY

9. Om någon 'esm_userLevel' skickades i begäran försöker ESM tilldela roller till användaren. ESM läser SAML egenskapen 'roles' och försöker lägga till varje roll till användaren (avgränsade med semikolon).

10. Slutligen agerar ESM olika beroende på vilken användarnivå som ställts in tidigare.

• Om användarnivån var inställd på NORMAL eller ROOT, och användaren faktiskt skapades under hanteringen av förfrågningarna, och ingen 'esm_userLevel' skickades i SAML -meddelandet, kommer ESM att försöka tilldela den användaren standardrollen, inställd med systemegenskapen: 'servlet.auth.user.roles' (standardvärde: Supportperson).
• Om användarnivån var inställd på ENDAST AD och 'esm_userLevel' INTE skickades med SAML -meddelandet, kommer ESM att försöka lägga till 'servlet.auth.user.readonly.roles'-roller till den användaren.