rfc4370

Contrôle d'autorisation proxifié

   Permet à un client de demander qu'une opération soit traitée sous l'identité d'autorisation fournie au lieu de l'identité d'autorisation associée avec la connexion.

   Les serveurs supportant cette fonctionnalité devrait publier l'OID 2.16.840.1.113730.3.4.18 dans supportedControl.

   La criticité doit être présente et doit être à TRUE. Les serveurs rejètent toute requête non critique. controlValue devrait être présent et devrait soit contenir l'authzId représentant l'identité d'autorisation pour la requête ou être vide si une association anonyme doit être utilisée.

   Le mécanisme pour déterminer les droit d'accès est spécifique à la stratégie d'autorisation proxifiée du serveur.

   Si l'identité d'autorisation demandée est reconnue par le serveur, et que le client est autorisé à adopter l'autorisation demandée, la demande sera exécutée comme si elle était envoyée par l'identité d'autorisation proxy, sinon, le code de retour est 123.

Considération d'implémentation

   Durant l'évaluation d'une requête de recherche, un entrée qui aurait été retournée pour la recherche si elle avait été envoyée par l'identité d'autorisation proxy directement peut ne pas être retournée si le serveur trouve que le demandeur n'a pas les droit d'emprunter cette identité, même si l'entrée est dans le scope de recherche sous un DN qui implique de tels droits. Cela signifie que moins de résultat ou aucun résultat peut être retournée.