Caixa de diálogo Configuração do assertion (IdP do SAML 2.0)

Conteúdo
casso13br
HID_assertion-config-saml2-idp
Conteúdo
Configuração da ID do nome (SAML 2.0)
casso13br
A seção NameID permite configurar o identificador de nome, que nomeia um usuário de maneira exclusiva no assertion. O formato do identificador de nome estabelece o tipo de conteúdo utilizado para a ID. Por exemplo, se o formato for um endereço de email, o conteúdo poderá ser [email protected].
Essa seção exibe as seguintes configurações:
  • Formato da ID do nome
    Especifica o formato do identificador de nome.
    Opções:
    selecionar o menu suspenso para exibir a lista de opções.
    Para obter uma descrição de cada formato, consulte as especificações de OASIS SAML (Security Assertion Markup Language).
  • Tipo de ID de nome
    Especifica o tipo de valor inserido para a ID de nome.
    • Opções:
    • Estático
      Indica que a ID do nome é uma constante no valor do campo Valor.
    • Atributo de usuário
      Indica que o produto obtém a ID do nome por meio de consultas ao diretório de usuários para o atributo inserido no campo Valor.
    • Atributo da sessão
      Indica que o produto obtém a ID do nome por meio de consultas ao repositório de sessões para o atributo inserido no campo Valor.
    • Atributo do DN (apenas LDAP)
      A consulta que obtém o atributo contém o atributo do DN do campo Valor e o DN do campo Especificação de DN. Essa opção é usada principalmente para identificar um grupo de usuários.
  • Valor
    Especifica um dos seguintes valores:
    • O valor de texto estático da ID de nome para o tipo ID estática.
    • O valor de um atributo de usuário para o tipo ID de atributo de usuário.
    • Valor de um atributo de repositório de sessões para o tipo de atributo da sessão
    • O valor de um atributo de DN para o tipo DN.
  • Especificação de DN
    Especifica o DN do grupo ou da unidade organizacional usado para obter o atributo associado para o identificador de nome.
    Exemplo:
    ou=Engineering,o=ca.com
  • Permitir a criação de identificador de usuário (apenas para SAML 2.0)
    Indica se o IdP pode criar um valor para a ID de nome e incluí-lo em um assertion. Quando o SP envia uma AuthnRequest ao IdP, o SP pode incluir um atributo AllowCreate na solicitação. Esse atributo, juntamente com essa caixa de seleção, permitem que o IdP gere um valor de ID de nome quando não conseguir encontrar um no registro de usuário existente. Esse valor deve ser um identificador persistente.
    A tabela a seguir explica a interação entre o atributo AllowCreate e essa caixa de seleção.
    Valor do atributo AllowCreate em AuthnRequest (SP)
    Permitir a criação da definição do identificador de usuário (IdP)
    Ação do IdP
    AllowCreate=true
    Caixa de seleção marcada
    Cria um valor de ID de nome.
    AllowCreate=true
    Caixa de seleção desmarcada
    Nenhuma ação. O IdP não pode criar o valor de ID de nome.
    AllowCreate=false
    Caixa de seleção marcada
    Nenhuma ação. Nenhum valor de ID de nome foi criado. O atributo em AuthnRequest substitui a configuração do IdP.
    AllowCreate=false
    Caixa de seleção desmarcada
    Nenhuma ação. Nenhum valor de ID de nome foi criado.
    Nenhum atributo AllowCreate
    Caixa de seleção marcada
    Cria um valor de ID de nome.
    Nenhum atributo AllowCreate
    Caixa de seleção desmarcada
    Nenhuma ação. Nenhum valor de ID de nome foi criado.
Atributos do assertion (IdP do SAML 2.0)
A seção Atributos do assertion permite especificar os atributos de usuário que devem ser incluídos no assertion.
Essa seção exibe as seguintes configurações:
  • Atributo da declaração
    Indica o atributo específico a ser incluído no assertion. Especifique o atributo que o provedor de serviço está esperando no assertion. Essa entrada não é necessariamente um atributo de repositório de usuários.
    Valor:
    nome do atributo usado no provedor de serviço.
  • Método de recuperação
    Especifica o uso pretendido do atributo.
    Opções:
    • SSO
      Indica que o atributo é usado para o logon único.
    • Serviço de atributos
      Indica que o atributo é para ser utilizado pela autoridade de atributo para concluir as solicitações de uma consulta de atributo.
    • Ambos
      Indica que o atributo é para ser utilizado pela autoridade de atributo e SSO.
  • Formato
    Especifica o formato do atributo que irá fazer parte de um assertion do SAML. As opções são:
    • não especificado
    • básico
    • uri
    Consulte a especificação do SAML 2.0 para obter definições desses formatos.
  • Tipo
    Especifica o tipo de atributo e origem do atributo de assertion. 
    Opções:
    Estático
    Indica que o atributo é um valor constante digitado no campo Valor.
    Valor:
    digite um valor de
    constante do atributo para o tipo estático.
    Atributo de usuário
    Obtém o atributo por meio de consultas a um diretório de usuários para o atributo especificado no campo Valor.
    Valor:
    digite um atributo válido de um diretório de usuário e seus valores associados.
    Para atributos do usuário apenas: O
    LDAP suporta atributos com vários valores. Por padrão, o servidor de diretivas reúne vários valores de atributo LDAP com o símbolo circunflexo (^) para criar um único valor de atributo assertion. Para indicar o resultado de um atributo LDAP com vários valores em um atributo assertion de vários valores, use o prefixo
    FMATTR:
    com o nome do atributo.
    Observação:
    o prefixo deve estar em letras maiúsculas. É recomendável que as letras maiúsculas e minúsculas do atributo que você digitar correspondam às do atributo no diretório LDAP.
    Exemplo:
    Para adicionar o atributo de usuário
    mail
    com diversos valores de atributo, digite
    FMATTR:mail
    .
    Cada valor é especificado como um elemento separado no assertion. O resultado de exemplo é:
    <ns2:Attribute Name="mail">
    <ns2:AttributeValue>[email protected]</ns2:AttributeValue>
    <ns2:AttributeValue>[email protected]</ns2:AttributeValue>
    <ns2:AttributeValue>[email protected]</ns2:AttributeValue>
    </ns2:Attribute>
    Sem o prefixo FMATTR: (o nome do atributo será
    mail)
    , o resultado do exemplo:
    <ns2:Attribute Name="mail">
    <ns2:AttributeValue>[email protected]^[email protected]^[email protected]</ns2:AttributeValue>
    </ns2:Attribute>
    Atributo da sessão
    Obtém o atributo por meio de consultas ao repositório de sessões para o atributo especificado no campo Valor.
    Valor:
    digite o valor de um atributo de sessão.
    Atributo do DN (apenas LDAP)
    Obtém o atributo enviando uma consulta com o atributo de DN especificado no campo Valor e o DN especificado no campo Especificação de DN. Essa opção é usada principalmente para identificar um grupo de usuários.
    Valor:
    digite um atributo DN.
    Expressão
    Insira uma sequência de caracteres usando o Unified Expression Language para transformar, adicionar ou excluir um assertion de atributo.
    Valor:
    especifique uma expressão JUEL.
     
  • Especificação de DN
    Especifica o DN quando o atributo é do tipo DN.
    Exemplo:
    ou=Marketing,o=ca.com
     
  • Criptografar
    Indica que os atributos do assertion são criptografados durante a execução antes de o assertion ser enviado ao provedor de serviço.
Plugin do Assertion Generator (IdP do SAML 2.0)
casso13br
A seção Plugin do gerador de asserções permite especificar um plugin gravado que o
CA Single Sign-on
pode usar para adicionar atributos em uma asserção.
  • Classe de plugin
    Especifica o nome totalmente qualificado da classe Java do plugin. Esse plugin é invocado em tempo de execução. Digite um nome, por exemplo:
    com.mycompany.assertiongenerator.AssertionSample
    A classe do plugin pode analisar e modificar a asserção e, em seguida, retornar o resultado ao
    CA Single Sign-on
    para processamento final. Apenas um plugin é permitido para cada provedor de serviço. Um plugin de exemplo está incluído no SDK. Visualize um plugin de exemplo compilado, fedpluginsample.jar, no diretório
    federation_sdk_home
    \jar.
    Observação:
    também é possível visualizar o código-fonte do plugin de exemplo no diretório
    federation_sdk_home
    \sample\com\ca\federation\sdk\plugin\sample.
  • Parâmetros do plugin
    (Opcional). Especifica a sequência de caracteres que o
    CA Single Sign-on
    transmite ao plugin como um parâmetro. O
    CA Single Sign-on
    transmite a sequência de caracteres em tempo de execução. A sequência de caracteres pode conter qualquer valor; não há nenhuma sintaxe específica a ser seguida.
    O plugin interpreta os parâmetros recebidos. Por exemplo, o parâmetro pode ser o nome do atributo ou a sequência de caracteres pode ter um valor inteiro que instrui o plugin a executar uma tarefa.