Caixa de diálogo Configuração do assertion (produtor do SAML 1.1)
Conteúdo
casso126figsbrbr
HID_assertion-config-saml1-producer
Conteúdo
Configuração da ID do nome
casso126figsbrbr
A seção NameID permite configurar o identificador de nome, que nomeia um usuário de maneira exclusiva no assertion. O formato do identificador de nome estabelece o tipo de conteúdo utilizado para a ID. Por exemplo, se o formato for um endereço de email, o conteúdo poderá ser [email protected].
Essa seção exibe as seguintes configurações:
- Formato da ID do nomeEspecifica o formato do identificador de nome.Opções:selecionar o menu suspenso para exibir a lista de opções.Para obter uma descrição de cada formato, consulte as especificações de OASIS SAML (Security Assertion Markup Language).
- Tipo de ID de nomeEspecifica o tipo de valor inserido para a ID de nome.
- Opções:
- EstáticoIndica que a ID do nome é uma constante no valor do campo Valor.
- Atributo de usuárioIndica que o produto obtém a ID do nome por meio de consultas ao diretório de usuários para o atributo inserido no campo Valor.
- Atributo da sessãoIndica que o produto obtém a ID do nome por meio de consultas ao repositório de sessões para o atributo inserido no campo Valor.
- Atributo do DN (apenas LDAP)A consulta que obtém o atributo contém o atributo do DN do campo Valor e o DN do campo Especificação de DN. Essa opção é usada principalmente para identificar um grupo de usuários.
- ValorEspecifica um dos seguintes valores:
- O valor de texto estático da ID de nome para o tipo ID estática.
- O valor de um atributo de usuário para o tipo ID de atributo de usuário.
- Valor de um atributo de repositório de sessões para o tipo de atributo da sessão
- O valor de um atributo de DN para o tipo DN.
- Especificação de DNEspecifica o DN do grupo ou da unidade organizacional usado para obter o atributo associado para o identificador de nome.Exemplo:ou=Engineering,o=ca.com
- Permitir a criação de identificador de usuário (apenas para SAML 2.0)Indica se o IdP pode criar um valor para a ID de nome e incluí-lo em um assertion. Quando o SP envia uma AuthnRequest ao IdP, o SP pode incluir um atributo AllowCreate na solicitação. Esse atributo, juntamente com essa caixa de seleção, permitem que o IdP gere um valor de ID de nome quando não conseguir encontrar um no registro de usuário existente. Esse valor deve ser um identificador persistente.A tabela a seguir explica a interação entre o atributo AllowCreate e essa caixa de seleção.Valor do atributo AllowCreate em AuthnRequest (SP)Permitir a criação da definição do identificador de usuário (IdP)Ação do IdPAllowCreate=trueCaixa de seleção marcadaCria um valor de ID de nome.AllowCreate=trueCaixa de seleção desmarcadaNenhuma ação. O IdP não pode criar o valor de ID de nome.AllowCreate=falseCaixa de seleção marcadaNenhuma ação. Nenhum valor de ID de nome foi criado. O atributo em AuthnRequest substitui a configuração do IdP.AllowCreate=falseCaixa de seleção desmarcadaNenhuma ação. Nenhum valor de ID de nome foi criado.Nenhum atributo AllowCreateCaixa de seleção marcadaCria um valor de ID de nome.Nenhum atributo AllowCreateCaixa de seleção desmarcadaNenhuma ação. Nenhum valor de ID de nome foi criado.
Atributos do assertion (SAML 1.1)
A seção Atributos do assertion permite especificar os atributos de usuário que devem ser incluídos em um assertion.
Essa seção exibe as seguintes configurações:
- Atributo da declaraçãoIndica o atributo específico a ser incluído no assertion. Especifique o atributo que o provedor de serviço está esperando no assertion. Essa entrada não é necessariamente um atributo de repositório de usuários.Valor:nome do atributo usado no provedor de serviço.
- Espaço para nomeDesigna uma coleção que identifica os nomes de maneira exclusiva.Valor:qualquer espaço para nome válido.
- TipoEspecifica o tipo de atributo e origem do atributo de assertion.
- Opções:
Indica que o atributo é um valor constante digitado no campo Valor.Atributo de usuárioObtém o atributo por meio de consultas a um diretório de usuários para o atributo especificado no campo Valor.Atributo da sessãoObtém o atributo por meio de consultas ao repositório de sessões para o atributo especificado no campo Valor.Atributo do DN (apenas LDAP)Obtém o atributo enviando uma consulta com o atributo de DN especificado no campo Valor e o DN especificado no campo Especificação de DN. Essa opção é usada principalmente para identificar um grupo de usuários.ExpressãoInsira uma sequência de caracteres usando o Unified Expression Language para transformar, adicionar ou excluir um assertion de atributo. - Valor
- Especifica o valor estático do atributo para o tipo estático.
- Especifica o valor de um atributo de usuário para o tipo de atributo de usuário.Se adicionar um atributo de usuário LDAP a um assertion, você poderá configurar um atributo com mais de um valor. Cada valor é especificado como um elemento <AttributeValue> separado no assertion, como:<ns2:AttributeStatement> <ns2:Attribute Name="MyAttribute"NameFormat="urn:oasis:names:tc:SAML:1.1:attrname-format:unspecified"><ns2:AttributeValue>top</ns2:AttributeValue> <ns2:AttributeValue>person</ns2:AttributeValue><ns2:AttributeValue>organizationalPerson</ns2:AttributeValue><ns2:AttributeValue>inetorgperson</ns2:AttributeValue> </ns2:Attribute></ns2:AttributeStatement>Para indicar que um atributo de usuário possui vários valores, adicione o prefixoFMATTR:no início da entrada desse campo. O prefixo deve estar em letras maiúsculas. Por exemplo, para adicionar o atributo de usuário LastName de um repositório de usuários LDAP, insira FMATTR:LastName. O uso do prefixo instrui oCA SiteMinder® Federationsobre como interpretar o atributo.
- Especifica o valor de um atributo de sessão para o tipo de atributo de sessão.
- Especifica o atributo de DN para o tipo DN.
- Especifica a expressão do JUEL.
- Especificação de DNEspecifica o DN quando o atributo é do tipo DN.Exemplo:ou=Marketing,o=ca.com
Plugin do Assertion Generator
casso126figsbrbr
A seção Plugin do gerador de asserções permite especificar um plugin gravado que o
CA Single Sign-on
pode usar para adicionar atributos em uma asserção.- Classe de pluginEspecifica o nome totalmente qualificado da classe Java do plugin. Esse plugin é invocado em tempo de execução. Digite um nome, por exemplo:com.mycompany.assertiongenerator.AssertionSampleA classe do plugin pode analisar e modificar a asserção e, em seguida, retornar o resultado aoCA Single Sign-onpara processamento final. Apenas um plugin é permitido para cada provedor de serviço. Um plugin de exemplo está incluído no SDK. Visualize um plugin de exemplo compilado, fedpluginsample.jar, no diretóriofederation_sdk_home\jar.Observação:também é possível visualizar o código-fonte do plugin de exemplo no diretóriofederation_sdk_home\sample\com\ca\federation\sdk\plugin\sample.
- Parâmetros do plugin(Opcional). Especifica a sequência de caracteres que oCA Single Sign-ontransmite ao plugin como um parâmetro. OCA Single Sign-ontransmite a sequência de caracteres em tempo de execução. A sequência de caracteres pode conter qualquer valor; não há nenhuma sintaxe específica a ser seguida.O plugin interpreta os parâmetros recebidos. Por exemplo, o parâmetro pode ser o nome do atributo ou a sequência de caracteres pode ter um valor inteiro que instrui o plugin a executar uma tarefa.