Esquema de autenticação via SAML 2.0--Configurações gerais

As configurações gerais para o esquema de autenticação via SAML 2.0 determinam como o provedor de serviços se comunica com o provedor de identidades para recuperar o assertion.
casso1283
HID_sp-authscheme-general
As configurações gerais para o esquema de autenticação via SAML 2.0 determinam como o provedor de serviços se comunica com o provedor de identidades para recuperar o assertion.
Os campos nessa página são:
  • ID do SP
    Especifica um URI que identifica exclusivamente o provedor de serviços.
    Insira um valor que corresponda ao valor da ID especificada para o objeto do provedor de serviços correspondente, que é configurado no provedor de identidades.
  • Versão do SAML
    Especifica a versão de SAML (desativado; o valor é padronizado como 2.0, o que indica que os assertions enviados para essa ID do IdP devem ser compatíveis com o SAML versão 2.0).
  • ID do IdP
    Especifica um URI que identifica exclusivamente o provedor de identidades a partir do qual os assertions são emitidos para o provedor de serviços.
    O provedor de serviços aceita assertions apenas desse IdP.
    O valor que você inserir para o emissor deve corresponder ao valor da ID do IdP configurada no site do provedor de identidades.
  • Duração da latência em segundos
    Determina o número de segundos a ser subtraído da hora atual. Esse cálculo é para prestar contas para os provedores de serviços com relógios que não estão sincronizados com o servidor de políticas que funciona como provedor de identidades.
Desambiguidade de usuário
Na seção Desambiguação de usuários, você pode configurar como obter informações de usuários de um assertion do SAML 2.0. O destinatário usa essa informação para autenticar um usuário.
  • Consulta Xpath
    Especifica uma consulta XPath. A consulta XPath informa ao esquema de autenticação onde localizar uma entrada específica no assertion que, posteriormente, servirá como a ID de logon do usuário. O valor que a consulta obtém se torna parte da especificação de pesquisa para procurar por uma entrada do repositório de usuários.
    Se você não especificar uma consulta, a consulta de XPath padrão será:
    /Assertion/Subject/NameID/text()
    As consultas Xpath não devem conter prefixos de namespace. O exemplo a seguir é uma consulta Xpath inválida:
    /saml:Response/saml:Assertion/saml:AuthenticationStatement/
    saml:Subject/saml:NameIdentifier/text()
    A consulta Xpath válida é:
    //Response/Assertion/AuthenticationStatement/Subject/
    NameIdentifier/text()
    Exemplo
    Para obter o atributo “FirstName” do assertion, a consulta XPath deve ser:
    /Assertion/AttributeStatement/Attribute[@Name=”FirstName”]/
    AttributeValue/text()
  • casso1283
    Ativo
    Indica se a configuração de federação legada está em uso para uma parceria específica. Se o servidor de políticas estiver usando a configuração de federação legada, confirme se essa caixa de seleção está marcada. Se você tiver recriado uma parceria federada com valores semelhantes para as configurações de identidade, como a ID de origem, desmarque essa caixa de seleção antes de ativar a parceria federada.
    O
    SiteMinder
    não funciona com uma configuração legada e de parceria que usa os mesmos valores de identidade, pois ocorre um conflito de nomes.
  • Pesquisa de usuário
    Exibe os tipos de espaço para nome nos quais você pode inserir uma especificação de pesquisa para localizar um registro de usuário em um diretório de usuários.
    Insira uma especificação de pesquisa para o tipo de repositório de usuários que você está usando. A especificação de pesquisa combina um atributo de repositório de usuários e o valor que a consulta Xpath identifica. O esquema de autenticação usa a especificação de pesquisa para localizar um registro de usuário no repositório de usuários.
    Use %s para representar o valor da ID de logon.
    Por exemplo, a ID de logon é user1. Se você especificar Username=%s no campo Especificação de pesquisa, a sequência de caracteres resultante será Username=user1. Essa sequência de caracteres é comparada com um registro no diretório de usuários a fim de localizar o registro correto para autenticação.
    Você também pode especificar filtros com diversas variáveis %s. Por exemplo:
    |(uid=%s)(email=%[email protected])
    |(abcAliasName=%s)(cn=%s)
    Os resultados podem ser:
    |(uid=user1)([email protected])
    |(abcAliasName=user1)(cn=user1)
  • SAML Affiliation
    (Opcional) Especifica uma SAML Affiliation para que o provedor de identidades se associe. Selecione a partir de qualquer objeto de SAML Affiliation configurado. Se uma afiliação for selecionada, os controles restantes ficarão esmaecidos e as configurações de afiliação serão utilizadas.