Dialogfeld "Antwortattribut"
Im Dialogfeld "Antwortattribut" konfigurieren Sie Antwortattribute.
casso13de
HID_response-attribute
Inhalt
Im Dialogfeld "Antwortattribut" konfigurieren Sie Antwortattribute.
Bereich "Attributtyp"
Im Abschnitt "Attributtyp" können Sie den Web-Agent-Attributtyp auswählen, den Sie konfigurieren wollen.
Der Abschnitt enthält folgende Einstellungen:
- AttributGibt den Attributtyp an. Wählen Sie eine Option in der Drop-down-Liste aus.Die folgende Liste beschreibt die im Allgemeinen verfügbaren Web-Agent-Antwortattribute:Hinweis:Einige Optionen variieren je nach der Softwareversion.
Die folgenden Antwortattribute sind ebenfalls verfügbar, jedoch nur für die Verwendung mit
CA SiteMinder® Web Services Security
-WSS-Agenten anwendbar:WebAgent-SAML-Session-Ticket-Variable
Gibt Richtlinienserverdaten an, die der
CA Single Sign-on
-WSS-Agent verwendet, um eine SAML-Assertion zu generieren. Diese Assertion wird gemäß der zugeordneten Antwortattribute in einen HTTP- oder SOAP-Umschlag-Header einer XML-Meldung oder in ein Cookie eingefügt.Wenn Sie eine SAML-Sitzungsticketantwort konfigurieren, generiert der Richtlinienserver die Antwortdaten. Diese Daten geben dem
CA Single Sign-on
-WSS-Agenten Anweisungen für die Erstellung der Assertion. Der CA Single Sign-on
-WSS-Agent verschlüsselt ein Sitzungsticket (und optional einen öffentlichen Schlüssel für einen Webservice-Konsumenten) gemeinsam mit den Antwortdaten und generiert die tatsächliche Assertion. Anschließend liefert der Agent die Assertion an den Webservice. Das Token kann nur vom CA Single Sign-on
-WSS-Agenten unter Verwendung des Agent-Schlüssels verschlüsselt und entschlüsselt werden.- WebAgent-WS-Security-TokenGibt die Richtlinienserverdaten an, die derCA Single Sign-on-WSS-Agent verwendet, um gemäß der zugeordneten Antwortattribute WS-Security-Benutzernamen, X509v3 oder SAML-Token zu generieren. Diese Token werden zu einem SOAP-Meldungs-Header hinzugefügt.Wenn Sie eine WS-Security-Antwort konfigurieren, generiert der Richtlinienserver die Antwortdaten. Diese Daten geben demCA Single Sign-on-WSS-Agenten Anweisungen für die Erstellung des Token. Der Agent generiert das Token, fügt es zur SOAP-Abfrage hinzu und liefert es an den Webservice.
- WerttypZeigt den Werttyp des Attributs an, z. B. ob es ein Textwert ist.
Abschnitt "Attribut-Setup" - Attributart
Im Abschnitt "Attributart" geben Sie den Typ des Antwortattributs an.
- StatischWenn diese Option ausgewählt ist, gibt das Attribut den statischen Wert zurück, der im Feld für den Variablenwert (Header-Variable) oder im Feld für den Cookie-Wert (Cookie-Variable) angegeben ist.
- BenutzerattributWenn diese Option ausgewählt ist, gibt das Attribut Profilinformationen zurück, die im Benutzerattribut gespeichert sind, das im Feld "Attributname" von einem Eintrag in einem Benutzerverzeichnis angegeben ist.
- DN-AttributDas Attribut gibt Profilinformationen aus einem Verzeichnisobjekt zurück, das einem DN in einem LDAP- oder ODBC-Benutzerverzeichnis zugeordnet ist. (in den Feldern "DN-Spezifikation" und "Attributname" angegeben).Hinweis:Sie können auch das Kontrollkästchen "Verschachtelte Gruppen erlauben" auswählen. Wenn dieses Kontrollkästchen ausgewählt ist, kannCA Single Sign-onein Attribut aus einer Gruppe zurückgeben, die in einer anderen Gruppe, die eine Richtlinie angegeben hat, geschachtelt ist. Verschachtelte Gruppen treten oft in komplexen LDAP-Bereitstellungen auf.
- Aktive AntwortWenn diese Option ausgewählt ist, gibt das Attribut Werte von einer Bibliothek zurück, die von einem Kunden angegeben wurde. Die Bibliothek basiert auf derCA Single Sign-on-Autorisierungs-API (in den Feldern "Bibliotheksname", "Funktionsname" und (optional) "Parameter" angegeben).
- VariablendefinitionWenn diese Option ausgewählt ist, gibt das Attribut einen Wert zurück, der auf dem Variablenobjekt im Feld "Variable" basiert.
- Verschachtelte Gruppen erlaubenDiese Option ermöglicht esCA Single Sign-on, eine Antwort mit einem Attribut zurückzugeben, das innerhalb einer Gruppe enthalten ist, die in einer Gruppe geschachtelt ist. Verschachtelte Gruppen treten oft in komplexen LDAP-Bereitstellungen auf.Hinweis:Diese Funktion ist nur für DN-Attribute aktiviert.
- SitzungsvariableErmöglicht es dem Administrator, den Wert einer Sitzungsvariablen aus dem Sitzungsspeicher oder aus dem Speicher abzurufen, wenn die Antwort ein Teil der Authentifizierungsanforderung ist.
- AusdruckErmöglicht es dem Administrator, einen Ausdruck anzugeben, der dem Rollenausdruck ähnelt. Zum Beispiel kann ein Administrator ein Antwortattribut konfigurieren, um eine angegebene Zeichenfolge aus dem Attribut des Aussteller-DN im Zertifikat zu extrahieren und um das Ergebnis als neue Sitzungsvariable zu speichern.
Abschnitt "Attribut-Setup" - Attributfelder
Sie können Informationen über das Antwortattribut im Abschnitt "Attributfelder" angeben. Die Felder in diesem Abschnitt sind kontextabhängig und hängen vom Attribut ab, das in der Drop-down-Liste angegeben ist (zum Beispiel "WebAgent-HTTP-Header-Variable"). Außerdem hängen die Felder vom Typ ab, der im Abschnitt "Attributart" angegeben ist.
- VariablennameDefiniert den Namen des Attributs, dasCA Single Sign-onin einer Header-Variablen zurückgibt.Beispiel für statische Antworten: Um das Name/Wert-Paarshow_content=yesan den Web-Agenten zurückzugeben, geben Sieshow_contentin dieses Feld undyesfür den Variablenwert ein.Antwortbeispiel für Benutzerattribute: Um den Wert des E-Mail-Attributs eines Benutzers an den Web-Agenten zurückzugeben, geben Sieemail_addressin dieses Feld ein, und geben Sie <email> ein, wobei "email" der Name des Attributs im Benutzerverzeichnis in "Attributname" ist.Hinweis:Einige Attribute, die Sie aus der Drop-down-Liste "Attribute" auswählen können, verwenden Standardnamen, und es ist nicht erforderlich, dass Sie einen Variablennamen eingeben.
- Namen auswählenGibt einen gültigen Attributnamen fürCA SiteMinder® Web Services Security-Antwortattribute des Typs WebAgent-WS-Security-Token und WebAgent-SAML-Session-Ticket an. Wählen Sie eine Option in der Drop-down-Liste aus.Die Option, die Sie aktivieren, wird verwendet, um das Feld "Variablenname" aufzufüllen.
- VariablenwertDefiniert statischen Text für den Wert des Name/Wert-Paars des Attributs, dasCA Single Sign-onin einer Header-Variable zurückgibt.
- Wert auswählenGibt einen gültigen Attributwert fürCA SiteMinder® Web Services Security-Antwortattribute des Typs WebAgent-WS-Security-Token und WebAgent-SAML-Session-Ticket an. Wählen Sie eine Option in der Drop-down-Liste aus.Die Option, die Sie aktivieren, wird verwendet, um das Feld "Variablenwert" aufzufüllen.
- Cookie-NameDefiniert den Namen des Attributs, dasCA Single Sign-onin einem Cookie zurückgibt.Beispiel für statische Antworten:Um das Name/Wert-Paarshow_content=yesan das Cookie zurückzugeben, geben Sieshow_contentin dieses Feld undyesfür den Cookie-Wert ein.
- Cookie-WertDefiniert statischen Text für den Wert des Name/Wert-Paars des Attributs, dasCA Single Sign-onin einem Cookie zurückgibt.
- AttributnameDefiniert das Attribut in einem Benutzerverzeichnis, das den Attributwert angibt.
- DN-SpezifikationDefiniert den Distinguished Name der Benutzergruppe, aus derCA Single Sign-ondas Benutzerattribut abrufen soll. Der DN muss sich auf die Benutzer beziehen, für die Sie Werte an den Consumer zurückgeben möchten.
- BibliotheksnameDefiniert den Namen der freigegebenen Bibliothek, die Werte für das Antwortattribut abruft.Sie können einen Pfad in den Bibliotheksnamen einfügen, was allerdings nicht erforderlich ist. Wenn Sie keinen Pfad angeben, verwendet der Richtlinienserver den Standardpfad für Ihr System, um zur Laufzeit nach der freigegebenen Bibliothek zu suchen.Sie sollten keine Dateierweiterung für die freigegebene Bibliothek einfügen.Wenn Sie beispielsweise eine Windows-Plattform verwenden und Ihre freigegebene Bibliothek den Namen "lib.dll" hat und sich im Verzeichnis "\CA Single Sign-on\bin\" befindet, dann müssen Sie im Feld "Bibliotheksname" einfach nur "lib" eingeben.
- FunktionsnameDefiniert den Namen der Funktion in der freigegebenen Bibliothek, die aufgerufen wird, um Werte für das Antwortattribut abzurufen.
- ParameterDefiniert die Liste der Parameter, die der Richtlinienserver an die Funktion in der freigegebenen Bibliothek übergibt.
- VariableDefiniert das Variablenobjekt, das den Wert für das Antwortattribut angibt.
- SucheWenn "DN-Attribut" aktiviert ist, wird das Dialogfeld zur Benutzersuche geöffnet, wo Sie Benutzergruppen anzeigen und einen DN auswählen können.Wenn "Variablendefinition" ausgewählt ist, wird das Dialogfeld für dieCA Single Sign-on-Variablensuche geöffnet, wo Sie eine Variable auswählen können.
Dialogfeld "Variablensuche"
Im Dialogfeld "Variablensuche" können Sie vorhandene Variablen auswählen und in Richtlinienausdrücken oder Antworten einfügen.
- Liste "Variable"Listet die vorhandenen Variablen in der Domäne (nach Typ sortiert) auf.
Abschnitt "Erweitert"
Der Bereich "Erweitert" zeigt das Skript an, das
CA Single Sign-on
basierend auf Ihren Einträgen im Bereich "Attributfelder" generiert.- SkriptZeigt das Skript an, dasCA Single Sign-onbasierend auf Ihren Einträgen im Bereich "Attributfelder" generiert. Sie können die Inhalte dieses Felds bearbeiten.Hinweis:Sie können die Inhalte des Felds "Skript" kopieren und sie in das Feld "Skript" für eine andere Antwort einfügen.
Abschnitt "Attribut-Zwischenspeicherung"
Im Abschnitt "Attribut-Zwischenspeicherung" geben Sie an, ob der Agent den Attributwert zwischenspeichern soll oder ob der Wert regelmäßig neu berechnet werden soll.
- ZwischenspeicherwertGibt an, dass der Agent den Attributwert einmal berechnen und anschließend den Wert für den Richtlinienserver zwischenspeichern soll. Verwenden Sie dieses Optionsfeld für Attribute, die für längere Zeiträume statisch bleiben.
- Wert neu berechnen alleGibt an, dass der Antwortwert in einem bestimmten Intervall neu berechnet werden soll. Der Wert 1 gibt an, dass der Antwortattributwert jedes Mal neu berechnet werden soll, wenn die Regel, die der Antwort zugeordnet ist, ausgelöst wird. Der Wert 0 ist das Äquivalent zum Zwischenspeicherwert.