Dialogfeld "Assertionskonfiguration" (SAML 1.1-Producer)
Inhalt
casso126figsbrde
HID_assertion-config-saml1-producer
Inhalt
Konfiguration von "Namens-ID"
casso126figsbrde
Im Abschnitt "Namens-ID" können Sie die Namenskennung konfigurieren, die einen Benutzer in einer Assertion eindeutig benennt. Das Format der Namenskennung legt den Inhaltstyp fest, der für die ID verwendet wird. Wenn das Format beispielsweise eine E-Mail-Adresse ist, dann kann der Inhalt "[email protected]" sein.
Dieser Bereich zeigt folgende Einstellungen an:
- Format der Namens-IDGibt das Format der Namenskennung an.Optionen:Wählen Sie das Pull-down-Menü aus, um die Liste der Optionen anzuzeigen.Eine Beschreibung der einzelnen Formate finden Sie in der Spezifikation der OASIS Security Assertion Markup Language (SAML).
- Typ der Namens-IDGibt den Werttyp an, der für die Namens-ID eingegeben wird.
- Optionen:
- StatischZeigt an, dass die Namens-ID eine Konstante im Wert des Felds "Wert" ist.
- BenutzerattributZeigt an, dass das Produkt die Namens-ID empfängt, indem es das Benutzerverzeichnis für das ins Feld "Wert" eingegebene Attribut abfragt.
- SitzungsattributZeigt an, dass das Produkt die Namens-ID empfängt, indem es den Sitzungsspeicher für das ins Feld "Wert" eingegebene Attribut abfragt.
- DN-Attribut (nur LDAP)Die Abfrage, die das Attribut abruft, enthält das DN-Attribut im Feld "Wert" und den DN im Feld "DN-Spezifikation". Diese Option wird hauptsächlich verwendet, um eine Gruppe von Benutzern zu identifizieren.
- WertGibt einen der folgenden Werte an:
- Statischer Textwert der Namens-ID für den Typ der statischen ID.
- Wert eines Benutzerattributs für den Typ der Benutzerattribut-ID.
- Wert eines Sitzungsspeicherattributs für den Typ "Sitzungsattribut".
- Wert eines DN-Attributs für den DN-Typ.
- DN-SpezifikationGibt den Gruppen- oder Organisationseinheits-DN an, der verwendet wird, um das zugeordnete Attribut für die Namens-ID abzurufen.Beispiel:ou=Engineering,o=ca.com
- Erstellung der Benutzerkennung erlauben (nur SAML 2.0)Gibt an, ob die IdP-Entität einen Wert für die Namens-ID erstellen und diesen in eine Assertion einschließen kann. Wenn der SP einen AuthnRequest an den IdP sendet, kann der SP das Attribut "AllowCreate" in die Anforderung einschließen. Dieses Attribut und dieses Kontrollkästchen erlauben dem IdP, einen Namens-ID-Wert zu generieren, wenn im vorhandenen Anwenderdatensatz keiner gefunden werden kann. Dieser Wert muss eine dauerhafte Kennung sein.Die folgende Tabelle erläutert die Interaktion zwischen dem Attribut "AllowCreate" und diesem Kontrollkästchen."AllowCreate"-Attributwert in der AuthnRequest-Meldung (SP)Erstellung der Benutzerkennungseinstellung (IdP) erlaubenIdP-AktionAllowCreate=trueKontrollkästchen aktiviertErstellt Namens-ID-Wert.AllowCreate=trueKontrollkästchen nicht aktiviertKeine Aktion. IdP kann Namens-ID-Wert nicht erstellen.AllowCreate=falseKontrollkästchen aktiviertKeine Aktion. Kein Namens-ID-Wert erstellt. Das Attribut im AuthnRequest überschreibt die IdP-Einstellung.AllowCreate=falseKontrollkästchen nicht aktiviertKeine Aktion. Kein Namens-ID-Wert erstellt.Kein "AllowCreate"-AttributKontrollkästchen aktiviertErstellt Namens-ID-Wert.Kein "AllowCreate"-AttributKontrollkästchen nicht aktiviertKeine Aktion. Kein Namens-ID-Wert erstellt.
Assertionsattribute (SAML 1.1)
Im Abschnitt "Assertionsattribute" können Sie angeben, welche Benutzerattribute in eine Assertion eingeschlossen werden.
Dieser Bereich zeigt folgende Einstellungen an:
- AssertionsattributGibt ein spezifisches Attribut an, das in die Assertion eingeschlossen werden soll. Geben Sie das Attribut an, das die vertrauende Seite in der Assertion erwartet. Diese Eingabe ist muss nicht zwingend ein Benutzerspeicherattribut sein.Wert:Der Attributname, der an der vertrauenden Seite verwendet wird.
- NamespaceBezeichnet eine Sammlung, die Namen eindeutig identifiziert.Wert:Ein gültiger Namespace.
- TypGibt den Typ des Attributs und die Quelle des Assertionsattributs an.
- Optionen:
Gibt an, dass das Attribut ist ein konstanter Wert ist, der in der Spalte "Wert" angegeben wird.BenutzerattributRuft das Attribut ab, indem ein Benutzerverzeichnis nach dem Wert abgefragt wird, der im Feld "Wert" angegeben ist.SitzungsattributRuft das Attribut ab, indem der Sitzungsspeicher nach dem Wert abgefragt wird, der im Feld "Wert" angegeben ist.DN-Attribut (nur LDAP)Ruft das Attribut ab, indem eine Abfrage mit dem DN-Attribut, das im Feld "Wert" angegeben ist, und dem DN, das im Feld "DN-Spezifikation" angegeben ist, gesendet wird. Diese Option wird hauptsächlich verwendet, um eine Gruppe von Benutzern zu identifizieren.AusdruckGeben Sie eine Zeichenfolge mithilfe von Java Unified Expression Language ein, um eine Attributassertion zu transformieren, hinzuzufügen oder zu löschen. - Wert
- Gibt den statischen Wert des Attributs für den statischen Typ an.
- Gibt den Wert eines Benutzerattributs für den Typ des Benutzerattributs an.Wenn Sie ein LDAP-Benutzerattribut einer Assertion hinzufügen, können Sie ein Attribut mit mehr als einem Wert konfigurieren. Jeder Wert wird als separates <AttributeValue>-Element in der Assertion angegeben, wie z. B.:<ns2:AttributeStatement> <ns2:Attribute Name="MyAttribute"NameFormat="urn:oasis:names:tc:SAML:1.1:attrname-format:unspecified"><ns2:AttributeValue>top</ns2:AttributeValue> <ns2:AttributeValue>person</ns2:AttributeValue><ns2:AttributeValue>organizationalPerson</ns2:AttributeValue><ns2:AttributeValue>inetorgperson</ns2:AttributeValue> </ns2:Attribute></ns2:AttributeStatement>Um anzuzeigen, dass ein Benutzerattribut mehrere Werte hat, fügen Sie das PräfixFMATTR:am Anfang des Eintrags in diesem Feld hinzu. Das Präfix muss großgeschrieben sein. Geben Sie beispielsweise "FMATTR:LastName" ein, um das Benutzerattribut "LastName" aus einem LDAP-Benutzerspeicher hinzuzufügen. Die Verwendung des Präfixes weistCA SiteMinder® Federationan, wie das Attribut interpretiert werden soll.
- Gibt den Wert eines Sitzungsattributs für den Typ des Sitzungsattributs an.
- Gibt das DN-Attribut für den DN-Typ an.
- Gibt den JUEL-Ausdruck an.
- DN-SpezifikationGibt den DN an, wenn das Attribut ein DN-Typ ist.Beispiel:ou=Marketing,o=ca.com
Plug-in für Assertionsgenerator
casso126figsbrde
Im Bereich "Plug-in für Assertionsgenerator" können Sie ein geschriebenes Plug-in angeben, das
CA Single Sign-on
verwenden kann, um einer Assertion Attribute hinzuzufügen.- Plug-in-KlasseGibt den vollqualifizierten Java-Klassennamen des Plug-ins an. Dieses Plug-in wird zur Laufzeit aufgerufen. Geben Sie zum Beispiel einen Namen ein:com.mycompany.assertiongenerator.AssertionSampleDie Plug-in-Klasse kann die Assertion analysieren und ändern und dann das Ergebnis zuCA Single Sign-onfür die abschließende Verarbeitung zurückgeben. Nur ein Plug-in ist für jede vertrauende Seite zulässig. Ein Beispiel-Plug-in ist im SDK enthalten. Im Verzeichnisfederation_sdk_home\jar finden Sie ein kompiliertes Beispiel-Plug-in namens fedpluginsample.jar.Hinweis:Im Verzeichnisfederation_sdk_home\\sample\com\ca\federation\sdk\plugin\sample finden Sie auch Quellcode für das Beispiel-Plug-in.
- Plug-in-Parameter(Optional). Gibt die Zeichenfolge an, dieCA Single Sign-ondem Plug-in als ein Parameter übergibt.CA Single Sign-ongibt die Zeichenfolge zur Laufzeit weiter. Die Zeichenfolge kann einen beliebigen Wert enthalten. Es muss keine bestimmte Syntax eingehalten werden.Das Plug-in interpretiert die Parameter, die es empfängt. Zum Beispiel könnte der Parameter der Attributname sein oder die Zeichenfolge kann eine Ganzzahl enthalten, die das Plug-in anweist, eine Aufgabe auszuführen.