Dialogfeld "Assertionskonfiguration" (SAML 1.1-Producer)

Inhalt
casso126figsbrde
HID_assertion-config-saml1-producer
Inhalt
Konfiguration von "Namens-ID"
casso126figsbrde
Im Abschnitt "Namens-ID" können Sie die Namenskennung konfigurieren, die einen Benutzer in einer Assertion eindeutig benennt. Das Format der Namenskennung legt den Inhaltstyp fest, der für die ID verwendet wird. Wenn das Format beispielsweise eine E-Mail-Adresse ist, dann kann der Inhalt "[email protected]" sein.
Dieser Bereich zeigt folgende Einstellungen an:
  • Format der Namens-ID
    Gibt das Format der Namenskennung an.
    Optionen:
    Wählen Sie das Pull-down-Menü aus, um die Liste der Optionen anzuzeigen.
    Eine Beschreibung der einzelnen Formate finden Sie in der Spezifikation der OASIS Security Assertion Markup Language (SAML).
  • Typ der Namens-ID
    Gibt den Werttyp an, der für die Namens-ID eingegeben wird.
    • Optionen:
    • Statisch
      Zeigt an, dass die Namens-ID eine Konstante im Wert des Felds "Wert" ist.
    • Benutzerattribut
      Zeigt an, dass das Produkt die Namens-ID empfängt, indem es das Benutzerverzeichnis für das ins Feld "Wert" eingegebene Attribut abfragt.
    • Sitzungsattribut
      Zeigt an, dass das Produkt die Namens-ID empfängt, indem es den Sitzungsspeicher für das ins Feld "Wert" eingegebene Attribut abfragt.
    • DN-Attribut (nur LDAP)
      Die Abfrage, die das Attribut abruft, enthält das DN-Attribut im Feld "Wert" und den DN im Feld "DN-Spezifikation". Diese Option wird hauptsächlich verwendet, um eine Gruppe von Benutzern zu identifizieren.
  • Wert
    Gibt einen der folgenden Werte an:
    • Statischer Textwert der Namens-ID für den Typ der statischen ID.
    • Wert eines Benutzerattributs für den Typ der Benutzerattribut-ID.
    • Wert eines Sitzungsspeicherattributs für den Typ "Sitzungsattribut".
    • Wert eines DN-Attributs für den DN-Typ.
  • DN-Spezifikation
    Gibt den Gruppen- oder Organisationseinheits-DN an, der verwendet wird, um das zugeordnete Attribut für die Namens-ID abzurufen.
    Beispiel:
    ou=Engineering,o=ca.com
  • Erstellung der Benutzerkennung erlauben (nur SAML 2.0)
    Gibt an, ob die IdP-Entität einen Wert für die Namens-ID erstellen und diesen in eine Assertion einschließen kann. Wenn der SP einen AuthnRequest an den IdP sendet, kann der SP das Attribut "AllowCreate" in die Anforderung einschließen. Dieses Attribut und dieses Kontrollkästchen erlauben dem IdP, einen Namens-ID-Wert zu generieren, wenn im vorhandenen Anwenderdatensatz keiner gefunden werden kann. Dieser Wert muss eine dauerhafte Kennung sein.
    Die folgende Tabelle erläutert die Interaktion zwischen dem Attribut "AllowCreate" und diesem Kontrollkästchen.
    "AllowCreate"-Attributwert in der AuthnRequest-Meldung (SP)
    Erstellung der Benutzerkennungseinstellung (IdP) erlauben
    IdP-Aktion
    AllowCreate=true
    Kontrollkästchen aktiviert
    Erstellt Namens-ID-Wert.
    AllowCreate=true
    Kontrollkästchen nicht aktiviert
    Keine Aktion. IdP kann Namens-ID-Wert nicht erstellen.
    AllowCreate=false
    Kontrollkästchen aktiviert
    Keine Aktion. Kein Namens-ID-Wert erstellt. Das Attribut im AuthnRequest überschreibt die IdP-Einstellung.
    AllowCreate=false
    Kontrollkästchen nicht aktiviert
    Keine Aktion. Kein Namens-ID-Wert erstellt.
    Kein "AllowCreate"-Attribut
    Kontrollkästchen aktiviert
    Erstellt Namens-ID-Wert.
    Kein "AllowCreate"-Attribut
    Kontrollkästchen nicht aktiviert
    Keine Aktion. Kein Namens-ID-Wert erstellt.
Assertionsattribute (SAML 1.1)
Im Abschnitt "Assertionsattribute" können Sie angeben, welche Benutzerattribute in eine Assertion eingeschlossen werden.
Dieser Bereich zeigt folgende Einstellungen an:
  • Assertionsattribut
    Gibt ein spezifisches Attribut an, das in die Assertion eingeschlossen werden soll. Geben Sie das Attribut an, das die vertrauende Seite in der Assertion erwartet. Diese Eingabe ist muss nicht zwingend ein Benutzerspeicherattribut sein.
    Wert:
    Der Attributname, der an der vertrauenden Seite verwendet wird.
  • Namespace
    Bezeichnet eine Sammlung, die Namen eindeutig identifiziert.
    Wert:
    Ein gültiger Namespace.
  • Typ
    Gibt den Typ des Attributs und die Quelle des Assertionsattributs an.
    • Optionen:
    Statisch
    Gibt an, dass das Attribut ist ein konstanter Wert ist, der in der Spalte "Wert" angegeben wird.
    Benutzerattribut
    Ruft das Attribut ab, indem ein Benutzerverzeichnis nach dem Wert abgefragt wird, der im Feld "Wert" angegeben ist.
    Sitzungsattribut
    Ruft das Attribut ab, indem der Sitzungsspeicher nach dem Wert abgefragt wird, der im Feld "Wert" angegeben ist.
    DN-Attribut (nur LDAP)
    Ruft das Attribut ab, indem eine Abfrage mit dem DN-Attribut, das im Feld "Wert" angegeben ist, und dem DN, das im Feld "DN-Spezifikation" angegeben ist, gesendet wird. Diese Option wird hauptsächlich verwendet, um eine Gruppe von Benutzern zu identifizieren.
    Ausdruck
    Geben Sie eine Zeichenfolge mithilfe von Java Unified Expression Language ein, um eine Attributassertion zu transformieren, hinzuzufügen oder zu löschen.
  • Wert
    • Gibt den statischen Wert des Attributs für den statischen Typ an.
    • Gibt den Wert eines Benutzerattributs für den Typ des Benutzerattributs an.
      Wenn Sie ein LDAP-Benutzerattribut einer Assertion hinzufügen, können Sie ein Attribut mit mehr als einem Wert konfigurieren. Jeder Wert wird als separates <AttributeValue>-Element in der Assertion angegeben, wie z. B.:
      <ns2:AttributeStatement> <ns2:Attribute Name="MyAttribute"
      NameFormat="urn:oasis:names:tc:SAML:1.1:attrname-format:unspecified">
      <ns2:AttributeValue>top</ns2:AttributeValue> <ns2:AttributeValue>person</ns2:AttributeValue>
      <ns2:AttributeValue>organizationalPerson</ns2:AttributeValue>
      <ns2:AttributeValue>inetorgperson</ns2:AttributeValue> </ns2:Attribute>
      </ns2:AttributeStatement>
      Um anzuzeigen, dass ein Benutzerattribut mehrere Werte hat, fügen Sie das Präfix
      FMATTR:
      am Anfang des Eintrags in diesem Feld hinzu. Das Präfix muss großgeschrieben sein. Geben Sie beispielsweise "FMATTR:LastName" ein, um das Benutzerattribut "LastName" aus einem LDAP-Benutzerspeicher hinzuzufügen. Die Verwendung des Präfixes weist
      CA SiteMinder® Federation
      an, wie das Attribut interpretiert werden soll.
    • Gibt den Wert eines Sitzungsattributs für den Typ des Sitzungsattributs an.
    • Gibt das DN-Attribut für den DN-Typ an.
    • Gibt den JUEL-Ausdruck an.
  • DN-Spezifikation
    Gibt den DN an, wenn das Attribut ein DN-Typ ist.
    Beispiel:
    ou=Marketing,o=ca.com
Plug-in für Assertionsgenerator
casso126figsbrde
Im Bereich "Plug-in für Assertionsgenerator" können Sie ein geschriebenes Plug-in angeben, das
CA Single Sign-on
verwenden kann, um einer Assertion Attribute hinzuzufügen.
  • Plug-in-Klasse
    Gibt den vollqualifizierten Java-Klassennamen des Plug-ins an. Dieses Plug-in wird zur Laufzeit aufgerufen. Geben Sie zum Beispiel einen Namen ein:
    com.mycompany.assertiongenerator.AssertionSample
    Die Plug-in-Klasse kann die Assertion analysieren und ändern und dann das Ergebnis zu
    CA Single Sign-on
    für die abschließende Verarbeitung zurückgeben. Nur ein Plug-in ist für jede vertrauende Seite zulässig. Ein Beispiel-Plug-in ist im SDK enthalten. Im Verzeichnis
    federation_sdk_home
    \jar finden Sie ein kompiliertes Beispiel-Plug-in namens fedpluginsample.jar.
    Hinweis:
    Im Verzeichnis
    federation_sdk_home
    \\sample\com\ca\federation\sdk\plugin\sample finden Sie auch Quellcode für das Beispiel-Plug-in.
  • Plug-in-Parameter
    (Optional). Gibt die Zeichenfolge an, die
    CA Single Sign-on
    dem Plug-in als ein Parameter übergibt.
    CA Single Sign-on
    gibt die Zeichenfolge zur Laufzeit weiter. Die Zeichenfolge kann einen beliebigen Wert enthalten. Es muss keine bestimmte Syntax eingehalten werden.
    Das Plug-in interpretiert die Parameter, die es empfängt. Zum Beispiel könnte der Parameter der Attributname sein oder die Zeichenfolge kann eine Ganzzahl enthalten, die das Plug-in anweist, eine Aufgabe auszuführen.