Dialogfeld "Assertionskonfiguration" (SAML 2.0-IdP)
Inhalt
casso127figsbrde
HID_assertion-config-saml2-idp
Inhalt
Konfiguration der Namens-ID (SAML 2.0)
casso127figsbrde
Im Abschnitt "Namens-ID" können Sie die Namenskennung konfigurieren, die einen Benutzer in einer Assertion eindeutig benennt. Das Format der Namenskennung legt den Inhaltstyp fest, der für die ID verwendet wird. Wenn das Format beispielsweise eine E-Mail-Adresse ist, dann kann der Inhalt "[email protected]" sein.
Dieser Bereich zeigt folgende Einstellungen an:
- Format der Namens-IDGibt das Format der Namenskennung an.Optionen:Wählen Sie das Pull-down-Menü aus, um die Liste der Optionen anzuzeigen.Eine Beschreibung der einzelnen Formate finden Sie in der Spezifikation der OASIS Security Assertion Markup Language (SAML).
- Typ der Namens-IDGibt den Werttyp an, der für die Namens-ID eingegeben wird.
- Optionen:
- StatischZeigt an, dass die Namens-ID eine Konstante im Wert des Felds "Wert" ist.
- BenutzerattributZeigt an, dass das Produkt die Namens-ID empfängt, indem es das Benutzerverzeichnis für das ins Feld "Wert" eingegebene Attribut abfragt.
- SitzungsattributZeigt an, dass das Produkt die Namens-ID empfängt, indem es den Sitzungsspeicher für das ins Feld "Wert" eingegebene Attribut abfragt.
- DN-Attribut (nur LDAP)Die Abfrage, die das Attribut abruft, enthält das DN-Attribut im Feld "Wert" und den DN im Feld "DN-Spezifikation". Diese Option wird hauptsächlich verwendet, um eine Gruppe von Benutzern zu identifizieren.
- WertGibt einen der folgenden Werte an:
- Statischer Textwert der Namens-ID für den Typ der statischen ID.
- Wert eines Benutzerattributs für den Typ der Benutzerattribut-ID.
- Wert eines Sitzungsspeicherattributs für den Typ "Sitzungsattribut".
- Wert eines DN-Attributs für den DN-Typ.
- DN-SpezifikationGibt den Gruppen- oder Organisationseinheits-DN an, der verwendet wird, um das zugeordnete Attribut für die Namens-ID abzurufen.Beispiel:ou=Engineering,o=ca.com
- Erstellung der Benutzerkennung erlauben (nur SAML 2.0)Gibt an, ob die IdP-Entität einen Wert für die Namens-ID erstellen und diesen in eine Assertion einschließen kann. Wenn der SP einen AuthnRequest an den IdP sendet, kann der SP das Attribut "AllowCreate" in die Anforderung einschließen. Dieses Attribut und dieses Kontrollkästchen erlauben dem IdP, einen Namens-ID-Wert zu generieren, wenn im vorhandenen Anwenderdatensatz keiner gefunden werden kann. Dieser Wert muss eine dauerhafte Kennung sein.Die folgende Tabelle erläutert die Interaktion zwischen dem Attribut "AllowCreate" und diesem Kontrollkästchen."AllowCreate"-Attributwert in der AuthnRequest-Meldung (SP)Erstellung der Benutzerkennungseinstellung (IdP) erlaubenIdP-AktionAllowCreate=trueKontrollkästchen aktiviertErstellt Namens-ID-Wert.AllowCreate=trueKontrollkästchen nicht aktiviertKeine Aktion. IdP kann Namens-ID-Wert nicht erstellen.AllowCreate=falseKontrollkästchen aktiviertKeine Aktion. Kein Namens-ID-Wert erstellt. Das Attribut im AuthnRequest überschreibt die IdP-Einstellung.AllowCreate=falseKontrollkästchen nicht aktiviertKeine Aktion. Kein Namens-ID-Wert erstellt.Kein "AllowCreate"-AttributKontrollkästchen aktiviertErstellt Namens-ID-Wert.Kein "AllowCreate"-AttributKontrollkästchen nicht aktiviertKeine Aktion. Kein Namens-ID-Wert erstellt.
Assertionsattribute (SAML 2.0-IdP)
Im Abschnitt "Assertionsattribute" können Sie angeben, welche Benutzerattribute in die Assertion eingeschlossen werden.
Dieser Bereich zeigt folgende Einstellungen an:
- AssertionsattributGibt ein spezifisches Attribut an, das in die Assertion eingeschlossen werden soll. Geben Sie das Attribut an, das die vertrauende Seite in der Assertion erwartet. Diese Eingabe ist muss nicht zwingend ein Benutzerspeicherattribut sein.Wert:Der Attributname, der an der vertrauenden Seite verwendet wird.
- AbrufmethodeGibt die geplante Verwendung des Attributs an.Optionen:
- SSOZeigt an, dass das Attribut für Single Sign-On verwendet wird.
- AttributserviceGibt an, dass das Attribut von der Attributverwaltung verwendet werden soll, um Anforderungen von einer Attributabfrage abzuwickeln.
- BeideGibt an, dass das Attribut von der Attributautorität und von SSO verwendet werden soll.
- FormatGibt das Format für das Attribut an, das Teil einer SAML-Assertion sein soll. Optionen sind:
- Nicht angegeben
- Standard
- URI
- TypGibt den Typ des Attributs und die Quelle des Assertionsattributs an.Optionen:StatischGibt an, dass das Attribut ist ein konstanter Wert ist, der in der Spalte "Wert" angegeben wird.Wert:Geben Sie einen konstantenWert des Attributs für den statischen Typ ein.BenutzerattributRuft das Attribut ab, indem ein Benutzerverzeichnis nach dem Wert abgefragt wird, der im Feld "Wert" angegeben ist.Wert:Geben Sie ein gültiges Attribut aus dem Benutzerverzeichnis und seine zugehörigen Werte ein.Nur für Benutzerattribute:LDAP unterstützt Attribute mit mehrfachen Werten. Standardmäßig vereint der Richtlinienserver mehrere LDAP-Attributwerte mit dem Caret-Zeichen (^), um einen einfachen Assertions-Attributwert zu erstellen. Um anzuzeigen, dass ein mehrwertiges LDAP-Attribut in einem mehrwertigen Assertions-Attribut resultiert, verwenden Sie das PräfixFMATTR:mit dem Attributnamen.Hinweis:Das Präfix muss großgeschrieben sein. Es wird empfohlen, dass die Schreibweise des Attributs, das Sie eingeben, der Schreibweise des Attributs im LDAP-Verzeichnis entspricht.Beispiel:Um das Benutzerattributmailzu mehreren Attributwerten hinzuzufügen, geben Sie Folgendes ein:FMATTR:mail.Jeder Wert wird als separates <AttributeValue>-Element in der Assertion angegeben. Das Ergebnis des Beispiels ist:<ns2:Attribute Name="mail"><ns2:AttributeValue>[email protected]</ns2:AttributeValue><ns2:AttributeValue>[email protected]</ns2:AttributeValue><ns2:AttributeValue>[email protected]</ns2:AttributeValue></ns2:Attribute>Ohne das Präfix FMATTR: (der Attributname istmail), ist das Ergebnis des Beispiels Folgendes:<ns2:Attribute Name="mail"></ns2:Attribute>SitzungsattributRuft das Attribut ab, indem der Sitzungsspeicher nach dem Wert abgefragt wird, der im Feld "Wert" angegeben ist.Wert:Geben Sie den Wert eines Sitzungsattributs ein.DN-Attribut (nur LDAP)Ruft das Attribut ab, indem eine Abfrage mit dem DN-Attribut, das im Feld "Wert" angegeben ist, und dem DN, das im Feld "DN-Spezifikation" angegeben ist, gesendet wird. Diese Option wird hauptsächlich verwendet, um eine Gruppe von Benutzern zu identifizieren.Wert:Geben Sie ein DN-Attribut ein.AusdruckGeben Sie eine Zeichenfolge mithilfe von Java Unified Expression Language ein, um eine Attributassertion zu transformieren, hinzuzufügen oder zu löschen.Wert:Geben Sie einen JUEL-Ausdruck ein.
- DN-SpezifikationGibt den DN an, wenn das Attribut ein DN-Typ ist.Beispiel:ou=Marketing,o=ca.com
- VerschlüsselnGibt an, dass die Assertionsattribute zur Laufzeit verschlüsselt werden, bevor die Assertion an die vertrauende Seite gesendet wird.
Plug-in für Assertionsgenerator (SAML 2.0-IdP)
casso127figsbrde
Im Bereich "Plug-in für Assertionsgenerator" können Sie ein geschriebenes Plug-in angeben, das
CA Single Sign-on
verwenden kann, um einer Assertion Attribute hinzuzufügen.- Plug-in-KlasseGibt den vollqualifizierten Java-Klassennamen des Plug-ins an. Dieses Plug-in wird zur Laufzeit aufgerufen. Geben Sie zum Beispiel einen Namen ein:com.mycompany.assertiongenerator.AssertionSampleDie Plug-in-Klasse kann die Assertion analysieren und ändern und dann das Ergebnis zuCA Single Sign-onfür die abschließende Verarbeitung zurückgeben. Nur ein Plug-in ist für jede vertrauende Seite zulässig. Ein Beispiel-Plug-in ist im SDK enthalten. Im Verzeichnisfederation_sdk_home\jar finden Sie ein kompiliertes Beispiel-Plug-in namens fedpluginsample.jar.Hinweis:Im Verzeichnisfederation_sdk_home\\sample\com\ca\federation\sdk\plugin\sample finden Sie auch Quellcode für das Beispiel-Plug-in.
- Plug-in-Parameter(Optional). Gibt die Zeichenfolge an, dieCA Single Sign-ondem Plug-in als ein Parameter übergibt.CA Single Sign-ongibt die Zeichenfolge zur Laufzeit weiter. Die Zeichenfolge kann einen beliebigen Wert enthalten. Es muss keine bestimmte Syntax eingehalten werden.Das Plug-in interpretiert die Parameter, die es empfängt. Zum Beispiel könnte der Parameter der Attributname sein oder die Zeichenfolge kann eine Ganzzahl enthalten, die das Plug-in anweist, eine Aufgabe auszuführen.