Dialogfeld "Assertionskonfiguration" (SAML 2.0-IdP)

Inhalt
casso127figsbrde
HID_assertion-config-saml2-idp
Inhalt
Konfiguration der Namens-ID (SAML 2.0)
casso127figsbrde
Im Abschnitt "Namens-ID" können Sie die Namenskennung konfigurieren, die einen Benutzer in einer Assertion eindeutig benennt. Das Format der Namenskennung legt den Inhaltstyp fest, der für die ID verwendet wird. Wenn das Format beispielsweise eine E-Mail-Adresse ist, dann kann der Inhalt "[email protected]" sein.
Dieser Bereich zeigt folgende Einstellungen an:
  • Format der Namens-ID
    Gibt das Format der Namenskennung an.
    Optionen:
    Wählen Sie das Pull-down-Menü aus, um die Liste der Optionen anzuzeigen.
    Eine Beschreibung der einzelnen Formate finden Sie in der Spezifikation der OASIS Security Assertion Markup Language (SAML).
  • Typ der Namens-ID
    Gibt den Werttyp an, der für die Namens-ID eingegeben wird.
    • Optionen:
    • Statisch
      Zeigt an, dass die Namens-ID eine Konstante im Wert des Felds "Wert" ist.
    • Benutzerattribut
      Zeigt an, dass das Produkt die Namens-ID empfängt, indem es das Benutzerverzeichnis für das ins Feld "Wert" eingegebene Attribut abfragt.
    • Sitzungsattribut
      Zeigt an, dass das Produkt die Namens-ID empfängt, indem es den Sitzungsspeicher für das ins Feld "Wert" eingegebene Attribut abfragt.
    • DN-Attribut (nur LDAP)
      Die Abfrage, die das Attribut abruft, enthält das DN-Attribut im Feld "Wert" und den DN im Feld "DN-Spezifikation". Diese Option wird hauptsächlich verwendet, um eine Gruppe von Benutzern zu identifizieren.
  • Wert
    Gibt einen der folgenden Werte an:
    • Statischer Textwert der Namens-ID für den Typ der statischen ID.
    • Wert eines Benutzerattributs für den Typ der Benutzerattribut-ID.
    • Wert eines Sitzungsspeicherattributs für den Typ "Sitzungsattribut".
    • Wert eines DN-Attributs für den DN-Typ.
  • DN-Spezifikation
    Gibt den Gruppen- oder Organisationseinheits-DN an, der verwendet wird, um das zugeordnete Attribut für die Namens-ID abzurufen.
    Beispiel:
    ou=Engineering,o=ca.com
  • Erstellung der Benutzerkennung erlauben (nur SAML 2.0)
    Gibt an, ob die IdP-Entität einen Wert für die Namens-ID erstellen und diesen in eine Assertion einschließen kann. Wenn der SP einen AuthnRequest an den IdP sendet, kann der SP das Attribut "AllowCreate" in die Anforderung einschließen. Dieses Attribut und dieses Kontrollkästchen erlauben dem IdP, einen Namens-ID-Wert zu generieren, wenn im vorhandenen Anwenderdatensatz keiner gefunden werden kann. Dieser Wert muss eine dauerhafte Kennung sein.
    Die folgende Tabelle erläutert die Interaktion zwischen dem Attribut "AllowCreate" und diesem Kontrollkästchen.
    "AllowCreate"-Attributwert in der AuthnRequest-Meldung (SP)
    Erstellung der Benutzerkennungseinstellung (IdP) erlauben
    IdP-Aktion
    AllowCreate=true
    Kontrollkästchen aktiviert
    Erstellt Namens-ID-Wert.
    AllowCreate=true
    Kontrollkästchen nicht aktiviert
    Keine Aktion. IdP kann Namens-ID-Wert nicht erstellen.
    AllowCreate=false
    Kontrollkästchen aktiviert
    Keine Aktion. Kein Namens-ID-Wert erstellt. Das Attribut im AuthnRequest überschreibt die IdP-Einstellung.
    AllowCreate=false
    Kontrollkästchen nicht aktiviert
    Keine Aktion. Kein Namens-ID-Wert erstellt.
    Kein "AllowCreate"-Attribut
    Kontrollkästchen aktiviert
    Erstellt Namens-ID-Wert.
    Kein "AllowCreate"-Attribut
    Kontrollkästchen nicht aktiviert
    Keine Aktion. Kein Namens-ID-Wert erstellt.
Assertionsattribute (SAML 2.0-IdP)
Im Abschnitt "Assertionsattribute" können Sie angeben, welche Benutzerattribute in die Assertion eingeschlossen werden.
Dieser Bereich zeigt folgende Einstellungen an:
  • Assertionsattribut
    Gibt ein spezifisches Attribut an, das in die Assertion eingeschlossen werden soll. Geben Sie das Attribut an, das die vertrauende Seite in der Assertion erwartet. Diese Eingabe ist muss nicht zwingend ein Benutzerspeicherattribut sein.
    Wert:
    Der Attributname, der an der vertrauenden Seite verwendet wird.
  • Abrufmethode
    Gibt die geplante Verwendung des Attributs an.
    Optionen:
    • SSO
      Zeigt an, dass das Attribut für Single Sign-On verwendet wird.
    • Attributservice
      Gibt an, dass das Attribut von der Attributverwaltung verwendet werden soll, um Anforderungen von einer Attributabfrage abzuwickeln.
    • Beide
      Gibt an, dass das Attribut von der Attributautorität und von SSO verwendet werden soll.
  • Format
    Gibt das Format für das Attribut an, das Teil einer SAML-Assertion sein soll. Optionen sind:
    • Nicht angegeben
    • Standard
    • URI
    Informationen über die Definitionen dieser Formate finden Sie in der SAML 2.0-Spezifikation.
  • Typ
    Gibt den Typ des Attributs und die Quelle des Assertionsattributs an. 
    Optionen:
    Statisch
    Gibt an, dass das Attribut ist ein konstanter Wert ist, der in der Spalte "Wert" angegeben wird.
    Wert:
    Geben Sie einen konstanten
    Wert des Attributs für den statischen Typ ein.
    Benutzerattribut
    Ruft das Attribut ab, indem ein Benutzerverzeichnis nach dem Wert abgefragt wird, der im Feld "Wert" angegeben ist.
    Wert:
    Geben Sie ein gültiges Attribut aus dem Benutzerverzeichnis und seine zugehörigen Werte ein.
    Nur für Benutzerattribute:
    LDAP unterstützt Attribute mit mehrfachen Werten. Standardmäßig vereint der Richtlinienserver mehrere LDAP-Attributwerte mit dem Caret-Zeichen (^), um einen einfachen Assertions-Attributwert zu erstellen. Um anzuzeigen, dass ein mehrwertiges LDAP-Attribut in einem mehrwertigen Assertions-Attribut resultiert, verwenden Sie das Präfix
    FMATTR:
    mit dem Attributnamen.
    Hinweis:
    Das Präfix muss großgeschrieben sein. Es wird empfohlen, dass die Schreibweise des Attributs, das Sie eingeben, der Schreibweise des Attributs im LDAP-Verzeichnis entspricht.
    Beispiel:
    Um das Benutzerattribut
    mail
    zu mehreren Attributwerten hinzuzufügen, geben Sie Folgendes ein:
    FMATTR:mail
    .
    Jeder Wert wird als separates <AttributeValue>-Element in der Assertion angegeben. Das Ergebnis des Beispiels ist:
    <ns2:Attribute Name="mail">
    <ns2:AttributeValue>[email protected]</ns2:AttributeValue>
    <ns2:AttributeValue>[email protected]</ns2:AttributeValue>
    <ns2:AttributeValue>[email protected]</ns2:AttributeValue>
    </ns2:Attribute>
    Ohne das Präfix FMATTR: (der Attributname ist
    mail
    ), ist das Ergebnis des Beispiels Folgendes:
    <ns2:Attribute Name="mail">
    <ns2:AttributeValue>[email protected]^[email protected]^[email protected]</ns2:AttributeValue>
    </ns2:Attribute>
    Sitzungsattribut
    Ruft das Attribut ab, indem der Sitzungsspeicher nach dem Wert abgefragt wird, der im Feld "Wert" angegeben ist.
    Wert:
    Geben Sie den Wert eines Sitzungsattributs ein.
    DN-Attribut (nur LDAP)
    Ruft das Attribut ab, indem eine Abfrage mit dem DN-Attribut, das im Feld "Wert" angegeben ist, und dem DN, das im Feld "DN-Spezifikation" angegeben ist, gesendet wird. Diese Option wird hauptsächlich verwendet, um eine Gruppe von Benutzern zu identifizieren.
    Wert:
    Geben Sie ein DN-Attribut ein.
    Ausdruck
    Geben Sie eine Zeichenfolge mithilfe von Java Unified Expression Language ein, um eine Attributassertion zu transformieren, hinzuzufügen oder zu löschen.
    Wert:
    Geben Sie einen JUEL-Ausdruck ein.
     
  • DN-Spezifikation
    Gibt den DN an, wenn das Attribut ein DN-Typ ist.
    Beispiel:
    ou=Marketing,o=ca.com
     
  • Verschlüsseln
    Gibt an, dass die Assertionsattribute zur Laufzeit verschlüsselt werden, bevor die Assertion an die vertrauende Seite gesendet wird.
Plug-in für Assertionsgenerator (SAML 2.0-IdP)
casso127figsbrde
Im Bereich "Plug-in für Assertionsgenerator" können Sie ein geschriebenes Plug-in angeben, das
CA Single Sign-on
verwenden kann, um einer Assertion Attribute hinzuzufügen.
  • Plug-in-Klasse
    Gibt den vollqualifizierten Java-Klassennamen des Plug-ins an. Dieses Plug-in wird zur Laufzeit aufgerufen. Geben Sie zum Beispiel einen Namen ein:
    com.mycompany.assertiongenerator.AssertionSample
    Die Plug-in-Klasse kann die Assertion analysieren und ändern und dann das Ergebnis zu
    CA Single Sign-on
    für die abschließende Verarbeitung zurückgeben. Nur ein Plug-in ist für jede vertrauende Seite zulässig. Ein Beispiel-Plug-in ist im SDK enthalten. Im Verzeichnis
    federation_sdk_home
    \jar finden Sie ein kompiliertes Beispiel-Plug-in namens fedpluginsample.jar.
    Hinweis:
    Im Verzeichnis
    federation_sdk_home
    \\sample\com\ca\federation\sdk\plugin\sample finden Sie auch Quellcode für das Beispiel-Plug-in.
  • Plug-in-Parameter
    (Optional). Gibt die Zeichenfolge an, die
    CA Single Sign-on
    dem Plug-in als ein Parameter übergibt.
    CA Single Sign-on
    gibt die Zeichenfolge zur Laufzeit weiter. Die Zeichenfolge kann einen beliebigen Wert enthalten. Es muss keine bestimmte Syntax eingehalten werden.
    Das Plug-in interpretiert die Parameter, die es empfängt. Zum Beispiel könnte der Parameter der Attributname sein oder die Zeichenfolge kann eine Ganzzahl enthalten, die das Plug-in anweist, eine Aufgabe auszuführen.