Dialogfeld "Assertionskonfiguration" (WSFED)

casso127figsbrde
HID_assertion-config-wsfed
Namens-ID (WSFED)
Im Abschnitt "Namens-ID" können Sie die Namenskennung konfigurieren, die einen Benutzer in einer Assertion eindeutig benennt. Das Format der Namenskennung legt den Inhaltstyp fest, der für die ID verwendet wird. Zum Beispiel kann das Format eine E-Mail-Adresse mit dem Wert "[email protected]" sein.
Dieser Bereich zeigt folgende Einstellungen an:
  • Format der Namens-ID
    Gibt das Format der Namenskennung an. 
    Optionen:
    Wählen Sie eine der Optionen aus der Drop-down-Liste aus.
    Beschreibungen der einzelnen Formate finden Sie in der Protokollspezifikation.
  • Typ der Namens-ID
    Gibt den Werttyp an, der für die Namens-ID eingegeben wird.
    Optionen:
    • Statisch
      Zeigt an, dass die Namens-ID eine Konstante im Wert des Felds "Wert" ist.
    • Benutzerattribut
      Zeigt an, dass das Produkt die Namens-ID empfängt, indem es das Benutzerverzeichnis für das ins Feld "Wert" eingegebene Attribut abfragt.
    • Sitzungsattribut
      Zeigt an, dass das Produkt die Namens-ID empfängt, indem es den Sitzungsspeicher für das ins Feld "Wert" eingegebene Attribut abfragt.
    • DN-Attribut (nur LDAP)
      Die Abfrage, die
      CA Single Sign-on
      verwendet, um das Attribut abzurufen, enthält das DN-Attribut im Feld "Wert" und den DN im Feld "DN-Spezifikation". Diese Option wird hauptsächlich verwendet, um eine Gruppe von Benutzern zu identifizieren.
    Wert
    Gibt einen der folgenden Werte an:
    • Statischer Textwert der Namens-ID für den Typ "Statisch".
    • Wert eines Benutzerattributs für den Typ "Benutzerattribut".
    • Wert eines Sitzungsspeicherattributs für den Typ "Sitzungsattribut".
    • Wert eines DN-Attributs für den DN-Typ.
  • DN-Spezifikation
    Gibt den Gruppen- oder Organisationseinheits-DN an, den das Produkt verwendet, um das zugeordnete Attribut für die Namens-ID abzurufen.
    Beispiel:
    ou=Engineering,o=ca.com
Assertionsattribute (WSFED)
Im Abschnitt "Assertionsattribute" können Sie angeben, welche Benutzerattribute in die Assertion eingeschlossen werden.
Dieser Bereich zeigt folgende Einstellungen an:
  • Empfänger in SubjectConfirmationData ausschließen (nur Microsoft Azure-Partnerschaften)
    Wenn diese Option festgelegt ist, wird das Empfängerattribut aus dem SubjectConfirmationData-Tag in der Assertion ausgeschlossen. Diese Option ist für Partnerschaften mit Microsoft Azure erforderlich.
  • Assertionsattribut
    Gibt ein spezifisches Attribut an, das in die Assertion eingeschlossen werden soll. Geben Sie das Attribut an, das die vertrauende Seite in der Assertion erwartet. Diese Eingabe ist muss nicht zwingend ein Benutzerspeicherattribut sein.
    Wert:
    Der Attributname, der auf der vertrauenden Seite verwendet wird.
  • Namespace (nur SAML 1.0-Token-Typ)
    Bezeichnet eine Sammlung, die Namen eindeutig identifiziert. Diese Einstellung ist nur verfügbar, wenn die Partnerschaftsentitäten mit dem SAML 1.0-Token-Typ konfiguriert sind.
    Wert:
    Ein gültiger Namespace.
  • Abrufmethode (nur SAML 2.0-Token-Typ)
    Gibt die geplante Verwendung des Attributs an. Diese Einstellung ist nur verfügbar, wenn die Partnerschaftsentitäten mit dem SAML 2.0-Token-Typ konfiguriert sind.
    Optionen:
    • SSO
      Zeigt an, dass das Attribut für Single Sign-On verwendet wird.
    • Attributservice
      Gibt an, dass das Attribut von der Attributautorität verwendet werden soll. Der Service wickelt Anfragen von Attributabfragen aus.
    • Beide
      Gibt an, dass das Attribut für Single Sign-On und zum Abwickeln von Attributabfragen verwendet wird.
  • Format
    Bezeichnet das Format für das Attribut, das der Assertion hinzugefügt wird. Diese Einstellung ist nur verfügbar, wenn die Partnerschaftsentitäten mit dem SAML 2.0-Token-Typ konfiguriert sind.
    Optionen:
    Wählen Sie das Pull-down-Menü aus, um eine Liste von Optionen anzuzeigen.
  • Typ
    Gibt den Typ des Attributs und die Quelle des Assertionsattributs an. 
    Optionen:
    • Statisch
      : Gibt an, dass das Attribut ein konstanter Wert ist, den Sie in der Spalte "Wert" eingeben.
      Wert:
      Geben Sie einen konstanten Wert des Attributs für den statischen Typ ein.
    • Benutzerattribut
      Ruft das Attribut ab, indem ein Benutzerverzeichnis nach dem Wert abgefragt wird, der im Feld "Wert" angegeben ist.
      Wert:
      Geben Sie ein gültiges Attribut aus dem Benutzerverzeichnis und seine zugehörigen Werte ein.
      Nur für Benutzerattribute: LDAP unterstützt Attribute mit mehrfachen Werten. Standardmäßig vereint der Richtlinienserver mehrere LDAP-Attributwerte mit dem Caret-Zeichen (^), um einen einfachen Assertions-Attributwert zu erstellen. Um anzuzeigen, dass ein mehrwertiges LDAP-Attribut in einem mehrwertigen Assertions-Attribut resultiert, verwenden Sie das Präfix
      FMATTR:
      mit dem Attributnamen.
      Das Präfix muss großgeschrieben sein. Es wird empfohlen, dass die Schreibweise des Attributs, das Sie eingeben, der Schreibweise des Attributs im LDAP-Verzeichnis entspricht.
      Beispiel:
      Um das Benutzerattribut
      mail
      zu mehreren Attributwerten hinzuzufügen, geben Sie Folgendes ein:
      FMATTR:mail
      .
      Jeder Wert wird als separates <AttributeValue>-Element in der Assertion angegeben. Das Ergebnis des Beispiels ist:
      <ns2:Attribute Name="mail">
      <ns2:AttributeValue>jsmith@example.com</ns2:AttributeValue>
      <ns2:AttributeValue>john.smith@example.com</ns2:AttributeValue>
      <ns2:AttributeValue>employee007@example.com</ns2:AttributeValue>
      </ns2:Attribute>
      Ohne das Präfix FMATTR: (der Attributname ist
      mail
      ), ist das Ergebnis des Beispiels Folgendes:
      <ns2:Attribute Name="mail">
      <ns2:AttributeValue>jsmith@example.com^john.smith@example.com^employee007@example.com</ns2:AttributeValue>
      </ns2:Attribute>
    • Sitzungsattribut
      Ruft das Attribut ab, indem der Sitzungsspeicher nach dem Wert abgefragt wird, der im Feld "Wert" angegeben ist.
      Wert:
      Geben Sie den Wert eines Sitzungsattributs ein.
    • DN-Attribut (nur LDAP)
      Ruft das Attribut ab, indem eine Abfrage mit dem DN-Attribut, das im Feld "Wert" angegeben ist, und dem DN, das im Feld "DN-Spezifikation" angegeben ist, gesendet wird. Diese Option wird hauptsächlich verwendet, um eine Gruppe von Benutzern zu identifizieren.
      Wert:
      Geben Sie ein DN-Attribut ein.
    • Ausdruck
      Geben Sie eine Zeichenfolge mithilfe von Java Unified Expression Language ein, um eine Attributassertion zu transformieren, hinzuzufügen oder zu löschen.
      Wert:
      Geben Sie einen JUEL-Ausdruck ein.
  • DN-Spezifikation
    Gibt den DN an, wenn das Attribut ein DN-Typ ist.
    Beispiel: ou=Marketing,o=ca.com
  • Verschlüsseln (nur SAML-Tokentyp 2.0)
    Gibt an, dass die Assertionsattribute zur Laufzeit verschlüsselt werden, bevor die Assertion an die vertrauende Seite gesendet wird.
Einstellungen des Plug-in für Assertionsgenerator (WSFED)
casso127figsbrde
Im Bereich "Plug-in für Assertionsgenerator" können Sie ein geschriebenes Plug-in angeben, das
CA Single Sign-on
verwenden kann, um einer Assertion Attribute hinzuzufügen.
  • Plug-in-Klasse
    Gibt den vollqualifizierten Java-Klassennamen des Plug-ins an. Dieses Plug-in wird zur Laufzeit aufgerufen. Geben Sie zum Beispiel einen Namen ein:
    com.mycompany.assertiongenerator.AssertionSample
    Die Plug-in-Klasse kann die Assertion analysieren und ändern und dann das Ergebnis zu
    CA Single Sign-on
    für die abschließende Verarbeitung zurückgeben. Nur ein Plug-in ist für jede vertrauende Seite zulässig. Ein Beispiel-Plug-in ist im SDK enthalten. Im Verzeichnis
    federation_sdk_home
    \jar finden Sie ein kompiliertes Beispiel-Plug-in namens fedpluginsample.jar.
    Hinweis:
    Im Verzeichnis
    federation_sdk_home
    \\sample\com\ca\federation\sdk\plugin\sample finden Sie auch Quellcode für das Beispiel-Plug-in.
  • Plug-in-Parameter
    (Optional). Gibt die Zeichenfolge an, die
    CA Single Sign-on
    dem Plug-in als ein Parameter übergibt.
    CA Single Sign-on
    gibt die Zeichenfolge zur Laufzeit weiter. Die Zeichenfolge kann einen beliebigen Wert enthalten. Es muss keine bestimmte Syntax eingehalten werden.
    Das Plug-in interpretiert die Parameter, die es empfängt. Zum Beispiel könnte der Parameter der Attributname sein oder die Zeichenfolge kann eine Ganzzahl enthalten, die das Plug-in anweist, eine Aufgabe auszuführen.