Dialogfeld "Benutzeridentifikation" (SAML 2.0-SP)

 
casso127figsbrde
HID_partnership-userID
 
Im Schritt "Benutzeridentifikation" geben Sie ein Assertionsattribut an, das die vertrauende Seite verwendet, um einen Datensatz in einem Benutzerspeicher zu finden.
  • Identitätsattribut aus Assertion auswählen
    In diesem Abschnitt können Sie angeben, welches Attribut die vertrauende Seite in der Assertion verwendet, um einen Benutzer zu finden.
    Standard:
    Namens-ID verwenden
    Optionen:
    • Namens-ID verwenden
      Weist die vertrauende Seite an, den Wert des Elements "Names-ID" in der Assertion zu verwenden, um den korrekten Benutzerdatensatz zu finden.
    • Attribut auswählen
      Teilt der vertrauenden Seite mit, ein Attribut aus der Assertion zu verwenden, um den korrekten Benutzerdatensatz zu finden. Diese Attribute werden auf der behauptenden Seite definiert und in die Assertion eingeschlossen. Die vertrauende Seite muss wissen, welche Attribute die behauptende Seite an die Assertion senden wird.
      Wählen Sie ein vordefiniertes Attribut aus der Drop-down-Liste aus, oder geben Sie einen Attributnamen direkt in das Textfeld ein. Wenn die Namens-ID vorübergehend ist und sich regelmäßig ändern kann, können Sie diese Option verwenden.
    • XPath angeben
      Weist die vertrauende Seite an, Informationen aus der Assertion zu verwenden, die in einer Xpath-Suchzeichenfolge identifiziert ist. Konfigurieren Sie z. B. die vertrauende Seite so, dass sie die Entitäts-ID sucht und dieses Attribut verwendet, um einen Benutzerdatensatz zu finden.
    • IDP erlauben, Benutzerkennungen zu erstellen
      Fügt das Attribut "AllowCreate" in die AuthnRequest-Meldung ein, die an den IdP gesendet wird. Dieses Attribut weist den IdP an, eine Kennung für die Namens-ID zu generieren, wenn der Benutzerdatensatz keine ID enthält. Der IdP generiert nur eine Kennung, wenn das
      Kontrollkästchen Erstellung der Benutzerkennung zulassen
      beim IdP ausgewählt ist. Diese Einstellung ist Teil der Assertionskonfiguration. Der IDP schließt den neuen Wert für die Namens-ID in die Assertion ein, die an den SP zurückgegeben wird.
    • NameIDPolicy-Format
      Fügt ein Formatattribut in das NameIDPolicy-Tag in AuthnRequest ein, der an den IdP gesendet wird. 
      Wenn "IDP erlauben, Benutzerkennungen zu erstellen" aktiviert ist und ein Wert aus NameIDPolicy-Format ausgewählt wird, wird das ausgewählte Format gesendet. 
      Wenn "IDP erlauben, Benutzerkennungen zu erstellen" nicht aktiviert ist und kein Wert aus NameIDPolicy-Format ausgewählt wird, wird kein Format gesendet. 
      Wenn "IDP erlauben, Benutzerkennungen zu erstellen" nicht aktiviert ist und ein Wert aus NameIDPolicy-Format ausgewählt wird, wird das ausgewählte Format gesendet. 
      Wenn "IDP erlauben, Benutzerkennungen zu erstellen" aktiviert ist und kein Wert aus NameIDPolicy-Format ausgewählt wird, wird das dauerhafte Format gesendet.
    • Abfrageparameter überschreibt Kennung
      Ermöglicht einem Abfrageparameter, den Wert des Attributs "AllowCreate" in der AuthnRequest-Meldung zu ersetzen.
      Sie können den Abfrageparameter "AllowCreate" in die URL einschließen, die Single Sign-On beim SP initiiert. Der Browser wird zuerst an den AuthnRequest-Dienst beim SP umgeleitet. Wenn in der AuthnRequest-Meldung bereits ein "AllowCreate"-Attribut vorhanden ist, ersetzt der Wert des Abfrageparameters den Wert des Attributs. Anhand des Abfrageparameters können Sie den Wert des "AllowCreate"-Attributs ändern, ohne die Partnerschaftskonfiguration zu ändern und erneut zu aktivieren.
  • Identitätsattribut zu Benutzerverzeichnissen zuordnen
    In diesem Abschnitt können Sie eine Suchzeichenfolge angeben, um einen Benutzerdatensatz zu finden.
    Verwenden Sie die Namens-ID oder ein anderes Identitätsattributs aus der Assertion, um eine Suchzeichenfolge anzugeben, die die vertrauende Seite verwendet, um einen Namespace zu suchen. Verwenden Sie in der Suchzeichenfolge "%s" als Variable, die die Namens-ID oder ein anderes Identitätsattribut darstellt.
    Zum Beispiel hat die Namens-ID den Wert "user1". Wenn Sie "name=%s" als Suchzeichenfolge angeben, dann ergibt sich daraus die Zeichenfolge "Username=user1". Diese Zeichenfolge wird mit dem Benutzerspeicher verglichen, um den korrekten Datensatz für die Authentifizierung zu finden.
    Dieser Bereich zeigt folgende Einstellungen an:
    • Directory
      Search Specification (Suchspezifikation des Verzeichnisses)
      Legt die Suchzeichenfolge fest, die der Consumer verwendet, um das Attribut in einem Benutzerverzeichnis zu finden. Geben Sie eine Suchzeichenfolge ein, die für den Verzeichnistyp geeignet ist:
      LDAP: uid=%s
      ODBC: name=%s
  • Verbundbenutzer
    Gibt an, welche Benutzer die vertrauende Seite für den Zugriff auf die angeforderte Ressource autorisiert.
  • Plug-in für Message Consumer
    Plug-in-Klasse
    (Optional) Gibt den vollqualifizierten Java-Klassennamen einer Klasse an, die eine Plug-in-Schnittstelle für Message Consumer für das Authentifizierungsschema implementiert.
    Plug-in-Parameter
    Gibt eine Zeichenfolge von Parametern an, die die API an das Plug-in übergibt, das im Feld "Plug-in-Klasse" angegeben ist.