SAML 2.0 - Authentifizierungsschema - Allgemeine Einstellungen
Die allgemeinen Einstellungen für das SAML 2.0-Authentifizierungsschema legen fest, wie der Service Provider mit dem Identity Provider kommuniziert, um die Assertion abzurufen.
casso1283
HID_sp-authscheme-general
Die allgemeinen Einstellungen für das SAML 2.0-Authentifizierungsschema legen fest, wie der Service Provider mit dem Identity Provider kommuniziert, um die Assertion abzurufen.
Die Felder auf dieser Seite sind:
- SP-IDGibt einen URI an, der den Service Provider eindeutig identifiziert.Geben Sie einen Wert ein, der mit dem Wert der ID übereinstimmt, der für das entsprechende Service Provider-Objekt angegeben wurde, das beim Identity Provider konfiguriert ist.
- SAML-VersionGibt die SAML-Version an (Deaktiviert: Der Wert wird standardmäßig auf 2.0 festgelegt. Dadurch wird angegeben, dass Assertionen, die dieser IdP-ID gesendet werden, mit SAML-Version 2.0 kompatibel sein müssen).
- IdP-IDGibt einen URI an, der den Identity Provider, von dem Assertionen für diesen Service Provider ausgegeben werden, eindeutig identifiziert.Der Service Provider akzeptiert Assertionen nur von diesem IdP.Der Wert, den Sie für den Aussteller eingeben, muss mit dem Wert in "IdP-ID" übereinstimmen, der auf der Identity Provider-Site konfiguriert ist.
- Zeitversatz in SekundenLegt die Sekundenanzahl fest, die von der aktuellen Zeit abgezogen werden soll. Diese Berechnung gilt für Service Provider mit Uhren, die nicht mit dem Richtlinienserver, der als Identity Provider agiert, synchronisiert sind.
Benutzerbegriffsklärung
Im Abschnitt "Benutzerbegriffsklärung" konfigurieren Sie, wie die Benutzerinformationen von einer SAML 2.0-Assertion abgerufen werden. Der Consumer verwendet diese Informationen, um einen Benutzer zu authentifizieren.
- Xpath-AbfrageGibt eine XPath-Abfrage an. Die XPath-Abfrage teilt dem Authentifizierungsschema mit, wo in der Assertion ein bestimmter Eintrag, der dann als Benutzeranmeldungs-ID dient, gesucht werden soll. Der Wert, den die Abfrage erhält, wird ein Teil der Suchspezifikation, um einen Benutzerspeichereintrag zu suchen.Wenn Sie keine Abfrage angeben, dann ist die standardmäßige XPath-Abfrage:/Assertion/Subject/NameID/text()XPath-Abfragen dürfen keine Namespace-Präfixe enthalten. Folgendes Beispiel ist eine ungültige XPath-Abfrage:/saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()Die gültige XPath-Abfrage ist://Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()BeispielWenn Sie das Attribut "FirstName" aus der Assertion abrufen, dann ist die XPath-Abfrage:/Assertion/AttributeStatement/Attribute[@Name=”FirstName”]/AttributeValue/text()
- casso1283ActiveIndicates whether the legacy federation configuration is in use for a particular partnership. If the Policy Server is using the legacy federation configuration, confirm this check box is selected. If you have recreated a federated partnership with similar values for identity settings, such as source ID, clear this check box before activating the federated partnership.CA Single Sign-oncannot work with a legacy and partnership configuration that use the same identity values or a name collision occurs.
- BenutzersucheZeigt Namespace-Typen an, wo Sie eine Suchspezifikation eingeben können, um einen Benutzerdatensatz in einem Benutzerverzeichnis zu finden.Geben Sie eine Suchspezifikation für den Benutzerspeichertyp ein, den Sie verwenden. Die Suchspezifikation verbindet ein Benutzerspeicherattribut und den Wert, den die XPath-Abfrage identifiziert. Das Authentifizierungsschema verwendet die Suchspezifikation, um einen Benutzerdatensatz im Benutzerspeicher zu finden.Verwenden Sie "%s", um den Anmelde-ID-Wert darzustellen.Zum Beispiel ist die Anmelde-ID "user1". Wenn Sie "Username=%s" im Feld "Suchspezifikation" angeben, dann ergibt sich daraus die Zeichenfolge "Username=user1". Diese Zeichenfolge wird mit einem Datensatz im Benutzerverzeichnis verglichen, um den korrekten Datensatz für die Authentifizierung zu finden.Sie können auch Filter mit mehreren %s-Variablen angeben. Beispiel:|(uid=%s)(email=%[email protected])|(abcAliasName=%s)(cn=%s)Die Ergebnisse wären:|(uid=user1)([email protected])|(abcAliasName=user1)(cn=user1)
- SAML-Gruppe(Optional) Gibt eine SAML-Gruppe an, die mit dem Identity Provider verknüpft werden soll. Wählen Sie ein konfiguriertes Objekt der SAML-Gruppe aus. Wenn eine Gruppe ausgewählt ist, werden die verbleibenden Steuerelemente abgeblendet, und die Gruppeneinstellungen werden verwendet.