Dialogfeld "SAML-Gruppe"
casso1283
HID_saml-affiliations-general
Im Dialogfeld "SAML-Gruppe" konfigurieren Sie eine SAML-Gruppe. Eine SAML-Gruppe ist eine Gruppe von SAML-Entitäten, die eine Namenskennung für einen einzelnen Principal (normalerweise ein Benutzer) gemeinsam nutzen.
Hinweis:
Das Konfigurieren der Gruppen ist optional.Das Dialogfeld der Gruppen hat mehrere Abschnitte:
Allgemeine Einstellungen der SAML-Gruppe
Der Abschnitt "Allgemein" im Dialogfeld der Gruppe enthält folgende Felder:
- NameBenennt die Gruppe. Geben Sie einen eindeutigen Namen ein. Der Name muss für alle Partnerdomänen eindeutig sein.
- Gruppen-IDGibt einen URI an, der die Gruppe eindeutig identifiziert.
- Beschreibung(Optional) Beschreibt die Gruppe.
- SAML-VersionGibt die SAML-Version an. Gibt an, dass Assertionen, die an die Mitglieder der Gruppe gesendet werden, mit der SAML-Version 2.0 kompatibel sein müssen.Standard:2.0
Benutzereinstellungen der SAML-Gruppe
Im Abschnitt "Benutzer" im Dialogfeld der Gruppe können Sie Benutzer oder Gruppen von Benutzern für die Service Provider in einer Gruppe konfigurieren. Konfigurierte Benutzer können für den Zugriff auf Service Provider-Ressourcen authentifiziert werden. Der Assertionsgenerator kann SAML-Assertionen erstellen, die Berechtigungsinformationen für diese Benutzer enthalten.
Wenn die Entität ein Service Provider ist, dann kann der Service Provider mithilfe der Benutzerinformationen Informationen aus einer Assertion abzurufen, um einen Benutzerdatensatz zu finden. Nachdem der Benutzerdatensatz gefunden wurde, kann der Service Provider den Benutzer authentifizieren.
Die Benutzerinformationen sind nicht relevant, damit die Entität nur als Identity Provider agiert. Sie müssen die Felder nicht ausfüllen.
- Xpath-AbfrageGibt eine XPath-Abfrage an, die das Authentifizierungsschema auf die Assertion anwendet, um die Anmelde-ID abzurufen.Die standardmäßige XPath-Abfrage, die verwendet wird, wenn keine konfiguriert wurde, ist:/Assertion/Subject/NameID/text()Beispiel:Wenn Sie das Attribut "FirstName" aus der Assertion für die Authentifizierung abrufen, dann ist die XPath-Abfrage:/Assertion/AttributeStatement/Attribute[@Name=”FirstName”]/AttributeValue/text()Um den Text aus dem ersten Element des Benutzernamens in der SAML-Assertion zu extrahieren, verwenden Sie die abgekürzte Syntax "//Username/text()"
- Namespace-SpezifikationZeigt eine Liste der wählbaren Namespace-Typen an. Geben Sie eine Suchspezifikation für einen bestimmten Namespace (Benutzerverzeichnis) an. Die Suchspezifikation definiert das Attribut, das das Authentifizierungsschema verwendet, um einen Namespace zu suchen. Verwenden Sie "%s" als Eintrag, der die Anmelde-ID darstellt.Zum Beispiel ist die Anmelde-ID "user1". Wenn Sie "Username=%s" im Feld "Suchspezifikation" angeben, dann ergibt sich daraus die Zeichenfolge "Username=user1". Diese Zeichenfolge wird mit dem Benutzerspeicher verglichen, um den korrekten Datensatz für die Authentifizierung zu finden.
SAML-Gruppe - Einstellungen der Namens-ID
Im Abschnitt "Namens-ID" konfigurieren Sie die Namens-ID des Principal. Der Service Provider in einer Gruppe verwendet diese Informationen für die Begriffserklärung des Benutzers.
- Namens-IDsGibt die Namenskennung für den Principal an. Service Provider, die Mitglieder der Gruppe sind, verwenden diesen Namen, wenn sie den SAML-Service Providern entsprechen, die Mitglieder einer Gruppe sind.
- Format der Namens-IDGibt das Format der Namenskennung an. Zum Beispiel kann die Namenskennung das Format einer E-Mail-Adresse, wie z. B. "[email protected]", haben.Wählen Sie eine Option in der Drop-down-Liste aus.
Typ der Namens-ID
Der Abschnitt der Namens-ID enthält Optionen, die den Typ der Namenskennung angeben. Wählen Sie eine der folgenden Optionen aus:
Statisch
Zeigt an, dass die Namenskennung der Wert des Felds "Statischer Wert" ist. Aktiviert das Feld "Statischer Wert", deaktiviert andere Steuerelemente.
- BenutzerattributZeigt an, dass die Namenskennung der Wert des Felds "Attributname" ist. Aktiviert das Feld "Attributname", deaktiviert andere Steuerelemente.
- DN-AttributGibt die Namenskennung als Attribut an, das einem DN zugeordnet ist. Aktiviert das Feld "Benutzerattribut", das Feld "DN-Spezifikation" und das Kontrollkästchen "Verschachtelte Gruppen erlauben", deaktiviert das Feld "Statischer Wert".
- Verschachtelte Gruppen zulassenErlaubt verschachtelte Gruppen, wenn die DN-Spezifikation ausgewählt wird. Aktiviert, wenn die Option "DN-Attribut" ausgewählt ist.
Namens-ID-Felder
Enthält Felder, die Informationen zur ausgewählten Namenskennung angeben. Die Felder sind kontextabhängig und werden je nach Auswahl des Typs der Namens-ID geändert.
Die Optionen sind:
Statischer Wert
Gibt den statischen Textwert an, der für alle Namenskennungen für diesen Service Provider verwendet wird.
- AttributnameGibt den Namen des Benutzerattributs von einem Benutzerverzeichnis an. Dieses Attribut enthält die Namenskennung oder das Attribut, die bzw. das einer Gruppe oder einem Organisationseinheit-DN zugeordnet ist.
- DN-SpezifikationGibt den DN der Gruppe oder Organisationseinheit an, der verwendet wird, um das zugeordnete Attribut zu erhalten, das als Namenskennung verwendet wird.Füllen Sie dieses Feld und das Feld "Attributname" aus.
Zuordnungen der SAML-Service Provider und des Authentifizierungsschemas
- Zuordnungen der SAML-Service ProviderGibt eine schreibgeschützte Auflistung aller Service Provider an, die Mitglieder einer Gruppe sind. Der Administrator beim Identity Provider kann einen Service Provider zu einer Gruppe hinzufügen oder aus einer Gruppe entfernen. Ein Service Provider wird einer Gruppe in den Einstellungen der Namens-ID zugeordnet, wenn ein Service Provider-Objekt beim Identity Provider konfiguriert wird.
- Zuordnungen des SAML-AuthentifizierungsschemasGibt eine schreibgeschützte Auflistung aller SAML 2.0-Authentifizierungsschemen an, die Mitglieder einer Gruppe sind. Ein Authentifizierungsschema wird einer Gruppe in den allgemeinen Einstellungen von einem Objekt des SAML 2.0-Authentifizierungsschemas beim Service Provider zugeordnet.