Cuadro de diálogo Configuración de la aserción (proveedor de identidad de SAML 2.0)
Contenido
casso13es
HID_assertion-config-saml2-idp
Contenido
Configuración de ID de nombre (SAML 2.0)
casso13es
La sección ID de nombre le permite configurar el identificador de nombre, que nombra un usuario de una manera única en la aserción. El formato del identificador de nombre establece el tipo de contenido que se utiliza para el ID. Por ejemplo, si el formato es una dirección de correo electrónico, el contenido puede ser [email protected].
Esta sección muestra los valores de configuración siguientes:
- Formato del ID de nombreEspecifica el formato del identificador de nombre.Opciones: seleccione el menú desplegable para ver la lista de opciones.Para obtener una descripción de cada formato, consulte las especificaciones de OASIS Security Assertion Markup Language (SAML).
- Tipo de ID de nombreEspecifica el tipo de valor que se introduce para ID de nombre.
- Opciones:
- EstáticosIndica que el ID de nombre es una constante en el campo Valor.
- Atributo de usuarioIndica que el producto obtiene el ID de nombre consultando el directorio de usuarios del atributo introducido en el campo Valor.
- Atributo de sesiónIndica que el producto obtiene el ID de nombre consultando el almacén de sesiones del atributo introducido en el campo Valor.
- Atributo del nombre distintivo (solo LDAP)La consulta que obtiene el atributo contiene el atributo del nombre distintivo en el campo Valor y el nombre distintivo en el campo Especificación del nombre distintivo. Esta opción se utiliza ante todo para identificar un grupo de usuarios.
- valorIndique uno de los siguientes valores:
- Valor de texto estático del ID de nombre para el tipo de ID Estáticos.
- Valor de un atributo de usuario para el tipo de ID de atributo de usuario.
- Valor de un atributo del almacén de sesiones para el tipo de atributo de sesión.
- Valor de un atributo del nombre distintivo para el tipo de nombre distintivo.
- Especificación del nombre distintivoEspecifica que el nombre distintivo del grupo o de la unidad organizativa que se utiliza para obtener el atributo asociado para el identificador del nombre.Ejemplo: ou=Engineering,o=ca.com
- Permitir creación del identificador del usuario (SAML 2.0 solamente)Indica si el proveedor de identidad puede crear un valor para el ID de nombre e incluirlo en una aserción. Cuando el proveedor de servicios envía un AuthnRequest al proveedor de identidad, el proveedor de servicios puede incluir un atributo AllowCreate en la solicitud. Este atributo junto con esta casilla de verificación permite al proveedor de identidad generar un valor de ID de nombre cuando no puede encontrarlo en el registro de usuarios existente. Este valor debe ser un identificador persistente.La siguiente tabla explica la interacción entre el atributo AllowCreate y esta casilla de verificación.Valor del atributo AllowCreate en AuthnRequest (SP)Permitir creación de la configuración del identificador del usuarioAcción del proveedor de identidadAllowCreate=trueCasilla de verificación seleccionadaCrea el valor del ID de nombre.AllowCreate=trueCasilla de verificación desactivadaNinguna acción. El proveedor de identidad no puede crear el valor del ID de nombre.AllowCreate=falseCasilla de verificación seleccionadaNinguna acción. No se ha creado ningún valor del ID de nombre. El atributo en AuthnRequest anula la configuración del proveedor de identidad.AllowCreate=falseCasilla de verificación desactivadaNinguna acción. No se ha creado ningún valor del ID de nombre.Ningún atributo AllowCreateCasilla de verificación seleccionadaCrea el valor del ID de nombre.Ningún atributo AllowCreateCasilla de verificación desactivadaNinguna acción. No se ha creado ningún valor del ID de nombre.
Atributos de aserción (proveedor de identidad de SAML 2.0)
La sección Atributos de aserción le permite especificar qué atributos de usuario se incluyen en la aserción.
Esta sección muestra los valores de configuración siguientes:
- Atributo de aserciónEspecifica un atributo específico para incluirlo en la aserción. Especifica el atributo que la parte confidente está esperando en la aserción. Esta entrada no es necesariamente un atributo del almacén de usuarios.Valor: nombre del atributo utilizado en la parte confidente.
- Método de recuperaciónEspecifica el uso previsto del atributo.Opciones:
- SSOIndica que el atributo se utiliza para el inicio de sesión único.
- Servicio de atributosIndica que el atributo lo debe utilizar la autoridad de atributos para completar las solicitudes de una consulta de atributo.
- AmbosIndica que el atributo lo debe utilizar la autoridad de atributos y el inicio de sesión único.
- FormatoEspecifica el formato para el atributo que formará parte de una aserción de SAML. Las opciones son:
- Sin especificar
- Básica
- URI
- TypeEspecifica el tipo de atributo y origen del atributo de aserción.Opciones:EstáticosIndica que el atributo es un valor constante especificado en el campo Valor.Valor: Introduzca un valor constantepara el atributo de tipo EstáticoAtributo de usuarioObtiene el atributo al consultar el directorio de usuarios por el atributo especificado en el campo Valor.Valor: Introduzca un atributo válido a partir de un directorio de usuarios y los valores asociados.Para atributos de usuario solamente:LDAP es compatible con atributos con varios valores. De forma predeterminada, el Servidor de políticas yuxtapone varios valores de atributo LDAP con el símbolo del acento circunflejo (^) para crear un valor de atributo de aserción único. Para indicar que un atributo LDAP con varios valores se convierte en un atributo de aserción con varios valores, es necesario utilizar el prefijoFMATTR:con el nombre del atributo.Nota: El prefijo debe estar en mayúsculas. También es recomendable que el uso de mayúsculas y minúsculas en el atributo introducido coincida con el del atributo en el directorio LDAP.Ejemplo:Para agregar el atributo de usuariocorreocon varios valores atributo, introduzcaFMATTR:correo.Cada valor se especifica como un elemento <AttributeValue> independiente en la aserción. Ejemplo del resultado:<ns2:Attribute Name="mail"><ns2:AttributeValue>[email protected]</ns2:AttributeValue><ns2:AttributeValue>[email protected]</ns2:AttributeValue><ns2:AttributeValue>[email protected]</ns2:AttributeValue></ns2:Attribute>Sin el prefijo FMATTR: (el nombre del atributo escorreo), el resultado del ejemplo sería:<ns2:Attribute Name="mail"></ns2:Attribute>Atributo de sesiónObtiene el atributo al consultar el almacén de sesiones por el atributo especificado en el campo Valor.Valor: Introduzca el valor de un atributo de sesión.Atributo del nombre distintivo (solo LDAP)Obtiene el atributo mediante el envío de una consulta con el atributo del nombre distintivo especificado en el campo Valor y el nombre distintivo especificado en el campo especificación del nombre distintivo. Esta opción se utiliza ante todo para identificar un grupo de usuarios.Valor: Introduzca un atributo del nombre distintivoExpresiónIntroduzca una cadena mediante el Lenguaje unificado de expresiones de Java para transformar, agregar o suprimir una aserción de atributo.Valor: Especifique una expresión JUEL.
- Especificación del nombre distintivoEspecifica el nombre distintivo cuando el atributo es del tipo de nombre distintivo.Ejemplo: ou=Marketing,o=ca.com
- CifrarIndica que los atributos de aserción se cifran en el tiempo de ejecución antes de que la aserción se envíe a la parte confidente.
Complemento Generador de aserciones (proveedor de identidad de SAML 2.0)
casso13es
La sección del complemento Generador de aserciones permite especificar un complemento escrito que
CA Single Sign-on
puede utilizar para agregar atributos a una aserción.- Clase de complementoEspecifica el nombre de la clase de Java completamente cualificado del complemento. Este complemento se invoca durante el tiempo de ejecución. Introduzca un nombre, por ejemplo:com.miempresa.generadoraserción.MuestraAserciónLa clase de complemento puede analizar y modificar la aserción; a continuación, devolverá el resultado aCA Single Sign-onpara el procesamiento final. Solo se permite un complemento para cada parte confidente. Se incluye un complemento de muestra en el SDK. Consulte un complemento de muestra compilado, fedpluginsample.jar, en el directoriodirectorioprincipal_sdk_federación\jar.NotaSe puede ver también el código fuente del complemento de muestra en el directoriodirectorioprincipal_sdk_federación\sample\com\ca\federation\sdk\plugin\sample.
- Parámetros del complemento(Opcional). Especifica la cadena queCA Single Sign-ontransfiere al complemento como un parámetro.CA Single Sign-ontransfiere la cadena durante el tiempo de ejecución. La cadena puede contener cualquier valor; no se tiene que seguir ninguna sintaxis específica.El complemento interpreta los parámetros que recibe. Por ejemplo, el parámetro puede ser el nombre del atributo o la cadena puede contener un entero que encarga al complemento realizar una tarea.