Cuadro de diálogo Configuración de la aserción (WSFED)
casso13es
HID_assertion-config-wsfed
ID de nombre (WSFED)
La sección ID de nombre le permite configurar el identificador de nombre, que nombra un usuario de una manera única en la aserción. El formato del identificador de nombre establece el tipo de contenido que se utiliza para el ID. Por ejemplo, el formato puede ser una dirección de correo electrónico con un valor [email protected].
Esta sección muestra los valores de configuración siguientes:
- Formato del ID de nombreEspecifica el formato del identificador de nombre.Opciones:Seleccione una de las opciones de la lista desplegable.Para una descripción de cada formato, consulte la especificación del protocolo.
- Tipo de ID de nombreEspecifica el tipo de valor que se introduce para ID de nombre.Opciones:
- EstáticosIndica que el ID de nombre es una constante en el campo Valor.
- Atributo de usuarioIndica que el producto obtiene el ID de nombre consultando el directorio de usuarios del atributo introducido en el campo Valor.
- Atributo de sesiónIndica que el producto obtiene el ID de nombre consultando el almacén de sesiones del atributo introducido en el campo Valor.
- Atributo del nombre distintivo (solo LDAP)La consulta que utilizaCA Single Sign-onpara obtener el atributo contiene el atributo del nombre distintivo en el campo Valor y el nombre distintivo en el campo Especificación del nombre distintivo. Esta opción se utiliza ante todo para identificar un grupo de usuarios.
valorIndique uno de los siguientes valores:- Valor de texto estático del ID de nombre para el tipo Estáticos.
- Valor de un atributo de usuario para el tipo Atributo de usuario.
- Valor de un atributo del almacén de sesiones para el tipo de atributo de sesión.
- Valor de un atributo del nombre distintivo para el tipo de nombre distintivo.
- Especificación del nombre distintivoEspecifica que el nombre distintivo del grupo o la unidad organizativa que el producto utiliza para obtener el atributo asociado para el identificador de nombre.Ejemplo: ou=Engineering,o=ca.com
Atributos de aserción (WSFED)
La sección Atributos de aserción le permite especificar qué atributos de usuario se incluyen en la aserción.
Esta sección muestra los valores de configuración siguientes:
- Excluir el destinatario en SubjectConfirmationData (solo para asociaciones de Microsoft Azure)Si se establece, excluye el atributo del destinatario de la etiqueta SubjectConfirmationData en la aserción. Esta opción es necesaria para las asociaciones con Microsoft Azure.
- Atributo de aserciónEspecifica un atributo específico para incluirlo en la aserción. Especifica el atributo que la parte confidente está esperando en la aserción. Esta entrada no es necesariamente un atributo del almacén de usuarios.Valor: el nombre del atributo utilizado en la parte confidente.
- Espacio de nombres (tipo de token de SAML 1.0 solamente)Designa una colección que identifica especialmente nombres. Esta opción solo está disponible cuando se configuran las entidades de la asociación con el tipo de token de SAML 1.0.Valor: cualquier espacio de nombres válido.
- Método de recuperación (tipo de token de SAML 2.0 solamente)Especifica el uso previsto del atributo. Esta opción solo está disponible cuando se configuran las entidades de la asociación con el tipo de token de SAML 2.0.Opciones:
- SSOIndica que el atributo se utiliza para el inicio de sesión único.
- Servicio de atributosIndica que el atributo lo debe utilizar la autoridad de atributos. El servicio completa las solicitudes de una consulta de atributo.
- AmbosIndica que el atributo se utiliza para el inicio de sesión único y para satisfacer consultas de atributo.
- FormatoDesigna el formato del atributo que se agrega a la aserción. Esta opción solo está disponible cuando se configuran las entidades de la asociación con el tipo de token de SAML 2.0.Opciones: seleccione el menú desplegable para ver la lista de opciones.
- TypeEspecifica el tipo de atributo y origen del atributo de aserción.Opciones:
- Estático—Indica que el atributo es un valor constante especificado en el campo Valor.Valor:Introduzca un valor constante para el atributo de tipo Estático
- Atributo de usuarioObtiene el atributo al consultar el directorio de usuarios por el atributo especificado en el campo Valor.Valor: Introduzca un atributo válido a partir de un directorio de usuarios y los valores asociados.Para Atributos de usuario solamente: LDAP es compatible con atributos con varios valores. De forma predeterminada, el Servidor de políticas yuxtapone varios valores de atributo LDAP con el símbolo del acento circunflejo (^) para crear un valor de atributo de aserción único. Para indicar que un atributo LDAP con varios valores se convierte en un atributo de aserción con varios valores, es necesario utilizar el prefijoFMATTR:con el nombre del atributo.El prefijo debe estar en mayúsculas. También es recomendable que el uso de mayúsculas y minúsculas en el atributo introducido coincida con el del atributo en el directorio LDAP.Ejemplo: Para agregar el atributo de usuariocorreocon varios valores de atributo, introduzcaFMATTR:correo.Cada valor se especifica como un elemento <AttributeValue> independiente en la aserción. Ejemplo del resultado:<ns2:Attribute Name="mail"><ns2:AttributeValue>jsmith@example.com</ns2:AttributeValue><ns2:AttributeValue>john.smith@example.com</ns2:AttributeValue><ns2:AttributeValue>employee007@example.com</ns2:AttributeValue></ns2:Attribute>Sin el prefijo FMATTR: (el nombre del atributo escorreo), el resultado del ejemplo sería:<ns2:Attribute Name="mail"><ns2:AttributeValue>jsmith@example.com^john.smith@example.com^employee007@example.com</ns2:AttributeValue></ns2:Attribute>
- Atributo de sesiónObtiene el atributo al consultar el almacén de sesiones por el atributo especificado en el campo Valor.Valor: Introduzca el valor de un atributo de sesión.
- Atributo del nombre distintivo (solo LDAP)Obtiene el atributo mediante el envío de una consulta con el atributo del nombre distintivo especificado en el campo Valor y el nombre distintivo especificado en el campo especificación del nombre distintivo. Esta opción se utiliza ante todo para identificar un grupo de usuarios.Valor: Introduzca un atributo del nombre distintivo
- ExpresiónIntroduzca una cadena mediante el Lenguaje unificado de expresiones de Java para transformar, agregar o suprimir una aserción de atributo.Valor: Especifique una expresión JUEL.
- Especifica el nombre distintivo cuando el atributo es del tipo de nombre distintivo.Especificación del nombre distintivoEjemplo: ou=Marketing,o=ca.com
- Cifrar (Tipo de token de SAML 2.0 solamente)Indica que los atributos de aserción se cifran en el tiempo de ejecución antes de que la aserción se envíe a la parte confidente.
Complemento Generador de aserciones (WSFED)
casso13es
La sección del complemento Generador de aserciones permite especificar un complemento escrito que
CA Single Sign-on
puede utilizar para agregar atributos a una aserción.- Clase de complementoEspecifica el nombre de la clase de Java completamente cualificado del complemento. Este complemento se invoca durante el tiempo de ejecución. Introduzca un nombre, por ejemplo:com.miempresa.generadoraserción.MuestraAserciónLa clase de complemento puede analizar y modificar la aserción; a continuación, devolverá el resultado aCA Single Sign-onpara el procesamiento final. Solo se permite un complemento para cada parte confidente. Se incluye un complemento de muestra en el SDK. Consulte un complemento de muestra compilado, fedpluginsample.jar, en el directoriodirectorioprincipal_sdk_federación\jar.NotaSe puede ver también el código fuente del complemento de muestra en el directoriodirectorioprincipal_sdk_federación\sample\com\ca\federation\sdk\plugin\sample.
- Parámetros del complemento(Opcional). Especifica la cadena queCA Single Sign-ontransfiere al complemento como un parámetro.CA Single Sign-ontransfiere la cadena durante el tiempo de ejecución. La cadena puede contener cualquier valor; no se tiene que seguir ninguna sintaxis específica.El complemento interpreta los parámetros que recibe. Por ejemplo, el parámetro puede ser el nombre del atributo o la cadena puede contener un entero que encarga al complemento realizar una tarea.