Cuadro de diálogo Configuración de la aserción (productor de SAML 1.1)

Contenido
casso126figsbres
HID_assertion-config-saml1-producer
Contenido
Configuración de ID de nombre
casso126figsbres
La sección ID de nombre le permite configurar el identificador de nombre, que nombra un usuario de una manera única en la aserción. El formato del identificador de nombre establece el tipo de contenido que se utiliza para el ID. Por ejemplo, si el formato es una dirección de correo electrónico, el contenido puede ser [email protected].
Esta sección muestra los valores de configuración siguientes:
  • Formato del ID de nombre
    Especifica el formato del identificador de nombre.
    Opciones
    : seleccione el menú desplegable para ver la lista de opciones.
    Para obtener una descripción de cada formato, consulte las especificaciones de OASIS Security Assertion Markup Language (SAML).
  • Tipo de ID de nombre
    Especifica el tipo de valor que se introduce para ID de nombre.
    • Opciones:
    • Estáticos
      Indica que el ID de nombre es una constante en el campo Valor.
    • Atributo de usuario
      Indica que el producto obtiene el ID de nombre consultando el directorio de usuarios del atributo introducido en el campo Valor.
    • Atributo de sesión
      Indica que el producto obtiene el ID de nombre consultando el almacén de sesiones del atributo introducido en el campo Valor.
    • Atributo del nombre distintivo (solo LDAP)
      La consulta que obtiene el atributo contiene el atributo del nombre distintivo en el campo Valor y el nombre distintivo en el campo Especificación del nombre distintivo. Esta opción se utiliza ante todo para identificar un grupo de usuarios.
  • valor
    Indique uno de los siguientes valores:
    • Valor de texto estático del ID de nombre para el tipo de ID Estáticos.
    • Valor de un atributo de usuario para el tipo de ID de atributo de usuario.
    • Valor de un atributo del almacén de sesiones para el tipo de atributo de sesión.
    • Valor de un atributo del nombre distintivo para el tipo de nombre distintivo.
  • Especificación del nombre distintivo
    Especifica que el nombre distintivo del grupo o de la unidad organizativa que se utiliza para obtener el atributo asociado para el identificador del nombre.
    Ejemplo
    : ou=Engineering,o=ca.com
  • Permitir creación del identificador del usuario (SAML 2.0 solamente)
    Indica si el proveedor de identidad puede crear un valor para el ID de nombre e incluirlo en una aserción. Cuando el proveedor de servicios envía un AuthnRequest al proveedor de identidad, el proveedor de servicios puede incluir un atributo AllowCreate en la solicitud. Este atributo junto con esta casilla de verificación permite al proveedor de identidad generar un valor de ID de nombre cuando no puede encontrarlo en el registro de usuarios existente. Este valor debe ser un identificador persistente.
    La siguiente tabla explica la interacción entre el atributo AllowCreate y esta casilla de verificación.
    Valor del atributo AllowCreate en AuthnRequest (SP)
    Permitir creación de la configuración del identificador del usuario
    Acción del proveedor de identidad
    AllowCreate=true
    Casilla de verificación seleccionada
    Crea el valor del ID de nombre.
    AllowCreate=true
    Casilla de verificación desactivada
    Ninguna acción. El proveedor de identidad no puede crear el valor del ID de nombre.
    AllowCreate=false
    Casilla de verificación seleccionada
    Ninguna acción. No se ha creado ningún valor del ID de nombre. El atributo en AuthnRequest anula la configuración del proveedor de identidad.
    AllowCreate=false
    Casilla de verificación desactivada
    Ninguna acción. No se ha creado ningún valor del ID de nombre.
    Ningún atributo AllowCreate
    Casilla de verificación seleccionada
    Crea el valor del ID de nombre.
    Ningún atributo AllowCreate
    Casilla de verificación desactivada
    Ninguna acción. No se ha creado ningún valor del ID de nombre.
Atributos de aserción (SAML 1.1)
La sección Atributos de aserción le permite especificar qué atributos de usuario se incluyen en una aserción.
Esta sección muestra los valores de configuración siguientes:
  • Atributo de aserción
    Especifica un atributo específico para incluirlo en la aserción. Especifica el atributo que la parte confidente está esperando en la aserción. Esta entrada no es necesariamente un atributo del almacén de usuarios.
    Valor
    : nombre del atributo utilizado en la parte confidente.
  • Espacio de nombres
    Designa una colección que identifica especialmente nombres.
    Valor
    : cualquier espacio de nombres válido.
  • Type
    Especifica el tipo de atributo y origen del atributo de aserción.
    • Opciones:
    Estáticos
    Indica que el atributo es un valor constante especificado en el campo Valor.
    Atributo de usuario
    Obtiene el atributo al consultar el directorio de usuarios por el atributo especificado en el campo Valor.
    Atributo de sesión
    Obtiene el atributo al consultar el almacén de sesiones por el atributo especificado en el campo Valor.
    Atributo del nombre distintivo (solo LDAP)
    Obtiene el atributo mediante el envío de una consulta con el atributo del nombre distintivo especificado en el campo Valor y el nombre distintivo especificado en el campo especificación del nombre distintivo. Esta opción se utiliza ante todo para identificar un grupo de usuarios.
    Expresión
    Introduzca una cadena mediante el Lenguaje unificado de expresiones de Java para transformar, agregar o suprimir una aserción de atributo.
  • valor
    • Especifica el valor estático del atributo para el tipo Estáticos.
    • Especifica el valor de un atributo de usuario para el tipo Atributo de usuario.
      Si se agrega un atributo de usuario LDAP a una aserción, se puede configurar un atributo con más de un valor. Cada valor se especifica como elemento de <AttributeValue> separado en la aserción, como:
      <ns2:AttributeStatement> <ns2:Attribute Name="MyAttribute"
      NameFormat="urn:oasis:names:tc:SAML:1.1:attrname-format:unspecified">
      <ns2:AttributeValue>top</ns2:AttributeValue> <ns2:AttributeValue>person</ns2:AttributeValue>
      <ns2:AttributeValue>organizationalPerson</ns2:AttributeValue>
      <ns2:AttributeValue>inetorgperson</ns2:AttributeValue> </ns2:Attribute>
      </ns2:AttributeStatement>
      Para indicar que un atributo de usuario tiene varios valores, agregue el prefijo
      FMATTR:
      al inicio de la entrada de este campo. El prefijo debe estar en mayúsculas. Por ejemplo, para agregar el atributo de usuario LastName de un almacén de usuarios LDAP, introduzca FMATTR:LastName. El uso del prefijo indica a
      CA SiteMinder® Federation
      cómo interpretar el atributo.
    • Especifica el valor de un atributo de sesión para el tipo Atributo de sesión.
    • Especifica el atributo del nombre distintivo para el tipo de nombre distintivo.
    • Especifica la expresión JUEL.
  • Especificación del nombre distintivo
    Especifica el nombre distintivo cuando el atributo es de tipo nombre distintivo.
    Ejemplo
    : ou=Marketing,o=ca.com
Complemento Generador de aserciones
casso126figsbres
La sección del complemento Generador de aserciones permite especificar un complemento escrito que
CA Single Sign-on
puede utilizar para agregar atributos a una aserción.
  • Clase de complemento
    Especifica el nombre de la clase de Java completamente cualificado del complemento. Este complemento se invoca durante el tiempo de ejecución. Introduzca un nombre, por ejemplo:
    com.miempresa.generadoraserción.MuestraAserción
    La clase de complemento puede analizar y modificar la aserción; a continuación, devolverá el resultado a
    CA Single Sign-on
    para el procesamiento final. Solo se permite un complemento para cada parte confidente. Se incluye un complemento de muestra en el SDK. Consulte un complemento de muestra compilado, fedpluginsample.jar, en el directorio
    directorioprincipal_sdk_federación
    \jar.
    Nota
    Se puede ver también el código fuente del complemento de muestra en el directorio
    directorioprincipal_sdk_federación
    \sample\com\ca\federation\sdk\plugin\sample.
  • Parámetros del complemento
    (Opcional). Especifica la cadena que
    CA Single Sign-on
    transfiere al complemento como un parámetro.
    CA Single Sign-on
    transfiere la cadena durante el tiempo de ejecución. La cadena puede contener cualquier valor; no se tiene que seguir ninguna sintaxis específica.
    El complemento interpreta los parámetros que recibe. Por ejemplo, el parámetro puede ser el nombre del atributo o la cadena puede contener un entero que encarga al complemento realizar una tarea.