Cuadro de diálogo Configuración de la aserción (proveedor de identidad de SAML 2.0)

Contenido
casso126figsbres
HID_assertion-config-saml2-idp
Contenido
Configuración de ID de nombre (SAML 2.0)
casso126figsbres
La sección ID de nombre le permite configurar el identificador de nombre, que nombra un usuario de una manera única en la aserción. El formato del identificador de nombre establece el tipo de contenido que se utiliza para el ID. Por ejemplo, si el formato es una dirección de correo electrónico, el contenido puede ser [email protected].
Esta sección muestra los valores de configuración siguientes:
  • Formato del ID de nombre
    Especifica el formato del identificador de nombre.
    Opciones
    : seleccione el menú desplegable para ver la lista de opciones.
    Para obtener una descripción de cada formato, consulte las especificaciones de OASIS Security Assertion Markup Language (SAML).
  • Tipo de ID de nombre
    Especifica el tipo de valor que se introduce para ID de nombre.
    • Opciones:
    • Estáticos
      Indica que el ID de nombre es una constante en el campo Valor.
    • Atributo de usuario
      Indica que el producto obtiene el ID de nombre consultando el directorio de usuarios del atributo introducido en el campo Valor.
    • Atributo de sesión
      Indica que el producto obtiene el ID de nombre consultando el almacén de sesiones del atributo introducido en el campo Valor.
    • Atributo del nombre distintivo (solo LDAP)
      La consulta que obtiene el atributo contiene el atributo del nombre distintivo en el campo Valor y el nombre distintivo en el campo Especificación del nombre distintivo. Esta opción se utiliza ante todo para identificar un grupo de usuarios.
  • valor
    Indique uno de los siguientes valores:
    • Valor de texto estático del ID de nombre para el tipo de ID Estáticos.
    • Valor de un atributo de usuario para el tipo de ID de atributo de usuario.
    • Valor de un atributo del almacén de sesiones para el tipo de atributo de sesión.
    • Valor de un atributo del nombre distintivo para el tipo de nombre distintivo.
  • Especificación del nombre distintivo
    Especifica que el nombre distintivo del grupo o de la unidad organizativa que se utiliza para obtener el atributo asociado para el identificador del nombre.
    Ejemplo
    : ou=Engineering,o=ca.com
  • Permitir creación del identificador del usuario (SAML 2.0 solamente)
    Indica si el proveedor de identidad puede crear un valor para el ID de nombre e incluirlo en una aserción. Cuando el proveedor de servicios envía un AuthnRequest al proveedor de identidad, el proveedor de servicios puede incluir un atributo AllowCreate en la solicitud. Este atributo junto con esta casilla de verificación permite al proveedor de identidad generar un valor de ID de nombre cuando no puede encontrarlo en el registro de usuarios existente. Este valor debe ser un identificador persistente.
    La siguiente tabla explica la interacción entre el atributo AllowCreate y esta casilla de verificación.
    Valor del atributo AllowCreate en AuthnRequest (SP)
    Permitir creación de la configuración del identificador del usuario
    Acción del proveedor de identidad
    AllowCreate=true
    Casilla de verificación seleccionada
    Crea el valor del ID de nombre.
    AllowCreate=true
    Casilla de verificación desactivada
    Ninguna acción. El proveedor de identidad no puede crear el valor del ID de nombre.
    AllowCreate=false
    Casilla de verificación seleccionada
    Ninguna acción. No se ha creado ningún valor del ID de nombre. El atributo en AuthnRequest anula la configuración del proveedor de identidad.
    AllowCreate=false
    Casilla de verificación desactivada
    Ninguna acción. No se ha creado ningún valor del ID de nombre.
    Ningún atributo AllowCreate
    Casilla de verificación seleccionada
    Crea el valor del ID de nombre.
    Ningún atributo AllowCreate
    Casilla de verificación desactivada
    Ninguna acción. No se ha creado ningún valor del ID de nombre.
Atributos de aserción (proveedor de identidad de SAML 2.0)
La sección Atributos de aserción le permite especificar qué atributos de usuario se incluyen en la aserción.
Esta sección muestra los valores de configuración siguientes:
  • Atributo de aserción
    Especifica un atributo específico para incluirlo en la aserción. Especifica el atributo que la parte confidente está esperando en la aserción. Esta entrada no es necesariamente un atributo del almacén de usuarios.
    Valor
    : nombre del atributo utilizado en la parte confidente.
  • Método de recuperación
    Especifica el uso previsto del atributo.
    Opciones:
    • SSO
      Indica que el atributo se utiliza para el inicio de sesión único.
    • Servicio de atributos
      Indica que el atributo lo debe utilizar la autoridad de atributos para completar las solicitudes de una consulta de atributo.
    • Ambos
      Indica que el atributo lo debe utilizar la autoridad de atributos y el inicio de sesión único.
  • Formato
    Especifica el formato para el atributo que formará parte de una aserción de SAML. Las opciones son:
    • Sin especificar
    • Básica
    • URI
    Consulte la especificación de SAML 2.0 para las definiciones de estos formatos.
  • Type
    Especifica el tipo de atributo y origen del atributo de aserción. 
    Opciones:
    Estáticos
    Indica que el atributo es un valor constante especificado en el campo Valor.
    Valor
    : Introduzca un valor constante
    para el atributo de tipo Estático
    Atributo de usuario
    Obtiene el atributo al consultar el directorio de usuarios por el atributo especificado en el campo Valor.
    Valor
    : Introduzca un atributo válido a partir de un directorio de usuarios y los valores asociados.
    Para atributos de usuario solamente:
    LDAP es compatible con atributos con varios valores. De forma predeterminada, el Servidor de políticas yuxtapone varios valores de atributo LDAP con el símbolo del acento circunflejo (^) para crear un valor de atributo de aserción único. Para indicar que un atributo LDAP con varios valores se convierte en un atributo de aserción con varios valores, es necesario utilizar el prefijo
    FMATTR:
    con el nombre del atributo.
    Nota
    : El prefijo debe estar en mayúsculas. También es recomendable que el uso de mayúsculas y minúsculas en el atributo introducido coincida con el del atributo en el directorio LDAP.
    Ejemplo:
    Para agregar el atributo de usuario
    correo
    con varios valores atributo, introduzca
    FMATTR:correo
    .
    Cada valor se especifica como un elemento <AttributeValue> separado en la aserción. Ejemplo del resultado:
    <ns2:Attribute Name="mail">
    <ns2:AttributeValue>[email protected]</ns2:AttributeValue>
    <ns2:AttributeValue>[email protected]</ns2:AttributeValue>
    <ns2:AttributeValue>[email protected]</ns2:AttributeValue>
    </ns2:Attribute>
    Sin el prefijo FMATTR: (el nombre del atributo es
    correo
    ), el resultado del ejemplo sería:
    <ns2:Attribute Name="mail">
    <ns2:AttributeValue>[email protected]^[email protected]^[email protected]</ns2:AttributeValue>
    </ns2:Attribute>
    Atributo de sesión
    Obtiene el atributo al consultar el almacén de sesiones por el atributo especificado en el campo Valor.
    Valor
    : Introduzca el valor de un atributo de sesión.
    Atributo del nombre distintivo (solo LDAP)
    Obtiene el atributo mediante el envío de una consulta con el atributo del nombre distintivo especificado en el campo Valor y el nombre distintivo especificado en el campo especificación del nombre distintivo. Esta opción se utiliza ante todo para identificar un grupo de usuarios.
    Valor
    : Introduzca un atributo del nombre distintivo
    Expresión
    Introduzca una cadena mediante el Lenguaje unificado de expresiones de Java para transformar, agregar o suprimir una aserción de atributo.
    Valor
    : Especifique una expresión JUEL.
     
  • Especificación del nombre distintivo
    Especifica el nombre distintivo cuando el atributo es del tipo de nombre distintivo.
    Ejemplo
    : ou=Marketing,o=ca.com
     
  • Cifrar
    Indica que los atributos de aserción se cifran en el tiempo de ejecución antes de que la aserción se envíe a la parte confidente.
Complemento Generador de aserciones (proveedor de identidad de SAML 2.0)
casso126figsbres
La sección del complemento Generador de aserciones permite especificar un complemento escrito que
CA Single Sign-on
puede utilizar para agregar atributos a una aserción.
  • Clase de complemento
    Especifica el nombre de la clase de Java completamente cualificado del complemento. Este complemento se invoca durante el tiempo de ejecución. Introduzca un nombre, por ejemplo:
    com.miempresa.generadoraserción.MuestraAserción
    La clase de complemento puede analizar y modificar la aserción; a continuación, devolverá el resultado a
    CA Single Sign-on
    para el procesamiento final. Solo se permite un complemento para cada parte confidente. Se incluye un complemento de muestra en el SDK. Consulte un complemento de muestra compilado, fedpluginsample.jar, en el directorio
    directorioprincipal_sdk_federación
    \jar.
    Nota
    Se puede ver también el código fuente del complemento de muestra en el directorio
    directorioprincipal_sdk_federación
    \sample\com\ca\federation\sdk\plugin\sample.
  • Parámetros del complemento
    (Opcional). Especifica la cadena que
    CA Single Sign-on
    transfiere al complemento como un parámetro.
    CA Single Sign-on
    transfiere la cadena durante el tiempo de ejecución. La cadena puede contener cualquier valor; no se tiene que seguir ninguna sintaxis específica.
    El complemento interpreta los parámetros que recibe. Por ejemplo, el parámetro puede ser el nombre del atributo o la cadena puede contener un entero que encarga al complemento realizar una tarea.