Cuadro de diálogo Configuración de la aserción (WSFED)

casso127figsbres
HID_assertion-config-wsfed
ID de nombre (WSFED)
La sección ID de nombre le permite configurar el identificador de nombre, que nombra un usuario de una manera única en la aserción. El formato del identificador de nombre establece el tipo de contenido que se utiliza para el ID. Por ejemplo, el formato puede ser una dirección de correo electrónico con un valor [email protected].
Esta sección muestra los valores de configuración siguientes:
  • Formato del ID de nombre
    Especifica el formato del identificador de nombre. 
    Opciones:
    Seleccione una de las opciones de la lista desplegable.
    Para una descripción de cada formato, consulte la especificación del protocolo.
  • Tipo de ID de nombre
    Especifica el tipo de valor que se introduce para ID de nombre.
    Opciones:
    • Estáticos
      Indica que el ID de nombre es una constante en el campo Valor.
    • Atributo de usuario
      Indica que el producto obtiene el ID de nombre consultando el directorio de usuarios del atributo introducido en el campo Valor.
    • Atributo de sesión
      Indica que el producto obtiene el ID de nombre consultando el almacén de sesiones del atributo introducido en el campo Valor.
    • Atributo del nombre distintivo (solo LDAP)
      La consulta que utiliza
      CA Single Sign-on
      para obtener el atributo contiene el atributo del nombre distintivo en el campo Valor y el nombre distintivo en el campo Especificación del nombre distintivo. Esta opción se utiliza ante todo para identificar un grupo de usuarios.
    valor
    Indique uno de los siguientes valores:
    • Valor de texto estático del ID de nombre para el tipo Estáticos.
    • Valor de un atributo de usuario para el tipo Atributo de usuario.
    • Valor de un atributo del almacén de sesiones para el tipo de atributo de sesión.
    • Valor de un atributo del nombre distintivo para el tipo de nombre distintivo.
  • Especificación del nombre distintivo
    Especifica que el nombre distintivo del grupo o la unidad organizativa que el producto utiliza para obtener el atributo asociado para el identificador de nombre.
    Ejemplo
    : ou=Engineering,o=ca.com
Atributos de aserción (WSFED)
La sección Atributos de aserción le permite especificar qué atributos de usuario se incluyen en la aserción.
Esta sección muestra los valores de configuración siguientes:
  • Excluir el destinatario en SubjectConfirmationData (solo para asociaciones de Microsoft Azure)
    Si se establece, excluye el atributo del destinatario de la etiqueta SubjectConfirmationData en la aserción. Esta opción es necesaria para las asociaciones con Microsoft Azure.
  • Atributo de aserción
    Especifica un atributo específico para incluirlo en la aserción. Especifica el atributo que la parte confidente está esperando en la aserción. Esta entrada no es necesariamente un atributo del almacén de usuarios.
    Valor
    : el nombre del atributo utilizado en la parte confidente.
  • Espacio de nombres (tipo de token de SAML 1.0 solamente)
    Designa una colección que identifica especialmente nombres. Esta opción solo está disponible cuando se configuran las entidades de la asociación con el tipo de token de SAML 1.0.
    Valor
    : cualquier espacio de nombres válido.
  • Método de recuperación (tipo de token de SAML 2.0 solamente)
    Especifica el uso previsto del atributo. Esta opción solo está disponible cuando se configuran las entidades de la asociación con el tipo de token de SAML 2.0.
    Opciones:
    • SSO
      Indica que el atributo se utiliza para el inicio de sesión único.
    • Servicio de atributos
      Indica que el atributo lo debe utilizar la autoridad de atributos. El servicio completa las solicitudes de una consulta de atributo.
    • Ambos
      Indica que el atributo se utiliza para el inicio de sesión único y para satisfacer consultas de atributo.
  • Formato
    Designa el formato del atributo que se agrega a la aserción. Esta opción solo está disponible cuando se configuran las entidades de la asociación con el tipo de token de SAML 2.0.
    Opciones
    : seleccione el menú desplegable para ver la lista de opciones.
  • Type
    Especifica el tipo de atributo y origen del atributo de aserción. 
    Opciones:
    • Estático
      —Indica que el atributo es un valor constante especificado en el campo Valor.
      Valor:
      Introduzca un valor constante para el atributo de tipo Estático
    • Atributo de usuario
      Obtiene el atributo al consultar el directorio de usuarios por el atributo especificado en el campo Valor.
      Valor
      : Introduzca un atributo válido a partir de un directorio de usuarios y los valores asociados.
      Para atributos de usuario solamente: LDAP es compatible con atributos con varios valores. De forma predeterminada, el Servidor de políticas yuxtapone varios valores de atributo LDAP con el símbolo del acento circunflejo (^) para crear un valor de atributo de aserción único. Para indicar que un atributo LDAP con varios valores se convierte en un atributo de aserción con varios valores, es necesario utilizar el prefijo
      FMATTR:
      con el nombre del atributo.
      El prefijo debe estar en mayúsculas. También es recomendable que el uso de mayúsculas y minúsculas en el atributo introducido coincida con el del atributo en el directorio LDAP.
      Ejemplo: Para agregar el atributo de usuario
      correo
      con varios valores de atributo, introduzca
      FMATTR:correo
      .
      Cada valor se especifica como un elemento <AttributeValue> separado en la aserción. Ejemplo del resultado:
      <ns2:Attribute Name="mail">
      <ns2:AttributeValue>jsmith@example.com</ns2:AttributeValue>
      <ns2:AttributeValue>john.smith@example.com</ns2:AttributeValue>
      <ns2:AttributeValue>employee007@example.com</ns2:AttributeValue>
      </ns2:Attribute>
      Sin el prefijo FMATTR: (el nombre del atributo es
      correo
      ), el resultado del ejemplo sería:
      <ns2:Attribute Name="mail">
      <ns2:AttributeValue>jsmith@example.com^john.smith@example.com^employee007@example.com</ns2:AttributeValue>
      </ns2:Attribute>
    • Atributo de sesión
      Obtiene el atributo al consultar el almacén de sesiones por el atributo especificado en el campo Valor.
      Valor
      : Introduzca el valor de un atributo de sesión.
    • Atributo del nombre distintivo (solo LDAP)
      Obtiene el atributo mediante el envío de una consulta con el atributo del nombre distintivo especificado en el campo Valor y el nombre distintivo especificado en el campo especificación del nombre distintivo. Esta opción se utiliza ante todo para identificar un grupo de usuarios.
      Valor
      : Introduzca un atributo del nombre distintivo
    • Expresión
      Introduzca una cadena mediante el Lenguaje unificado de expresiones de Java para transformar, agregar o suprimir una aserción de atributo.
      Valor
      : Especifique una expresión JUEL.
  • Especificación del nombre distintivo
    Especifica el nombre distintivo cuando el atributo es del tipo de nombre distintivo.
    Ejemplo: ou=Marketing,o=ca.com
  • Cifrar (Tipo de token de SAML 2.0 solamente)
    Indica que los atributos de aserción se cifran en el tiempo de ejecución antes de que la aserción se envíe a la parte confidente.
Complemento Generador de aserciones (WSFED)
casso127figsbres
La sección del complemento Generador de aserciones permite especificar un complemento escrito que
CA Single Sign-on
puede utilizar para agregar atributos a una aserción.
  • Clase de complemento
    Especifica el nombre de la clase de Java completamente cualificado del complemento. Este complemento se invoca durante el tiempo de ejecución. Introduzca un nombre, por ejemplo:
    com.miempresa.generadoraserción.MuestraAserción
    La clase de complemento puede analizar y modificar la aserción; a continuación, devolverá el resultado a
    CA Single Sign-on
    para el procesamiento final. Solo se permite un complemento para cada parte confidente. Se incluye un complemento de muestra en el SDK. Consulte un complemento de muestra compilado, fedpluginsample.jar, en el directorio
    directorioprincipal_sdk_federación
    \jar.
    Nota
    Se puede ver también el código fuente del complemento de muestra en el directorio
    directorioprincipal_sdk_federación
    \sample\com\ca\federation\sdk\plugin\sample.
  • Parámetros del complemento
    (Opcional). Especifica la cadena que
    CA Single Sign-on
    transfiere al complemento como un parámetro.
    CA Single Sign-on
    transfiere la cadena durante el tiempo de ejecución. La cadena puede contener cualquier valor; no se tiene que seguir ninguna sintaxis específica.
    El complemento interpreta los parámetros que recibe. Por ejemplo, el parámetro puede ser el nombre del atributo o la cadena puede contener un entero que encarga al complemento realizar una tarea.