Esquema de autenticación de SAML 2.0: configuración general

Los valores de configuración General para el esquema de autenticación de SAML 2.0 determinan cómo se comunica el proveedor de servicios con el proveedor de identidades para recuperar la aserción.
casso1283
HID_sp-authscheme-general
Los valores de configuración General para el esquema de autenticación de SAML 2.0 determinan cómo se comunica el proveedor de servicios con el proveedor de identidades para recuperar la aserción.
Los campos de esta página son los siguientes:
  • ID de proveedor de servicios
    Especifica un URI que identifica de forma única el proveedor de servicios.
    Introduzca un valor que coincida con el valor del ID especificado para el objeto del proveedor de servicios correspondiente, que se configura en el proveedor de identidad.
  • Versión de SAML
    Especifica la versión SAML (deshabilitada; el valor 2.0 predeterminad indica que las aserciones enviadas a este ID del proveedor de identidad deben cumplir con la versión 2.0 de SAML).
  • ID de proveedor de identidad
    Especifica un URI que identifica de forma única al proveedor de identidades desde el que se emiten las aserciones para este proveedor de servicios.
    El proveedor de servicios únicamente acepta aserciones de este IdP.
    El valor que se introduce para el emisor debe coincidir con el valor del ID del proveedor de identidad configurado en el sitio del proveedor de identidad.
  • Segundos del tiempo de desviación
    Determina el número de segundos que se quitan del tiempo actual. Este cálculo da cuenta de los proveedores de servicios con relojes que no se sincronizan con el Servidor de políticas que actúa como el proveedor de identidades.
Desambiguación del usuario
En la sección Desambiguación del usuario se configura cómo obtener la información de usuario de una aserción de SAML 2.0. El consumidor utiliza esta información para autenticar un usuario.
  • Consulta XPath
    Especifica una consulta XPath. La consulta XPath le dice el esquema de autenticación en qué lugar de la aserción se puede ubicar una entrada específica, que sirve a continuación como el ID de inicio de sesión del usuario. El valor que la consulta obtiene pase a formar parte de la especificación de búsqueda para buscar una entrada del almacén de usuarios.
    Si no se especifica una consulta, la consulta XPath predeterminada es:
    /Assertion/Subject/NameID/text()
    Las consultas Xpath no deben contener prefijos de espacio de nombres. El ejemplo siguiente es una consulta Xpath no válida:
    /saml:Response/saml:Assertion/saml:AuthenticationStatement/
    saml:Subject/saml:NameIdentifier/text()
    La consulta Xpath válida es:
    //Response/Assertion/AuthenticationStatement/Subject/
    NameIdentifier/text()
    Ejemplo
    Para obtener el atributo “FirstName” de la aserción, la consulta XPath es:
    /Assertion/AttributeStatement/Attribute[@Name=”FirstName”]/
    AttributeValue/text()
  • casso1283
    Activo
    Indica si la configuración de la federación heredada se está utilizando para una asociación específica. Si el Servidor de políticas está utilizando la configuración de la federación heredada, se debe verificar que esta casilla de verificación está seleccionada. Si se ha recreado una asociación federada con valores similares para la configuración de la identidad, como el ID del origen, se debe desactivar esta casilla de verificación antes de activar la asociación federada.
    SiteMinder
    no funciona con una configuración heredada y de asociación que utilicen los mismos valores de identidad, ya que se produce un conflicto de nombres.
  • Búsqueda de usuario
    Muestra los tipos de espacio de nombres donde se puede introducir una especificación de búsqueda para encontrar un registro de usuarios en un directorio de usuarios.
    Introduzca una especificación de búsqueda para el tipo de almacén de usuarios que está utilizando. La especificación de búsqueda combina un atributo de almacén de usuarios y el valor que la consulta Xpath identifica. El esquema de autenticación usa la especificación de búsqueda para encontrar un registro de usuarios en el almacén de usuarios.
    Utilice %s para representar el valor del ID de inicio de sesión.
    Por ejemplo, el ID de inicio de sesión es user1. Si se especifica Username=%s en el campo de especificación de la búsqueda, la cadena que resulta es Username=user1. Esta cadena se compara contra un registro en el directorio de usuarios para encontrar el registro correcto para la autenticación.
    Se pueden especificar también filtros con distintas variables %s. Por ejemplo:
    |(uid=%s)(email=%[email protected])
    |(abcAliasName=%s)(cn=%s)
    Los resultados son:
    |(uid=user1)([email protected])
    |(abcAliasName=user1)(cn=user1)
  • Afiliación de SAML
    (Opcional) Especifica una afiliación de SAML a la que se une el proveedor. Seleccione entre cualquier objeto de afiliación de SAML configurado. Si se selecciona una afiliación, los demás controles de la página no están disponibles y se emplea los valores de configuración de Afiliación.