Boîte de dialogue Configuration de l'assertion (fournisseur d'identités SAML 2.0)

Sommaire
casso126figsbrfr
HID_assertion-config-saml2-idp
Sommaire
Configuration de l'ID de nom (SAML 2.0)
casso126figsbrfr
La section NameID permet de configurer l'identificateur de nom, qui donne un nom unique à un utilisateur dans l'assertion. Le format de l'identificateur de nom établit le type de contenu utilisé pour l'ID. Par exemple, s'il s'agit d'une adresse électronique, le contenu peut être [email protected].
Cette section contient les paramètres suivants :
  • Format d'ID de nom
    Spécifie le format de l'identificateur de nom.
    Options :
    Pour consulter la liste d'options, sélectionnez le menu déroulant.
    Pour obtenir la description de chaque format, consultez les spécifications pour OASIS Security Assertion Markup Language (SAML).
  • Type d'ID de nom
    Spécifie le type de valeur saisie pour l'ID de nom.
    • Options :
    • Statique
      Indique que l'ID de nom est une constante du champ Valeur.
    • Attribut d'utilisateur
      Indique que le produit obtient l'ID de nom en interrogeant l'annuaire d'utilisateurs pour l'attribut entré dans le champ Valeur.
    • Attribut de session
      Indique que le produit obtient l'ID de nom en interrogeant le référentiel de sessions pour l'attribut entré dans le champ Valeur.
    • Attribut de nom unique (LDAP uniquement)
      La requête qui obtient l'attribut contient l'attribut de nom unique dans le champ Valeur et le nom unique dans le champ Critère de nom unique. Cette option est essentiellement utilisée pour identifier un groupe d'utilisateurs.
  • Valeur
    Spécifie l'une des valeurs suivantes :
    • Valeur de texte statique de l'ID de nom pour le type d'ID statique
    • Valeur d'un attribut d'utilisateur pour le type d'ID d'attribut d'utilisateur
    • Valeur d'un attribut de référentiel de sessions pour le type Attribut de session
    • Valeur d'un attribut de nom unique pour le type de nom unique
  • Critère de nom unique
    Spécifie le nom unique du groupe ou de l'unité organisationnelle utilisé pour obtenir l'attribut associé pour l'identificateur de nom.
    Exemple :
    ou=Engineering,o=ca.com
  • Autoriser la création d'identificateur d'utilisateur (SAML 2.0 uniquement)
    Indique si le fournisseur d'identités peut créer une valeur pour l'ID de nom et l'inclure dans une assertion. Lorsque le fournisseur de services envoie un message AuthnRequest au fournisseur d'identités, le fournisseur de services peut inclure un attribut AllowCreate dans la demande. Cet attribut et la case à cocher permettent au fournisseur d'identités de générer une valeur d'ID de nom lorsqu'il n'en trouve aucune dans l'enregistrement d'utilisateur existant. Cette valeur doit être un identificateur persistant.
    Le tableau suivant décrit l'interaction entre l'attribut AllowCreate et la case à cocher.
    Valeur de l'attribut AllowCreate dans le message AuthnRequest (fournisseur de services)
    Paramètre Autoriser la création d'un identificateur d'utilisateur (fournisseur d'identités)
    Action du fournisseur d'identités
    AllowCreate=true
    Case à cocher sélectionnée
    Création d'un ID de nom.
    AllowCreate=true
    Case à cocher désélectionnée
    Aucune action. Le fournisseur d'identités ne peut pas créer la valeur d'ID de nom.
    AllowCreate=false
    Case à cocher sélectionnée
    Aucune action. Aucune valeur d'ID de nom n'est créée. L'attribut dans le message AuthnRequest remplace le paramètre du fournisseur d'identités.
    AllowCreate=false
    Case à cocher désélectionnée
    Aucune action. Aucune valeur d'ID de nom n'est créée.
    Aucun attribut AllowCreate
    Case à cocher sélectionnée
    Création d'un ID de nom.
    Aucun attribut AllowCreate
    Case à cocher désélectionnée
    Aucune action. Aucune valeur d'ID de nom n'est créée.
Attributs d'assertion (fournisseur d'identités SAML 2.0)
La section Attributs d'assertion permet de spécifier les attributs d'utilisateur inclus dans l'assertion.
Cette section contient les paramètres suivants :
  • Attribut d'assertion
    Indique l'attribut spécifique pour l'inclusion dans l'assertion. Spécifiez l'attribut requis pour l'entité de confiance dans l'assertion. Cette entrée ne doit pas nécessairement être un attribut de référentiel des utilisateurs.
    Valeur
    : nom d'attribut utilisé au niveau de l'entité de confiance.
  • Méthode de récupération
    Indique le motif de l'utilisation de l'attribut.
    Options :
    • SSO
      Indique que l'attribut est utilisé pour l'authentification unique.
    • Service d'attribut
      Indique que l'attribut est utilisé par l'autorité d'attributs pour répondre aux demandes d'une requête d'attribut.
    • Les deux
      Indique que l'attribut est utilisé par l'autorité d'attributs et l'authentification unique.
  • Format
    Spécifie le format de l'attribut qui fera partie d'une assertion SAML. Les options disponibles sont les suivantes:
    • Non spécifié
    • Simple
    • URI
    Consultez les spécifications SAML 2.0 pour obtenir la définition de ces formats.
  • Type
    Spécifie le type d'attribut et la source de l'attribut d'assertion. 
    Options :
    Statique
    Indique que l'attribut est une valeur constante que vous spécifiez dans la colonne Valeur.
    Valeur
    : entrez une valeur constante
    de l'attribut pour le type Statique.
    Attribut d'utilisateur
    Obtient l'attribut en interrogeant un annuaire d'utilisateurs pour l'attribut spécifié dans le champ Valeur.
    Valeur :
    entrez un attribut valide à partir d'un annuaire d'utilisateurs et ses valeurs associées.
    Pour les attributs d'utilisateur uniquement :
    LDAP prend en charge les attributs à valeurs multiples. Par défaut, le serveur de stratégies joint plusieurs valeurs d'attribut LDAP à l'aide de l'accent circonflexe (^) pour créer une valeur d'attribut d'assertion unique. Pour indiquer que le résultat d'un attribut LDAP à plusieurs valeurs est un attribut d'assertion à valeurs multiples, utilisez le préfixe
    FMATTR:
    dans le nom de l'attribut.
    Remarque :
    Ce préfixe doit être indiqué en majuscules. Il est également recommandé que la casse de l'attribut que vous entrez corresponde à la casse de l'attribut qui se trouve dans l'annuaire LDAP.
    Exemple :
    Pour ajouter un
    courriel
    d'attribut d'utilisateur à valeurs multiples, entrez
    FMATTR:mail
    .
    Chaque valeur est spécifiée comme élément <AttributeValue> distinct dans l'assertion. Exemple de résultat :
    <ns2:Attribute Name="mail">
    <ns2:AttributeValue>[email protected]</ns2:AttributeValue>
    <ns2:AttributeValue>[email protected]</ns2:AttributeValue>
    <ns2:AttributeValue>[email protected]</ns2:AttributeValue>
    </ns2:Attribute>
    Sans le préfixe FMATTR: (le nom d'attribut est
    mail)
    . Par exemple :
    <ns2:Attribute Name="mail">
    <ns2:AttributeValue>[email protected]^[email protected]^[email protected]</ns2:AttributeValue>
    </ns2:Attribute>
    Attribut de session
    Obtient l'attribut en interrogeant le référentiel de sessions pour l'attribut spécifié dans le champ Valeur.
    Valeur :
    entrez la valeur d'un attribut de session.
    Attribut de nom unique (LDAP uniquement)
    Obtient l'attribut en envoyant une requête contenant l'attribut de nom unique spécifié dans le champ Valeur et le nom unique spécifié dans le champ Spécification de nom unique. Cette option est essentiellement utilisée pour identifier un groupe d'utilisateurs.
    Valeur :
    entrez un attribut de nom unique.
    Expression
    Entrez une chaîne à l'aide du langage d'expressions unifié Java pour transformer, ajouter ou supprimer une assertion d'attribut.
    Valeur :
    spécifiez une expression JUEL.
     
  • Spécification de nom unique
    Spécifie le nom unique lorsque l'attribut est de type nom unique.
    Exemple :
    ou=Marketing,o=ca.com
     
  • Chiffrer
    Indique que les attributs d'assertion sont chiffrés lors de l'exécution avant que l'assertion ne soit envoyée à l'entité de confiance.
Module d'extension du générateur d'assertions (fournisseur d'identités SAML 2.0)
casso126figsbrfr
La section Module d'extension de générateur d'assertions permet de spécifier un module d'extension écrit utilisable par
CA Single Sign-on
pour ajouter des attributs à une assertion.
  • Classe du module d'extension
    Permet de spécifier le nom complet de la classe Java du module d'extension. Ce module d'extension est appelé lors de l'exécution. Saisissez un nom, par exemple :
    com.mycompany.assertiongenerator.AssertionSample
    La classe du module d'extension peut analyser et modifier l'assertion, puis renvoyer le résultat à
    CA Single Sign-on
    pour un dernier traitement. Un seul module d'extension est autorisé pour chaque entité de confiance. Un exemple de module d'extension est inclus dans le kit de développement logiciel. Vous pouvez consulter un exemple de module d'extension compilé (fedpluginsample.jar) dans le répertoire
    federation_sdk_home\jar
    .
    Remarque :
    Vous pouvez également consulter le code source de l'exemple du module d'extension dans le répertoire
    federation_sdk_home
    \sample\com\ca\federation\sdk\plugin\sample.
  • Paramètres du module d'extension
    (Facultatif). Permet de spécifier la chaîne que
    CA Single Sign-on
    transfère vers le module d'extension comme paramètre.
    CA Single Sign-on
    transfère cette chaîne lors de l'exécution. Celle-ci peut contenir la valeur de votre choix : aucune syntaxe ne doit être spécifiquement suivie.
    Le module d'extension interprète les paramètres qu'il reçoit. Par exemple, le paramètre peut être le nom d'attribut, ou la chaîne peut contenir un nombre entier qui charge le module d'extension d'effectuer une tâche.