Boîte de dialogue Configuration de l'assertion (fournisseur d'identités SAML 2.0)
Sommaire
casso126figsbrfr
HID_assertion-config-saml2-idp
Sommaire
Configuration de l'ID de nom (SAML 2.0)
casso126figsbrfr
La section NameID permet de configurer l'identificateur de nom, qui donne un nom unique à un utilisateur dans l'assertion. Le format de l'identificateur de nom établit le type de contenu utilisé pour l'ID. Par exemple, s'il s'agit d'une adresse électronique, le contenu peut être [email protected].
Cette section contient les paramètres suivants :
- Format d'ID de nomSpécifie le format de l'identificateur de nom.Options :Pour consulter la liste d'options, sélectionnez le menu déroulant.Pour obtenir la description de chaque format, consultez les spécifications pour OASIS Security Assertion Markup Language (SAML).
- Type d'ID de nomSpécifie le type de valeur saisie pour l'ID de nom.
- Options :
- StatiqueIndique que l'ID de nom est une constante du champ Valeur.
- Attribut d'utilisateurIndique que le produit obtient l'ID de nom en interrogeant l'annuaire d'utilisateurs pour l'attribut entré dans le champ Valeur.
- Attribut de sessionIndique que le produit obtient l'ID de nom en interrogeant le référentiel de sessions pour l'attribut entré dans le champ Valeur.
- Attribut de nom unique (LDAP uniquement)La requête qui obtient l'attribut contient l'attribut de nom unique dans le champ Valeur et le nom unique dans le champ Critère de nom unique. Cette option est essentiellement utilisée pour identifier un groupe d'utilisateurs.
- ValeurSpécifie l'une des valeurs suivantes :
- Valeur de texte statique de l'ID de nom pour le type d'ID statique
- Valeur d'un attribut d'utilisateur pour le type d'ID d'attribut d'utilisateur
- Valeur d'un attribut de référentiel de sessions pour le type Attribut de session
- Valeur d'un attribut de nom unique pour le type de nom unique
- Critère de nom uniqueSpécifie le nom unique du groupe ou de l'unité organisationnelle utilisé pour obtenir l'attribut associé pour l'identificateur de nom.Exemple :ou=Engineering,o=ca.com
- Autoriser la création d'identificateur d'utilisateur (SAML 2.0 uniquement)Indique si le fournisseur d'identités peut créer une valeur pour l'ID de nom et l'inclure dans une assertion. Lorsque le fournisseur de services envoie un message AuthnRequest au fournisseur d'identités, le fournisseur de services peut inclure un attribut AllowCreate dans la demande. Cet attribut et la case à cocher permettent au fournisseur d'identités de générer une valeur d'ID de nom lorsqu'il n'en trouve aucune dans l'enregistrement d'utilisateur existant. Cette valeur doit être un identificateur persistant.Le tableau suivant décrit l'interaction entre l'attribut AllowCreate et la case à cocher.Valeur de l'attribut AllowCreate dans le message AuthnRequest (fournisseur de services)Paramètre Autoriser la création d'un identificateur d'utilisateur (fournisseur d'identités)Action du fournisseur d'identitésAllowCreate=trueCase à cocher sélectionnéeCréation d'un ID de nom.AllowCreate=trueCase à cocher désélectionnéeAucune action. Le fournisseur d'identités ne peut pas créer la valeur d'ID de nom.AllowCreate=falseCase à cocher sélectionnéeAucune action. Aucune valeur d'ID de nom n'est créée. L'attribut dans le message AuthnRequest remplace le paramètre du fournisseur d'identités.AllowCreate=falseCase à cocher désélectionnéeAucune action. Aucune valeur d'ID de nom n'est créée.Aucun attribut AllowCreateCase à cocher sélectionnéeCréation d'un ID de nom.Aucun attribut AllowCreateCase à cocher désélectionnéeAucune action. Aucune valeur d'ID de nom n'est créée.
Attributs d'assertion (fournisseur d'identités SAML 2.0)
La section Attributs d'assertion permet de spécifier les attributs d'utilisateur inclus dans l'assertion.
Cette section contient les paramètres suivants :
- Attribut d'assertionIndique l'attribut spécifique pour l'inclusion dans l'assertion. Spécifiez l'attribut requis pour l'entité de confiance dans l'assertion. Cette entrée ne doit pas nécessairement être un attribut de référentiel des utilisateurs.Valeur: nom d'attribut utilisé au niveau de l'entité de confiance.
- Méthode de récupérationIndique le motif de l'utilisation de l'attribut.Options :
- SSOIndique que l'attribut est utilisé pour l'authentification unique.
- Service d'attributIndique que l'attribut est utilisé par l'autorité d'attributs pour répondre aux demandes d'une requête d'attribut.
- Les deuxIndique que l'attribut est utilisé par l'autorité d'attributs et l'authentification unique.
- FormatSpécifie le format de l'attribut qui fera partie d'une assertion SAML. Les options disponibles sont les suivantes:
- Non spécifié
- Simple
- URI
- TypeSpécifie le type d'attribut et la source de l'attribut d'assertion.Options :StatiqueIndique que l'attribut est une valeur constante que vous spécifiez dans la colonne Valeur.Valeur: entrez une valeur constantede l'attribut pour le type Statique.Attribut d'utilisateurObtient l'attribut en interrogeant un annuaire d'utilisateurs pour l'attribut spécifié dans le champ Valeur.Valeur :entrez un attribut valide à partir d'un annuaire d'utilisateurs et ses valeurs associées.Pour les attributs d'utilisateur uniquement :LDAP prend en charge les attributs à valeurs multiples. Par défaut, le serveur de stratégies joint plusieurs valeurs d'attribut LDAP à l'aide de l'accent circonflexe (^) pour créer une valeur d'attribut d'assertion unique. Pour indiquer que le résultat d'un attribut LDAP à plusieurs valeurs est un attribut d'assertion à valeurs multiples, utilisez le préfixeFMATTR:dans le nom de l'attribut.Remarque :Ce préfixe doit être indiqué en majuscules. Il est également recommandé que la casse de l'attribut que vous entrez corresponde à la casse de l'attribut qui se trouve dans l'annuaire LDAP.Exemple :Pour ajouter uncourrield'attribut d'utilisateur à valeurs multiples, entrezFMATTR:mail.Chaque valeur est spécifiée comme élément <AttributeValue> distinct dans l'assertion. Exemple de résultat :<ns2:Attribute Name="mail"><ns2:AttributeValue>[email protected]</ns2:AttributeValue><ns2:AttributeValue>[email protected]</ns2:AttributeValue><ns2:AttributeValue>[email protected]</ns2:AttributeValue></ns2:Attribute>Sans le préfixe FMATTR: (le nom d'attribut estmail). Par exemple :<ns2:Attribute Name="mail"></ns2:Attribute>Attribut de sessionObtient l'attribut en interrogeant le référentiel de sessions pour l'attribut spécifié dans le champ Valeur.Valeur :entrez la valeur d'un attribut de session.Attribut de nom unique (LDAP uniquement)Obtient l'attribut en envoyant une requête contenant l'attribut de nom unique spécifié dans le champ Valeur et le nom unique spécifié dans le champ Spécification de nom unique. Cette option est essentiellement utilisée pour identifier un groupe d'utilisateurs.Valeur :entrez un attribut de nom unique.ExpressionEntrez une chaîne à l'aide du langage d'expressions unifié Java pour transformer, ajouter ou supprimer une assertion d'attribut.Valeur :spécifiez une expression JUEL.
- Spécification de nom uniqueSpécifie le nom unique lorsque l'attribut est de type nom unique.Exemple :ou=Marketing,o=ca.com
- ChiffrerIndique que les attributs d'assertion sont chiffrés lors de l'exécution avant que l'assertion ne soit envoyée à l'entité de confiance.
Module d'extension du générateur d'assertions (fournisseur d'identités SAML 2.0)
casso126figsbrfr
La section Module d'extension de générateur d'assertions permet de spécifier un module d'extension écrit utilisable par
CA Single Sign-on
pour ajouter des attributs à une assertion.- Classe du module d'extensionPermet de spécifier le nom complet de la classe Java du module d'extension. Ce module d'extension est appelé lors de l'exécution. Saisissez un nom, par exemple :com.mycompany.assertiongenerator.AssertionSampleLa classe du module d'extension peut analyser et modifier l'assertion, puis renvoyer le résultat àCA Single Sign-onpour un dernier traitement. Un seul module d'extension est autorisé pour chaque entité de confiance. Un exemple de module d'extension est inclus dans le kit de développement logiciel. Vous pouvez consulter un exemple de module d'extension compilé (fedpluginsample.jar) dans le répertoirefederation_sdk_home\jar.Remarque :Vous pouvez également consulter le code source de l'exemple du module d'extension dans le répertoirefederation_sdk_home\sample\com\ca\federation\sdk\plugin\sample.
- Paramètres du module d'extension(Facultatif). Permet de spécifier la chaîne queCA Single Sign-ontransfère vers le module d'extension comme paramètre.CA Single Sign-ontransfère cette chaîne lors de l'exécution. Celle-ci peut contenir la valeur de votre choix : aucune syntaxe ne doit être spécifiquement suivie.Le module d'extension interprète les paramètres qu'il reçoit. Par exemple, le paramètre peut être le nom d'attribut, ou la chaîne peut contenir un nombre entier qui charge le module d'extension d'effectuer une tâche.