Boîte de dialogue Configuration de l'assertion (producteur SAML 1.1)

Sommaire
casso126figsbrfr
HID_assertion-config-saml1-producer
Sommaire
Configuration de l'ID de nom
casso126figsbrfr
La section NameID permet de configurer l'identificateur de nom, qui donne un nom unique à un utilisateur dans l'assertion. Le format de l'identificateur de nom établit le type de contenu utilisé pour l'ID. Par exemple, s'il s'agit d'une adresse électronique, le contenu peut être [email protected].
Cette section contient les paramètres suivants :
  • Format d'ID de nom
    Spécifie le format de l'identificateur de nom.
    Options :
    Pour consulter la liste d'options, sélectionnez le menu déroulant.
    Pour obtenir la description de chaque format, consultez les spécifications pour OASIS Security Assertion Markup Language (SAML).
  • Type d'ID de nom
    Spécifie le type de valeur saisie pour l'ID de nom.
    • Options :
    • Statique
      Indique que l'ID de nom est une constante du champ Valeur.
    • Attribut d'utilisateur
      Indique que le produit obtient l'ID de nom en interrogeant l'annuaire d'utilisateurs pour l'attribut entré dans le champ Valeur.
    • Attribut de session
      Indique que le produit obtient l'ID de nom en interrogeant le référentiel de sessions pour l'attribut entré dans le champ Valeur.
    • Attribut de nom unique (LDAP uniquement)
      La requête qui obtient l'attribut contient l'attribut de nom unique dans le champ Valeur et le nom unique dans le champ Critère de nom unique. Cette option est essentiellement utilisée pour identifier un groupe d'utilisateurs.
  • Valeur
    Spécifie l'une des valeurs suivantes :
    • Valeur de texte statique de l'ID de nom pour le type d'ID statique
    • Valeur d'un attribut d'utilisateur pour le type d'ID d'attribut d'utilisateur
    • Valeur d'un attribut de référentiel de sessions pour le type Attribut de session
    • Valeur d'un attribut de nom unique pour le type de nom unique
  • Critère de nom unique
    Spécifie le nom unique du groupe ou de l'unité organisationnelle utilisé pour obtenir l'attribut associé pour l'identificateur de nom.
    Exemple :
    ou=Engineering,o=ca.com
  • Autoriser la création d'identificateur d'utilisateur (SAML 2.0 uniquement)
    Indique si le fournisseur d'identités peut créer une valeur pour l'ID de nom et l'inclure dans une assertion. Lorsque le fournisseur de services envoie un message AuthnRequest au fournisseur d'identités, le fournisseur de services peut inclure un attribut AllowCreate dans la demande. Cet attribut et la case à cocher permettent au fournisseur d'identités de générer une valeur d'ID de nom lorsqu'il n'en trouve aucune dans l'enregistrement d'utilisateur existant. Cette valeur doit être un identificateur persistant.
    Le tableau suivant décrit l'interaction entre l'attribut AllowCreate et la case à cocher.
    Valeur de l'attribut AllowCreate dans le message AuthnRequest (fournisseur de services)
    Paramètre Autoriser la création d'un identificateur d'utilisateur (fournisseur d'identités)
    Action du fournisseur d'identités
    AllowCreate=true
    Case à cocher sélectionnée
    Création d'un ID de nom.
    AllowCreate=true
    Case à cocher désélectionnée
    Aucune action. Le fournisseur d'identités ne peut pas créer la valeur d'ID de nom.
    AllowCreate=false
    Case à cocher sélectionnée
    Aucune action. Aucune valeur d'ID de nom n'est créée. L'attribut dans le message AuthnRequest remplace le paramètre du fournisseur d'identités.
    AllowCreate=false
    Case à cocher désélectionnée
    Aucune action. Aucune valeur d'ID de nom n'est créée.
    Aucun attribut AllowCreate
    Case à cocher sélectionnée
    Création d'un ID de nom.
    Aucun attribut AllowCreate
    Case à cocher désélectionnée
    Aucune action. Aucune valeur d'ID de nom n'est créée.
Attributs d'assertion (SAML 1.1)
La section Attributs d'assertion permet de spécifier les attributs d'utilisateur inclus dans l'assertion.
Cette section contient les paramètres suivants :
  • Attribut d'assertion
    Indique l'attribut spécifique pour l'inclusion dans l'assertion. Spécifiez l'attribut requis pour l'entité de confiance dans l'assertion. Cette entrée ne doit pas nécessairement être un attribut de référentiel des utilisateurs.
    Valeur
    : nom d'attribut utilisé au niveau de l'entité de confiance.
  • Espace de noms
    Désigne une collection qui identifie de manière unique des noms.
    Valeur :
    tout espace de noms valide
  • Type
    Spécifie le type d'attribut et la source de l'attribut d'assertion.
    • Options :
    Statique
    Indique que l'attribut est une valeur constante que vous spécifiez dans la colonne Valeur.
    Attribut d'utilisateur
    Obtient l'attribut en interrogeant un annuaire d'utilisateurs pour l'attribut spécifié dans le champ Valeur.
    Attribut de session
    Obtient l'attribut en interrogeant le référentiel de sessions pour l'attribut spécifié dans le champ Valeur.
    Attribut de nom unique (LDAP uniquement)
    Obtient l'attribut en envoyant une requête contenant l'attribut de nom unique spécifié dans le champ Valeur et le nom unique spécifié dans le champ Spécification de nom unique. Cette option est essentiellement utilisée pour identifier un groupe d'utilisateurs.
    Expression
    Entrez une chaîne à l'aide du langage d'expressions unifié Java pour transformer, ajouter ou supprimer une assertion d'attribut.
  • Valeur
    • Spécifie la valeur statique de l'attribut pour le type Statique.
    • Spécifie la valeur d'un attribut d'utilisateur pour le type d'attribut d'utilisateur.
      Si vous ajoutez un attribut d'utilisateur LDAP à une assertion, vous pouvez configurer un attribut avec plusieurs valeurs. Chaque valeur est spécifiée comme élément <AttributeValue> distinct dans l'assertion, par exemple :
      <ns2:AttributeStatement> <ns2:Attribute Name="MyAttribute"
      NameFormat="urn:oasis:names:tc:SAML:1.1:attrname-format:unspecified">
      <ns2:AttributeValue>top</ns2:AttributeValue> <ns2:AttributeValue>person</ns2:AttributeValue>
      <ns2:AttributeValue>organizationalPerson</ns2:AttributeValue>
      <ns2:AttributeValue>inetorgperson</ns2:AttributeValue> </ns2:Attribute>
      </ns2:AttributeStatement>
      Pour indiquer qu'un attribut d'utilisateur contient plusieurs valeurs, ajoutez le préfixe
      FMATTR:
      au début de l'entrée de ce champ. Ce préfixe doit être indiqué en majuscule. Par exemple, pour ajouter l'attribut d'utilisateur Nom à partir d'un référentiel d'utilisateurs LDAP, saisissez FMATTR:LastName. L'utilisation du préfixe informe
      CA SiteMinder® Federation
      de la méthode d'interprétation de l'attribut.
    • Spécifie la valeur d'un attribut de session pour le type d'attribut de session.
    • Spécifie l'attribut de nom unique pour le type de nom unique.
    • Spécifie l'expression JUEL.
  • Spécification de nom unique
    Spécifie le nom unique lorsque l'attribut est de type nom unique.
    Exemple :
    ou=Marketing,o=ca.com
Paramètres du générateur d'assertions
casso126figsbrfr
La section Module d'extension de générateur d'assertions permet de spécifier un module d'extension écrit utilisable par
CA Single Sign-on
pour ajouter des attributs à une assertion.
  • Classe du module d'extension
    Permet de spécifier le nom complet de la classe Java du module d'extension. Ce module d'extension est appelé lors de l'exécution. Saisissez un nom, par exemple :
    com.mycompany.assertiongenerator.AssertionSample
    La classe du module d'extension peut analyser et modifier l'assertion, puis renvoyer le résultat à
    CA Single Sign-on
    pour un dernier traitement. Un seul module d'extension est autorisé pour chaque entité de confiance. Un exemple de module d'extension est inclus dans le kit de développement logiciel. Vous pouvez consulter un exemple de module d'extension compilé (fedpluginsample.jar) dans le répertoire
    federation_sdk_home\jar
    .
    Remarque :
    Vous pouvez également consulter le code source de l'exemple du module d'extension dans le répertoire
    federation_sdk_home
    \sample\com\ca\federation\sdk\plugin\sample.
  • Paramètres du module d'extension
    (Facultatif). Permet de spécifier la chaîne que
    CA Single Sign-on
    transfère vers le module d'extension comme paramètre.
    CA Single Sign-on
    transfère cette chaîne lors de l'exécution. Celle-ci peut contenir la valeur de votre choix : aucune syntaxe ne doit être spécifiquement suivie.
    Le module d'extension interprète les paramètres qu'il reçoit. Par exemple, le paramètre peut être le nom d'attribut, ou la chaîne peut contenir un nombre entier qui charge le module d'extension d'effectuer une tâche.