Boîte de dialogue Configuration d'assertion (WSFED)
casso127figsbrfr
HID_assertion-config-wsfed
ID de nom (WSFED)
La section NameID permet de configurer l'identificateur de nom, qui donne un nom unique à un utilisateur dans l'assertion. Le format de l'identificateur de nom établit le type de contenu utilisé pour l'ID. Par exemple, il peut s'agir d'une adresse électronique contenant la valeur [email protected].
Cette section contient les paramètres suivants :
- Format d'ID de nomSpécifie le format de l'identificateur de nom.Options: sélectionnez l'une des options de la liste déroulante.Pour une description de chaque format, consultez la spécification de protocole.
- Type d'ID de nomSpécifie le type de valeur saisie pour l'ID de nom.Options :
- StatiqueIndique que l'ID de nom est une constante du champ Valeur.
- Attribut d'utilisateurIndique que le produit obtient l'ID de nom via l'interrogation de l'annuaire d'utilisateurs pour l'attribut entré dans le champ Valeur.
- Attribut de sessionIndique que le produit obtient l'ID de nom via l'interrogation du référentiel de sessions pour l'attribut entré dans le champ Valeur.
- Attribut de nom unique (LDAP uniquement)La requête utilisée parCA Single Sign-onpour obtenir l'attribut contient l'attribut de nom unique dans le champ Valeur et le nom unique dans le champ Critère de nom unique. Cette option est essentiellement utilisée pour identifier un groupe d'utilisateurs.
ValeurSpécifie l'une des valeurs suivantes :- Valeur de texte statique de l'ID de nom pour le type statique
- Valeur d'un attribut d'utilisateur pour le type d'attribut d'utilisateur
- Valeur d'un attribut de référentiel de sessions pour le type Attribut de session
- Valeur d'un attribut de nom unique pour le type de nom unique
- Critère de nom uniqueSpécifie le nom unique du groupe ou de l'unité organisationnelle utilisé par le produit pour obtenir l'attribut associé pour l'identificateur de nom.Exemple :ou=Engineering,o=ca.com
Attributs d'assertion (WSFED)
La section Attributs d'assertion permet de spécifier les attributs d'utilisateur inclus dans l'assertion.
Cette section contient les paramètres suivants :
- Exclure le destinataire de l'assertion SubjectConfirmationData (partenariats Microsoft Azure uniquement)Ce paramètre exclut l'attribut de destinataire de la balise SubjectConfirmationData de l'assertion. Cette option est requise pour les partenariats avec Microsoft Azure.
- Attribut d'assertionIndique l'attribut spécifique à inclure dans l'assertion. Spécifiez l'attribut requis pour l'entité de confiance dans l'assertion. Cette entrée ne doit pas nécessairement être un attribut de référentiel des utilisateurs.Valeur: nom d'attribut utilisé au niveau de l'entité de confiance.
- Espace de noms (type de jeton SAML 1.0 uniquement)Désigne une collection qui identifie de manière unique des noms. Ce paramètre est disponible uniquement lorsque les entités de partenariat sont configurées avec le type de jeton SAML 1.0.Valeur: un espace de noms valide
- Méthode de récupération (type de jeton SAML 2.0 uniquement)Indique le motif de l'utilisation de l'attribut. Ce paramètre est disponible uniquement lorsque les entités de partenariat sont configurées avec le type de jeton SAML 2.0.Options :
- SSOIndique que l'attribut est utilisé pour l'authentification unique.
- Service d'attributIndique que l'attribut est utilisé par l'autorité d'attributs. Le service termine les demandes à partir d'une requête d'attribut.
- Les deuxIndique que l'attribut est utilisé pour l'authentification unique et pour répondre aux requêtes d'attributs.
- FormatDésigne le format de l'attribut en cours d'ajout à l'assertion. Ce paramètre est disponible uniquement lorsque les entités de partenariat sont configurées avec le type de jeton SAML 2.0.Options :Pour consulter la liste d'options, sélectionnez le menu déroulant.
- TypeSpécifie le type d'attribut et la source de l'attribut d'assertion.Options :
- Statique: indique que l'attribut est une valeur constante que vous spécifiez dans le champValeur.Valeur :entrez une valeur constante de l'attribut pour le type Statique.
- Attribut d'utilisateurObtient l'attribut via l'interrogation d'un annuaire d'utilisateurs pour l'attribut spécifié dans le champ Valeur.Valeur :entrez un attribut valide à partir d'un annuaire d'utilisateurs et ses valeurs associées.Pour les attributs d'utilisateur uniquement : LDAP prend en charge les attributs à valeurs multiples. Par défaut, le serveur de stratégies joint plusieurs valeurs d'attribut LDAP à l'aide de l'accent circonflexe (^) pour créer une valeur d'attribut d'assertion unique. Pour indiquer que le résultat d'un attribut LDAP à plusieurs valeurs est un attribut d'assertion à valeurs multiples, utilisez le préfixeFMATTR:dans le nom de l'attribut.Ce préfixe doit être indiqué en majuscule. Il est également recommandé que la casse de l'attribut que vous entrez corresponde à la casse de l'attribut qui se trouve dans l'annuaire LDAP.Exemple : pour ajouter uncourrield'attribut d'utilisateur à valeurs multiples, entrezFMATTR:mail.Chaque valeur est spécifiée comme élément <AttributeValue> distinct dans l'assertion. Exemple de résultat :<ns2:Attribute Name="mail"><ns2:AttributeValue>jsmith@example.com</ns2:AttributeValue><ns2:AttributeValue>john.smith@example.com</ns2:AttributeValue><ns2:AttributeValue>employee007@example.com</ns2:AttributeValue></ns2:Attribute>Sans le préfixe FMATTR: (le nom d'attribut estmail). Par exemple :<ns2:Attribute Name="mail"><ns2:AttributeValue>jsmith@example.com^john.smith@example.com^employee007@example.com</ns2:AttributeValue></ns2:Attribute>
- Attribut de sessionObtient l'attribut via l'interrogation du référentiel de sessions pour l'attribut spécifié dans le champ Valeur.Valeur: entrez la valeur d'un attribut de session.
- Attribut de nom unique (LDAP uniquement)Obtient l'attribut en envoyant une requête contenant l'attribut de nom unique spécifié dans le champ Valeur et le nom unique spécifié dans le champ Spécification de nom unique. Cette option est essentiellement utilisée pour identifier un groupe d'utilisateurs.Valeur: entrez un attribut de nom unique.
- ExpressionEntrez une chaîne à l'aide du langage d'expression unifié Java pour transformer, pour ajouter ou pour supprimer une assertion d'attribut.Valeur: spécifiez une expression JUEL.
- Spécifie le nom unique lorsque l'attribut est de type nom unique.Spécification de nom uniqueExemple : ou=Marketing,o=ca.com
- Chiffrer (type de jeton SAML 2.0 uniquement)Indique que les attributs d'assertion sont chiffrés lors de l'exécution avant que l'assertion ne soit envoyée à l'entité de confiance.
Paramètres du générateur d'assertions (WSFED)
casso127figsbrfr
La section Module d'extension de générateur d'assertions permet de spécifier un module d'extension écrit utilisable par
CA Single Sign-on
pour ajouter des attributs à une assertion.- Classe du module d'extensionPermet de spécifier le nom complet de la classe Java du module d'extension. Ce module d'extension est appelé lors de l'exécution. Saisissez un nom, par exemple :com.mycompany.assertiongenerator.AssertionSampleLa classe du module d'extension peut analyser et modifier l'assertion, puis renvoyer le résultat àCA Single Sign-onpour un dernier traitement. Un seul module d'extension est autorisé pour chaque entité de confiance. Un exemple de module d'extension est inclus dans le kit de développement logiciel. Vous pouvez consulter un exemple de module d'extension compilé (fedpluginsample.jar) dans le répertoirefederation_sdk_home\jar.Remarque :Vous pouvez également consulter le code source de l'exemple du module d'extension dans le répertoirefederation_sdk_home\sample\com\ca\federation\sdk\plugin\sample.
- Paramètres du module d'extension(Facultatif). Permet de spécifier la chaîne queCA Single Sign-ontransfère vers le module d'extension comme paramètre.CA Single Sign-ontransfère cette chaîne lors de l'exécution. Celle-ci peut contenir la valeur de votre choix : aucune syntaxe ne doit être spécifiquement suivie.Le module d'extension interprète les paramètres qu'il reçoit. Par exemple, le paramètre peut être le nom d'attribut, ou la chaîne peut contenir un nombre entier qui charge le module d'extension d'effectuer une tâche.