Boîte de dialogue Configuration de l'assertion (producteur SAML 1.1)
Sommaire
casso127figsbrfr
HID_assertion-config-saml1-producer
Sommaire
Configuration de l'ID de nom
casso127figsbrfr
La section NameID permet de configurer l'identificateur de nom, qui donne un nom unique à un utilisateur dans l'assertion. Le format de l'identificateur de nom établit le type de contenu utilisé pour l'ID. Par exemple, s'il s'agit d'une adresse électronique, le contenu peut être [email protected].
Cette section contient les paramètres suivants :
- Format d'ID de nomSpécifie le format de l'identificateur de nom.Options :Pour consulter la liste d'options, sélectionnez le menu déroulant.Pour obtenir la description de chaque format, consultez les spécifications pour OASIS Security Assertion Markup Language (SAML).
- Type d'ID de nomSpécifie le type de valeur saisie pour l'ID de nom.
- Options :
- StatiqueIndique que l'ID de nom est une constante du champ Valeur.
- Attribut d'utilisateurIndique que le produit obtient l'ID de nom en interrogeant l'annuaire d'utilisateurs pour l'attribut entré dans le champ Valeur.
- Attribut de sessionIndique que le produit obtient l'ID de nom en interrogeant le référentiel de sessions pour l'attribut entré dans le champ Valeur.
- Attribut de nom unique (LDAP uniquement)La requête qui obtient l'attribut contient l'attribut de nom unique dans le champ Valeur et le nom unique dans le champ Critère de nom unique. Cette option est essentiellement utilisée pour identifier un groupe d'utilisateurs.
- ValeurSpécifie l'une des valeurs suivantes :
- Valeur de texte statique de l'ID de nom pour le type d'ID statique
- Valeur d'un attribut d'utilisateur pour le type d'ID d'attribut d'utilisateur
- Valeur d'un attribut de référentiel de sessions pour le type Attribut de session
- Valeur d'un attribut de nom unique pour le type de nom unique
- Critère de nom uniqueSpécifie le nom unique du groupe ou de l'unité organisationnelle utilisé pour obtenir l'attribut associé pour l'identificateur de nom.Exemple :ou=Engineering,o=ca.com
- Autoriser la création d'identificateur d'utilisateur (SAML 2.0 uniquement)Indique si le fournisseur d'identités peut créer une valeur pour l'ID de nom et l'inclure dans une assertion. Lorsque le fournisseur de services envoie un message AuthnRequest au fournisseur d'identités, le fournisseur de services peut inclure un attribut AllowCreate dans la demande. Cet attribut et la case à cocher permettent au fournisseur d'identités de générer une valeur d'ID de nom lorsqu'il n'en trouve aucune dans l'enregistrement d'utilisateur existant. Cette valeur doit être un identificateur persistant.Le tableau suivant décrit l'interaction entre l'attribut AllowCreate et la case à cocher.Valeur de l'attribut AllowCreate dans le message AuthnRequest (fournisseur de services)Paramètre Autoriser la création d'un identificateur d'utilisateur (fournisseur d'identités)Action du fournisseur d'identitésAllowCreate=trueCase à cocher sélectionnéeCréation d'un ID de nom.AllowCreate=trueCase à cocher désélectionnéeAucune action. Le fournisseur d'identités ne peut pas créer la valeur d'ID de nom.AllowCreate=falseCase à cocher sélectionnéeAucune action. Aucune valeur d'ID de nom n'est créée. L'attribut dans le message AuthnRequest remplace le paramètre du fournisseur d'identités.AllowCreate=falseCase à cocher désélectionnéeAucune action. Aucune valeur d'ID de nom n'est créée.Aucun attribut AllowCreateCase à cocher sélectionnéeCréation d'un ID de nom.Aucun attribut AllowCreateCase à cocher désélectionnéeAucune action. Aucune valeur d'ID de nom n'est créée.
Attributs d'assertion (SAML 1.1)
La section Attributs d'assertion permet de spécifier les attributs d'utilisateur inclus dans l'assertion.
Cette section contient les paramètres suivants :
- Attribut d'assertionIndique l'attribut spécifique pour l'inclusion dans l'assertion. Spécifiez l'attribut requis pour l'entité de confiance dans l'assertion. Cette entrée ne doit pas nécessairement être un attribut de référentiel des utilisateurs.Valeur: nom d'attribut utilisé au niveau de l'entité de confiance.
- Espace de nomsDésigne une collection qui identifie de manière unique des noms.Valeur :tout espace de noms valide
- TypeSpécifie le type d'attribut et la source de l'attribut d'assertion.
- Options :
Indique que l'attribut est une valeur constante que vous spécifiez dans la colonne Valeur.Attribut d'utilisateurObtient l'attribut en interrogeant un annuaire d'utilisateurs pour l'attribut spécifié dans le champ Valeur.Attribut de sessionObtient l'attribut en interrogeant le référentiel de sessions pour l'attribut spécifié dans le champ Valeur.Attribut de nom unique (LDAP uniquement)Obtient l'attribut en envoyant une requête contenant l'attribut de nom unique spécifié dans le champ Valeur et le nom unique spécifié dans le champ Spécification de nom unique. Cette option est essentiellement utilisée pour identifier un groupe d'utilisateurs.ExpressionEntrez une chaîne à l'aide du langage d'expressions unifié Java pour transformer, ajouter ou supprimer une assertion d'attribut. - Valeur
- Spécifie la valeur statique de l'attribut pour le type Statique.
- Spécifie la valeur d'un attribut d'utilisateur pour le type d'attribut d'utilisateur.Si vous ajoutez un attribut d'utilisateur LDAP à une assertion, vous pouvez configurer un attribut avec plusieurs valeurs. Chaque valeur est spécifiée comme élément <AttributeValue> distinct dans l'assertion, par exemple :<ns2:AttributeStatement> <ns2:Attribute Name="MyAttribute"NameFormat="urn:oasis:names:tc:SAML:1.1:attrname-format:unspecified"><ns2:AttributeValue>top</ns2:AttributeValue> <ns2:AttributeValue>person</ns2:AttributeValue><ns2:AttributeValue>organizationalPerson</ns2:AttributeValue><ns2:AttributeValue>inetorgperson</ns2:AttributeValue> </ns2:Attribute></ns2:AttributeStatement>Pour indiquer qu'un attribut d'utilisateur contient plusieurs valeurs, ajoutez le préfixeFMATTR:au début de l'entrée de ce champ. Ce préfixe doit être indiqué en majuscule. Par exemple, pour ajouter l'attribut d'utilisateur Nom à partir d'un référentiel d'utilisateurs LDAP, saisissez FMATTR:LastName. L'utilisation du préfixe informeCA SiteMinder® Federationde la méthode d'interprétation de l'attribut.
- Spécifie la valeur d'un attribut de session pour le type d'attribut de session.
- Spécifie l'attribut de nom unique pour le type de nom unique.
- Spécifie l'expression JUEL.
- Spécification de nom uniqueSpécifie le nom unique lorsque l'attribut est de type nom unique.Exemple :ou=Marketing,o=ca.com
Paramètres du générateur d'assertions
casso127figsbrfr
La section Module d'extension de générateur d'assertions permet de spécifier un module d'extension écrit utilisable par
CA Single Sign-on
pour ajouter des attributs à une assertion.- Classe du module d'extensionPermet de spécifier le nom complet de la classe Java du module d'extension. Ce module d'extension est appelé lors de l'exécution. Saisissez un nom, par exemple :com.mycompany.assertiongenerator.AssertionSampleLa classe du module d'extension peut analyser et modifier l'assertion, puis renvoyer le résultat àCA Single Sign-onpour un dernier traitement. Un seul module d'extension est autorisé pour chaque entité de confiance. Un exemple de module d'extension est inclus dans le kit de développement logiciel. Vous pouvez consulter un exemple de module d'extension compilé (fedpluginsample.jar) dans le répertoirefederation_sdk_home\jar.Remarque :Vous pouvez également consulter le code source de l'exemple du module d'extension dans le répertoirefederation_sdk_home\sample\com\ca\federation\sdk\plugin\sample.
- Paramètres du module d'extension(Facultatif). Permet de spécifier la chaîne queCA Single Sign-ontransfère vers le module d'extension comme paramètre.CA Single Sign-ontransfère cette chaîne lors de l'exécution. Celle-ci peut contenir la valeur de votre choix : aucune syntaxe ne doit être spécifiquement suivie.Le module d'extension interprète les paramètres qu'il reçoit. Par exemple, le paramètre peut être le nom d'attribut, ou la chaîne peut contenir un nombre entier qui charge le module d'extension d'effectuer une tâche.