Finestra di dialogo Configurazione asserzione (produttore SAML 1.1)
Sommario
casso13it
HID_assertion-config-saml1-producer
Sommario
Configurazione dell'ID di nome
casso13it
La sezione ID Nome consente di configurare l'ID di nome denominando l'utente in modo univoco nell'asserzione. Il formato dell'ID di nome stabilisce il tipo di contenuto utilizzato per l'ID. Ad esempio, se il formato è un indirizzo e-mail, il contenuto può essere [email protected].
Questa sezione contiene le impostazioni seguenti:
- Formato ID nomeSpecifica il formato dell'ID di nome.Opzioni: selezionare il menu a discesa per visualizzare l'elenco delle opzioni.Per una descrizione di ciascun formato, consultare le specifiche di OASIS SAML (Security Assertion Markup Language).
- Tipo ID nomeSpecifica il tipo di valore immesso per l'ID di nome.
- Opzioni:
- StaticoIndica che l'ID di nome è una costante del campo Valore.
- Attributo utenteIndica che il prodotto acquisisce l'ID di nome mediante la query della directory utente per l'attributo immesso nel campo Valore.
- Attributo di sessioneIndica che il prodotto acquisisce l'ID di nome mediante la query del session store per l'attributo immesso nel campo Valore.
- Attributo DN (solo LDAP)La query che consente di ottenere l'attributo contiene l'attributo DN nel campo Valore e il DN nel campo Specifica DN. Generalmente questa opzione viene utilizzata per identificare un gruppo di utenti.
- ValoreSpecifica uno dei valori seguenti:
- Valore di testo statico di ID nome per il tipo di ID Statico.
- Valore di un attributo utente per il tipo di ID Attributo utente.
- Valore di un attributo session store per il tipo Attributo di sessione
- Valore di un attributo DN per il tipo DN.
- Specifica DNSpecifica il DN di un gruppo o di un'unità organizzativa utilizzato per ottenere l'attributo associato all'ID del nome.Esempio: ou=Engineering,o=ca.com
- Consenti creazione dell'ID utente (solo SAML 2.0)Indica se il provider di identità può creare un valore per l'ID di nome e includerlo in un'asserzione. Quando il service provider invia un messaggio AuthnRequest al provider di identità, può includere un attributo AllowCreate nella richiesta. Questo attributo, unito a questa casella di controllo, consente al provider di identità di generare un valore ID di nome se non è possibile trovarne uno nel record utente esistente. Questo valore deve essere un identificatore permanente.Nella tabella seguente è descritta l'interazione tra l'attributo AllowCreate e questa casella di controllo.Valore dell'attributo AllowCreate nel messaggio AuthnRequest (service provider)Impostazione Consenti creazione dell'ID utente (provider di identità)Azione provider di identitàAllowCreate=trueCasella di controllo selezionataConsente di creare il valore dell'ID di nome.AllowCreate=trueCasella di controllo deselezionataNessuna azione. Il provider di identità non può creare il valore per l'ID di nome.AllowCreate=falseCasella di controllo selezionataNessuna azione. Non viene creato alcun valore di ID di nome. L'attributo in AuthnRequest sovrascrive l'impostazione del provider di identità.AllowCreate=falseCasella di controllo deselezionataNessuna azione. Non viene creato alcun valore di ID di nome.Nessun attributo AllowCreateCasella di controllo selezionataConsente di creare il valore dell'ID di nome.Nessun attributo AllowCreateCasella di controllo deselezionataNessuna azione. Non viene creato alcun valore di ID di nome.
Attributi di asserzione (SAML 1.1)
La sezione Attributi di asserzione consente di specificare gli attributi utente inclusi nell'asserzione.
Questa sezione contiene le impostazioni seguenti:
- Attributo di asserzioneIndica l'attributo specifico da includere nell'asserzione. Specifica l'attributo richiesto dal relying party nell'asserzione. Non è necessario che questa voce corrisponda a un attributo dello User Store.Valore: nome di attributo utilizzato a livello del relying party.
- Spazio dei nomiIndica una raccolta per l'identificazione univoca dei nomi.Valore: qualsiasi spazio dei nomi valido.
- TipoSpecifica il tipo di attributo e l'origine dell'attributo di asserzione.
- Opzioni:
L'attributo corrisponde a un valore costante specificato nel campo Valore.Attributo utenteOttiene l'attributo mediante la query di una directory utenti per l'attributo specificato nel campo Valore.Attributo di sessioneOttiene l'attributo mediante la query del session store per l'attributo specificato nel campo Valore.Attributo DN (solo LDAP)Ottiene l'attributo mediante l'invio di una query con l'attributo DN specificato nel campo Valore e il DN indicato nel campo Specifica DN. Generalmente questa opzione viene utilizzata per identificare un gruppo di utenti.EspressioneImmettere una stringa utilizzando il linguaggio UEL (Unified Expression Language) di Java per trasformare, aggiungere o eliminare un'asserzione di attributo. - Valore
- Specifica il valore statico dell'attributo per il tipo Statico.
- Specifica il valore di un attributo utente per il tipo Attributo utente.Se si aggiunge un attributo utente LDAP a un'asserzione, è possibile configurare un attributo con più valori. Ciascun valore viene specificato come elemento <AttributeValue> distinto nell'asserzione, ad esempio:<ns2:AttributeStatement> <ns2:Attribute Name="MyAttribute"NameFormat="urn:oasis:names:tc:SAML:1,1:attrname-format:unspecified"><ns2:AttributeValue>top</ns2:AttributeValue> <ns2:AttributeValue>person</ns2:AttributeValue><ns2:AttributeValue>organizationalPerson</ns2:AttributeValue><ns2:AttributeValue>inetorgperson</ns2:AttributeValue> </ns2:Attribute></ns2:AttributeStatement>Per indicare che un attributo utente ha più valori, aggiungere il prefissoFMATTR:all'inizio della voce in questo campo. Il prefisso deve essere scritto in maiuscolo. Ad esempio, per aggiungere l'attributo utente LastName da uno User Store LDAP, immettere FMATTR:LastName. Il prefisso fornisce aCA SiteMinder® Federationle istruzioni necessarie per interpretare l'attributo.
- Specifica il valore di un attributo di sessione per il tipo Attributo di sessione.
- Specifica l'attributo DN per il tipo DN.
- Specifica l'espressione JUEL.
- Specifica DNSpecifica il DN quando l'attributo è di tipo DN.Esempio: ou=Marketing,o=ca.com
Plug-in di generazione delle asserzioni
casso13it
La sezione Plug-in di generazione asserzioni consente di specificare un plug-in scritto che consenta a
CA Single Sign-on
di aggiungere attributi a un'asserzione.- Classe plug-inSpecifica il nome completo della classe Java del plug-in. Questo plug-in viene richiamato in fase di runtime. Immettere un nome, ad esempio:com.mycompany.assertiongenerator.AssertionSampleLa classe del plug-in è in grado di analizzare e modificare l'asserzione, quindi di restituire il risultato aCA Single Sign-onper l'elaborazione finale. È consentito un solo plug-in per ciascun relying party. SDK include un plug-in di esempio. Accedere alla directoryfederation_mgr_sdk_home\jar per visualizzare il plug-in di esempio compilato fedpluginsample.jar.Notaper visualizzare il codice sorgente del plug-in di esempio, accedere alla directoryfederation_mgr_sdk_home\sample\com\ca\federation\sdk\plugin\sample.
- Parametri plug-in(Facoltativo). Specifica la stringa cheCA Single Sign-ontrasferisce al plug-in come parametro.CA Single Sign-ontrasferisce la stringa in fase di runtime. La stringa può contenere qualsiasi valore e non presenta una sintassi specifica.Il plug-in interpreta i parametri ricevuti. Ad esempio, il parametro può corrispondere al nome di attributo oppure la stringa può contenere un numero intero che istruisce il plug-in per eseguire un'attività.