Finestra di dialogo Configurazione asserzione (provider di identità SAML 2.0)

Sommario
casso13it
HID_assertion-config-saml2-idp
Sommario
Configurazione dell'ID di nome (SAML 2.0)
casso13it
La sezione ID Nome consente di configurare l'ID di nome denominando l'utente in modo univoco nell'asserzione. Il formato dell'ID di nome stabilisce il tipo di contenuto utilizzato per l'ID. Ad esempio, se il formato è un indirizzo e-mail, il contenuto può essere [email protected].
Questa sezione contiene le impostazioni seguenti:
  • Formato ID nome
    Specifica il formato dell'ID di nome.
    Opzioni
    : selezionare il menu a discesa per visualizzare l'elenco delle opzioni.
    Per una descrizione di ciascun formato, consultare le specifiche di OASIS SAML (Security Assertion Markup Language).
  • Tipo ID nome
    Specifica il tipo di valore immesso per l'ID di nome.
    • Opzioni:
    • Statico
      Indica che l'ID di nome è una costante del campo Valore.
    • Attributo utente
      Indica che il prodotto acquisisce l'ID di nome mediante la query della directory utente per l'attributo immesso nel campo Valore.
    • Attributo di sessione
      Indica che il prodotto acquisisce l'ID di nome mediante la query del session store per l'attributo immesso nel campo Valore.
    • Attributo DN (solo LDAP)
      La query che consente di ottenere l'attributo contiene l'attributo DN nel campo Valore e il DN nel campo Specifica DN. Generalmente questa opzione viene utilizzata per identificare un gruppo di utenti.
  • Valore
    Specifica uno dei valori seguenti:
    • Valore di testo statico di ID nome per il tipo di ID Statico.
    • Valore di un attributo utente per il tipo di ID Attributo utente.
    • Valore di un attributo session store per il tipo Attributo di sessione
    • Valore di un attributo DN per il tipo DN.
  • Specifica DN
    Specifica il DN di un gruppo o di un'unità organizzativa utilizzato per ottenere l'attributo associato all'ID del nome.
    Esempio
    : ou=Engineering,o=ca.com
  • Consenti creazione dell'ID utente (solo SAML 2.0)
    Indica se il provider di identità può creare un valore per l'ID di nome e includerlo in un'asserzione. Quando il service provider invia un messaggio AuthnRequest al provider di identità, può includere un attributo AllowCreate nella richiesta. Questo attributo, unito a questa casella di controllo, consente al provider di identità di generare un valore ID di nome se non è possibile trovarne uno nel record utente esistente. Questo valore deve essere un identificatore permanente.
    Nella tabella seguente è descritta l'interazione tra l'attributo AllowCreate e questa casella di controllo.
    Valore dell'attributo AllowCreate nel messaggio AuthnRequest (service provider)
    Impostazione Consenti creazione dell'ID utente (provider di identità)
    Azione provider di identità
    AllowCreate=true
    Casella di controllo selezionata
    Consente di creare il valore dell'ID di nome.
    AllowCreate=true
    Casella di controllo deselezionata
    Nessuna azione. Il provider di identità non può creare il valore per l'ID di nome.
    AllowCreate=false
    Casella di controllo selezionata
    Nessuna azione. Non viene creato alcun valore di ID di nome. L'attributo in AuthnRequest sovrascrive l'impostazione del provider di identità.
    AllowCreate=false
    Casella di controllo deselezionata
    Nessuna azione. Non viene creato alcun valore di ID di nome.
    Nessun attributo AllowCreate
    Casella di controllo selezionata
    Consente di creare il valore dell'ID di nome.
    Nessun attributo AllowCreate
    Casella di controllo deselezionata
    Nessuna azione. Non viene creato alcun valore di ID di nome.
Attributi di asserzione (provider di identità SAML 2.0)
La sezione Attributi di asserzione consente di specificare gli attributi utente inclusi nell'asserzione.
Questa sezione contiene le impostazioni seguenti:
  • Attributo di asserzione
    Indica l'attributo specifico da includere nell'asserzione. Specifica l'attributo richiesto dal relying party nell'asserzione. Non è necessario che questa voce corrisponda a un attributo dello User Store.
    Valore
    : nome di attributo utilizzato a livello del relying party.
  • Metodo di recupero
    Specifica l'uso previsto dell'attributo.
    Opzioni:
    • SSO
      Indica che l'attributo viene utilizzato per Single Sign-On.
    • Servizio di attributo
      Indica che l'attributo sarà utilizzato dall'autorità di attributo per completare le richieste di una query di attributo.
    • Entrambi
      Indica che l'attributo viene utilizzato dall'autorità di attributo e da SSO.
  • Formato
    Specifica il formato per l'attributo incluso in un'asserzione SAML. Sono disponibili le seguenti opzioni:
    • Non specificato
    • Di base
    • URI
    Fare riferimento alla specifica SAML 2.0 per le definizioni di questi formati.
  • Tipo
    Specifica il tipo di attributo e l'origine dell'attributo di asserzione. 
    Opzioni:
    Statico
    L'attributo corrisponde a un valore costante specificato nel campo Valore.
    Valore
    : immettere un valore costante dell'attributo di tipo statico.
    Attributo utente
    Ottiene l'attributo mediante la query di una directory utenti per l'attributo specificato nel campo Valore.
    Valore
    : immettere un attributo valido da una directory utenti e i rispettivi valori associati.
    Solo per Attributi utenti:
    LDAP supporta attributi con più valori. Per impostazione predefinita, il Policy Server raggruppa più valori di un attributo LDAP con il simbolo (^) per creare un unico valore di un attributo di asserzione. Per indicare che un attributo LDAP con più valori risulti in un attributo di asserzione con più valori, utilizzare il prefisso
    FMATTR:
    con il nome dell'attributo.
    Nota
    : il prefisso deve essere scritto in maiuscolo. È consigliabile che il formato dell'attributo immesso (maiuscole/minuscole) corrisponda al formato dell'attributo della directory LDAP.
    Esempio:
    Per aggiungere l'attributo utente
    mail
    con più valori per l'attributo, immettere
    FMATTR:mail
    .
    Ciascun valore viene specificato come elemento <AttributeValue> distinto nell'asserzione. Verrà quindi visualizzato:
    <ns2:Attribute Name="mail">
    <ns2:AttributeValue>[email protected]</ns2:AttributeValue>
    <ns2:AttributeValue>[email protected]</ns2:AttributeValue>
    <ns2:AttributeValue>[email protected]</ns2:AttributeValue>
    </ns2:Attribute>
    Senza il prefisso FMATTR: (con nome attributo
    mail
    ), verrà visualizzato:
    <ns2:Attribute Name="mail">
    <ns2:AttributeValue>[email protected]^[email protected]^[email protected]</ns2:AttributeValue>
    </ns2:Attribute>
    Attributo di sessione
    Ottiene l'attributo mediante la query del session store per l'attributo specificato nel campo Valore.
    Valore
    : immettere il valore di un attributo di sessione.
    Attributo DN (solo LDAP)
    Ottiene l'attributo mediante l'invio di una query con l'attributo DN specificato nel campo Valore e il DN indicato nel campo Specifica DN. Generalmente questa opzione viene utilizzata per identificare un gruppo di utenti.
    Valore
    : Immettere un attributo DN.
    Espressione
    Immettere una stringa utilizzando il linguaggio UEL (Unified Expression Language) di Java per trasformare, aggiungere o eliminare un'asserzione di attributo.
    Valore
    : specificare un'espressione JUEL.
     
  • Specifica DN
    Specifica il DN quando l'attributo è di tipo DN.
    Esempio
    : ou=Marketing,o=ca.com
     
  • Crittografia
    Indica che la crittografia degli attributi di asserzione viene eseguita in fase di runtime prima dell'invio dell'asserzione al relying party.
Plug-in di generazione delle asserzioni (provider di identità SAML 2.0)
casso13it
La sezione Plug-in di generazione asserzioni consente di specificare un plug-in scritto che consenta a
CA Single Sign-on
di aggiungere attributi a un'asserzione.
  • Classe plug-in
    Specifica il nome completo della classe Java del plug-in. Questo plug-in viene richiamato in fase di runtime. Immettere un nome, ad esempio:
    com.mycompany.assertiongenerator.AssertionSample
    La classe del plug-in è in grado di analizzare e modificare l'asserzione, quindi di restituire il risultato a
    CA Single Sign-on
    per l'elaborazione finale. È consentito un solo plug-in per ciascun relying party. SDK include un plug-in di esempio. Accedere alla directory
    federation_mgr_sdk_home
    \jar per visualizzare il plug-in di esempio compilato fedpluginsample.jar.
    Nota
    per visualizzare il codice sorgente del plug-in di esempio, accedere alla directory
    federation_mgr_sdk_home
    \sample\com\ca\federation\sdk\plugin\sample.
  • Parametri plug-in
    (Facoltativo). Specifica la stringa che
    CA Single Sign-on
    trasferisce al plug-in come parametro.
    CA Single Sign-on
    trasferisce la stringa in fase di runtime. La stringa può contenere qualsiasi valore e non presenta una sintassi specifica.
    Il plug-in interpreta i parametri ricevuti. Ad esempio, il parametro può corrispondere al nome di attributo oppure la stringa può contenere un numero intero che istruisce il plug-in per eseguire un'attività.