Finestra di dialogo Configurazione asserzione (WSFED)

casso13it
HID_assertion-config-wsfed
ID Nome (WSFED)
La sezione ID Nome consente di configurare l'ID di nome denominando l'utente in modo univoco nell'asserzione. Il formato dell'ID di nome stabilisce il tipo di contenuto utilizzato per l'ID. Ad esempio se si tratta di un indirizzo e-mail, il valore sarà: [email protected].
Questa sezione contiene le impostazioni seguenti:
  • Formato ID nome
    Specifica il formato dell'ID di nome. 
    Opzioni
    : selezionare una delle opzioni seguenti dall'elenco a discesa.
    Per una descrizione di ciascun formato, consultare la specifica di protocollo.
  • Tipo ID nome
    Specifica il tipo di valore immesso per l'ID di nome.
    Opzioni:
    • Statico
      Indica che l'ID di nome è una costante del campo Valore.
    • Attributo utente
      Indica che il prodotto acquisisce l'ID nome mediante la query della directory utente per l'attributo immesso nel campo Valore.
    • Attributo di sessione
      Indica che il prodotto acquisisce l'ID nome mediante la query del session store per l'attributo immesso nel campo Valore.
    • Attributo DN (solo LDAP)
      La query che
      CA Single Sign-on
      utilizza per ottenere l'attributo contenente l'attributo DN nel campo Valore e il DN nel campo Specifica DN. Generalmente questa opzione viene utilizzata per identificare un gruppo di utenti.
    Valore
    Specifica uno dei valori seguenti:
    • Valore di testo statico dell'ID di nome per il tipo Statico.
    • Valore di un attributo utente per il tipo Attributo utente.
    • Valore di un attributo session store per il tipo Attributo di sessione
    • Valore di un attributo DN per il tipo DN.
  • Specifica DN
    Specifica il DN di un gruppo o di un'unità organizzativa utilizzato per ottenere l'attributo associato all'identificatore del nome.
    Esempio
    : ou=Engineering,o=ca.com
Attributi di asserzione (WSFED)
La sezione Attributi di asserzione consente di specificare gli attributi utente inclusi nell'asserzione.
Questa sezione contiene le impostazioni seguenti:
  • Escludi destinatario in SubjectConfirmationData (solo partnership Microsoft Azure)
    Se impostato, esclude il tag SubjectConfirmationData nell'asserzione di attributo del destinatario. Questa opzione è obbligatoria per le partnership con Microsoft Azure.
  • Attributo di asserzione
    Indica l'attributo specifico da includere nell'asserzione. Specifica l'attributo richiesto dal relying party nell'asserzione. Non è necessario che questa voce corrisponda a un attributo dello User Store.
    Valore
    : nome di attributo utilizzato a livello del relying party.
  • Spazio dei nomi (solo tipo di token SAML 1.0)
    Indica una raccolta per l'identificazione univoca dei nomi. Questa impostazione è disponibile solo quando le entità di partnership sono configurate con il tipo di token SAML 1.0.
    Valore
    : qualsiasi spazio dei nomi valido.
  • Metodo di recupero (solo tipo di token SAML 2.0)
    Specifica l'uso previsto dell'attributo. Questa impostazione è disponibile solo quando le entità di partnership sono configurate con il tipo di token SAML 2.0.
    Opzioni:
    • SSO
      Indica che l'attributo viene utilizzato per Single Sign-On.
    • Servizio di attributo
      Indica l'attributo utilizzato dall'autorità di attributo. Il servizio completa le richieste da una query di attributo.
    • Entrambi
      Indica che l'attributo viene utilizzato per l'autenticazione Single Sign-On e per rispondere alle query di attributo.
  • Formato
    Indica il formato dell'attributo aggiunto all'asserzione. Questa impostazione è disponibile solo quando le entità di partnership sono configurate con il tipo di token SAML 2.0.
    Opzioni
    : selezionare il menu a discesa per visualizzare l'elenco di opzioni.
  • Tipo
    Specifica il tipo di attributo e l'origine dell'attributo di asserzione. 
    Opzioni:
    • Statico
      - Indica che l'attributo corrisponde a un valore costante specificato nel campo Valore.
      Valore
      : immettere un valore costante dell'attributo di tipo statico.
    • Attributo utente
      Ottiene l'attributo mediante la query di una directory utenti per l'attributo specificato nel campo Valore.
      Valore
      : immettere un attributo valido da una directory utenti e i rispettivi valori associati.
      Solo per Attributi utenti: LDAP supporta attributi con più valori. Per impostazione predefinita, il Policy Server raggruppa più valori di un attributo LDAP con il simbolo (^) per creare un unico valore di un attributo di asserzione. Per indicare che un attributo LDAP con più valori risulti in un attributo di asserzione con più valori, utilizzare il prefisso
      FMATTR:
      con il nome dell'attributo.
      Il prefisso deve essere scritto in maiuscolo. È consigliabile che il formato dell'attributo immesso (maiuscole/minuscole) corrisponda al formato dell'attributo della directory LDAP.
      Esempio: per aggiungere l'attributo utente
      mail
      con più valori per l'attributo, immettere
      FMATTR:mail
      .
      Ciascun valore viene specificato come elemento <AttributeValue> distinto nell'asserzione. Verrà quindi visualizzato:
      <ns2:Attribute Name="mail">
      <ns2:AttributeValue>jsmith@example.com</ns2:AttributeValue>
      <ns2:AttributeValue>john.smith@example.com</ns2:AttributeValue>
      <ns2:AttributeValue>employee007@example.com</ns2:AttributeValue>
      </ns2:Attribute>
      Senza il prefisso FMATTR: (con nome attributo
      mail
      ), verrà visualizzato:
      <ns2:Attribute Name="mail">
      <ns2:AttributeValue>jsmith@example.com^john.smith@example.com^employee007@example.com</ns2:AttributeValue>
      </ns2:Attribute>
    • Attributo di sessione
      Ottiene l'attributo mediante la query del session store per l'attributo specificato nel campo Valore.
      Valore
      : immettere il valore di un attributo di sessione.
    • Attributo DN (solo LDAP)
      Ottiene l'attributo mediante l'invio di una query con l'attributo DN specificato nel campo Valore e il DN indicato nel campo Specifica DN. Generalmente questa opzione viene utilizzata per identificare un gruppo di utenti.
      Valore
      : Immettere un attributo DN.
    • Espressione
      Immettere una stringa utilizzando il linguaggio UEL (Unified Expression Language) di Java per trasformare, aggiungere o eliminare un'asserzione di attributo.
      Valore
      : specificare un'espressione JUEL.
  • Specifica DN
    Specifica il DN quando l'attributo è di tipo DN.
    Esempio: ou=Marketing,o=ca.com
  • Crittografia (solo tipo di token SAML 2.0)
    Indica che la crittografia degli attributi di asserzione viene eseguita in fase di runtime prima dell'invio dell'asserzione al relying party.
Plug-in di generazione asserzioni (WSFED)
casso13it
La sezione Plug-in di generazione asserzioni consente di specificare un plug-in scritto che consenta a
CA Single Sign-on
di aggiungere attributi a un'asserzione.
  • Classe plug-in
    Specifica il nome completo della classe Java del plug-in. Questo plug-in viene richiamato in fase di runtime. Immettere un nome, ad esempio:
    com.mycompany.assertiongenerator.AssertionSample
    La classe del plug-in è in grado di analizzare e modificare l'asserzione, quindi di restituire il risultato a
    CA Single Sign-on
    per l'elaborazione finale. È consentito un solo plug-in per ciascun relying party. SDK include un plug-in di esempio. Accedere alla directory
    federation_mgr_sdk_home
    \jar per visualizzare il plug-in di esempio compilato fedpluginsample.jar.
    Nota
    per visualizzare il codice sorgente del plug-in di esempio, accedere alla directory
    federation_mgr_sdk_home
    \sample\com\ca\federation\sdk\plugin\sample.
  • Parametri plug-in
    (Facoltativo). Specifica la stringa che
    CA Single Sign-on
    trasferisce al plug-in come parametro.
    CA Single Sign-on
    trasferisce la stringa in fase di runtime. La stringa può contenere qualsiasi valore e non presenta una sintassi specifica.
    Il plug-in interpreta i parametri ricevuti. Ad esempio, il parametro può corrispondere al nome di attributo oppure la stringa può contenere un numero intero che istruisce il plug-in per eseguire un'attività.