Finestra di dialogo Configurazione asserzione (provider di identità SAML 2.0)
Sommario
casso126figsbrit
HID_assertion-config-saml2-idp
Sommario
Configurazione dell'ID di nome (SAML 2.0)
casso126figsbrit
La sezione ID Nome consente di configurare l'ID di nome denominando l'utente in modo univoco nell'asserzione. Il formato dell'ID di nome stabilisce il tipo di contenuto utilizzato per l'ID. Ad esempio, se il formato è un indirizzo e-mail, il contenuto può essere [email protected].
Questa sezione contiene le impostazioni seguenti:
- Formato ID nomeSpecifica il formato dell'ID di nome.Opzioni: selezionare il menu a discesa per visualizzare l'elenco delle opzioni.Per una descrizione di ciascun formato, consultare le specifiche di OASIS SAML (Security Assertion Markup Language).
- Tipo ID nomeSpecifica il tipo di valore immesso per l'ID di nome.
- Opzioni:
- StaticoIndica che l'ID di nome è una costante del campo Valore.
- Attributo utenteIndica che il prodotto acquisisce l'ID di nome mediante la query della directory utente per l'attributo immesso nel campo Valore.
- Attributo di sessioneIndica che il prodotto acquisisce l'ID di nome mediante la query del session store per l'attributo immesso nel campo Valore.
- Attributo DN (solo LDAP)La query che consente di ottenere l'attributo contiene l'attributo DN nel campo Valore e il DN nel campo Specifica DN. Generalmente questa opzione viene utilizzata per identificare un gruppo di utenti.
- ValoreSpecifica uno dei valori seguenti:
- Valore di testo statico di ID nome per il tipo di ID Statico.
- Valore di un attributo utente per il tipo di ID Attributo utente.
- Valore di un attributo session store per il tipo Attributo di sessione
- Valore di un attributo DN per il tipo DN.
- Specifica DNSpecifica il DN di un gruppo o di un'unità organizzativa utilizzato per ottenere l'attributo associato all'ID del nome.Esempio: ou=Engineering,o=ca.com
- Consenti creazione dell'ID utente (solo SAML 2.0)Indica se il provider di identità può creare un valore per l'ID di nome e includerlo in un'asserzione. Quando il service provider invia un messaggio AuthnRequest al provider di identità, può includere un attributo AllowCreate nella richiesta. Questo attributo, unito a questa casella di controllo, consente al provider di identità di generare un valore ID di nome se non è possibile trovarne uno nel record utente esistente. Questo valore deve essere un identificatore permanente.Nella tabella seguente è descritta l'interazione tra l'attributo AllowCreate e questa casella di controllo.Valore dell'attributo AllowCreate nel messaggio AuthnRequest (service provider)Impostazione Consenti creazione dell'ID utente (provider di identità)Azione provider di identitàAllowCreate=trueCasella di controllo selezionataConsente di creare il valore dell'ID di nome.AllowCreate=trueCasella di controllo deselezionataNessuna azione. Il provider di identità non può creare il valore per l'ID di nome.AllowCreate=falseCasella di controllo selezionataNessuna azione. Non viene creato alcun valore di ID di nome. L'attributo in AuthnRequest sovrascrive l'impostazione del provider di identità.AllowCreate=falseCasella di controllo deselezionataNessuna azione. Non viene creato alcun valore di ID di nome.Nessun attributo AllowCreateCasella di controllo selezionataConsente di creare il valore dell'ID di nome.Nessun attributo AllowCreateCasella di controllo deselezionataNessuna azione. Non viene creato alcun valore di ID di nome.
Attributi di asserzione (provider di identità SAML 2.0)
La sezione Attributi di asserzione consente di specificare gli attributi utente inclusi nell'asserzione.
Questa sezione contiene le impostazioni seguenti:
- Attributo di asserzioneIndica l'attributo specifico da includere nell'asserzione. Specifica l'attributo richiesto dal relying party nell'asserzione. Non è necessario che questa voce corrisponda a un attributo dello User Store.Valore: nome di attributo utilizzato a livello del relying party.
- Metodo di recuperoSpecifica l'uso previsto dell'attributo.Opzioni:
- SSOIndica che l'attributo viene utilizzato per Single Sign-On.
- Servizio di attributoIndica che l'attributo sarà utilizzato dall'autorità di attributo per completare le richieste di una query di attributo.
- EntrambiIndica che l'attributo viene utilizzato dall'autorità di attributo e da SSO.
- FormatoSpecifica il formato per l'attributo incluso in un'asserzione SAML. Sono disponibili le seguenti opzioni:
- Non specificato
- Di base
- URI
- TipoSpecifica il tipo di attributo e l'origine dell'attributo di asserzione.Opzioni:StaticoL'attributo corrisponde a un valore costante specificato nel campo Valore.Valore: immettere un valore costante dell'attributo di tipo statico.Attributo utenteOttiene l'attributo mediante la query di una directory utenti per l'attributo specificato nel campo Valore.Valore: immettere un attributo valido da una directory utenti e i rispettivi valori associati.Solo per Attributi utenti:LDAP supporta attributi con più valori. Per impostazione predefinita, il Policy Server raggruppa più valori di un attributo LDAP con il simbolo (^) per creare un unico valore di un attributo di asserzione. Per indicare che un attributo LDAP con più valori risulti in un attributo di asserzione con più valori, utilizzare il prefissoFMATTR:con il nome dell'attributo.Nota: il prefisso deve essere scritto in maiuscolo. È consigliabile che il formato dell'attributo immesso (maiuscole/minuscole) corrisponda al formato dell'attributo della directory LDAP.Esempio:Per aggiungere l'attributo utentemailcon più valori per l'attributo, immettereFMATTR:mail.Ciascun valore viene specificato come elemento <AttributeValue> distinto nell'asserzione. Verrà quindi visualizzato:<ns2:Attribute Name="mail"><ns2:AttributeValue>[email protected]</ns2:AttributeValue><ns2:AttributeValue>[email protected]</ns2:AttributeValue><ns2:AttributeValue>[email protected]</ns2:AttributeValue></ns2:Attribute>Senza il prefisso FMATTR: (con nome attributomail), verrà visualizzato:<ns2:Attribute Name="mail"></ns2:Attribute>Attributo di sessioneOttiene l'attributo mediante la query del session store per l'attributo specificato nel campo Valore.Valore: immettere il valore di un attributo di sessione.Attributo DN (solo LDAP)Ottiene l'attributo mediante l'invio di una query con l'attributo DN specificato nel campo Valore e il DN indicato nel campo Specifica DN. Generalmente questa opzione viene utilizzata per identificare un gruppo di utenti.Valore: Immettere un attributo DN.EspressioneImmettere una stringa utilizzando il linguaggio UEL (Unified Expression Language) di Java per trasformare, aggiungere o eliminare un'asserzione di attributo.Valore: specificare un'espressione JUEL.
- Specifica DNSpecifica il DN quando l'attributo è di tipo DN.Esempio: ou=Marketing,o=ca.com
- CrittografiaIndica che la crittografia degli attributi di asserzione viene eseguita in fase di runtime prima dell'invio dell'asserzione al relying party.
Plug-in di generazione delle asserzioni (provider di identità SAML 2.0)
casso126figsbrit
La sezione Plug-in di generazione asserzioni consente di specificare un plug-in scritto che consenta a
CA Single Sign-on
di aggiungere attributi a un'asserzione.- Classe plug-inSpecifica il nome completo della classe Java del plug-in. Questo plug-in viene richiamato in fase di runtime. Immettere un nome, ad esempio:com.mycompany.assertiongenerator.AssertionSampleLa classe del plug-in è in grado di analizzare e modificare l'asserzione, quindi di restituire il risultato aCA Single Sign-onper l'elaborazione finale. È consentito un solo plug-in per ciascun relying party. SDK include un plug-in di esempio. Accedere alla directoryfederation_mgr_sdk_home\jar per visualizzare il plug-in di esempio compilato fedpluginsample.jar.Notaper visualizzare il codice sorgente del plug-in di esempio, accedere alla directoryfederation_mgr_sdk_home\sample\com\ca\federation\sdk\plugin\sample.
- Parametri plug-in(Facoltativo). Specifica la stringa cheCA Single Sign-ontrasferisce al plug-in come parametro.CA Single Sign-ontrasferisce la stringa in fase di runtime. La stringa può contenere qualsiasi valore e non presenta una sintassi specifica.Il plug-in interpreta i parametri ricevuti. Ad esempio, il parametro può corrispondere al nome di attributo oppure la stringa può contenere un numero intero che istruisce il plug-in per eseguire un'attività.