Finestra di dialogo Configurazione asserzione (WSFED)
casso126figsbrit
HID_assertion-config-wsfed
ID Nome (WSFED)
La sezione ID Nome consente di configurare l'ID di nome denominando l'utente in modo univoco nell'asserzione. Il formato dell'ID di nome stabilisce il tipo di contenuto utilizzato per l'ID. Ad esempio se si tratta di un indirizzo e-mail, il valore sarà: [email protected].
Questa sezione contiene le impostazioni seguenti:
- Formato ID nomeSpecifica il formato dell'ID di nome.Opzioni: selezionare una delle opzioni seguenti dall'elenco a discesa.Per una descrizione di ciascun formato, consultare la specifica di protocollo.
- Tipo ID nomeSpecifica il tipo di valore immesso per l'ID di nome.Opzioni:
- StaticoIndica che l'ID di nome è una costante del campo Valore.
- Attributo utenteIndica che il prodotto acquisisce l'ID nome mediante la query della directory utente per l'attributo immesso nel campo Valore.
- Attributo di sessioneIndica che il prodotto acquisisce l'ID nome mediante la query del session store per l'attributo immesso nel campo Valore.
- Attributo DN (solo LDAP)La query cheCA Single Sign-onutilizza per ottenere l'attributo contenente l'attributo DN nel campo Valore e il DN nel campo Specifica DN. Generalmente questa opzione viene utilizzata per identificare un gruppo di utenti.
ValoreSpecifica uno dei valori seguenti:- Valore di testo statico dell'ID di nome per il tipo Statico.
- Valore di un attributo utente per il tipo Attributo utente.
- Valore di un attributo session store per il tipo Attributo di sessione
- Valore di un attributo DN per il tipo DN.
- Specifica DNSpecifica il DN di un gruppo o di un'unità organizzativa utilizzato per ottenere l'attributo associato all'identificatore del nome.Esempio: ou=Engineering,o=ca.com
Attributi di asserzione (WSFED)
La sezione Attributi di asserzione consente di specificare gli attributi utente inclusi nell'asserzione.
Questa sezione contiene le impostazioni seguenti:
- Escludi destinatario in SubjectConfirmationData (solo partnership Microsoft Azure)Se impostato, esclude il tag SubjectConfirmationData nell'asserzione di attributo del destinatario. Questa opzione è obbligatoria per le partnership con Microsoft Azure.
- Attributo di asserzioneIndica l'attributo specifico da includere nell'asserzione. Specifica l'attributo richiesto dal relying party nell'asserzione. Non è necessario che questa voce corrisponda a un attributo dello User Store.Valore: nome di attributo utilizzato a livello del relying party.
- Spazio dei nomi (solo tipo di token SAML 1.0)Indica una raccolta per l'identificazione univoca dei nomi. Questa impostazione è disponibile solo quando le entità di partnership sono configurate con il tipo di token SAML 1.0.Valore: qualsiasi spazio dei nomi valido.
- Metodo di recupero (solo tipo di token SAML 2.0)Specifica l'uso previsto dell'attributo. Questa impostazione è disponibile solo quando le entità di partnership sono configurate con il tipo di token SAML 2.0.Opzioni:
- SSOIndica che l'attributo viene utilizzato per Single Sign-On.
- Servizio di attributoIndica l'attributo utilizzato dall'autorità di attributo. Il servizio completa le richieste da una query di attributo.
- EntrambiIndica che l'attributo viene utilizzato per l'autenticazione Single Sign-On e per rispondere alle query di attributo.
- FormatoIndica il formato dell'attributo aggiunto all'asserzione. Questa impostazione è disponibile solo quando le entità di partnership sono configurate con il tipo di token SAML 2.0.Opzioni: selezionare il menu a discesa per visualizzare l'elenco di opzioni.
- TipoSpecifica il tipo di attributo e l'origine dell'attributo di asserzione.Opzioni:
- Statico- Indica che l'attributo corrisponde a un valore costante specificato nel campo Valore.Valore: immettere un valore costante dell'attributo di tipo statico.
- Attributo utenteOttiene l'attributo mediante la query di una directory utenti per l'attributo specificato nel campo Valore.Valore: immettere un attributo valido da una directory utenti e i rispettivi valori associati.Solo per Attributi utenti: LDAP supporta attributi con più valori. Per impostazione predefinita, il Policy Server raggruppa più valori di un attributo LDAP con il simbolo (^) per creare un unico valore di un attributo di asserzione. Per indicare che un attributo LDAP con più valori risulti in un attributo di asserzione con più valori, utilizzare il prefissoFMATTR:con il nome dell'attributo.Il prefisso deve essere scritto in maiuscolo. È consigliabile che il formato dell'attributo immesso (maiuscole/minuscole) corrisponda al formato dell'attributo della directory LDAP.Esempio: per aggiungere l'attributo utentemailcon più valori per l'attributo, immettereFMATTR:mail.Ciascun valore viene specificato come elemento <AttributeValue> distinto nell'asserzione. Verrà quindi visualizzato:<ns2:Attribute Name="mail"><ns2:AttributeValue>jsmith@example.com</ns2:AttributeValue><ns2:AttributeValue>john.smith@example.com</ns2:AttributeValue><ns2:AttributeValue>employee007@example.com</ns2:AttributeValue></ns2:Attribute>Senza il prefisso FMATTR: (con nome attributomail), verrà visualizzato:<ns2:Attribute Name="mail"><ns2:AttributeValue>jsmith@example.com^john.smith@example.com^employee007@example.com</ns2:AttributeValue></ns2:Attribute>
- Attributo di sessioneOttiene l'attributo mediante la query del session store per l'attributo specificato nel campo Valore.Valore: immettere il valore di un attributo di sessione.
- Attributo DN (solo LDAP)Ottiene l'attributo mediante l'invio di una query con l'attributo DN specificato nel campo Valore e il DN indicato nel campo Specifica DN. Generalmente questa opzione viene utilizzata per identificare un gruppo di utenti.Valore: Immettere un attributo DN.
- EspressioneImmettere una stringa utilizzando il linguaggio UEL (Unified Expression Language) di Java per trasformare, aggiungere o eliminare un'asserzione di attributo.Valore: specificare un'espressione JUEL.
- Specifica il DN quando l'attributo è di tipo DN.Specifica DNEsempio: ou=Marketing,o=ca.com
- Crittografia (solo tipo di token SAML 2.0)Indica che la crittografia degli attributi di asserzione viene eseguita in fase di runtime prima dell'invio dell'asserzione al relying party.
Plug-in di generazione asserzioni (WSFED)
casso126figsbrit
La sezione Plug-in di generazione asserzioni consente di specificare un plug-in scritto che consenta a
CA Single Sign-on
di aggiungere attributi a un'asserzione.- Classe plug-inSpecifica il nome completo della classe Java del plug-in. Questo plug-in viene richiamato in fase di runtime. Immettere un nome, ad esempio:com.mycompany.assertiongenerator.AssertionSampleLa classe del plug-in è in grado di analizzare e modificare l'asserzione, quindi di restituire il risultato aCA Single Sign-onper l'elaborazione finale. È consentito un solo plug-in per ciascun relying party. SDK include un plug-in di esempio. Accedere alla directoryfederation_mgr_sdk_home\jar per visualizzare il plug-in di esempio compilato fedpluginsample.jar.Notaper visualizzare il codice sorgente del plug-in di esempio, accedere alla directoryfederation_mgr_sdk_home\sample\com\ca\federation\sdk\plugin\sample.
- Parametri plug-in(Facoltativo). Specifica la stringa cheCA Single Sign-ontrasferisce al plug-in come parametro.CA Single Sign-ontrasferisce la stringa in fase di runtime. La stringa può contenere qualsiasi valore e non presenta una sintassi specifica.Il plug-in interpreta i parametri ricevuti. Ad esempio, il parametro può corrispondere al nome di attributo oppure la stringa può contenere un numero intero che istruisce il plug-in per eseguire un'attività.