Schema di autenticazione SAML 2.0 - Impostazioni generali
Le impostazioni generali per lo schema di autenticazione SAML 2.0 determinano le modalità di comunicazione del service provider con il provider di identità per il recupero dell'asserzione.
casso1283
HID_sp-authscheme-general
Le impostazioni generali per lo schema di autenticazione SAML 2.0 determinano le modalità di comunicazione del service provider con il provider di identità per il recupero dell'asserzione.
Nella pagina sono disponibili i campi seguenti:
- ID Service ProviderSpecifica un URI che identifica il service provider in modo univoco.Immettere un valore uguale al valore dell'ID specificato per l'oggetto di service provider corrispondente, configurato sul lato del provider di identità.
- Versione SAMLSpecifica la versione SAML (disabilitata). Il valore predefinito pari a 2.0 indica che le asserzioni inviate all'ID del provider di identità devono essere compatibili con la versione SAML 2.0.
- ID IdPSpecifica un URI per identificare in modo univoco il provider di identità che emette le asserzioni per il service provider.Il service provider accetta le asserzioni solo da questo provider di identità.Il valore immesso per l'autorità di certificazione deve corrispondere al valore di ID IdP configurato sul sito del provider di identità.
- Tolleranza (in secondi)Determina il numero di secondi da sottrarre all'ora corrente. Il calcolo tiene conto dei service provider la cui ora non è sincronizzata con quella del Policy Server che funge da provider di identità.
Rimozione ambiguità utente
La sezione Rimozione ambiguità utente consente di configurare le modalità per ottenere le informazioni utente da un'asserzione SAML 2.0. Il consumatore utilizza queste informazioni per eseguire l'autenticazione utente.
- Query XPathSpecifica una query XPath. La query XPath indica allo schema di autenticazione la posizione di una voce specifica all'interno dell'asserzione, che servirà come l'ID di accesso utente. Il valore ottenuto dalla query viene incluso nella specifica di ricerca per la ricerca di una voce dello User Store.Se non si specifica una query, la query XPath predefinita è:/Assertion/Subject/NameID/text()Le query XPath non devono contenere prefissi di spazio dei nomi. L'esempio seguente riporta una query XPath non valida:/saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()La query XPath valida è://Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()EsempioPer ottenere l'attributo "FirstName" dall'asserzione, la query XPath è:/Assertion/AttributeStatement/Attribute[@Name=”FirstName”]/AttributeValue/text()
- casso1283ActiveIndicates whether the legacy federation configuration is in use for a particular partnership. If the Policy Server is using the legacy federation configuration, confirm this check box is selected. If you have recreated a federated partnership with similar values for identity settings, such as source ID, clear this check box before activating the federated partnership.CA Single Sign-oncannot work with a legacy and partnership configuration that use the same identity values or a name collision occurs.
- Ricerca utenteVisualizza i tipi di spazio dei nomi in cui è possibile immettere una specifica di ricerca per individuare un record utente in una directory utenti.Immettere una specifica di ricerca per il tipo di User Store utilizzato. La specifica di ricerca combina un attributo di User Store e il valore identificato con la query XPath. Lo schema di autenticazione utilizza la specifica di ricerca per individuare un record utente nello User Store.Utilizzare %s per rappresentare il valore dell'ID di accesso.Ad esempio, l'ID di accesso è user1. Se si specifica Username=%s nel campo della specifica di ricerca, la stringa risultante è Username=user1. Questa stringa viene confrontata con un record nella directory utenti in modo da trovare il record corretto per l'autenticazione.È possibile specificare anche filtri con più variabili di %s. Ad esempio:|(uid=%s)(email=%[email protected])|(abcAliasName=%s)(cn=%s)I risultati sarebbero:|(uid=user1)([email protected])|(abcAliasName=user1)(cn=user1)
- Affiliazione SAML(Facoltativo) Specifica un'affiliazione SAML per il provider di identità da unire. Selezionare da qualsiasi oggetto di affiliazione SAML configurato. Se si seleziona un'affiliazione, gli altri controlli vengono disattivati e si utilizzano invece le impostazioni dell'affiliazione.