어설션 구성 대화 상자(WSFED)
casso127kkr
HID_assertion-config-wsfed
이름 ID(WSFED)
"이름 ID" 섹션에서는 어설션에서 사용자를 고유하게 명명하는 이름 식별자를 구성할 수 있습니다. 이름 식별자의 형식에 따라 ID에 사용되는 콘텐츠 유형이 설정됩니다. 예를 들어 형식은 값이 [email protected]인 전자 메일 주소일 수 있습니다.
이 섹션에는 다음 설정이 표시됩니다.
- 이름 ID 형식이름 식별자 형식을 지정합니다.옵션:풀다운 목록에서 옵션 중 하나를 선택하십시오.각 형식에 대한 설명은 프로토콜 사양을 참조하십시오.
- 이름 ID 유형"이름 ID"에 입력하는 값 유형을 지정합니다.옵션:
- 정적이름 ID가 "값" 필드의 상수 값임을 나타냅니다.
- 사용자 특성제품이 사용자 디렉터리에서 "값" 필드에 입력된 특성을 쿼리하여 이름 ID를 가져옴을 나타냅니다.
- 세션 특성제품이 세션 저장소에서 "값" 필드에 입력된 특성을 쿼리하여 이름 ID를 가져옴을 나타냅니다.
- DN 특성(LDAP에만 해당)특성을 가져오는 데 사용되는 쿼리CA Single Sign-on에는 "값" 필드에 DN 특성이, "DN 사양" 필드에는 DN이 있습니다. 이 옵션은 주로 사용자 그룹을 식별하는 데 사용됩니다.
값다음 값 중 하나를 지정합니다.- 정적 유형인 경우 이름 ID의 정적 텍스트 값
- 사용자 특성 유형인 경우 사용자 특성의 값
- 세션 특성 유형인 경우 세션 저장소 특성의 값
- DN 유형인 경우 DN 특성의 값
- DN 사양제품이 이름 식별자를 위한 연결된 특성을 가져오기 위해 사용하는 그룹 또는 조직 단위 DN을 지정합니다.예:ou=Engineering,o=ca.com
어설션 특성(WSFED)
"어설션 특성" 섹션에서는 어설션에 포함되는 사용자 특성을 지정할 수 있습니다.
이 섹션에는 다음 설정이 표시됩니다.
- SubjectConfirmationData에서 받는 사람 제외(Microsoft Azure 파트너 관계만 해당)이 옵션을 설정하면 어설션의 SubjectConfirmationData 태그에서 recipient 특성이 제외됩니다. 이 옵션은 Microsoft Azure와의 파트너 관계에 필요합니다.
- 어설션 특성어설션에 포함할 특정 특성을 지정합니다. 신뢰 당사자가 어설션에서 필요로 하는 특성을 지정합니다. 이 항목은 반드시 사용자 저장소 특성이 아니어도 됩니다.값:신뢰 당사자에서 사용되는 특성 이름
- 네임스페이스(SAML 1.0 토큰 유형만 해당)이름을 고유하게 식별하는 모음을 지정합니다. 이 설정은 파트너 관계 엔터티가 SAML 1.0 토큰 유형으로 구성된 경우에만 사용할 수 있습니다.값:임의의 유효한 네임스페이스
- 검색 방법(SAML 2.0 토큰 유형만 해당)특성의 용도를 지정합니다. 이 설정은 파트너 관계 엔터티가 SAML 2.0 토큰 유형으로 구성된 경우에만 사용할 수 있습니다.옵션:
- SSO특성이 싱글 사인온에 사용됨을 나타냅니다.
- 특성 서비스특성이 특성 기관에 사용됨을 나타냅니다. 서비스는 특성 쿼리의 요청을 완료합니다.
- 모두특성이 싱글 사인온에 사용되고 특성 쿼리를 충족하는 데 사용됨을 나타냅니다.
- 형식어설션에 추가되는 특성의 형식을 지정합니다. 이 설정은 파트너 관계 엔터티가 SAML 2.0 토큰 유형으로 구성된 경우에만 사용할 수 있습니다.옵션:옵션 목록에 대한 풀다운 메뉴를 선택하십시오.
- Type어설션 특성의 특성 유형 및 원본을 지정합니다.옵션:
- 정적- 특성이 "값" 필드에 입력한 상수 값임을 나타냅니다.값:정적 유형에 대해 특성의 상수 값을 입력하십시오.
- 사용자 특성사용자 디렉터리에서 "값" 필드에 지정된 특성을 쿼리하여 특성을 가져옵니다.값:사용자 디렉터리 및 관련된 값의 올바른 특성을 입력하십시오.사용자 특성에만 해당: LDAP는 여러 값이 있는 특성을 지원합니다. 기본적으로 정책 서버는 여러 LDAP 특성 값을 캐럿 기호(^)를 사용하여 결합하여 단일 어설션 특성 값을 만듭니다. 다중값 어설션 특성에서 다중값 LDAP 특성 결과를 나타내려면 특성 이름에 접두사FMATTR:를 사용하십시오.접두사는 대문자여야 합니다. 입력하는 특성의 대/소문자는 LDAP 디렉터리의 특성에 사용된 대/소문자와 일치하는 것이 좋습니다.예:여러 특성 값과 함께 사용자 특성mail을 추가하려면FMATTR:mail을 입력하십시오.어설션에서 각 값은 별도의 <AttributeValue> 요소로 지정됩니다. 예제 결과:<ns2:Attribute Name="mail"><ns2:AttributeValue>jsmith@example.com</ns2:AttributeValue><ns2:AttributeValue>john.smith@example.com</ns2:AttributeValue><ns2:AttributeValue>employee007@example.com</ns2:AttributeValue></ns2:Attribute>FMATTR: 접두사가 없는 경우(특성 이름은mail) 예제 결과는 다음과 같습니다.<ns2:Attribute Name="mail"><ns2:AttributeValue>jsmith@example.com^john.smith@example.com^employee007@example.com</ns2:AttributeValue></ns2:Attribute>
- 세션 특성세션 저장소에서 "값" 필드에 지정된 특성을 쿼리하여 특성을 가져옵니다.값:세션 특성의 값을 입력하십시오.
- DN 특성(LDAP에만 해당)"값" 필드에 지정된 DN 특성 및 "DN 사양" 필드에 지정된 DN을 포함하는 쿼리를 보내 특성을 가져옵니다. 이 옵션은 주로 사용자 그룹을 식별하는 데 사용됩니다.값:DN 특성을 입력하십시오.
- 식JUEL(Java Unified Expression Language)을 사용하여 특성 어설션을 변환, 추가 또는 삭제할 문자열을 입력하십시오.값:JUEL 식을 지정하십시오.
- 특성이 DN 유형인 경우 DN을 지정합니다.DN 사양예: ou=Marketing,o=ca.com
- 암호화(SAML 토큰 유형 2.0에만 해당)런타임에 신뢰 당사자로 어설션을 보내기 전에 어설션 특성이 암호화됨을 나타냅니다.
어설션 생성기 플러그 인(WSFED)
casso127kkr
"어설션 생성기 플러그 인" 섹션에서는
CA Single Sign-on
이 어설션에 특성을 추가하는 데 사용할 수 있도록 작성된 플러그 인을 지정할 수 있습니다.- 플러그 인 클래스플러그 인의 정규화된 Java 클래스 이름을 지정합니다. 이 플러그 인은 런타임에 호출됩니다. 이름(예:com.mycompany.assertiongenerator.AssertionSample)을 입력합니다.플러그 인 클래스는 어설션을 구문 분석 및 수정한 다음 최종 처리를 위해 결과를CA Single Sign-on으로 반환할 수 있습니다. 각 신뢰 당사자에 대해 플러그 인이 하나만 허용됩니다. SDK에 샘플 플러그 인이 포함되어 있습니다.federation_sdk_home\jar 디렉터리에서 컴파일된 샘플 플러그 인 fedpluginsample.jar를 볼 수 있습니다.참고:federation_sdk_home\sample\com\ca\federation\sdk\plugin\sample 디렉터리에서 샘플 플러그 인의 소스 코드를 볼 수도 있습니다.
- 플러그 인 매개 변수(선택 사항)CA Single Sign-on이 플러그 인에 매개 변수로 전달하는 문자열을 지정합니다.CA Single Sign-on은 이 문자열을 런타임에 전달합니다. 이 문자열에는 어떤 값이든 포함될 수 있으며 따라야 하는 특정 구문이 없습니다.플러그 인은 수신하는 매개 변수를 해석합니다. 예를 들어 매개 변수가 특성 이름일 수도 있고 플러그 인에 태스크를 수행하도록 지시하는 정수가 문자열에 포함될 수도 있습니다.