SAML-Subjekt und Zuordnungsattribute konfigurieren

Online bearbeiten

Wenn Verify eine „ SAML “-Bestätigung an den Dienstanbieter sendet, bestätigt damit Verify , dass der Benutzer authentifiziert ist. Der authentifizierte Benutzer wird im Element <saml:Subject> angegeben. Die Angabe „ SAML “ kann auch ein <saml:AttributeStatement> -Element enthalten, je nachdem, welche Informationen Sie im Abschnitt „Attribute Mappings“ auf der Seite „Applications > Applications > Bearbeiten > Sign-on“ angeben. Das Element <saml:AttributeStatement> bestätigt, dass bestimmte Attribute dem authentifizierten Benutzer zugeordnet sind. Konfigurieren Sie diese Elemente auf der Basis der Anforderungen des Service-Providers.

Vorbereitende Schritte

Informationen zu dieser Task

Verify kann als Ident itätsanbieter für mehrere Zielanwendungen genutzt werden. Diese Anwendungen oder Service-Provider verfügen über eine eigene Gruppe von Benutzer- und Gruppenattributen. Ein Attribut ist ein Merkmal oder eine Eigenschaft einer Entität, das bzw. die die Entität beschreibt. Es ist ein name:value Paar.

Die in der „ SAML “-Anweisung enthaltenen Attribute entsprechen bestimmten Attributen des Dienstanbieters :
  • Benutzerdaten an Verify den Dienstanbieter übermitteln.
  • Erstellen eines Accounts für den Benutzer beim Service-Provider
  • Berechtigen bestimmter Services beim Service-Provider

Vorgehensweise

  1. VerifyWenn der Dienstleister eine andere Benutzer-ID als verwendet oder benötigt, konfigurieren Sie den SAML Behauptung Subjekt. Das Attribut „ SAML “ identifiziert den authentifizierten Benutzer.
    Tabelle 1. SAML Betreff
    Information Beschreibung
    NameID-Format
    Hinweis: Diese Option ist nur in einer benutzerdefinierten Anwendungsvorlage verfügbar.

    Stimmt die Erwartungen zwischen dem Identitätsprovider und dem Service-Provider in Bezug auf die ausgetauschte Benutzeridentität ab. Der Identitätsprovider gibt den Benutzernamen oder die Identität des authentifizierten Benutzers über das Attribut NameID an.

    Die folgenden Formate werden unterstützt:
    urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    Wenn als Namenskennung Not Specified ausgewählt wird, ist der Zertifikatseigner NameID eine zufällig generierte eindeutige Kennung, die denselben Wert für diese Anwendungsföderation beibehält.

    urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    Der Subject NameID-Wert des Idenitätsproviders verwendet als Format eine E-Mail-Adresse.

    Dies ist das Standardformat.

    urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

    Der Subject NameID-Wert des Identitäsproviders kann ein beliebiges Format aufweisen.

    Der Identitätsprovider definiert das Format; der Service-Provider akzeptiert das Format und stellt dem Benutzer den erforderlichen Service zur Verfügung.

    urn:oasis:names:tc:SAML:2.0:nameid-format:transient
    Der Zertifikatseigner NameID ist ein Attribut, das zufällig für die temporäre Verwendung generiert wird. Dieser Wert wird vom Service-Provider als temporärer Wert akzeptiert.

    Wenn als Namenskennung Not Specified ausgewählt ist, ist der Zertifikatseigner NameID eine zufällig generierte eindeutige Kennung, die in jedem föderierten SSO-Ablauf eindeutig ist.

    IBM VerifyHinweis: Wenn ein in diesem Format verwendetes Attribut nicht bekannt ist, verwenden Sie ein benutzerdefiniertes Attribut und definieren Sie eine Attributregel, um eine zufällige UUID zu generieren. Senden Sie andernfalls die aktuelle Zeitmarke (in Millisekunden), die als temporär behandelt werden kann. Siehe Schritt 3 „Attribut erstellen“ unter „Attribute verwalten “.
    Namens-ID

    Bezeichnet das Subjekt einer „ SAML “-Assertion, bei dem es sich in der Regel um den Benutzer handelt, der authentifiziert wird.

    Es entspricht dem <saml:Subject><saml:NameID> Element in der „ SAML “-Assertion.

    Der Standardwert lautet „preferred_username “. Die meisten Service-Provider verwenden den Benutzernamen als die Namens-ID.

    In einigen Fällen kann der Service-Provider eine andere Namens-ID als der Identitätsprovider erfordern. Legen Sie daher das <saml:Subject><saml:NameID> Element fest, indem Sie ein Attribut für die Anmeldedaten des Identitätsanbieters oder ein Attribut für einen festen Wert auswählen, das den Anforderungen des Dienstanbieters entspricht.

    Diese Attribute für Anmeldeinformationen des Identitätsanbieters und Festwerte sind unter „Verzeichnis > Attribute“ definiert.
  2. Falls der Dienstanbieter verlangt Verify , dass bestimmte Attribute in seiner „ SAML “-Assertion übermittelt werden, definieren Sie die Attributzuordnungen. Ordnen Sie die bekannten Benutzerattribute oder andere Attribute des Dienstanbieters den Verify Attributen zu.
    Je nach Anwendung kann der Abschnitt „Attributzuordnungen“ aus den folgenden Elementen bestehen, die in Tabelle 2 beschrieben sind.
    • Kontrollkästchenoption zum Senden aller bekannten Benutzerattribute
    • Vordefinierte Attributnamen und -formate sowie die Möglichkeit, die entsprechende Attributquelle in Verify. auszuwählen.
    • Option zum Hinzufügen weiterer Attributnamen, ihres Formats und der zugehörigen Attributquelle im Identitätsprovider
    Tabelle 2. Attributzuordnungen
    Information Beschreibung
    Alle bekannten Benutzerattribute in der SAML-Zusicherung senden

    Wenn diese Option ausgewählt ist, werden alle bekannten Attribute der Benutzeranmeldedaten, die vom Ident itätsanbieter bereitgestellt werden, automatisch in die „ SAML “-Assertion aufgenommen.

    Bekannte Benutzerberechtigungsattribute umfassen:
    Standardattribute
    Diese Attribute stammen aus dem Verify Cloud-Verzeichnis, das die integrierten Attribute enthält, die unter „Verzeichnis > Attribute“ angezeigt werden.
    Erweiterte Attribute
    Diese Attribute stammen vom Identitätsanbieter „ SAML Enterprise“, den Sie unter „Authentifizierung > Identitätsanbieter“ konfiguriert haben.

    Andernfalls definieren Sie in der „ SAML “-Assertion nur die spezifischen Attribute, die der Dienstanbieter benötigt.

    Hinweis: Diese Option ist standardmäßig für bereits konfigurierte und in Betrieb befindliche Anwendungen ausgewählt, um eine Unterbrechung des konfigurierten Dienstes zu vermeiden.
    Attributname

    Der Name des Attributs, das vom Service-Provider verwendet wird und der Service-Provider vom Identitätsprovider anfordert.

    Es entspricht dem <saml:Attribute Name=""> Element in der „ SAML “-Assertion.

    Einige Service-Provider verfügen über erforderliche oder optionale Attribute, die im Abschnitt Attributzuordnungen aufgelistet sind. Wählen Sie die entsprechenden Attribute aus dem Identitätsanbieter aus.

    Einige Service-Provider erfordern möglicherweise zusätzliche Attribute vom Identitätsprovider, die nicht in die vordefinierte Schablone eingeschlossen sind. Zusätzliche Attribute sind von der Geschäftsvereinbarung zwischen dem Identitätsprovider und dem Service-Provider abhängig. Rufen Sie in diesem Fall die zusätzlichen Attribute aus der Dokumentation des Service-Providers ab und ordnen Sie diese den Attributen des Identitätsproviders zu.

    urn:oasis:names:tc:SAML:2.0:assertionHinweis: Wenn ein Attribut mit dem Namen AuthnContextClassRef und dem Format konfiguriert ist, wird der Attributwert während des SSO-Ablaufs im AuthnContextClassRef Element des Tokens „ SAML “ gesetzt.
    Format des Attributnamens

    Gibt an, wie der Attributname zu interpretieren ist.

    Es entspricht dem <saml:Attribute NameFormat=""> Element in der „ SAML “-Assertion.

    Sie können Ihren eigenen Wert definieren oder eine Auswahl aus den folgenden Optionen treffen:
    urn:oasis:names:tc:SAML:2.0:attrname-format:basic
    Der Attributname verwendet einen einfachen Zeichenfolgewert. Dies ist das Standardformat, wenn kein Format angegeben wird.
    urn:oasis:names:tc:SAML:2.0:attrname-format:uri
    Der Attributname verwendet den Namensbereich urn:oid.
    urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified

    Der Attributname kann ein beliebiges Format haben. Der Identitätsprovider definiert das Format; der Service-Provider akzeptiert das Format und stellt dem Benutzer den erforderlichen Service zur Verfügung.
    Attribute

    Listet alle Attribute auf, die Sie für jeden Typ unter „Verzeichnis > Attribute“ definiert haben.

    Der Wert des von Ihnen ausgewählten Attributs wird als Attributwert für den in der „ SAML “-Assertion definierten Dienstanbieter -Attributnamen zugewiesen.

    Beispiel:
    <saml:AttributeStatement>
   <saml:Attribute 
      Name="mail" 
      NameFormat="urn:oasis:names:tc:SAML:2.0:
         attrname-format:basic"  
      <saml:AttributeValue xsi:type="xs:string">
abc@example.com
      </saml:AttributeValue>
   </saml:Attribute> 
</saml:AttributeStatement>
    Hinweis:
    • Wenn Attribut ohne Tag für den Attributquellenwert angezeigt wird, wurde der Zweck des Attributs geändert. Vorhandene Anwendungen, die das Attribut verarbeiten, können das Attribut weiterhin verwenden, bis Sie der Anwendung die Verwendung eines anderen Attributs für diesen Zweck zuordnen. Wenn beispielsweise das Kontrollkästchen Einmalige Anmeldung (SSO) für ein vorhandenes Attribut abgewählt wird, können Anwendungen, die dieses Attribut für SSO bereits verarbeiten, das Attribut weiterhin für SSO verwenden. Dasselbe Verhalten gilt für die Bereitstellungsattributszuordnungen, wenn der Zweck Bereitstellung entfernt wird.