SAML-Subjekt und Zuordnungsattribute konfigurieren

Online bearbeiten

Wenn Verify eine SAML-Zusicherung an den Service-Providersendet, bestätigt der Verify , dass der Benutzer authentifiziert ist. Der authentifizierte Benutzer wird im Element <saml:Subject> angegeben. Die SAML-Assertion kann auch ein <saml:AttributeStatement> Element enthalten, abhängig von den Angaben, die Sie im Abschnitt „Attributzuordnungen“ auf der Seite „Anwendungen > Anwendungen > Bearbeiten > Anmeldung“ machen. Das Element <saml:AttributeStatement> bestätigt, dass bestimmte Attribute dem authentifizierten Benutzer zugeordnet sind. Konfigurieren Sie diese Elemente auf der Basis der Anforderungen des Service-Providers.

Vorbereitende Schritte

Informationen zu dieser Task

Verify kann als Identitätsprovider für mehrere Zielanwendungen verwendet werden. Diese Anwendungen oder Service-Provider verfügen über eine eigene Gruppe von Benutzer- und Gruppenattributen. Ein Attribut ist ein Merkmal oder eine Eigenschaft einer Entität, das bzw. die die Entität beschreibt. Es handelt sich um ein name:value -Paar.

Die in der SAML-Zusicherung enthaltenen Attribute entsprechen bestimmten Attributen des Service-Providers :
  • Übertragen von Benutzerinformationen aus Verify an den Service-Provider.
  • Erstellen eines Accounts für den Benutzer beim Service-Provider
  • Berechtigen bestimmter Services beim Service-Provider

Vorgehensweise

  1. Wenn der Service-Provider eine Benutzer-ID verwendet oder erfordert, die sich von Verifyunterscheidet, konfigurieren Sie das Subjekt der SAML-Zusicherung . Das SAML -Subjekt gibt den authentifizierten Benutzer an.
    Tabelle 1. SAML-Subjekt
    Information Beschreibung
    NameID-Format
    Hinweis: Diese Option ist nur in einer benutzerdefinierten Anwendungsvorlage verfügbar.

    Stimmt die Erwartungen zwischen dem Identitätsprovider und dem Service-Provider in Bezug auf die ausgetauschte Benutzeridentität ab. Der Identitätsprovider gibt den Benutzernamen oder die Identität des authentifizierten Benutzers über das Attribut NameID an.

    Die folgenden Formate werden unterstützt:
    urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    Wenn als Namenskennung Not Specified ausgewählt wird, ist der Zertifikatseigner NameID eine zufällig generierte eindeutige Kennung, die denselben Wert für diese Anwendungsföderation beibehält.

    urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    Der Subject NameID-Wert des Idenitätsproviders verwendet als Format eine E-Mail-Adresse.

    Dies ist das Standardformat.

    urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

    Der Subject NameID-Wert des Identitäsproviders kann ein beliebiges Format aufweisen.

    Der Identitätsprovider definiert das Format; der Service-Provider akzeptiert das Format und stellt dem Benutzer den erforderlichen Service zur Verfügung.

    urn:oasis:names:tc:SAML:2.0:nameid-format:transient
    Der Zertifikatseigner NameID ist ein Attribut, das zufällig für die temporäre Verwendung generiert wird. Dieser Wert wird vom Service-Provider als temporärer Wert akzeptiert.

    Wenn als Namenskennung Not Specified ausgewählt ist, ist der Zertifikatseigner NameID eine zufällig generierte eindeutige Kennung, die in jedem föderierten SSO-Ablauf eindeutig ist.

    Hinweis: Wenn ein in diesem Format verwendetes Attribut IBM Verifynicht bekannt ist, verwenden Sie ein angepasstes Attribut und definieren Sie eine Attributregel, um eine zufällige UUID zu generieren. Senden Sie andernfalls die aktuelle Zeitmarke (in Millisekunden), die als temporär behandelt werden kann. Siehe Schritt 3 Attribut erstellen unter Attribute verwalten.
    Namens-ID

    Gibt das Subjekt einer SAML-Zusicherungan. Dies ist in der Regel der Benutzer, der authentifiziert wird.

    Entspricht dem Element <saml:Subject><saml:NameID> in der SAML-Zusicherung.

    Der Standardwert ist preferred_username. Die meisten Service-Provider verwenden den Benutzernamen als die Namens-ID.

    In einigen Fällen kann der Service-Provider eine andere Namens-ID als der Identitätsprovider erfordern. Legen Sie das Element <saml:Subject><saml:NameID> fest, indem Sie ein Attribut Berechtigungsnachweis des Identitätsproviders oder ein Attribut Fester Wert auswählen, das der Anforderung des Service-Providersentspricht.

    Diese Attribute für Berechtigungsnachweise des Identitätsproviders und Feste Werte werden in Verzeichnis > Attributedefiniert.
  2. Wenn der Service-Provider erfordert, dass Verify bestimmte Attribute in seiner SAML-Zusicherungsendet, definieren Sie die Attributzuordnungen. Ordnen Sie die bekannten Benutzerattribute oder andere Attribute aus dem Service-Provider den Attributen Verify zu.
    Je nach Anwendung kann der Abschnitt Attributzuordnungen aus den folgenden Elementen bestehen, die in Tabelle 2beschrieben sind.
    • Kontrollkästchenoption zum Senden aller bekannten Benutzerattribute
    • Vordefinierte Attributnamen und -format sowie die Option zur Auswahl der entsprechenden Attributquelle in Verify.
    • Option zum Hinzufügen weiterer Attributnamen, ihres Formats und der zugehörigen Attributquelle im Identitätsprovider
    Tabelle 2. Attributzuordnungen
    Information Beschreibung
    Alle bekannten Benutzerattribute in der SAML-Zusicherung senden

    Wenn diese Option ausgewählt ist, werden alle bekannten Benutzerberechtigungsnachweisattribute, die über den Identitätsprovider verfügbar sind, automatisch in die SAML-Zusicherungeingeschlossen.

    Bekannte Benutzerberechtigungsattribute umfassen:
    Standardattribute
    Diese Attribute stammen aus Verify Cloud Directory, das die integrierten Attribute enthält, die in Verzeichnis > Attributeangezeigt werden.
    Erweiterte Attribute
    Diese Attribute stammen aus dem Identitätsprovider SAML Enterprise , den Sie in Authentifizierung > Identitätsproviderkonfiguriert haben.

    Andernfalls definieren Sie nur die spezifischen Attribute, die der Service-Provider in der SAML-Zusicherungerfordert.

    Hinweis: Diese Option ist standardmäßig für Anwendungen ausgewählt, die bereits konfiguriert und im Gebrauch sind, um eine Unterbrechung des konfigurierten Service zu verhindern.
    Attributname

    Der Name des Attributs, das vom Service-Provider verwendet wird und der Service-Provider vom Identitätsprovider anfordert.

    Entspricht dem Element <saml:Attribute Name=""> in der SAML-Zusicherung.

    Einige Service-Provider verfügen über erforderliche oder optionale Attribute, die im Abschnitt Attributzuordnungen aufgelistet sind. Wählen Sie die entsprechenden Attribute aus dem Identitätsanbieter aus.

    Einige Service-Provider erfordern möglicherweise zusätzliche Attribute vom Identitätsprovider, die nicht in die vordefinierte Schablone eingeschlossen sind. Zusätzliche Attribute sind von der Geschäftsvereinbarung zwischen dem Identitätsprovider und dem Service-Provider abhängig. Rufen Sie in diesem Fall die zusätzlichen Attribute aus der Dokumentation des Service-Providers ab und ordnen Sie diese den Attributen des Identitätsproviders zu.

    Anmerkung: Wenn ein Attribut mit dem Namen AuthnContextClassRef und dem Format urn:oasis:names:tc:SAML:2.0:assertionkonfiguriert ist, wird der Attributwert im Element AuthnContextClassRef des SAML-Tokens während des SSO-Ablaufs festgelegt.
    Format des Attributnamens

    Gibt an, wie der Attributname zu interpretieren ist.

    Entspricht dem Element <saml:Attribute NameFormat=""> in der SAML-Zusicherung.

    Sie können Ihren eigenen Wert definieren oder eine Auswahl aus den folgenden Optionen treffen:
    urn:oasis:names:tc:SAML:2.0:attrname-format:basic
    Der Attributname verwendet einen einfachen Zeichenfolgewert. Dies ist das Standardformat, wenn kein Format angegeben wird.
    urn:oasis:names:tc:SAML:2.0:attrname-format:uri
    Der Attributname verwendet den Namensbereich urn:oid.
    urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified

    Der Attributname kann ein beliebiges Format haben. Der Identitätsprovider definiert das Format; der Service-Provider akzeptiert das Format und stellt dem Benutzer den erforderlichen Service zur Verfügung.
    Attribute

    Listet alle Attribute auf, die Sie für jeden Typ in Verzeichnis > Attributedefiniert haben

    Der Wert des ausgewählten Attributs wird als Attributwert für den definierten Attributnamen des Service-Providers in der SAML-Zusicherungzugewiesen.

    Beispiel:
    <saml:AttributeStatement>
   <saml:Attribute 
      Name="mail" 
      NameFormat="urn:oasis:names:tc:SAML:2.0:
         attrname-format:basic"  
      <saml:AttributeValue xsi:type="xs:string">
abc@example.com
      </saml:AttributeValue>
   </saml:Attribute> 
</saml:AttributeStatement>
    Hinweis:
    • Wenn Attribut ohne Tag für den Attributquellenwert angezeigt wird, wurde der Zweck des Attributs geändert. Vorhandene Anwendungen, die das Attribut verarbeiten, können das Attribut weiterhin verwenden, bis Sie der Anwendung die Verwendung eines anderen Attributs für diesen Zweck zuordnen. Wenn beispielsweise das Kontrollkästchen Einmalige Anmeldung (SSO) für ein vorhandenes Attribut abgewählt wird, können Anwendungen, die dieses Attribut für SSO bereits verarbeiten, das Attribut weiterhin für SSO verwenden. Dasselbe Verhalten gilt für die Bereitstellungsattributszuordnungen, wenn der Zweck Bereitstellung entfernt wird.