Configuración del asunto de SAML y los atributos de correlación

Editar en línea

Cuando Verify envía una afirmación de « SAML » al proveedor de servicios, afirma Verify que el usuario está autenticado. El usuario autenticado se identifica en el elemento <saml:Subject>. La declaración « SAML » también puede contener un <saml:AttributeStatement> elemento, dependiendo de la información que especifique en la sección «Asignaciones de atributos» de la página «Aplicaciones > Aplicaciones > Editar > Inicio de sesión ». <saml:AttributeStatement> certifica que determinados atributos están asociados con el usuario autenticado. Configure estos elementos basándose en los requisitos del proveedor de servicios.

Antes de empezar

Acerca de esta tarea

Verify puede utilizarse como proveedor de identidad para varias aplicaciones de destino. Estas aplicaciones o proveedores de servicios tienen su propio conjunto de atributos de usuario y grupo. Un atributo es una característica o rasgo de una entidad que describe la entidad. Es un par name:value.

Los atributos incluidos en la declaración « SAML » se corresponden con determinados atributos del proveedor del servicio:
  • Transmitir la información del Verify usuario al proveedor del servicio.
  • Crear una cuenta para el usuario en el proveedor de servicios.
  • Autorizar servicios específicos en el proveedor de servicios.

Procedimiento

  1. Si el proveedor de servicios utiliza o exige un identificador de usuario distinto de Verify, configura el sujeto de la aserción « SAML ». El campo « SAML » identifica al usuario autenticado.
    Tabla 1. SAML Asunto
    Información Descripciones
    Formato NameID
    Nota: Esta opción solo está disponible en una plantilla de aplicación personalizada.

    Alinea las expectativas entre el proveedor de identidades y el proveedor de servicios en la identidad del usuario que se comunica. El proveedor de identidad especifica el nombre de usuario o la identidad del usuario autenticado a través del atributo NameID.

    Se da soporte a los siguientes formatos:
    urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    Cuando el identificador de nombre se selecciona como Not Specified, el asunto NameID es un identificador exclusivo generado aleatoriamente que conserva el mismo valor para esa federación de aplicaciones.

    urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    El valor Subject NameID del proveedor de identidad utiliza el formato de dirección de correo electrónico.

    Es el formato predeterminado.

    urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

    El valor Subject NameID del proveedor de identidad puede ser cualquier formato.

    El proveedor de identidades define el formato y el proveedor de servicios acepta el formato y proporciona el servicio necesario para el usuario.

    urn:oasis:names:tc:SAML:2.0:nameid-format:transient
    El asunto NameID es un atributo que se genera aleatoriamente para su uso temporal. El proveedor de servicios acepta este valor como temporal.

    Si el identificador de nombre se selecciona como Not Specified, el asunto NameID es un identificador exclusivo generado aleatoriamente que es exclusivo en cada flujo de SSO federado.

    IBM VerifyNota: Si no se reconoce un atributo utilizado en este formato, utiliza un atributo personalizado y define una regla de atributo para generar un UUID aleatorio. De lo contrario, envíe la indicación de fecha y hora actual en milisegundos que se puede tratar como temporal. Consulte el paso 3, «Crear un atributo», en la sección «Gestión de atributos ».
    Identificador de nombre

    Identifica el sujeto de una afirmación de « SAML », que suele ser el usuario que se está autenticando.

    <saml:Subject><saml:NameID> Corresponde al elemento de la afirmación « SAML ».

    El valor predeterminado es «preferred_username ». La mayoría de proveedores de servicios utilizan el nombre del usuario como el identificador de nombres.

    En algunos casos, el proveedor de servicios puede requerir un identificador de nombres distinto del proveedor de identidades. Por lo tanto, configure el <saml:Subject><saml:NameID> elemento seleccionando un atributo de credencial de proveedor de identidad o un atributo de valor fijo que se ajuste a los requisitos del proveedor de servicios.

    Estos atributos de credenciales del proveedor de identidad y de valor fijo se definen en Directorio > Atributos.
  2. Si el proveedor de servicios requiere Verify que se envíen atributos específicos en su aserción « SAML », define las asignaciones de atributos. Asigna los atributos de usuario conocidos u otros atributos del proveedor de servicios a los Verify atributos.
    Dependiendo de la aplicación, la sección «Asignaciones de atributos» puede incluir los siguientes elementos, que se describen en la Tabla 2.
    • Una opción de recuadro de selección para enviar todos los atributos de usuario conocidos.
    • Nombres y formatos de atributos predefinidos, así como la opción de seleccionar la fuente de atributos correspondiente en Verify.
    • Opción para añadir otros nombres de atributos, su formato y su correspondiente origen de atributos en el proveedor de identidades.
    Tabla 2. Asignaciones de atributos
    Información Descripciones
    Enviar todos los atributos de usuario conocidos en la aserción SAML

    Cuando se selecciona esta opción, todos los atributos de credenciales de usuario conocidos que están disponibles en el proveedor de identidad se incluyen automáticamente en la aserción « SAML ».

    Los atributos de credenciales de usuario conocidos constan de:
    Atributos estándar
    Estos atributos proceden del Directorio Verify en la nube, que incluye los atributos integrados que se muestran en Directorio > Atributos.
    Atributos ampliados
    Estos atributos proceden del proveedor de identidades « SAML Enterprise» que has configurado en Autenticación > Proveedores de identidades.

    De lo contrario, define únicamente los atributos específicos que el proveedor del servicio requiera en la aserción « SAML ».

    Nota: Esta opción está seleccionada de forma predeterminada para las aplicaciones que ya están configuradas y en uso, con el fin de evitar interrumpir el servicio configurado.
    Nombre de atributo

    Nombre del atributo que el proveedor de servicios utiliza y requiere desde el proveedor de identidades.

    <saml:Attribute Name=""> Corresponde al elemento de la afirmación « SAML ».

    Algunos proveedores de servicios tienen atributos necesarios u opcionales que se listan en la sección Correlaciones de atributos. Seleccione sus atributos correspondientes en proveedor de identidades.

    Algunos proveedores de servicios pueden requerir atributos adicionales del proveedor de identidades que no se incluyen en la plantilla predefinida. Los atributos adicionales dependen del acuerdo comercial entre el proveedor de identidades y el proveedor de servicios. En este caso, obtenga los atributos adicionales de la documentación del proveedor de servicios y correlaciónelos con los atributos del proveedor de identidades.

    Nota: Si se configura un atributo con el nombre AuthnContextClassRef y el formato urn:oasis:names:tc:SAML:2.0:assertion, el valor del atributo se establecerá en el AuthnContextClassRef elemento del token SAML durante el flujo de SSO.
    Formato de nombre de atributo

    Indica cómo interpretar el nombre de atributo.

    <saml:Attribute NameFormat=""> Corresponde al elemento de la afirmación « SAML ».

    Puede definir su propio valor o elegirlo entre las siguientes opciones:
    urn:oasis:names:tc:SAML:2.0:attrname-format:basic
    El nombre de atributo utiliza un valor de serie simple. Es el formato predeterminado si no se especifica ningún formato.
    urn:oasis:names:tc:SAML:2.0:attrname-format:uri
    El nombre de atributo utiliza el espacio de nombres urn:oid.
    urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified

    El nombre de atributo puede tener cualquier formato. El proveedor de identidades define el formato y el proveedor de servicios acepta el formato y proporciona el servicio necesario para el usuario.
    Atributos

    Muestra todos los atributos que has definido para cada tipo en Directorio > Atributos.

    El valor del atributo seleccionado se asigna como valor del atributo con el nombre definido para el proveedor de servicios en la aserción « SAML ».

    Por ejemplo:
    <saml:AttributeStatement>
   <saml:Attribute 
      Name="mail" 
      NameFormat="urn:oasis:names:tc:SAML:2.0:
         attrname-format:basic"  
      <saml:AttributeValue xsi:type="xs:string">
abc@example.com
      </saml:AttributeValue>
   </saml:Attribute> 
</saml:AttributeStatement>
    Nota:
    • Si se muestra Atributo no etiquetado como valor de origen del atributo, el motivo es que ha cambiado la finalidad del atributo. Las aplicaciones existentes que consumen el atributo pueden continuar utilizando el atributo hasta que vuelva a correlacionar la aplicación para que utilice un atributo diferente para dicha finalidad. Por ejemplo, si se quita la selección del recuadro Inicio de sesión único (SSO) en un atributo existente, las aplicaciones que ya consumen dicho atributo para SSO pueden continuar utilizándolo para SSO. El mismo comportamiento se aplica a las correlaciones de atributos de suministro cuando se elimina la finalidad Suministro.