Configuración del asunto de SAML y los atributos de correlación

Editar en línea

Cuando Verify envía una aserción SAML al proveedor de servicios, Verify afirma que el usuario está autenticado. El usuario autenticado se identifica en el elemento <saml:Subject>. La aserción SAML también puede contener un <saml:AttributeStatement> elemento, dependiendo de la información que especifique en la sección Asignaciones de atributos de la página Aplicaciones > Aplicaciones > > Inicio de sesión. <saml:AttributeStatement> certifica que determinados atributos están asociados con el usuario autenticado. Configure estos elementos basándose en los requisitos del proveedor de servicios.

Antes de empezar

Consulte SAML 2.0 en el Centro de documentaciónIBM® Verify .
Consulte Configuración del inicio de sesión único de SAML en el proveedor de identidades.

Acerca de esta tarea

Verify se puede utilizar como proveedor de identidad para varias aplicaciones de destino. Estas aplicaciones o proveedores de servicios tienen su propio conjunto de atributos de usuario y grupo. Un atributo es una característica o rasgo de una entidad que describe la entidad. Es un par name:value.

Los atributos incluidos en la aserción SAML corresponden a determinados atributos del proveedor de servicios a:

Transmita información de usuario de Verify al proveedor de servicios.
Crear una cuenta para el usuario en el proveedor de servicios.
Autorizar servicios específicos en el proveedor de servicios.

Procedimiento

Si el proveedor de servicios utiliza o requiere un ID de usuario distinto de Verify, configure el sujeto aserción SAML . El sujeto SAML identifica al usuario autenticado.

Tabla 1. Asunto SAML
Información	Descripciones
Formato NameID	Nota: Esta opción sólo está disponible en una plantilla de aplicación personalizada. Alinea las expectativas entre el proveedor de identidades y el proveedor de servicios en la identidad del usuario que se comunica. El proveedor de identidad especifica el nombre de usuario o la identidad del usuario autenticado a través del atributo `NameID`. Se da soporte a los siguientes formatos: `urn:oasis:names:tc:SAML:2.0:nameid-format:persistent` Cuando el identificador de nombre se selecciona como `Not Specified`, el asunto `NameID` es un identificador exclusivo generado aleatoriamente que conserva el mismo valor para esa federación de aplicaciones. `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress` El valor `Subject` `NameID` del proveedor de identidad utiliza el formato de dirección de correo electrónico. Es el formato predeterminado. `urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified` El valor `Subject` `NameID` del proveedor de identidad puede ser cualquier formato. El proveedor de identidades define el formato y el proveedor de servicios acepta el formato y proporciona el servicio necesario para el usuario. `urn:oasis:names:tc:SAML:2.0:nameid-format:transient` El asunto `NameID` es un atributo que se genera aleatoriamente para su uso temporal. El proveedor de servicios acepta este valor como temporal. Si el identificador de nombre se selecciona como `Not Specified`, el asunto `NameID` es un identificador exclusivo generado aleatoriamente que es exclusivo en cada flujo de SSO federado. Nota: Si un atributo utilizado en este formato no es conocido por IBM Verify, utilice un atributo personalizado y defina una regla de atributo para generar un UUID aleatorio. De lo contrario, envíe la indicación de fecha y hora actual en milisegundos que se puede tratar como temporal. Consulte el paso 3 Crear un atributo en Gestión de atributos.
Identificador de nombre	Identifica el asunto de una aserción SAML, que normalmente es el usuario que se está autenticando. Corresponde al elemento `<saml:Subject><saml:NameID>` en la aserción SAML. El valor predeterminado es preferred_username. La mayoría de proveedores de servicios utilizan el nombre del usuario como el identificador de nombres. En algunos casos, el proveedor de servicios puede requerir un identificador de nombres distinto del proveedor de identidades. Como tal, establezca el elemento `<saml:Subject><saml:NameID>` seleccionando un atributo Credencial de proveedor de identidades o un atributo Valor fijo que corresponda al requisito del proveedor de servicios. Estos atributos de Credencial de proveedor de identidades y Valor fijo se definen en Directorio > Atributos.

Si el proveedor de servicios requiere que Verify envíe atributos específicos en su aserción SAML, defina las correlaciones de atributos. Correlacione los atributos de usuario conocidos u otros atributos del proveedor de servicios con los atributos Verify .

En función de la aplicación, la sección Correlaciones de atributos puede constar de los elementos siguientes, que se describen en la Tabla 2.

Una opción de recuadro de selección para enviar todos los atributos de usuario conocidos.
Nombres y formato de atributo predefinidos y la opción para seleccionar su origen de atributo correspondiente en Verify.
Opción para añadir otros nombres de atributos, su formato y su correspondiente origen de atributos en el proveedor de identidades.

Tabla 2. Asignaciones de atributos
Información	Descripciones
Enviar todos los atributos de usuario conocidos en la aserción SAML	Cuando se selecciona, todos los atributos de credenciales de usuario conocidos que están disponibles en el proveedor de identidades de proveedor de identidades se incluyen automáticamente en la aserción SAML. Los atributos de credenciales de usuario conocidos constan de: Atributos estándar Estos atributos proceden de Verify Cloud Directory, que incluye los atributos incorporados que se muestran en Directorio > Atributos. Atributos ampliados Estos atributos son del proveedor de identidad de SAML Enterprise que ha configurado en Autenticación > Proveedores de identidad. De lo contrario, defina sólo los atributos específicos que el proveedor de servicios requiere en la aserción SAML. Nota: Esta opción está seleccionada de forma predeterminada para las aplicaciones que ya están configuradas y en uso para evitar interrumpir el servicio configurado.
Nombre de atributo	Nombre del atributo que el proveedor de servicios utiliza y requiere desde el proveedor de identidades. Corresponde al elemento `<saml:Attribute Name="">` en la aserción SAML. Algunos proveedores de servicios tienen atributos necesarios u opcionales que se listan en la sección Correlaciones de atributos. Seleccione sus atributos correspondientes en proveedor de identidades. Algunos proveedores de servicios pueden requerir atributos adicionales del proveedor de identidades que no se incluyen en la plantilla predefinida. Los atributos adicionales dependen del acuerdo comercial entre el proveedor de identidades y el proveedor de servicios. En este caso, obtenga los atributos adicionales de la documentación del proveedor de servicios y correlaciónelos con los atributos del proveedor de identidades. Nota: Si un atributo se configura con el nombre `AuthnContextClassRef` y el formato `urn:oasis:names:tc:SAML:2.0:assertion`, el valor del atributo se establecerá en el elemento `AuthnContextClassRef` de la señal SAML durante el flujo SSO.
Formato de nombre de atributo	Indica cómo interpretar el nombre de atributo. Corresponde al elemento `<saml:Attribute NameFormat="">` en la aserción SAML. Puede definir su propio valor o elegirlo entre las siguientes opciones: `urn:oasis:names:tc:SAML:2.0:attrname-format:basic` El nombre de atributo utiliza un valor de serie simple. Es el formato predeterminado si no se especifica ningún formato. `urn:oasis:names:tc:SAML:2.0:attrname-format:uri` El nombre de atributo utiliza el espacio de nombres `urn:oid`. `urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified` El nombre de atributo puede tener cualquier formato. El proveedor de identidades define el formato y el proveedor de servicios acepta el formato y proporciona el servicio necesario para el usuario.
Atributos	Lista todos los atributos que ha definido para cada tipo en Directorio > Atributos. El valor del atributo seleccionado se asigna como el valor de atributo para el nombre de atributo de proveedor de servicios definido en la aserción SAML. Por ejemplo: `<saml:AttributeStatement> <saml:Attribute Name="mail" NameFormat="urn:oasis:names:tc:SAML:2.0: attrname-format:basic" <saml:AttributeValue xsi:type="xs:string"> abc@example.com </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>` Nota: Si se muestra Atributo no etiquetado como valor de origen del atributo, el motivo es que ha cambiado la finalidad del atributo. Las aplicaciones existentes que consumen el atributo pueden continuar utilizando el atributo hasta que vuelva a correlacionar la aplicación para que utilice un atributo diferente para dicha finalidad. Por ejemplo, si se quita la selección del recuadro Inicio de sesión único (SSO) en un atributo existente, las aplicaciones que ya consumen dicho atributo para SSO pueden continuar utilizándolo para SSO. El mismo comportamiento se aplica a las correlaciones de atributos de suministro cuando se elimina la finalidad Suministro.