Configurazione dell'oggetto SAML e degli attributi di mappatura

Modifica online

Quando Verify invia un' asserzione SAML al provider del servizio, Verify dichiara che l'utente è autenticato. L'utente autenticato viene identificato nell'elemento <saml:Subject> . L 'asserzione SAML può anche contenere un <saml:AttributeStatement> elemento, a seconda delle informazioni specificate nella sezione Mappature attributi della pagina Applicazioni > Applicazioni > > Accesso. <saml:AttributeStatement> afferma che alcuni attributi sono associati all'utente autenticato. Configurare questi elementi in base ai requisiti del fornitore del servizio .

Prima di iniziare

Vedi SAML 2.0 nell'HubIBM® Verify della documentazione.
Consultare Configurazione di SSO SAML nel provider di identità.

Informazioni su questa attività

Verify può essere utilizzato come provider di identità per diverse applicazioni di destinazione. Queste applicazioni o provider di servizi hanno la propria serie di attributi utente e gruppo. Un attributo è una caratteristica o un tratto di un'entità che descrive l'entità. È una coppia name:value .

Gli attributi inclusi nell' asserzione SAML corrispondono a determinati attributi del provider del servizio per:

Trasmettere le informazioni utente da Verify al provider del servizio.
Creare un account per l'utente presso il provider del servizio.
Autorizzare specifici servizi presso il fornitore del servizio.

Procedura

Se il provider del servizio utilizza o richiede un ID utente diverso da Verify, configurare l'oggetto Asserzione SAML . L'oggetto SAML identifica l'utente autenticato.

Tabella 1. Oggetto SAML
Informazioni	Descrizioni
Formato ID nome	Nota: questa opzione è disponibile solo in un modello di applicazione personalizzato. Allinea le aspettative tra il provider di identità e il provider di servizi sull'identità utente che viene comunicata. Il provider di identità specifica il nome utente o l'identità dell'utente autenticato tramite l'attributo `NameID` . Sono supportati i seguenti formati: `urn:oasis:names:tc:SAML:2.0:nameid-format:persistent` Quando l'identificativo del nome viene selezionato come `Not Specified`, l'oggetto `NameID` è un identificativo univoco generato casualmente che conserva lo stesso valore per tale federazione dell'applicazione. `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress` Il valore `Subject` `NameID` dal provider di identità utilizza il formato dell'indirizzo email. Questo è il formato predefinito. `urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified` Il valore `Subject` `NameID` dal provider di identità può essere qualsiasi formato. Il provider di identità definisce il formato e il provider di servizi accetta il formato e fornisce il servizio richiesto all'utente. `urn:oasis:names:tc:SAML:2.0:nameid-format:transient` L'oggetto `NameID` è un attributo generato casualmente per un utilizzo temporaneo. Il tecnico di manutenzione accetta questo valore come temporaneo. Se l'identificativo del nome è selezionato come `Not Specified`, l'oggetto `NameID` è un identificativo univoco generato casualmente che è univoco su ciascun flusso SSO federato. Nota: se un attributo utilizzato in questo formato non è noto a IBM Verify, utilizzare un attributo personalizzato e definire una regola attributo per generare un UUID casuale. Altrimenti, inviare la data / ora corrente in millisecondi che può essere considerata temporanea. Vedi passo 3 Crea un attributo in Gestione degli attributi.
Identificativo del nome	Identifica l'oggetto di un'asserzione SAML, che di solito è l'utente che viene autenticato. Corrisponde all'elemento `<saml:Subject><saml:NameID>` nell' asserzione SAML. Il valore predefinito è preferred_username. La maggior parte dei fornitori di servizi utilizza il nome utente come identificativo del nome. In alcuni casi, il provider di servizi può richiedere un identificativo del nome diverso dal provider di identità. Pertanto, impostare l'elemento `<saml:Subject><saml:NameID>` selezionando un attributo Credenziale provider di identità o un attributo Valore fisso che corrisponda al requisito del fornitore del servizio. Questi attributi Credenziale provider di identità e Valore fisso sono definiti in Directory > Attributi.

Se il provider del servizio richiede Verify per inviare attributi specifici nella propria asserzione SAML, definire le associazioni di attributo. Associare gli attributi utente noti o altri attributi dal provider del servizio con gli attributi Verify .

In base all'applicazione, la sezione Associazioni attributi può essere composta dai seguenti elementi, descritti nella Tabella 2.

Un'opzione della casella di controllo per inviare tutti gli attributi utente noti.
Il formato e i nomi degli attributi predefiniti e l'opzione per selezionare l'origine attributo corrispondente in Verify.
Opzione per aggiungere altri nomi attributo, il relativo formato e l'origine attributo corrispondente nel provider di identità.

Tabella 2. Mappature degli attributi
Informazioni	Descrizioni
Inviare tutti gli attributi utente noti nell'asserzione SAML	Quando selezionato, tutti gli attributi di credenziali utente noti disponibili dal provider di identità provider di identità vengono inclusi automaticamente nell' asserzione SAML. Gli attributi delle credenziali utente noti sono costituiti da: Attributi standard Questi attributi provengono da Verify Cloud Directory, che include gli attributi integrati visualizzati in Directory > Attributi. Attributi estesi Questi attributi provengono dal provider di identità SAML Enterprise configurato in Autenticazione > Provider di identità. Altrimenti, definire solo gli attributi specifici richiesti dal fornitore del servizio nell' asserzione SAML. Nota: questa opzione è selezionata per impostazione predefinita per le applicazioni che sono già configurate e in uso per evitare di interrompere il servizio configurato.
Nome attributo	Il nome dell'attributo utilizzato dal provider di servizi e richiesto dal provider di identità . Corrisponde all'elemento `<saml:Attribute Name="">` nell' asserzione SAML. Alcuni provider del servizio hanno attributi obbligatori o facoltativi elencati nella sezione Associazioni attributi . Seleziona i loro corrispondenti attributi dal provider di identità. Alcuni provider di servizi potrebbero richiedere ulteriori attributi dal provider di identità che non sono inclusi nella maschera predefinita. Ulteriori attributi dipendono dall'accordo aziendale tra provider di identità e il provider di servizi. In tal caso, ottieni gli ulteriori attributi dalla documentazione del provider di servizi e associali agli attributi provider di identità . Nota: se un attributo è configurato con il nome `AuthnContextClassRef` e il formato `urn:oasis:names:tc:SAML:2.0:assertion`, il valore dell'attributo verrà impostato nell'elemento `AuthnContextClassRef` del token SAML durante il flusso SSO.
Formato nome attributo	Indica come interpretare il nome attributo. Corrisponde all'elemento `<saml:Attribute NameFormat="">` nell' asserzione SAML. È possibile definire il proprio valore o scegliere tra le seguenti opzioni: `urn:oasis:names:tc:SAML:2.0:attrname-format:basic` Il nome attributo utilizza un valore stringa semplice. Questo è il formato predefinito se non viene specificato alcun formato. `urn:oasis:names:tc:SAML:2.0:attrname-format:uri` Il nome attributo utilizza lo spazio dei nomi `urn:oid` . `urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified` Il nome dell'attributo può essere qualsiasi formato. Il provider di identità definisce il formato e il provider di servizi accetta il formato e fornisce il servizio richiesto all'utente.
Attributi	Elenca tutti gli attributi definiti per ogni tipo in Directory > Attributi. Il valore dell'attributo selezionato viene assegnato come valore dell'attributo per il nome dell'attributo provider del servizio definito nell' asserzione SAML. Ad esempio: `<saml:AttributeStatement> <saml:Attribute Name="mail" NameFormat="urn:oasis:names:tc:SAML:2.0: attrname-format:basic" <saml:AttributeValue xsi:type="xs:string"> abc@example.com </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>` Nota: Se viene visualizzato Attributo senza tag per il valore di origine dell'attributo, è perché lo scopo dell'attributo è stato modificato. Le applicazioni esistenti che utilizzano l'attributo possono utilizzare l'attributo fino a quando non si riassocia l'applicazione per utilizzare un attributo differente per tale scopo. Ad esempio, se la casella di spunta SSO (Single sign - on) non è selezionata su un attributo esistente, le applicazioni che già utilizzano tale attributo per SSO possono continuare a utilizzarlo per SSO. Lo stesso comportamento si applica alle associazioni di attributi di provisioning quando lo scopo Provisioning viene rimosso.