Configurando o assunto SAML e o mapeamento de atributos

Editar online

Quando Verify o envia uma afirmação de " SAML " ao provedor de serviços, o Verify afirma que o usuário está autenticado. O usuário autenticado é identificada no elemento <saml:Subject> . A declaração ` SAML ` também pode conter um <saml:AttributeStatement> elemento ``, dependendo das informações especificadas na seção “Mapeamentos de atributos” da página “Aplicativos > Aplicativos > Editar > Autenticação ”. O <saml:AttributeStatement> assegura que determinados atributos são associados com o usuário autenticado. Configure esses elementos com base no provedor de serviços requisitos.

Antes de começar

Sobre esta tarefa

Verify pode ser usado como provedor de identidade para várias aplicações de destino. Esses aplicativos ou provedores de serviços têm seu próprio conjunto de atributos de usuário e grupo. Um atributo é uma característica ou um traço de uma entidade que descreve a entidade. É um par name:value .

Os atributos incluídos na asserção " SAML " correspondem a determinados atributos do provedor de serviços para:
  • Transmitir as informações do Verify usuário ao provedor de serviços.
  • Crie uma conta para o usuário no provedor de serviços.
  • Autorizar serviços específicos no provedor de serviços.

Procedimento

  1. Se o provedor de serviços utilizar ou exigir um ID de usuário diferente de Verify, configure o assunto da asserção ` SAML `. O campo " SAML " identifica o usuário autenticado.
    Tabela 1. SAML Assunto
    Informações Descrições
    Formato do ID de nome
    Observação: esta opção está disponível apenas em um modelo de aplicativo personalizado.

    Alinha as expectativas entre o provedor de identidade e o provedor de serviços na identidade do usuário que é comunicada. O provedor de identidade especifica o nome de usuário ou a identidade do usuário autenticado por meio do atributo NameID.

    Os seguintes formatos são suportados:
    urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    Quando o identificador de nome é selecionado como Not Specified, o assunto NameID é um identificador único gerado aleatoriamente que retém o mesmo valor para aquela federação de aplicativos.

    urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    O valor Subject NameID do provedor de identidade usa o formato de endereço de e-mail.

    Esse é o formato padrão.

    urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

    O valor Subject NameID do provedor de identidade pode ser qualquer formato.

    O provedor de identidade define o formato e o provedor de serviços aceita o formato e fornece o serviço necessário para o usuário.

    urn:oasis:names:tc:SAML:2.0:nameid-format:transient
    O assunto NameID é um atributo que é gerado aleatoriamente para uso temporário. O provedor de serviços aceita esse valor como temporário.

    Se o identificador de nome for selecionado como Not Specified, o assunto NameID será um identificador único gerado aleatoriamente que é exclusivo em cada fluxo de SSO federado.

    Observação: Se um atributo utilizado neste formato não for reconhecido pelo IBM Verify, utilize um atributo personalizado e defina uma regra de atributo para gerar um UUID aleatório. Caso contrário, envie o registro de data e hora atual em milissegundos que pode ser tratado como temporário. Consulte a etapa 3, “Criar um atributo”, em “Gerenciamento de atributos ”.
    Identificador do nó

    Identifica o sujeito de uma asserção de autenticação de usuário ( SAML ), que normalmente é o usuário que está sendo autenticado.

    Isso corresponde ao <saml:Subject><saml:NameID> elemento na asserção SAML.

    O valor padrão é "preferred_username". A provedores de serviços use o nome de usuário como o identificador de nome.

    Em alguns casos, o provedor de serviços pode requerer um identificador de nome diferente do provedor de identidade. Portanto, defina o <saml:Subject><saml:NameID> elemento selecionando um atributo de credencial do provedor de identidade ou um atributo de valor fixo que corresponda aos requisitos do provedor de serviços.

    Esses atributos de credenciais do provedor de identidade e de valor fixo estão definidos em Diretório > Atributos.
  2. Se o provedor de serviços exigir Verify o envio de atributos específicos em sua asserção de " SAML ", defina os mapeamentos de atributos. Mapeie os atributos conhecidos do usuário ou outros atributos do provedor de serviços com os Verify atributos.
    Dependendo da aplicação, a seção “Mapeamentos de atributos” pode incluir os seguintes elementos, descritos na Tabela 2.
    • Uma opção de caixa de seleção para enviar todos os atributos do usuário conhecido.
    • Nomes e formatos de atributos predefinidos, além da opção de selecionar a fonte de atributos correspondente em Verify.
    • Opção para incluir outros nomes de atributos, o formato e a origem do atributo correspondente no provedor de identidade.
    Tabela 2. Mapeamentos de atributos
    Informações Descrições
    Enviar todos os atributos de usuário conhecidos na asserção SAML

    Quando selecionada, todos os atributos de credenciais de usuário conhecidos que estão disponíveis no provedor de identidade são automaticamente incluídos na asserção ` SAML `.

    Os atributos de credencial do usuário conhecido consistem em:
    Atributos padrão
    Esses atributos são do Verify Cloud Directory, que inclui os atributos integrados exibidos em Diretório > Atributos.
    Atributos estendidos
    Esses atributos são do provedor de identidade do SAML Enterprise que você configurou em Autenticação > Provedores de identidade.

    Caso contrário, defina apenas os atributos específicos exigidos pelo provedor de serviços na asserção ` SAML `.

    Observação: essa opção é selecionada por padrão para aplicativos que já estejam configurados e em uso, a fim de evitar a interrupção do serviço configurado.
    Nome do Atributo

    Nome do atributo que o provedor de serviços usa e requer a partir do provedor de identidade.

    Isso corresponde ao <saml:Attribute Name=""> elemento na asserção SAML.

    Alguns provedores de serviços possuem atributos obrigatórios ou opcionais que estão listados na seção Mapeamentos de atributo. Selecione seus atributos correspondentes por meio do provedor de identidade.

    Alguns provedores de serviços pode exigir atributos adicionais do provedor de identidade que não estão incluídos no modelo predefinido. Os atributos adicionais dependem do contrato de negócios entre o provedor de identidade e o provedor de serviços. Nesse caso, obtenha os atributos adicionais na documentação do provedor de serviços e mapeie-os para os atributos do provedor de identidade.

    Observação: Se um atributo for configurado com o nome AuthnContextClassRef e o formato urn:oasis:names:tc:SAML:2.0:assertion, o valor do atributo será definido no AuthnContextClassRef elemento do token SAML durante o fluxo de SSO.
    Formato do Nome do Atributo

    Indica como interpretar o nome do atributo.

    Isso corresponde ao <saml:Attribute NameFormat=""> elemento na asserção SAML.

    Você pode definir seu próprio valor ou escolher entre as seguintes opções:
    urn:oasis:names:tc:SAML:2.0:attrname-format:basic
    O nome do atributo usa um valor de sequência simples. Esse é o formato padrão se nenhum formato for especificado.
    urn:oasis:names:tc:SAML:2.0:attrname-format:uri
    Nome do atributo usa o espaço de nomes urn:oid.
    urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified

    O nome do atributo pode ter qualquer formato. O provedor de identidade define o formato e o provedor de serviços aceita o formato e fornece o serviço necessário para o usuário.
    Atributos

    Lista todos os atributos que você definiu para cada tipo em Diretório > Atributos.

    O valor do atributo selecionado é atribuído como valor do atributo para o nome do atributo do provedor de serviços definido na asserção ` SAML `.

    Por Exemplo:
    <saml:AttributeStatement>
   <saml:Attribute 
      Name="mail" 
      NameFormat="urn:oasis:names:tc:SAML:2.0:
         attrname-format:basic"  
      <saml:AttributeValue xsi:type="xs:string">
abc@example.com
      </saml:AttributeValue>
   </saml:Attribute> 
</saml:AttributeStatement>
    Nota:
    • Se Atributo não identificado for mostrado para o valor de origem do atributo, o propósito do atributo foi mudado. Os aplicativos existentes que consomem o atributo podem continuar a usá-lo até você remapear o aplicativo para usar um atributo diferente para este fim. Por exemplo, se a caixa de seleção Conexão única (SSO) for marcada em um atributo existente, os aplicativos que já consumirem esse atributo para SSO poderão continuar a usá-lo para SSO. O mesmo comportamento se aplica aos mapeamentos de atributo de fornecimento quando o propósito Fornecimento é removido.