SAML-2.0-Attribute zuordnen
Die Security-Assertion-Markup-Language(SAML)-2.0-Assertion sollte alle Attribute enthalten, die Sie für den Benutzer im Service-Provider brauchen. Was genau transportiert wird, ist Verhandlungssache zwischen Ihnen und dem Betreiber des Identity-Providers. Der Identity-Provider sendet die Attribute als Attribut=Wert-Paare. Sie müssen den Namen des SAML-2.0-Attributs und welche Art Wert es beinhaltet kennen, damit Sie es Benutzerattributen in AS Java zuordnen können. Falls die SAML-2.0-Assertion alle erforderlichen Attribute enthält, legt der Service-Provider einen Benutzer im Speicher an und füllt die zugeordneten Profilattribute mit Werten. Mit dieser Vorgehensweise definieren Sie, wie diese Zuordnung Benutzer und deren Zugriffsberechtigungen definiert.
-
Sie haben den Service-Provider so konfiguriert, dass er einen Identity-Provider vertraut und den Identitätsföderationstyp Persistente Benutzer (erweitert) oder den Föderationstyp Virtuelle Benutzer verwendet.
Weitere Informationen finden Sie unter:
Identitätsföderation mit persistenten Benutzern konfigurieren (erweitert)
-
Sie haben mit dem Administrator des Identity-Providers ausgehandelt, welche SAML-2.0-Attribute Sie zu erwarten haben.
-
Sie haben alle benutzerdefinierten Attribute angelegt, die Sie auf dem Service-Provider brauchen.
Weitere Informationen finden Sie unter Benutzerdefinierte Benutzerattribute für SAML hinzufügen .
-
Sie haben das Kennzeichen im Ankreuzfeld Bei Anmeldung Attribute, Rollen und Gruppen aktualisieren gesetzt.
Sie können Folgendes konfigurieren:
-
Standardbenutzerattribute
-
Zuordnungen von Assertion-basierten Benutzerattributen
-
Assertion-basierte Rollen- und Gruppenzuordnungen
-
Standardbenutzerrollen- und Benutzergruppenzuordnungen
Standardbenutzerattribute zuordnen
Standardbenutzerattribute werden immer Benutzern zugeordnet, sobald die SAML-Authentifizierung erfolgreich abgeschlossen ist.
-
Wählen Sie auf der Registerkarte Standardbenutzerattribute die Drucktaste Hinzufügen .
-
Wählen Sie ein Benutzerattribut aus der Liste der vordefinierten Benutzerattribute.
-
Geben Sie den Wert für das Attribut ein.
-
Wählen Sie OK .
-
Fügen Sie weitere Attribute nach Bedarf hinzu.
-
Sichern Sie Ihre Eingaben.
Assertion-basierte Benutzerattribute zuordnen
-
Wählen Sie auf der Registerkarte Assertion-basierte Benutzerattribute die Drucktaste Hinzufügen .
-
Geben Sie folgende Daten ein:
Parameter
Eingabe
SAML-2-Attribut
Name des Attributs, wie der Identity-Provider es in der SAML-2.0-Assertion sendet.
Benutzerattribut
Name des AS-Java-Benutzerattributs Wählen Sie ein Attribut aus der Liste mit vordefinierten Benutzerattributen.
Ist obligatorisch
Wählen Sie diese Option, wenn dieses Attribut für den Service-Provider erforderlich sein soll (Zurückweisung der SAML-Assertion, falls dieses Attribut fehlt).
-
Fügen Sie weitere Attribute nach Bedarf hinzu.
-
Sichern Sie Ihre Eingaben.
Assertion-basierte Benutzerrollen und Benutzergruppen
SAML-2.0-Attribute können auch Informationen über Rollen- oder Gruppenmitgliedschaft enthalten. Auf Grund des Wertes eines SAML-2.0-Attributs kann der Service-Provider temporären Benutzern Gruppen oder Rollen zuordnen. Auf diese Weise kann der Administrator des Identity-Providers die Berechtigungen von Benutzern aus den von Ihnen bereitgestellten Rollen und Gruppen ermitteln.
-
Wählen Sie auf der Registerkarte Assertion-basierte Benutzerrollen oder Assertion-basierte Benutzergruppen die Drucktaste Hinzufügen .
-
Wählen Sie die Drucktaste Ändern .
-
Wählen Sie die Drucktaste Hinzufügen .
-
Geben Sie folgende Daten ein:
Parameter
Eingabe
SAML-2-Attribut
Name des vom Identity-Provider gesendeten Attributs, das die Rollen- oder Gruppenmitgliedschaftsinformationen enthält.
Wert
Geben Sie den Wert ein, der bestimmten Rollen oder Gruppen zugeordnet werden soll.
-
Wählen Sie die Drucktaste Durchsuchen .
-
Suchen Sie nach der Rolle, den Rollen, der Gruppe oder den Gruppen, die dem Benutzer zugeordnet werden sollen, wenn die Assertion das SAML-2.0-Attribut mit dem definierten Wert enthält.
-
Sichern Sie Ihre Eingaben.
Standardbenutzerrollen und Benutzergruppen zuordnen
Sie können Rollen und Gruppen zuordnen, denen alle Benutzer standardmäßig angehören. Diese sind zusätzlich zu den eingebauten Gruppen Everyone, Anonymous Users und Authenticated Users, sowie allen diesen eingebauten Gruppen zugeordneten Rollen vorhanden. Auf diese Weise können Sie festlegen, welche Zugriffsberechtigungen alle Benutzer standardmäßig erhalten.
-
Wählen Sie auf der Registerkarte Standardbenutzerrollen oder Standardbenutzergruppen die Drucktaste Ändern .
-
Suchen Sie nach Gruppen oder Rollen, und wählen Sie die Drucktaste Hinzufügen .
-
Sichern Sie Ihre Eingaben.