Kopfzeilenbasierte Authentifizierung mit SAML

SAML-Antworten vom IDP zum SP (im Falle von Identity Bridging, Unified Access Gateway) enthalten SAML-Assertions, die SAML-Attribute aufweisen. Die SAML-Attribute können im Identitätsanbieter konfiguriert werden, um auf verschiedene Parameter zu verweisen, wie z. B. Benutzername, E-Mail usw.

Bei der kopfzeilenbasierten Authentifizierung mit SAML kann der Wert eines SAML-Attributs als HTTP-Kopfzeile an das Back-End-Proxy-Ziel gesendet werden. Der in Unified Access Gateway definierte SAML-Attributname ist mit dem Namen im Identitätsanbieter identisch. Wenn beispielsweise ein Identitätsanbieter das Attribut als Name: userNameValue: idmadmin definiert hat, muss der SAML-Attributname in Unified Access Gateway als "userName" definiert sein.

SAML-Attribute, die nicht mit den im Identitätsanbieter definierten Attributen übereinstimmen, werden ignoriert. Unified Access Gateway unterstützt sowohl mehrere SAML-Attribute als auch SAML-Attribute mit mehreren Werten. In den folgenden Beispielen werden Auszüge aus der erwarteten SAML-Assertion von einem Identitätsprovider genannt. Beispiel:

1. Erwartete SAML-Antwort von Identitätsanbieter für mehrere SAML-Attribute

<saml:AttributeStatement>
      <saml:Attribute Name="userName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                  <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">idmadmin</saml:AttributeValue>
      </saml:Attribute>
      <saml:Attribute Name="userEmail" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                 <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">63ecfabf-a577-46c3-b4fa-caf7ae49a6a3</saml:AttributeValue>
      </saml:Attribute>
</saml:AttributeStatement>

Im obigen Beispiel enthält eine Assertion zwei Attribute: "userName" und "userEmail". Wenn die kopfzeilenbasierte Authentifizierung nur für "userName" konfiguriert ist und der Kopfzeilenname "HTTP_USER_NAME" lautet, wird die Kopfzeile als "HTTP_USER_NAME: idmadmin" gesendet. Da "userEmail" nicht in Unified Access Gateway für die kopfzeilenbasierte Authentifizierung konfiguriert ist, wird der Wert nicht als Kopfzeile gesendet.

2. Erwartete SAML-Antwort von Identitätsanbieter für SAML-Attribut mit mehreren Werten

<saml:AttributeStatement>
      <saml:Attribute Name="group" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
             <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Employees</saml:AttributeValue>
             <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Contractors</saml:AttributeValue>
             <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Executives</saml:AttributeValue>
             <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All</saml:AttributeValue> 
     </saml:Attribute>
</saml:AttributeStatement>

Im obigen Beispiel enthält das Attribut "group" vier Werte: "All Employees", "All Contractors", "All Executives" und "All". Wenn die kopfzeilenbasierte Authentifizierung nur für "HTTP_GROUP" konfiguriert ist und der Kopfzeilenname "group" lautet, wird die Kopfzeile als "HTTP_GROUP: All Employees, All Contractors, All Executives, All" gesendet, mit einer durch Komma getrennten Liste aller Attributwerte als Kopfzeilenwert.