Las respuestas de SAML de IDP a SP (en el caso de puente de identidades, Unified Access Gateway) contienen las aserciones de SAML, que tienen los atributos SAML. Los atributos de SAML pueden configurarse en el IDP para que apunten a diversos parámetros como el nombre de usuario, el correo electrónico, etc.
En la autenticación basada en encabezados mediante SAML, el valor de un atributo de SAML puede enviarse como un encabezado HTTP en el destino del proxy de back-end. El nombre del atributo de SAML definido en Unified Access Gateway es igual a ese como en el IDP. Por ejemplo, si un proveedor de identidad tiene el atributo definido como Name: userName
Value: idmadmin
, el nombre del atributo de SAML de Unified Access Gateway deberá definirse como "userName"
.
El atributo de SAML que no coincide con el atributo definido en el IDP se ignora. Unified Access Gateway es compatible tanto con los atributos múltiples de SAML como con los atributos multivalor de SAML. A continuación, se mencionan extractos de ejemplo de la aserción de SAML que se espera del proveedor de identidades para cada caso. Por ejemplo,
1. Respuesta de SAML que se esperaba de IDP para atributos múltiples de SAML
<saml:AttributeStatement> <saml:Attribute Name="userName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">idmadmin</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="userEmail" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">63ecfabf-a577-46c3-b4fa-caf7ae49a6a3</saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
En el ejemplo anterior, una aserción contiene dos atributos, "userName"
y "userEmail"
. Si la autenticación basada en encabezados está configurada solo para "userName"
, con el nombre del encabezado "HTTP_USER_NAME"
, se enviará el encabezado como: "HTTP_USER_NAME: idmadmin"
. Como "userEmail"
no se configuró en Unified Access Gateway para la autenticación basada en encabezados, no se envía como un encabezado.
2. Respuesta de SAML que se esperaba de IDP para el atributo multivalor de SAML
<saml:AttributeStatement> <saml:Attribute Name="group" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Employees</saml:AttributeValue> <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Contractors</saml:AttributeValue> <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Executives</saml:AttributeValue> <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All</saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
En el ejemplo anterior, un atributo "group"
contiene cuatro valores, es decir, "All Employees"
, "All Contractors"
, "All Executives"
y "All"
. Si la autenticación basada en encabezados está configurada solo para "group"
, con el nombre del encabezado "HTTP_GROUP"
, el encabezado se envía como "HTTP_GROUP: All Employees, All Contractors, All Executives, All"
con una lista separada por comas de todos los valores de atributo como el valor del encabezado.