Les réponses SAML du fournisseur d'identité au fournisseur de services (en cas de pontage d'identité, Unified Access Gateway) contiennent des assertions SAML, qui comprennent des attributs SAML. Les attributs SAML sont configurables dans le fournisseur d'identité pour pointer vers différents paramètres, tels que le nom d'utilisateur, l'e-mail, etc.
Dans l'authentification basée sur l'en-tête à l'aide de SAML, la valeur d'un attribut SAML peut être envoyée en tant qu'en-tête HTTP vers la destination par proxy du serveur principal. Le nom d'attribut SAML défini dans Unified Access Gateway est le même que celui dans le fournisseur d'identité. Par exemple, si l'attribut d'un fournisseur d'identité est défini en tant que Name: userName
Value: idmadmin
, le nom d'attribut SAML dans Unified Access Gateway doit être défini en tant que "userName"
.
L'attribut SAML qui ne correspond pas à l'attribut défini dans le fournisseur d'identité est ignoré. Unified Access Gateway prend en charge à la fois plusieurs attributs SAML et des attributs SAML à plusieurs valeurs. Les exemples d'extraits de l'assertion SAML prévue d'un fournisseur d'identité sont mentionnés dans les propositions suivantes pour chaque cas. Par exemple,
1. Réponse SAML prévue du fournisseur d'identité pour plusieurs attributs SAML
<saml:AttributeStatement> <saml:Attribute Name="userName" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">idmadmin</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="userEmail" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">63ecfabf-a577-46c3-b4fa-caf7ae49a6a3</saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
Dans l'exemple précédent, une assertion contient deux attributs, "userName"
et "userEmail"
. Si l'authentification basée sur l'en-tête est configurée uniquement pour "userName"
, avec le nom d'en-tête étant "HTTP_USER_NAME"
, l'en-tête est envoyé en tant que : "HTTP_USER_NAME: idmadmin"
. Étant donné que "userEmail"
n'est pas configuré sur Unified Access Gateway pour l'authentification basée sur l'en-tête, il n'est pas envoyé en tant qu'en-tête.
2. Réponse SAML prévue du fournisseur d'identité pour l'attribut SAML à plusieurs valeurs
<saml:AttributeStatement> <saml:Attribute Name="group" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Employees</saml:AttributeValue> <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Contractors</saml:AttributeValue> <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All Executives</saml:AttributeValue> <saml:AttributeValue xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">All</saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
Dans l'exemple précédent, un attribut "group"
contient quatre valeurs, à savoir "All Employees"
, "All Contractors"
, "All Executives"
et "All"
. Si l'authentification basée sur l'en-tête est configurée uniquement pour "group"
, avec le nom d'en-tête étant "HTTP_GROUP"
, l'en-tête est envoyé en tant que "HTTP_GROUP: All Employees, All Contractors, All Executives, All"
avec une liste séparée par des virgules de toutes les valeurs d'attributs en tant que valeur d'en-tête.