SAML 2.0
When adding a SAML 2.0 identity provider (e.g. Shibboleth 2.0) the following parameters are requested:
Base settings
Name
Name of the identity provider in Xima® Formcycle.
Different name on form login button
If a form has been configured to offer several authentication options, a dialog will be displayed when opening the form in which an authentication type has to be selected. The text content that should be on the button for this identity provider can be configured here.
If nothing is entered here, the name entered under Name is used.
Alias for callback URL (UUID)
Unique identifier that is used when the identity provider returns to Xima® Formcycle. This value is generated automatically, but can be changed if necessary.
Callback URL
The URL which is used when returning from the identity provider to Xima® Formcycle is shown here and can be copied to the clipboard by clicking the copy icon to the right of the URL.
Initially visible buttons
Below the base settings there are initially 3 buttons whose functions are intended to help with the configuration of the Facebook identity provider.
Send email to provider
Opens the e-mail program set up in the system with a pre-formulated request regarding the information required for the configuration of the identity provider in Xima® Formcycle.
Help
Opens this help page in the browser.
Add configuration
Konfigurationsdatei
- Konfigurationsdatei hochladen: Durch das Drücken dieser Schaltläche öffnet sich ein Dateiauswahldialog, mit dem die vom Identity Provider gelieferte Konfigurationsdatei ausgewählt werden kann. Durch das Bestätigen der Auswahl im Dialog wird die Datei hochgeladen.
- Dateiname.xml: Nachdem eine Konfigurationsdatei hochgeladen und die Konfiguration gespeichert wurde, besteht die Möglichkeit, die Datei an dieser Stelle wieder herunterzuladen. Der Download wird durch einen Klick auf den Dateinamen oder das -Symbol gestartet.
Attributsmapping zu Benutzern
Durch klicken auf Attributsmapping zu Benutzern können die Konfigurationsfelder für das Mapping einzelner Attribute sichtbar gemacht werden. Für die folgenden Daten können SAML-Attribute konfiguriert werden, wobei in jedem Fall der Name des saml:Attribute Knotens angegeben werden muss.
- Vorname (firstName): Vorname des Benutzers
- Nachname (familyName): Nachname des Benutzers
- Anzeigename (displayName): Anzeigename des Benutzers
- Benutzername (userName): Benutzername des Benutzers
- E-Mail (mail): E-Mail-Adresse des Benutzers
- Sprache (locale): Sprache des Benutzers
- Standort (location): Standort des Benutzers
- Bild-URL (pictureUrl): Bild-URL des Benutzers
- Profil-URL (profileUrl): Profil-URL des Benutzers
Keystore verwalten
Durch klicken auf Keystore verwalten werden die Einstellungen für den Keystore sichtbar. Es gibt es die beiden folgenden Schaltflächen:
- Keystore neu erstellen: Erstellt einen neuen, leeren Keystore
- Keystore-Datei aktualisieren: Öffnet einen Dateiauswahldialog, mit dem ein vorhandener Keystore ausgewählt und hochgeladen werden kann.
Weitere Einstellungen
Durch einem Klick auf Weitere Einstellungen können weitere Parameter für die Verbindung mit dem Identity Provider konfiguriert werden.
Service provider entity ID
Optionale ID zur Identifikation gegenüber dem Identity Provider.
Force authentication
Legt fest, ob eine Anmeldung durch den Benutzer erzwungen werden soll, obwohl noch eine gültige Sitzung vorhanden ist.
Passive authentication
Legt fest, ob eine Anmeldung ohne Interaktion mit dem Benutzer versucht werden soll.
User name qualifier
Legt fest, ob bei Anmeldungsanfragen der NameQualifier mitgesendet werden soll. Dies ist im SAML-Standard nicht vorgesehen, jedoch bei einigen Identity Providern notwendig.
Authentication request signed
Legt fest, ob die Anmeldungsanfrage digital signiert werden soll.
Logout request signed
Legt fest, ob die Abmeldungsanfrage digital signiert werden soll.
Wants assertions signed
Legt fest, ob die SAML-Aussagen (Assertions) digital signiert erwartet werden.
Wants response signed
Legt fest, ob die SAML-Antworten digital signiert erwartet werden.
Max. authentication lifetime (Sekunden)
Maximale dauer einer bestehenden Anmeldung beim Identity Provider. Standardwert ist 3600 Sekunden.
Max. clock skew (Sekunden)
Maximal erlaubter Unterschied zwischen den Systemuhrzeiten von Xima® Formcycle Server und dem Identity Provider. Standardwert ist 300 Sekunden.
Assertion consumer service index
Legt den Index des Assertion Consuming Service fest, welcher bei der Anmeldungsanfrage verwendet werden soll. Standardwert ist -1, was dem Standard des Identity Providers entspricht.
Attribute consumer service index
Legt den Index des Attribute Consuming Service fest, welcher bei der Anmeldungsanfrage verwendet werden soll. Standardwert ist -1, was dem Standard des Identity Providers entspricht.
Authentication request binding type
Übermittlungstyp, mit welchem FORMCYCLE eine Anmeldung am Identity Provider anfragt.
Response binding type
Übermittlungstyp, mit welchem der Identity Provider auf eine Anmeldung von FORMCYCLE antwortet.
Logout request binding type
Übermittlungstyp, mit welchem FORMCYCLE eine Abmeldung am Identity Provider anfragt.
Logout response binding type
Übermittlungstyp, mit welchem der Identity Provider auf eine Abmeldung von FORMCYCLE antwortet.
Signature canonicalization algorithm
Legt den Algortithmus fest, welcher für die Umwandlung der signierten Anfrage in eine standrdisierte XML-Normalform verwendet werden soll. Standardmäßig wird http://www.w3.org/2001/10/xml-exc-c14n# verwendet.
Black listed signature signing algorithms
Für das Signieren verbotene Algorithmen.
Signature algorithms
Für das Signieren erlaubte Algorithmen.
Signature reference digest methods
Gibt die Hash-Algorithmen an, welche beim Signieren der SAML-Aussagen (Assertions) erlaubt sind.