When adding a SAML 2.0 identity provider (e.g. Shibboleth 2.0) the following parameters are requested:

Base settings

Name

Name of the identity provider in Xima® Formcycle.

Different name on form login button

If a form has been configured to offer several authentication options, a dialog will be displayed when opening the form in which an authentication type has to be selected. The text content that should be on the button for this identity provider can be configured here. 

If nothing is entered here, the name entered under Name is used.

Alias for callback URL (UUID)

Unique identifier that is used when the identity provider returns to Xima® Formcycle. This value is generated automatically, but can be changed if necessary.

Callback URL

The URL which is used when returning from the identity provider to Xima® Formcycle is shown here and can be copied to the clipboard by clicking the copy icon to the right of the URL. 

Initially visible buttons

Below the base settings there are initially 3 buttons whose functions are intended to help with the configuration of the Facebook identity provider.

Send email to provider

Opens the e-mail program set up in the system with a pre-formulated request regarding the information required for the configuration of the identity provider in Xima® Formcycle. 

Help

Opens this help page in the browser.

Add configuration

Konfigurationsdatei

• Konfigurationsdatei hochladen: Durch das Drücken dieser Schaltläche öffnet sich ein Dateiauswahldialog, mit dem die vom Identity Provider gelieferte Konfigurationsdatei ausgewählt werden kann. Durch das Bestätigen der Auswahl im Dialog wird die Datei hochgeladen.

• Dateiname.xml: Nachdem eine Konfigurationsdatei hochgeladen und die Konfiguration gespeichert wurde, besteht die Möglichkeit, die Datei an dieser Stelle wieder herunterzuladen. Der Download wird durch einen Klick auf den Dateinamen oder das -Symbol gestartet.

Attributsmapping zu Benutzern

Durch klicken auf Attributsmapping zu Benutzern können die Konfigurationsfelder für das Mapping einzelner Attribute sichtbar gemacht werden. Für die folgenden Daten können SAML-Attribute konfiguriert werden, wobei in jedem Fall der Name des saml:Attribute Knotens angegeben werden muss.

• Vorname (firstName): Vorname des Benutzers
• Nachname (familyName): Nachname des Benutzers
• Anzeigename (displayName): Anzeigename des Benutzers
• Benutzername (userName): Benutzername des Benutzers
• E-Mail (mail): E-Mail-Adresse des Benutzers
• Sprache (locale): Sprache des Benutzers
• Standort (location): Standort des Benutzers
• Bild-URL (pictureUrl): Bild-URL des Benutzers
• Profil-URL (profileUrl): Profil-URL des Benutzers

Keystore verwalten

Durch klicken auf Keystore verwalten werden die Einstellungen für den Keystore sichtbar. Es gibt es die beiden folgenden Schaltflächen:

• Keystore neu erstellen: Erstellt einen neuen, leeren Keystore
• Keystore-Datei aktualisieren: Öffnet einen Dateiauswahldialog, mit dem ein vorhandener Keystore ausgewählt und hochgeladen werden kann.

Weitere Einstellungen

Durch einem Klick auf Weitere Einstellungen können weitere Parameter für die Verbindung mit dem Identity Provider konfiguriert werden.

Service provider entity ID

Optionale ID zur Identifikation gegenüber dem Identity Provider.

Force authentication

Legt fest, ob eine Anmeldung durch den Benutzer erzwungen werden soll, obwohl noch eine gültige Sitzung vorhanden ist.

Passive authentication

Legt fest, ob eine Anmeldung ohne Interaktion mit dem Benutzer versucht werden soll.

User name qualifier

Legt fest, ob bei Anmeldungsanfragen der NameQualifier mitgesendet werden soll. Dies ist im SAML-Standard nicht vorgesehen, jedoch bei einigen Identity Providern notwendig.

Authentication request signed

Legt fest, ob die Anmeldungsanfrage digital signiert werden soll.

Logout request signed

Legt fest, ob die Abmeldungsanfrage digital signiert werden soll.

Wants assertions signed

Legt fest, ob die SAML-Aussagen (Assertions) digital signiert erwartet werden.

Wants response signed

Legt fest, ob die SAML-Antworten digital signiert erwartet werden.

Max. authentication lifetime (Sekunden)

Maximale dauer einer bestehenden Anmeldung beim Identity Provider. Standardwert ist 3600 Sekunden.

Max. clock skew (Sekunden)

Maximal erlaubter Unterschied zwischen den Systemuhrzeiten von Xima® Formcycle Server und dem Identity Provider. Standardwert ist 300 Sekunden.

Assertion consumer service index

Legt den Index des Assertion Consuming Service fest, welcher bei der Anmeldungsanfrage verwendet werden soll. Standardwert ist -1, was dem Standard des Identity Providers entspricht. 

Attribute consumer service index

Legt den Index des Attribute Consuming Service fest, welcher bei der Anmeldungsanfrage verwendet werden soll. Standardwert ist -1, was dem Standard des Identity Providers entspricht. 

Authentication request binding type

Übermittlungstyp, mit welchem FORMCYCLE eine Anmeldung am Identity Provider anfragt.

Response binding type

Übermittlungstyp, mit welchem der Identity Provider auf eine Anmeldung von FORMCYCLE antwortet.

Logout request binding type

Übermittlungstyp, mit welchem FORMCYCLE eine Abmeldung am Identity Provider anfragt.

Logout response binding type

Übermittlungstyp, mit welchem der Identity Provider auf eine Abmeldung von FORMCYCLE antwortet.

Signature canonicalization algorithm

Legt den Algortithmus fest, welcher für die Umwandlung der signierten Anfrage in eine standrdisierte XML-Normalform verwendet werden soll. Standardmäßig wird http://www.w3.org/2001/10/xml-exc-c14n# verwendet.

Black listed signature signing algorithms

Für das Signieren verbotene Algorithmen.

Signature algorithms

Für das Signieren erlaubte Algorithmen.

Signature reference digest methods

Gibt die Hash-Algorithmen an, welche beim Signieren der SAML-Aussagen (Assertions) erlaubt sind.