Ativar a autenticação SAML para o Service Catalog

SAML (Security Assertion Markup Language) é um padrão para conectar os usuários aos aplicativos com base em suas sessões em outro contexto. O SSO de SAML funciona por meio da transferência da identidade do usuário de um local (o provedor de identidades) para outro (o provedor de serviços). Isso é feito por meio de uma troca de documentos XML assinados digitalmente.
casm173
SAML (Security Assertion Markup Language) é um padrão para conectar os usuários aos aplicativos com base em suas sessões em outro contexto. O SSO de SAML funciona por meio da transferência da identidade do usuário de um local (o provedor de identidades) para outro (o provedor de serviços). Isso é feito por meio de uma troca de documentos XML assinados digitalmente.
Este artigo explica como ativar a SAML para servidores Tomcat do CA Service Catalog no ADFS (Active Directory Federation Services - Serviços de Federação do Active Directory) e CA Single Sign-On (Siteminder):
Pré-requisitos
Pré-requisitos para ativar a SAML no ADFS
Se desejar usar o ADFS como provedor de identidades, instale o ADFS no Windows Server 2012 R2 ou versão posterior. Depois de concluir a instalação do ADFS e do CA Service Catalog, você deverá configurar o ADFS com as seguintes informações:
  1. Ao configurar a opção Adicionar Confiança da Terceira Parte Confiável no ADFS, especifique o seguinte na tela
    Configurar URL
    :
    1. Marque a caixa de seleção
      Habilitar suporte para o protocolo Passivo do WS-Federation
      .
    2. Digite o valor na opção
      URL do protocolo WS-Federation Passive do provedor de terceira parte confiável
      da seguinte maneira:
      https://<catalog hostname>:<https port>/usm/wpf
    3. Marque a caixa de seleção
      Habilitar suporte para o protocolo WebSSO do SAML 2.0
      .
    4. Digite o valor na opção
      URL do serviço SSO do SAML 2.0 da terceira parte confiável:
      , da seguinte maneira:
      https://<catalog hostname>:<https port>/usm/wpf
  2. Ao adicionar regras de declaração, especifique o seguinte na etapa
    Configurar Regra de Declaração
    :
    1. Nome da regra de declaração
      : especifique um nome para a regra de declaração. Por exemplo,
      Regra de declaração do Catalog
      .
    2. Armazenamento de atributo
      :
      selecione a origem de dados na lista suspensa. Por exemplo,
      Active Directory
      .
    3. Atributo LDAP
      : selecione
      Nome da conta do SAM
      na lista suspensa.
    4. Tipo de declaração de saída
      : selecione
      Nome
      na lista suspensa.
Pré-requisitos para ativar a SAML no CA Single Sign-On (Siteminder)
Se desejar usar o CA Single Sign-On (anteriormente conhecido como CA Siteminder) como seu provedor de identidades, faça o seguinte:
  1. Execute o CA Single Sign-on como administrador.
  2. Vá para Federation Partnership Partnership Federation e clique em Partnerships.
  3. Na lista de parceria de federação, clique no nome daquela que você deseja usar.
  4. Expanda a seção de Restrições de IP e verifique as propriedades de Atributos do assertion na página de propriedades Parcerias.
  5. O valor do campo Espaço para nome deve ser o URI da Declaração correspondente.
    Se o valor for especificado como
    Não especificado
    , a autenticação da SAML não funcionará.
  6. Verifique se o certificado para configurar o provedor de identidades tem a
    assinatura SHA-256
    .
Ativar a autenticação da SAML para servidores web Tomcat do CA Service Catalog
Execute as seguintes etapas em todos os servidores web Tomcat do CA Service Catalog:
  1. Certifique-se de que o SSL está ativado para o CA Service Catalog. Para obter mais informações, consulte Ativar autenticação SSL para o CA SAM 17.3.
  2. Certifique-se de que as seguintes informações estejam presentes no arquivo
    web.xml
    localizado onde você instalou o CA Service Catalog/servidor web Tomcat:
    Por exemplo:
    C:\Arquivos de Programas\CA\Service Catalog\view\webapps\usm\WEB-INF\web.xml
  3. Verifique a configuração na instrução
    <!-- Adicionar filtro aqui -->
    :
    <filter>
    <filter-name>FederationFilter</filter-name>
    <filter-class>com.auth10.federation.WSFederationFilter</filter-class>
    <init-param>
    <param-name>login-page-url</param-name>
    <param-value>main.jsp</param-value>
    </init-param>
    <init-param>
    <param-name>exclude-urls-regex</param-name>
    <param-value>/images/|/js/|/css/</param-value>
    </init-param>
    </filter>
  4. Verifique a seguinte configuração na instrução <!-- Adicionar mapeamento de filtro aqui -->:
    <filter-mapping>
    <filter-name>FederationFilter</filter-name>
    <url-pattern>/*</url-pattern>
    </filter-mapping>
  5. Feche o arquivo
    web.xml
    .
  6. Reinicie os serviços do CA Service Catalog.
Configurar a SAML na interface do usuário do CA Service Catalog
Execute o seguinte para configurar a SAML no ADFS ou CA SSO:
Configurar a SAML para ADFS
Configure os parâmetros de SAML na interface de usuário do CA Service Catalog para ADFS como se segue:
  1. Certifique-se de que tenha seguido as etapas mostradas em Ativar a autenticação SAML para servidores web Tomcat do CA Service Catalog.
  2. Efetue logon como spadmin ou administrador do CA Service Catalog.
  3. Vá para
    Administrador
    ,
    Configurações
    ,
    Autenticação de logon único
    e configure o seguinte:
    Parâmetros
    Descrição
    Tipo de logon único
    Altere o tipo de logon único para
    SAML
    .
    SAML-Federation Audienceuris
    Defina o URI do aplicativo a partir do qual aceitar os tokens.
    Por exemplo:
    https://<catalog hostname>:<catalog-Tomcat-SSL-Port>/usm/wpf|https://<catalog hostname>:<catalog-Tomcat-SSL-Port>/usm/wpf
    SAML-Federation EnableManualRedirect
    false
    SAML-Federation Realm
    Defina o local a partir do qual os tokens são enviados.
    Por exemplo:
    https://<catalog hostname>:<catalog-Tomcat-SSL-Port>/usm/wpf
    SAML-Federation Reply
    Defina o URL do local que recebe as respostas.
    https://<catalog hostname>:<catalog-Tomcat-SSL-Port>/usm/wpf
    SAML-Federation Trustedissuers Friendlyname
    Especifique um nome comum para o provedor de identidades.
    Por exemplo:
    sun06_cert - <ADFS hostname>-I6029.sun06.local.com
    SAML-Federation Trustedissuers Issuer
    Especifique o URL do provedor de identidades:
    Por exemplo:
    https://<trusted_issuer_URL>/<identity_provider>/ls/idpinitiatedsignon.aspx
    SAML-Federation Trustedissuers Thumbprint
    Defina o valor da impressão digital do certificado fornecido pelo provedor de identidades. É necessário especificar a impressão digital na seção de
    autenticação de token
    do certificado.
    Por exemplo:
    375181a915d1e699ef8e8e47c20d550be9dda024
Configurar a SAML para o CA Single-Sign On
Execute as seguintes etapas:
  1. Certifique-se de que você concluiu as etapas mostradas em Ativar a autenticação SAML para os servidores web Tomcat do CA Service Catalog
  2. Efetue logon como spadmin ou administrador do CA Service Catalog.
  3. Vá para
    Administrador
    ,
    Configurações
    ,
    Autenticação de logon único
    e configure o seguinte:
    Parâmetros
    Descrição
    Tipo de logon único
    Altere o tipo de logon único para
    SAML
    .
    SAML-Federation Audienceuris
    Defina o URI do aplicativo a partir do qual aceitar os tokens:
    SAML-Federation Audienceuris–https://<catalog hostname>:<catalog-Tomcat-SSL-Port>/usm/wpf|https://<catalog hostname>:<catalog-Tomcat-SSL-Port>/usm/wpf
    SAML-Federation EnableManualRedirect
    false
    SAML-Federation Realm
    Defina o local a partir do qual os tokens são enviados. Por exemplo:
    https://<catalog hostname>:<catalog-Tomcat-SSL-Port>/usm/wpf
    SAML-Federation Reply
    Defina o URL do local que recebe as respostas.
    https://<catalog hostname>:<catalog-Tomcat-SSL-Port>/usm/wpf
    SAML-Federation Trustedissuers Friendlyname
    Defina um nome comum para o provedor de identidades:
    ipslcm
    SAML-Federation Trustedissuers Issuer
    Defina o URL do provedor de identidades:
    http://<siteminderURL>/affwebservices/public/wsfeddispatcher
    SAML-Federation Trustedissuers Thumbprint
    Defina o valor da impressão digital do certificado fornecido pelo provedor de identidades. É necessário especificar a impressão digital na seção de
    autenticação de token
    do certificado.
    Por exemplo:
    ED516ED2AE632E15A52BE0C4D1BCFDDA73B9A146
Solução de problemas
Se você fornecer dados ou valores incorretos para Propriedades da SAML na interface do usuário do Catalog, conforme mostrado aqui, não será possível efetuar logon na interface do CA Service Catalog. Para solucionar esse problema, execute as seguintes etapas:
  1. Vá até onde você instalou o servidor web Tomcat do CA Service Catalog e localize o arquivo web.xml.
    Por exemplo:
    C:\Arquivos de Programas\CA\Service Catalog\view\webapps\usm\WEB-INF\web.xml
  2. Abra web.xml e localize
    <FederationFilter>
    em
    <!---Filtro de autenticação SAML-->
    e comente a seção inteira de filtro na seguinte instrução:
    <filter>
    <filter-name>FederationFilter</filter-name>
    <filter-class>com.auth10.federation.WSFederationFilter</filter-class>
    <init-param>
    <param-name>login-page-url</param-name>
    <param-value>main.jsp</param-value>
    </init-param>
    <init-param>
    <param-name>exclude-urls-regex</param-name>
    <param-value>/images/|/js/|/css/</param-value>
    </init-param>
    </filter>
  3. Em web.xml, localize
    <FederationFilter>
    em
    <!—Mapeamento de filtro SAML---->
    e comente
    <mapeamento-de-filtro>
    :
    <filter-mapping>
    <filter-name>FederationFilter</filter-name>
    <url-pattern>/*</url-pattern>
    </filter-mapping>
  4. Feche o arquivo
    web.xml
    .
  5. Reinicie os serviços do CA Service Catalog.