Caixa de diálogo Logon único (destinatário do SAML 1.1)
casso13br
HID_partnership-sso-saml1-consumer
A etapa Logon único permite configurar operações de logon único.
SSO (destinatário do SAML 1.1)
Permite configurar o logon único. Essa Seção contém as seguintes configurações:
- Perfil do SSODetermina se você está usando o artefato SAML ou a associação POST para o logon único. Selecione uma associação para a parceria.Opções:Artefato HTTP, HTTP POST
- PúblicoEspecifica o público do assertion do SAML.O público é um URL de um documento que descreve os termos e as condições do acordo de negócios entre dois parceiros federados. O administrador no site do produtor determina o público. Esse valor deve ser idêntico ao do público especificado no produtor.Valor:um URL.O valor de público não pode exceder 1024 caracteres e há diferenciação de maiúsculas e minúsculas.Exemplo:http://www.ca.com/SampleAudience
- ID de origem remota(Apenas para o artefato HTTP do SAML 1.1) Especifica uma ID exclusiva no artefato SAML que identifica o produtor. O destinatário usa essa ID para identificar um emissor de assertions.A especificação de SAML define uma ID de origem como um número binário, codificado em hexadecimal de 20 bytes que identifica o produtor. O valor de ID de origem que você inserir é a representação hexadecimal de 40 bytes.É recomendável que você especifique o hash SHA1 da ID de entidade como o valor da ID de origem. Se você não inserir um valor para esse parâmetro, oCA Single Sign-onusará o hash SHA1 por padrão.Padrão para a federação de parceria:hash SHA1 da ID de entidade
- URL de serviço SSO remotoEspecifica o URL do serviço de logon único no produtor.Padrão se ohttp://CA Single Sign-onfor o produtor:producer_server:port/affwebservices/public/intersitetransfer
- URL remoto do Assertion Retrieval Service (apenas para o artefato HTTP)Especifica o URL do Assertion Retrieval Service no produtor. O Assertion Retrieval Service recupera o assertion que se baseia no artefato recebido do destinatário. Uma entrada é necessária para o logon único do artefato.Entrada:URL do Assertion Retrieval ServiceSe o seu produtor remoto usar oCA Single Sign-on, utilize os seguintes URLs:
- Se o SSL não estiver ativado:http://producer_server:port/affwebservices/publicsaml1ars
- Se o SSL estiver ativado:https://producer_server:ssl_port/affwebservices/publicsaml1ars
- Nível de proteçãoPermite o logon único para esquemas de autenticação com níveis de proteção iguais ou menores dentro do mesmo domínio de diretivas. O nível de proteção também exige autenticação adicional para acessar recursos com esquemas de nível de proteção mais altos.Limites:de 1 a 1000.Os esquemas de autenticação têm um nível de proteção padrão que pode ser alterado. Utilize níveis de proteção altos para recursos essenciais e esquemas de nível mais baixo para recursos comumente acessíveis.
- Ativar auditoria síncronaEspecifica que oCA Single Sign-ondeve registrar as ações do servidor de políticas e do agente web antes de permitir o acesso a recursos. OCA Single Sign-onnão permite o acesso a recursos do realm até que a atividade tenha sido registrada nos logs de auditoria.
Canal de apoio (destinatário do SAML 1.1)
A seção Canal de apoio permite configurar o método de autenticação que protege a comunicação do canal de apoio para o logon único do artefato HTTP.
Essa seção exibe as seguintes configurações:
- Método de autenticaçãoEspecifica o método de autenticação para as transações do canal de apoio.Padrão:Sem autenticaçãoOpções:Básico, Certificado de cliente, Sem autenticação
- BásicoIndica que um esquema de autenticação Básico está protegendo o acesso do canal de apoio ao Assertion Retrieval Service. Dessa maneira, o destinatário deve fornecer um nome de usuário e uma senha.Se você selecionar Básico, defina as configurações adicionais a seguir:
- Nome de usuário do canal de apoio(Apenas para a autenticação Básica) Especifica o nome de usuário ao usar a autenticação Básica.Insira o mesmo valor especificado para esse campo no produtor.
- Senha(Apenas para a autenticação Básica) Especifica a senha do usuário. Essa senha é relevante somente se você usar Básico ou Credenciais básicas sobre SSL como o método de autenticação no canal de apoio.Os dois parceiros federados devem concordar com a senha.
- Confirmar senha(Apenas para a autenticação Básica) Confirma a senha do usuário para a autenticação Básica pelo canal de apoio. Insira a senha novamente.Observação:se o SSL estiver ativado para a conexão do canal de apoio, a autenticação Básica poderá ser selecionada.
- Tempo limite do canal de apoio (segundos)Especifica o tempo máximo que o sistema de federação deve aguardar por uma resposta após o envio de uma solicitação de canal de apoio ao Assertion Retrieval Service. Especifique um intervalo em segundos.
- Certificado de clienteIndica que o esquema de autenticação de certificado de cliente X.509 protege o canal de apoio para a comunicação com o Assertion Retrieval Service.A autenticação de certificado de cliente exige o uso de SSL para todos os URLs de ponto de extremidade. Os URLs de ponto de extremidade localizam os diversos serviços de SAML em um servidor, como o Assertion Retrieval Service. O requisito de SSL significa que o URL para o serviço deve começar comhttps://.Para implementar a autenticação de certificado de cliente, o destinatário envia um certificado para o produtor antes da ocorrência de qualquer transação. O produtor armazena o certificado em seu repositório de dados de certificados. Ambos os parceiros devem ter o certificado que ativou a conexão SSL em seus respectivos repositórios; caso contrário, a autenticação de certificado de cliente não funcionará.Durante o processo de autenticação, o destinatário envia seu certificado ao produtor. O produtor compara o certificado recebido com o certificado em seu repositório de dados para verificar se eles são correspondentes. Se houver uma correspondência, o produtor permite que o destinatário acesse o Assertion Retrieval Service.Se você selecionar a autenticação de certificado de cliente, defina a configuração adicional a seguir:
- Alias do certificado de clienteEspecifica o alias que está associado a um par de chave privada/certificado no repositório de dados de certificados. Selecione o alias na lista suspensa. Se não possuir um certificado, você poderá importar um selecionando Importar ou poderá gerar um selecionando Gerar.
- Tempo limite do canal de apoio (segundos)Especifica o tempo máximo que o sistema de federação deve aguardar por uma resposta após o envio de uma solicitação de canal de apoio ao Assertion Retrieval Service. Especifique um intervalo em segundos.
- Sem autenticaçãoIndica que nenhuma credencial é exigida do destinatário. O canal de apoio e o Assertion Retrieval Service não estão protegidos.se um único produtor firmar parceria com diferentes destinatários, cada parceria deverá ter um valor de ID de origem exclusivo.