Caixa de diálogo SSO e SLO (SP do SAML 2.0)

casso13br
HID_partnerships-SSO-relying
Conteúdo
A etapa SSO e SLO permite determinar a configuração de logon e logoff único.
Observação:
para visualizar as configurações de SLO, ative o servidor da sessão usando o Console de gerenciamento do servidor de políticas.
SSO (SP do SAML 2.0)
A seção SSO permite configurar informações de logon único. As configurações incluem:
Associação da solicitação de autenticação
Especifica os tipos de associações que o SP usa quando envia uma solicitação de autenticação ao IdP.
Opções
: redirecionamento de HTTP, HTTP-POST
Perfil do SSO
Determina o perfil de logon único que o sistema de federação usa para processar solicitações. Você pode selecionar todas as associações. A entidade local determinará a sequência em que as associações serão tentadas.
Opções:
Artefato HTTP, POST HTTP, Cliente ou proxy aprimorado
Selecione o perfil de ECP se as entidades na parceria estiverem se comunicando indiretamente por meio de um cliente aprimorado. Um cliente aprimorado pode ser um navegador ou outro agente de usuário ou um proxy aprimorado, como um proxy sem fio para um dispositivo sem fio.
Público
Especifica o público do assertion do SAML.
O público é um URL de um documento que descreve os termos e as condições do acordo de negócios entre dois parceiros federados. O administrador na autoridade de confirmação determina o público. O valor inserido deve corresponder ao público especificado para autoridade de confirmação.
Valor:
um URL.
Não exceder 1024 para o valor de público. Além disso, o valor diferencia letras maiúsculas de minúsculas.
Exemplo:
http://www.ca.com/fedserver
Transações permitidas
Indica o parceiro que pode iniciar o logon único. O controle do parceiro que pode iniciar o logon único permite gerenciar as chamadas da federação. Por exemplo, você pode selecionar SP somente iniciado. Nesse caso, um SP pode iniciar uma transação federada apenas quando ele solicita um determinado contexto de autenticação.
Exigir o consentimento do usuário
Indica que o SP exige que o provedor de identidades solicite ao usuário permissão para compartilhar suas informações de identidade. Para confirmar o consentimento, o SP compara o valor de consentimento do usuário no assertion recebido com um dos valores de consentimento a seguir:
  • urn:oasis:names:tc:SAML:2.0:consent:obtained
    O provedor de identidades recebeu o consentimento do usuário.
  • urn:oasis:names:tc:SAML:2.0:consent:prior
    O provedor de identidades recebeu o consentimento do usuário antes da ocorrência da transação de logon único.
  • urn:oasis:names:tc:SAML:2.0:consent:current-implicit
    O provedor de identidades recebeu o consentimento de maneira implícita em algum momento durante a transação de logon único. Frequentemente, esse consentimento faz parte de uma atividade que implica consentimento. O consentimento implícito geralmente está mais próximo da hora da transação do que o consentimento prévio.
  • urn:oasis:names:tc:SAML:2.0:consent:current-explicit
    O provedor de identidades recebeu o consentimento durante a ação que iniciou a transação de logon único.
Nível de proteção
Permite o logon único para esquemas de autenticação com níveis de proteção iguais ou menores dentro do mesmo domínio de diretivas. O nível de proteção também exige autenticação adicional para acessar recursos com esquemas de nível de proteção mais altos.
Valor:
entre 1 e 1000.
Os esquemas de autenticação têm um nível de proteção padrão que pode ser alterado. Utilize níveis de proteção altos para recursos essenciais e esquemas de nível mais baixo para recursos comumente acessíveis.
Aplicar assertion de uso único
Impede que assertions do SAML 2.0 sejam reutilizados em um provedor de serviços para estabelecer uma segunda sessão.
Ativar auditoria síncrona
Especifica que o
CA Single Sign-on
deve registrar as ações do servidor de políticas e do agente web antes de permitir o acesso a recursos. O
CA Single Sign-on
não permite o acesso a recursos do realm até que a atividade tenha sido registrada nos logs de auditoria
.
Usar sessão persistente
(Opcional) Especifica que as sessões de usuário são rastreadas e salvas no repositório de sessões e em cookies. O servidor de políticas tem acesso a essas informações para utilização em decisões de autenticação.
Marque essa caixa de seleção para ativar as sessões persistentes. A marcação dessa caixa de seleção é obrigatória para o logoff único e os recursos de diretivas de uso único.
Importante:
para ver essa caixa de seleção, ative o servidor de sessão usando o Console de gerenciamento do servidor de políticas do
CA Single Sign-on
.
  • Período de validação
    Determina o período de tempo máximo entre as chamadas do agente para o servidor de políticas a fim de validar uma sessão. As chamadas de validação de sessão informam o servidor de políticas que um usuário ainda está ativo e confirmam que a sessão de usuário ainda está válida.
    Para especificar o período de validação, insira valores nos campos Horas, Minutos e Segundos. Se você estiver configurando o
    CA Single Sign-on
    para fornecer um contexto de segurança de usuário do Windows, defina para um valor alto, por exemplo, 15 a 30 minutos. Além disso, se as sessões ativas forem menores do que o valor máximo de cache de sessão de usuário do agente, não será necessário que o agente valide novamente uma sessão com o servidor de sessão.
    Importante:
    o período de validação da sessão deve ser menor do que o valor de tempo limite de ociosidade especificado.
URL de serviço SSO remoto
Lista os URLs dos serviços de logon único na autoridade de confirmação. Cada entrada na tabela especifica o local para o qual o serviço AuthnRequest pode redirecionar uma mensagem de AuthnRequest. Clique em Adicionar linha para adicionar outras entradas à tabela. Todos os valores definidos durante a criação ou a importação do provedor de serviço remoto são inseridos nessa tabela.
A tabela inclui as seguintes colunas:
  • Selecionar
    Indica a entrada a ser usada.
  • Associação
    Especifica a associação que tem suporte na autoridade de confirmação.
    Opções:
    Redirecionamento HTTP, HTTP-POST, SOAP
  • URL
    Especifica o serviço de logon único na autoridade de confirmação.
    Valor:
    URL do serviço de SSO na autoridade de confirmação remota
  • Excluir
    A seleção do ícone exclui a entrada.
URLs remotos de resolução do artefato SOAP
Lista os URLs do serviço de resolução de artefato na autoridade de confirmação. Esse serviço recupera o assertion que se baseia no artefato recebido do provedor de serviço. Uma entrada nessa tabela é necessária para o logon único do artefato. Os valores definidos durante a criação ou a importação do provedor de serviço remoto são inseridos nessa tabela.
A tabela inclui as seguintes colunas:
  • Selecionar
    Instrui o
    CA Single Sign-on
    sobre a entrada a ser usada.
  • Índice remissivo
    Associa um valor de índice ao URL específico do serviço de resolução de artefato. Um valor igual a zero indica a entrada padrão.
    Padrão:
    0
    Valor:
    de 0 a 65535
  • URL
    URL do serviço de resolução de artefato.
    Se o seu provedor de identidades remoto usar o
    CA Single Sign-on
    , utilize o URL a seguir:
    http://
    idp_host:port
    /affwebservices/public/saml2ars
  • Excluir
    A seleção do ícone exclui a entrada.
Serviço Manage Name ID
Essa seção descreve os campos para configurar o serviço Manage Name ID.
  • Associação do MNI: SOAP
    Ative o serviço Manage Name ID. SOAP é a única associação com suporte.
  • Criptografar a ID do nome
    Criptografar a ID do nome.
  • Exigir ID de nome criptografada
    Exige uma ID de nome criptografada nas mensagens recebidas
  • Assinar solicitação
    Assina a mensagem de solicitação ManageNameID.
  • Exigir solicitação assinada
    Exige uma mensagem de solicitação ManageNameID assinada.
  • Assinar resposta
    Assina a mensagem de resposta ManageNameId.
  • Exigir resposta assinada
    Exige uma mensagem de resposta ManageNameID assinada.
  • Excluir ID do nome
    Limpa o atributo de diretório do usuário que mantém a ID do nome do usuário para esta parceria. Observe que você deve selecionar Excluir ID do nome ou Ativar notificação para tornar o recurso funcional.
  • Tempo limite do SOAP (segundos)
    Especifica o número de minutos a aguardar até que a solicitação expire.
    Padrão
    : 60
  • Contagem de repetição
    Especifica o número de vezes para repetir uma solicitação.
    Padrão
    : 3
  • Limite de tentativas (minutos)
    Especifica o número de minutos a aguardar antes de repetir uma mensagem de falha.
    Padrão
    : 15
  • (Opcional) Ativar notificação
    Instrui a entidade de federação do
    Single Sign-On
    a notificar o aplicativo cliente quando um usuário for encerrado. Uma notificação informa o serviço NameID em segundo plano quando um encerramento de NameID é bem-sucedido. Ativa as notificações se o cliente que possui o aplicativo solicitado deseja controlar a remoção de um usuário do diretório de usuários. 
  • URL da notificação 
    Especifica o URL do SP ou IdP remoto no qual a entidade federada local envia a notificação de que a NameID para um usuário federado foi encerrada.
  • Notificar tempo limite (segundos)
    Especifica o número de segundos a aguardar até que a solicitação de notificação atinja o tempo limite.
  • Tipo de autenticação da notificação
    Especifica se o cliente requer credenciais ao enviar um encerramento. Se você selecionar Básico, o serviço de notificação emite uma notificação em segundo plano para o URL de notificação. O aplicativo cliente pode autenticar que a federação do
    Single Sign-On
    tem permissão para emitir essa notificação. Se você selecionar Básico, especifique os valores para as configurações de Nome de usuário da notificação e NotifyPassword. Esses valores servem como credenciais quando uma notificação é enviada para todo o canal de notificação.
    Opções
    : NoAuth, Basic
  • Nome de usuário da notificação
    Especifica um nome de usuário para o serviço de notificação. Esse nome faz parte das credenciais para o aplicativo cliente verificar a entidade que se comunica pelo URL de notificação. 
  • NotifyPassword
    Especifica uma senha para o serviço de notificação. A senha faz parte das credenciais para o aplicativo cliente verificar a entidade que se comunica pelo URL de notificação.  Um aplicativo cliente fornece essa autenticação para garantir que um cliente válido está enviando a notificação.
  • Notificar confirmação de senha
    Confirma o valor de NotifyPassword.
Serviço de solicitante de atributo no SP
Na seção Serviço de solicitante de atributo, configure os atributos que o solicitante de atributo deseja recuperar a partir de uma autoridade de atributo. Esses atributos são incluídos na consulta de atributo que é enviada para a autoridade de atributo.
Essa Seção contém as seguintes configurações:
  • Ativar
    Ativa o solicitante para gerar consultas de atributos.
  • Exigir assertion assinado
    Indica que o solicitante de atributo apenas aceita assertions de atributos que a autoridade de atributo assine. O assertion é rejeitado se ele não estiver assinado.
  • casso13br
    Ativar consulta em proxy
    Indica que um IdP de terceiros responde ao atributo de consulta. O recurso de consulta em proxy é para uma implantação onde terceiros estão atuando como o IdP e a autoridade de atributo. O sistema do servidor de políticas local que você está configurando possui duas funções ao implementar uma consulta em proxy. O sistema age como o SP e solicitante de atributo em relação ao IdP de terceiros. Esse sistema local também funciona como um IdP e autoridade de atributo em relação ao SP que possui o aplicativo solicitado.
    Uma consulta em proxy ocorre quando as seguintes condições são encontradas:
    • O atributo não foi encontrado no diretório de usuários ou no repositório de sessões do sistema local.
    • O usuário é inicialmente autenticado pelo IdP de terceiros.
    O servidor de políticas consulta o IdP de terceiros. Se o IdP localizar o atributo, ele retorna uma resposta de consulta. O servidor de políticas adiciona os atributos da resposta ao repositório de sessões. O sistema retornará a resposta com os atributos para o SP que possui o aplicativo. Esse SP é o solicitante do atributo original.
  • Assinar consulta de atributo
    Instrui o solicitante de atributo a assinar a consulta de atributos antes de enviá-la à autoridade de atributo.
  • Exigir resposta assinada
    Instrui o solicitante de atributo a aceitar somente respostas assinadas.
  • Serviços de atributos
    Especifica o URL do serviço de atributos em cada autoridade de atributo.
    Para indicar a autoridade de atributo em atuação que responde às consultas do solicitante, selecione o botão de opção associado.
Serviço de solicitante de atributo no SP
Para incluir o valor correto na consulta de atributos que o solicitante de atributo envia para a autoridade de atributo, configure a sessão ID do nome.
Observação:
essa seção só é configurável se o recurso consulta de atributos estiver ativado.
Os campos são:
  • Formato da ID do nome
    Especifica o formato da ID do nome. Esse valor deve corresponder ao formato da ID de nome esperada na autoridade de atributo, ou a solicitação falhará.
  • Tipo de ID de nome
    Define o tipo de atributo usado para a ID do nome.
    • Estático
      Indica que a ID do nome é um valor estático especificado no campo Valor.
    • Atributo de usuário
      Indica que a ID do nome é um atributo do usuário de um repositório de usuários. O atributo de usuário é especificado no campo Valor.
    • Atributo da sessão
      Indica que a ID do nome é o atributo do repositório de sessões especificado no campo Valor.
    • Atributo do DN
      Indica que a ID do nome é um atributo associado a um DN. Preencha os campos Valor e Especificação de DN.
    • Valor
      Especifica o valor da ID do nome. As entradas válidas neste campo são baseadas na seleção do tipo de ID do nome.
      • Estático – Insira o valor de texto estático.
      • Atributo de usuário – Insira o nome de um atributo de usuário de um repositório de usuários.
      • Atributo de sessão – Insira o nome de um atributo de sessão do repositório de sessões do servidor de políticas.
      • Atributo do DN – Insira o nome do atributo de usuário que está associado a um DN do grupo ou unidade organizacional. Além disso, defina a especificação de DN.
    • Especificação de DN
      Especifica o DN do grupo ou unidade organizacional que o sistema usa para obter o atributo de DN apropriado.
SLO (SP do SAML 2.0)
A seção SLO permite configurar o SLO (Single Logout - Logoff Único).
Ative a caixa de seleção Usar sessão persistente na seção SSO dessa caixa de diálogo se desejar usar o SLO.
Essa seção exibe as seguintes configurações:
  • Associação do SLO
    Especifica se o perfil de logoff único está ativado na autoridade de confirmação e qual a associação em uso. A associação de redirecionamento HTTP envia mensagens de SLO usando solicitações HTTP GET. A associação SOAP não depende do HTTP após a solicitação inicial e envia mensagens por um canal de apoio.
    Opções:
    Redirecionamento HTTP, HTTP-POST, SOAP
  • URL de confirmação do SLO
    Especifica o URL para o qual o usuário é redirecionado quando o processo de logoff único é concluído. Geralmente, esse site inicia o logoff único. O URL de confirmação de SLO deve ser acessível ao seu site. O sistema de federação usa esse URL quando o SLO é iniciado em seu site.
    Esse valor é um recurso local, e não um recurso em um domínio de parceiro federado. Por exemplo, se o domínio local for acme.com e o seu parceiro for exemplo.com, o URL de confirmação do SLO deverá ser acme.com.
    Insira um URL válido.
  • Duração da validade do SLO (segundos)
    Especifica o número de segundos durante os quais uma solicitação de SLO é válida.
    Padrão:
    60
    segundos
    Opções:
    um número inteiro positivo
  • O estado de retransmissão substitui o URL de confirmação do SLO (apenas para Redirecionamento HTTP)
    Substitui o valor do URL de confirmação do SLO pelo valor do parâmetro de consulta de estado de retransmissão incluído na solicitação de logoff único.
    Essa caixa de seleção fornece a você um maior controle sobre o destino de confirmação de logoff único. O parâmetro de consulta de estado de retransmissão permite definir dinamicamente o URL de confirmação para solicitações de SLO.
  • Reutilizar o índice da sessão
    Indica se o 
    CA Single Sign-on
    envia o mesmo índice de sessão na asserção para o mesmo parceiro em uma única sessão de navegador. Um usuário pode executar a federação várias vezes com o mesmo parceiro usando a mesma janela de navegador. A seleção dessa opção instrui o IdP a enviar o mesmo índice de sessão em cada assertion. Se você desativar essa opção, o
    CA Single Sign-on
     irá gerar um novo índice de sessão sempre que ocorrer o logon único. 
    Você pode ativar essa opção para ajudar a garantir o logoff único de parceiros terceiros que não atendem ao índice da sessão transmitido em assertions mais recentes.
    Observação:
    essa configuração é relevante apenas se o logoff único estiver ativado.
  • URLs do serviço SLO
    Lista os URLs do serviço de SLO disponíveis. A tabela inclui as seguintes entradas:
    • Selecionar
      Indica que o valor é a entrada para o URL do serviço de SLO.
    • Associação
      Indica a associação da conexão de SLO.
      Opções:
      Redirecionamento HTTP, HTTP-POST, SOAP
    • URL do local
      Especifica o URL do serviço de logoff único no parceiro remoto. A solicitação de logoff único é enviada para esse URL.
      Opções:
      um URL válido
      Se o sistema de federação estiver sendo usado no provedor de identidades remoto, use os URLs a seguir:
      Associação de redirecionamento HTTP:
      http://
      idp_host:port
      /affwebservices/public/saml2slo
      Associação de HTTP-POST
      :
      http://
      idp_host:port
      /affwebservices/public/saml2slo
      Associação SOAP:
      http://
      idp_host:port
      /affwebservices/public/saml2slosoap
      Se um produto de federação de terceiros estiver no provedor de identidades, use o URL apropriado para o produto.
    • URL do local da resposta
      (Opcional) Especifica o URL do serviço de logoff único para uma entidade. Um URL do local da resposta é usado em uma configuração em que há um serviço para solicitações de logoff único e um serviço para respostas de logoff único. Por padrão, se apenas o URL do local for fornecido, ele será usado para a solicitação e a resposta.
      Insira um URL válido.
Canal de apoio (SP do SAML 2.0)
casso13br
Na seção Canal de apoio, você pode configurar o método de autenticação entre os canais de apoio. O canal de apoio possui diferentes finalidades, dependendo dos seguintes critérios:
  • O logon único do artefato HTTP está configurado.
  • O logoff único por meio de associação SOAP está configurado.
  • O seu sistema de federação é o provedor de identidades ou o provedor de serviços.
  • A comunicação é realizada por um canal de entrada ou saída.
A seção Canal de apoio exibe as seguintes configurações:
  • Configuração de entrada/saída
    Configure um canal de apoio de entrada ou saída, conforme o necessário para os vínculos selecionados. O canal de apoio possui apenas uma configuração. Se dois serviços usarem um mesmo canal, eles usarão a mesma configuração de canal de apoio. Por exemplo, o canal de entrada de um IdP local oferece suporte ao SSO de artefato HTTP e ao SLO por SOAP. Esses dois serviços devem usar a mesma configuração de canal de apoio.
  • Método de autenticação
    Especifica o método de autenticação que protege o canal de apoio.
    Padrão:
    Sem autenticação
    Opções:
    Básico, Certificado de cliente, Sem autenticação
    Básico
    Indica que um esquema de autenticação Básico está protegendo a comunicação pelo canal de apoio.
    Observação:
    se o SSL estiver ativado para a conexão do canal de apoio, você também poderá selecionar a autenticação Básica.
    Se você selecionar a autenticação Básica, defina as configurações adicionais a seguir:
    • Nome de usuário do canal de apoio
      (Autenticação Básica — Apenas para o canal de saída). Especifica o nome de usuário do SP ao usar a autenticação Básica no canal de apoio. Digite o nome da parceria configurada no IdP remoto. Por exemplo, no IdP remoto, uma parceria chamada Partners1 está definida entre CompanyA (IdP) e CompanyB (SP). Em CompanyB, o SP local, o valor inserido é Partners1 para associar esse nome de usuário à parceria associada no IdP.
    • Senha
      Especifica a senha de usuário para o nome de usuário do canal de apoio. Essa senha é relevante somente se você usar Básico ou Credenciais básicas sobre SSL como o método de autenticação no canal de apoio.
      Os dois parceiros concordam com essa senha.
    • Confirmar senha
      Confirma novamente a entrada de senha.
    • Tempo limite do canal de apoio (segundos)
      (Apenas para o canal de saída) Especifica o tempo máximo que o sistema deve aguardar por uma resposta após o envio de uma solicitação de canal de apoio para o Serviço de resolução de artefato. Especifique um intervalo em segundos.
      Padrão:
      300 segundos
      Valor:
      número inteiro positivo
  • Certificado de cliente
    Indica que um esquema de autenticação de certificado de cliente X.509 protege a comunicação para o Serviço de resolução de artefato por todo o canal de apoio.
    A autenticação de certificado de cliente exige o uso de SSL para todos os URLs de ponto de extremidade. Os URLs de ponto de extremidade localizam os diversos serviços de SAML em um servidor, como o Serviço de resolução de artefato. O requisito de SSL significa que o URL para o serviço deve começar com
    https://
    .
    Para implementar a autenticação de certificado de cliente, o SP envia um certificado para a autoridade de confirmação antes da ocorrência de qualquer transação. A autoridade de confirmação armazena o certificado em seu banco de dados. Ambos os parceiros devem ter o certificado que ativou a conexão SSL em seus respectivos bancos de dados; caso contrário, a autenticação de certificado de cliente não funcionará.
    Durante o processo de autenticação, o provedor de serviço envia seu certificado à autoridade de confirmação. A autoridade de confirmação compara o certificado recebido com o certificado em seu banco de dados para verificar se eles são correspondentes. Se forem correspondentes, a autoridade de confirmação permitirá que o provedor de serviço acesse o Serviço de resolução de artefato.
    Se você selecionar a autenticação de certificado de cliente, defina a configuração adicional a seguir:
    • Alias do certificado de cliente
      Especifica o alias que está associado a um certificado de cliente no banco de dados principal. Selecione o alias na lista suspensa.
    • Tempo limite do canal de apoio (segundos)
      (Apenas para o canal de saída). Especifica o tempo máximo que o
      CA Single Sign-on
      deve aguardar por uma resposta após o envio de uma solicitação de canal de apoio para o Serviço de resolução de artefato. Especifique um intervalo em segundos.
      Padrão:
      300 segundos
      Valor:
      número inteiro positivo
  • Sem autenticação
    Indica que o provedor de serviço não é solicitado a fornecer credenciais. O canal de apoio e o Serviço de resolução de artefato não estão protegidos. Você ainda pode ativar o SSL com essa opção. O tráfego do canal de apoio é criptografado, mas nenhuma credencial é trocadas entre as partes.
    Selecione Sem autenticação para fins de teste, mas não para a produção, exceto quando o sistema de federação estiver configurado para a tolerância a falhas ativada por SSL e ele estiver atrás de um servidor proxy. O servidor proxy lida com a autenticação quando possui o certificado do servidor. Nesse caso, todas as parcerias do tipo IdP->SP utilizam Sem autenticação como o tipo de autenticação.