Logon e logoff únicos (WSFED IP)

casso13br
HID_sso-signout-wsfed
Conteúdo
A etapa de logon e logoff únicos permite configurar a operação de cada recurso.
Autenticação (WSFED)
A seção Autenticação permite especificar a maneira como o sistema de federação autentica os usuários durante as transações de logon único. Defina o método a ser usado para autenticar um usuário que não tem uma sessão.
É possível especificar as seguintes configurações:
Modo de autenticação
Indica se uma sessão é estabelecida por meio da autenticação de um usuário localmente ou da delegação da autenticação a um sistema de gerenciamento de acesso de terceiros remoto.
Padrão:
Local
Opções
: Selecione uma das seguintes opções e configure todos os campos adicionais dela:
  • Local—O sistema de federação está manipulando a autenticação do usuário. 
    Se você selecionar o campo Local para o modo de autenticação, digite um URL no campo URL de autenticação. Normalmente o URL aponta para um arquivo redirect.jsp. No entanto, se você marcar a caixa de seleção
    Usar URL seguro
    , o URL deve apontar para o serviço web secureredirect.
    URL de autenticação
    Especifica um URL protegido que a federação usa para autenticar usuários e criar uma sessão quando um recurso protegido é solicitado. Se o modo de autenticação tiver sido definido como Local e um usuário não tiver efetuado logon na autoridade de confirmação, os usuários serão enviados para esse URL. Esse URL deve apontar para o arquivo redirect.jsp, a menos que você marque a caixa de seleção
    Usar URL seguro
    casso13br
    Use um dos seguintes caminhos para a pasta redirectjsp como o filtro de recursos. O CA Web Agent Option Pack e o CA Access Gateway usam este filtro de recursos.
    • Caminho direto:
      /affwebservices/redirectjsp/
    • Caminho virtual:
      caminho do servidor em que está a pasta redirectjsp. Um caminho virtual comum é /siteminderagent/redirectjsp, que é definido quando o agente web é configurado com o Web Agent Option Pack ou com o Access Gateway. O caminho virtual aponta para o seguinte diretório virtual:
      • Agente web:
        web_agent_home
        /affwebservices/redirectjsp
      • CA Access Gateway:
        access_gateway_home
        /secure-proxy/Tomcat/webapps/affwebservices/redirectjsp
    Exemplos: http://
    myserver.idpA.com
    /affwebservices/redirectjsp/redirect.jsphttp://
    myserver.idpA.com
    /siteminderagent/redirectjsp/redirect.jsp 
    myserver
    identifica o servidor web com o pacote de opções do Agente web ou o
    CA Access Gateway
     instalados na autoridade de confirmação. O aplicativo redirectjsp está incluso nesses produtos.
    : proteja o URL de autenticação com uma diretiva de controle de acesso. Para a diretiva, configure uma regra, realm e esquema de autenticação. Para adicionar atributos do repositório de sessões ao assertion, ative a caixa de seleção Persistir as variáveis da sessão de autenticação, que é uma configuração no esquema de autenticação.
    Usar URL seguro
    Esta configuração instrui o serviço de logon único para criptografar apenas o parâmetro de consulta SMPORTALURL. Um SMPORTALURL criptografado impede que um usuário mal-intencionado modifique o valor e redirecione usuários autenticados para um site mal-intencionado. O SMPORTALURL é anexado ao URL de autenticação antes de o navegador redirecionar o usuário para estabelecer uma sessão. Após a autenticação do usuário, o navegador direciona o usuário de volta para o destino especificado no parâmetro de consulta SMPORTALURL.
    Se você marcar a caixa de seleção Usar URL seguro, execute as seguintes etapas:
    1. Defina o campo URL de autenticação como o seguinte URL: http(s)://
    idp_server:port
    /affwebservices/secure/secureredirect
    2. Proteja o serviço web secureredirect com uma política.
    Se a autoridade de confirmação atende a mais de um provedor de serviços, a autoridade de confirmação provavelmente autentica usuários diferentes para esses parceiros diferentes. Como resultado, para cada URL de autenticação que usa o serviço secureredirect, inclua esse serviço web em um realm diferente para cada parceiro.
    Para associar o serviço secureredirect a realms diferentes, modifique o arquivo web.xml e crie mapeamentos de recursos diferentes. Não é possível copiar o serviço web secureredirect em locais diferentes do servidor. Localize o arquivo web.xml no diretório
    web_agent_home
    /affwebservices/WEB-INF, onde
    web_agent_home
    é o local de instalação do agente web.
  • Delegada — Um sistema WAM (Web Access Management - Gerenciamento de Acesso à Web) de terceiros está manipulando a autenticação de usuário. Preencha os campos adicionais.
  • Seletor de credenciais — é exibida aos usuários uma página de seletor de credenciais que lista vários provedores de identidade. Os provedores de identidade podem ser parceiros de mídia social, WS-Federation, SAML ou OAuth. Os usuários selecionam o provedor de identidades apropriado e esse provedor autentica o usuário. A lista de provedores de identidade aceitáveis é definida em um grupo de métodos de autenticação. Para todos esses parceiros externos, o usuário já deve estar registrado neles.
  • Tipo de autenticação delegada (apenas para o modo Item delegado)
    Especifica se a autenticação de terceiros é realizada por meio da transmissão de um cookie de formato aberto ou de uma sequência de caracteres de consulta com a ID de logon do usuário e outras informações. Esse campo é exibido apenas se Item delegado for escolhido como o modo de autenticação.
    Opções:
    sequência de caracteres de consulta, cookie de formato aberto
    • Sequência de caracteres de consulta – para usar uma sequência de caracteres de consulta, a sequência de caracteres de redirecionamento de terceiros é criada e é adicionado um parâmetro de consulta chamado LoginIDHash a ela. O parâmetro LoginIDHash é uma combinação da ID de logon do usuário e um shared secret. Esses dois valores são combinados e, em seguida, processados por meio de um algoritmo de hash.
      não use o método de sequência de caracteres de consulta em um ambiente de produção. O método de redirecionamento de sequência de caracteres de consulta é somente para um ambiente de teste como prova de conceito. A opção de sequência de caracteres de consulta não produz uma parceria compatível com o FIPS.
    • Cookie de formato aberto – para usar o cookie de formato aberto, o sistema de terceiros poderá usar um SDK de Java ou .NET de federação para criar o cookie. Como alternativa, é possível usar uma linguagem de programação para criar um cookie manualmente. O terceiro redireciona o navegador para o seu sistema de federação, que recupera a ID de usuário.
  • URL da autenticação delegada
    Especifica o URL do sistema de gerenciamento de acesso à web de terceiros que manipula a autenticação do usuário. Se um usuário iniciar uma solicitação no sistema de federação, ele será redirecionado para o sistema de gerenciamento de acesso à web para autenticação. Após obter êxito na autenticação, o usuário é redirecionado de volta ao sistema de federação.
    Esse URL não é relevante se um usuário iniciar uma solicitação primeiro no sistema de gerenciamento de acesso à web.
    Valor:
    um URL válido que comece com http:// ou https://
  • Acompanhar status de autenticação delegada
    Verifica se a autenticação delegada foi bem-sucedida. Se houver falha na autenticação delegada, essa configuração determina o comportamento do sistema da federação. Essa caixa de seleção está marcada por padrão.
    Há falha na autenticação delegada, se o usuário não fornecer credenciais ao acessar um recurso protegido configurado para ela. Se o usuário tentar acessar o recurso novamente na mesma sessão de navegador, o navegador exibirá um erro 404. Além disso, o sistema de federação grava uma mensagem de erro nos arquivos affwebservices.log e FWsTrace.log. A mensagem de erro indica que as credenciais para autenticação delegada estão ausentes. O sistema da federação não redireciona o usuário para o URL de autenticação delegada para fornecer as credenciais.Para que o sistema da federação redirecione o usuário para o URL da autenticação delegada na mesma sessão de navegador, desmarque essa caixa de seleção. Ao desativar o rastreamento, o usuário pode tentar acessar o recurso novamente na mesma sessão de navegador sem receber o erro 404. Em vez disso, o sistema da federação redireciona o navegador para o URL da autenticação delegada, O usuário deverá fornecer mais uma vez as credenciais.
  • Segredo de hash (apenas sequência de caracteres de consulta)
    Determina o shared secret que é acrescentado à ID de logon de usuário para criar o parâmetro de consulta LoginIDHash. Essa configuração é relevante apenas se você selecionar a sequência de caracteres de consulta como o tipo de autenticação delegada.
  • Confirmar segredo de hash (apenas sequência de caracteres de consulta)
    Verifica o segredo de hash. Insira o valor do segredo de hash novamente.
  • Cookie de formato aberto (apenas cookies de formato aberto)
    O usuário é redirecionado para o aplicativo de destino por um redirecionamento HTTP 302 com um cookie de formato aberto, mas sem outros dados. O aplicativo do destinatário descriptografa o cookie criptografado para obter as informações do usuário.Se o provedor de serviço receber um assertion com vários valores de atributo, ele transmitirá todos os valores para o aplicativo de destino.Se você selecionar a opção de cookie de formato aberto para a autenticação delegada, a interface administrativa exibirá os seguintes campos adicionais:
    • Nome do cookie de formato aberto
      Especifica o nome do cookie.
      Transformação de criptografia
      Indica o algoritmo de criptografia a ser usado para criptografar o cookie de formato aberto.
      Se você selecionar um dos algoritmos compatíveis com FIPS (algoritmos AES), o sistema de destino deverá usar um SDK de federação para utilizar o cookie. O SDK deve estar no mesmo servidor que o aplicativo de destino.
      Se você estiver usando o SDK do .NET de federação para utilizar o cookie, use o algoritmo de criptografia AES128/CBC/PKCS5Padding.
      Senha de criptografia
      Indica a senha usada para criptografar o cookie. Os campos Senha de criptografia e Confirmar senha são obrigatórios.
      Confirmar senha
      Confirma a entrada de senha de criptografia.
      Ativar HMAC
      Indica que um HMAC (Hash Message Authentication Code - Código de Autenticação de Mensagem de Hash) é gerado usando a senha de criptografia fornecida nessa caixa de diálogo.
      Os MACs (Message Authentication Codes - Códigos de Autenticação de Mensagem) podem verificar a integridade das informações enviadas entre duas partes. As duas partes compartilham uma chave secreta para o cálculo e a verificação de valores de autenticação de mensagem. Um HMAC é um mecanismo de MAC que se baseia em funções de hash criptográfico.
      Se você marcar a caixa de seleção Ativar HMAC, o sistema gerará um valor de HMAC para seu cookie de formato aberto. O valor de HMAC é precedido ao valor do cookie de formato aberto e, em seguida, criptografa toda a sequência de caracteres. O sistema de federação coloca a sequência de caracteres criptografada no cookie de formato aberto que, em seguida, é transmitido para o aplicativo de destino.
      Duração da latência do cookie (segundos)
      Especifica o número de segundos subtraído da hora do sistema atual para contabilizar a diferença entre os relógios do sistema. A diferença está entre o seu sistema de federação e o aplicativo de terceiros que lida com a autenticação delegada.
      O software aplica a duração da latência à geração e ao consumo de cookie de formato aberto.
      Valor:
      Insira um valor em segundos.
  • Tempo limite ocioso
    Determina a quantidade de tempo que uma sessão de usuário autorizada pode ficar inativa antes que o agente a encerre. Se você estiver preocupado com os usuários que deixam suas estações de trabalho depois de acessar um recurso protegido, defina o tempo limite de ociosidade como um período mais curto. Se o tempo limite da sessão expirar, os usuários deverão se autenticar novamente antes de acessar os recursos.
    Essa configuração é ativada por padrão. Para especificar nenhum limite de tempo de ociosidade de sessão, desmarque a caixa de seleção. O tempo limite de ociosidade de sessão padrão é uma hora.
    Observação
    a sessão realmente expira dentro de um determinado período de manutenção após o valor de tempo limite de ociosidade especificado. O número de segundos especificado na chave do Registro a seguir determina o período de tempo:
    HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\siteminder\CurrentVersion\SessionServer\MaintenancePeriod
    Por exemplo, você define o tempo limite de ociosidade como 10 minutos. Também define o Registro para MaintenancePeriod como o valor padrão. O período mais longo antes do tempo limite de uma sessão ser tingido devido à inatividade é 11 minutos (tempo limite + período de manutenção).
    Para usar esse recurso com o esquema de autenticação Básico, o agente web deve ser configurado para exigir cookies.
    Considere as seguintes questões:
    • Para sessões persistentes, ative a opção Tempo limite ocioso e defina-a com um valor maior do que o de Período de validação.
    • É possível ignorar essa configuração usando o atributo de resposta WebAgent-OnAuthAccept-Session-Idle-Timeout. Um valor igual a zero indica que a sessão não será encerrada devido à inatividade.
    Padrão
    : 60 segundos
    Horas
    Especifica o número de horas para o período de tempo limite de ociosidade.
  • Minutos
    Especifica o número de minutos para o período de tempo limite de ociosidade.
  • Tempo limite máximo
    Determina a quantidade máxima de tempo que uma sessão de usuário pode ficar ativa antes que o agente solicite ao usuário para se autenticar novamente.
    Essa configuração é ativada por padrão. Para especificar nenhum período máximo de sessão, desmarque a caixa de seleção. O período máximo de sessão padrão é duas horas.
    • Horas
      Especifica o número de horas para o período máximo de sessão.
    • Minutos
      Especifica o número de minutos para o período máximo de sessão.
    Para usar esse recurso com o esquema de autenticação Básico, configure o agente web para exigir cookies.
    Observação:
    É possível ignorar essa configuração usando o atributo de resposta WebAgent-OnAuthAccept-Session-Max-Timeout.
  • Nível
    mínimo de autenticação
    Especifica o nível mínimo no qual o usuário deve estar autenticado para obter acesso a um realm. Se o usuário tiver sido autenticado nesse nível ou em um nível superior, o provedor de identidades gerará um assertion para ele. Se o usuário não estiver autenticado nesse nível ou em um nível superior, ele será redirecionado para o URL de autenticação para que possa se autenticar nesse nível.
Se você selecionar Seletor de credenciais como o modo de autenticação, preencha os seguintes campos:
  • Authentication Base URL
    Define o nome de host do servidor do
    CA Access Gateway
    no qual está instalado o serviço de tratamento de credenciais. Insira o valor no seguinte formato:
    https:
    nome_do_host_sps
    /chs/login ou http:
    nome_do_host_sps
    /chs/login
  • Grupos de métodos de autenticação
    Especifica o grupo de métodos de autenticação de provedores de identidade que deve ser exibido aos usuários para autenticação quando a parceria for chamada.
Logon único (WSFED IP)
  • Público
    Especifica o URL do público. O URL do público identifica a localização de um documento que descreve os termos e as condições do contrato de negócios entre a autoridade de confirmação e o provedor de serviço. O administrador na autoridade de confirmação determina o público. Este valor de público deve corresponder ao valor de público do provedor de serviço e à ID da entidade do parceiro do recurso. Todas essas três configurações devem usar o mesmo valor.
    Valor:
    um URL válido.
    O valor de público não pode exceder 1024 caracteres e há diferenciação de maiúsculas e minúsculas.
    Exemplo:
    http://fed.example.com/portal1
  • URL do Security Token Consumer Service
    Especifica o URL do serviço no parceiro de recurso que recebe as mensagens de resposta do token de segurança e extrai o assertion. O local padrão do serviço é:
    https://
    rp_server:port
    /affwebservices/public/wsfeddispatcher
    rp_server:port
    Identifica o servidor web e a porta no parceiro de recurso que está hospedando o Web Agent Option Pack ou o SPS federation gateway. Esses componentes fornecem o aplicativo Federation Web Services.
    Observação:
    o serviço WSFedDispatcher recebe todas as mensagens de entrada do WS-Federation e encaminha o processamento da solicitação para o serviço apropriado com base nos dados do parâmetro de consulta. Embora haja um serviço wsfedsecuritytokenconsumer, o serviço wsfeddispatcher é recomendado para a entrada desse campo.
  • Duração da validade do SSO (segundos)
    Especifica o número de segundos pelos quais um assertion gerado é válido.
    Em um ambiente de teste, você pode aumentar o valor de Duração da validade para mais de 60, o padrão, se a seguinte mensagem estiver no log de rastreamento:
    Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237)  - 
    current time (Fri Sep 09 17:28:33 EDT 2005) is after SessionNotOnOrAfter
    time (Fri Sep 09 17:28:20 EDT 2005)
    Observação:
    a duração da validade do SSO e a duração da latência instruem o servidor de políticas sobre como calcular o tempo total de validade da solicitação de logon único.
    Padrão:
    60
    Valor:
    insira um número inteiro positivo.
  • Formulário de postagem personalizado
    Nomeia o formulário HTML de postagem automática personalizado para o logon único de HTTP POST. Insira apenas o nome do formulário, e não o caminho para o formulário. Um formulário denominado defaultpostform.html é instalado com o produto.
    Uma postagem automática personalizada permite que o servidor de políticas envie informações de SAML para o parceiro de recurso. A página física deve residir no diretório %NETE_WA_ROOT%\customization, em que %NETE_WA_ROOT% é a localização do Web Agent Option Pack. Se o agente web e o Web Agent Option Pack estiverem instalados no mesmo sistema, eles estarão instalados no mesmo diretório, por exemplo, webagent\customization.
  • Período de validação
    Para visualizar essa caixa de seleção, ative o servidor da sessão usando o Console de gerenciamento do servidor de políticas.
    Determina o período de tempo máximo entre as chamadas do agente para o servidor de políticas a fim de validar uma sessão. As chamadas de validação de sessão informam o servidor de políticas que um usuário ainda está ativo e confirmam que a sessão de usuário ainda está válida.
    Para especificar o período de validação, insira valores nos campos Horas, Minutos e Segundos. Se você estiver configurando o sistema para fornecer um contexto de segurança de usuário do Windows, defina para um valor alto, por exemplo, 15 a 30 minutos. Além disso, se as sessões ativas forem menores do que o valor máximo de cache de sessão de usuário do agente, não será necessário que o agente valide novamente uma sessão.
    o período de validação da sessão deve ser menor do que o valor de tempo limite de ociosidade especificado.
Logoff (WSFED IP)
A seção Logoff da caixa de diálogo é exibida apenas por meio da ativação do repositório de sessões. Ative o repositório de sessões usando o Console de gerenciamento do servidor de políticas.
  • Ativar logoff
    Ativa o recurso de logoff para a parceria.
  • URL de confirmação do logoff
    Especifica o URL no provedor de identidades que executa o logoff.
    O URL padrão é:
    http://
    ip_server:port
    /affwebservices/signoutconfirmurl.jsp
    ip_server:port
    Especifica o servidor e o número da porta do sistema do provedor de identidades. O sistema está hospedando o Web Agent Option Pack ou o SPS federation gateway, dependendo do componente que está instalado em sua rede de federação.
    O signoutconfirmurl.jsp é incluído no Web Agent Option Pack ou no SPS federation gateway. É possível mover essa página a partir do diretório padrão, onde o mecanismo do servlet para o Federation Web Services pode acessar a página.
    Se o parceiro de recurso iniciar um logoff, a página de confirmação de logoff deve ser um recurso desprotegido no parceiro de recurso. Se o provedor de identidades iniciar um logoff, a página de confirmação de logoff deve ser um recurso desprotegido no site do provedor de identidades.
  • URL de logoff remoto
    Especifica o URL do serviço de logoff no Parceiro de recurso. O Provedor de identidades envia a solicitação signoutcleanup para esse URL.
    Exemplo: se
    Single Sign-On
    for usado como parceiro de recurso, então, o URL é https://
    ip_service
    :
    port
    /affwebservices/public/wsfeddispatcher.
    Observação:
    o serviço wsfeddispatcher recebe todas as mensagens de entrada do WS-Federation. Esse serviço encaminha a solicitação para o serviço adequado com base nos dados de parâmetro de consulta. Embora haja um serviço wsfedsignout, use o URL de wsfeddispatcher para o URL de logoff.