Caixa de diálogo SSO e SLO (SP do SAML 2.0)
casso126figsbrbr
HID_partnerships-SSO-relying
A etapa SSO e SLO permite determinar a configuração de logon e logoff único.
Observação:
para visualizar as configurações de SLO, ative o servidor da sessão pelo Console de gerenciamento do servidor de políticas.SSO (SP do SAML 2.0)
A seção SSO permite configurar informações de logon único. As configurações incluem:
Associação da solicitação de autenticação
Especifica os tipos de associações que o SP usa quando envia uma solicitação de autenticação ao IdP.
Opções
: redirecionamento HTTP, POST HTTPPerfil do SSO
Determina o perfil de logon único que o sistema de federação usa para processar solicitações. Você pode selecionar todas as associações. A entidade local determinará a sequência em que as associações serão tentadas.
Opções:
Artefato HTTP, POST HTTP, Cliente ou proxy aprimoradoSelecione o perfil de ECP se as entidades na parceria estiverem se comunicando indiretamente por meio de um cliente aprimorado. Um cliente aprimorado pode ser um navegador ou outro agente de usuário ou um proxy aprimorado, como um proxy sem fio para um dispositivo sem fio.
Público
Especifica o público do assertion do SAML.
O público é um URL de um documento que descreve os termos e as condições do acordo de negócios entre dois parceiros federados. O administrador na autoridade de confirmação determina o público. O valor inserido deve corresponder ao público especificado para autoridade de confirmação.
Valor:
um URL.Exemplo:
http://www.ca.com/fedserverTransações permitidas
Indica o parceiro que pode iniciar o logon único. O controle do parceiro que pode iniciar o logon único permite gerenciar as chamadas da federação. Por exemplo, você pode selecionar SP somente iniciado. Nesse caso, um SP pode iniciar uma transação federada apenas quando ele solicita um determinado contexto de autenticação.
Exigir o consentimento do usuário
Indica que o SP exige que o provedor de identidades solicite ao usuário permissão para compartilhar suas informações de identidade. Para confirmar o consentimento, o SP compara o valor de consentimento do usuário no assertion recebido com um dos valores de consentimento a seguir:
- urn:oasis:names:tc:SAML:2.0:consent:obtainedO provedor de identidades recebeu o consentimento do usuário.
- urn:oasis:names:tc:SAML:2.0:consent:priorO provedor de identidades recebeu o consentimento do usuário antes da ocorrência da transação de logon único.
- urn:oasis:names:tc:SAML:2.0:consent:current-implicitO provedor de identidades recebeu o consentimento de maneira implícita em algum momento durante a transação de logon único. Frequentemente, esse consentimento faz parte de uma atividade que implica consentimento. O consentimento implícito geralmente está mais próximo da hora da transação do que o consentimento prévio.
- urn:oasis:names:tc:SAML:2.0:consent:current-explicitO provedor de identidades recebeu o consentimento durante a ação que iniciou a transação de logon único.
Nível de proteção
Permite o logon único para esquemas de autenticação com níveis de proteção iguais ou menores dentro do mesmo domínio de diretivas. O nível de proteção também exige autenticação adicional para acessar recursos com esquemas de nível de proteção mais altos.
Valor:
entre 1 e 1000.Os esquemas de autenticação têm um nível de proteção padrão que pode ser alterado. Utilize níveis de proteção altos para recursos essenciais e esquemas de nível mais baixo para recursos comumente acessíveis.
Aplicar assertion de uso único
Impede que assertions do SAML 2.0 sejam reutilizados em um provedor de serviços para estabelecer uma segunda sessão.
Ativar auditoria síncrona
Indica que as ações do servidor de políticas e do agente web devem ser registradas antes que seja permitido aos usuários acessar os recursos. O servidor de políticas não permite o acesso a recursos do realm até que a atividade tenha sido registrada nos logs de auditoria
.
Usar sessão persistente
(Opcional) Especifica que as sessões de usuário são rastreadas e salvas no repositório de sessões e em cookies. O servidor de políticas tem acesso a essas informações para utilização em decisões de autenticação. Para visualizar essa caixa de seleção, ative o servidor da sessão pelo Console de gerenciamento do servidor de políticas.
Marque essa caixa de seleção para ativar as sessões persistentes. A marcação dessa caixa de seleção é obrigatória para o logoff único e os recursos de diretivas de uso único.
Período de validação
Determina o período de tempo máximo entre as chamadas do agente para o servidor de políticas a fim de validar uma sessão. As chamadas de validação de sessão informam o servidor de políticas que um usuário ainda está ativo e confirmam que a sessão de usuário ainda está válida.
Para especificar o período de validação, insira valores nos campos Horas, Minutos e Segundos. Para fornecer um contexto de segurança de usuário do Windows, defina para um valor alto, por exemplo, 15 a 30 minutos. Além disso, se as sessões ativas forem menores do que o valor máximo de cache de sessão de usuário do agente, não será necessário que o agente valide novamente uma sessão com o servidor de sessão.
Importante:
o período de validação da sessão deve ser menor do que o valor de tempo limite de ociosidade especificado.Envie o URL do ACS na solicitação de autenticação
Marque essa caixa de seleção para incluir o URL do Assertion Consumer Service na solicitação de autenticação enviada ao IdP. Esse URL informa o IdP para o qual enviar a resposta do assertion.
URL de serviço SSO remoto
Lista os URLs dos serviços de logon único na autoridade de confirmação. Cada entrada na tabela especifica o local para o qual o serviço AuthnRequest pode redirecionar uma mensagem de AuthnRequest. Clique em Adicionar linha para adicionar outras entradas à tabela. Todos os valores definidos durante a criação ou a importação do provedor de serviço remoto são inseridos nessa tabela.
A tabela inclui as seguintes colunas:
- SelecionarIndica a entrada a ser usada.
- AssociaçãoEspecifica a associação que tem suporte na autoridade de confirmação.Opções:Redirecionamento HTTP, POST HTTP, SOAP
- URLEspecifica o serviço de logon único na autoridade de confirmação.Valor:URL do serviço de SSO na autoridade de confirmação remota
- ExcluirA seleção do ícone exclui a entrada.
URLs remotos de resolução do artefato SOAP
Lista os URLs do serviço de resolução de artefato na autoridade de confirmação. Esse serviço recupera o assertion que se baseia no artefato recebido do provedor de serviço. Uma entrada nessa tabela é necessária para o logon único do artefato. Os valores definidos durante a criação ou a importação do provedor de serviço remoto são inseridos nessa tabela.
A tabela inclui as seguintes colunas:
- SelecionarInstrui oCA Single Sign-onsobre a entrada a ser usada.
- Índice remissivoAssocia um valor de índice ao URL específico do serviço de resolução de artefato. Um valor igual a zero indica a entrada padrão.Padrão:0Limites:de 0 a 65535
- URLURL do serviço de resolução de artefato.Se o seu provedor de identidades remoto usar oCA Single Sign-on, utilize o URL a seguir:http://idp_host:port/affwebservices/public/saml2ars
- ExcluirA seleção do ícone exclui a entrada.
Serviço Manage Name ID
Essa seção descreve os campos para configurar o serviço Manage Name ID.
- Associação do MNI: SOAPAtive o serviço Manage Name ID. SOAP é a única associação com suporte.
- Criptografar a ID do nomeCriptografar a ID do nome.
- Exigir ID de nome criptografadaExige uma ID de nome criptografada nas mensagens recebidas
- Assinar solicitaçãoAssina a mensagem de solicitação ManageNameID.
- Exigir solicitação assinadaExige uma mensagem de solicitação ManageNameID assinada.
- Assinar respostaAssina a mensagem de resposta ManageNameId.
- Exigir resposta assinadaExige uma mensagem de resposta ManageNameID assinada.
- Excluir ID do nomeLimpa o atributo de diretório do usuário que mantém a ID do nome do usuário para esta parceria. Observe que você deve selecionar Excluir ID do nome ou Ativar notificação para tornar o recurso funcional.
- Tempo limite do SOAP (segundos)Especifica o número de minutos a aguardar até que a solicitação expire.Padrão: 60
- Contagem de repetiçãoEspecifica o número de vezes para repetir uma solicitação.Padrão: 3
- Limite de tentativas (minutos)Especifica o número de minutos a aguardar antes de repetir uma mensagem de falha.Padrão: 15
- (Opcional) Ativar notificaçãoInstrui a entidade de federação doSingle Sign-Ona notificar o aplicativo cliente quando um usuário for encerrado. Uma notificação informa o serviço NameID em segundo plano quando um encerramento de NameID é bem-sucedido. Ativa as notificações se o cliente que possui o aplicativo solicitado deseja controlar a remoção de um usuário do diretório de usuários.
- URL da notificaçãoEspecifica o URL do SP ou IdP remoto no qual a entidade federada local envia a notificação de que a NameID para um usuário federado foi encerrada.
- Notificar tempo limite (segundos)Especifica o número de segundos a aguardar até que a solicitação de notificação atinja o tempo limite.
- Tipo de autenticação da notificaçãoEspecifica se o cliente requer credenciais ao enviar um encerramento. Se você selecionar Básico, o serviço de notificação emite uma notificação em segundo plano para o URL de notificação. O aplicativo cliente pode autenticar que a federação doSingle Sign-Ontem permissão para emitir essa notificação. Se você selecionar Básico, especifique os valores para as configurações de Nome de usuário da notificação e NotifyPassword. Esses valores servem como credenciais quando uma notificação é enviada para todo o canal de notificação.Opções: NoAuth, Basic
- Nome de usuário da notificaçãoEspecifica um nome de usuário para o serviço de notificação. Esse nome faz parte das credenciais para o aplicativo cliente verificar a entidade que se comunica pelo URL de notificação.
- NotifyPasswordEspecifica uma senha para o serviço de notificação. Essa senha faz parte das credenciais para o aplicativo cliente verificar a entidade que se comunica pelo URL de notificação. Um aplicativo cliente fornece essa autenticação para garantir que um cliente válido está enviando a notificação.
- Notificar confirmação de senhaConfirma o valor de NotifyPassword.
Serviço de solicitante de atributo no SP
Na seção Serviço de solicitante de atributo, configure os atributos que o solicitante de atributo deseja recuperar a partir de uma autoridade de atributo. Esses atributos são incluídos na consulta de atributo que é enviada para a autoridade de atributo.
Essa Seção contém as seguintes configurações:
- AtivarAtiva o solicitante para gerar consultas de atributos.
- Exigir assertion assinadoIndica que o solicitante de atributo apenas aceita assertions de atributos que a autoridade de atributo assine. O assertion é rejeitado se ele não estiver assinado.
- casso126figsbrbrAtivar consulta em proxyIndica que um IdP de terceiros responde ao atributo de consulta. O recurso de consulta em proxy é para uma implantação onde terceiros estão atuando como o IdP e a autoridade de atributo. O sistema do servidor de políticas local que você está configurando possui duas funções ao implementar uma consulta em proxy. O sistema age como o SP e solicitante de atributo em relação ao IdP de terceiros. Esse sistema local também funciona como um IdP e autoridade de atributo em relação ao SP que possui o aplicativo solicitado.Uma consulta em proxy ocorre quando as seguintes condições são encontradas:
- O atributo não foi encontrado no diretório de usuários ou no repositório de sessões do sistema local.
- O usuário é inicialmente autenticado pelo IdP de terceiros.
O servidor de políticas consulta o IdP de terceiros. Se o IdP localizar o atributo, ele retorna uma resposta de consulta. O servidor de políticas adiciona os atributos da resposta ao repositório de sessões. O sistema retornará a resposta com os atributos para o SP que possui o aplicativo. Esse SP é o solicitante do atributo original. - Assinar consulta de atributoInstrui o solicitante de atributo a assinar a consulta de atributos antes de enviá-la à autoridade de atributo.
- Exigir resposta assinadaInstrui o solicitante de atributo a aceitar somente respostas assinadas.
- Serviços de atributosEspecifica o URL do serviço de atributos em cada autoridade de atributo.Para indicar a autoridade de atributo em atuação que responde às consultas do solicitante, selecione o botão de opção associado.
Serviço de solicitante de atributo no SP
Para incluir o valor correto na consulta de atributos que o solicitante de atributo envia para a autoridade de atributo, configure a sessão ID do nome.
Observação:
essa seção só é configurável se o recurso consulta de atributos estiver ativado.Os campos são:
- Formato da ID do nomeEspecifica o formato da ID do nome. Esse valor deve corresponder ao formato da ID de nome esperada na autoridade de atributo, ou a solicitação falhará.
- Tipo de ID de nomeDefine o tipo de atributo usado para a ID do nome.
- EstáticoIndica que a ID do nome é um valor estático especificado no campo Valor.
- Atributo de usuárioIndica que a ID do nome é um atributo do usuário de um repositório de usuários. O atributo de usuário é especificado no campo Valor.
- Atributo da sessãoIndica que a ID do nome é o atributo do repositório de sessões especificado no campo Valor.
- Atributo do DNIndica que a ID do nome é um atributo associado a um DN. Preencha os campos Valor e Especificação de DN.
- ValorEspecifica o valor da ID do nome. As entradas válidas neste campo são baseadas na seleção do tipo de ID do nome.
- Estático – Insira o valor de texto estático.
- Atributo de usuário – Insira o nome de um atributo de usuário de um repositório de usuários.
- Atributo de sessão – Insira o nome de um atributo de sessão do repositório de sessões do servidor de políticas.
- Atributo do DN – Insira o nome do atributo de usuário que está associado a um DN do grupo ou unidade organizacional. Além disso, defina a especificação de DN.
- Especificação de DNEspecifica o DN do grupo ou unidade organizacional que o sistema usa para obter o atributo de DN apropriado.
SLO (SP do SAML 2.0)
A seção SLO permite configurar o SLO (Single Logout - Logoff Único).
Ative a caixa de seleção Usar sessão persistente na seção SSO dessa caixa de diálogo se desejar usar o SLO.
Essa seção exibe as seguintes configurações:
- Associação do SLOEspecifica se o perfil de logoff único está ativado na autoridade de confirmação e qual a associação em uso. A associação de redirecionamento HTTP envia mensagens de SLO usando solicitações HTTP GET. A associação SOAP não depende do HTTP após a solicitação inicial e envia mensagens por um canal de apoio.Opções:Redirecionamento HTTP, POST HTTP, SOAP
- URL de confirmação do SLOEspecifica o URL para o qual o usuário é redirecionado quando o processo de logoff único é concluído. Geralmente, esse site inicia o logoff único. O URL de confirmação de SLO deve ser acessível ao seu site. O sistema de federação usa esse URL quando o SLO é iniciado em seu site.Esse valor é um recurso local, e não um recurso em um domínio de parceiro federado. Por exemplo, se o domínio local for acme.com e o seu parceiro for exemplo.com, o URL de confirmação do SLO deverá ser acme.com.Insira um URL válido.
- Duração da validade do SLO (segundos)Especifica o número de segundos durante os quais uma solicitação de SLO é válida.Padrão:60segundosOpções:um número inteiro positivo
- O estado de retransmissão substitui o URL de confirmação do SLO (apenas para Redirecionamento HTTP)Substitui o valor do URL de confirmação do SLO pelo valor do parâmetro de consulta de estado de retransmissão incluído na solicitação de logoff único.Essa caixa de seleção fornece a você um maior controle sobre o destino de confirmação de logoff único. O parâmetro de consulta de estado de retransmissão permite definir dinamicamente o URL de confirmação para solicitações de SLO.
- Reutilizar o índice da sessãoIndica se oCA Single Sign-onenvia o mesmo índice de sessão na asserção para o mesmo parceiro em uma única sessão de navegador. Um usuário pode executar a federação várias vezes com o mesmo parceiro usando a mesma janela de navegador. A seleção dessa opção instrui o IdP a enviar o mesmo índice de sessão em cada assertion. Se você desativar essa opção, oCA Single Sign-onirá gerar um novo índice de sessão sempre que ocorrer o logon único.Você pode ativar essa opção para ajudar a garantir o logoff único de parceiros terceiros que não atendem ao índice da sessão transmitido em assertions mais recentes.Observação:essa configuração é relevante apenas se o logoff único estiver ativado.
- URLs do serviço SLOLista os URLs do serviço de SLO disponíveis. A tabela inclui as seguintes entradas:
- SelecionarIndica que o valor é a entrada para o URL do serviço de SLO.
- AssociaçãoIndica a associação da conexão de SLO.Opções:Redirecionamento HTTP, POST HTTP, SOAP
- URL do localEspecifica o URL do serviço de logoff único no parceiro remoto. A solicitação de logoff único é enviada para esse URL.Opções:um URL válidoSe o sistema de federação estiver sendo usado no provedor de identidades remoto, use os URLs a seguir:Associação de redirecionamento HTTP:http://idp_host:port/affwebservices/public/saml2sloAssociação de POST HTTP:http://idp_host:port/affwebservices/public/saml2sloAssociação SOAP:http://idp_host:port/affwebservices/public/saml2slosoapSe um produto de federação de terceiros estiver no provedor de identidades, use o URL apropriado para o produto.
- URL do local da resposta(Opcional) Especifica o URL do serviço de logoff único para uma entidade. Um URL do local da resposta é usado em uma configuração em que há um serviço para solicitações de logoff único e um serviço para respostas de logoff único. Por padrão, se apenas o URL do local for fornecido, ele será usado para a solicitação e a resposta.Insira um URL válido.
Canal de apoio (SP do SAML 2.0)
casso126figsbrbr
Na seção Canal de apoio, você pode configurar o método de autenticação entre os canais de apoio. O canal de apoio possui diferentes finalidades, dependendo dos seguintes critérios:
- O logon único do artefato HTTP está configurado.
- O logoff único por meio de associação SOAP está configurado.
- O seu sistema de federação é o provedor de identidades ou o provedor de serviços.
- A comunicação é realizada por um canal de entrada ou saída.
A seção Canal de apoio exibe as seguintes configurações:
- Configuração de entrada/saídaConfigure um canal de apoio de entrada ou saída, conforme o necessário para os vínculos selecionados. O canal de apoio possui apenas uma configuração. Se dois serviços usarem um mesmo canal, eles usarão a mesma configuração de canal de apoio. Por exemplo, o canal de entrada de um IdP local oferece suporte ao SSO de artefato HTTP e ao SLO por SOAP. Esses dois serviços devem usar a mesma configuração de canal de apoio.
- Método de autenticaçãoEspecifica o método de autenticação que protege o canal de apoio.Padrão:Sem autenticaçãoOpções:Básico, Certificado de cliente, Sem autenticaçãoBásicoIndica que um esquema de autenticação Básico está protegendo a comunicação pelo canal de apoio.Observação:se o SSL estiver ativado para a conexão do canal de apoio, você também poderá selecionar a autenticação Básica.Se você selecionar a autenticação Básica, defina as configurações adicionais a seguir:
- Nome de usuário do canal de apoio(Autenticação Básica — Apenas para o canal de saída). Especifica o nome de usuário do SP ao usar a autenticação Básica no canal de apoio. Digite o nome da parceria configurada no IdP remoto. Por exemplo, no IdP remoto, uma parceria chamada Partners1 está definida entre CompanyA (IdP) e CompanyB (SP). Em CompanyB, o SP local, o valor inserido é Partners1 para associar esse nome de usuário à parceria associada no IdP.
- SenhaEspecifica a senha de usuário para o nome de usuário do canal de apoio. Essa senha é relevante somente se você usar Básico ou Credenciais básicas sobre SSL como o método de autenticação no canal de apoio.Os dois parceiros concordam com essa senha.
- Confirmar senhaConfirma novamente a entrada de senha.
- Tempo limite do canal de apoio (segundos)(Apenas para o canal de saída) Especifica o tempo máximo que o sistema deve aguardar por uma resposta após o envio de uma solicitação de canal de apoio para o Serviço de resolução de artefato. Especifique um intervalo em segundos.Padrão:300 segundosValor:número inteiro positivo
- Certificado de clienteIndica que um esquema de autenticação de certificado de cliente X.509 protege a comunicação para o Serviço de resolução de artefato por todo o canal de apoio.A autenticação de certificado de cliente exige o uso de SSL para todos os URLs de ponto de extremidade. Os URLs de ponto de extremidade localizam os diversos serviços de SAML em um servidor, como o Serviço de resolução de artefato. O requisito de SSL significa que o URL para o serviço deve começar comhttps://.Para implementar a autenticação de certificado de cliente, o SP envia um certificado para a autoridade de confirmação antes da ocorrência de qualquer transação. A autoridade de confirmação armazena o certificado em seu banco de dados. Ambos os parceiros devem ter o certificado que ativou a conexão SSL em seus respectivos bancos de dados; caso contrário, a autenticação de certificado de cliente não funcionará.Durante o processo de autenticação, o provedor de serviço envia seu certificado à autoridade de confirmação. A autoridade de confirmação compara o certificado recebido com o certificado em seu banco de dados para verificar se eles são correspondentes. Se forem correspondentes, a autoridade de confirmação permitirá que o provedor de serviço acesse o Serviço de resolução de artefato.Se você selecionar a autenticação de certificado de cliente, defina a configuração adicional a seguir:
- Alias do certificado de clienteEspecifica o alias que está associado a um certificado de cliente no banco de dados principal. Selecione o alias na lista suspensa.
- Tempo limite do canal de apoio (segundos)(Apenas para o canal de saída). Especifica o tempo máximo que oCA Single Sign-ondeve aguardar por uma resposta após o envio de uma solicitação de canal de apoio para o Serviço de resolução de artefato. Especifique um intervalo em segundos.Padrão:300 segundosValor:número inteiro positivo
- Sem autenticaçãoIndica que o provedor de serviço não é solicitado a fornecer credenciais. O canal de apoio e o Serviço de resolução de artefato não estão protegidos. Você ainda pode ativar o SSL com essa opção. O tráfego do canal de apoio é criptografado, mas nenhuma credencial é trocadas entre as partes.Selecione Sem autenticação para fins de teste, mas não para a produção, exceto quando o sistema de federação estiver configurado para a tolerância a falhas ativada por SSL e ele estiver atrás de um servidor proxy. O servidor proxy lida com a autenticação quando possui o certificado do servidor. Nesse caso, todas as parcerias do tipo IdP->SP utilizam Sem autenticação como o tipo de autenticação.