Propriedades do esquema de autenticação via SAML 1.x
Conteúdo
casso126figsbrbr
Conteúdo
Esquema de autenticação -- Modelo de artefatos SAML
Você pode configurar o esquema de autenticação de artefatos SAML para o SAML 1.x. Após o esquema ser configurado, você pode atribuí-lo a um realm.
casso126figsbrbr
A seção de configuração geral e de esquema comum da caixa de diálogo de esquema de autenticação inclui os campos a seguir:
- NomeDesigna um nome para o esquema de autenticação.Observação:quando o ADAM (Active Directory Application Mode - Modo de Aplicativo do Active Directory) é usado como um repositório de diretivas, o comprimento máximo para o nome do esquema de autenticação é de 22 caracteres.
- DescriçãoFornece uma descrição do esquema de autenticação.
A configuração comum de esquemas identifica o esquema de autenticação. Essa parte da seção geral contém os seguintes campos:
- Tipo de esquema de autenticaçãoEspecifica o modelo que você está usando para o esquema de autenticação.
- Nível de proteçãoPermite o logon único para esquemas de autenticação com níveis de proteção iguais ou menores dentro do mesmo domínio de diretivas. O nível de proteção também exige autenticação adicional para acessar recursos com esquemas de nível de proteção mais altos.Limites:1 e 1.000.Os esquemas de autenticação têm um nível de proteção padrão que pode ser alterado. Utilize níveis de proteção altos para recursos essenciais e esquemas de nível mais baixo para recursos comumente acessíveis.
- Diretivas de senha ativadas para este esquema de autenticaçãoIndica que diretivas de senha configuradas estão associadas ao esquema de autenticação.
Configure os detalhes do esquema na seção Configuração do esquema da caixa de diálogo.
Esquema de autenticação -- Modelo de SAML POST
Você pode configurar o esquema de autenticação via SAML POST para o perfil de SAML 1.x POST. Depois de configurar o esquema de autenticação, o atribua a um realm.
casso126figsbrbr
A seção de configuração geral e de esquema comum da caixa de diálogo de esquema de autenticação inclui os campos a seguir:
- NomeDesigna um nome para o esquema de autenticação.Observação:quando o ADAM (Active Directory Application Mode - Modo de Aplicativo do Active Directory) é usado como um repositório de diretivas, o comprimento máximo para o nome do esquema de autenticação é de 22 caracteres.
- DescriçãoFornece uma descrição do esquema de autenticação.
A configuração comum de esquemas identifica o esquema de autenticação. Essa parte da seção geral contém os seguintes campos:
- Tipo de esquema de autenticaçãoEspecifica o modelo que você está usando para o esquema de autenticação.
- Nível de proteçãoPermite o logon único para esquemas de autenticação com níveis de proteção iguais ou menores dentro do mesmo domínio de diretivas. O nível de proteção também exige autenticação adicional para acessar recursos com esquemas de nível de proteção mais altos.Limites:1 e 1.000.Os esquemas de autenticação têm um nível de proteção padrão que pode ser alterado. Utilize níveis de proteção altos para recursos essenciais e esquemas de nível mais baixo para recursos comumente acessíveis.
- Diretivas de senha ativadas para este esquema de autenticaçãoIndica que diretivas de senha configuradas estão associadas ao esquema de autenticação.
Configure os detalhes do esquema na seção Configuração do esquema da caixa de diálogo.
Esquema de autenticação -- Modelo de artefato SAML -- Configuração do esquema
A seção Configuração do esquema do esquema de autenticação de artefatos SAML 1.x permite especificar:
- Como o destinatário se comunica com o produtor para recuperar um assertion.
- Como autenticar um usuário com um assertion.
- Como direcionar o usuário para o recurso de destino.
Os campos na seção de configuração de esquema são os seguintes:
- Nome afiliadoNomeia o destinatário. Insira uma sequência de caracteres alfabéticos, por exemplo, EmpresaA.O nome inserido deve corresponder ao valor do campo Nome do objeto afiliado associado no produtor.No perfil de artefatos SAML, o produtor envia o assertion por meio de um canal de apoio protegido para o destinatário. Proteja o canal de apoio com a autenticação de certificados básica ou de cliente.As seguintes diretrizes de configuração aplicam-se a esse campo para o logon único de artefatos HTTP:
- SenhaDefine a senha que o destinatário usa para se identificar no produtor.Essa senha deve corresponder à senha inserida para o destinatário no site do produtor.
- ID de origem da empresaEspecifica a ID de origem do produtor. O padrão de especificação de SAML define uma ID de origem como um número binário de 20 bytes codificado em hexadecimal que identifica o produtor. O destinatário usa essa ID para identificar um emissor de assertions.Insira a ID fornecida pelo produtor em uma comunicação fora de banda.Se oCA Single Sign-onfor o produtor, a ID de origem estará no arquivo de propriedades do gerador de asserções do SAML 1.x, AMAssertionGenerator.properties, no diretório policy_server_home/config/properties.O valor padrão de ID de origem da empresa é: b818452610a0ea431bff69dd346aeeff83128b6aObservação:o arquivo AMAssertionGenerator.properties é usado apenas para o perfil de SAML 1.x.
- URL do assertion retrievalDefine o URL do serviço no produtor em que o destinatário recupera o assertion do SAML. Especificamente, esse URL identifica a localização do Assertion Retrieval Service, o qual deve ser um URL acessado por meio de uma conexão SSL.Se o Assertion Retrieval Service no produtor fizer parte de um realm usando o esquema de autenticação de credenciais básicas sobre SSL, o URL padrão será:https://idp_server:port/affwebservices/assertionretrieverSe o Assertion Retrieval Service no produtor fizer parte de um realm usando o esquema de autenticação de certificado de cliente X.509, o URL padrão será:https://idp_server:port/affwebservices/certassertionretrieveridp_server:portIdentifica o servidor web e a porta que estão hospedando o Web Agent Option Pack ou o SPS federation gateway.
- Público(Opcional) Define o público do assertion do SAML.O público identifica a localização de um documento que descreve os termos e as condições do contrato de negócios entre o produtor e o destinatário. O administrador determina o público no site do produtor. O valor desse campo deve corresponder ao público especificada no produtor. O valor de público não deve exceder 1 K.Para especificar o público, insira um URL. Esse elemento diferencia letras maiúsculas de minúsculas. Por exemplo:http://www.companya.com/SampleAudience
- Alias de assinatura DEspecifica o alias do certificado no repositório de dados de certificados que o destinatário usa para verificar a assinatura digital do assertion. Esse alias correspondente ao certificado. O tipo de certificado usado para a verificação é o certificado CertificateEntry ou KeyEntry.
- AutenticaçãoEspecifica o método de autenticação para o realm no produtor que contém o Assertion Retrieval Service. O valor desse campo determina o tipo de credenciais que o coletor de credenciais via SAML no destinatário deve fornecer. Essas credenciais permitem que o destinatário acesse o Assertion Retrieval Service e recupere o assertion do SAML.O Assertion Retrieval Service obtém o assertion do servidor de políticas no produtor e, em seguida, o envia para o destinatário por meio de um canal de apoio de SSL. É recomendável proteger o Assertion Retrieval Service.Selecione uma das seguintes opções:
- Autenticação básicaPara o Assertion Retrieval Service que faz parte de um realm protegido por um esquema de autenticação básico ou de credenciais básicas sobre SSL.Se você selecionar Autenticação básica, nenhuma configuração adicional será necessária no produtor ou no destinatário. A exceção é se o certificado da autoridade de certificação que estabeleceu a conexão SSL não estiver no repositório de dados de certificado no destinatário. Se o certificado apropriado não estiver no repositório de dados, importe-o.
- Certificado de clientePara o Assertion Retrieval Service que faz parte de um realm protegido por um esquema de autenticação de certificado de cliente X.509. Se você selecionar essa opção, configure o acesso ao Assertion Retrieval Service com um certificado de cliente.Se selecionar Certificado de cliente, conclua as etapas de configuração no destinatário e no produtor para acessar o Assertion Retrieval Service com um certificado de cliente.É possível usar certificados que não tenham sido criptografados com FIPS 140 para proteger o canal de apoio, mesmo que o servidor de políticas esteja funcionando no modo apenas FIPS. No entanto, para instalações apenas FIPS use certificados criptografados somente com o uso de algoritmos compatíveis com FIPS 140.
- Verificar senhaConfirma a senha especificada no campo Senha.
- Versão do SAMLDefine a versão da especificação de SAML com a qual o assertion é gerado. As opções são 1.0 ou 1.1. SAML 1.1 é o padrão.Deve haver uma correspondência entre as versões do protocolo e do assertion do SAML utilizados pelo produtor ou o destinatário. Por exemplo, se um produtor que estiver usando SAML 1.1 receber uma solicitação de SAML 1.0, ele retornará um erro. Se um destinatário que estiver usando SAML 1.1 receber um assertion do SAML 1.0 incorporado a um elemento de protocolo SAML 1.1, ele retornará um erro.
- Modo de redirecionamentoIndica o método pelo qual o coletor de credenciais via SAML redireciona o usuário para o recurso de destino. Se você selecionar 302 Sem dados ou 302 Dados de cookie, nenhuma outra configuração será necessária. Se você selecionar Redirecionamento para o servidor ou PersistAttributes, configurações adicionais serão necessárias.
- 302 Sem dados (padrão)Redireciona o usuário por meio de um redirecionamento HTTP 302 com um cookie de sessão, mas sem outros dados.
- 302 Dados de cookieRedireciona o usuário por meio de um redirecionamento HTTP 302 com um cookie de sessão e dados de cookie adicionais configurados no site que gerou o assertion.
- casso126figsbrbrRedirecionamento de servidorPermite que as informações de atributo de cabeçalho e cookie, que foram recebidas como parte de um assertion do SAML, sejam transmitidas para o aplicativo de destino personalizado. O coletor de credenciais via SAML transfere o usuário para o URL do aplicativo de destino usando a tecnologia de redirecionamento do lado do servidor. Os redirecionamentos do lado do servidor fazem parte da especificação do servlet Java. Todos os recipientes de servlet em conformidade com o padrão oferecem suporte a redirecionamentos do lado do servidor.Para usar o modo de redirecionamento de servidor, siga estes requisitos:
- Especifique um URL para esse modo que seja relativo ao contexto do servlet que está consumindo o assertion, normalmente, /affwebservices/public/. A raiz do contexto é a raiz do aplicativo Federation Web Services, geralmente, /affwebservices/.Todos os arquivos de aplicativo de destino devem estar no diretório raiz do aplicativo. Esse diretório é:
- Web Agent:web_agent_home\webagent\affwebservices
- SPS federation gateway:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- Defina realms, regras e diretivas para proteger os recursos de destino. Defina os realms com, pelo menos, o valor /affwebservices/ no filtro do recurso.
- Instale um aplicativo Java ou JSP personalizado no servidor que está executando o aplicativo Federation Web Services. O aplicativo é instalado com o Web Agent Option Pack ou o SPS federation gateway.A tecnologia de servlet Java permite que os aplicativos transmitam informações entre solicitações de dois recursos usando o método setAttribute da interface ServletRequest.O serviço que utiliza assertions envia o atributo de usuário ao aplicativo de destino. Diferentes objetos de atributo no objeto de solicitação são definidos antes de o serviço redirecionar o usuário para o aplicativo de destino.O serviço cria dois objetos java.util.HashMap -- um para armazenar todos os atributos de cabeçalho e outro para armazenar todos os atributos de cookies. O serviço utiliza nomes de atributos distintos para representar cada objeto hashmap:
- O atributo Netegrity.HeaderAttributeInfo representa o hashmap que contém os atributos de cabeçalho.
- O atributo Netegrity.CookieAttributeInfo representa o hashmap que contém os atributos de cookie.
Dois outros atributos Java.lang.String são definidos pelo serviço que utiliza o assertion para transmitir a identidade do usuário para o aplicativo personalizado:- O atributo Netegrity.smSessionID representa a ID da sessão.
- O atributo Netegrity.userDN representa o DN de usuário.
O aplicativo de destino personalizado no destinatário pode ler esses objetos a partir do objeto de solicitação HTTP, além de usar os dados encontrados nos objetos hashmap. - Persistir atributosRedireciona o usuário por meio de um redirecionamento HTTP 302 com um cookie de sessão, mas sem outros dados. Além disso, esse modo instrui o servidor de políticas a armazenar os atributos extraídos de um assertion no repositório de sessões. Dessa maneira, os atributos podem ser fornecidos como variáveis de cabeçalho HTTP. Para obter configurações adicionais, consulte as instruções para a utilização de atributos SAML como cabeçalhos HTTP.casso126figsbrbrObservação:se você selecionar Persistir atributos e o assertion contiver atributos em branco, um valor NULL será gravado no repositório de sessões. Esse valor funciona como um espaço reservado para o atributo em branco. O valor é transmitido para qualquer aplicativo que estiver usando o atributo.
- EmissorIdentifica o produtor que emite assertions para o destinatário. Esse elemento diferencia letras maiúsculas de minúsculas.O destinatário aceita assertions apenas desse emissor. O administrador no produtor determina o emissor.Observação:o valor que você inserir para o emissor deve corresponder ao valor de AssertionIssuerID no produtor. Esse valor é especificado no arquivo AMAssertionGenerator.properties localizado em:siteminder_home/Config/properties/AMAssertionGenerator.properties
- Pesquisar XPATH de dadosA consulta XPath informa ao esquema de autenticação onde localizar uma entrada específica no assertion que, posteriormente, servirá como a ID de logon do usuário. O valor que a consulta obtém se torna parte da especificação de espaço para nome para procurar por uma entrada do repositório de usuários.casso126figsbrbrAs consultas Xpath não devem conter prefixos de espaço para nome. O exemplo a seguir é uma consulta Xpath:inválida/saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()A consulta Xpath válida é://Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()Exemplo:A consulta a seguir extrai o texto do atributo de nome de usuário do assertion:"/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()""//Username/text()" extrai o texto do primeiro elemento Username no assertion do SAML usando a sintaxe abreviada.Outros exemplos:"substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMprofile/NVpair[1]/text(),"header:uid=")"Essa sequência de caracteres de consulta extrai o texto do atributo de cabeçalho chamado "uid" configurado como o primeiro atributo listado no site do produtor.Ao usar a sintaxe abreviada a seguir, extrai o texto do atributo de cabeçalho chamado uid:"substring-after(//SMprofile/NVpair[1]/text(),"header:uid=")"
- Persistir variáveis da sessão de autenticação(Opcional) Especifica se os dados de contexto de autenticação devem ser salvos no repositório de sessões como variáveis de sessão. O servidor de políticas tem acesso a essas variáveis para utilização em decisões de autenticação. Por exemplo, você pode incluir as variáveis de contexto de autenticação em respostas ativas ou em expressões de diretivas.
- casso126figsbrbrAtivoIndica se a configuração de federação legada está em uso para uma parceria específica. Se o servidor de políticas estiver usando a configuração de federação legada, confirme se essa caixa de seleção está marcada. Se você tiver recriado uma parceria federada com valores semelhantes para as configurações de identidade, como a ID de origem, desmarque essa caixa de seleção antes de ativar a parceria federada.OSingle Sign-Onnão funciona com uma configuração legada e de parceria que usam os mesmos valores de identidade, pois ocorre uma colisão de nomes.
As outras seções de configuração de esquema são:
- Preencha uma especificação de espaço para nome para permitir que o destinatário localize o registro de usuário correto para autenticação.
- Especifique o recurso federado de destino na seção de configuração adicional da página. Como opção, configure o plugin do destinatário da mensagem e redirecione os URLs para os quais um usuário é enviado se a autenticação falhar.
Esquema de autenticação -- Modelo de SAML POST -- Configuração do esquema
Na seção Configuração do esquema, você pode especificar as seguintes informações:
- Como o destinatário se comunica com o produtor para recuperar um assertion.
- Como autenticar um usuário que se baseia nesse assertion.
- Como direcionar o usuário para o recurso de destino.
Os campos do modelo de autenticação SAML POST são os seguintes:
- Nome afiliadoNomeia o destinatário. Insira uma sequência de caracteres alfabéticos, por exemplo, EmpresaA.O nome inserido deve corresponder ao nome de um destinatário no domínio afiliado no site do produtor.
- PúblicoDefine o público do assertion do SAML.Identifica a localização de um documento que descreve os termos e as condições do contrato de negócios entre o produtor e o destinatário. O administrador determina o público no site do produtor. O valor também deve corresponder ao público do destinatário no site do produtor.Para especificar o público, insira um URL. Esse elemento diferencia letras maiúsculas de minúsculas. O valor de público não deve exceder 1 K.Por exemplo: http://www.ca.com/SampleAudience
- URL do assertion consumerEspecifica o URL do destinatário do assertion (semelhante ao coletor de credenciais via SAML). Nesse URL, o navegador deve publicar (POST) o assertion gerado. O URL padrão é:http://consumer_server:port/affwebservices/public/samlccconsumer_server:portIdentifica o servidor web e a porta que estão hospedando o Web Agent Option Pack ou o SPS federation gateway.Por exemplo: http://www.discounts.com:85/affwebservices/public/samlcchttp://www.discounts.com:85/affwebservices/public/samlcc
- DN do emissor DsigEspecifica o nome distinto do emissor de certificados que assina a resposta de SAML POST. O produtor deve assinar a resposta POST. Quando o destinatário recebe a resposta, ele verifica a assinatura usando os dados nesse parâmetro e no parâmetro de número de série. Esses dois parâmetros indicam o emissor do certificado que assinou a resposta.O certificado que verifica a assinatura deve estar no repositório de dados de certificado.
- Pesquisar XPATH de dadosA consulta XPath informa ao esquema de autenticação onde localizar uma entrada específica no assertion que, posteriormente, servirá como a ID de logon do usuário. O valor que a consulta obtém se torna parte da especificação de espaço para nome para procurar por uma entrada do repositório de usuários. As consultas Xpath não devem conter prefixos de espaço para nome.O exemplo a seguir é uma consulta Xpath inválida:/saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()A consulta Xpath válida é://Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()ExemploA consulta a seguir extrai o texto do atributo de nome de usuário do assertion:"/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()""//Username/text()" extrai o texto do primeiro elemento Username no assertion do SAML usando a sintaxe abreviada.Outros exemplos:"substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMprofile/NVpair[1]/text(),"header:uid=")"Essa consulta extrai o texto do atributo de cabeçalho chamado "uid" configurado como o primeiro atributo do objeto afiliado no site do produtor.A sequência de caracteres "substring-after(//SMprofile/NVpair[1]/text(),"header:uid=")" extrai o texto do atributo de cabeçalho chamado "uid". Esse atributo é o primeiro atributo configurado para o objeto afiliado no site do produtor usando uma sintaxe abreviada.
- Versão do SAMLEspecifica a versão de SAML (inativo; o valor é padronizado como 1.1, o que indica que os assertions do perfil POST estão em conformidade com o SAML versão 1.1).O produtor e o destinatário de SAML devem gerar e consumir assertions e respostas que possuem a mesma versão.
- Modo de redirecionamentoEspecifica o método pelo qual o servlet do coletor de credenciais via SAML redireciona o usuário para o recurso de destino. Se você selecionar 302 Sem dados ou 302 Dados de cookie, nenhuma outra configuração será necessária. Se você selecionar Redirecionamento para o servidor ou PersistAttributes, configurações adicionais serão necessárias.
- 302 Sem dados(padrão). Redireciona o usuário por meio de um redirecionamento HTTP 302 com um cookie de sessão, mas sem outros dados.
- 302 Dados de cookieRedireciona o usuário por meio de um redirecionamento HTTP 302 com um cookie de sessão e dados de cookie adicionais configurados no site que gerou o assertion.
- casso126figsbrbrRedirecionamento de servidorPermite que as informações de atributo de cabeçalho e cookie, que foram recebidas como parte de um assertion do SAML, sejam transmitidas para o aplicativo de destino personalizado. O coletor de credenciais via SAML transfere o usuário para o URL do aplicativo de destino usando a tecnologia de redirecionamento do lado do servidor. Os redirecionamentos do lado do servidor fazem parte da especificação do servlet Java. Todos os recipientes de servlet em conformidade com o padrão oferecem suporte a redirecionamentos do lado do servidor.Para usar o modo de redirecionamento de servidor, siga estes requisitos:
- Especifique um URL para esse modo que seja relativo ao contexto do servlet que está consumindo o assertion, normalmente, /affwebservices/public/. A raiz do contexto é a raiz do aplicativo Federation Web Services, geralmente, /affwebservices/.Todos os arquivos de aplicativo de destino devem estar no diretório raiz do aplicativo. Esse diretório é:
- Web Agent:web_agent_home\webagent\affwebservices
- SPS federation gateway:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- Defina realms, regras e diretivas para proteger os recursos de destino. Defina os realms com, pelo menos, o valor /affwebservices/ no filtro do recurso.
- Instale um aplicativo Java ou JSP personalizado no servidor que está executando o aplicativo Federation Web Services. O aplicativo é instalado com o Web Agent Option Pack ou o SPS federation gateway.A tecnologia de servlet Java permite que os aplicativos transmitam informações entre solicitações de dois recursos usando o método setAttribute da interface ServletRequest.O serviço que utiliza assertions envia o atributo de usuário ao aplicativo de destino. Diferentes objetos de atributo no objeto de solicitação são definidos antes de o serviço redirecionar o usuário para o aplicativo de destino.O serviço cria dois objetos java.util.HashMap -- um para armazenar todos os atributos de cabeçalho e outro para armazenar todos os atributos de cookies. O serviço utiliza nomes de atributos distintos para representar cada objeto hashmap:
- O atributo Netegrity.HeaderAttributeInfo representa o hashmap que contém os atributos de cabeçalho.
- O atributo Netegrity.CookieAttributeInfo representa o hashmap que contém os atributos de cookie.
Dois outros atributos Java.lang.String são definidos pelo serviço que utiliza o assertion para transmitir a identidade do usuário para o aplicativo personalizado:- O atributo Netegrity.smSessionID representa a ID da sessão.
- O atributo Netegrity.userDN representa o DN de usuário.
O aplicativo de destino personalizado no destinatário pode ler esses objetos a partir do objeto de solicitação HTTP, além de usar os dados encontrados nos objetos hashmap. - Persistir atributosO usuário é redirecionado por meio de um redirecionamento HTTP 302 com um cookie de sessão, mas sem outros dados. Esse modo também instrui o servidor de políticas a armazenar os atributos de um assertion no repositório de sessões, de forma que seja possível fornecê-los como variáveis de cabeçalho HTTP. Para obter configurações adicionais, consulte as instruções para a utilização de atributos SAML como cabeçalhos HTTP.casso126figsbrbrObservação:se você selecionar Persistir atributos e o assertion contiver atributos em branco, um valor NULL será gravado no repositório de sessões. Esse valor funciona como um espaço reservado para o atributo em branco. O valor é transmitido para qualquer aplicativo que estiver usando o atributo.
- EmissorIdentifica o produtor que emite assertions para o destinatário. Esse elemento diferencia letras maiúsculas de minúsculas.O destinatário aceita assertions apenas desse emissor. O administrador determina o emissor no produtor.Observação:o valor que você inserir para o emissor deve corresponder ao valor de AssertionIssuerID no site do produtor. Esse valor é especificado no arquivo AMAssertionGenerator.properties localizado em:policy_server_home/Config/properties/AMAssertionGenerator.properties
- Número de sérieEspecifica o número de série (uma sequência de caracteres hexadecimal) do certificado do destinatário no repositório de dados de certificados. Esse valor é usado com o DN do emissor da assinatura digital para localizar o certificado para assinar digitalmente a resposta de SAML POST.
- casso126figsbrbrAtivoIndica se a configuração de federação legada está em uso para uma parceria específica. Se o servidor de políticas estiver usando a configuração de federação legada, confirme se essa caixa de seleção está marcada. Se você tiver recriado uma parceria federada com valores semelhantes para as configurações de identidade, como a ID de origem, desmarque essa caixa de seleção antes de ativar a parceria federada.OSingle Sign-Onnão funciona com uma configuração legada e de parceria que usam os mesmos valores de identidade, pois ocorre uma colisão de nomes.
- Persistir variáveis da sessão de autenticação(Opcional) Especifica se os dados de contexto de autenticação devem ser salvos no repositório de sessões como variáveis de sessão. O servidor de políticas tem acesso a essas variáveis para utilização em decisões de autenticação. Por exemplo, você pode incluir as variáveis de contexto de autenticação em respostas ativas ou em expressões de diretivas.
As outras seções de configuração de esquema são:
- Preencha uma especificação de espaço para nome para permitir que o destinatário localize o registro de usuário correto para autenticação.
- Especifique o recurso federado de destino na seção de configuração adicional da página. Como opção, configure o plugin do destinatário da mensagem e redirecione os URLs para os quais um usuário é enviado se a autenticação falhar.
Esquema de autenticação -- Especificação de espaço para nome
A seção Especificação de espaço para nome lista os tipos de espaço para nome e as especificações de pesquisa associadas. O
CA Single Sign-on
usa essas informações para pesquisar um usuário em um repositório de usuários.A especificação de pesquisa utiliza os dados que a consulta XPath recupera do assertion e os mapeia para um atributo em uma entrada de repositório de usuários. A consulta XPath localiza uma entrada específica no assertion, que serve como a ID de logon de usuário. É possível definir a consulta no campo Pesquisar XPATH de dados.
Como parte da especificação de pesquisa, você pode substituir %s para representar o valor que a consulta XPath obtém do assertion. Por exemplo, a consulta XPATH recupera o valor
user1
do assertion do SAML. Se você inserir a especificação de pesquisa uid=%s
no campo LDAP, a sequência de caracteres resultante será uid=user1. Essa sequência de caracteres é verificada em relação ao diretório de usuários a fim de localizar o registro correto para autenticação.Você também pode especificar filtros com diversas variáveis %s. Por exemplo:
|(uid=%s)(email=%[email protected])|(abcAliasName=%s)(cn=%s)
Os resultados podem ser:
|(uid=user1)([email protected])|(abcAliasName=user1)(cn=user1)
Insira uma especificação de pesquisa para cada um dos tipos de espaço para nome em seu ambiente.
Esquema de autenticação -- Configuração adicional (artefato SAML 1.x, POST)
A seção Configuração adicional do esquema de autenticação permite configurar o plugin do destinatário da mensagem e redirecionar URLs para erros de processamento de assertions durante a autenticação. Além disso, é possível especificar o recurso de destino no site do destinatário.
A seção Configuração adicional contém os seguintes campos:
Plugin do destinatário da mensagemNome completo da classe em Java
(Opcional) Especifica o nome da classe em Java totalmente qualificado de uma classe que implementa a interface do Plugin do destinatário da mensagem para o esquema de autenticação.
Parâmetro
Especifica uma sequência de caracteres de parâmetros que a API transmite para o plugin especificado no campo Nome completo da classe em Java.
Modos e URLs de redirecionamento de status
A autenticação com base em assertion pode falhar no site que utiliza os assertions por vários motivos. Se houver falha na autenticação, o usuário é redirecionado a aplicativos (URLs) diferentes para processamento adicional. Por exemplo, se ocorrer uma falha de desambiguação de usuários, o servidor de políticas irá redirecionar o usuário para um sistema de provisionamento. Esse sistema de provisionamento pode criar uma conta de usuário que se baseie nas informações encontradas no assertion do SAML.
Observação:
o redirecionamento de erros ocorre somente quando o sistema pode analisar a solicitação com êxito e obter as informações necessárias para identificar a autoridade de confirmação e o provedor de serviço.As opções a seguir redirecionam o usuário a um URL configurado com base na condição que causou a falha.
URL de redirecionamento para o status Usuário não encontrado
(Opcional) Identifica o URL para o qual o servidor de políticas redireciona o usuário quando ele não é encontrado. O status de usuário não encontrado é aplicável quando a mensagem de logon único não tem ID de logon ou o diretório de usuários não contém a ID de logon.
- URL de redirecionamento para o status Mensagem de SSO inválido(Opcional) Identifica o URL para o qual o usuário é redirecionado quando uma das seguintes condições ocorre:
- A mensagem de logon único é inválida, de acordo com as regras especificadas pelos esquemas de SAML.
- O destinatário exige um assertion criptografado, mas a mensagem de logon único não contém um assertion criptografado.
- URL de redirecionamento para o status Credencial de usuário (mensagem SSO) não aceita(Opcional) Identifica o URL para o qual o usuário é redirecionado devido a condições de erro que não sejam de um usuário não encontrado ou uma mensagem de logon inválido. O assertion é válido, mas o servidor de políticas não aceita a mensagem por alguns motivos, como:
- Falha na validação da assinatura digital de XML
- Falha na operação de descriptografia de XML
- Falha na validação de XML de condições, como uma mensagem expirada ou uma incompatibilidade de público.
- Nenhum dos assertions na mensagem de SSO contém uma instrução de autenticação.
- ModoEspecifica o método usado para redirecionar o usuário para o URL de redirecionamento. Estas opções são:
- 302 Sem dados (padrão)Redireciona o usuário por meio de um redirecionamento HTTP 302 com um cookie de sessão, mas sem outros dados.
- HTTP PostRedireciona o usuário usando o protocolo HTTP Post.
Configuração da página de destino
Essa seção da caixa de diálogo permite que você especifique o URL do recurso de destino no site do destinatário. Se existir um parâmetro de consulta, determine se o servidor de políticas deve substituir o URL pelo valor do parâmetro de consulta TARGET no URL de resposta da autenticação.
- URL de destino padrão(Opcional) Especifica o URL do recurso de destino que reside no destinatário. Esse destino é um recurso federado protegido que os usuários podem solicitar.O destinatário não tem de usar o destino padrão. O link que inicia o logon único pode conter um parâmetro de consulta que especifica o destino.
- O DESTINO do parâmetro da consulta substitui o URL de destino padrão(Opcional) Substitui o valor especificado no campo URL de destino padrão pelo valor do parâmetro de consulta TARGET na resposta. Usando o parâmetro de consulta DESTINO, você pode definir o destino dinamicamente. É possível alterar o destino com cada resposta de autenticação. A flexibilidade do parâmetro de consulta TARGET proporciona mais controle sobre o destino. Em uma comparação, o valor de URL de destino padrão é um valor estático.Essa caixa de seleção é selecionada por padrão.