Caixa de diálogo Logon único (destinatário do SAML 1.1)

casso127figsbrbr
HID_partnership-sso-saml1-consumer
Conteúdo
A etapa Logon único permite configurar operações de logon único.
SSO (destinatário do SAML 1.1)
Permite configurar o logon único. Essa Seção contém as seguintes configurações:
  • Perfil do SSO
    Determina se você está usando o artefato SAML ou a associação POST para o logon único. Selecione uma associação para a parceria.
    Opções:
    Artefato HTTP, HTTP POST
  • Público
    Especifica o público do assertion do SAML.
    O público é um URL de um documento que descreve os termos e as condições do acordo de negócios entre dois parceiros federados. O administrador no site do produtor determina o público. Esse valor deve ser idêntico ao do público especificado no produtor.
    Valor:
    um URL.
    O valor de público não pode exceder 1024 caracteres e há diferenciação de maiúsculas e minúsculas.
    Exemplo:
    http://www.ca.com/SampleAudience
  • ID de origem remota
    (Apenas para o artefato HTTP do SAML 1.1) Especifica uma ID exclusiva no artefato SAML que identifica o produtor. O destinatário usa essa ID para identificar um emissor de assertions.
    A especificação de SAML define uma ID de origem como um número binário, codificado em hexadecimal de 20 bytes que identifica o produtor. O valor de ID de origem que você inserir é a representação hexadecimal de 40 bytes.
    É recomendável que você especifique o hash SHA1 da ID de entidade como o valor da ID de origem. Se você não inserir um valor para esse parâmetro, o
    CA Single Sign-on
    usará o hash SHA1 por padrão.
    Padrão para a federação de parceria:
    hash SHA1 da ID de entidade
  • URL de serviço SSO remoto
    Especifica o URL do serviço de logon único no produtor.
    Padrão se o
    CA Single Sign-on
    for o produtor:
    http://
    producer_server:port
    /affwebservices/public/intersitetransfer
  • URL remoto do Assertion Retrieval Service (apenas para o artefato HTTP)
    Especifica o URL do Assertion Retrieval Service no produtor. O Assertion Retrieval Service recupera o assertion que se baseia no artefato recebido do destinatário. Uma entrada é necessária para o logon único do artefato.
    Entrada:
    URL do Assertion Retrieval Service
    Se o seu produtor remoto usar o
    CA Single Sign-on
    , utilize os seguintes URLs:
    • Se o SSL não estiver ativado:
      http://
      producer_server:port
      /affwebservices/publicsaml1ars
    • Se o SSL estiver ativado:
      https://
      producer_server:ssl_port
      /affwebservices/publicsaml1ars
  • Nível de proteção
    Permite o logon único para esquemas de autenticação com níveis de proteção iguais ou menores dentro do mesmo domínio de diretivas. O nível de proteção também exige autenticação adicional para acessar recursos com esquemas de nível de proteção mais altos.
    Limites:
    de 1 a 1000.
    Os esquemas de autenticação têm um nível de proteção padrão que pode ser alterado. Utilize níveis de proteção altos para recursos essenciais e esquemas de nível mais baixo para recursos comumente acessíveis.
  • Ativar auditoria síncrona
    Especifica que o
    CA Single Sign-on
    deve registrar as ações do servidor de políticas e do agente web antes de permitir o acesso a recursos. O
    CA Single Sign-on
    não permite o acesso a recursos do realm até que a atividade tenha sido registrada nos logs de auditoria.
Canal de apoio (destinatário do SAML 1.1)
A seção Canal de apoio permite configurar o método de autenticação que protege a comunicação do canal de apoio para o logon único do artefato HTTP.
Essa seção exibe as seguintes configurações:
  • Método de autenticação
    Especifica o método de autenticação para as transações do canal de apoio.
    Padrão:
    Sem autenticação
    Opções:
    Básico, Certificado de cliente, Sem autenticação
    • Básico
      Indica que um esquema de autenticação Básico está protegendo o acesso do canal de apoio ao Assertion Retrieval Service. Dessa maneira, o destinatário deve fornecer um nome de usuário e uma senha.
      Se você selecionar Básico, defina as configurações adicionais a seguir:
      • Nome de usuário do canal de apoio
        (Apenas para a autenticação Básico) Especifica o nome de usuário ao usar a autenticação Básico.
        Insira o mesmo valor especificado para esse campo no produtor.
      • Senha
        (Apenas para a autenticação Básico) Especifica a senha do usuário. Essa senha é relevante somente se você usar Básico ou Credenciais básicas sobre SSL como o método de autenticação no canal de apoio.
        Os dois parceiros federados devem concordar com a senha.
      • Confirmar senha
        (Apenas para a autenticação Básico) Confirma a senha do usuário para a autenticação Básico pelo canal de apoio. Insira a senha novamente.
        Observação:
        se o SSL estiver ativado para a conexão do canal de apoio, a autenticação Básica poderá ser selecionada.
      • Tempo limite do canal de apoio (segundos)
        Especifica o tempo máximo que o sistema de federação deve aguardar por uma resposta após o envio de uma solicitação de canal de apoio ao Assertion Retrieval Service. Especifique um intervalo em segundos.
    • Certificado de cliente
      Indica que o esquema de autenticação de certificado de cliente X.509 protege o canal de apoio para a comunicação com o Assertion Retrieval Service.
      A autenticação de certificado de cliente exige o uso de SSL para todos os URLs de ponto de extremidade. Os URLs de ponto de extremidade localizam os diversos serviços de SAML em um servidor, como o Assertion Retrieval Service. O requisito de SSL significa que o URL para o serviço deve começar com
      https://
      .
      Para implementar a autenticação de certificado de cliente, o destinatário envia um certificado para o produtor antes da ocorrência de qualquer transação. O produtor armazena o certificado em seu repositório de dados de certificados. Ambos os parceiros devem ter o certificado que ativou a conexão SSL em seus respectivos repositórios; caso contrário, a autenticação de certificado de cliente não funcionará.
      Durante o processo de autenticação, o destinatário envia seu certificado ao produtor. O produtor compara o certificado recebido com o certificado em seu repositório de dados para verificar se eles são correspondentes. Se houver uma correspondência, o produtor permite que o destinatário acesse o Assertion Retrieval Service.
      Se você selecionar a autenticação de certificado de cliente, defina a configuração adicional a seguir:
      • Alias do certificado de cliente
        Especifica o alias que está associado a um par de chave privada/certificado no repositório de dados de certificados. Selecione o alias na lista suspensa. Se não possuir um certificado, você poderá importar um selecionando Importar ou poderá gerar um selecionando Gerar.
      • Tempo limite do canal de apoio (segundos)
        Especifica o tempo máximo que o sistema de federação deve aguardar por uma resposta após o envio de uma solicitação de canal de apoio ao Assertion Retrieval Service. Especifique um intervalo em segundos.
    • Sem autenticação
      Indica que nenhuma credencial é exigida do destinatário. O canal de apoio e o Assertion Retrieval Service não estão protegidos.
      se um único produtor firmar parceria com diferentes destinatários, cada parceria deverá ter um valor de ID de origem exclusivo.