Caixa de diálogo SSO e SLO (IdP do SAML 2.0)

A etapa SSO e SLO permite configurar uma operação de logon e logoff único.
casso127figsbrbr
HID_partnership-sso-asserting
A etapa SSO e SLO permite configurar uma operação de logon e logoff único.
2
Autenticação (IdP do SAML 2.0)
A seção Autenticação permite que você especifique como os usuários são autenticados durante transações de logon único. Defina o método a ser usado para autenticar um usuário que não tem uma sessão de usuário.
Essa seção exibe as seguintes configurações:
  • Modo de autenticação
    Indica se uma sessão de usuário foi estabelecida por meio da autenticação de um usuário localmente ou da delegação da autenticação a um sistema de gerenciamento de acesso de terceiros remoto.
    Padrão:
    Local
    Opções
    : Selecione uma das seguintes opções e configure todos os campos adicionais dela:
    • Local—O sistema de federação está manipulando a autenticação do usuário. 
      Se você selecionar o campo Local para o modo de autenticação, digite um URL no campoURL de autenticação. Normalmente o URL aponta para um arquivo redirect.jsp. No entanto, se você marcar a caixa de seleção
      Usar URL seguro
      , o URL deve apontar para o serviço web secureredirect.
      URL de autenticação
      Especifica um URL protegido que a federação usa para autenticar usuários e criar uma sessão quando um recurso protegido é solicitado. Se o modo de autenticação tiver sido definido como Local e um usuário não tiver efetuado logon na autoridade de confirmação, os usuários serão enviados para esse URL. Esse URL deve apontar para o arquivo redirect.jsp, a menos que você marque a caixa de seleção
      Usar URL seguro
      . Exemplos: http://
      myserver.idpA.com
      /affwebservices/redirectjsp/redirect.jsphttp://
      myserver.idpA.com
      /siteminderagent/redirectjsp/redirect.jsp 
      myserver
      identifica o servidor web com o pacote de opções do Agente web ou o
      CA Access Gateway
       instalados na autoridade de confirmação. O aplicativo redirectjsp está incluso nesses produtos.
      proteja o URL de autenticação com uma diretiva de controle de acesso. Para a diretiva, configure uma regra, realm e esquema de autenticação. Para adicionar atributos do repositório de sessões ao assertion, ative a caixa de seleção Persistir as variáveis da sessão de autenticação, que é uma configuração no esquema de autenticação.
      Usar URL seguro
      Esta configuração instrui o serviço de logon único para criptografar apenas o parâmetro de consulta SMPORTALURL. Um SMPORTALURL criptografado impede que um usuário mal-intencionado modifique o valor e redirecione usuários autenticados para um site mal-intencionado. O SMPORTALURL é anexado ao URL de autenticação antes de o navegador redirecionar o usuário para estabelecer uma sessão. Após a autenticação do usuário, o navegador direciona o usuário de volta para o destino especificado no parâmetro de consulta SMPORTALURL.
      Se você marcar a caixa de seleção Usar URL seguro, execute as seguintes etapas:
      1. Defina o campo URL de autenticação como o seguinte URL: http(s)://
      idp_server:port
      /affwebservices/secure/secureredirect
      2. Proteja o serviço web secureredirect com uma política.
      Se a autoridade de confirmação atende a mais de um provedor de serviços, a autoridade de confirmação provavelmente autentica usuários diferentes para esses parceiros diferentes. Como resultado, para cada URL de autenticação que usa o serviço secureredirect, inclua esse serviço web em um realm diferente para cada parceiro.
      Para associar o serviço secureredirect a realms diferentes, modifique o arquivo web.xml e crie mapeamentos de recursos diferentes. Não é possível copiar o serviço web secureredirect em locais diferentes do servidor. Localize o arquivo web.xml no diretório
      web_agent_home
      /affwebservices/WEB-INF, onde
      web_agent_home
      é o local de instalação do agente web.
       
    • Delegada — Um sistema WAM (Web Access Management - Gerenciamento de Acesso à Web) de terceiros está manipulando a autenticação de usuário. Preencha os campos adicionais.
    • Seletor de credenciais — é exibida aos usuários uma página de seletor de credenciais que lista vários provedores de identidade. Os provedores de identidade podem ser parceiros de mídia social, WS-Federation, SAML ou OAuth. Os usuários selecionam o provedor de identidades apropriado e esse provedor autentica o usuário. A lista de provedores de identidade aceitáveis é definida em um grupo de métodos de autenticação. Para todos esses parceiros externos, o usuário já deve estar registrado neles.
      Se você selecionar Seletor de credenciais, preencha os seguintes campos:
      URL base de autenticação
      – Define o nome de host do servidor do
      CA Access Gateway
      no qual o serviço de tratamento de credenciais está instalado. Digite o valor no seguinte formato: https:
      sps_hostname
      ou http:
      sps_hostname
      Grupos de métodos de autenticação
      - Especifica o grupo de métodos de autenticação de provedores de identidade que deve ser exibido aos usuários para autenticação quando a parceria for chamada.
    • Dinâmico - um IdP faz a autenticação um usuário novamente no nível de autenticação necessário. São usados URLs de autenticação diferentes para autenticar usuários em níveis diferentes para estabelecer o nível de autenticação necessário para um assertion. Depois que o usuário faz a autenticação novamente, o IdP gera um assertion.
      Se você selecionar Dinâmico, será preciso configurar o parâmetro de modelo AuthnContext. A lista suspensa Modelo do AuthnContext relaciona todos os modelos do AuthnContext que estão configurados para oferecer suporte à autenticação dinâmica. Para obter informações sobre como configurar a autenticação dinâmica, consulte Processamento de contexto de autenticação dinâmica (SAML 2.0).
  • casso127figsbrbr
    Tipo de autenticação delegada (apenas para o modo Item delegado)
    Especifica se a autenticação de terceiros é realizada por meio da transmissão de um cookie de formato aberto ou de uma sequência de caracteres de consulta com a ID de logon do usuário e outras informações. Esse campo é exibido apenas se Item delegado for escolhido como o modo de autenticação.
    Opções: sequência de caracteres de consulta, cookie de formato aberto
    • Sequência de caracteres de consulta
      Para usar uma sequência de caracteres de consulta, a sequência de caracteres de redirecionamento de terceiros é criada e é adicionado um parâmetro de consulta chamado LoginIDHash a ela. O parâmetro LoginIDHash é uma combinação da ID de logon do usuário e um shared secret. Esses dois valores são combinados e, em seguida, processados por meio de um algoritmo de hash.
      Não use o método de sequência de caracteres de consulta em um ambiente de produção. O método de redirecionamento de sequência de caracteres de consulta é somente para um ambiente de teste como prova de conceito.
      Observação:
      a opção de sequência de caracteres de consulta não produz uma parceria compatível com o FIPS.
    • Cookie de formato aberto – para usar um cookie de formato aberto, o sistema de terceiros pode usar um SDK do Java ou .NET do
      CA SiteMinder® Federation
      para criar o cookie. Como alternativa, é possível usar uma linguagem de programação para criar um cookie manualmente. O terceiro redireciona o navegador para o seu sistema de federação, que recupera a ID de usuário.
  • URL da autenticação delegada (apenas para o modo Item delegado)
    Especifica o URL do sistema de gerenciamento de acesso à web de terceiros que manipula a autenticação do usuário. Se um usuário iniciar uma solicitação no sistema local, ele será redirecionado para o sistema de gerenciamento de acesso à web para autenticação. Após obter êxito na autenticação, o usuário é redirecionado de volta ao sistema local.
    Esse URL não é relevante se um usuário iniciar uma solicitação primeiro no sistema de gerenciamento de acesso à web.
    Valor:
    um URL válido que comece com http:// ou https://
  • casso127figsbrbr
    Acompanhar status de autenticação delegada
    Verifica se a autenticação delegada foi bem-sucedida. Se houver falha na autenticação delegada, essa configuração determina o comportamento do sistema da federação. Essa caixa de seleção está marcada por padrão. Há falha na autenticação delegada, se o usuário não fornecer credenciais ao acessar um recurso protegido configurado para ela. Se o usuário tentar acessar o recurso novamente na mesma sessão de navegador, o navegador exibirá um erro 404. Além disso, o sistema de federação grava uma mensagem de erro nos arquivos affwebservices.log e FWsTrace.log. A mensagem de erro indica que as credenciais para autenticação delegada estão ausentes. O sistema da federação não redireciona o usuário para o URL de autenticação delegada para fornecer as credenciais.
    Para que o sistema da federação redirecione o usuário para o URL da autenticação delegada na mesma sessão de navegador, desmarque essa caixa de seleção. Ao desativar o rastreamento, o usuário pode tentar acessar o recurso novamente na mesma sessão de navegador sem receber o erro 404. Em vez disso, o sistema da federação redireciona o navegador para o URL da autenticação delegada, O usuário deverá fornecer mais uma vez as credenciais.
  • Parâmetros de sequência de caracteres de consulta para a autenticação delegada
    Se você selecionar Sequência de caracteres de consulta para o campo Tipo de autenticação delegada, preencha estas configurações adicionais:
    • Segredo de hash
      Determina o shared secret que é acrescentado à ID de logon de usuário para criar o parâmetro de consulta LoginIDHash. Essa configuração é relevante apenas se você selecionar a sequência de caracteres de consulta como o tipo de autenticação delegada.
    • Confirmar segredo de hash
      Verifica o segredo de hash. Insira o valor do segredo de hash novamente.
  • Parâmetros de cookie de formato aberto para a autenticação delegada
    Se você selecionar o cookie de formato aberto, o usuário será redirecionado para o aplicativo de terceiros por um redirecionamento HTTP 302. O sistema WAM de terceiros autentica o usuário e compartilha as credenciais do usuário com o
    Single Sign-On
    na autoridade de confirmação em um cookie de formato aberto.
    Se você selecionar a opção de cookie de formato aberto para a autenticação delegada, os campos adicionais a seguir serão exibidos:
    Nome do cookie de formato aberto
    Especifica o nome do cookie.
    Transformação de criptografia
    Indica a transformação de criptografia a ser usada para descriptografar o cookie de formato aberto. Use o mesmo valor que o sistema WAM de terceiros usou para criptografar o cookie de formato aberto.
    Senha de criptografia
    Indica a senha usada para descriptografar o cookie. Use o mesmo valor que o sistema WAM de terceiros usou para criptografar o cookie de formato aberto.
    Confirmar senha
    Confirma a entrada de senha de criptografia.
    Ativar HMAC
    Indica que o software gera um HMAC (Hash Message Authentication Code - Código de Autenticação de Mensagem de Hash) usando a senha de criptografia fornecida nessa caixa de diálogo.
    Os MACs (Message Authentication Codes - Códigos de Autenticação de Mensagem) podem verificar a integridade das informações enviadas entre duas partes. As duas partes compartilham uma chave secreta para o cálculo e a verificação de valores de autenticação de mensagem. Um HMAC é um mecanismo de MAC que se baseia em funções de hash criptográfico.
    Se você marcar a caixa de seleção Ativar HMAC, o sistema gerará um valor de HMAC para seu cookie de formato aberto. O software precede o valor de HMAC ao valor do cookie de formato aberto e, em seguida, criptografa toda a sequência de caracteres. O sistema coloca a sequência de caracteres criptografada no cookie de formato aberto que, em seguida, é transmitido para o aplicativo de destino.
    Duração da latência do cookie (segundos)
    Especifica o número de segundos subtraído da hora do sistema atual para contabilizar a diferença entre os relógios do sistema. A diferença está entre o seu sistema de federação e o aplicativo de terceiros que lida com a autenticação delegada. O software aplica a duração da latência à geração e ao consumo de cookie de formato aberto.
    Valor:
    insira um valor em segundos.
    Substituir classe de autenticação por valor de cookie de formato aberto
    Marque esta caixa de seleção para substituir a URI de classe de autenticação configurada pela URI enviada por um sistema de gerenciamento remoto de acesso de terceiros e incluído na asserção para o SP.
  • Classe de autenticação
    Especifica o URI fornecido no elemento AuthnContextClassRef no assertion, que descreve como um usuário federado é autenticado. Se o usuário for autenticado localmente, aceite o URI padrão para a senha. Se o usuário for autenticado por um sistema de gerenciamento de acesso de terceiros remoto, edite esse campo para refletir o método de autenticação.
    Padrão:
    urn:oasis:names:tc:SAML:2.0:ac:classes:Password
    Valor do modo de autenticação Local:
    urn:oasis:names:tc:SAML:2.0:ac:classes:Password
    Valor do modo de autenticação delegada:
    URI válido para o elemento AuthnContextClassRef, que é definido na especificação de SAML.
  • Configurar o AuthnContext
    Define o método que o provedor de identidades usa para determinar o contexto de autenticação que ele coloca no assertion. As opções incluem:
    • Usar classe de autenticação predefinida
      Instrui o provedor de identidades a usar um URI de classe de autenticação codificado no assertion. Esse URI é o valor especificado no campo Classe de autenticação. Se você selecionar essa opção, configure o campo a seguir:
      Classe de autenticação
      Especifica o URI fornecido no elemento AuthnContextClassRef no assertion, que descreve como um usuário federado é autenticado. Aceite o URI padrão para a senha.
      Padrão:
      urn:oasis:names:tc:SAML:2.0:ac:classes:Password
    • Detectar automaticamente a classe de autenticação
      Instrui o provedor de identidades a mapear a classe AuthnContext para o nível de proteção da sessão que se baseia em um modelo de contexto de autenticação configurado. Se você selecionar essa opção, configure o campo Modelo de contexto de autenticação. Essa configuração identifica o modelo que o provedor de identidades usa para mapear o contexto de autenticação para o nível de proteção associado de uma determinada sessão de usuário.  Selecione Criar modelo para criar um modelo, em vez de escolher um existente. 
  • IgnoreRequestedAuthnContext
    Instrui o provedor de identidades a ignorar o elemento <RequestedAuthnContext> na solicitação de autenticação que ele recebe do provedor de serviços. O provedor de identidades determina o contexto de autenticação usando uma classe de autenticação predefinida ou um modelo de contexto de autenticação.
  • Tempo limite de ociosidade (Horas:Minutos)
    Determina a quantidade de tempo que uma sessão de usuário autorizada pode ficar inativa antes que o sistema de federação a encerre. Se você estiver preocupado com os usuários que deixam suas estações de trabalho depois de acessar um recurso protegido, defina o tempo limite de ociosidade como um período mais curto. Se o tempo limite da sessão expirar, os usuários deverão se autenticar novamente antes de acessar os recursos.
    Essa configuração é ativada por padrão. Para especificar nenhum limite de tempo de ociosidade de sessão, desmarque a caixa de seleção. O tempo limite de ociosidade de sessão padrão é uma hora.
    Padrão
    : 1 hora
    • Horas
      Especifica o número de horas para o período de tempo limite de ociosidade.
    • Minutos
      Especifica o número de minutos para o período de tempo limite de ociosidade.
  • Tempo limite máximo (Horas:Minutos)
    Determina a quantidade máxima de tempo que uma sessão de usuário pode ficar ativa antes que o sistema de federação solicite ao usuário para se autenticar novamente.
    Essa configuração é ativada por padrão. Para especificar nenhum período máximo de sessão, desmarque a caixa de seleção.
    Padrão
    : 2 horas
    • Horas
      Especifica o número de horas para o período máximo de sessão.
    • Minutos
      Especifica o número de minutos para o período máximo de sessão.
  • Atualizar a sessão para ForceAuthn
    Marque esta caixa de seleção para atualizar o assertion com a hora de início da sessão atual e os tempos limite máximo e ocioso. Essa caixa de seleção é válida quando as credenciais são solicitadas pelo SP e a solicitação de autenticação inclui um parâmetro de consulta de autenticação forçada.
    Essa configuração vem desmarcada por padrão. A hora de início da sessão e os tempos limite originais são usados ao gerar o assertion.
  • Ativar garantia de sessão aprimorada
    Marque essa caixa de seleção para proteger os recursos especificados no realm (do modelo de domínio de Diretiva) ou o componente (do modelo de aplicativo). Também é possível proteger as solicitações de autenticação de certas parcerias de federação. O terminal de garantia da sessão coleta o DeviceDNA™ do usuário e valida a sessão. Esse recurso requer terminais de garantia da sessão.
SSO (IdP do SAML 2.0)
A seção SSO permite configurar o logon único. Essa seção exibe as seguintes configurações:
  • Associação da solicitação de autenticação
    Especifica os tipos de associações que o IdP permite quando recebe uma solicitação de autenticação do SP.
    Opções
    : redirecionamento de HTTP, HTTP-POST
  • Associação do SSO
    Determina o perfil de logon único usado para processamento de solicitações. Você pode selecionar todas as associações. A entidade local determinará a sequência em que as associações serão tentadas.
    Opções:
    Artefato HTTP, HTTP POST, Cliente ou proxy aprimorado
    Diretrizes para essa configuração:
    • Se você selecionar o artefato associação, selecione um objeto de codificação (URL ou FORM). A codificação define como o artefato volta para o provedor de serviço. Se você selecionar a opção de URL, o artefato é enviado de volta como um parâmetro de consulta em um URL. Se você selecionar FORMULÁRIO, o artefato será publicado como dados de formulário. Para a associação do artefato, o assertion é enviado por um canal de apoio seguro. Portanto, defina as configurações na seção Canal de apoio.
    • Ao selecionar uma associação de SSO, configure pelo menos um Assertion Consumer Service com uma associação correspondente.
    • Escolha o perfil de ECP se as entidades na parceria estiverem se comunicando indiretamente por meio de um cliente aprimorado. Um cliente aprimorado pode ser um navegador ou outro agente de usuário ou um proxy aprimorado, como um proxy sem fio para um dispositivo sem fio.
    Se selecionar Perfil de cliente ou proxy aprimorado, você necessitará de um serviço Assertion Consumer Service com a associação PAOS.
  • casso127figsbrbr
    Tipo de proteção de artefato
    Define como o canal de apoio é protegido para o logon único de artefato HTTP. A opção legada indica que o
    CA Single Sign-on
    protege o canal de apoio. A opção de parceria indica que o componente de federação no
    CA Single Sign-on
    protege o canal de apoio.
    Se você recriar sua configuração do
    eTrust SiteMinder FSS
    no modelo de federação de parceria, poderá usar seu método original de proteção do canal de apoio. A opção legada permite que a configuração use o URL existente para o Assertion Retrieval Service (SAML 1.x) ou o serviço de resolução de artefato (SAML 2.0). Ao selecionar a opção legada, o
    CA Single Sign-on
    aceita a solicitação. Não é necessário modificar o URL. Se o URL de serviço de artefato for da configuração legada, mas apenas a opção de parceria estiver selecionada para essa configuração, o
    CA Single Sign-on
    rejeitará a solicitação.
    Com a opção legada, certifique-se de aplicar a diretiva que protege o serviço de artefato. Essa diretiva é um componente do Federation Web Services. O
    CA Single Sign-on
    cria diretivas para o Federation Web Services automaticamente, mas você deve aplicar a proteção dessas diretivas. É necessário indicar a parceria que possui permissão para acessar o serviço que recupera artefatos.
    Opções:
    Patrimônio, Parceria
  • Codificação do artefato
    Especifica como o artefato é codificado quando é enviado ao provedor de serviço para o logon único do artefato HTTP.
    Opções:
    URL, Formulário
    Se você selecionar URL, o artefato será adicionado a uma sequência de caracteres de consulta codificada em URL. Se você selecionar o formulário, o artefato será adicionado a um controle de formulário oculto em um formulário.
  • Público
    Especifica o URL do público. O URL do público identifica a localização de um documento que descreve os termos e as condições do contrato de negócios entre a autoridade de confirmação e o provedor de serviço. O administrador na autoridade de confirmação determina o público. Esse valor deve corresponder ao do público especificado no provedor de serviço.
    Valor:
    um URL.
    O valor de público não pode exceder 1024 caracteres e há diferenciação de maiúsculas e minúsculas. 
    Exemplo:
    http://www.ca.com/fedserver
  • Aceitar URL do ACS na Authnrequest
    Permite que o sistema aceite e processe o URL do Assertion Consumer Service na solicitação de autenticação de entrada no provedor de serviço. Marque esta caixa de seleção para que o sistema confirme se o URL está presente, se ele é válido e se está nos metadados.
  • Transações permitidas
    Indica o parceiro que pode iniciar o logon único. O controle do parceiro que pode iniciar o logon único permite gerenciar as chamadas da federação. Para um valor SP somente iniciado, um SP pode exigir que um contexto de autenticação específico seja retornado no assertion antes de permitir o acesso a um recurso.
  • Duração da validade do SSO (segundos)
    Especifica o número de segundos pelos quais um assertion gerado é válido. Para logon único, as opções Duração da validade do SSO e Duração da latência instruem o servidor de políticas sobre como calcular o tempo total de validade da solicitação de logon único. Em um ambiente de teste, você pode aumentar o valor de Duração da validade para mais de 60, o padrão, se a seguinte mensagem estiver no log de rastreamento:
    Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237)  - 
    current time (Fri Sep 09 17:28:33 EDT 2005) is after SessionNotOnOrAfter
    time (Fri Sep 09 17:28:20 EDT 2005)
    Valor:
    insira um número inteiro positivo.
    Padrão:
    60
  • Duração da validade do cookie da GUID (segundos)
    Define o período, em segundos, durante o qual o cookie de GUID é válido. Configure este valor para gerenciar o estado AuthnRequest quando a associação de AuthnRequest é definida como HTTP POST.
  • Duração da sessão SP recomendada
    Especifica o período em que a sessão no SP fica ativa.
    NO <AuthnStatement> da asserção, o servidor de políticas calcula o atributo SessionNotOnOrAfter usando a fórmula hora_atual + duração_validade + duração_latência. Quando um SP tenta definir o tempo limite da sessão com esse valor, a sessão é muito curta. É possível resolver esse problema usando o valor da duração da validade do SSO ou manipulando o valor de SessionNotOnOrAfter.
    Opções:
    • Usar a validade do assertion
      Calcula o valor de SessionNotOnOrAfter que se baseia na configuração de Duração da validade do SSO.
    • Personalizar a duração da sessão do assertion
      Selecione uma das seguintes opções:
      Omitir
      –Instrui o IdP a não incluir o parâmetro SessionNotOnOrAfter na asserção.
      Sessão de IDP
      –Calcula o valor de SessionNotOnOrAfter que se baseia no tempo limite da sessão do IdP. O tempo limite é configurado no realm do IdP para o URL de autenticação. Ao utilizar essa opção, é possível sincronizar os valores de tempo limite de sessão do IdP e do SP.
      Personalizado
      –Define o tempo limite como um valor personalizado, em horas e minutos.
  • Ativar resposta de autenticação negativa
    Especifica que o provedor de serviços recebe uma notificação quando uma solicitação de autenticação de usuário falha.
  • Ativar consentimento do usuário
    Para aprimorar a privacidade do usuário, você pode solicitar o consentimento do usuário para que a autoridade de confirmação compartilhe informações de identidade com o SP. Se você marcar a caixa de seleção Ativar consentimento do usuário, a autoridade de confirmação solicitará o consentimento do usuário. A autoridade de confirmação transmite o valor no assertion.
    Se essa caixa de seleção for ativada, os dois campos a seguir serão exibidos:
    • URL do serviço de consentimento do usuário
      Especifica o URL do serviço de consentimento do usuário na autoridade de confirmação. O padrão é http://
      idp_site:
      8999/affwebservices/public/saml2userconsent
    • Formulário de postagem de consentimento do usuário
      Nomeia o formulário HTML de postagem automática personalizado para o consentimento do usuário. Insira apenas o nome do formulário, e não o caminho para o formulário. O usuário pode configurar o formulário HTML fornecido pela autoridade de confirmação para o usuário a fim de obter seu consentimento. Esse formulário pode ser personalizado para atender às suas necessidades de negócios.
      A página física deve residir no diretório %NETE_WA_ROOT%\customization, em que %NETE_WA_ROOT% é a localização do Web Agent Option Pack. Se o agente web e o Web Agent Option Pack estiverem instalados no mesmo sistema, eles estarão instalados no mesmo diretório, por exemplo, webagent\customization.
  • Nível mínimo de autenticação
    Especifica o nível mínimo no qual o usuário deve estar autenticado para obter acesso a um realm. Se o usuário tiver sido autenticado nesse nível ou em um nível superior, o provedor de identidades gerará um assertion para ele. Se o usuário não estiver autenticado nesse nível ou em um nível superior, ele será redirecionado para o URL de autenticação para que possa se autenticar nesse nível.
  • Formulário de postagem personalizado
    Nomeia o formulário HTML de postagem automática personalizado para o logon único de HTTP POST. Insira apenas o nome do formulário, e não o caminho para o formulário. O servidor de políticas fornece um formulário denominado defaultpostform.html. Uma postagem automática personalizada permite que o servidor de políticas envie informações de SAML ao destinatário. A página física deve residir no diretório %NETE_WA_ROOT%\customization, em que %NETE_WA_ROOT% é a localização do Web Agent Option Pack. Se o agente web e o Web Agent Option Pack estiverem instalados no mesmo sistema, eles estarão instalados no mesmo diretório, por exemplo, webagent\customization.
  • Período de validação
    Para visualizar essa caixa de seleção, ative o servidor da sessão usando o Console de gerenciamento do servidor de políticas.
    Determina o período de tempo máximo entre as chamadas do agente para o servidor de políticas a fim de validar uma sessão. As chamadas de validação de sessão informam o servidor de políticas que um usuário ainda está ativo e confirmam que a sessão de usuário ainda está válida. Para especificar o período de validação, insira valores nos campos Horas, Minutos e Segundos. Se você estiver configurando o sistema para fornecer um contexto de segurança de usuário do Windows, defina para um valor alto, por exemplo, 15 a 30 minutos. 
    o período de validação da sessão deve ser menor do que o valor de tempo limite de ociosidade especificado.
  • Definir a condição OneTimeUse
    Instrui o SP a usar o assertion imediatamente e não mantê-lo para uso futuro. O assertion é destinado apenas para uso único. A condição OneTimeUse é útil porque as informações em um assertion podem ser alteradas ou expirar e o SP usa um assertion com informações atualizadas. Em vez de reutilizar o assertion, o SP deve solicitar um novo assertion do IdP.
  • URLs do assertion consumer
    Essa seção permite atribuir valores de índice para os URL do Assertion Consumer Service. A atribuição de números de índice permite que diferentes entradas do Assertion Consumer Service sejam usadas para diferentes associações de protocolo. O provedor de serviço simplesmente inclui o número do índice para o URL apropriado no AuthnRequest que ele envia para a autoridade de confirmação.
    A tabela nessa seção contém os seguintes campos:
    • Índice remissivo
      Especifica o número de índice do URL de um Assertion Consumer Service no provedor de serviço.
      Padrão:
      0
      Valor
      : número inteiro exclusivo entre 0 e 65535
    • Associação
      Especifica a associação de logon único que você está usando para o Assertion Consumer Service.
      Uma solicitação não realizada pode iniciar um logon único na autoridade de confirmação. Se o link que dispara a solicitação incluir o parâmetro de consulta ProtocolBinding, a associação especificada nesse parâmetro de consulta substituirá o valor desse campo.
      Padrão:
      HTTP POST
      Opções
      : Artefato HTTP, HTTP POST, PAOS
    • URL
      Especifica o URL do Assertion Consumer Service no provedor de serviço.
      Padrão (
      CA Single Sign-on
      como SP)
      : http://
      sp_server:port
      /affwebservices/public/saml2assertionconsumer
    • Padrão
      (Opcional) Indica se o URL selecionado funciona como a entrada padrão. Marque a caixa de seleção ao lado da entrada a ser usada como padrão.
SLO (IdP do SAML 2.0)
A seção SLO permite configurar o SLO (Single Logout - Logoff Único). Essa seção exibe as seguintes configurações:
  • Associação do SLO
    Especifica se o perfil de logoff único está ativado na autoridade de confirmação e qual a associação em uso. A associação de redirecionamento HTTP envia mensagens de SLO usando solicitações HTTP GET. A associação SOAP não depende do HTTP após a solicitação inicial e envia mensagens por um canal de apoio.
    Opções:
    Redirecionamento HTTP, HTTP POST, SOAP. Se essa opção for selecionada, a seção Pesquisa de usuário para os serviços Atributo e Name ID será exibida. Determine uma especificação de pesquisa de diretório de usuário no campo Personalizar. O valor digitado permite que o servidor de políticas saiba como localizar o registro do usuário no diretório de usuários.  Insira uma sequência de caracteres de pesquisa apropriada para o tipo de diretório, como:
    LDAP:
    uid=%s
    ODBC:
    name=%s
  • URL de confirmação do SLO
    Especifica o URL para o qual o usuário é redirecionado quando o processo de logoff único é concluído. Geralmente, o URL de confirmação aponta para um local no site que iniciou o logoff único. Se o SLO tiver sido iniciado em seu site, o sistema usará esse URL. O recurso do URL deve ser um recurso local acessível para o seu site, e não um recurso em um domínio de parceiro federado. Por exemplo, se o domínio local for acme.com e o seu parceiro for exemplo.com, o URL de confirmação do SLO deverá ser acme.com.
    Valor:
    URL válido 
  • Duração da validade do SLO (segundos)
    Especifica o número de segundos durante os quais uma solicitação de SLO é válida.
    Padrão:
    60
    segundos
    Valor:
    um número inteiro positivo
  • O estado de retransmissão substitui o URL de confirmação do SLO (apenas para Redirecionamento HTTP)
    Substitui o URL no campo URL de confirmação do SLO pelo valor do parâmetro de consulta de estado de retransmissão incluído na solicitação de logoff único. Essa caixa de seleção fornece a você um maior controle sobre o destino de confirmação de logoff único. O parâmetro de consulta de estado de retransmissão permite definir dinamicamente o URL de confirmação para solicitações de SLO.
  • Reutilizar o índice da sessão
    Indica se o 
    CA Single Sign-on
    envia o mesmo índice de sessão na asserção para o mesmo parceiro em uma única sessão de navegador. Um usuário pode executar a federação várias vezes com o mesmo parceiro usando a mesma janela de navegador. A seleção dessa opção instrui o IdP a enviar o mesmo índice de sessão em cada assertion. Se você desativar essa opção, o
    CA Single Sign-on
     irá gerar um novo índice de sessão sempre que ocorrer o logon único. 
    Você pode ativar essa opção para ajudar a garantir o logoff único de parceiros terceiros que não atendem ao índice da sessão transmitido em assertions mais recentes.
    Observação:
    essa configuração é relevante apenas se o logoff único estiver ativado.
  • URLs do serviço SLO
    Lista os URLs do serviço de SLO disponíveis. A tabela inclui as seguintes entradas:
    • Selecionar
      Indica que o valor é a entrada para o URL do serviço de SLO.
    • Associação
      Indica a associação da conexão de SLO.
      Opções:
      Redirecionamento HTTP, SOAP
    • URL do local
      Especifica o URL do serviço de logoff único no parceiro remoto em que a solicitação de logoff único é enviada.
      Valor:
      URL válido
      Se o sistema de federação estiver no SP remoto, use os URLs a seguir:
      Associação de redirecionamento HTTP: 
      http://
      host_sp:porta
      /affwebservices/public/saml2slo
      Associação de HTTP POST: 
      http://sp_host:port/affwebservices/public/saml2slo
      Associação do SOAP: 
      http://
      host_sp:porta
      /affwebservices/public/saml2slosoap
      Se um produto de federação de terceiros estiver no SP, use o URL apropriado para o produto.
  • URL do local da resposta
    (Opcional) Especifica o URL do serviço de logoff único para a entidade. Um URL do local da resposta é usado em uma configuração em que há um serviço para solicitações de logoff único e um serviço para respostas de logoff único. Por padrão, se apenas o URL do local for fornecido, ele será usado para a solicitação e a resposta.
    Valor:
    URL válido
Serviço Manage Name ID
Essa seção descreve os campos para configurar o serviço Manage Name ID.
  • Associação do MNI: SOAP
    Ative o serviço Manage Name ID. SOAP é a única associação com suporte.
  • Criptografar a ID do nome
    Criptografar a ID do nome.
  • Exigir ID de nome criptografada
    Exige uma ID de nome criptografada nas mensagens recebidas
  • Assinar solicitação
    Assina a mensagem de solicitação ManageNameID.
  • Exigir solicitação assinada
    Exige uma mensagem de solicitação ManageNameID assinada.
  • Assinar resposta
    Assina a mensagem de resposta ManageNameId.
  • Exigir resposta assinada
    Exige uma mensagem de resposta ManageNameID assinada.
  • Excluir ID do nome
    Limpa o atributo de diretório do usuário que mantém a ID do nome do usuário para esta parceria. Observe que você deve selecionar Excluir ID do nome ou Ativar notificação para tornar o recurso funcional.
  • Tempo limite do SOAP (segundos)
    Especifica o número de minutos a aguardar até que a solicitação expire.
    Padrão
    : 60
  • Contagem de repetição
    Especifica o número de vezes para repetir uma solicitação.
    Padrão
    : 3
  • Limite de tentativas (minutos)
    Especifica o número de minutos a aguardar antes de repetir uma mensagem de falha.
    Padrão
    : 15
  • (Opcional) Ativar notificação
    Instrui a entidade de federação do
    Single Sign-On
    a notificar o aplicativo cliente quando um usuário é encerrado. Uma notificação informa o serviço NameID em segundo plano quando um encerramento de NameID é bem-sucedido. Ativa as notificações se o cliente que possui o aplicativo solicitado deseja controlar a remoção de um usuário do diretório de usuários. 
  • URL da notificação
    Especifica o URL do SP ou IdP remoto no qual a entidade federada local envia a notificação de que a NameID para um usuário federado foi encerrada.
  • Notificar tempo limite (segundos)
    Especifica o número de segundos a aguardar até que a solicitação de notificação atinja o tempo limite.
  • Tipo de autenticação da notificação
    Especifica se o cliente requer credenciais ao enviar um encerramento. Se você selecionar Básico, o serviço de notificação emite uma notificação em segundo plano para o URL de notificação. O aplicativo cliente pode autenticar que a federação do
    Single Sign-On
    tem permissão para emitir essa notificação. Se você selecionar Básico, especifique os valores para as configurações de Nome de usuário da notificação e NotifyPassword. Esses valores servem como credenciais quando uma notificação é enviada para todo o canal de notificação.
    Opções
    : NoAuth, Basic
  • Nome de usuário da notificação
    Especifica um nome de usuário para o serviço de notificação. Esse nome faz parte das credenciais para o aplicativo cliente verificar a entidade que se comunica pelo URL de notificação. 
  • NotifyPassword
    Especifica uma senha para o serviço de notificação. Essa senha faz parte das credenciais para o aplicativo cliente verificar a entidade que se comunica pelo URL de notificação.  Um aplicativo cliente fornece essa autenticação para garantir que um cliente válido está enviando a notificação.
  • Notificar confirmação de senha
    Confirma o valor de NotifyPassword.
Canal de apoio (IdP do SAML 2.0)
casso127figsbrbr
Na seção Canal de apoio, você pode configurar o método de autenticação entre os canais de apoio. O canal de apoio possui diferentes finalidades, dependendo dos seguintes critérios:
  • O logon único do artefato HTTP está configurado.
  • O logoff único por meio de associação SOAP está configurado.
  • O seu sistema de federação é o provedor de identidades ou o provedor de serviços.
  • A comunicação é realizada por um canal de entrada ou saída.
A seção Canal de apoio exibe as seguintes configurações:
  • Configuração de entrada/saída
    Configure um canal de apoio de entrada ou saída, conforme o necessário para os vínculos selecionados. O canal de apoio possui apenas uma configuração. Se dois serviços usarem um mesmo canal, eles usarão a mesma configuração de canal de apoio. Por exemplo, o canal de entrada de um IdP local oferece suporte ao SSO de artefato HTTP e ao SLO por SOAP. Esses dois serviços devem usar a mesma configuração de canal de apoio.
  • Método de autenticação
    Especifica o método de autenticação que protege o canal de apoio.
    Padrão:
    Sem autenticação
    Opções:
    Básico, Certificado de cliente, Sem autenticação
    Básico
    Indica que um esquema de autenticação Básico está protegendo a comunicação pelo canal de apoio.
    Observação:
    se o SSL estiver ativado para a conexão do canal de apoio, você também poderá selecionar a autenticação Básica.
    Se você selecionar a autenticação Básica, defina as configurações adicionais a seguir:
    • Nome de usuário do canal de apoio
      (Autenticação Básica — Apenas para o canal de saída). Especifica o nome de usuário do SP ao usar a autenticação Básica no canal de apoio. Digite o nome da parceria configurada no IdP remoto. Por exemplo, no IdP remoto, uma parceria chamada Partners1 está definida entre CompanyA (IdP) e CompanyB (SP). Em CompanyB, o SP local, o valor inserido é Partners1 para associar esse nome de usuário à parceria associada no IdP.
    • Senha
      Especifica a senha de usuário para o nome de usuário do canal de apoio. Essa senha é relevante somente se você usar Básico ou Credenciais básicas sobre SSL como o método de autenticação no canal de apoio.
      Os dois parceiros concordam com essa senha.
    • Confirmar senha
      Confirma novamente a entrada de senha.
    • Tempo limite do canal de apoio (segundos)
      (Apenas para o canal de saída) Especifica o tempo máximo que o sistema deve aguardar por uma resposta após o envio de uma solicitação de canal de apoio para o Serviço de resolução de artefato. Especifique um intervalo em segundos.
      Padrão:
      300 segundos
      Valor:
      número inteiro positivo
  • Certificado de cliente
    Indica que um esquema de autenticação de certificado de cliente X.509 protege a comunicação para o Serviço de resolução de artefato por todo o canal de apoio.
    A autenticação de certificado de cliente exige o uso de SSL para todos os URLs de ponto de extremidade. Os URLs de ponto de extremidade localizam os diversos serviços de SAML em um servidor, como o Serviço de resolução de artefato. O requisito de SSL significa que o URL para o serviço deve começar com
    https://
    .
    Para implementar a autenticação de certificado de cliente, o SP envia um certificado para a autoridade de confirmação antes da ocorrência de qualquer transação. A autoridade de confirmação armazena o certificado em seu banco de dados. Ambos os parceiros devem ter o certificado que ativou a conexão SSL em seus respectivos bancos de dados; caso contrário, a autenticação de certificado de cliente não funcionará.
    Durante o processo de autenticação, o provedor de serviço envia seu certificado à autoridade de confirmação. A autoridade de confirmação compara o certificado recebido com o certificado em seu banco de dados para verificar se eles são correspondentes. Se forem correspondentes, a autoridade de confirmação permitirá que o provedor de serviço acesse o Serviço de resolução de artefato.
    Se você selecionar a autenticação de certificado de cliente, defina a configuração adicional a seguir:
    • Alias do certificado de cliente
      Especifica o alias que está associado a um certificado de cliente no banco de dados principal. Selecione o alias na lista suspensa.
    • Tempo limite do canal de apoio (segundos)
      (Apenas para o canal de saída). Especifica o tempo máximo que o
      CA Single Sign-on
      deve aguardar por uma resposta após o envio de uma solicitação de canal de apoio para o Serviço de resolução de artefato. Especifique um intervalo em segundos.
      Padrão:
      300 segundos
      Valor:
      número inteiro positivo
  • Sem autenticação
    Indica que o provedor de serviço não é solicitado a fornecer credenciais. O canal de apoio e o Serviço de resolução de artefato não estão protegidos. Você ainda pode ativar o SSL com essa opção. O tráfego do canal de apoio é criptografado, mas nenhuma credencial é trocadas entre as partes.
    Selecione Sem autenticação para fins de teste, mas não para a produção, exceto quando o sistema de federação estiver configurado para a tolerância a falhas ativada por SSL e ele estiver atrás de um servidor proxy. O servidor proxy lida com a autenticação quando possui o certificado do servidor. Nesse caso, todas as parcerias do tipo IdP->SP utilizam Sem autenticação como o tipo de autenticação.
Serviço de atributos no IdP
Você pode configurar um provedor de identidades para funcionar como uma autoridade de atributo. A autoridade pode responder a uma consulta de atributo de um solicitante SAML. O solicitante pode, em seguida, autorizar um usuário com base nos atributos recuperados.
A seção Serviço de atributos contém os seguintes campos para suporte de consulta de atributos:
  • Ativar
    Permite que o provedor de identidades funcione como uma autoridade de atributo. Como uma autoridade de atributo, o sistema pode responder a uma mensagem de consulta de um solicitante SAML.
  • Exigir consulta de atributo assinada
    Indica que a autoridade de atributo exige uma consulta de atributo assinada digitalmente do solicitante SAML.
  • casso127figsbrbr
    Ativar consulta em proxy
    Indica que um IdP de terceiros responde ao atributo de consulta. O recurso de consulta em proxy é para uma implantação onde terceiros estão atuando como o IdP e a autoridade de atributo. O sistema do servidor de políticas local que você está configurando possui duas funções ao implementar uma consulta em proxy. O sistema age como o SP e solicitante de atributo em relação ao IdP de terceiros. Esse sistema local também funciona como um IdP e autoridade de atributo em relação ao SP que possui o aplicativo solicitado.
    Uma consulta em proxy ocorre quando as seguintes condições são encontradas:
    • O atributo não foi encontrado no diretório de usuários ou no repositório de sessões do sistema local.
    • O usuário é inicialmente autenticado pelo IdP de terceiros.
    O servidor de políticas consulta o IdP de terceiros. Se o IdP localizar o atributo, ele retorna uma resposta de consulta. O servidor de políticas adiciona os atributos da resposta ao repositório de sessões. O sistema retornará a resposta com os atributos para o SP que possui o aplicativo. Esse SP é o solicitante do atributo original.
    Observação:
    o URL para o serviço de atributos no IdP é configurado na parceria do SP.
  • Duração da validade em segundos
    Especifica o número de segundos pelos quais o assertion é válido.
  • Opções de assinatura
    Designa os requisitos de assinatura para respostas e assertions de atributos.
    • Assinar assertion
      Instrui a autoridade de atributo a assinar apenas o assertion do atributo. A resposta de SAML não é assinada.
    • Assinar resposta
      Instrui a autoridade de atributo a assinar apenas a resposta de SAML.
    • Assinar ambos
      Instrui a autoridade de atributo a assinar o assertion do atributo e a resposta de SAML.
    • Assinar nenhum
      Instrui a autoridade de atributo a não assinar o assertion do atributo nem a resposta de SAML.
  • Pesquisa de usuário
    Define as especificações de pesquisa para espaços para nome de diretórios de usuários. A autoridade de atributo usa a especificação de pesquisa para localizar o usuário localmente. A especificação de pesquisa deve incluir o NameID do assunto da consulta do atributo para localizar o usuário.
    Insira uma especificação de pesquisa no campo de tipo de espaço para nome que você está usando.
    Observação:
    é necessário pelo menos uma especificação de pesquisa
Detecção de IDP (IdP do SAML 2.0)
A seção Detecção de IDP permite configurar o perfil de detecção do provedor de identidades. Esse perfil permite que o provedor de serviço determine qual autoridade de confirmação está sendo usada por uma entidade.
Essa seção exibe as seguintes configurações:
  • Ativar detecção de IDP
    Ativa ou desativa o perfil de detecção do provedor de identidades.
  • URL de serviço
    Especifica o URL do servlet de perfil de detecção do provedor de identidades na entidade local.
  • Domínio comum
    Especifica o domínio do cookie de domínio comum em que o serviço de detecção do provedor de identidades armazena informações sobre a autoridade de confirmação. Esse domínio deve ser um domínio pai do host no URL do serviço.
    Valor:
    um domínio de cookie válido
  • Ativar cookie persistente
    Indica que o cookie deve ser persistente.
URL de redirecionamento de status (IdP do SAML 2.0)
A seção URL de redirecionamento de status permite determinar como um navegador redireciona um usuário quando ocorrem os erros HTTP 500, 400 e 405.
Selecione as opções de redirecionamento que você deseja ativar e insira um URL associado.
Estas opções são:
  • Ativar redirecionamento de erro do servidor
    URL de redirecionamento de erro do servidor:
    especifica o URL para o qual o navegador redireciona o usuário quando ocorre um erro de servidor HTTP 500. Um usuário pode receber um erro 500 devido a uma condição inesperada que impede o servidor web de atender à solicitação do cliente. Se esse tipo de erro ocorrer, o usuário será enviado para o URL especificado para processamento adicional.
    Exemplo:
    http://www.redirectmachine.com/error_pages/server_error.html
  • Ativar redirecionamento de solicitação inválida
    URL de redirecionamento da solicitação inválido
    : especifica o URL para o qual o navegador redireciona o usuário quando ocorre um erro do tipo HTTP 400 - Solicitação incorreta ou 405 - Método não permitido. Um usuário pode receber um erro 400 devido a uma solicitação malformada. O usuário também pode receber um erro 405 porque o servidor web não permite a execução de um método ou uma ação específica. Se esses tipos de erros ocorrerem, o usuário será enviado para o URL especificado para processamento adicional.
    Exemplo: http://www.redirectmachine.com/error_pages/invalidreq_error.html
  • Ativar redirecionamento de acesso não autorizado
    URL de redirecionamento de acesso não autorizado:
    especifica o URL para o qual o usuário é redirecionado quando ocorre um erro de proibição HTTP 403. Esse erro ocorre porque o usuário não está autorizado para uma transação federada. Um erro 403 também pode ocorrer se o URL em uma solicitação apontar para o destino incorreto, como um diretório, em vez de um arquivo.
    Exemplo
    : http://www.redirectmachine.com/error_pages/unauthorized_error.htm
  • 302 Sem dados (padrão)
    Redireciona o usuário por meio de um redirecionamento HTTP 302 com um cookie de sessão, mas sem outros dados.
  • HTTP Post
    Redireciona o usuário usando o protocolo HTTP POST.