Logon e logoff únicos (WSFED IP)
casso127figsbrbr
HID_sso-signout-wsfed
A etapa de logon e logoff únicos permite configurar a operação de cada recurso.
Autenticação (WSFED)
A seção Autenticação permite especificar a maneira como o sistema de federação autentica os usuários durante as transações de logon único. Defina o método a ser usado para autenticar um usuário que não tem uma sessão.
É possível especificar as seguintes configurações:
Modo de autenticação
Indica se uma sessão é estabelecida por meio da autenticação de um usuário localmente ou da delegação da autenticação a um sistema de gerenciamento de acesso de terceiros remoto.
Padrão:
LocalOpções
: Selecione uma das seguintes opções e configure todos os campos adicionais dela:- Local—O sistema de federação está manipulando a autenticação do usuário.Se você selecionar o campo Local para o modo de autenticação, digite um URL no campoURL de autenticação. Normalmente o URL aponta para um arquivo redirect.jsp. No entanto, se você marcar a caixa de seleçãoUsar URL seguro, o URL deve apontar para o serviço web secureredirect.URL de autenticaçãoEspecifica um URL protegido que a federação usa para autenticar usuários e criar uma sessão quando um recurso protegido é solicitado. Se o modo de autenticação tiver sido definido como Local e um usuário não tiver efetuado logon na autoridade de confirmação, os usuários serão enviados para esse URL. Esse URL deve apontar para o arquivo redirect.jsp, a menos que você marque a caixa de seleçãoUsar URL seguro. Exemplos: http://myserver.idpA.com/affwebservices/redirectjsp/redirect.jsphttp://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jspmyserveridentifica o servidor web com o pacote de opções do Agente web ou oCA Access Gatewayinstalados na autoridade de confirmação. O aplicativo redirectjsp está incluso nesses produtos.proteja o URL de autenticação com uma diretiva de controle de acesso. Para a diretiva, configure uma regra, realm e esquema de autenticação. Para adicionar atributos do repositório de sessões ao assertion, ative a caixa de seleção Persistir as variáveis da sessão de autenticação, que é uma configuração no esquema de autenticação.Usar URL seguroEsta configuração instrui o serviço de logon único para criptografar apenas o parâmetro de consulta SMPORTALURL. Um SMPORTALURL criptografado impede que um usuário mal-intencionado modifique o valor e redirecione usuários autenticados para um site mal-intencionado. O SMPORTALURL é anexado ao URL de autenticação antes de o navegador redirecionar o usuário para estabelecer uma sessão. Após a autenticação do usuário, o navegador direciona o usuário de volta para o destino especificado no parâmetro de consulta SMPORTALURL.Se você marcar a caixa de seleção Usar URL seguro, execute as seguintes etapas:1. Defina o campo URL de autenticação como o seguinte URL: http(s)://idp_server:port/affwebservices/secure/secureredirect2. Proteja o serviço web secureredirect com uma política.Se a autoridade de confirmação atende a mais de um provedor de serviços, a autoridade de confirmação provavelmente autentica usuários diferentes para esses parceiros diferentes. Como resultado, para cada URL de autenticação que usa o serviço secureredirect, inclua esse serviço web em um realm diferente para cada parceiro.Para associar o serviço secureredirect a realms diferentes, modifique o arquivo web.xml e crie mapeamentos de recursos diferentes. Não é possível copiar o serviço web secureredirect em locais diferentes do servidor. Localize o arquivo web.xml no diretórioweb_agent_home/affwebservices/WEB-INF, ondeweb_agent_homeé o local de instalação do agente web.
- Delegada — Um sistema WAM (Web Access Management - Gerenciamento de Acesso à Web) de terceiros está manipulando a autenticação de usuário. Preencha os campos adicionais.
- Seletor de credenciais — é exibida aos usuários uma página de seletor de credenciais que lista vários provedores de identidade. Os provedores de identidade podem ser parceiros de mídia social, WS-Federation, SAML ou OAuth. Os usuários selecionam o provedor de identidades apropriado e esse provedor autentica o usuário. A lista de provedores de identidade aceitáveis é definida em um grupo de métodos de autenticação. Para todos esses parceiros externos, o usuário já deve estar registrado neles.
- Tipo de autenticação delegada (apenas para o modo Item delegado)Especifica se a autenticação de terceiros é realizada por meio da transmissão de um cookie de formato aberto ou de uma sequência de caracteres de consulta com a ID de logon do usuário e outras informações. Esse campo é exibido apenas se Item delegado for escolhido como o modo de autenticação.Opções:sequência de caracteres de consulta, cookie de formato aberto
- Sequência de caracteres de consulta – para usar uma sequência de caracteres de consulta, a sequência de caracteres de redirecionamento de terceiros é criada e é adicionado um parâmetro de consulta chamado LoginIDHash a ela. O parâmetro LoginIDHash é uma combinação da ID de logon do usuário e um shared secret. Esses dois valores são combinados e, em seguida, processados por meio de um algoritmo de hash.não use o método de sequência de caracteres de consulta em um ambiente de produção. O método de redirecionamento de sequência de caracteres de consulta é somente para um ambiente de teste como prova de conceito. A opção de sequência de caracteres de consulta não produz uma parceria compatível com o FIPS.
- Cookie de formato aberto – para usar o cookie de formato aberto, o sistema de terceiros poderá usar um SDK de Java ou .NET de federação para criar o cookie. Como alternativa, é possível usar uma linguagem de programação para criar um cookie manualmente. O terceiro redireciona o navegador para o seu sistema de federação, que recupera a ID de usuário.
- URL da autenticação delegadaEspecifica o URL do sistema de gerenciamento de acesso à web de terceiros que manipula a autenticação do usuário. Se um usuário iniciar uma solicitação no sistema de federação, ele será redirecionado para o sistema de gerenciamento de acesso à web para autenticação. Após obter êxito na autenticação, o usuário é redirecionado de volta ao sistema de federação.Esse URL não é relevante se um usuário iniciar uma solicitação primeiro no sistema de gerenciamento de acesso à web.Valor:um URL válido que comece com http:// ou https://
- Acompanhar status de autenticação delegadaVerifica se a autenticação delegada foi bem-sucedida. Se houver falha na autenticação delegada, essa configuração determina o comportamento do sistema da federação. Essa caixa de seleção está marcada por padrão.Há falha na autenticação delegada, se o usuário não fornecer credenciais ao acessar um recurso protegido configurado para ela. Se o usuário tentar acessar o recurso novamente na mesma sessão de navegador, o navegador exibirá um erro 404. Além disso, o sistema de federação grava uma mensagem de erro nos arquivos affwebservices.log e FWsTrace.log. A mensagem de erro indica que as credenciais para autenticação delegada estão ausentes. O sistema da federação não redireciona o usuário para o URL de autenticação delegada para fornecer as credenciais.Para que o sistema da federação redirecione o usuário para o URL da autenticação delegada na mesma sessão de navegador, desmarque essa caixa de seleção. Ao desativar o rastreamento, o usuário pode tentar acessar o recurso novamente na mesma sessão de navegador sem receber o erro 404. Em vez disso, o sistema da federação redireciona o navegador para o URL da autenticação delegada, O usuário deverá fornecer mais uma vez as credenciais.
- Segredo de hash (apenas sequência de caracteres de consulta)Determina o shared secret que é acrescentado à ID de logon de usuário para criar o parâmetro de consulta LoginIDHash. Essa configuração é relevante apenas se você selecionar a sequência de caracteres de consulta como o tipo de autenticação delegada.
- Confirmar segredo de hash (apenas sequência de caracteres de consulta)Verifica o segredo de hash. Insira o valor do segredo de hash novamente.
- Cookie de formato aberto (apenas cookies de formato aberto)O usuário é redirecionado para o aplicativo de destino por um redirecionamento HTTP 302 com um cookie de formato aberto, mas sem outros dados. O aplicativo do destinatário descriptografa o cookie criptografado para obter as informações do usuário.Se o provedor de serviço receber um assertion com vários valores de atributo, ele transmitirá todos os valores para o aplicativo de destino.Se você selecionar a opção de cookie de formato aberto para a autenticação delegada, a interface administrativa exibirá os seguintes campos adicionais:
- Nome do cookie de formato abertoEspecifica o nome do cookie.Transformação de criptografiaIndica o algoritmo de criptografia a ser usado para criptografar o cookie de formato aberto.Se você selecionar um dos algoritmos compatíveis com FIPS (algoritmos AES), o sistema de destino deverá usar um SDK de federação para utilizar o cookie. O SDK deve estar no mesmo servidor que o aplicativo de destino.Se você estiver usando o SDK do .NET de federação para utilizar o cookie, use o algoritmo de criptografia AES128/CBC/PKCS5Padding.Senha de criptografiaIndica a senha usada para criptografar o cookie. Os campos Senha de criptografia e Confirmar senha são obrigatórios.Confirmar senhaConfirma a entrada de senha de criptografia.Ativar HMACIndica que um HMAC (Hash Message Authentication Code - Código de Autenticação de Mensagem de Hash) é gerado usando a senha de criptografia fornecida nessa caixa de diálogo.Os MACs (Message Authentication Codes - Códigos de Autenticação de Mensagem) podem verificar a integridade das informações enviadas entre duas partes. As duas partes compartilham uma chave secreta para o cálculo e a verificação de valores de autenticação de mensagem. Um HMAC é um mecanismo de MAC que se baseia em funções de hash criptográfico.Se você marcar a caixa de seleção Ativar HMAC, o sistema gerará um valor de HMAC para seu cookie de formato aberto. O valor de HMAC é precedido ao valor do cookie de formato aberto e, em seguida, criptografa toda a sequência de caracteres. O sistema de federação coloca a sequência de caracteres criptografada no cookie de formato aberto que, em seguida, é transmitido para o aplicativo de destino.Duração da latência do cookie (segundos)Especifica o número de segundos subtraído da hora do sistema atual para contabilizar a diferença entre os relógios do sistema. A diferença está entre o seu sistema de federação e o aplicativo de terceiros que lida com a autenticação delegada.O software aplica a duração da latência à geração e ao consumo de cookie de formato aberto.Valor:Insira um valor em segundos.
- Tempo limite ociosoDetermina a quantidade de tempo que uma sessão de usuário autorizada pode ficar inativa antes que o agente a encerre. Se você estiver preocupado com os usuários que deixam suas estações de trabalho depois de acessar um recurso protegido, defina o tempo limite de ociosidade como um período mais curto. Se o tempo limite da sessão expirar, os usuários deverão se autenticar novamente antes de acessar os recursos.Essa configuração é ativada por padrão. Para especificar nenhum limite de tempo de ociosidade de sessão, desmarque a caixa de seleção. O tempo limite de ociosidade de sessão padrão é uma hora.Observaçãoa sessão realmente expira dentro de um determinado período de manutenção após o valor de tempo limite de ociosidade especificado. O número de segundos especificado na chave do Registro a seguir determina o período de tempo:HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\siteminder\CurrentVersion\SessionServer\MaintenancePeriodPor exemplo, você define o tempo limite de ociosidade como 10 minutos. Também define o Registro para MaintenancePeriod como o valor padrão. O período mais longo antes do tempo limite de uma sessão ser tingido devido à inatividade é 11 minutos (tempo limite + período de manutenção).Para usar esse recurso com o esquema de autenticação Básico, o agente web deve ser configurado para exigir cookies.Considere as seguintes questões:
- Para sessões persistentes, ative a opção Tempo limite ocioso e defina-a com um valor maior do que o de Período de validação.
- É possível ignorar essa configuração usando o atributo de resposta WebAgent-OnAuthAccept-Session-Idle-Timeout. Um valor igual a zero indica que a sessão não será encerrada devido à inatividade.
Padrão: 60 segundosHorasEspecifica o número de horas para o período de tempo limite de ociosidade. - MinutosEspecifica o número de minutos para o período de tempo limite de ociosidade.
- Tempo limite máximoDetermina a quantidade máxima de tempo que uma sessão de usuário pode ficar ativa antes que o agente solicite ao usuário para se autenticar novamente.Essa configuração é ativada por padrão. Para especificar nenhum período máximo de sessão, desmarque a caixa de seleção. O período máximo de sessão padrão é duas horas.
- HorasEspecifica o número de horas para o período máximo de sessão.
- MinutosEspecifica o número de minutos para o período máximo de sessão.
Para usar esse recurso com o esquema de autenticação Básico, configure o agente web para exigir cookies.Observação:é possível ignorar essa configuração usando o atributo de resposta WebAgent-OnAuthAccept-Session-Max-Timeout. - Nívelmínimo de autenticaçãoEspecifica o nível mínimo no qual o usuário deve estar autenticado para obter acesso a um realm. Se o usuário tiver sido autenticado nesse nível ou em um nível superior, o provedor de identidades gerará um assertion para ele. Se o usuário não estiver autenticado nesse nível ou em um nível superior, ele será redirecionado para o URL de autenticação para que possa se autenticar nesse nível.
Se você selecionar Seletor de credenciais como o modo de autenticação, preencha os seguintes campos:
- URL base de autenticaçãoDefine o nome de host do servidor doCA Access Gatewayno qual está instalado o serviço de tratamento de credenciais. Insira o valor no seguinte formato:https:nome_do_host_sps/chs/login ou http:nome_do_host_sps/chs/login
- Grupos de métodos de autenticaçãoEspecifica o grupo de métodos de autenticação de provedores de identidade que deve ser exibido aos usuários para autenticação quando a parceria for chamada.
Logon único (WSFED IP)
- PúblicoEspecifica o URL do público. O URL do público identifica a localização de um documento que descreve os termos e as condições do contrato de negócios entre a autoridade de confirmação e o provedor de serviço. O administrador na autoridade de confirmação determina o público. Este valor de público deve corresponder ao valor de público do provedor de serviço e à ID da entidade do parceiro do recurso. Todas essas três configurações devem usar o mesmo valor.Valor:um URL válido.O valor de público não pode exceder 1024 caracteres e há diferenciação de maiúsculas e minúsculas.Exemplo:http://fed.example.com/portal1
- URL do Security Token Consumer ServiceEspecifica o URL do serviço no parceiro de recurso que recebe as mensagens de resposta do token de segurança e extrai o assertion. O local padrão do serviço é:https://rp_server:port/affwebservices/public/wsfeddispatcherrp_server:portIdentifica o servidor web e a porta no parceiro de recurso que está hospedando o Web Agent Option Pack ou o SPS federation gateway. Esses componentes fornecem o aplicativo Federation Web Services.Observação:o serviço WSFedDispatcher recebe todas as mensagens de entrada do WS-Federation e encaminha o processamento da solicitação para o serviço apropriado com base nos dados do parâmetro de consulta. Embora haja um serviço wsfedsecuritytokenconsumer, o serviço wsfeddispatcher é recomendado para a entrada desse campo.
- Duração da validade do SSO (segundos)Especifica o número de segundos pelos quais um assertion gerado é válido.Em um ambiente de teste, você pode aumentar o valor de Duração da validade para mais de 60, o padrão, se a seguinte mensagem estiver no log de rastreamento:Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237) -current time (Fri Sep 09 17:28:33 EDT 2005) is after SessionNotOnOrAftertime (Fri Sep 09 17:28:20 EDT 2005)Observação:a duração da validade do SSO e a duração da latência instruem o servidor de políticas sobre como calcular o tempo total de validade da solicitação de logon único.Padrão:60Valor:insira um número inteiro positivo.
- Formulário de postagem personalizadoNomeia o formulário HTML de postagem automática personalizado para o logon único de HTTP POST. Insira apenas o nome do formulário, e não o caminho para o formulário. Um formulário denominado defaultpostform.html é instalado com o produto.Uma postagem automática personalizada permite que o servidor de políticas envie informações de SAML para o parceiro de recurso. A página física deve residir no diretório %NETE_WA_ROOT%\customization, em que %NETE_WA_ROOT% é a localização do Web Agent Option Pack. Se o agente web e o Web Agent Option Pack estiverem instalados no mesmo sistema, eles estarão instalados no mesmo diretório, por exemplo, webagent\customization.
- Período de validaçãoPara visualizar essa caixa de seleção, ative o servidor da sessão usando o Console de gerenciamento do servidor de políticas.Determina o período de tempo máximo entre as chamadas do agente para o servidor de políticas a fim de validar uma sessão. As chamadas de validação de sessão informam o servidor de políticas que um usuário ainda está ativo e confirmam que a sessão de usuário ainda está válida.Para especificar o período de validação, insira valores nos campos Horas, Minutos e Segundos. Se você estiver configurando o sistema para fornecer um contexto de segurança de usuário do Windows, defina para um valor alto, por exemplo, 15 a 30 minutos. Além disso, se as sessões ativas forem menores do que o valor máximo de cache de sessão de usuário do agente, não será necessário que o agente valide novamente uma sessão.o período de validação da sessão deve ser menor do que o valor de tempo limite de ociosidade especificado.
Logoff (WSFED IP)
A seção Logoff da caixa de diálogo é exibida apenas por meio da ativação do repositório de sessões. Ative o repositório de sessões usando o Console de gerenciamento do servidor de políticas.
- Ativar logoffAtiva o recurso de logoff para a parceria.
- URL de confirmação do logoffEspecifica o URL no provedor de identidades que executa o logoff.O URL padrão é:http://ip_server:port/affwebservices/signoutconfirmurl.jspip_server:portEspecifica o servidor e o número da porta do sistema do provedor de identidades. O sistema está hospedando o Web Agent Option Pack ou o SPS federation gateway, dependendo do componente que está instalado em sua rede de federação.O signoutconfirmurl.jsp é incluído no Web Agent Option Pack ou no SPS federation gateway. É possível mover essa página a partir do diretório padrão, onde o mecanismo do servlet para o Federation Web Services pode acessar a página.Se o parceiro de recurso iniciar um logoff, a página de confirmação de logoff deve ser um recurso desprotegido no parceiro de recurso. Se o provedor de identidades iniciar um logoff, a página de confirmação de logoff deve ser um recurso desprotegido no site do provedor de identidades.
- URL de logoff remotoEspecifica o URL do serviço de logoff no Parceiro de recurso. O Provedor de identidades envia a solicitação signoutcleanup para esse URL.Exemplo: seSingle Sign-Onfor usado como parceiro de recurso, então, o URL é https://ip_service:port/affwebservices/public/wsfeddispatcher.Observação:o serviço wsfeddispatcher recebe todas as mensagens de entrada do WS-Federation. Esse serviço encaminha a solicitação para o serviço adequado com base nos dados de parâmetro de consulta. Embora haja um serviço wsfedsignout, use o URL de wsfeddispatcher para o URL de logoff.