Configuração das definições do esquema de sessão
Conteúdo
casso128figsbrbr
HID_session-scheme-configuration
Conteúdo
Um esquema de sessão determina como a identidade de um usuário é mantida, fornecendo um logon único durante uma sessão.
O
CA Access Gateway
fornece os seguintes esquemas de sessão prontos para uso que podem ser configurados:- Esquema padrão
- ID de SSL
- Endereço IP
- Minicookies
- Regravação de URL simples
- ID do dispositivo
Também é possível criar esquemas de sessão personalizada. É possível definir vários esquemas de sessão. É possível associar esquemas de sessão com tipos de agente de usuário para cada host virtual configurado e criar um mapeamento de esquema de sessão. Cada esquema de sessão deve ser associado a um arquivo de classe Java que define o comportamento da sessão. Se não definir um esquema de sessão para um agente de usuário, o esquema de sessão padrão será usado.
Usos para cada esquema de sessão
A tabela a seguir ilustra os cenários em que cada esquema de sessão é usado. Os esquemas de sessão têm por base a sensibilidade dos recursos em um host virtual.
Esquema de sessão
| Nível de segurança
| Recomendação
|
ID da sessão SSL | Alta | Esse esquema fornece um meio limpo e altamente seguro de manter as sessões de usuário. Embora o mais seguro dos esquemas disponíveis, é limitado em escalabilidade. Todo o conteúdo deve ser atendido por SSL e o usuário deve continuar a acessar o mesmo servidor do CA Access Gateway para a sessão persistir. Além disso, alguns navegadores (algumas versões do Internet Explorer), por padrão, encerram a sessão SSL após 2 minutos. Esse esquema é ideal para aplicativos intranet e extranet com necessidades de alto nível de segurança. |
Cookies do CA Single Sign-on
| Média ou alta | Esse esquema é o mecanismo de sessão tradicional do CA Single Sign-on , que provou ser altamente seguro em muitas implantações corporativas.Para obter segurança máxima, a configuração do Agente web SecureCookie está definida como Sim. |
Endereço IP | Baixa | Esse esquema é somente para aplicativos em que os usuários são recuperando as informações (com HTTP GET) de recursos protegidos e não para envio de informações (com HTTP POST) para um aplicativo seguro. Um exemplo de um aplicativo apropriado seria uma biblioteca online. Um exemplo de um aplicativo em adequação seria um aplicativo de vínculo comercial. |
Minicookies | Média ou alta | Esse esquema é ideal para aplicativos em que clientes usuário aceitam cookies, mas estão acessando o aplicativo por meio de conexões de largura de banda e velocidade limitada. Para obter segurança máxima, a configuração do Agente web SecureCookie é definida como Sim. |
Regravação de URL simples | Média | Esse esquema é ideal para ambientes que não oferecem suporte ou desejam usar cookies. |
ID do dispositivo | Média | Esse esquema é projetado para ambientes sem fio em que uma ID de dispositivo é enviada com cada solicitação de cliente para identificar um usuário. |
Configurar o esquema de sessão padrão
O esquema de sessão padrão é o esquema que o
CA Access Gateway
usa para estabelecer e manter sessões de usuário quando nenhum outro esquema for especificado para um tipo de agente de usuário. Você deve configurar um esquema de sessão padrão. Você pode configurar o esquema de sessão padrão para usar qualquer esquema de sessão disponível.Siga estas etapas:
- Vá para Hosts virtuais, Esquemas de sessão.
- Clique em Ações, Editar, ao lado do esquema de sessão padrão na Lista de esquemas de sessão disponíveis.
- Configure os seguintes parâmetros:
- ClasseIndica a classe Java que contém o esquema de sessão padrão.Padrão:com.netegrity.proxy.session.SSLIdSessionScheme
- Aceitar cookies SMSESSIONIndica que, se um tipo de agente de usuário estiver associado ao esquema de sessão de cookies doCA Single Sign-on, os usuários que acessam os recursos por meio do tipo de agente de usuário mantêm a sessão utilizando os cookies tradicionais doCA Single Sign-on. OCA Single Sign-onusa cookies para rastrear as sessões, de modo que um esquema de cookies é suportado peloCA Access Gateway. Selecione essa opção para permitir que o esquema de sessão aceite os cookies SMSESSION.
- Clique em OK e Salvar.
Configurar o esquema de sessão ID de SSL
Uma conexão SSL (Secure Sockets Layer – Camada de Soquete Seguro) inclui uma ID exclusiva que é criada quando uma conexão SSL é iniciada. O
CA Access Gateway
pode usar a ID exclusiva como um token para consultar as informações de sessão de um usuário que são mantidas no repositório de sessões na memória. Esse esquema elimina cookies como um mecanismo para manutenção de uma sessão de usuário. Esquemas de sessão ID de SSL podem ser suportados usando as classes Java incluídas no pacote do CA Access Gateway
. a limitação do esquema é que o contato inicial com
CA Access Gateway
estabelece uma ID de sessão SSL. Se uma sessão SSL do usuário for interrompida, uma nova conexão SSL será estabelecida. O usuário deve ser reautenticado e autorizado novamente porque a nova conexão SSL conecta a um novo servidor, embora seja um servidor virtual no mesmo sistema. Além disso, formulários que são usados pelos esquemas de autenticação de formulários HTML devem ser servidos do mesmo nome de host que o recurso protegido.Siga estas etapas:
- Vá para Hosts virtuais, Esquemas de sessão.
- Clique em Ações, Editar, ao lado do esquema de sessão ssl_idt na Lista de esquemas de sessão disponíveis.
- Configure os seguintes parâmetros:
- ClasseEspecifica a classe Java que lida com os esquemas de sessão ID de SSL.Padrão:com.netegrity.proxy.session.SSLIdSessionScheme
- Aceitar cookies SMSESSIONEspecifica se os cookies SMSESSION são aceitos.
- Clique em OK e Salvar.
Você deve ativar o SSL no arquivo httpd.conf do servidor web Apache para configurar o esquema de sessão ID de SSL. Para modificar o httpd.conf, execute as seguintes etapas:
- Abra o arquivo httpd.conf localizado no diretório installation_home/secure-proxy/httpd/conf.
- Localize a seguinte linha:#SSLOptions +StdEnvVars +ExportCertData +CompatEnvVars
- Exclua o símbolo # no início da linha.
- Exclua +CompateEnvVars da linha, de modo que na linha indique o seguinte:SSLOptions +StdEnvVars +ExportCertData
- Salve as alterações.
- Reinicie oCA Access Gateway.
Não há suporte ao esquema de sessão da ID de SSL com tickets de sessão SSL. Para desativar o suporte a tickets de sessão SSL, execute as seguintes etapas:
- Vá para o localaccessgateway_home/httpd/conf/extra/.
- Abra o arquivo httpd-ssl.conf e vá para a diretiva SSLSessionTickets.
- DefinaSSLSessionTicketscomooff.
- Salve as alterações.
Configurar o esquema de sessão de endereço IP
Em ambientes em que os endereços IP são fixos, você pode usar um endereço IP para se referir às informações de uma sessão do usuário no repositório de sessões. Esse esquema elimina cookies, mas só pode ser usado em ambientes em que um usuário é atribuído a um endereço IP fixo.
O esquema de sessão minicookies armazena informações de sessão no repositório de sessões na memória do
CA Access Gateway
e cria um cookie que contém um token criptografado que o CA Access Gateway
retorna ao usuário. O minicookie é uma fração do tamanho de um cookie padrão do CA Single Sign-on
e, portanto, reduz o custo de acesso para dispositivos, como telefones sem fio. Ele fornece uma alternativa para os cookies padrão do CA Single Sign-on
.É possível definir as configurações manualmente ou usar a interface administrativa.
Siga estas etapas:
- Vá para Hosts virtuais, Esquemas de sessão.
- Clique em Ações, Editar, ao lado do esquema de sessão de minicookie na Lista de esquemas de sessão disponíveis.
- Configure os seguintes parâmetros:
- ClasseEspecifica a classe Java que lida com o esquema de sessão. Se desejar usar o esquema de sessão de minicookies padrão, não modifique o valor.Padrão:com.netegrity.proxy.session.MiniCookieSessionScheme
- Aceitar cookies SMSESSIONEspecifica se os cookies SMSESSION são aceitos.
- cookie_nameDefine o nome do minicookie que contém o token para a sessão do usuário.Observação:esse nome não é configurado usando o mesmo valor para todas as instânciasCA Access Gatewayque fornecem logon único.
- Clique em OK e Salvar.
Configurar o esquema de sessão de regravação de URL simples
A regravação de URL simples anexa um token para o URL solicitado e acompanha uma sessão de usuário. O token é usado para recuperar informações de sessão do repositório de sessões na memória.
Os esquemas de simple_url suportam regravação de URL simples que pode ser feita sem nenhum trabalho personalizado.
Observação:
os esquemas de senha com base em FCC e CGI são compatíveis com o esquema de sessão simple_url.Exemplo
Um usuário acessa um host e a sessão do usuário é estabelecida por meio do esquema de sessão de regravação de URL simples. Uma solicitação inicial pode se parecer com o exemplo a seguir:
Se o usuário fornecer as credenciais apropriadas e for autenticado e autorizado, o URL solicitado pelo usuário é reescrito e retornado ao usuário em um formulário semelhante ao seguinte:
nnnnnnnnnn
Representa um token em hash, gerado aleatoriamente, que o
CA Access Gateway
usa para identificar a sessão do usuário. para o esquema de sessão de regravação de URL simples funcionar, todos os links definidos na empresa devem ser links relativos. Se os links forem absolutos, o esquema de regravação de URL simples falhará. Além disso, o token que o
CA Access Gateway
anexa a um URL é eliminado do URL quando a solicitação é encaminhada. O token é acrescentado somente no nível de interação do CA Access Gateway
para que ele não interfira no processamento do servidor de back-end.Siga estas etapas:
- Vá para Hosts virtuais, Esquemas de sessão.
- Clique em Ações, Editar, ao lado do esquema de sessão simple_url na Lista de esquemas de sessão disponíveis.
- Configure os seguintes parâmetros:
- ClasseEspecifica a classe Java que lida com o esquema de sessão. Se deseja usar o esquema de sessão de regravação sem cookies, não modifique o valor.Padrão:com.netegrity.proxy.session.SimpleURLSessionScheme
- Aceitar cookies SMSESSIONEspecifica se os cookies SMSESSION são aceitos.
- session_key_nameEspecifica o identificador de sessão ID (SMID) doCA Single Sign-on.
- Clique em OK e Salvar.
Regravar os redirecionamentos FWS para esquemas de sessão URL simples
Se implantar o
CA Access Gateway
em um ambiente federado, um dos esquemas de sessão que você poderá usar no site que produz asserções é um esquema de sessão de URL simples. Se usar esse esquema, talvez seja necessário reescrever os links que direcionam o usuário para o local apropriado para que a chave de sessão seja adicionada ao link. Na documentação do CA Single Sign-on
, esses links para o SAML 1.x são chamados de URLs de transferência entre sites. Para o SAML 2.0, esses links são referidos como uma resposta não solicitada ou um link de AuthnRequest.Para reescrever os links de forma que as informações de sessão chave sejam adicionadas à base de URLs, uma amostra de pós-filtro, RewriteLinksPostFilter, é fornecida junto com os exemplos de filtro do
CA Access Gateway
. Esse filtro pode ser compilado e anexado à regra de proxy correta, que lida com encaminhamentos para o URL de transferência entre sites, respostas não solicitadas ou AuthnRequest.O RewriteLinksPostFilter fornecido com o
CA Access Gateway
é um exemplo de filtro. Você deve configurar o filtro de acordo com suas necessidades.Observação:
se usar o esquema de sessão simple_url para transações que envolvem o gateway de federação do CA Access Gateway
, a chave de sessão (SMID) é adicionada à solicitação como um parâmetro de consulta em vez de ser anexada ao URI. No entanto, a SMID é adicionado ao URI quando o recurso de destino final é acessado no servidor de back-end.Configurar o esquema de sessão de ID do dispositivo sem fio
Alguns dispositivos sem fio têm um número de identificação do dispositivo exclusivo. Esse número é enviado como uma variável de cabeçalho com todas as solicitações de recursos. O
CA Access Gateway
pode usar essa ID do dispositivo como um token para fazer referência a informações da sessão no repositório de sessões.Siga estas etapas:
- Vá para Hosts virtuais, Esquemas de sessão.
- Clique em Ações, Editar, ao lado do esquema de sessão device_id na Lista de esquemas de sessão disponíveis.
- Configure os seguintes parâmetros:
- ClasseEspecifica a classe Java que lida com o esquema de sessão.Padrão:com.netegrity.proxy.session.DeviceIdSessionScheme
- Aceitar cookies SMSESSIONEspecifica se os cookies SMSESSION são aceitos.
- device_id_header_nameDefine a ID de dispositivo específico do fornecedor.
- Clique em OK e Salvar.