Caixa de diálogo Esquema de autenticação de serviços web
2
casso128figsbrbr
HID_soa-authentication-scheme
2
Os esquemas de autenticação determinam as credenciais e o método exigidos pelo servidor de políticas para estabelecer a identidade de um usuário.
O conteúdo da caixa de diálogo Esquema de autenticação de serviços web é alterado ao selecionar um esquema na lista suspensa Tipo de esquema de autenticação. A área abaixo da caixa de grupo Configuração comum do esquema contém duas seções para cada tipo de esquema. A caixa de grupo Configuração de esquema inclui campos para as informações que devem ser fornecidas para o esquema para funcionar corretamente. A caixa de grupo Avançado normalmente contém um ou mais campos somente leitura que exibem informações que serão usadas para resolver a autenticação. A caixa de grupo Avançado também contém uma caixa de seleção que indica se um esquema de autenticação pode ser usado para autenticar um administrador. Após configurar um esquema, é possível atribui-lo aos aplicativos e realms.
Configurações do esquema de autenticação
O conteúdo da caixa de diálogo Esquema de autenticação é alterado de acordo com o tipo de esquema que você escolher para configurar. Entretanto, os seguintes campos e controles são comuns a todos os esquemas de autenticação:
- NomeNome do esquema de autenticação.
- Descrição(Opcional) Breve descrição do esquema de autenticação.
Caixa de grupo Configuração comum do esquema
- Estilo do tipo de autenticaçãoLista os modelos de esquema de autenticação.A lista contém todos os modelos de esquema de autenticação predefinidos para utilização com as bibliotecas de autenticação do servidor de políticas.
- Nível de proteçãoDefine um nível entre 1 e 1000.Os níveis de proteção fornecem uma medida adicional de flexibilidade no controle de acesso.Observação:os esquemas de autenticação possuem um nível de proteção padrão que você talvez precise alterar. Certifique-se de anotar os níveis de proteção ao definir seus esquemas e atribuí-los aos realms. Altos níveis de proteção devem ser usados para recursos essenciais, enquanto os esquemas de níveis inferiores devem ser usados para recursos acessados com frequência.
- Diretivas de senha ativadas para este esquema de autenticação(Opcional) Marque essa caixa de seleção para ativar as diretivas de senha.Observação:nem todos os esquemas de autenticação oferecem suporte a diretivas de senha.
Caixa de diálogo Esquema de autenticação de serviços web — Coletor de credenciais de documento XML
Para que o
CA SiteMinder® Web Services Security
autentique as informações de usuários obtidas a partir de um documento XML de entrada, configure o esquema de autenticação do Coletor de credenciais de documento XML na interface administrativa.Caixa de grupo Configuração do esquema
A caixa de grupo Configuração do esquema é o local onde é possível configurar os mapeamentos de campos para o esquema de autenticação do Coletor de documento XML.
- Mapeamentos de camposEsta tabela lista os mapeamentos de campos definidos para o esquema de autenticação. A tabela é preenchida previamente com a entrada Usuário necessária que é usada para mapear o campo de nome de usuário no repositório de usuários. Use o botão Editar, à esquerda de uma entrada, para editar uma entrada. Use o botão Excluir, à direita de uma entrada, para excluir uma entrada existente.
- Adicionar mapeamentoClique para adicionar um mapeamento de campos adicional.
- Exigir conexão seguraSelecione essa caixa de seleção se desejar que oCA SiteMinder® Web Services Securitysolicite que a autenticação só ocorra por meio de uma conexão SSL.O servidor de políticas espera que as informações contidas no documento XML estejam em texto não criptografado. Para reforçar a segurança, recomendamos configurar este esquema de autenticação por meio de uma conexão SSL.
Painel Mapeamento de campos
O painel Mapeamento de campos é o local onde você define os mapeamentos de campos individuais para o esquema de autenticação Coletor de documento XML.
- NomeEspecifica o nome de um campo do repositório de usuários, como email no campo Nome. Este é o campo cujo elemento XML você está mapeando.
- Consulta XPath avançadaSelecione esta caixa de seleção se desejar inserir diretamente uma consulta XPath que define o mapeamento no campo XPath.
- XPathEspecifica a consulta XPath que define o mapeamento.
- Nome de arquivo XSDEspecifica o nome do caminho do arquivo de esquema (.xsd) que contém o elemento que deseja mapear para o repositório de usuários. Insira o nome do caminho completo ou clique em Procurar e vá até um arquivo de esquema na caixa de diálogo Upload de arquivo exibida.
- Carregar arquivo XSDClicar neste botão faz o upload do esquema definido no arquivo XSD e exibe-o na caixa de grupo Selecionar um nó exibida.
- Selecionar um nóExibe o esquema carregado usando uma exibição hierárquica em estilo de árvore padrão. Clique no sinal de adição (+) ao lado de um elemento para expandi-lo. Clique no sinal de subtração (-) ao lado de um elemento expandido para reduzi-lo. Os elementos marcados com um asterisco (*) podem ser repetidos dentro do documento XML (ou seja, os documentos XML de entrada podem conter várias instâncias do elemento).Clique em uma entrada para mapear o nó para o nome do campo especificado na caixa de grupo Selecionar um nó. A consulta XPath correspondente ao nó selecionado é exibida no campo XPath.Observação:um esquema carregado não é persistente; mesmo quando criar vários mapeamentos a partir do mesmo arquivo de esquema, será necessário recarregar o esquema para cada mapeamento.
- Função(Opcional) Especifica a função XPath (contagem, div, índice, mod, soma) que deseja aplicar ao mapeamento.A opção Função permite criar mapeamentos mais complexos processando funções que melhor avaliam o documento XML. Para obter mais informações sobre essas funções, navegue até à especificação de XPath em http://www.w3.org.
- Mapeamento relativo aEspecifica se as informações mapeadas estão localizadas relativamente ao conteúdo da mensagem ou ao cabeçalho da mensagem. Isso define a raiz do documento XML e informa o XPath onde procurar as informações relevantes. Se o documento tiver vários cabeçalhos, o XPath usa o valor do primeiro cabeçalho que resolva.
Caixa de diálogo Esquema de autenticação de serviços web — Assinatura digital XML
O esquema de autenticação de assinatura digital XML (XML-DSIG) protege os serviços web validando documentos XML assinados digitalmente com certificados X.509 válidos.
Caixa de grupo Configuração do esquema
A caixa de grupo Configuração do esquema é onde você configura o esquema de autenticação Assinatura digital XML.
- Restrições da assinatura digitalEspecifica quanto do conteúdo do documento XML é assinado. A assinatura digital pode ser aplicada apenas a uma parte de um documento XML. As opções são as seguintes:Observação:se o documento XML usa XML bruto, selecione a opção é necessário cobrir o documento inteiro, porque todo o documento é a carga. No XML bruto, nenhum cabeçalho do envelope ou marca de corpo existe para distinguir a carga de outros conteúdos.
- Exigir conexão seguraSelecione essa caixa de seleção se desejar que oCA SiteMinder® Web Services Securitysolicite que a autenticação só ocorra por meio de uma conexão SSL.
Observação: é preciso configurar os mapeamentos de certificados para o esquema de autenticação Assinatura digital XML.
Caixa de diálogo Esquema de autenticação de serviços web — Ticket de sessão SAML
O esquema de autenticação Ticket de sessão SAML fornece um mecanismo de logon único em serviços web protegidos pelo mesmo repositório de diretivas. O esquema autentica mensagens XML usando credenciais obtidas do ticket de assertions Ticket de sessão SAML em um cabeçalho HTTP, um envelope SOAP do documento ou um cookie. Essas asserções altamente seguras são geradas por um agente WSS do
CA Single Sign-on
para servidores web no mesmo domínio do servidor de políticas após a autorização inicial da solicitação, tornando o esquema de autenticação de Ticket de sessão SAML uma base ideal para vários serviços web implantados usando o modelo de autenticação de várias etapas ou o modelo de serviço de autenticação de cadeia dentro de uma única empresa.Uma asserção de Ticket de sessão de SAML é uma estrutura de dados que contém um ticket de sessão do
CA Single Sign-on
e uma chave pública (ambas criptografadas). Esse assertion é usado pelo esquema de autenticação Ticket de sessão SAML para fazer o seguinte:- Verifique se existe uma sessão válida doCA Single Sign-on.
- Garantir a integridade do documento XML assinado.
Ao incluir o ticket de sessão e a chave pública na asserção, um destinatário desses serviços web poderá acessar os serviços web protegidos pelos agentes WSS do
CA Single Sign-on
no mesmo domínio do servidor de políticas sem que as credenciais sejam solicitadas novamente.Caixa de grupo Configuração do esquema
A caixa de grupo Configuração do esquema é ondo você configura o esquema de autenticação Ticket de sessão SAML.
- SAML Assertion emEspecifica onde deseja que o assertion do SAML seja colocado. Selecione uma das opções a seguir:
- Exigir assinatura na mensagem XMLSelecione esta caixa de seleção para exigir que os documentos de entrada sejam assinados.
- Exigir camada de transporte seguroSelecione essa caixa de seleção se desejar que oCA SiteMinder® Web Services Securitysolicite que a autenticação só ocorra por meio de uma conexão SSL.
Caixa de diálogo Esquema de autenticação de serviços web — Segurança do WS
O padrão WS-Security define um conjunto de extensões de cabeçalhos SOAP que fornecem mecanismos para passar de maneira segura dados de autenticação e proteger o conteúdo de mensagens entre serviços web, particularmente em empresas federadas. O WS-Security permite que os implementadores de serviços web façam o seguinte:
- Enviem dados de autenticação como parte de uma mensagem usando um dos vários tipos de token de segurança para o qual há suporte.
- Garantam a integridade da mensagem usando assinaturas digitais.
- Garantam o sigilo da mensagem por meio de criptografia XML.
Esses mecanismos podem ser usados de forma independente (por exemplo, para passar dados de autenticação em um token de segurança) ou em combinação (por exemplo, assinando e criptografando uma mensagem e fornecendo dados de autenticação em um token de segurança).
Para obter mais informações sobre o padrão WS-Security, consulte o padrão OASIS, segurança de serviços web: SOAP Message Security 1.0.
Caixa de grupo Configuração do esquema
A caixa de grupo Configuração do esquema é onde você configura o esquema de autenticação do WS-Security.
- Tipo de token de segurançaEspecifica o tipo de token de segurança necessário. Escolha uma das seguintes opções:
- Resumo do nome de usuário e senha (o padrão). Também válido para tokens de nome de usuário e senha (texto não criptografado).
- Certificado X509v3
- Assertion do SAML
Caixa de grupo Restrições da assinatura XML
A caixa de grupo Restrições da assinatura XML é onde você configura as restrições da assinatura XML para o esquema de autenticação do WS-Security ao exigir tokens de Resumo do nome de usuário e senha ou Certificado X509v3.
- Restrições da assinatura XMLEspecifica a restrição de assinatura XML necessária. Escolha uma das seguintes opções:
- Nenhuma assinatura necessária (o padrão)
- É necessário cobrir o documento inteiro
- É necessário cobrir o corpo da mensagem
- Somente necessita aplicar a cabeçalhos
- Exigir assinatura sobre wsu: elemento de marca de data e horaSelecione esta caixa de seleção para exigir a validação de qualquer elemento <wsu:Timestamp> e <wsu:TimestampTrace> na mensagem
- Exigir camada de transporte seguroSelecione essa caixa de seleção se desejar que oCA SiteMinder® Web Services Securitysolicite que a autenticação só ocorra por meio de uma conexão SSL.
Caixa de grupo Restrições de token SAML
A caixa de grupo Restrições de token SAML é onde vocêr configura como as restrições de token são aplicadas aos tokens SAML do WS-Security.
- Público(Opcional para o SAML 1.1; necessário para o SAML 2.0) Especifica um valor obrigatório para um elemento <saml:Audience> do token de assertion do SAML. Se ficar indefinido, nenhuma restrição será colocada no conteúdo do Público.
- Nome de atributo/XPATH(Opcional) Especifica uma expressão XPATH que pode ser usada para obter um valor de identidade do usuário se a identidade do usuário no elemento saml:NameIdentifier do token de assertion (que é usado por padrão) não for adequada para a autenticação. O comportamento padrão tende a ser suficiente para diretórios de usuários associados que não sejam LDAP e tokens SAML gerados peloCA SiteMinder® Web Services Security.Para diretórios de usuários do LDAP, especifique uma expressão XPATH que retorne um valor de identidade do usuário que resolva corretamente. Por exemplo://SMlogin/Username/text()Para os tokens SAML que colocam outras informações, como endereços de email no elemento saml:NameIdentifier, especifique uma expressão XPATH que extraia apenas as informações necessárias.Se for necessário remover os prefixos padrão para retornar o próprio valor do atributo obrigatório, consulte Remoção de prefixos padrão nas Consultas XPath.
- Sequência de caracteres de pesquisa de atributosSe você tiver especificado um nome de atributo/expressão XPATH no campo anterior, especifique uma sequência de caracteres de pesquisa a ser aplicada ao resultado da expressão XPATH para aplicar um DN do usuário no campo Sequência de caracteres de pesquisa de atributo.Para diretórios de usuários do LDAP, essa sequência de caracteres de pesquisa está no seguinte formato:attribute=LDAP:uid=%s(Poderá ser necessário modificar o componente "uid=%s" dependendo de como as pesquisas são executadas em um diretório específico.)
- Métodos de confirmação de entidadePara especificar os métodos de confirmação de entidade a serem permitidos, selecione uma ou mais das seguintes opções:Para permitir assertions que sejam criados com qualquer um dos métodos de confirmação de entidade selecionados, selecione mais de uma opção.Observaçãose não definir um método de confirmação de entidade, oCA SiteMinder® Web Services Securityrejeitará todas as asserções do SAML.
- Validar assinaturas de suporteConfigura oCA SiteMinder® Web Services Securitypara validar as assinaturas de suporte. Essa opção é definida por padrão.os releases anteriores do SOA Security Manager não requerem que seja especificado um método de confirmação de entidade. Quando configurados dessa maneira, os assertions de sender-vouches e retentor de entrada sem assinaturas de suporte são permitidos. Como essas asserções são menos seguras sem assinaturas de suporte, oCA SiteMinder® Web Services Security12.52 SP1 requer que elas estejam presentes para a validação, por padrão. Recomendamos que você solicite ao parceiro do cliente de serviços web para incluir assinaturas de suporte e remova somente esta opção se ele não puder fazê-lo.
- Correspondência de certificado emissor obrigatóriaSelecione esta caixa de seleção para exigir que o emissor do assertion e o DN de certificado (encontrado no documento WS-Security) tenha a mesma identidade.
- Exigir assinatura sobre wsu: elemento de marca de data e horaSelecione esta caixa de seleção para exigir a validação de qualquer elemento <wsu:Timestamp> e <wsu:TimestampTrace> na mensagem
- Exigir camada de transporte seguroSelecione essa caixa de seleção para configurar oCA SiteMinder® Web Services Securitypara solicitar que a autenticação só seja realizada por meio de uma conexão SSL.
- Usar o repositório de chaves de SSLSelecione essa caixa de seleção para configurar oCA SiteMinder® Web Services Securitypara usar o repositório de chaves SSL do servidor web para validar o certificado da asserção, em vez do repositório de chaves doCA Single Sign-on.
- Certificado confiávelEspecifica o certificado para validar a assinatura que assinou o assertion. Este é o certificado do IdP que emitiu o assertion.
Caixa de grupo Avançado
O grupo Avançado contém controles para funções avançadas.
- Função SOAP(Opcional) Para mensagens com vários cabeçalhos WS-Security, especifica o valor do atributo de ator (função) do SOAP que identifica o elemento de cabeçalho a partir do qual oCA SiteMinder® Web Services Securitydeve obter tokens de segurança. Por exemplo:http://www.example.com/soap/MySOAPRole
- Timestamp Skew Time(Opcional) Especifica a duração máxima da latência do relógio permitida (em segundos) entre os sistemas produtor e consumidor do token. Para evitar erros de autenticação se a latência do relógio fizer com que os carimbos de data e hora pareçam ter sido criados no futuro, aumente esta configuração.Padrão: 30 segundos