Caixa de diálogo Esquemas de autenticação

2
casso128figsbrbr
HID_authentication-scheme
Conteúdo
2
Os esquemas de autenticação determinam as credenciais e o método exigidos pelo servidor de políticas para estabelecer a identidade de um usuário.
O conteúdo da caixa de diálogo Esquema de autenticação é alterado quando você seleciona um esquema na lista suspensa Tipo de esquema de autenticação. A área abaixo da seção Configuração comum do esquema contém duas seções para cada tipo de esquema:
  • Configuração do esquema
    Inclui campos para as informações que você deve fornecer para o esquema funcionar corretamente.
  • Avançado
    Contém um ou mais campos somente leitura que exibem informações que o
    CA Single Sign-on
    usa para resolver a autenticação. O caixa de diálogo Avançado também contém uma caixa de seleção que indica se um esquema de autenticação pode ser usado para autenticar um administrador. Depois de configurar um esquema, você pode atribuí-lo a realms usando a caixa de diálogo Realms.
Observação:
apenas os esquemas que exigem um nome de usuário e uma senha podem ser usados para autenticar um administrador.
Configurações do esquema de autenticação
O conteúdo da caixa de diálogo Esquema de autenticação é alterado de acordo com o tipo de esquema que você escolher para configurar. Entretanto, os seguintes campos e controles são comuns a todos os esquemas de autenticação:
  • Nome
    Nome do esquema de autenticação.
  • Descrição
    (Opcional) Breve descrição do esquema de autenticação.
Caixa de grupo Configuração comum do esquema
  • Estilo do tipo de autenticação
    Lista os modelos de esquema de autenticação.
    A lista contém todos os modelos de esquema de autenticação predefinidos para utilização com as bibliotecas de autenticação do servidor de políticas.
  • Nível de proteção
    Define um nível de 1 a 1000.
    Os níveis de proteção fornecem uma medida adicional de flexibilidade no controle de acesso.
    Observação:
    os esquemas de autenticação possuem um nível de proteção padrão que você talvez precise alterar. Certifique-se de anotar os níveis de proteção ao definir seus esquemas e atribuí-los aos realms. Use esquemas com níveis de proteção altos para os recursos críticos e esquemas com níveis de proteção baixos para os recursos comumente acessados.
  • Diretivas de senha ativadas para este esquema de autenticação
    (Opcional) Marque essa caixa de seleção para ativar as diretivas de senha.
    Observação:
    nem todos os esquemas de autenticação oferecem suporte a diretivas de senha.
  • Permitir substituição de proteção
    (Opcional) Marque essa caixa de seleção para usar o nível de proteção especificado na biblioteca de autenticação, em vez de usar o especificado na interface administrativa.
    Observação
    essa opção aplica-se apenas ao esquema de autenticação personalizado.
Caixa de diálogo Esquema de autenticação -- Modelo de cadeia de autenticação
Cadeia de autenticação é um tipo de esquema de autenticação que permite ao administrador configurar diferentes módulos de autenticação para que se comportem como uma única autoridade que valida as credenciais fornecidas para autenticar um usuário. 
Caixa de grupo Instância do esquema de autenticação
Na caixa de grupo Instância do esquema de autenticação para a Cadeia de autenticação, é possível configurar o fallback do IWA para esquemas de autenticação com base em formulário usando a Cadeia de autenticação.
  • Nome
    Especifica o nome totalmente qualificado da cadeia de autenticação.
  • Descrição
    Especifica a descrição da cadeia de autenticação.
  • Esquema de autenticação padrão
    Especifica o tipo de esquema de autenticação, o esquema de autenticação principal.
  • Esquema de autenticação fallback
    Especifica o tipo de esquema de autenticação, o esquema de autenticação de fallback.
  • Instância do esquema de autenticação
    Especifica a instância do esquema de autenticação a ser selecionada como o esquema de autenticação principal ou o esquema de autenticação fallback.
  • Expressão
    Exibe a Expressão da cadeia de autenticação selecionada obtida usando o Modelo de cadeia de autenticação.
Caixa de diálogo Esquema de autenticação — Modelo básico
Ao instalar o servidor de políticas, um esquema de autenticação básico é criado automaticamente. É possível criar instâncias adicionais de esquemas de autenticação básicos com diferentes níveis de proteção.
Caixa de grupo Configuração do esquema
A caixa de grupo Configuração do esquema de um esquema básico fica em branco. Não é necessário configurar nada, exceto as informações na caixa de grupo Configuração comum do esquema.
Caixa de grupo Avançado
  • Biblioteca
    Esse campo exibe a biblioteca que o servidor de políticas usa para resolver a autenticação básica.
  • Ativar este esquema para administradores do
    CA Single Sign-on
    Essa caixa de seleção é ativada e não pode ser modificada. Básico é o esquema de autenticação padrão para um administrador.
Caixa de diálogo Esquema de autenticação — Modelo de credenciais básicas sobre SSL
O esquema de autenticação de credenciais básicas sobre SSL coleta as credenciais de nome de usuário e senha de um usuário por meio de uma conexão SSL.
Caixa de grupo Configuração do esquema
Na caixa de grupo Configuração do esquema da autenticação de credenciais básicas sobre SSL, você deve inserir as informações de servidor e de destino para seu esquema de credenciais básicas sobre SSL.
  • Nome do servidor
    Especifica o nome de domínio totalmente qualificado do servidor SSL.
    Observação:
    não há suporte para endereços IP.
    Esse é o servidor web responsável por estabelecer uma conexão SSL. Embora seja possível, esse normalmente não é o mesmo servidor em que o agente web é instalado.
    O servidor atua como o início do URL que o servidor de políticas usa para redirecionar as credenciais de um usuário por meio de uma conexão SSL.
    Os nomes de domínio devem conter ao menos dois pontos finais. O servidor deve ser inserido no seguinte formato:
    nomedoservidor.nomedodominio.com
    Exemplo:
    server1.security.com.
  • Porta
    Especifica a porta na qual o servidor SSL está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
  • Destino
    Especifica o caminho e o nome do SCC (SSL Credentials Collector - Coletor de Credenciais do SSL).
    O destino informa ao agente web do
    CA Single Sign-on
    o que deve ser usado para invocar o SCC. Ele completa o URL que o servidor de políticas usa para redirecionar as credenciais do usuário por meio de uma conexão SSL. O destino pode ser personalizado em casos em que os servidores proxy exigirem URLs específicos a fim de oferecer suporte à autenticação de credenciais básicas sobre SSL.
    O valor padrão do campo Destino é:
    /siteminder/nocert/smgetcred.scc
Caixa de grupo Avançado
A caixa de grupo Avançado da caixa de diálogo Esquema de autenticação de um esquema de credenciais básicas sobre SSL contém o seguinte:
  • Biblioteca
    Contém o nome da biblioteca usada para processar o esquema de autenticação.
    O valor da biblioteca de autenticação padrão é smauthcert. Esse campo contém o nome da biblioteca de que o servidor de políticas necessita para processar a autenticação de credenciais básicas sobre SSL.
    Observação:
    geralmente, não é necessário editar esse campo.
  • Parâmetro
    Exibe a sequência de caracteres criada a partir de suas entradas na caixa de grupo Configuração do esquema e que será processada pela biblioteca de autenticação inserida por você no campo Biblioteca de autenticação. O parâmetro consiste nos valores de Servidor e Destino inseridos por você, com a adição da sequência de caracteres ?basic, que indica o uso da autenticação básica de nome de usuário e senha.
  • Ativar este esquema para administradores do
    CA Single Sign-on
    Essa caixa de seleção está desativada. Credenciais básicas sobre SSL não pode ser usado para autenticar um administrador do servidor de políticas. O servidor de políticas se comunica diretamente com um diretório de usuários ou com o repositório de diretivas para autenticar um administrador e, por isso, a comunicação SSL não é aplicável.
Caixa de diálogo Esquema de autenticação — Modelo de formulário HTML
Os esquemas de autenticação de formulários HTML fornecem um método de autenticação com base nas credenciais coletadas em um formulário HTML personalizado.
Caixa de grupo Configuração do esquema
Na caixa de grupo Configuração do esquema, você pode inserir o servidor, o destino e a lista de atributos para o esquema de autenticação de formulários HTML.
  • Nome do servidor web
    Especifica o nome de domínio totalmente qualificado do servidor web em que o FCC foi instalado.
    Observação:
    não há suporte para endereços IP.
    O servidor não precisa ser o mesmo servidor no qual o agente está instalado. Os nomes de domínio devem conter ao menos dois pontos finais. O servidor deve ser inserido no seguinte formato:
    Exemplo:
    server1.security.com.
    Esse campo diferencia letras maiúsculas e minúsculas.
    Observação:
    se a rede incluir vários domínios de cookies, você deverá configurar um esquema de autenticação de formulários HTML separado em cada domínio no qual desejar implementar a autenticação de formulários HTML.
  • Porta
    Especifica a porta na qual o servidor web está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
  • Usar conexão SSL
    Selecione essa opção para usar uma conexão SSL para processar a autenticação de formulários HTML.
  • Destino
    Especifica o caminho e o arquivo .fcc usados pelo esquema.
    O caminho padrão aponta para um diretório virtual no servidor web especificado no campo Nome do servidor que foi criado durante a instalação. O destino padrão especifica o arquivo login.fcc, que é um arquivo de amostra que pode ser personalizado.
  • Permitir que este esquema salve credenciais
    Selecione essa opção para permitir que as credenciais do usuário sejam salvas.
    Você pode usar o par nome/valor smsavecreds especial em seu
    arquivo .fcc para permitir que um usuário salve suas credenciais de logon. Se você marcar essa caixa de seleção e o arquivo .fcc tiver uma entrada apropriada (como uma caixa de seleção no formulário HTML), os usuários poderão escolher salvar suas credenciais de logon, de forma que elas possam ser usadas automaticamente na próxima vez que eles efetuarem logon no site.
    Quando um usuário opta por ter as credenciais salvas, o servidor de políticas instrui o agente web para criar um cookie persistente com as credenciais do usuário. O cookie permanecerá em vigor durante o tempo especificado no parâmetro de configuração SaveCredsTimeout do agente. O padrão é 30 dias. O cookie permite que os agentes web autentiquem um usuário com base nas credenciais salvas no cookie, em vez de solicitar que o usuário faça a autenticação.
  • Oferecer suporte a clientes que não são de navegador
    Selecione essa opção para autenticar usuários por meio de clientes HTTP que não são de navegador. Esses clientes podem ser desenvolvidos usando scripts Perl, C++ e programas Java que se comunicam usando o protocolo HTTP.
    Os clientes personalizados devem enviar as credenciais básicas com a solicitação inicial por meio de um cabeçalho de autorização HTTP. Caso contrário, o
    CA Single Sign-on
    não autenticará os usuários. Se as credenciais não forem enviadas por meio de um cabeçalho de autorização HTTP, o
    CA Single Sign-on
    redirecionará para o esquema de formulário HTML sem suporte a clientes sem navegador.
  • Lista de atributos adicionais
    (Opcional) Especifica os atributos, que não são o nome do usuário, que serão coletados do usuário. Ao listar os atributos, comece com AL= e use vírgulas para separar os nomes de atributos do usuário.
    Exemplo:
    AL=PASSWORD,SSN,age,zipcode
    O AL= é uma notação do
    CA Single Sign-on
    que indica a lista de atributos que devem ser considerados. Por padrão, a lista de atributos é considerada uma consulta de estilo AND. O servidor de políticas compara todos os valores de atributo coletados do usuário com os valores de atributos correspondentes no diretório do usuário. Se todos os valores de atributo corresponderem exatamente, o usuário será autenticado com êxito.
    Observação:
    é possível autenticar usuários com atributos que contenham vários valores. Para especificar que um atributo possui vários valores, prefixe o nome do atributo com um acento circunflexo (^).
    Exemplo:
    se estiver usando um atributo "mail" com vários valores para autenticar usuários, você deve especificar "AL=^mail" para indicar que "mail" possui vários valores. Um usuário pode fornecer um dos valores válidos para realizar a autenticação com êxito.
    Limite:
    os valores de um atributo com vários valores não devem conter um símbolo de acento circunflexo (^). Um valor que contém esse símbolo introduz a possibilidade de os usuários serem incorretamente autenticados. Por exemplo, se um valor for 123^456, um usuário poderá se autenticar com 123 e 456, além de 123^456.
    Para que o
    CA Single Sign-on
    colete atributos adicionais, o arquivo .fcc, usado pelo
    CA Single Sign-on
    para gerar um formulário para a autenticação de formulários HTML, deve ser modificado a fim de incluir esses atributos.
    Ao usar os atributos adicionais em um esquema de formulários HTML, considere o seguinte:
    • O valor da senha fornecido pelo formulário é limitado a 255 caracteres. Essa limitação significa que a lista de elementos AttributeName=URLEncodedAttributeValue delimitada por E comercial (&) deve ter menos de 255 caracteres.
    • O atributo PASSWORD deve sempre ser especificado no formulário criado a partir do arquivo .fcc.
    • Os atributos são usados apenas para corresponder os valores de atributos associados com o usuário que foi localizado em um diretório por nome do usuário.
    • Os nomes de atributo diferenciam maiúsculas de minúsculas. Eles devem corresponder exatamente os nomes de atributo implementados pelo diretório e os nomes de atributo especificados no esquema de autenticação.
    Observação:
    se tiver instalado o kit de desenvolvimento de software, você poderá usar a API de autenticação do
    CA Single Sign-on
    para definir outras notações.
Caixa de grupo Avançado
  • Biblioteca
    Contém o nome da biblioteca compartilhada que processa a autenticação de formulários HTML. Não altere esse valor, a menos que você tenha um esquema de autenticação personalizado, gravado usando a API de autenticação do
    CA Single Sign-on
    .
    A biblioteca compartilhada padrão para a autenticação de formulários HTML é smauthhtml.
  • Parâmetro
    Exibe o servidor e o destino que você inseriu na caixa de grupo Configuração do esquema. Também exibe quaisquer atributos adicionais que você inseriu para o esquema de autenticação. O servidor e o destino compõem o local do arquivo .fcc no servidor web.
  • Ativar este esquema para administradores do
    CA Single Sign-on
    Essa caixa de seleção está desativada. A autenticação de formulários HTML não pode ser usada para autenticar um administrador do servidor de políticas.
Caixa de diálogo Esquema de autenticação — Modelo do Windows
A IWA (Integrated Windows Authentication - Autenticação Integrada do Windows) é um mecanismo proprietário desenvolvido pela Microsoft para validar usuários em ambientes puramente Windows. A IWA impõe o logon único permitindo que o Windows obtenha as credenciais do usuário durante o processo inicial de logon interativo na área de trabalho e, subsequentemente, transmitindo essas informações para a camada de segurança. O
CA Single Sign-on
, usando o esquema de autenticação do Windows, protege os recursos processando as credenciais do usuário obtidas pela infraestrutura de Autenticação Integrada do Windows.
As versões anteriores do
CA Single Sign-on
ofereciam suporte à autenticação do Windows por meio do esquema de autenticação NTLM. No entanto, esse suporte era limitado a ambientes com domínios do NT ou nos quais o serviço Active Directory estivesse configurado para oferecer suporte a domínios do NT herdados no modo misto.
O esquema de autenticação do Windows permite que o
CA Single Sign-on
forneça controle de acesso em implantações com Active Directories em execução no modo nativo, bem como Active Directories configurados para oferecerem suporte à autenticação NTLM. O esquema de autenticação do Windows substitui o esquema de autenticação NTLM anterior do
CA Single Sign-on
. Os esquemas de autenticação NTLM existentes continuam com suporte e podem ser configurados usando o novo esquema de autenticação do Windows.
Caixa de grupo Configuração do esquema
Na caixa de grupo Configuração do esquema de um esquema de autenticação do Windows, você pode especificar um servidor e um destino para o esquema.
  • Este esquema oferece suporte
    Selecione Active Directory/LDAP ou WinNT.
    A sua seleção depende do local em que os dados do usuário estão armazenados e do espaço para nome que você selecionou ao configurar a conexão do diretório de usuários na interface administrativa. Se você selecionar Active Directory/LDAP, os dados do usuário deverão ser armazenados em um diretório configurado por meio de um espaço para nome AD ou LDAP. Se você selecionar WinNT, os dados do usuário deverão ser armazenados em um diretório configurado por meio de um espaço para nome WinNT.
  • Usar o destino relativo
    Marque essa caixa de seleção se desejar especificar um nome de caminho relativo para o destino ou o recurso protegido pelo esquema de autenticação do Windows. Quando essa caixa de seleção está marcada, o campo Nome do servidor fica esmaecido.
  • Nome do servidor
    Especifica o nome de domínio totalmente qualificado do servidor web do IIS que contém o diretório virtual para o qual você deseja redirecionar para a autenticação do Windows.
    Observação:
    não há suporte para endereços IP.
    O servidor especificado nesse campo é o local para o qual o
    CA Single Sign-on
    redireciona a fim de resolver a autenticação com base no nome de usuário e senha de logon atuais Windows.
  • Porta
    Especifica a porta na qual o servidor web do IIS está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
  • Usar conexão SSL
    Selecione essa opção para usar uma conexão SSL para processar a autenticação do Windows.
  • Destino
    Especifica o nome do diretório virtual e do arquivo .ntc usados pelo
    CA Single Sign-on
    para invocar o esquema de autenticação.
    O campo Destino deve apontar para um arquivo .ntc que os agentes do
    CA Single Sign-on
    interpretam a fim de autenticarem os usuários com base em seus nomes de usuário e suas senhas de logon atuais. O servidor de políticas usa o seguinte valor por padrão:
    /siteminderagent/ntlm/creds.ntc
  • Pesquisa de DN de usuário
    Se tiver selecionado o botão de opção Active Directory/LDAP, você deverá especificar uma sequência de caracteres de pesquisa para o DN de usuário nesse campo.
Formatos de pesquisa de DN de usuário para esquemas de autenticação do Windows
O campo Pesquisa de DN de usuário de um esquema de autenticação do Windows para os espaços para nome Active Directory ou LDAP deve conter uma sequência de caracteres em um dos seguintes formatos:
  • Pesquisa do AD/LDAP
    A sintaxe de Pesquisa de DN de usuário está na forma de um nome distinto totalmente qualificado. Considere um usuário chamado João Silva com os seguintes atributos no Active Directory:
    cn: jsmith
    distinguishedName: CN=jsmith,CN=Users,DC=MYCOMPANY,DC=com
    sAMAccountName: jsmith
    As credenciais do usuário transmitidas pelo navegador web terão o nome de usuário no formato:
    MYCOMPANY\jsmith
    Para mapear esse nome de usuário para um filtro de pesquisa do LDAP, o esquema de autenticação do Windows será configurado com o seguinte filtro de DN de usuário:
    CN=%{UID},CN=Users,DC=%{DOMAIN},DC=com
    O esquema de autenticação substituirá %{UID} e %{DOMAIN} pelos valores respectivos para formar o filtro de pesquisa processado.
  • Pesquisa do AD/LDAP
    Nesse cenário, o domínio do Siteminder possui diretórios de usuário adicionais associados a ele. Um é o Active Directory associado ao controlador de domínio primário e os diretórios de usuário adicionais podem ser diretórios de usuário do LDAP ou do AD. Isso pode ocorrer quando um realm estiver usando a autenticação básica e a outro realm estiver usando a autenticação do Windows. Considere o mesmo usuário, como no caso de uso anterior:
    cn: jsmith
    distinguishedName: CN=jsmith,CN=Users,DC=MYCOMPANY,DC=com
    sAMAccountName: jsmith
    Além disso, existe outro usuário no diretório de usuários secundário com os seguintes atributos:
    cn: jsmith
    distinguishedName: CN=jsmith,CN=Users,DC=NOTMYCOMPANY,DC=com
    sAMAccountName: jsmith
    O filtro de DN de usuário do esquema de autenticação do Windows pode ser o seguinte:
    (sAMAccountName=%{UID})
    O
    CA Single Sign-on
    faz a autenticação com o DN que satisfaz os critérios de pesquisa com base na ordem de pesquisa de diretório. O valor de nome de domínio nesse caso é ignorado.
Além desses formatos, é possível usar qualquer combinação de variáveis UID e DOMAIN, sem nenhum suporte a nomes de atributo. Se usar esse formato para Pesquisa de DN de usuário, o
CA Single Sign-on
considera a configuração fornecida para os valores Início da pesquisa de DN de usuário e Fim da pesquisa de DN de usuário ao criar o filtro de pesquisa. Os valores de início e de término são definidos no objeto do diretório do usuário associado ao Active Directory. Por exemplo:
%{UID}
%{UID}@{DOMAIN}
Caixa de grupo Avançado
A caixa de grupo Avançado da caixa de diálogo Esquema de autenticação do Windows para um esquema de autenticação do Windows contém o seguinte:
  • Biblioteca
    Exibe a biblioteca que o servidor de políticas usa para resolver a autenticação do Windows. A biblioteca padrão é smauthntlm.
  • Parâmetro
    Exibe o servidor e o destino que você inseriu na caixa de grupo Configuração do esquema. Também exibe quaisquer atributos adicionais que você inseriu para o esquema de autenticação. O servidor e o destino compõem o local do arquivo .ntc no servidor web.
  • Caixa de seleção Ativar este esquema para administradores do
    CA Single Sign-on
    Desativada e não pode ser modificada. A autenticação do Windows não pode ser usada como um esquema de autenticação para um administrador.
Lista de IPs aprovados do agente
A caixa de grupo Lista de IPs aprovados do agente da caixa de diálogo Esquema de autenticação para um esquema de autenticação do Windows contém o seguinte:
  • Verificação de AgentIP
    Ativa a validação de IP do agente.
  • Adicionar
    Adiciona um novo endereço IP do agente à lista do esquema de autenticação.
  • Excluir
    Exclui da lista o endereço IP do agente.
Caixa de diálogo Esquema de autenticação — Modelo Kerberos
Kerberos é um protocolo de autenticação de rede de computador, que permite que as pessoas se comuniquem por uma rede não segura para provar sua identidade de modo seguro. O Kerberos usa uma criptografia de chave simétrica e requer um terceiro confiável. As extensões para o Kerberos possibilitam o uso da criptografia de chave pública durante determinadas fases de autenticação.
Esquema de autenticação--Modelo Kerberos--Configuração do esquema
A seção Configuração do esquema de um esquema de autenticação Kerberos inclui os seguintes campos:
  • Usar o destino relativo
    Marque essa caixa de seleção se desejar especificar um nome de caminho relativo para o destino ou o recurso protegido por esse esquema de autenticação Kerberos. Os campos Nome do servidor e Porta ficam esmaecidos. O campo Usar conexão SSL também é esmaecido quando você especifica um destino relativo.
  • Nome do servidor
    Especifica o nome de domínio totalmente qualificado do servidor web em que as credenciais Kerberos são coletadas. O agente web do
    CA Single Sign-on
    implementa uma página do Coletor Kerberos que solicita um cliente a negociar a autenticação Kerberos. Quando um cliente solicita acesso a uma página protegida por este esquema de autenticação Kerberos, o agente web redireciona o cliente para esse servidor.
    Observação:
    não há suporte para endereços IP.
  • Porta
    Especifica a porta na qual o servidor web está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
  • Usar conexão SSL
    Selecione essa opção para usar uma conexão SSL para processar a autenticação.
  • Destino
    Especifica o nome do diretório virtual e do arquivo .kcc usados pelo
    CA Single Sign-on
    para invocar o esquema de autenticação.
    O campo Destino aponta para um arquivo .kcc, que os agentes do
    CA Single Sign-on
    usam para autenticar usuários. O servidor de políticas usa o seguinte valor por padrão:
    /siteminderagent/Kerberos/creds.kcc
  • Nome principal
    Especifica um Kerberos principal criado no KDC (por exemplo, o Active Directory) para uso pelo servidor de políticas. O formato do nome é service/hostname@realm, por exemplo, smps/smps.example.com/@EXAMPLE.COM.
    Observação
    : esse valor é diferente de SmpsPrincipalName especificado no objeto de configuração do agente web.
  • Pesquisa de DN de usuário
    Especifica uma sequência de caracteres de pesquisa para o usuário. Essa sequência de caracteres consiste em uma combinação de variáveis UID, DOMAIN e REALM. Esse campo oferece suporte a uma variedade de formatos, tais como:
    • %{UID}
    • %{UID}@%{DOMAIN}
    • (cn=%{UID}) – parênteses necessários
    • (cn=%{DOMAIN}:%{UID}) – parênteses necessários
Esquema de autenticação--Realm do Kerberos para mapeamentos de domínio do Windows
Esta seção contém linhas nas quais é possível mapear um nome de domínio do Kerberos para um ou mais domínios do Windows configurados. Esse mapeamento é semelhante àquele do arquivo de configuração do Kerberos (krb5.ini).
Observação
quando você especificar a variável DOMÍNIO no campo Pesquisa de DN do usuário, esse mapeamento será necessário, mesmo quando os nomes do realm e do domínio forem os mesmos.
As caixas de texto à esquerda são destinadas aos nomes de realm do Kerberos, e as caixas de texto à direita contêm uma lista separada por vírgulas de nomes de domínio para esse nome de realm. Por exemplo:
Nome do realm
Nome do domínio
EXEMPLO.COM EXEMPLO
Esquema de autenticação--Modelo Kerberos--Avançado
A seção Avançado da caixa de diálogo Esquema de autenticação para um esquema de autenticação Kerberos contém os seguintes campos:
  • Biblioteca
    Exibe a biblioteca que o servidor de políticas usa para resolver a autenticação Kerberos. A biblioteca padrão é smauthkerberos.
  • Parâmetro
    Exibe Servidor, Destino e Pesquisa de DN do usuário que você digitou na seção Configuração do esquema.
  • Caixa de seleção Ativar este esquema para administradores do
    CA Single Sign-on
    Não é possível selecionar este campo para um esquema de autenticação Kerberos.
Caixa de diálogo Esquema de autenticação — Modelo de OpenID
O esquema de autenticação via OpenID permite autenticar usuários com um provedor de OpenID.
Configuração do esquema
A seção Configuração do esquema permite especificar as informações necessárias para implementar o esquema de autenticação.
Observação:
se a sua rede incluir vários domínios de cookies e cada domínio de cookies exigir o esquema de autenticação, configure um objeto de esquema de autenticação separado em cada objeto de domínio de cookies.
  • Usar o destino relativo
    Selecione essa opção para especificar que o FCC do OpenID está instalado no servidor web do qual a solicitação do agente foi originada.
    • Nome do servidor web
      Especifica o nome de domínio totalmente qualificado do servidor web em que o FCC do OpenID está instalado. O servidor web não precisa estar no mesmo servidor web em que um agente está instalado.
      Limites:
      • Não há suporte para endereços IP.
      • O nome diferencia maiúsculas e minúsculas.
    • Porta
      Especifica a porta na qual o servidor web está escutando. Um valor é necessário apenas para a comunicação por uma porta que não seja padrão.
  • Usar conexão SSL
    Selecione essa opção para usar uma conexão SSL para processar solicitações de autenticação.
    • Destino
      Especifica o local do arquivo FCC do OpenID.
      O caminho padrão aponta para um diretório virtual no servidor web que foi criado durante a instalação do agente. O destino padrão especifica o FCC do OpenID incluído na instalação do agente.
      Local padrão:
      agent_home
      \samples\forms\openid.fcc
  • Arquivo de configuração de provedores
    Especifica o local do arquivo de configuração de provedores do OpenID. O arquivo lista os detalhes da configuração dos provedores em que o
    CA Single Sign-on
    confia. Um arquivo padrão é incluído na instalação do servidor de políticas.
    Local padrão:
    siteminder_home
    \config\properties\Openidproviders.xml
  • Conformidade com ICAM
    Selecione essa opção para ativar o esquema de autenticação de conformidade com identidades federais, credenciais e gerenciamento de acesso.
    O arquivo de configuração de provedores do OpenID padrão lista as diretivas de ICAM que se aplicam a provedores confiáveis. O provedor deve atender a todas as diretivas de ICAM listadas, ou o usuário não é autenticado. A marca a seguir identifica as diretivas de ICAM:
    <Policies>
    Local padrão:
    siteminder_home
    \config\properties\Openidproviders.xml
  • Modo anônimo
    Selecione essa opção para ativar a autenticação anônima.
    Por padrão, o servidor de políticas usa a resposta da autenticação do provedor do OpenID para determinar o valor da primeira declaração necessária. O servidor de políticas pesquisa todos os diretórios de usuários no domínio da diretiva em busca de um usuário que corresponda ao valor da declaração. Se o servidor de políticas mapear o valor da declaração para um usuário, a autenticação será bem-sucedida.
    Exemplo:
    o servidor de políticas determina se o valor da primeira declaração necessária (fullname) é Sample User. O servidor de políticas pesquisa todos os diretórios de usuários no domínio da diretiva em busca de um usuário que corresponda a Sample User.
    Se a autenticação anônima tiver sido ativada, o servidor de políticas não usará o valor da declaração para autenticar o usuário. Em vez disso, o servidor de políticas pesquisará todos os diretórios de usuários no domínio da diretiva em busca de um usuário que corresponda ao usuário anônimo definido por você.
    • Usuário anônimo
      Especifica o usuário anônimo que o servidor de políticas deve autenticar. Se o servidor de políticas autenticar um usuário anônimo, ele criará o contexto de autenticação para o usuário anônimo. O servidor de políticas não cria o contexto de autenticação para o usuário real que forneceu as credenciais.
      Exemplo:
      o usuário anônimo é configurado com o seguinte valor:
      DefaultUser
      O servidor de políticas recebe a resposta da autenticação do provedor do OpenID, mas ignora o valor da primeira declaração obrigatória. Em vez disso, o servidor de políticas pesquisará todos os diretórios de usuários no domínio da diretiva em busca de um usuário que corresponda ao seguinte valor:
      DefaultUser
      Verifique se o valor inserido existe em pelo menos um diretório de usuários no domínio da diretiva. Se o usuário anônimo não existir em um diretório de usuários, a autenticação falhará.
  • Persistir variáveis da sessão de autenticação
    Especifica que as declarações do OpenID devem ser salvas no repositório de sessões como variáveis de sessão. O servidor de políticas tem acesso a essas variáveis para utilização em decisões de autenticação. Por exemplo, você pode incluir as variáveis de contexto de autenticação em respostas ativas ou em expressões de diretivas.
    As declarações são armazenadas no repositório de sessões no seguinte formato:
    SMOPENIDCLAIM_CLAIMNAME
  • Autenticação do proxy
    Se a sua organização utiliza um host de proxy HTTP para acessar a internet, selecione essa opção. O provedor do OpenID usa as informações de proxy para se comunicar com o servidor de políticas por meio do proxy HTTP.
    Reinicie o servidor de políticas se as configurações de proxy forem alteradas.
  • Cadeia de pós-processamento
    Especifica as ações do servidor de políticas após uma autenticação bem-sucedida.
    Observação
    se você alterar essa configuração, reinicie o servidor de políticas.
    Valor:
    separe várias cadeias com um ponto-e-vírgula.
    Cadeias válidas:
    • com.ca.sm.openid.command.StoreClaimsToContext
      Armazena a declaração do provedor para o contexto de autenticação de usuário.
    • com.ca.sm.openid.command.LogClaims
      Grava a declaração do provedor no log de rastreamento do
      CA Single Sign-on
      .
      Se você estiver gravando declarações no log de rastreamento, o seguinte componente do Policy Server Profiler será necessário:
      JavaAPI
      O
      CA Single Sign-on
      oferece suporte ao código personalizado que é implementado como uma cadeia de pós-processamento.
Caixa de diálogo Esquema de autenticação — Modelo de RADIUS CHAP/PAP
Para poder atribuir um esquema de autenticação RADIUS CHAP/PAP a um realm, você deve configurar o esquema na caixa de diálogo Esquema de autenticação.
Caixa de grupo Configuração do esquema
Nessa caixa de grupo, você pode especificar a senha com texto não criptografado para a autenticação CHAP/PAP.
  • Atributo de senha ClearText no diretório
    Especifica o nome de um atributo de diretório de usuários.
    O conteúdo desse atributo será usado como senha com texto não criptografado para a autenticação.
Caixa de grupo da guia Avançado
A caixa de grupo Avançado de um esquema RADIUS CHAP/PAP contém o seguinte:
  • Biblioteca
    Exibe o nome da biblioteca que o servidor de políticas usa para resolver uma autenticação RADIUS CHAP/PAP.
  • Parâmetro
    Exibe o nome do atributo que você inseriu na caixa de grupo Configuração do esquema.
  • Ativar este esquema para administradores do
    CA Single Sign-on
    Essa caixa de seleção fica desativada por padrão para esquemas RADIUS CHA/PAP. Não é possível usar RADIUS CHAP/PAP para autenticar administradores do servidor de políticas.
Caixa de diálogo Esquema de autenticação — Modelo de servidor RADIUS
Para poder atribuir um esquema de autenticação de servidor RADIUS a um realm, você deve configurar o esquema na caixa de diálogo Esquema de autenticação.
O
CA Single Sign-on
oferece suporte ao protocolo RADIUS por meio do uso do servidor de políticas como servidor RADIUS e de um cliente NAS como cliente RADIUS. Os agentes do RADIUS permitem que o servidor de políticas se comunique com dispositivos de cliente NAS. No esquema de autenticação do servidor RADIUS, o servidor de políticas atua como um servidor RADIUS vinculado à rede protegida do
CA Single Sign-on
.
Esse esquema aceita o nome de usuário e a senha como credenciais. Diversas instâncias desse esquema podem ser definidas. Esse esquema não interpreta os atributos do RADIUS que podem ser retornados pelo servidor RADIUS na resposta da autenticação.
Caixa de grupo Configuração do esquema
Esse é o local em que você digita o endereço IP e a porta do servidor RADIUS, bem como o atributo de segredo necessário para a autenticação pelo servidor RADIUS.
  • Endereço IP
    Especifica o endereço IP do servidor RADIUS.
  • Porta
    Especifica o número da porta do servidor RADIUS.
    A porta é usada para a comunicação com o servidor RADIUS. Se você não especificar um número de porta, o servidor de políticas usará 1645 como a porta UDP padrão.
  • Segredo e Confirmar segredo
    Especifica a sequência de caracteres de texto a ser usada como segredo.
    O segredo é o atributo do usuário que será usado pelo servidor RADIUS como a senha com texto não criptografado.
Caixa de grupo Avançado
A caixa de grupo Avançado da caixa de diálogo Esquema de autenticação de um servidor RADIUS contém o seguinte:
  • Biblioteca
    Exibe o nome da biblioteca que o servidor de políticas usa para resolver uma autenticação de servidor RADIUS.
  • Parâmetro
    Exibe o endereço IP e o número da porta do servidor RADIUS que você inseriu na caixa de grupo Configuração do esquema.
  • Ativar este esquema para administradores do
    CA Single Sign-on
    Essa caixa de seleção é ativada por padrão para esquemas de servidor RADIUS e indica que o esquema pode ser usado pelo servidor de políticas para autenticar administradores. Essa caixa de seleção não pode ser desativada.
Caixa de diálogo Esquema de autenticação — Modelo do SecurID
Para poder atribuir um esquema de autenticação do SecurID a um realm, você deve configurar o esquema na caixa de diálogo Esquema de autenticação.
Os esquemas de autenticação do RSA Ace/SecureID autenticam os usuários que efetuam logon com credenciais do ACE, o que inclui nomes de usuário, PINs e TOKENCODEs. Os nomes de usuário e as senhas do ACE residem no repositório de usuários do ACE/Server e podem ser alterados pelo administrador do ACE/Server. TOKENCODEs de uso único são gerados por tokens SecureID.
Caixa de grupo Configuração do esquema
Esse é o local em que você pode especificar o atributo no diretório de usuários de autenticação que contém a ID de usuário do ACE Server para o usuário.
  • Nome do atributo de ID de usuário do ACE no diretório
    Especifica um nome de atributo.
    Se os DNs (Distinguished Names - Nomes Distintos) do usuário forem diferentes das IDs de usuário do ACE Server, insira o nome do atributo no diretório do usuário que contém a ID de usuário no ACE Server. Por exemplo, se a ID de usuário do ACE for jsmith e seu DN em um diretório LDAP for cn=Jane Smith, ou=sales, o=security.com, os atributos de perfil de usuário poderão ser usados para o mapeamento de volta à ID de usuário do ACE. Por exemplo, você pode criar um novo atributo chamado "aceid" ou usar um atributo existente que não esteja em uso. O servidor de políticas recuperará o valor desse atributo e o usará como a ID de usuário do ACE.
Caixa de grupo Avançado
A caixa de grupo Avançado de um esquema do SecurID contém o seguinte:
  • Biblioteca
    Exibe o nome da biblioteca que o servidor de políticas usa para resolver uma autenticação do SecurID.
  • Parâmetro
    Exibe o nome do atributo que você inseriu na caixa de grupo Configuração do esquema.
  • Ativar este esquema para administradores do
    CA Single Sign-on
    Essa caixa de seleção é ativada por padrão para esquemas do SecurID e indica que o esquema do SecurID pode ser usado pelo servidor de políticas para autenticar administradores. Essa caixa de seleção não pode ser desativada.
Caixa de diálogo Esquema de autenticação — Modelo de formulário HTML do SecurID
Você pode configurar a autenticação de formulários HTML do SecurID usando o modelo de formulários HTML do SecurID na caixa de diálogo Esquema de autenticação.
Os esquemas de autenticação do RSA Ace/SecureID autenticam os usuários que efetuam logon com credenciais do ACE, o que inclui nomes de usuário, PINs e TOKENCODEs. Os nomes de usuário e as senhas do ACE residem no repositório de usuários do ACE/Server e podem ser alterados pelo administrador do ACE/Server. TOKENCODEs de uso único são gerados por tokens SecureID.
Caixa de grupo Configuração do esquema
A caixa de grupo Configuração do esquema da autenticação de formulários HTML do SecurID contém o seguinte:
  • Nome do servidor web
    Especifica o nome de domínio totalmente qualificado do servidor web em que o FCC foi instalado.
    Observação:
    não há suporte para endereços IP.
    O servidor não precisa ser o mesmo servidor no qual o agente está instalado. Os nomes de domínio devem conter ao menos dois pontos finais. O servidor deve ser inserido usando a seguinte sintaxe:
    nomedoservidor.nomedodominio.com
    Exemplo:
    server1.security.com.
    Observação:
    se a rede incluir vários domínios de cookies, você deverá configurar um esquema de autenticação de formulários HTML separado em cada domínio de cookies no qual desejar implementar a autenticação de formulários HTML.
  • Porta
    Especifica a porta na qual o servidor web está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
  • Usar conexão SSL
    Marque essa caixa de seleção se desejar que o
    CA Single Sign-on
    use uma conexão SSL para processar a autenticação de formulários HTML.
  • Destino
    Especifica o caminho que o
    CA Single Sign-on
    usa para processar a autenticação de SecurID com suporte a formulários HTML. 
    Padrão
    : /siteminderagent/forms/smaceauthcached.fcc 
    Você pode usar /siteminderagent/forms/smpwservices.fcc como valor de destino alternativo para reverter para o comportamento da versão anterior. Esse valor de destino supõe que o agente web que está recebendo a solicitação processa os serviços de senha. Se os modelos de serviços de senha residirem em outro agente web, o caminho completo para o URL de destino será necessário.
  • Nome do atributo de ID de usuário do ACE no diretório
    Especifica o atributo que contém as IDs do ACE.
    Se os DNs (Distinguished Names - Nomes Distintos) do usuário forem diferentes das IDs de usuário do ACE Server, insira o nome do atributo no diretório do usuário que contém a ID de usuário no ACE Server. Por exemplo, se a ID de usuário do ACE for jsmith e o DN em um diretório LDAP for cn=Jane Smith, ou=sales, o=security.com, você poderá mapear os atributos de perfil de usuário de volta para a ID de usuário do ACE. Nesse exemplo, você pode criar um atributo chamado aceid ou usar um atributo existente que não está sendo utilizado. O servidor de políticas recuperará o valor desse atributo e o usará como a ID de usuário do ACE.
Caixa de grupo Avançado
A caixa de grupo Avançado de um esquema de autenticação de formulários HTML do SecureID contém o seguinte:
  • Biblioteca
    Exibe o nome da biblioteca compartilhada que processa a autenticação do SecurID e de formulários HTML.
  • Parâmetro
    Exibe o servidor e o destino que você inseriu na caixa de grupo Configuração do esquema.
  • Ativar este esquema para administradores do
    CA Single Sign-on
    Essa caixa de seleção está desativada. A autenticação do SecurID e de formulários HTML não pode ser usada para autenticar um administrador do servidor de políticas.
Caixa de diálogo Esquema de autenticação — Modelo de certificado de cliente X509
Para que o
CA Single Sign-on
possa autenticar usuários com base em certificados de cliente X.509, você deve configurar um esquema de autenticação na interface administrativa, bem como um mapeamento de certificado para o esquema de autenticação.
Caixa de grupo Configuração do esquema
Na caixa de grupo Configuração do esquema para a autenticação de certificado de cliente X.509, você deve inserir as informações de servidor e de destino.
Observação:
os usuários que tentarem acessar um recurso em um realm protegido deverão ter um certificado de cliente X.509 válido para que o
CA Single Sign-on
possa verificar usando um certificado de servidor. Além disso, o usuário é solicitado a fornecer um nome de usuário e uma senha que são verificados em um diretório de usuários no domínio da diretiva.
  • Nome do servidor
    Especifica o nome de domínio totalmente qualificado do servidor SSL.
    Observação:
    não há suporte para endereços IP.
    Esse servidor é responsável por estabelecer uma conexão SSL. Normalmente, esse não é o servidor em que o agente web é instalado.
    O servidor atua como o início do URL que o
    CA Single Sign-on
    usa para direcionar um certificado X.509 por uma conexão SSL.
    Os nomes de domínio devem conter pelo menos dois pontos finais. Insira o nome do servidor usando o seguinte formato:
    servername.host.com
    Exemplo:
    server1.security.com
  • Porta
    Especifica a porta na qual o servidor SSL está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
  • Destino
    Especifica o caminho e o nome do SCC (SSL Credentials Collector - Coletor de Credenciais do SSL).
    O destino informa ao agente web o que deve ser usado para invocar o SCC. Essa informação completa o URL que o
    CA Single Sign-on
    usa para direcionar as credenciais de usuário por uma conexão SSL. O destino pode ser personalizado em casos em que os servidores proxy exigirem URLs específicos a fim de oferecer suporte à autenticação de credenciais básicas sobre SSL.
    A interface administrativa fornece um caminho padrão quando você seleciona o esquema de autenticação de certificado de cliente X.509.
  • Persistir variáveis da sessão de autenticação
    (Opcional) Especifica se os dados de contexto de autenticação devem ser salvos no repositório de sessões como variáveis de sessão. O servidor de políticas tem acesso a essas variáveis para utilização em decisões de autenticação.
    Importante:
    dados de autenticação persistentes no repositório de sessões criam uma degradação no momento da autenticação. Selecione essa opção somente quando você realmente deseja usar as variáveis posteriormente para tomar decisões de autenticação. Caso contrário, pode haver um grande impacto no desempenho sem nenhum benefício.
Caixa de grupo Avançado
A caixa de grupo Avançado de um esquema de certificado de cliente X.509 contém o seguinte:
  • Biblioteca
    Exibe o nome da biblioteca do servidor de políticas usada para processar o esquema de autenticação.
    O valor da biblioteca de autenticação padrão é smauthcert. Esse campo contém o nome da biblioteca que o servidor de políticas precisa para redirecionar as credenciais de usuário por uma conexão SSL e para verificar o certificado do cliente.
    Observação:
    geralmente, não é necessário editar esse campo.
  • Parâmetro
    Exibe a sequência de caracteres criada a partir de suas entradas na caixa de grupo Configuração do esquema. Esse parâmetro é a sequência de caracteres processada pelo servidor de políticas usando a biblioteca de autenticação especificada na caixa de grupo Configuração do esquema. O parâmetro consiste no valor de Servidor e de Destino da caixa de grupo Configuração do esquema, com a adição da sequência de caracteres ?cert, que indica o uso da autenticação de certificado de cliente.
  • Ativar este esquema para administradores do
    CA Single Sign-on
    Essa caixa de seleção fica desativada por padrão para esquemas de certificado de cliente X.509. Não é possível usar esse esquema para autenticar administradores do servidor de políticas.
Observação:
você deve configurar o mapeamento de certificados para esse esquema de autenticação. O mapeamento de certificados vincula informações do certificado com a entrada de um usuário em um diretório.
Lista de IPs aprovados do agente
A caixa de grupo Lista de IPs aprovados do agente da caixa de diálogo Esquema de autenticação para um esquema de autenticação do Windows contém o seguinte:
  • Verificação de AgentIP
    Ativa a validação de IP do agente.
  • Adicionar
    Adiciona um novo endereço IP do agente à lista do esquema de autenticação.
  • Excluir
    Exclui da lista o endereço IP do agente.
Caixa de diálogo Esquema de autenticação — Modelo básico e de certificado de cliente X509
Para que o
CA Single Sign-on
possa autenticar usuários com base em certificados de cliente X.509, você deve configurar um esquema de autenticação na interface administrativa, bem como um mapeamento de certificado para o esquema de autenticação.
Caixa de grupo Configuração do esquema
Na caixa de grupo Configuração do esquema, você pode inserir informações para o servidor e o destino de seu esquema de autenticação de formulários HTML e de certificado de cliente X.509.
Observação:
os usuários que tentarem acessar um recurso em um realm protegido deverão ter um certificado de cliente X.509 válido para que o
CA Single Sign-on
possa verificar usando um certificado de servidor. Além disso, o usuário é solicitado a fornecer um nome de usuário e uma senha que são verificados em um diretório de usuários no domínio da diretiva.
  • Nome do servidor web
    Especifica o nome de domínio totalmente qualificado do servidor SSL.
    Observação:
    não há suporte para endereços IP.
    Esse servidor é responsável por estabelecer uma conexão SSL. Normalmente, esse não é o servidor em que o agente web é instalado.
    O servidor atua como o início do URL que o
    CA Single Sign-on
    usa para direcionar um certificado X.509 por uma conexão SSL.
    Os nomes de domínio devem conter pelo menos dois pontos finais. Insira o nome do servidor usando o seguinte formato:
    servername.host.com
    Exemplo:
    server1.security.com
  • Porta
    Especifica a porta na qual o servidor SSL está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
  • Destino
    Especifica o caminho e o nome do arquivo scc.
    O caminho padrão aponta para um diretório virtual no servidor web definido no campo Nome do servidor, especificado durante a instalação do agente do
    CA Single Sign-on
    . O destino padrão especifica o arquivo smgetcred.scc, que é um arquivo de amostra que pode ser personalizado.
  • Permitir que este esquema salve credenciais
    Marque essa caixa de seleção para permitir que navegadores do usuário salvem credenciais de nome do usuário e senha.
  • Lista de atributos adicionais
    (Opcional) Especifica atributos de usuário diferentes do nome de usuário. Ao listar os atributos, comece com AL= e use vírgulas para separar os nomes de atributos do usuário.
    Exemplo:
    AL=PASSWORD,SSN,age,zipcode
    AL= é uma notação do
    CA Single Sign-on
    que indica a lista de atributos. Por padrão, a lista de atributos é considerada uma consulta de estilo AND. O servidor de políticas compara todos os valores de atributo coletados do usuário com os valores de atributos correspondentes no diretório do usuário. Se todos os valores de atributo corresponderem exatamente, o usuário será autenticado com êxito.
    Observação:
    é possível autenticar usuários com atributos que contenham vários valores. Para especificar que um atributo possui vários valores, prefixe o nome do atributo com um acento circunflexo (^).
Exemplo:
especifique "AL=^mail" para indicar que "mail" possui vários valores. Um usuário pode fornecer um dos valores válidos para realizar a autenticação.
Limite:
os valores de um atributo com vários valores não podem conter um símbolo de acento circunflexo (^). Um valor que contém esse símbolo introduz a possibilidade de os usuários serem incorretamente autenticados. Por exemplo, se um valor for 123^456, um usuário poderá se autenticar com 123 e 456, além de 123^456.
Para que o
CA Single Sign-on
colete atributos adicionais, o arquivo .fcc usado para gerar um formulário para a autenticação de formulários HTML deve ser modificado a fim de incluir esses atributos.
  • Persistir variáveis da sessão de autenticação
    (Opcional) Especifica se os dados de contexto de autenticação devem ser salvos no repositório de sessões como variáveis de sessão. O servidor de políticas tem acesso a essas variáveis para utilização em decisões de autenticação.
    Importante:
    dados de autenticação persistentes no repositório de sessões criam uma degradação no momento da autenticação. Selecione essa opção somente quando você realmente deseja usar as variáveis posteriormente para tomar decisões de autenticação. Caso contrário, pode haver um grande impacto no desempenho sem nenhum benefício.
Caixa de grupo Avançado
A caixa de grupo Avançado da caixa de diálogo Esquema de autenticação para um esquema básico e de certificado de cliente X.509 contém o seguinte:
  • Biblioteca
    Exibe o nome da biblioteca do servidor de políticas usada para processar o esquema de autenticação.
    O valor da biblioteca de autenticação padrão é smauthcert. Esse campo contém o nome da biblioteca que o servidor de políticas precisa para redirecionar as credenciais de usuário por uma conexão SSL e para verificar o certificado do cliente.
    Observação:
    geralmente, não é necessário editar esse campo.
  • Parâmetro
    Exibe a sequência de caracteres criada a partir de suas entradas na caixa de grupo Configuração do esquema. Essa sequência de caracteres é o parâmetro que o servidor de políticas processa usando a biblioteca de autenticação especificada na caixa de grupo Configuração do esquema. O parâmetro consiste no valor de Servidor e de Destino da caixa de grupo Configuração do esquema, com a adição da sequência de caracteres ?cert+basic, que indica o uso da autenticação básica e de certificado de cliente.
  • Ativar este esquema para administradores do
    CA Single Sign-on
    Essa caixa de seleção fica desativada por padrão para esquemas de certificado de cliente X.509. Não é possível usar esse esquema para autenticar administradores do servidor de políticas.
Observação:
você deve configurar o mapeamento de certificados para esse esquema de autenticação. O mapeamento de certificados vincula informações do certificado com a entrada de um usuário em um diretório.
Caixa de diálogo Esquema de autenticação — Modelo básico ou de certificado de cliente X509
Para que o
CA Single Sign-on
possa autenticar usuários com base em certificados de cliente X.509, você deve configurar um esquema de autenticação na interface administrativa, bem como um mapeamento de certificado para o esquema de autenticação.
Caixa de grupo Configuração do esquema
Na caixa de grupo Configuração do esquema para a autenticação básica ou de certificado de cliente X.509, você deve inserir as informações sobre o servidor e o destino de seu esquema de autenticação de certificado.
Observação:
os usuários que tentarem acessar um recurso em um realm protegido deverão ter um certificado de cliente X.509 válido para que o
CA Single Sign-on
possa verificar usando um certificado de servidor. Além disso, o usuário é solicitado a fornecer um nome de usuário e uma senha que são verificados em um diretório de usuários no domínio da diretiva.
  • Nome do servidor
    Especifica o nome de domínio totalmente qualificado do servidor SSL.
    Observação
    não há suporte para endereços IP.
    Esse servidor é responsável por estabelecer uma conexão SSL. Normalmente, esse não é o servidor em que o agente web é instalado.
    O servidor atua como o início do URL que o
    CA Single Sign-on
    usa para direcionar um certificado X.509 por uma conexão SSL.
    Os nomes de domínio devem conter pelo menos dois pontos finais. Insira o nome do servidor usando o seguinte formato:
    servername.host.com
    Exemplo:
    server1.security.com
  • Porta
    Especifica a porta na qual o servidor SSL está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
  • Destino
    Especifica o caminho e o nome do SCC (SSL Credentials Collector - Coletor de Credenciais do SSL).
    O destino informa ao agente web do
    CA Single Sign-on
    o que deve ser usado para invocar o SCC. Essa informação completa o URL que o
    CA Single Sign-on
    usa para direcionar as credenciais de usuário por uma conexão SSL e processar a autenticação de certificado. O destino pode ser personalizado em casos em que os servidores proxy exigirem URLs específicos a fim de oferecer suporte à autenticação de credenciais básicas sobre SSL.
    O
    CA Single Sign-on
    fornece um caminho padrão quando você seleciona o esquema de autenticação de certificado de cliente X.509.
  • Caixa de seleção Credenciais básicas sobre SSL
    Marque essa caixa de seleção se as credenciais básicas de nome de usuário/senha forem entregues por meio de uma conexão SSL.
  • Nome do servidor básico
    Especifica o nome totalmente qualificado do servidor SSL. Insira um valor nesse campo se a caixa de seleção Credenciais básicas sobre SSL estiver marcada.
    Esse servidor é responsável por estabelecer uma conexão SSL para a autenticação básica. Normalmente, esse servidor não é o mesmo servidor em que o agente web está instalado.
    O servidor atua como o início do URL que o
    CA Single Sign-on
    usa para que direcionar as credenciais por uma conexão SSL. A sintaxe do servidor é um pouco diferente, com base no tipo de servidor web em que o agente web está instalado. As definições a seguir descrevem a sintaxe apropriada para o campo Servidor, que tem como base o tipo de servidor web:
    IIS ou o Oracle --
    servername
    .
    domain
    :
    port
    Apache
    -- servername.domain:port
    Os nomes de domínio devem ter pelo menos dois pontos finais. Por exemplo:
    .security.com
  • Destino básico
    Especifica o caminho e o nome do SCC (SSL Credentials Collector - Coletor de Credenciais do SSL).
    O destino informa ao agente web do
    CA Single Sign-on
    o que deve ser usado para invocar o SCC. Essa informação completa o URL que o
    CA Single Sign-on
    usa para direcionar as credenciais de usuário por uma conexão SSL para autenticação básica. O destino pode ser personalizado em casos em que os servidores proxy exigirem URLs específicos a fim de oferecer suporte à autenticação de credenciais básicas sobre SSL.
  • Persistir variáveis da sessão de autenticação
    (Opcional) Especifica se os dados de contexto de autenticação devem ser salvos no repositório de sessões como variáveis de sessão. O servidor de políticas tem acesso a essas variáveis para utilização em decisões de autenticação.
    Importante:
    dados de autenticação persistentes no repositório de sessões criam uma degradação no momento da autenticação. Selecione essa opção somente quando você realmente deseja usar as variáveis posteriormente para tomar decisões de autenticação. Caso contrário, pode haver um grande impacto no desempenho sem nenhum benefício.
Caixa de grupo Avançado
A caixa de grupo Avançado da caixa de diálogo Esquema de autenticação para um esquema básico e de certificado de cliente X.509 contém o seguinte:
  • Biblioteca
    Exibe o nome da biblioteca do servidor de políticas usada para processar o esquema de autenticação.
    O valor da biblioteca de autenticação padrão é smauthcert. Esse campo contém o nome da biblioteca que o servidor de políticas precisa para redirecionar as credenciais de usuário por uma conexão SSL e para verificar o certificado do cliente.
    Observação:
    geralmente, não é necessário editar esse campo.
  • Parâmetro
    Exibe a sequência de caracteres criada a partir de suas entradas na caixa de grupo Configuração do esquema. Essa sequência de caracteres é o parâmetro que o servidor de políticas processa usando a biblioteca de autenticação especificada na caixa de grupo Configuração do esquema. O parâmetro consiste no valor de Servidor e de Destino da caixa de grupo Configuração do esquema, com a adição da sequência de caracteres ?certorbasic, que indica o uso da autenticação básica e de certificado.
  • Ativar este esquema para administradores do
    CA Single Sign-on
    Essa caixa de seleção fica desativada por padrão para esquemas de certificado de cliente X.509. Não é possível usar esse esquema para autenticar administradores do servidor de políticas.
Observação:
você deve configurar o mapeamento de certificados para esse esquema de autenticação. O mapeamento de certificados vincula informações do certificado com a entrada de um usuário em um diretório.
Lista de IPs aprovados do agente
A caixa de grupo Lista de IPs aprovados do agente da caixa de diálogo Esquema de autenticação para um esquema de autenticação do Windows contém o seguinte:
  • Verificação de AgentIP
    Ativa a validação de IP do agente.
  • Adicionar
    Adiciona um novo endereço IP do agente à lista do esquema de autenticação.
  • Excluir
    Exclui da lista o endereço IP do agente.
Caixa de diálogo Esquema de autenticação — Modelo de formulário e de certificado de cliente X509
Para que o
CA Single Sign-on
possa autenticar usuários com base em certificados de cliente X.509, você deve configurar um esquema de autenticação na interface administrativa, bem como um mapeamento de certificado para o esquema de autenticação.
Caixa de grupo Configuração
Na caixa de grupo Configuração do esquema para a autenticação de formulários HTML ou de certificado de cliente X.509, você deve inserir as informações sobre o servidor e o destino de seu esquema de autenticação de certificado.
Observação:
os usuários que tentarem acessar um recurso em um realm protegido poderão ser autenticados com um certificado de cliente X.509 válido ou por credenciais de formulários. Essas credenciais são localizadas e verificadas em um diretório de usuários associado ao domínio de diretivas.
  • Nome do servidor
    Especifica o nome de domínio totalmente qualificado do servidor SSL.
    Observação:
    não há suporte para endereços IP.
    Esse servidor é responsável por estabelecer uma conexão SSL. Normalmente, esse não é o servidor em que o agente web é instalado.
    O servidor atua como o início do URL que o
    CA Single Sign-on
    usa para direcionar um certificado X.509 por uma conexão SSL.
    Os nomes de domínio devem conter pelo menos dois pontos finais. Insira o nome do servidor usando o seguinte formato:
    servername.host.com
    Exemplo:
    server1.security.com
  • Porta
    Especifica a porta na qual o servidor SSL está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
  • Destino
    Especifica o caminho e o nome do SFCC (SSL Credentials Collector - Coletor de Credenciais do SSL).
    O destino é
    .sfcc
    O destino informa ao agente web do
    CA Single Sign-on
    o que deve ser usado para invocar o SFCC. Essa informação completa o URL que o
    CA Single Sign-on
    usa para direcionar as credenciais de usuário por uma conexão SSL e processar a autenticação de certificado.
    O
    CA Single Sign-on
    fornece um caminho padrão quando você seleciona o esquema de autenticação de formulários HTML e de certificado de cliente X.509.
  • Lista de atributos adicionais
    (Opcional) Especifica atributos de usuário diferentes do nome de usuário. Ao listar os atributos, comece com AL= e use vírgulas para separar os nomes de atributos do usuário.
    Exemplo:
    AL=PASSWORD,SSN,age,zipcode
    AL= é uma notação do
    CA Single Sign-on
    que indica a lista de atributos em consideração. Por padrão, a lista de atributos é considerada uma consulta de estilo AND. O servidor de políticas compara todos os valores de atributo coletados do usuário com os valores de atributos correspondentes no diretório do usuário. Se todos os valores de atributo corresponderem exatamente, o usuário será autenticado com êxito.
    Observação:
    é possível autenticar usuários com atributos que contenham vários valores. Para especificar que um atributo possui vários valores, prefixe o nome do atributo com um acento circunflexo (^).
    Exemplo:
    quando estiver usando um atributo "mail" com vários valores para autenticar usuários, especifique "AL=^mail". Um usuário pode fornecer um dos valores válidos para realizar a autenticação.
    Limite:
    os valores de um atributo com vários valores não podem conter um símbolo de acento circunflexo (^). Um valor que contém esse símbolo introduz a possibilidade de os usuários serem incorretamente autenticados. Por exemplo, se um valor for 123^456, um usuário poderá se autenticar com 123 e 456, além de 123^456.
    Para que o
    CA Single Sign-on
    colete atributos adicionais, o arquivo .fcc que gera um formulário para autenticação de formulários HTML deve incluir os atributos.
  • Usar local alternativo FCC
    Marque essa caixa de seleção se desejar especificar um destino para o qual o conjunto de formulários é redirecionado. Um possível uso desse redirecionamento é evitar vários desafios com base em SSL.
  • Alternar o nome do servidor
    Especifica o nome do servidor web em que o FCC alternativo está instalado. Insira um valor nesse campo se a opção Usar local alternativo FCC estiver selecionada.
  • Alternar destino
    Especifica o caminho e o arquivo .fcc. Insira um valor nesse campo se a opção Usar local alternativo FCC estiver selecionada.
    O caminho padrão aponta para um diretório virtual no servidor web especificado no campo Alternar o nome do servidor que foi criado durante a instalação do
    CA Single Sign-on
    . O destino padrão especifica o arquivo login.fcc, que é um arquivo de amostra que pode ser personalizado.
  • Usar conexão SSL
    Marque essa caixa de seleção se as credenciais de formulários HTML forem entregues por meio de uma conexão SSL. Certifique-se de marcar a caixa de seleção Usar local alternativo FCC para acessar a caixa de seleção Usar conexão SSL.
  • Persistir variáveis da sessão de autenticação
    (Opcional) Especifica se os dados de contexto de autenticação devem ser salvos no repositório de sessões como variáveis de sessão. O servidor de políticas tem acesso a essas variáveis para utilização em decisões de autenticação.
    Importante:
    dados de autenticação persistentes no repositório de sessões criam uma degradação no momento da autenticação. Selecione essa opção somente quando você realmente deseja usar as variáveis posteriormente para tomar decisões de autenticação. Caso contrário, pode haver um grande impacto no desempenho sem nenhum benefício.
Caixa de grupo Avançado
A caixa de grupo Avançado de um esquema de autenticação de formulários HTML e de certificado de cliente X.509 contém o seguinte:
  • Biblioteca
    Exibe o nome da biblioteca do servidor de políticas usada para processar o esquema de autenticação.
    O valor da biblioteca de autenticação padrão é smauthcert. Esse campo contém o nome da biblioteca que o servidor de políticas usa para verificar o certificado do cliente.
    Observação:
    geralmente, não é necessário editar esse campo.
  • Parâmetro
    Exibe a sequência de caracteres criada a partir de suas entradas na caixa de grupo Configuração do esquema. Essa sequência de caracteres é o parâmetro que o servidor de políticas processa usando a biblioteca de autenticação especificada na caixa de grupo Configuração do esquema. O parâmetro consiste no valor de Servidor e de Destino da caixa de grupo Configuração do esquema, com a adição da sequência de caracteres ?cert+forms, que indica o uso do esquema de autenticação de formulários HTML e de certificado de cliente X.509.
  • Ativar este esquema para administradores do
    CA Single Sign-on
    Essa caixa de seleção fica desativada por padrão para esquemas de certificado de cliente X.509. Não é possível usar esse esquema para autenticar administradores do servidor de políticas.
Observação:
você deve configurar o mapeamento de certificados para esse esquema de autenticação. O mapeamento de certificados vincula informações do certificado com a entrada de um usuário em um diretório.
Caixa de diálogo Esquema de autenticação — Modelo de formulário ou de certificado de cliente X509
Para que o
CA Single Sign-on
possa autenticar usuários com base em certificados de cliente X.509, você deve configurar um esquema de autenticação na interface administrativa, bem como um mapeamento de certificado para o esquema de autenticação.
Caixa de grupo Configuração do esquema
Nessa caixa de diálogo, você deve inserir as informações sobre o servidor SSL e o arquivo scc para o seu esquema de autenticação de certificado de cliente X.509.
  • Nome do servidor
    Especifica o nome de domínio totalmente qualificado do servidor SSL.
    Observação:
    não há suporte para endereços IP.
    Esse servidor é responsável por estabelecer uma conexão SSL. Normalmente, esse não é o servidor em que o agente web é instalado.
    O servidor atua como o início do URL que o
    CA Single Sign-on
    usa para direcionar um certificado X.509 por uma conexão SSL.
    Os nomes de domínio devem conter pelo menos dois pontos finais. Insira o nome do servidor usando o seguinte formato:
    servername.host.com
    Exemplo:
    server1.security.com
  • Porta
    Especifica a porta na qual o servidor SSL está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
  • Destino
    Especifica o caminho e o nome do SCC (SSL Credentials Collector - Coletor de Credenciais do SSL).
    O destino informa ao agente web o que deve ser usado para invocar o SCC. Essa informação completa o URL que o
    CA Single Sign-on
    usa para direcionar as credenciais por uma conexão SSL. O destino pode ser personalizado em casos em que os servidores proxy exigirem URLs específicos a fim de oferecer suporte à autenticação de credenciais básicas sobre SSL.
    O
    CA Single Sign-on
    fornece um caminho padrão quando você seleciona o esquema de autenticação de certificado de cliente X.509.
  • Persistir variáveis da sessão de autenticação
    (Opcional) Especifica se os dados de contexto de autenticação devem ser salvos no repositório de sessões como variáveis de sessão. O servidor de políticas tem acesso a essas variáveis para utilização em decisões de autenticação.
    Importante:
    dados de autenticação persistentes no repositório de sessões criam uma degradação no momento da autenticação. Selecione essa opção somente quando você realmente deseja usar as variáveis posteriormente para tomar decisões de autenticação. Caso contrário, pode haver um grande impacto no desempenho sem nenhum benefício.
Caixa de grupo Avançado
A caixa de grupo Avançado da caixa de diálogo Esquema de autenticação para um esquema de autenticação de formulários HTML ou de certificado de cliente X.509 contém o seguinte:
  • Biblioteca
    Esse campo contém o nome da biblioteca do servidor de políticas usada para processar o esquema de autenticação.
    O valor da biblioteca de autenticação padrão é smauthcert. Esse campo contém o nome da biblioteca que o servidor de políticas precisa para redirecionar as credenciais de usuário por uma conexão SSL e para verificar o certificado do cliente.
    Observação:
    geralmente, não é necessário editar esse campo.
  • Parâmetro
    Esse campo exibe a sequência de caracteres criada a partir de suas entradas na caixa de grupo Configuração do esquema. Essa sequência de caracteres é o parâmetro que o servidor de políticas processa usando a biblioteca de autenticação especificada na caixa de grupo Configuração do esquema. O parâmetro consiste no valor de Servidor e de Destino da caixa de grupo Configuração do esquema, com a adição da sequência de caracteres ?certorform, que indica o uso de certificado ou de formulário HTML.
  • Ativar este esquema para administradores do
    CA Single Sign-on
    Essa caixa de seleção fica desativada por padrão para esquemas de certificado de cliente X.509. Não é possível usar esse esquema para autenticar administradores do servidor de políticas.
Observação:
você deve configurar o mapeamento de certificados para esse esquema de autenticação. O mapeamento de certificados vincula informações do certificado com a entrada de um usuário em um diretório.
Lista de IPs aprovados do agente
A caixa de grupo Lista de IPs aprovados do agente da caixa de diálogo Esquema de autenticação para um esquema de autenticação do Windows contém o seguinte:
  • Verificação de AgentIP
    Ativa a validação de IP do agente.
  • Adicionar
    Adiciona um novo endereço IP do agente à lista do esquema de autenticação.
  • Excluir
    Exclui da lista o endereço IP do agente.
Caixa de diálogo Esquema de autenticação — Modelo anônimo
Para poder atribuir um esquema de autenticação anônimo a um realm, você deve configurar o esquema na caixa de diálogo Esquema de autenticação.
Um esquema de autenticação anônimo permite que usuários não registrados acessem conteúdo da web específico. Quando um usuário acessa um recurso que possui a autenticação anônima, o
CA Single Sign-on
atribui ao usuário uma GUID (Global User Identification - Identificação de Usuário Global). O
CA Single Sign-on
coloca essa GUID em um cookie persistente no navegador do usuário, de forma que o usuário possa acessar recursos específicos sem ser solicitado a fazer a autenticação.
Caixa de grupo Configuração do esquema
Esse é o local em que você pode especificar o DN (Distinguished Name - Nome Distinto) de um usuário. Quando um usuário anônimo tenta acessar qualquer recurso na rede, o
CA Single Sign-on
usa o DN para determinar os privilégios do usuário.
  • DN do usuário
    Especifica o nome distinto de convidados que será usado pelo esquema anônimo.
    Esse DN determina os privilégios de um usuário anônimo. Quando você atribui o esquema de autenticação anônimo a um realm e, em seguida, vincula diretivas ao DN do convidado, um usuário anônimo passa a ter privilégios de acesso especificados para o DN de convidado.
    Observação:
    é necessário especificar um DN para um usuário, e não para um grupo. O esquema anônimo funcionará apenas se você fornecer o DN de um usuário.
    Os esquemas de autenticação são associados a realms. Os realms estão localizados sob domínios de diretivas. Os domínios de diretivas permitem conexões com diretórios de usuários específicos. Ao especificar um DN nesse campo, o servidor de políticas verifica o DN nos diretórios de usuários especificados no domínio de diretivas do realm. O servidor de políticas verifica os diretórios de usuários na ordem de pesquisa definida para o domínio da diretiva.
  • Pesquisar
    Clique para abrir a caixa de diálogo de pesquisa de usuários. A seleção de um DN nos resultados da pesquisa preenche o campo DN do usuário.
Caixa de grupo Avançado
A caixa de grupo Avançado da caixa de diálogo Esquema de Autenticação para um esquema anônimo contém o seguinte:
  • Biblioteca
    Exibe o nome da biblioteca que o servidor de políticas usa para resolver uma autenticação anônima.
  • Parâmetro
    Exibe o DN de convidado que você inseriu no campo DN da caixa de grupo Configuração do esquema.
  • Ativar este esquema para administradores do
    CA Single Sign-on
    Essa caixa de seleção está desativada. O esquema anônimo não exige um nome de usuário e uma senha e, por isso, não pode ser ativado como um método para a autenticação de administradores do servidor de políticas.
Caixa de diálogo Esquema de autenticação — Modelo personalizado
Antes de atribuir um esquema de autenticação personalizado a um realm, configure-o na caixa de diálogo Esquema de autenticação.
Se desejar usar um método de autenticação que não é fornecido pelo
CA Single Sign-on
, pode criar um esquema de autenticação personalizado. Depois de criar um esquema personalizado, configure-o na caixa de diálogo Autenticação.
Caixa de grupo Configuração do esquema
Nessa caixa de diálogo, você pode especificar uma biblioteca que processa credenciais para o esquema personalizado, bem como o parâmetro transmitido para a biblioteca.
  • Biblioteca
    Especifica o nome da biblioteca que o servidor de políticas usa para processar o esquema de autenticação personalizado.
    Essa é a biblioteca compartilhada criada usando uma API.
  • Segredo e Confirmar segredo
    Se o esquema de autenticação personalizado exigir um shared secret para criptografia de credenciais, especifique o shared secret.
  • Parâmetro
    Especifica a sequência de caracteres transmitida do servidor de políticas para a biblioteca a fim de processar a autenticação personalizada.
  • Caixa de seleção Ativar este esquema para administradores do
    CA Single Sign-on
    Marque essa caixa de seleção se desejar que o esquema personalizado faça a autenticação de administradores do servidor de políticas.
    Se essa caixa de seleção estiver marcada, o esquema poderá ser usado para autenticar os administradores.
  • Persistir variáveis da sessão de autenticação
    (Opcional) Especifica se os dados de contexto de autenticação devem ser salvos no repositório de sessões como variáveis de sessão. O servidor de políticas tem acesso a essas variáveis para utilização em decisões de autenticação.
    Importante:
    dados de autenticação persistentes no repositório de sessões criam uma degradação no momento da autenticação. Selecione essa opção somente quando você realmente deseja usar as variáveis posteriormente para tomar decisões de autenticação. Caso contrário, pode haver um grande impacto no desempenho sem nenhum benefício.
Lista de IPs aprovados do agente
A caixa de grupo Lista de IPs aprovados do agente da caixa de diálogo Esquema de autenticação para um esquema de autenticação do Windows contém o seguinte:
  • Verificação de AgentIP
    Ativa a validação de IP do agente.
  • Adicionar
    Adiciona um novo endereço IP do agente à lista do esquema de autenticação.
  • Excluir
    Exclui da lista o endereço IP do agente.
Caixa de diálogo Esquema de autenticação — Modelo personalizado para SAML 2.0
Se possuir uma licença do
CA Single Sign-on
eTrust SiteMinder FSS
, poderá configurar um modelo de autenticação SAML 2.0 personalizado para a configuração de um único realm. Você pode criar um único realm para vários provedores de identidades a fim de simplificar a configuração de realms para esquemas de autenticação SAML. Para oferecer suporte a um único realm de destino, também é preciso configurar um esquema de autenticação única personalizado.
Observação:
você deve ter um esquema de autenticação via SAML 2.0 configurado para cada provedor de identidades para poder configurar um modelo personalizado.
Caixa de diálogo Esquema de autenticação — Modelo personalizado — Configuração do esquema de SAML 2.0
A caixa de grupo Configuração do esquema de um modelo personalizado é o local em que você define a biblioteca para o esquema de autenticação personalizado. É possível especificar um parâmetro especial para os esquemas de autenticação SAML 2.0 personalizados que fazem parte da configuração de um único realm de destino.
Estas são as configurações:
  • Biblioteca
    Especifica o nome da biblioteca do esquema de autenticação única personalizado. Insira smauthsinglefed para o nome da biblioteca.
  • Segredo e Confirmar segredo
    Ignore esses campos.
  • Parâmetro
    Especifique uma das opções a seguir:
    • SCHEMESET=LIST;
      ;
      Especifica a lista de nomes de esquema de autenticação via SAML a serem utilizados. Se tiver configurado um esquema de artefato chamado artifact_Idp1 e um esquema de perfil de POST chamado samlpost_IdP2, você deve inserir esses esquemas.
    • SCHEMESET=SAML_ALL;
      Especifica todos os esquemas que você configurou. O esquema de autenticação personalizado enumera todos os esquemas de autenticação SAML e localiza aquele com a ID de origem de provedor correta para a solicitação.
    • SCHEMESET=SAML_POST;
      Especifica todos os esquemas de perfil de SAML POST que você configurou. O esquema de autenticação personalizado enumera os esquemas de perfil de POST e localiza aquele com a ID de origem de provedor correta para a solicitação.
    • SCHEMESET=SAML_ART;
      Especifica todos os esquemas de artefato de SAML que você configurou. O esquema de autenticação personalizado enumera os esquemas de artefato e localiza aquele com a ID de origem de provedor correta para a solicitação.
  • Ativar este esquema para administradores do
    CA Single Sign-on
    Ignore essa caixa de seleção.
Caixa de diálogo Esquema de autenticação — Modelo de impersonation
Para poder atribuir um esquema de autenticação de impersonation a um realm, você deve configurar o esquema na caixa de diálogo Esquema de autenticação.
Caixa de grupo Configuração do esquema
Na caixa de grupo Configuração do esquema da autenticação de impersonation, você pode inserir o servidor, o destino e a lista de atributos para o esquema de autenticação de impersonation.
  • Nome do servidor web
    Especifica o nome de domínio totalmente qualificado do servidor web em que o FCC está instalado.
    Observação:
    não há suporte para endereços IP.
    O servidor não precisa ser o mesmo servidor no qual o agente está instalado.
    Os nomes de domínio devem conter ao menos dois pontos finais. O servidor deve ser inserido no seguinte formato:
    Exemplo:
    server1.security.com
    Esse campo diferencia letras maiúsculas e minúsculas.
    Observação:
    se a rede incluir vários domínios de cookies, você deverá configurar um esquema de autenticação de impersonation separado em cada domínio de cookies no qual desejar implementar a impersonation.
  • Porta
    Especifica a porta na qual o servidor web está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
  • Caixa de seleção Usar conexão SSL
    Marque essa caixa de seleção se desejar que o
    CA Single Sign-on
    use uma conexão SSL para processar a autenticação de representação.
  • Destino
    Especifica o caminho e o arquivo .fcc usados pelo esquema.
    O caminho padrão aponta par um subdiretório /forms sob o diretório virtual /siteminderagent no servidor web especificado no campo Nome do servidor. O diretório e o arquivo .fcc padrão foram criados durante a instalação do agente web. O destino padrão especifica o arquivo imp.fcc, que é um arquivo de amostra que pode ser personalizado.
  • Lista de atributos adicionais
    (Opcional) Os atributos de impersonation, diferentes do nome do usuário, que serão especificados por um personificador.
    Ao listar os atributos, comece com AL= e use vírgulas para separar os nomes de atributos do usuário.
    Exemplo:
    AL=SSN,age,zipcode
    O AL= é uma notação do
    CA Single Sign-on
    que indica a lista de atributos que devem ser considerados. Por padrão, a lista de atributos é considerada uma consulta de estilo AND. O servidor de políticas compara todos os valores de atributo coletados do usuário com os valores de atributos correspondentes no diretório do usuário. Se todos os valores de atributo corresponderem exatamente, o usuário será autenticado com êxito.
    Observação:
    é possível autenticar usuários com atributos que contenham vários valores. Para especificar que um atributo possui vários valores, prefixe o nome do atributo com um acento circunflexo (^).
    Exemplo:
    se estiver usando um atributo "mail" com vários valores para autenticar usuários, você deve especificar "AL=^mail" para indicar que "mail" possui vários valores. Um usuário pode fornecer um dos valores válidos para realizar a autenticação com êxito.
    Limite:
    os valores de um atributo com vários valores não devem conter um símbolo de acento circunflexo (^). Um valor que contém esse símbolo introduz a possibilidade de os usuários serem incorretamente autenticados. Por exemplo, se um valor for 123^456, um usuário poderá se autenticar com 123 e 456, além de 123^456.
    Para que o
    CA Single Sign-on
    colete atributos adicionais, o arquivo .fcc usado pelo
    CA Single Sign-on
    para gerar um formulário para a representação deve ser modificado a fim de incluir esses atributos.
    Ao usar os atributos adicionais em um esquema de impersonation, considere o seguinte:
    • Os atributos são usados apenas para corresponder os valores de atributos associados com o usuário que foi localizado em um diretório por nome do usuário.
    • Os nomes de atributo diferenciam maiúsculas de minúsculas. Eles devem corresponder exatamente os nomes de atributo implementados pelo diretório e os nomes de atributo especificados no esquema de autenticação.
    Observação:
    se tiver instalado o kit de desenvolvimento de software, você poderá usar a API de autenticação do
    CA Single Sign-on
    para definir outras notações.
Caixa de grupo Avançado
A caixa de grupo Avançado de um esquema de impersonation contém o seguinte:
  • Biblioteca
    Contém o nome da biblioteca compartilhada que processa a impersonation. Não altere esse valor, a menos que você tenha um esquema de autenticação personalizado, gravado usando a API de autenticação do
    CA Single Sign-on
    .
    A biblioteca compartilhada padrão para a autenticação de impersonation é SmAuthImpersonate.
  • Parâmetro
    Exibe o servidor e o destino que você inseriu na caixa de grupo Configuração do esquema. Também exibe quaisquer atributos adicionais que você inseriu para o esquema de autenticação. O servidor e o destino compõem o local do arquivo .fcc no servidor web.
  • Ativar este esquema para administradores do
    CA Single Sign-on
    Essa caixa de seleção está desativada. A impersonation não pode ser usada para autenticar um administrador do servidor de políticas.
Caixa de diálogo Esquema de autenticação — Modelo de JSON Web Token
Você pode configurar o Esquema de autenticação do JSON Web Token para autenticar e trocar declarações entre duas partes com segurança. A seção Avançado da caixa de diálogo de autenticação para a configuração do JWT inclui os seguintes campos:
Avançado
Contém os seguintes campos, que exibem as informações usadas pelo CA SSO para configurar a autenticação do JWT:
  • Pesquisa de usuário:
    Aceita o nome do campo personalizado e o mapeia para o campo de declaração do token JWT.
    Padrão
    : sub
  • Lista de aliases do certificado:
    Ativa a lista de certificados a serem usados em sequência para validar o token JWT.
  • Usar o cabeçalho de KID JOSE como alias do certificado:
    Recupera o KID do token e valida o token JWT.
  • Exigir conexão SSL:
    Permite que o agente imponha o token JWT na conexão HTTPS quando a opção SSL está ativada.
Propriedades do esquema de autenticação via SAML 1.x
Esquema de autenticação -- Modelo de artefatos SAML
Você pode configurar o esquema de autenticação de artefatos SAML para o SAML 1.x. Após o esquema ser configurado, você pode atribuí-lo a um realm.
A seção de configuração geral e de esquema comum da caixa de diálogo de esquema de autenticação inclui os campos a seguir:
  • Nome
    Designa um nome para o esquema de autenticação.
    Observação:
    quando o ADAM (Active Directory Application Mode - Modo de Aplicativo do Active Directory) é usado como um repositório de diretivas, o comprimento máximo para o nome do esquema de autenticação é de 22 caracteres.
  • Descrição
    Fornece uma descrição do esquema de autenticação.
A configuração comum de esquemas identifica o esquema de autenticação. Essa parte da seção geral contém os seguintes campos:
  • Tipo de esquema de autenticação
    Especifica o modelo que você está usando para o esquema de autenticação.
  • Nível de proteção
    Permite o logon único para esquemas de autenticação com níveis de proteção iguais ou menores dentro do mesmo domínio de diretivas. O nível de proteção também exige autenticação adicional para acessar recursos com esquemas de nível de proteção mais altos.
    Limites
    : 1 e 1.000.
    Os esquemas de autenticação têm um nível de proteção padrão que pode ser alterado. Utilize níveis de proteção altos para recursos essenciais e esquemas de nível mais baixo para recursos comumente acessíveis.
  • Diretivas de senha ativadas para este esquema de autenticação
    Indica que diretivas de senha configuradas estão associadas ao esquema de autenticação.
Configure os detalhes do esquema na seção Configuração do esquema da caixa de diálogo.
Esquema de autenticação -- Modelo de SAML POST
Você pode configurar o esquema de autenticação via SAML POST para o perfil de SAML 1.x POST. Depois de configurar o esquema de autenticação, o atribua a um realm.
A seção de configuração geral e de esquema comum da caixa de diálogo de esquema de autenticação inclui os campos a seguir:
  • Nome
    Designa um nome para o esquema de autenticação.
    Observação:
    quando o ADAM (Active Directory Application Mode - Modo de Aplicativo do Active Directory) é usado como um repositório de diretivas, o comprimento máximo para o nome do esquema de autenticação é de 22 caracteres.
  • Descrição
    Fornece uma descrição do esquema de autenticação.
A configuração comum de esquemas identifica o esquema de autenticação. Essa parte da seção geral contém os seguintes campos:
  • Tipo de esquema de autenticação
    Especifica o modelo que você está usando para o esquema de autenticação.
  • Nível de proteção
    Permite o logon único para esquemas de autenticação com níveis de proteção iguais ou menores dentro do mesmo domínio de diretivas. O nível de proteção também exige autenticação adicional para acessar recursos com esquemas de nível de proteção mais altos.
    Limites
    : 1 e 1.000.
    Os esquemas de autenticação têm um nível de proteção padrão que pode ser alterado. Utilize níveis de proteção altos para recursos essenciais e esquemas de nível mais baixo para recursos comumente acessíveis.
  • Diretivas de senha ativadas para este esquema de autenticação
    Indica que diretivas de senha configuradas estão associadas ao esquema de autenticação.
Configure os detalhes do esquema na seção Configuração do esquema da caixa de diálogo.
Esquema de autenticação -- Modelo de artefato SAML -- Configuração do esquema
A seção Configuração do esquema do esquema de autenticação de artefatos SAML 1.x permite especificar:
  • Como o destinatário se comunica com o produtor para recuperar um assertion.
  • Como autenticar um usuário com um assertion.
  • Como direcionar o usuário para o recurso de destino.
Os campos na seção de configuração de esquema são os seguintes:
  • Nome afiliado
    Nomeia o destinatário. Insira uma sequência de caracteres alfabéticos, por exemplo, EmpresaA.
    O nome inserido deve corresponder ao valor do campo Nome do objeto afiliado associado no produtor.
    No perfil de artefatos SAML, o produtor envia o assertion por meio de um canal de apoio protegido para o destinatário. Proteja o canal de apoio com a autenticação de certificados básica ou de cliente.
    As seguintes diretrizes de configuração aplicam-se a esse campo para o logon único de artefatos HTTP:
  • Senha
    Define a senha que o destinatário usa para se identificar no produtor.
    Essa senha deve corresponder à senha inserida para o destinatário no site do produtor.
  • ID de origem da empresa
    Especifica a ID de origem do produtor. O padrão de especificação de SAML define uma ID de origem como um número binário de 20 bytes codificado em hexadecimal que identifica o produtor. O destinatário usa essa ID para identificar um emissor de assertions.
    Insira a ID fornecida pelo produtor em uma comunicação fora de banda.
    Se o
    CA Single Sign-on
    for o produtor, a ID de origem estará no arquivo de propriedades do gerador de asserções do SAML 1.x, AMAssertionGenerator.properties, no diretório policy_server_home/config/properties.
    O valor padrão de ID de origem da empresa é: b818452610a0ea431bff69dd346aeeff83128b6a
    Observação:
    o arquivo AMAssertionGenerator.properties é usado apenas para o perfil de SAML 1.x.
  • URL do assertion retrieval
    Define o URL do serviço no produtor em que o destinatário recupera o assertion do SAML. Especificamente, esse URL identifica a localização do Assertion Retrieval Service, o qual deve ser um URL acessado por meio de uma conexão SSL.
    Se o Assertion Retrieval Service no produtor fizer parte de um realm usando o esquema de autenticação de credenciais básicas sobre SSL, o URL padrão será:
    https://
    idp_server:port
    /affwebservices/assertionretriever
    Se o Assertion Retrieval Service no produtor fizer parte de um realm usando o esquema de autenticação de certificado de cliente X.509, o URL padrão será:
    https://
    idp_server:port
    /affwebservices/certassertionretriever
    idp_server:port
    Identifica o servidor web e a porta que estão hospedando o Web Agent Option Pack ou o SPS federation gateway.
  • Público
    (Opcional) Define o público do assertion do SAML.
    O público identifica a localização de um documento que descreve os termos e as condições do contrato de negócios entre o produtor e o destinatário. O administrador determina o público no site do produtor. O valor desse campo deve corresponder ao público especificada no produtor.
    O valor de público não deve exceder 1 K.
    Para especificar o público, insira um URL. Esse elemento diferencia letras maiúsculas de minúsculas. Por exemplo:
    http://www.companya.com/SampleAudience
  • Alias de assinatura D
    Especifica o alias do certificado no repositório de dados de certificados que o destinatário usa para verificar a assinatura digital do assertion. Esse alias correspondente ao certificado. O tipo de certificado usado para a verificação é o certificado CertificateEntry ou KeyEntry.
  • Autenticação
    Especifica o método de autenticação para o realm no produtor que contém o Assertion Retrieval Service. O valor desse campo determina o tipo de credenciais que o coletor de credenciais via SAML no destinatário deve fornecer. Essas credenciais permitem que o destinatário acesse o Assertion Retrieval Service e recupere o assertion do SAML.
    O Assertion Retrieval Service obtém o assertion do servidor de políticas no produtor e, em seguida, o envia para o destinatário por meio de um canal de apoio de SSL. É recomendável proteger o Assertion Retrieval Service.
    Selecione uma das seguintes opções:
    • Autenticação básica
      Para o Assertion Retrieval Service que faz parte de um realm protegido por um esquema de autenticação básico ou de credenciais básicas sobre SSL.
      Se você selecionar Autenticação básica, nenhuma configuração adicional será necessária no produtor ou no destinatário. A exceção é se o certificado da autoridade de certificação que estabeleceu a conexão SSL não estiver no repositório de dados de certificado no destinatário. Se o certificado apropriado não estiver no repositório de dados, importe-o.
    • Certificado de cliente
      Para o Assertion Retrieval Service que faz parte de um realm protegido por um esquema de autenticação de certificado de cliente X.509. Se você selecionar essa opção, configure o acesso ao Assertion Retrieval Service com um certificado de cliente.
      Se selecionar Certificado de cliente, conclua as etapas de configuração no destinatário e no produtor para acessar o Assertion Retrieval Service com um certificado de cliente.
      É possível usar certificados que não tenham sido criptografados com FIPS 140 para proteger o canal de apoio, mesmo que o servidor de políticas esteja funcionando no modo apenas FIPS. No entanto, para instalações apenas FIPS use certificados criptografados somente com o uso de algoritmos compatíveis com FIPS 140.
  • Verificar senha
    Confirma a senha especificada no campo Senha.
  • Versão do SAML
    Define a versão da especificação de SAML com a qual o assertion é gerado. As opções são 1.0 ou 1.1. SAML 1.1 é o padrão.
    Deve haver uma correspondência entre as versões do protocolo e do assertion do SAML utilizados pelo produtor ou o destinatário. Por exemplo, se um produtor que estiver usando SAML 1.1 receber uma solicitação de SAML 1.0, ele retornará um erro. Se um destinatário que estiver usando SAML 1.1 receber um assertion do SAML 1.0 incorporado a um elemento de protocolo SAML 1.1, ele retornará um erro.
  • Modo de redirecionamento
    Indica o método pelo qual o coletor de credenciais via SAML redireciona o usuário para o recurso de destino. Se você selecionar 302 Sem dados ou 302 Dados de cookie, nenhuma outra configuração será necessária. Se você selecionar Redirecionamento para o servidor ou PersistAttributes, configurações adicionais serão necessárias.
    • 302 Sem dados (padrão)
      Redireciona o usuário por meio de um redirecionamento HTTP 302 com um cookie de sessão, mas sem outros dados.
    • 302 Dados de cookie
      Redireciona o usuário por meio de um redirecionamento HTTP 302 com um cookie de sessão e dados de cookie adicionais configurados no site que gerou o assertion.
    • Redirecionamento de servidor
      Permite que as informações de atributo de cabeçalho e cookie, que foram recebidas como parte de um assertion do SAML, sejam transmitidas para o aplicativo de destino personalizado. O coletor de credenciais via SAML transfere o usuário para o URL do aplicativo de destino usando a tecnologia de redirecionamento do lado do servidor. Os redirecionamentos do lado do servidor fazem parte da especificação do servlet Java. Todos os recipientes de servlet em conformidade com o padrão oferecem suporte a redirecionamentos do lado do servidor.
      Para usar o modo de redirecionamento de servidor, siga estes requisitos:
      • Especifique um URL para esse modo que seja relativo ao contexto do servlet que está consumindo o assertion, normalmente, /affwebservices/public/. A raiz do contexto é a raiz do aplicativo Federation Web Services, geralmente, /affwebservices/.
        Todos os arquivos de aplicativo de destino devem estar no diretório raiz do aplicativo. Esse diretório é:
        • Web Agent:
           web_agent_home
          \webagent\affwebservices
        • SPS federation gateway:
           sps_home
          \secure-proxy\Tomcat\webapps\affwebservices
      • Defina realms, regras e diretivas para proteger os recursos de destino. Defina os realms com, pelo menos, o valor /affwebservices/ no filtro do recurso.
      • Instale um aplicativo Java ou JSP personalizado no servidor que está executando o aplicativo Federation Web Services. O aplicativo é instalado com o Web Agent Option Pack ou o SPS federation gateway.
        A tecnologia de servlet Java permite que os aplicativos transmitam informações entre solicitações de dois recursos usando o método setAttribute da interface ServletRequest. 
        O serviço que utiliza assertions envia o atributo de usuário ao aplicativo de destino. Diferentes objetos de atributo no objeto de solicitação são definidos antes de o serviço redirecionar o usuário para o aplicativo de destino.
        O serviço cria dois objetos java.util.HashMap -- um para armazenar todos os atributos de cabeçalho e outro para armazenar todos os atributos de cookies. O serviço utiliza nomes de atributos distintos para representar cada objeto hashmap:
        • O atributo Netegrity.HeaderAttributeInfo representa o hashmap que contém os atributos de cabeçalho.
        • O atributo Netegrity.CookieAttributeInfo representa o hashmap que contém os atributos de cookie.
        Dois outros atributos Java.lang.String são definidos pelo serviço que utiliza o assertion para transmitir a identidade do usuário para o aplicativo personalizado:
        • O atributo Netegrity.smSessionID representa a ID da sessão.
        • O atributo Netegrity.userDN representa o DN de usuário.
      O aplicativo de destino personalizado no destinatário pode ler esses objetos a partir do objeto de solicitação HTTP, além de usar os dados encontrados nos objetos hashmap.
    • Persistir atributos
      Redireciona o usuário por meio de um redirecionamento HTTP 302 com um cookie de sessão, mas sem outros dados. Além disso, esse modo instrui o servidor de políticas a armazenar os atributos extraídos de um assertion no repositório de sessões. Dessa maneira, os atributos podem ser fornecidos como variáveis de cabeçalho HTTP. Para obter configurações adicionais, consulte as instruções para a utilização de atributos SAML como cabeçalhos HTTP.
      Observação:
      se você selecionar Persistir atributos e o assertion contiver atributos em branco, um valor NULL será gravado no repositório de sessões. Esse valor funciona como um espaço reservado para o atributo em branco. O valor é transmitido para qualquer aplicativo que estiver usando o atributo.
  • Emissor
    Identifica o produtor que emite assertions para o destinatário. Esse elemento diferencia letras maiúsculas de minúsculas.
    O destinatário aceita assertions apenas desse emissor. O administrador no produtor determina o emissor.
    Observação:
    o valor que você inserir para o emissor deve corresponder ao valor de AssertionIssuerID no produtor. Esse valor é especificado no arquivo AMAssertionGenerator.properties localizado em:
    siteminder_home
    /Config/properties/AMAssertionGenerator.properties
  • Pesquisar XPATH de dados
    A consulta XPath informa ao esquema de autenticação onde localizar uma entrada específica no assertion que, posteriormente, servirá como a ID de logon do usuário. O valor que a consulta obtém se torna parte da especificação de espaço para nome para procurar por uma entrada do repositório de usuários.
    As consultas Xpath não devem conter prefixos de espaço para nome. O exemplo a seguir é uma consulta Xpath
    inválida
    :
    /saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()
    A consulta Xpath válida é:
    //Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()
    Exemplo:
    A consulta a seguir extrai o texto do atributo de nome de usuário do assertion:
    "/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()" 
    "//Username/text()" extrai o texto do primeiro elemento Username no assertion do SAML usando a sintaxe abreviada.
    Outros exemplos:
    "substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/
    SMContent/SMprofile/NVpair[1]/text(),"header:uid=")"
    Essa sequência de caracteres de consulta extrai o texto do atributo de cabeçalho chamado "uid" configurado como o primeiro atributo listado no site do produtor.
    Ao usar a sintaxe abreviada a seguir, extrai o texto do atributo de cabeçalho chamado uid:
    "substring-after(//SMprofile/NVpair[1]/text(),"header:uid=")"
  • Persistir variáveis da sessão de autenticação
    (Opcional) Especifica se os dados de contexto de autenticação devem ser salvos no repositório de sessões como variáveis de sessão. O servidor de políticas tem acesso a essas variáveis para utilização em decisões de autenticação. Por exemplo, você pode incluir as variáveis de contexto de autenticação em respostas ativas ou em expressões de diretivas.
  • Ativo
    Indica se a configuração de federação legada está em uso para uma parceria específica. Se o servidor de políticas estiver usando a configuração de federação legada, confirme se essa caixa de seleção está marcada. Se você tiver recriado uma parceria federada com valores semelhantes para as configurações de identidade, como a ID de origem, desmarque essa caixa de seleção antes de ativar a parceria federada.
    O
    Single Sign-On
    não funciona com uma configuração legada e de parceria que usa os mesmos valores de identidade, pois ocorre um conflito de nomes.
As outras seções de configuração de esquema são:
  • Preencha uma especificação de espaço para nome para permitir que o destinatário localize o registro de usuário correto para autenticação.
  • Especifique o recurso federado de destino na seção de configuração adicional da página. Como opção, configure o plugin do destinatário da mensagem e redirecione os URLs para os quais um usuário é enviado se a autenticação falhar.
Esquema de autenticação -- Modelo de SAML POST -- Configuração do esquema
Na seção Configuração do esquema, você pode especificar as seguintes informações:
  • Como o destinatário se comunica com o produtor para recuperar um assertion.
  • Como autenticar um usuário que se baseia nesse assertion.
  • Como direcionar o usuário para o recurso de destino.
Os campos do modelo de autenticação SAML POST são os seguintes:
  • Nome afiliado
    Nomeia o destinatário. Insira uma sequência de caracteres alfabéticos, por exemplo, EmpresaA.
    O nome inserido deve corresponder ao nome de um destinatário no domínio afiliado no site do produtor.
  • Público
    Define o público do assertion do SAML.
    Identifica a localização de um documento que descreve os termos e as condições do contrato de negócios entre o produtor e o destinatário. O administrador determina o público no site do produtor. O valor também deve corresponder ao público do destinatário no site do produtor.
  • URL do assertion consumer
    Especifica o URL do destinatário do assertion (semelhante ao coletor de credenciais via SAML). Nesse URL, o navegador deve publicar (POST) o assertion gerado.
    O URL padrão é:
    http://
    consumer_server:port
    /affwebservices/public/samlcc
    consumer_server:port
    Identifica o servidor web e a porta que estão hospedando o Web Agent Option Pack ou o SPS federation gateway. Por exemplo:
    http://www.discounts.com:85/affwebservices/public/samlcc
    O valor de público não deve exceder 1 K.
    Para especificar o público, insira um URL. Esse elemento diferencia letras maiúsculas de minúsculas. Por exemplo:
    http://www.ca.com/SampleAudience
  • DN do emissor Dsig
    Especifica o nome distinto do emissor de certificados que assina a resposta de SAML POST. O produtor deve assinar a resposta POST. Quando o destinatário recebe a resposta, ele verifica a assinatura usando os dados nesse parâmetro e no parâmetro de número de série. Esses dois parâmetros indicam o emissor do certificado que assinou a resposta.
    O certificado que verifica a assinatura deve estar no repositório de dados de certificado.
  • Pesquisar XPATH de dados
    A consulta XPath informa ao esquema de autenticação onde localizar uma entrada específica no assertion que, posteriormente, servirá como a ID de logon do usuário. O valor que a consulta obtém se torna parte da especificação de espaço para nome para procurar por uma entrada do repositório de usuários.
    As consultas Xpath não devem conter prefixos de espaço para nome.
    O exemplo a seguir é uma consulta Xpath inválida:
    /saml:Response/saml:Assertion/saml:AuthenticationStatement/
    saml:Subject/saml:NameIdentifier/text()
    A consulta Xpath válida é:
    //Response/Assertion/AuthenticationStatement/Subject/
    NameIdentifier/text()
    Exemplo
    A consulta a seguir extrai o texto do atributo de nome de usuário do assertion:
    "/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()" 
    "//Username/text()" extrai o texto do primeiro elemento Username no assertion do SAML usando a sintaxe abreviada.
    Outros exemplos:
    "substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMprofile/NVpair[1]/text(),"header:uid=")" 
    Essa consulta extrai o texto do atributo de cabeçalho chamado "uid" configurado como o primeiro atributo do objeto afiliado no site do produtor.
    A sequência de caracteres "substring-after(//SMprofile/NVpair[1]/text(),"header:uid=")" extrai o texto do atributo de cabeçalho chamado "uid". Esse atributo é o primeiro atributo configurado para o objeto afiliado no site do produtor usando uma sintaxe abreviada.
  • Versão do SAML
    Especifica a versão de SAML (inativo; o valor é padronizado como 1.1, o que indica que os assertions do perfil POST estão em conformidade com o SAML versão 1.1).
    O produtor e o destinatário de SAML devem gerar e consumir assertions e respostas que possuem a mesma versão.
  • Modo de redirecionamento
    Especifica o método pelo qual o servlet do coletor de credenciais via SAML redireciona o usuário para o recurso de destino. Se você selecionar 302 Sem dados ou 302 Dados de cookie, nenhuma outra configuração será necessária. Se você selecionar Redirecionamento para o servidor ou PersistAttributes, configurações adicionais serão necessárias.
    • 302 Sem dados
      (padrão). Redireciona o usuário por meio de um redirecionamento HTTP 302 com um cookie de sessão, mas sem outros dados.
    • 302 Dados de cookie
      Redireciona o usuário por meio de um redirecionamento HTTP 302 com um cookie de sessão e dados de cookie adicionais configurados no site que gerou o assertion.
    • Redirecionamento de servidor
      Permite que as informações de atributo de cabeçalho e cookie, que foram recebidas como parte de um assertion do SAML, sejam transmitidas para o aplicativo de destino personalizado. O coletor de credenciais via SAML transfere o usuário para o URL do aplicativo de destino usando a tecnologia de redirecionamento do lado do servidor. Os redirecionamentos do lado do servidor fazem parte da especificação do servlet Java. Todos os recipientes de servlet em conformidade com o padrão oferecem suporte a redirecionamentos do lado do servidor.
      Para usar o modo de redirecionamento de servidor, siga estes requisitos:
      • Especifique um URL para esse modo que seja relativo ao contexto do servlet que está consumindo o assertion, normalmente, /affwebservices/public/. A raiz do contexto é a raiz do aplicativo Federation Web Services, geralmente, /affwebservices/.
        Todos os arquivos de aplicativo de destino devem estar no diretório raiz do aplicativo. Esse diretório é:
        • Web Agent:
           web_agent_home
          \webagent\affwebservices
        • SPS federation gateway:
           sps_home
          \secure-proxy\Tomcat\webapps\affwebservices
      • Defina realms, regras e diretivas para proteger os recursos de destino. Defina os realms com, pelo menos, o valor /affwebservices/ no filtro do recurso.
      • Instale um aplicativo Java ou JSP personalizado no servidor que está executando o aplicativo Federation Web Services. O aplicativo é instalado com o Web Agent Option Pack ou o SPS federation gateway.
        A tecnologia de servlet Java permite que os aplicativos transmitam informações entre solicitações de dois recursos usando o método setAttribute da interface ServletRequest. 
        O serviço que utiliza assertions envia o atributo de usuário ao aplicativo de destino. Diferentes objetos de atributo no objeto de solicitação são definidos antes de o serviço redirecionar o usuário para o aplicativo de destino.
        O serviço cria dois objetos java.util.HashMap -- um para armazenar todos os atributos de cabeçalho e outro para armazenar todos os atributos de cookies. O serviço utiliza nomes de atributos distintos para representar cada objeto hashmap:
        • O atributo Netegrity.HeaderAttributeInfo representa o hashmap que contém os atributos de cabeçalho.
        • O atributo Netegrity.CookieAttributeInfo representa o hashmap que contém os atributos de cookie.
        Dois outros atributos Java.lang.String são definidos pelo serviço que utiliza o assertion para transmitir a identidade do usuário para o aplicativo personalizado:
        • O atributo Netegrity.smSessionID representa a ID da sessão.
        • O atributo Netegrity.userDN representa o DN de usuário.
      O aplicativo de destino personalizado no destinatário pode ler esses objetos a partir do objeto de solicitação HTTP, além de usar os dados encontrados nos objetos hashmap.
    • Persistir atributos
      O usuário é redirecionado por meio de um redirecionamento HTTP 302 com um cookie de sessão, mas sem outros dados. Esse modo também instrui o servidor de políticas a armazenar os atributos de um assertion no repositório de sessões, de forma que seja possível fornecê-los como variáveis de cabeçalho HTTP. Para obter configurações adicionais, consulte as instruções para a utilização de atributos SAML como cabeçalhos HTTP.
      Observação:
      se você selecionar Persistir atributos e o assertion contiver atributos em branco, um valor NULL será gravado no repositório de sessões. Esse valor funciona como um espaço reservado para o atributo em branco. O valor é transmitido para qualquer aplicativo que estiver usando o atributo.
  • Emissor
    Identifica o produtor que emite assertions para o destinatário. Esse elemento diferencia letras maiúsculas de minúsculas.
    O destinatário aceita assertions apenas desse emissor. O administrador determina o emissor no produtor.
    Observação:
    o valor que você inserir para o emissor deve corresponder ao valor de AssertionIssuerID no site do produtor. Esse valor é especificado no arquivo AMAssertionGenerator.properties localizado em:
    policy_server_home
    /Config/properties/AMAssertionGenerator.properties
  • Número de série
    Especifica o número de série (uma sequência de caracteres hexadecimal) do certificado do destinatário no repositório de dados de certificados. Esse valor é usado com o DN do emissor da assinatura digital para localizar o certificado para assinar digitalmente a resposta de SAML POST.
  • Ativo
    Indica se a configuração de federação legada está em uso para uma parceria específica. Se o servidor de políticas estiver usando a configuração de federação legada, confirme se essa caixa de seleção está marcada. Se você tiver recriado uma parceria federada com valores semelhantes para as configurações de identidade, como a ID de origem, desmarque essa caixa de seleção antes de ativar a parceria federada.
    O
    Single Sign-On
    não funciona com uma configuração legada e de parceria que usa os mesmos valores de identidade, pois ocorre um conflito de nomes.
  • Persistir variáveis da sessão de autenticação
    (Opcional) Especifica se os dados de contexto de autenticação devem ser salvos no repositório de sessões como variáveis de sessão. O servidor de políticas tem acesso a essas variáveis para utilização em decisões de autenticação. Por exemplo, você pode incluir as variáveis de contexto de autenticação em respostas ativas ou em expressões de diretivas.
As outras seções de configuração de esquema são:
  • Preencha uma especificação de espaço para nome para permitir que o destinatário localize o registro de usuário correto para autenticação.
  • Especifique o recurso federado de destino na seção de configuração adicional da página. Como opção, configure o plugin do destinatário da mensagem e redirecione os URLs para os quais um usuário é enviado se a autenticação falhar.
Esquema de autenticação -- Especificação de espaço para nome
A seção Especificação de espaço para nome lista os tipos de espaço para nome e as especificações de pesquisa associadas. O
CA Single Sign-on
usa essas informações para pesquisar um usuário em um repositório de usuários.
A especificação de pesquisa utiliza os dados que a consulta XPath recupera do assertion e os mapeia para um atributo em uma entrada de repositório de usuários. A consulta XPath localiza uma entrada específica no assertion, que serve como a ID de logon de usuário. É possível definir a consulta no campo Pesquisar XPATH de dados.
Como parte da especificação de pesquisa, você pode substituir %s para representar o valor que a consulta XPath obtém do assertion. Por exemplo, a consulta XPATH recupera o valor
user1
do assertion do SAML. Se você inserir a especificação de pesquisa
uid=%s
no campo LDAP, a sequência de caracteres resultante será uid=user1. Essa sequência de caracteres é verificada em relação ao diretório de usuários a fim de localizar o registro correto para autenticação.
Você também pode especificar filtros com diversas variáveis %s. Por exemplo:
|(uid=%s)(email=%[email protected])
|(abcAliasName=%s)(cn=%s)
Os resultados podem ser:
|(uid=user1)([email protected])
|(abcAliasName=user1)(cn=user1)
Insira uma especificação de pesquisa para cada um dos tipos de espaço para nome em seu ambiente.
Esquema de autenticação -- Configuração adicional (artefato SAML 1.x, POST)
A seção Configuração adicional do esquema de autenticação permite configurar o plugin do destinatário da mensagem e redirecionar URLs para erros de processamento de assertions durante a autenticação. Além disso, é possível especificar o recurso de destino no site do destinatário.
A seção Configuração adicional contém os seguintes campos:
Plugin do destinatário da mensagem
Nome completo da classe em Java
(Opcional) Especifica o nome da classe em Java totalmente qualificado de uma classe que implementa a interface do Plugin do destinatário da mensagem para o esquema de autenticação.
  • Parâmetro
    Especifica uma sequência de caracteres de parâmetros que a API transmite para o plugin especificado no campo Nome completo da classe em Java.
Modos e URLs de redirecionamento de status
A autenticação com base em assertion pode falhar no site que utiliza os assertions por vários motivos. Se a autenticação falhar, o
eTrust SiteMinder FSS
fornecerá a funcionalidade para redirecionar o usuário para diferentes aplicativos (URLs) para processamento adicional. Por exemplo, se ocorrer uma falha de desambiguação de usuários, o
CA Single Sign-on
redirecionará o usuário para um sistema de provisionamento. Esse sistema de provisionamento pode criar uma conta de usuário que se baseie nas informações encontradas no assertion do SAML.
Observação:
o redirecionamento de erros ocorre somente quando o sistema pode analisar a solicitação com êxito e obter as informações necessárias para identificar a autoridade de confirmação e o provedor de serviço.
As opções a seguir redirecionam o usuário a um URL configurado com base na condição que causou a falha.
URL de redirecionamento para o status Usuário não encontrado
(Opcional) Identifica o URL para o qual o
CA Single Sign-on
redireciona o usuário quando ele não é encontrado. O status de usuário não encontrado é aplicável quando a mensagem de logon único não tem ID de logon ou o diretório de usuários não contém a ID de logon.
  • URL de redirecionamento para o status Mensagem de SSO inválido
    (Opcional) Identifica o URL para o qual o
    CA Single Sign-on
    redireciona o usuário quando ocorre uma das seguintes condições:
    • A mensagem de logon único é inválida, de acordo com as regras especificadas pelos esquemas de SAML.
    • O destinatário exige um assertion criptografado, mas a mensagem de logon único não contém um assertion criptografado.
  • URL de redirecionamento para o status Credencial de usuário (mensagem SSO) não aceita
    (Opcional) Identifica o URL para o qual o
    CA Single Sign-on
    redireciona o usuário em caso de condições de erro diferentes de usuário não encontrado ou mensagem de logon inválida. A asserção é válida, mas o
    CA Single Sign-on
    não aceita a mensagem por alguns motivos, como:
    • Falha na validação da assinatura digital de XML
    • Falha na operação de descriptografia de XML
    • Falha na validação de XML de condições, como uma mensagem expirada ou uma incompatibilidade de público.
    • Nenhum dos assertions na mensagem de SSO contém uma instrução de autenticação.
  • Modo
    Especifica o método por meio do qual o
    CA Single Sign-on
    redireciona o usuário para o URL de redirecionamento. Estas opções são:
  • 302 Sem dados (padrão)
    Redireciona o usuário por meio de um redirecionamento HTTP 302 com um cookie de sessão, mas sem outros dados.
  • HTTP Post
    Redireciona o usuário usando o protocolo HTTP Post.
Configuração da página de destino
Essa seção da caixa de diálogo permite que você especifique o URL do recurso de destino no site do destinatário. Se existir um parâmetro de consulta, determine se o
CA Single Sign-on
deve substituir o URL pelo valor do parâmetro de consulta TARGET no URL de resposta da autenticação.
  • URL de destino padrão
    (Opcional) Especifica o URL do recurso de destino que reside no destinatário. Esse destino é um recurso federado protegido que os usuários podem solicitar.
    O destinatário não tem de usar o destino padrão. O link que inicia o logon único pode conter um parâmetro de consulta que especifica o destino.
  • O DESTINO do parâmetro da consulta substitui o URL de destino padrão
    (Opcional) Substitui o valor especificado no campo URL de destino padrão pelo valor do parâmetro de consulta TARGET na resposta. Usando o parâmetro de consulta DESTINO, você pode definir o destino dinamicamente. É possível alterar o destino com cada resposta de autenticação. A flexibilidade do parâmetro de consulta TARGET proporciona mais controle sobre o destino. Em uma comparação, o valor de URL de destino padrão é um valor estático.
    Essa caixa de seleção é selecionada por padrão.