Caixa de diálogo Esquemas de autenticação
2
casso128figsbrbr
HID_authentication-scheme
2
Os esquemas de autenticação determinam as credenciais e o método exigidos pelo servidor de políticas para estabelecer a identidade de um usuário.
O conteúdo da caixa de diálogo Esquema de autenticação é alterado quando você seleciona um esquema na lista suspensa Tipo de esquema de autenticação. A área abaixo da seção Configuração comum do esquema contém duas seções para cada tipo de esquema:
- Configuração do esquemaInclui campos para as informações que você deve fornecer para o esquema funcionar corretamente.
- AvançadoContém um ou mais campos somente leitura que exibem informações que oCA Single Sign-onusa para resolver a autenticação. O caixa de diálogo Avançado também contém uma caixa de seleção que indica se um esquema de autenticação pode ser usado para autenticar um administrador. Depois de configurar um esquema, você pode atribuí-lo a realms usando a caixa de diálogo Realms.
Observação:
apenas os esquemas que exigem um nome de usuário e uma senha podem ser usados para autenticar um administrador.Configurações do esquema de autenticação
O conteúdo da caixa de diálogo Esquema de autenticação é alterado de acordo com o tipo de esquema que você escolher para configurar. Entretanto, os seguintes campos e controles são comuns a todos os esquemas de autenticação:
- NomeNome do esquema de autenticação.
- Descrição(Opcional) Breve descrição do esquema de autenticação.
Caixa de grupo Configuração comum do esquema
- Estilo do tipo de autenticaçãoLista os modelos de esquema de autenticação.A lista contém todos os modelos de esquema de autenticação predefinidos para utilização com as bibliotecas de autenticação do servidor de políticas.
- Nível de proteçãoDefine um nível de 1 a 1000.Os níveis de proteção fornecem uma medida adicional de flexibilidade no controle de acesso.Observação:os esquemas de autenticação possuem um nível de proteção padrão que você talvez precise alterar. Certifique-se de anotar os níveis de proteção ao definir seus esquemas e atribuí-los aos realms. Use esquemas com níveis de proteção altos para os recursos críticos e esquemas com níveis de proteção baixos para os recursos comumente acessados.
- Diretivas de senha ativadas para este esquema de autenticação(Opcional) Marque essa caixa de seleção para ativar as diretivas de senha.Observação:nem todos os esquemas de autenticação oferecem suporte a diretivas de senha.
- Permitir substituição de proteção(Opcional) Marque essa caixa de seleção para usar o nível de proteção especificado na biblioteca de autenticação, em vez de usar o especificado na interface administrativa.Observaçãoessa opção aplica-se apenas ao esquema de autenticação personalizado.
Caixa de diálogo Esquema de autenticação -- Modelo de cadeia de autenticação
Cadeia de autenticação é um tipo de esquema de autenticação que permite ao administrador configurar diferentes módulos de autenticação para que se comportem como uma única autoridade que valida as credenciais fornecidas para autenticar um usuário.
Caixa de grupo Instância do esquema de autenticação
Na caixa de grupo Instância do esquema de autenticação para a Cadeia de autenticação, é possível configurar o fallback do IWA para esquemas de autenticação com base em formulário usando a Cadeia de autenticação.
- NomeEspecifica o nome totalmente qualificado da cadeia de autenticação.
- DescriçãoEspecifica a descrição da cadeia de autenticação.
- Esquema de autenticação padrãoEspecifica o tipo de esquema de autenticação, o esquema de autenticação principal.
- Esquema de autenticação fallbackEspecifica o tipo de esquema de autenticação, o esquema de autenticação de fallback.
- Instância do esquema de autenticaçãoEspecifica a instância do esquema de autenticação a ser selecionada como o esquema de autenticação principal ou o esquema de autenticação fallback.
- ExpressãoExibe a Expressão da cadeia de autenticação selecionada obtida usando o Modelo de cadeia de autenticação.
Caixa de diálogo Esquema de autenticação — Modelo básico
Ao instalar o servidor de políticas, um esquema de autenticação básico é criado automaticamente. É possível criar instâncias adicionais de esquemas de autenticação básicos com diferentes níveis de proteção.
Caixa de grupo Configuração do esquema
A caixa de grupo Configuração do esquema de um esquema básico fica em branco. Não é necessário configurar nada, exceto as informações na caixa de grupo Configuração comum do esquema.
Caixa de grupo Avançado
- BibliotecaEsse campo exibe a biblioteca que o servidor de políticas usa para resolver a autenticação básica.
- Ativar este esquema para administradores doCA Single Sign-onEssa caixa de seleção é ativada e não pode ser modificada. Básico é o esquema de autenticação padrão para um administrador.
Caixa de diálogo Esquema de autenticação — Modelo de credenciais básicas sobre SSL
O esquema de autenticação de credenciais básicas sobre SSL coleta as credenciais de nome de usuário e senha de um usuário por meio de uma conexão SSL.
Caixa de grupo Configuração do esquema
Na caixa de grupo Configuração do esquema da autenticação de credenciais básicas sobre SSL, você deve inserir as informações de servidor e de destino para seu esquema de credenciais básicas sobre SSL.
- Nome do servidorEspecifica o nome de domínio totalmente qualificado do servidor SSL.Observação:não há suporte para endereços IP.Esse é o servidor web responsável por estabelecer uma conexão SSL. Embora seja possível, esse normalmente não é o mesmo servidor em que o agente web é instalado.O servidor atua como o início do URL que o servidor de políticas usa para redirecionar as credenciais de um usuário por meio de uma conexão SSL.Os nomes de domínio devem conter ao menos dois pontos finais. O servidor deve ser inserido no seguinte formato:nomedoservidor.nomedodominio.comExemplo:server1.security.com.
- PortaEspecifica a porta na qual o servidor SSL está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
- DestinoEspecifica o caminho e o nome do SCC (SSL Credentials Collector - Coletor de Credenciais do SSL).O destino informa ao agente web doCA Single Sign-ono que deve ser usado para invocar o SCC. Ele completa o URL que o servidor de políticas usa para redirecionar as credenciais do usuário por meio de uma conexão SSL. O destino pode ser personalizado em casos em que os servidores proxy exigirem URLs específicos a fim de oferecer suporte à autenticação de credenciais básicas sobre SSL.O valor padrão do campo Destino é:/siteminder/nocert/smgetcred.scc
Caixa de grupo Avançado
A caixa de grupo Avançado da caixa de diálogo Esquema de autenticação de um esquema de credenciais básicas sobre SSL contém o seguinte:
- BibliotecaContém o nome da biblioteca usada para processar o esquema de autenticação.O valor da biblioteca de autenticação padrão é smauthcert. Esse campo contém o nome da biblioteca de que o servidor de políticas necessita para processar a autenticação de credenciais básicas sobre SSL.Observação:geralmente, não é necessário editar esse campo.
- ParâmetroExibe a sequência de caracteres criada a partir de suas entradas na caixa de grupo Configuração do esquema e que será processada pela biblioteca de autenticação inserida por você no campo Biblioteca de autenticação. O parâmetro consiste nos valores de Servidor e Destino inseridos por você, com a adição da sequência de caracteres ?basic, que indica o uso da autenticação básica de nome de usuário e senha.
- Ativar este esquema para administradores doCA Single Sign-onEssa caixa de seleção está desativada. Credenciais básicas sobre SSL não pode ser usado para autenticar um administrador do servidor de políticas. O servidor de políticas se comunica diretamente com um diretório de usuários ou com o repositório de diretivas para autenticar um administrador e, por isso, a comunicação SSL não é aplicável.
Caixa de diálogo Esquema de autenticação — Modelo de formulário HTML
Os esquemas de autenticação de formulários HTML fornecem um método de autenticação com base nas credenciais coletadas em um formulário HTML personalizado.
Caixa de grupo Configuração do esquema
Na caixa de grupo Configuração do esquema, você pode inserir o servidor, o destino e a lista de atributos para o esquema de autenticação de formulários HTML.
- Nome do servidor webEspecifica o nome de domínio totalmente qualificado do servidor web em que o FCC foi instalado.Observação:não há suporte para endereços IP.O servidor não precisa ser o mesmo servidor no qual o agente está instalado. Os nomes de domínio devem conter ao menos dois pontos finais. O servidor deve ser inserido no seguinte formato:Exemplo:server1.security.com.Esse campo diferencia letras maiúsculas e minúsculas.Observação:se a rede incluir vários domínios de cookies, você deverá configurar um esquema de autenticação de formulários HTML separado em cada domínio no qual desejar implementar a autenticação de formulários HTML.
- PortaEspecifica a porta na qual o servidor web está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
- Usar conexão SSLSelecione essa opção para usar uma conexão SSL para processar a autenticação de formulários HTML.
- DestinoEspecifica o caminho e o arquivo .fcc usados pelo esquema.O caminho padrão aponta para um diretório virtual no servidor web especificado no campo Nome do servidor que foi criado durante a instalação. O destino padrão especifica o arquivo login.fcc, que é um arquivo de amostra que pode ser personalizado.
- Permitir que este esquema salve credenciaisSelecione essa opção para permitir que as credenciais do usuário sejam salvas.Você pode usar o par nome/valor smsavecreds especial em seuarquivo .fcc para permitir que um usuário salve suas credenciais de logon. Se você marcar essa caixa de seleção e o arquivo .fcc tiver uma entrada apropriada (como uma caixa de seleção no formulário HTML), os usuários poderão escolher salvar suas credenciais de logon, de forma que elas possam ser usadas automaticamente na próxima vez que eles efetuarem logon no site.Quando um usuário opta por ter as credenciais salvas, o servidor de políticas instrui o agente web para criar um cookie persistente com as credenciais do usuário. O cookie permanecerá em vigor durante o tempo especificado no parâmetro de configuração SaveCredsTimeout do agente. O padrão é 30 dias. O cookie permite que os agentes web autentiquem um usuário com base nas credenciais salvas no cookie, em vez de solicitar que o usuário faça a autenticação.
- Oferecer suporte a clientes que não são de navegadorSelecione essa opção para autenticar usuários por meio de clientes HTTP que não são de navegador. Esses clientes podem ser desenvolvidos usando scripts Perl, C++ e programas Java que se comunicam usando o protocolo HTTP.Os clientes personalizados devem enviar as credenciais básicas com a solicitação inicial por meio de um cabeçalho de autorização HTTP. Caso contrário, oCA Single Sign-onnão autenticará os usuários. Se as credenciais não forem enviadas por meio de um cabeçalho de autorização HTTP, oCA Single Sign-onredirecionará para o esquema de formulário HTML sem suporte a clientes sem navegador.
- Lista de atributos adicionais(Opcional) Especifica os atributos, que não são o nome do usuário, que serão coletados do usuário. Ao listar os atributos, comece com AL= e use vírgulas para separar os nomes de atributos do usuário.Exemplo:AL=PASSWORD,SSN,age,zipcodeO AL= é uma notação doCA Single Sign-onque indica a lista de atributos que devem ser considerados. Por padrão, a lista de atributos é considerada uma consulta de estilo AND. O servidor de políticas compara todos os valores de atributo coletados do usuário com os valores de atributos correspondentes no diretório do usuário. Se todos os valores de atributo corresponderem exatamente, o usuário será autenticado com êxito.Observação:é possível autenticar usuários com atributos que contenham vários valores. Para especificar que um atributo possui vários valores, prefixe o nome do atributo com um acento circunflexo (^).Exemplo:se estiver usando um atributo "mail" com vários valores para autenticar usuários, você deve especificar "AL=^mail" para indicar que "mail" possui vários valores. Um usuário pode fornecer um dos valores válidos para realizar a autenticação com êxito.Limite:os valores de um atributo com vários valores não devem conter um símbolo de acento circunflexo (^). Um valor que contém esse símbolo introduz a possibilidade de os usuários serem incorretamente autenticados. Por exemplo, se um valor for 123^456, um usuário poderá se autenticar com 123 e 456, além de 123^456.Para que oCA Single Sign-oncolete atributos adicionais, o arquivo .fcc, usado peloCA Single Sign-onpara gerar um formulário para a autenticação de formulários HTML, deve ser modificado a fim de incluir esses atributos.Ao usar os atributos adicionais em um esquema de formulários HTML, considere o seguinte:
- O valor da senha fornecido pelo formulário é limitado a 255 caracteres. Essa limitação significa que a lista de elementos AttributeName=URLEncodedAttributeValue delimitada por E comercial (&) deve ter menos de 255 caracteres.
- O atributo PASSWORD deve sempre ser especificado no formulário criado a partir do arquivo .fcc.
- Os atributos são usados apenas para corresponder os valores de atributos associados com o usuário que foi localizado em um diretório por nome do usuário.
- Os nomes de atributo diferenciam maiúsculas de minúsculas. Eles devem corresponder exatamente os nomes de atributo implementados pelo diretório e os nomes de atributo especificados no esquema de autenticação.
Observação:se tiver instalado o kit de desenvolvimento de software, você poderá usar a API de autenticação doCA Single Sign-onpara definir outras notações.
Caixa de grupo Avançado
- BibliotecaContém o nome da biblioteca compartilhada que processa a autenticação de formulários HTML. Não altere esse valor, a menos que você tenha um esquema de autenticação personalizado, gravado usando a API de autenticação doCA Single Sign-on.A biblioteca compartilhada padrão para a autenticação de formulários HTML é smauthhtml.
- ParâmetroExibe o servidor e o destino que você inseriu na caixa de grupo Configuração do esquema. Também exibe quaisquer atributos adicionais que você inseriu para o esquema de autenticação. O servidor e o destino compõem o local do arquivo .fcc no servidor web.
- Ativar este esquema para administradores doCA Single Sign-onEssa caixa de seleção está desativada. A autenticação de formulários HTML não pode ser usada para autenticar um administrador do servidor de políticas.
Caixa de diálogo Esquema de autenticação — Modelo do Windows
A IWA (Integrated Windows Authentication - Autenticação Integrada do Windows) é um mecanismo proprietário desenvolvido pela Microsoft para validar usuários em ambientes puramente Windows. A IWA impõe o logon único permitindo que o Windows obtenha as credenciais do usuário durante o processo inicial de logon interativo na área de trabalho e, subsequentemente, transmitindo essas informações para a camada de segurança. O
CA Single Sign-on
, usando o esquema de autenticação do Windows, protege os recursos processando as credenciais do usuário obtidas pela infraestrutura de Autenticação Integrada do Windows.As versões anteriores do
CA Single Sign-on
ofereciam suporte à autenticação do Windows por meio do esquema de autenticação NTLM. No entanto, esse suporte era limitado a ambientes com domínios do NT ou nos quais o serviço Active Directory estivesse configurado para oferecer suporte a domínios do NT herdados no modo misto.O esquema de autenticação do Windows permite que o
CA Single Sign-on
forneça controle de acesso em implantações com Active Directories em execução no modo nativo, bem como Active Directories configurados para oferecerem suporte à autenticação NTLM. O esquema de autenticação do Windows substitui o esquema de autenticação NTLM anterior do CA Single Sign-on
. Os esquemas de autenticação NTLM existentes continuam com suporte e podem ser configurados usando o novo esquema de autenticação do Windows.Caixa de grupo Configuração do esquema
Na caixa de grupo Configuração do esquema de um esquema de autenticação do Windows, você pode especificar um servidor e um destino para o esquema.
- Este esquema oferece suporteSelecione Active Directory/LDAP ou WinNT.A sua seleção depende do local em que os dados do usuário estão armazenados e do espaço para nome que você selecionou ao configurar a conexão do diretório de usuários na interface administrativa. Se você selecionar Active Directory/LDAP, os dados do usuário deverão ser armazenados em um diretório configurado por meio de um espaço para nome AD ou LDAP. Se você selecionar WinNT, os dados do usuário deverão ser armazenados em um diretório configurado por meio de um espaço para nome WinNT.
- Usar o destino relativoMarque essa caixa de seleção se desejar especificar um nome de caminho relativo para o destino ou o recurso protegido pelo esquema de autenticação do Windows. Quando essa caixa de seleção está marcada, o campo Nome do servidor fica esmaecido.
- Nome do servidorEspecifica o nome de domínio totalmente qualificado do servidor web do IIS que contém o diretório virtual para o qual você deseja redirecionar para a autenticação do Windows.Observação:não há suporte para endereços IP.O servidor especificado nesse campo é o local para o qual oCA Single Sign-onredireciona a fim de resolver a autenticação com base no nome de usuário e senha de logon atuais Windows.
- PortaEspecifica a porta na qual o servidor web do IIS está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
- Usar conexão SSLSelecione essa opção para usar uma conexão SSL para processar a autenticação do Windows.
- DestinoEspecifica o nome do diretório virtual e do arquivo .ntc usados peloCA Single Sign-onpara invocar o esquema de autenticação.O campo Destino deve apontar para um arquivo .ntc que os agentes doCA Single Sign-oninterpretam a fim de autenticarem os usuários com base em seus nomes de usuário e suas senhas de logon atuais. O servidor de políticas usa o seguinte valor por padrão:/siteminderagent/ntlm/creds.ntc
- Pesquisa de DN de usuárioSe tiver selecionado o botão de opção Active Directory/LDAP, você deverá especificar uma sequência de caracteres de pesquisa para o DN de usuário nesse campo.
Formatos de pesquisa de DN de usuário para esquemas de autenticação do Windows
O campo Pesquisa de DN de usuário de um esquema de autenticação do Windows para os espaços para nome Active Directory ou LDAP deve conter uma sequência de caracteres em um dos seguintes formatos:
- Pesquisa do AD/LDAPA sintaxe de Pesquisa de DN de usuário está na forma de um nome distinto totalmente qualificado. Considere um usuário chamado João Silva com os seguintes atributos no Active Directory:cn: jsmithdistinguishedName: CN=jsmith,CN=Users,DC=MYCOMPANY,DC=comsAMAccountName: jsmithAs credenciais do usuário transmitidas pelo navegador web terão o nome de usuário no formato:MYCOMPANY\jsmithPara mapear esse nome de usuário para um filtro de pesquisa do LDAP, o esquema de autenticação do Windows será configurado com o seguinte filtro de DN de usuário:CN=%{UID},CN=Users,DC=%{DOMAIN},DC=comO esquema de autenticação substituirá %{UID} e %{DOMAIN} pelos valores respectivos para formar o filtro de pesquisa processado.
- Pesquisa do AD/LDAPNesse cenário, o domínio do Siteminder possui diretórios de usuário adicionais associados a ele. Um é o Active Directory associado ao controlador de domínio primário e os diretórios de usuário adicionais podem ser diretórios de usuário do LDAP ou do AD. Isso pode ocorrer quando um realm estiver usando a autenticação básica e a outro realm estiver usando a autenticação do Windows. Considere o mesmo usuário, como no caso de uso anterior:cn: jsmithdistinguishedName: CN=jsmith,CN=Users,DC=MYCOMPANY,DC=comsAMAccountName: jsmithAlém disso, existe outro usuário no diretório de usuários secundário com os seguintes atributos:cn: jsmithdistinguishedName: CN=jsmith,CN=Users,DC=NOTMYCOMPANY,DC=comsAMAccountName: jsmithO filtro de DN de usuário do esquema de autenticação do Windows pode ser o seguinte:(sAMAccountName=%{UID})OCA Single Sign-onfaz a autenticação com o DN que satisfaz os critérios de pesquisa com base na ordem de pesquisa de diretório. O valor de nome de domínio nesse caso é ignorado.
Além desses formatos, é possível usar qualquer combinação de variáveis UID e DOMAIN, sem nenhum suporte a nomes de atributo. Se usar esse formato para Pesquisa de DN de usuário, o
CA Single Sign-on
considera a configuração fornecida para os valores Início da pesquisa de DN de usuário e Fim da pesquisa de DN de usuário ao criar o filtro de pesquisa. Os valores de início e de término são definidos no objeto do diretório do usuário associado ao Active Directory. Por exemplo:%{UID}%{UID}@{DOMAIN}
Caixa de grupo Avançado
A caixa de grupo Avançado da caixa de diálogo Esquema de autenticação do Windows para um esquema de autenticação do Windows contém o seguinte:
- BibliotecaExibe a biblioteca que o servidor de políticas usa para resolver a autenticação do Windows. A biblioteca padrão é smauthntlm.
- ParâmetroExibe o servidor e o destino que você inseriu na caixa de grupo Configuração do esquema. Também exibe quaisquer atributos adicionais que você inseriu para o esquema de autenticação. O servidor e o destino compõem o local do arquivo .ntc no servidor web.
- Caixa de seleção Ativar este esquema para administradores doCA Single Sign-onDesativada e não pode ser modificada. A autenticação do Windows não pode ser usada como um esquema de autenticação para um administrador.
Lista de IPs aprovados do agente
A caixa de grupo Lista de IPs aprovados do agente da caixa de diálogo Esquema de autenticação para um esquema de autenticação do Windows contém o seguinte:
- Verificação de AgentIPAtiva a validação de IP do agente.
- AdicionarAdiciona um novo endereço IP do agente à lista do esquema de autenticação.
- ExcluirExclui da lista o endereço IP do agente.
Caixa de diálogo Esquema de autenticação — Modelo Kerberos
Kerberos é um protocolo de autenticação de rede de computador, que permite que as pessoas se comuniquem por uma rede não segura para provar sua identidade de modo seguro. O Kerberos usa uma criptografia de chave simétrica e requer um terceiro confiável. As extensões para o Kerberos possibilitam o uso da criptografia de chave pública durante determinadas fases de autenticação.
Esquema de autenticação--Modelo Kerberos--Configuração do esquema
A seção Configuração do esquema de um esquema de autenticação Kerberos inclui os seguintes campos:
- Usar o destino relativoMarque essa caixa de seleção se desejar especificar um nome de caminho relativo para o destino ou o recurso protegido por esse esquema de autenticação Kerberos. Os campos Nome do servidor e Porta ficam esmaecidos. O campo Usar conexão SSL também é esmaecido quando você especifica um destino relativo.
- Nome do servidorEspecifica o nome de domínio totalmente qualificado do servidor web em que as credenciais Kerberos são coletadas. O agente web doCA Single Sign-onimplementa uma página do Coletor Kerberos que solicita um cliente a negociar a autenticação Kerberos. Quando um cliente solicita acesso a uma página protegida por este esquema de autenticação Kerberos, o agente web redireciona o cliente para esse servidor.Observação:não há suporte para endereços IP.
- PortaEspecifica a porta na qual o servidor web está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
- Usar conexão SSLSelecione essa opção para usar uma conexão SSL para processar a autenticação.
- DestinoEspecifica o nome do diretório virtual e do arquivo .kcc usados peloCA Single Sign-onpara invocar o esquema de autenticação.O campo Destino aponta para um arquivo .kcc, que os agentes doCA Single Sign-onusam para autenticar usuários. O servidor de políticas usa o seguinte valor por padrão:/siteminderagent/Kerberos/creds.kcc
- Nome principalEspecifica um Kerberos principal criado no KDC (por exemplo, o Active Directory) para uso pelo servidor de políticas. O formato do nome é service/hostname@realm, por exemplo, smps/smps.example.com/@EXAMPLE.COM.Observação: esse valor é diferente de SmpsPrincipalName especificado no objeto de configuração do agente web.
- Pesquisa de DN de usuárioEspecifica uma sequência de caracteres de pesquisa para o usuário. Essa sequência de caracteres consiste em uma combinação de variáveis UID, DOMAIN e REALM. Esse campo oferece suporte a uma variedade de formatos, tais como:
- %{UID}
- %{UID}@%{DOMAIN}
- (cn=%{UID}) – parênteses necessários
- (cn=%{DOMAIN}:%{UID}) – parênteses necessários
Esquema de autenticação--Realm do Kerberos para mapeamentos de domínio do Windows
Esta seção contém linhas nas quais é possível mapear um nome de domínio do Kerberos para um ou mais domínios do Windows configurados. Esse mapeamento é semelhante àquele do arquivo de configuração do Kerberos (krb5.ini).
Observação
quando você especificar a variável DOMÍNIO no campo Pesquisa de DN do usuário, esse mapeamento será necessário, mesmo quando os nomes do realm e do domínio forem os mesmos.As caixas de texto à esquerda são destinadas aos nomes de realm do Kerberos, e as caixas de texto à direita contêm uma lista separada por vírgulas de nomes de domínio para esse nome de realm. Por exemplo:
Nome do realm
Nome do domínio
EXEMPLO.COM EXEMPLO
Esquema de autenticação--Modelo Kerberos--Avançado
A seção Avançado da caixa de diálogo Esquema de autenticação para um esquema de autenticação Kerberos contém os seguintes campos:
- BibliotecaExibe a biblioteca que o servidor de políticas usa para resolver a autenticação Kerberos. A biblioteca padrão é smauthkerberos.
- ParâmetroExibe Servidor, Destino e Pesquisa de DN do usuário que você digitou na seção Configuração do esquema.
- Caixa de seleção Ativar este esquema para administradores doCA Single Sign-onNão é possível selecionar este campo para um esquema de autenticação Kerberos.
Caixa de diálogo Esquema de autenticação — Modelo de OpenID
O esquema de autenticação via OpenID permite autenticar usuários com um provedor de OpenID.
Configuração do esquema
A seção Configuração do esquema permite especificar as informações necessárias para implementar o esquema de autenticação.
Observação:
se a sua rede incluir vários domínios de cookies e cada domínio de cookies exigir o esquema de autenticação, configure um objeto de esquema de autenticação separado em cada objeto de domínio de cookies.- Usar o destino relativoSelecione essa opção para especificar que o FCC do OpenID está instalado no servidor web do qual a solicitação do agente foi originada.
- Nome do servidor webEspecifica o nome de domínio totalmente qualificado do servidor web em que o FCC do OpenID está instalado. O servidor web não precisa estar no mesmo servidor web em que um agente está instalado.Limites:
- Não há suporte para endereços IP.
- O nome diferencia maiúsculas e minúsculas.
- PortaEspecifica a porta na qual o servidor web está escutando. Um valor é necessário apenas para a comunicação por uma porta que não seja padrão.
- Usar conexão SSLSelecione essa opção para usar uma conexão SSL para processar solicitações de autenticação.
- DestinoEspecifica o local do arquivo FCC do OpenID.O caminho padrão aponta para um diretório virtual no servidor web que foi criado durante a instalação do agente. O destino padrão especifica o FCC do OpenID incluído na instalação do agente.Local padrão:agent_home\samples\forms\openid.fcc
- Arquivo de configuração de provedoresEspecifica o local do arquivo de configuração de provedores do OpenID. O arquivo lista os detalhes da configuração dos provedores em que oCA Single Sign-onconfia. Um arquivo padrão é incluído na instalação do servidor de políticas.Local padrão:siteminder_home\config\properties\Openidproviders.xml
- Conformidade com ICAMSelecione essa opção para ativar o esquema de autenticação de conformidade com identidades federais, credenciais e gerenciamento de acesso.O arquivo de configuração de provedores do OpenID padrão lista as diretivas de ICAM que se aplicam a provedores confiáveis. O provedor deve atender a todas as diretivas de ICAM listadas, ou o usuário não é autenticado. A marca a seguir identifica as diretivas de ICAM:<Policies>Local padrão:siteminder_home\config\properties\Openidproviders.xml
- Modo anônimoSelecione essa opção para ativar a autenticação anônima.Por padrão, o servidor de políticas usa a resposta da autenticação do provedor do OpenID para determinar o valor da primeira declaração necessária. O servidor de políticas pesquisa todos os diretórios de usuários no domínio da diretiva em busca de um usuário que corresponda ao valor da declaração. Se o servidor de políticas mapear o valor da declaração para um usuário, a autenticação será bem-sucedida.Exemplo:o servidor de políticas determina se o valor da primeira declaração necessária (fullname) é Sample User. O servidor de políticas pesquisa todos os diretórios de usuários no domínio da diretiva em busca de um usuário que corresponda a Sample User.Se a autenticação anônima tiver sido ativada, o servidor de políticas não usará o valor da declaração para autenticar o usuário. Em vez disso, o servidor de políticas pesquisará todos os diretórios de usuários no domínio da diretiva em busca de um usuário que corresponda ao usuário anônimo definido por você.
- Usuário anônimoEspecifica o usuário anônimo que o servidor de políticas deve autenticar. Se o servidor de políticas autenticar um usuário anônimo, ele criará o contexto de autenticação para o usuário anônimo. O servidor de políticas não cria o contexto de autenticação para o usuário real que forneceu as credenciais.Exemplo:o usuário anônimo é configurado com o seguinte valor:DefaultUserO servidor de políticas recebe a resposta da autenticação do provedor do OpenID, mas ignora o valor da primeira declaração obrigatória. Em vez disso, o servidor de políticas pesquisará todos os diretórios de usuários no domínio da diretiva em busca de um usuário que corresponda ao seguinte valor:DefaultUserVerifique se o valor inserido existe em pelo menos um diretório de usuários no domínio da diretiva. Se o usuário anônimo não existir em um diretório de usuários, a autenticação falhará.
- Persistir variáveis da sessão de autenticaçãoEspecifica que as declarações do OpenID devem ser salvas no repositório de sessões como variáveis de sessão. O servidor de políticas tem acesso a essas variáveis para utilização em decisões de autenticação. Por exemplo, você pode incluir as variáveis de contexto de autenticação em respostas ativas ou em expressões de diretivas.As declarações são armazenadas no repositório de sessões no seguinte formato:SMOPENIDCLAIM_CLAIMNAME
- Autenticação do proxySe a sua organização utiliza um host de proxy HTTP para acessar a internet, selecione essa opção. O provedor do OpenID usa as informações de proxy para se comunicar com o servidor de políticas por meio do proxy HTTP.Reinicie o servidor de políticas se as configurações de proxy forem alteradas.
- Cadeia de pós-processamentoEspecifica as ações do servidor de políticas após uma autenticação bem-sucedida.Observaçãose você alterar essa configuração, reinicie o servidor de políticas.Valor:separe várias cadeias com um ponto-e-vírgula.Cadeias válidas:
- com.ca.sm.openid.command.StoreClaimsToContextArmazena a declaração do provedor para o contexto de autenticação de usuário.
- com.ca.sm.openid.command.LogClaimsGrava a declaração do provedor no log de rastreamento doCA Single Sign-on.Se você estiver gravando declarações no log de rastreamento, o seguinte componente do Policy Server Profiler será necessário:JavaAPIOCA Single Sign-onoferece suporte ao código personalizado que é implementado como uma cadeia de pós-processamento.
Caixa de diálogo Esquema de autenticação — Modelo de RADIUS CHAP/PAP
Para poder atribuir um esquema de autenticação RADIUS CHAP/PAP a um realm, você deve configurar o esquema na caixa de diálogo Esquema de autenticação.
Caixa de grupo Configuração do esquema
Nessa caixa de grupo, você pode especificar a senha com texto não criptografado para a autenticação CHAP/PAP.
- Atributo de senha ClearText no diretórioEspecifica o nome de um atributo de diretório de usuários.O conteúdo desse atributo será usado como senha com texto não criptografado para a autenticação.
Caixa de grupo da guia Avançado
A caixa de grupo Avançado de um esquema RADIUS CHAP/PAP contém o seguinte:
- BibliotecaExibe o nome da biblioteca que o servidor de políticas usa para resolver uma autenticação RADIUS CHAP/PAP.
- ParâmetroExibe o nome do atributo que você inseriu na caixa de grupo Configuração do esquema.
- Ativar este esquema para administradores doCA Single Sign-onEssa caixa de seleção fica desativada por padrão para esquemas RADIUS CHA/PAP. Não é possível usar RADIUS CHAP/PAP para autenticar administradores do servidor de políticas.
Caixa de diálogo Esquema de autenticação — Modelo de servidor RADIUS
Para poder atribuir um esquema de autenticação de servidor RADIUS a um realm, você deve configurar o esquema na caixa de diálogo Esquema de autenticação.
O
CA Single Sign-on
oferece suporte ao protocolo RADIUS por meio do uso do servidor de políticas como servidor RADIUS e de um cliente NAS como cliente RADIUS. Os agentes do RADIUS permitem que o servidor de políticas se comunique com dispositivos de cliente NAS. No esquema de autenticação do servidor RADIUS, o servidor de políticas atua como um servidor RADIUS vinculado à rede protegida do CA Single Sign-on
.Esse esquema aceita o nome de usuário e a senha como credenciais. Diversas instâncias desse esquema podem ser definidas. Esse esquema não interpreta os atributos do RADIUS que podem ser retornados pelo servidor RADIUS na resposta da autenticação.
Caixa de grupo Configuração do esquema
Esse é o local em que você digita o endereço IP e a porta do servidor RADIUS, bem como o atributo de segredo necessário para a autenticação pelo servidor RADIUS.
- Endereço IPEspecifica o endereço IP do servidor RADIUS.
- PortaEspecifica o número da porta do servidor RADIUS.A porta é usada para a comunicação com o servidor RADIUS. Se você não especificar um número de porta, o servidor de políticas usará 1645 como a porta UDP padrão.
- Segredo e Confirmar segredoEspecifica a sequência de caracteres de texto a ser usada como segredo.O segredo é o atributo do usuário que será usado pelo servidor RADIUS como a senha com texto não criptografado.
Caixa de grupo Avançado
A caixa de grupo Avançado da caixa de diálogo Esquema de autenticação de um servidor RADIUS contém o seguinte:
- BibliotecaExibe o nome da biblioteca que o servidor de políticas usa para resolver uma autenticação de servidor RADIUS.
- ParâmetroExibe o endereço IP e o número da porta do servidor RADIUS que você inseriu na caixa de grupo Configuração do esquema.
- Ativar este esquema para administradores doCA Single Sign-onEssa caixa de seleção é ativada por padrão para esquemas de servidor RADIUS e indica que o esquema pode ser usado pelo servidor de políticas para autenticar administradores. Essa caixa de seleção não pode ser desativada.
Caixa de diálogo Esquema de autenticação — Modelo do SecurID
Para poder atribuir um esquema de autenticação do SecurID a um realm, você deve configurar o esquema na caixa de diálogo Esquema de autenticação.
Os esquemas de autenticação do RSA Ace/SecureID autenticam os usuários que efetuam logon com credenciais do ACE, o que inclui nomes de usuário, PINs e TOKENCODEs. Os nomes de usuário e as senhas do ACE residem no repositório de usuários do ACE/Server e podem ser alterados pelo administrador do ACE/Server. TOKENCODEs de uso único são gerados por tokens SecureID.
Caixa de grupo Configuração do esquema
Esse é o local em que você pode especificar o atributo no diretório de usuários de autenticação que contém a ID de usuário do ACE Server para o usuário.
- Nome do atributo de ID de usuário do ACE no diretórioEspecifica um nome de atributo.Se os DNs (Distinguished Names - Nomes Distintos) do usuário forem diferentes das IDs de usuário do ACE Server, insira o nome do atributo no diretório do usuário que contém a ID de usuário no ACE Server. Por exemplo, se a ID de usuário do ACE for jsmith e seu DN em um diretório LDAP for cn=Jane Smith, ou=sales, o=security.com, os atributos de perfil de usuário poderão ser usados para o mapeamento de volta à ID de usuário do ACE. Por exemplo, você pode criar um novo atributo chamado "aceid" ou usar um atributo existente que não esteja em uso. O servidor de políticas recuperará o valor desse atributo e o usará como a ID de usuário do ACE.
Caixa de grupo Avançado
A caixa de grupo Avançado de um esquema do SecurID contém o seguinte:
- BibliotecaExibe o nome da biblioteca que o servidor de políticas usa para resolver uma autenticação do SecurID.
- ParâmetroExibe o nome do atributo que você inseriu na caixa de grupo Configuração do esquema.
- Ativar este esquema para administradores doCA Single Sign-onEssa caixa de seleção é ativada por padrão para esquemas do SecurID e indica que o esquema do SecurID pode ser usado pelo servidor de políticas para autenticar administradores. Essa caixa de seleção não pode ser desativada.
Caixa de diálogo Esquema de autenticação — Modelo de formulário HTML do SecurID
Você pode configurar a autenticação de formulários HTML do SecurID usando o modelo de formulários HTML do SecurID na caixa de diálogo Esquema de autenticação.
Os esquemas de autenticação do RSA Ace/SecureID autenticam os usuários que efetuam logon com credenciais do ACE, o que inclui nomes de usuário, PINs e TOKENCODEs. Os nomes de usuário e as senhas do ACE residem no repositório de usuários do ACE/Server e podem ser alterados pelo administrador do ACE/Server. TOKENCODEs de uso único são gerados por tokens SecureID.
Caixa de grupo Configuração do esquema
A caixa de grupo Configuração do esquema da autenticação de formulários HTML do SecurID contém o seguinte:
- Nome do servidor webEspecifica o nome de domínio totalmente qualificado do servidor web em que o FCC foi instalado.Observação:não há suporte para endereços IP.O servidor não precisa ser o mesmo servidor no qual o agente está instalado. Os nomes de domínio devem conter ao menos dois pontos finais. O servidor deve ser inserido usando a seguinte sintaxe:nomedoservidor.nomedodominio.comExemplo:server1.security.com.Observação:se a rede incluir vários domínios de cookies, você deverá configurar um esquema de autenticação de formulários HTML separado em cada domínio de cookies no qual desejar implementar a autenticação de formulários HTML.
- PortaEspecifica a porta na qual o servidor web está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
- Usar conexão SSLMarque essa caixa de seleção se desejar que oCA Single Sign-onuse uma conexão SSL para processar a autenticação de formulários HTML.
- DestinoEspecifica o caminho que oCA Single Sign-onusa para processar a autenticação de SecurID com suporte a formulários HTML.Padrão: /siteminderagent/forms/smaceauthcached.fccVocê pode usar /siteminderagent/forms/smpwservices.fcc como valor de destino alternativo para reverter para o comportamento da versão anterior. Esse valor de destino supõe que o agente web que está recebendo a solicitação processa os serviços de senha. Se os modelos de serviços de senha residirem em outro agente web, o caminho completo para o URL de destino será necessário.
- Nome do atributo de ID de usuário do ACE no diretórioEspecifica o atributo que contém as IDs do ACE.Se os DNs (Distinguished Names - Nomes Distintos) do usuário forem diferentes das IDs de usuário do ACE Server, insira o nome do atributo no diretório do usuário que contém a ID de usuário no ACE Server. Por exemplo, se a ID de usuário do ACE for jsmith e o DN em um diretório LDAP for cn=Jane Smith, ou=sales, o=security.com, você poderá mapear os atributos de perfil de usuário de volta para a ID de usuário do ACE. Nesse exemplo, você pode criar um atributo chamado aceid ou usar um atributo existente que não está sendo utilizado. O servidor de políticas recuperará o valor desse atributo e o usará como a ID de usuário do ACE.
Caixa de grupo Avançado
A caixa de grupo Avançado de um esquema de autenticação de formulários HTML do SecureID contém o seguinte:
- BibliotecaExibe o nome da biblioteca compartilhada que processa a autenticação do SecurID e de formulários HTML.
- ParâmetroExibe o servidor e o destino que você inseriu na caixa de grupo Configuração do esquema.
- Ativar este esquema para administradores doCA Single Sign-onEssa caixa de seleção está desativada. A autenticação do SecurID e de formulários HTML não pode ser usada para autenticar um administrador do servidor de políticas.
Caixa de diálogo Esquema de autenticação — Modelo de certificado de cliente X509
Para que o
CA Single Sign-on
possa autenticar usuários com base em certificados de cliente X.509, você deve configurar um esquema de autenticação na interface administrativa, bem como um mapeamento de certificado para o esquema de autenticação.Caixa de grupo Configuração do esquema
Na caixa de grupo Configuração do esquema para a autenticação de certificado de cliente X.509, você deve inserir as informações de servidor e de destino.
Observação:
os usuários que tentarem acessar um recurso em um realm protegido deverão ter um certificado de cliente X.509 válido para que o CA Single Sign-on
possa verificar usando um certificado de servidor. Além disso, o usuário é solicitado a fornecer um nome de usuário e uma senha que são verificados em um diretório de usuários no domínio da diretiva.- Nome do servidorEspecifica o nome de domínio totalmente qualificado do servidor SSL.Observação:não há suporte para endereços IP.Esse servidor é responsável por estabelecer uma conexão SSL. Normalmente, esse não é o servidor em que o agente web é instalado.O servidor atua como o início do URL que oCA Single Sign-onusa para direcionar um certificado X.509 por uma conexão SSL.Os nomes de domínio devem conter pelo menos dois pontos finais. Insira o nome do servidor usando o seguinte formato:servername.host.comExemplo:server1.security.com
- PortaEspecifica a porta na qual o servidor SSL está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
- DestinoEspecifica o caminho e o nome do SCC (SSL Credentials Collector - Coletor de Credenciais do SSL).O destino informa ao agente web o que deve ser usado para invocar o SCC. Essa informação completa o URL que oCA Single Sign-onusa para direcionar as credenciais de usuário por uma conexão SSL. O destino pode ser personalizado em casos em que os servidores proxy exigirem URLs específicos a fim de oferecer suporte à autenticação de credenciais básicas sobre SSL.A interface administrativa fornece um caminho padrão quando você seleciona o esquema de autenticação de certificado de cliente X.509.
- Persistir variáveis da sessão de autenticação(Opcional) Especifica se os dados de contexto de autenticação devem ser salvos no repositório de sessões como variáveis de sessão. O servidor de políticas tem acesso a essas variáveis para utilização em decisões de autenticação.Importante:dados de autenticação persistentes no repositório de sessões criam uma degradação no momento da autenticação. Selecione essa opção somente quando você realmente deseja usar as variáveis posteriormente para tomar decisões de autenticação. Caso contrário, pode haver um grande impacto no desempenho sem nenhum benefício.
Caixa de grupo Avançado
A caixa de grupo Avançado de um esquema de certificado de cliente X.509 contém o seguinte:
- BibliotecaExibe o nome da biblioteca do servidor de políticas usada para processar o esquema de autenticação.O valor da biblioteca de autenticação padrão é smauthcert. Esse campo contém o nome da biblioteca que o servidor de políticas precisa para redirecionar as credenciais de usuário por uma conexão SSL e para verificar o certificado do cliente.Observação:geralmente, não é necessário editar esse campo.
- ParâmetroExibe a sequência de caracteres criada a partir de suas entradas na caixa de grupo Configuração do esquema. Esse parâmetro é a sequência de caracteres processada pelo servidor de políticas usando a biblioteca de autenticação especificada na caixa de grupo Configuração do esquema. O parâmetro consiste no valor de Servidor e de Destino da caixa de grupo Configuração do esquema, com a adição da sequência de caracteres ?cert, que indica o uso da autenticação de certificado de cliente.
- Ativar este esquema para administradores doCA Single Sign-onEssa caixa de seleção fica desativada por padrão para esquemas de certificado de cliente X.509. Não é possível usar esse esquema para autenticar administradores do servidor de políticas.
Observação:
você deve configurar o mapeamento de certificados para esse esquema de autenticação. O mapeamento de certificados vincula informações do certificado com a entrada de um usuário em um diretório.Lista de IPs aprovados do agente
A caixa de grupo Lista de IPs aprovados do agente da caixa de diálogo Esquema de autenticação para um esquema de autenticação do Windows contém o seguinte:
- Verificação de AgentIPAtiva a validação de IP do agente.
- AdicionarAdiciona um novo endereço IP do agente à lista do esquema de autenticação.
- ExcluirExclui da lista o endereço IP do agente.
Caixa de diálogo Esquema de autenticação — Modelo básico e de certificado de cliente X509
Para que o
CA Single Sign-on
possa autenticar usuários com base em certificados de cliente X.509, você deve configurar um esquema de autenticação na interface administrativa, bem como um mapeamento de certificado para o esquema de autenticação.Caixa de grupo Configuração do esquema
Na caixa de grupo Configuração do esquema, você pode inserir informações para o servidor e o destino de seu esquema de autenticação de formulários HTML e de certificado de cliente X.509.
Observação:
os usuários que tentarem acessar um recurso em um realm protegido deverão ter um certificado de cliente X.509 válido para que o CA Single Sign-on
possa verificar usando um certificado de servidor. Além disso, o usuário é solicitado a fornecer um nome de usuário e uma senha que são verificados em um diretório de usuários no domínio da diretiva.- Nome do servidor webEspecifica o nome de domínio totalmente qualificado do servidor SSL.Observação:não há suporte para endereços IP.Esse servidor é responsável por estabelecer uma conexão SSL. Normalmente, esse não é o servidor em que o agente web é instalado.O servidor atua como o início do URL que oCA Single Sign-onusa para direcionar um certificado X.509 por uma conexão SSL.Os nomes de domínio devem conter pelo menos dois pontos finais. Insira o nome do servidor usando o seguinte formato:servername.host.comExemplo:server1.security.com
- PortaEspecifica a porta na qual o servidor SSL está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
- DestinoEspecifica o caminho e o nome do arquivo scc.O caminho padrão aponta para um diretório virtual no servidor web definido no campo Nome do servidor, especificado durante a instalação do agente doCA Single Sign-on. O destino padrão especifica o arquivo smgetcred.scc, que é um arquivo de amostra que pode ser personalizado.
- Permitir que este esquema salve credenciaisMarque essa caixa de seleção para permitir que navegadores do usuário salvem credenciais de nome do usuário e senha.
- Lista de atributos adicionais(Opcional) Especifica atributos de usuário diferentes do nome de usuário. Ao listar os atributos, comece com AL= e use vírgulas para separar os nomes de atributos do usuário.Exemplo:AL=PASSWORD,SSN,age,zipcodeAL= é uma notação doCA Single Sign-onque indica a lista de atributos. Por padrão, a lista de atributos é considerada uma consulta de estilo AND. O servidor de políticas compara todos os valores de atributo coletados do usuário com os valores de atributos correspondentes no diretório do usuário. Se todos os valores de atributo corresponderem exatamente, o usuário será autenticado com êxito.Observação:é possível autenticar usuários com atributos que contenham vários valores. Para especificar que um atributo possui vários valores, prefixe o nome do atributo com um acento circunflexo (^).
Exemplo:
especifique "AL=^mail" para indicar que "mail" possui vários valores. Um usuário pode fornecer um dos valores válidos para realizar a autenticação.Limite:
os valores de um atributo com vários valores não podem conter um símbolo de acento circunflexo (^). Um valor que contém esse símbolo introduz a possibilidade de os usuários serem incorretamente autenticados. Por exemplo, se um valor for 123^456, um usuário poderá se autenticar com 123 e 456, além de 123^456.Para que o
CA Single Sign-on
colete atributos adicionais, o arquivo .fcc usado para gerar um formulário para a autenticação de formulários HTML deve ser modificado a fim de incluir esses atributos.- Persistir variáveis da sessão de autenticação(Opcional) Especifica se os dados de contexto de autenticação devem ser salvos no repositório de sessões como variáveis de sessão. O servidor de políticas tem acesso a essas variáveis para utilização em decisões de autenticação.Importante:dados de autenticação persistentes no repositório de sessões criam uma degradação no momento da autenticação. Selecione essa opção somente quando você realmente deseja usar as variáveis posteriormente para tomar decisões de autenticação. Caso contrário, pode haver um grande impacto no desempenho sem nenhum benefício.
Caixa de grupo Avançado
A caixa de grupo Avançado da caixa de diálogo Esquema de autenticação para um esquema básico e de certificado de cliente X.509 contém o seguinte:
- BibliotecaExibe o nome da biblioteca do servidor de políticas usada para processar o esquema de autenticação.O valor da biblioteca de autenticação padrão é smauthcert. Esse campo contém o nome da biblioteca que o servidor de políticas precisa para redirecionar as credenciais de usuário por uma conexão SSL e para verificar o certificado do cliente.Observação:geralmente, não é necessário editar esse campo.
- ParâmetroExibe a sequência de caracteres criada a partir de suas entradas na caixa de grupo Configuração do esquema. Essa sequência de caracteres é o parâmetro que o servidor de políticas processa usando a biblioteca de autenticação especificada na caixa de grupo Configuração do esquema. O parâmetro consiste no valor de Servidor e de Destino da caixa de grupo Configuração do esquema, com a adição da sequência de caracteres ?cert+basic, que indica o uso da autenticação básica e de certificado de cliente.
- Ativar este esquema para administradores doCA Single Sign-onEssa caixa de seleção fica desativada por padrão para esquemas de certificado de cliente X.509. Não é possível usar esse esquema para autenticar administradores do servidor de políticas.
Observação:
você deve configurar o mapeamento de certificados para esse esquema de autenticação. O mapeamento de certificados vincula informações do certificado com a entrada de um usuário em um diretório.Caixa de diálogo Esquema de autenticação — Modelo básico ou de certificado de cliente X509
Para que o
CA Single Sign-on
possa autenticar usuários com base em certificados de cliente X.509, você deve configurar um esquema de autenticação na interface administrativa, bem como um mapeamento de certificado para o esquema de autenticação.Caixa de grupo Configuração do esquema
Na caixa de grupo Configuração do esquema para a autenticação básica ou de certificado de cliente X.509, você deve inserir as informações sobre o servidor e o destino de seu esquema de autenticação de certificado.
Observação:
os usuários que tentarem acessar um recurso em um realm protegido deverão ter um certificado de cliente X.509 válido para que o CA Single Sign-on
possa verificar usando um certificado de servidor. Além disso, o usuário é solicitado a fornecer um nome de usuário e uma senha que são verificados em um diretório de usuários no domínio da diretiva.- Nome do servidorEspecifica o nome de domínio totalmente qualificado do servidor SSL.Observaçãonão há suporte para endereços IP.Esse servidor é responsável por estabelecer uma conexão SSL. Normalmente, esse não é o servidor em que o agente web é instalado.O servidor atua como o início do URL que oCA Single Sign-onusa para direcionar um certificado X.509 por uma conexão SSL.Os nomes de domínio devem conter pelo menos dois pontos finais. Insira o nome do servidor usando o seguinte formato:servername.host.comExemplo:server1.security.com
- PortaEspecifica a porta na qual o servidor SSL está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
- DestinoEspecifica o caminho e o nome do SCC (SSL Credentials Collector - Coletor de Credenciais do SSL).O destino informa ao agente web doCA Single Sign-ono que deve ser usado para invocar o SCC. Essa informação completa o URL que oCA Single Sign-onusa para direcionar as credenciais de usuário por uma conexão SSL e processar a autenticação de certificado. O destino pode ser personalizado em casos em que os servidores proxy exigirem URLs específicos a fim de oferecer suporte à autenticação de credenciais básicas sobre SSL.OCA Single Sign-onfornece um caminho padrão quando você seleciona o esquema de autenticação de certificado de cliente X.509.
- Caixa de seleção Credenciais básicas sobre SSLMarque essa caixa de seleção se as credenciais básicas de nome de usuário/senha forem entregues por meio de uma conexão SSL.
- Nome do servidor básicoEspecifica o nome totalmente qualificado do servidor SSL. Insira um valor nesse campo se a caixa de seleção Credenciais básicas sobre SSL estiver marcada.Esse servidor é responsável por estabelecer uma conexão SSL para a autenticação básica. Normalmente, esse servidor não é o mesmo servidor em que o agente web está instalado.O servidor atua como o início do URL que oCA Single Sign-onusa para que direcionar as credenciais por uma conexão SSL. A sintaxe do servidor é um pouco diferente, com base no tipo de servidor web em que o agente web está instalado. As definições a seguir descrevem a sintaxe apropriada para o campo Servidor, que tem como base o tipo de servidor web:IIS ou o Oracle --servername.domain:portApache-- servername.domain:portOs nomes de domínio devem ter pelo menos dois pontos finais. Por exemplo:.security.com
- Destino básicoEspecifica o caminho e o nome do SCC (SSL Credentials Collector - Coletor de Credenciais do SSL).O destino informa ao agente web doCA Single Sign-ono que deve ser usado para invocar o SCC. Essa informação completa o URL que oCA Single Sign-onusa para direcionar as credenciais de usuário por uma conexão SSL para autenticação básica. O destino pode ser personalizado em casos em que os servidores proxy exigirem URLs específicos a fim de oferecer suporte à autenticação de credenciais básicas sobre SSL.
- Persistir variáveis da sessão de autenticação(Opcional) Especifica se os dados de contexto de autenticação devem ser salvos no repositório de sessões como variáveis de sessão. O servidor de políticas tem acesso a essas variáveis para utilização em decisões de autenticação.Importante:dados de autenticação persistentes no repositório de sessões criam uma degradação no momento da autenticação. Selecione essa opção somente quando você realmente deseja usar as variáveis posteriormente para tomar decisões de autenticação. Caso contrário, pode haver um grande impacto no desempenho sem nenhum benefício.
Caixa de grupo Avançado
A caixa de grupo Avançado da caixa de diálogo Esquema de autenticação para um esquema básico e de certificado de cliente X.509 contém o seguinte:
- BibliotecaExibe o nome da biblioteca do servidor de políticas usada para processar o esquema de autenticação.O valor da biblioteca de autenticação padrão é smauthcert. Esse campo contém o nome da biblioteca que o servidor de políticas precisa para redirecionar as credenciais de usuário por uma conexão SSL e para verificar o certificado do cliente.Observação:geralmente, não é necessário editar esse campo.
- ParâmetroExibe a sequência de caracteres criada a partir de suas entradas na caixa de grupo Configuração do esquema. Essa sequência de caracteres é o parâmetro que o servidor de políticas processa usando a biblioteca de autenticação especificada na caixa de grupo Configuração do esquema. O parâmetro consiste no valor de Servidor e de Destino da caixa de grupo Configuração do esquema, com a adição da sequência de caracteres ?certorbasic, que indica o uso da autenticação básica e de certificado.
- Ativar este esquema para administradores doCA Single Sign-onEssa caixa de seleção fica desativada por padrão para esquemas de certificado de cliente X.509. Não é possível usar esse esquema para autenticar administradores do servidor de políticas.
Observação:
você deve configurar o mapeamento de certificados para esse esquema de autenticação. O mapeamento de certificados vincula informações do certificado com a entrada de um usuário em um diretório.Lista de IPs aprovados do agente
A caixa de grupo Lista de IPs aprovados do agente da caixa de diálogo Esquema de autenticação para um esquema de autenticação do Windows contém o seguinte:
- Verificação de AgentIPAtiva a validação de IP do agente.
- AdicionarAdiciona um novo endereço IP do agente à lista do esquema de autenticação.
- ExcluirExclui da lista o endereço IP do agente.
Caixa de diálogo Esquema de autenticação — Modelo de formulário e de certificado de cliente X509
Para que o
CA Single Sign-on
possa autenticar usuários com base em certificados de cliente X.509, você deve configurar um esquema de autenticação na interface administrativa, bem como um mapeamento de certificado para o esquema de autenticação.Caixa de grupo Configuração
Na caixa de grupo Configuração do esquema para a autenticação de formulários HTML ou de certificado de cliente X.509, você deve inserir as informações sobre o servidor e o destino de seu esquema de autenticação de certificado.
Observação:
os usuários que tentarem acessar um recurso em um realm protegido poderão ser autenticados com um certificado de cliente X.509 válido ou por credenciais de formulários. Essas credenciais são localizadas e verificadas em um diretório de usuários associado ao domínio de diretivas.- Nome do servidorEspecifica o nome de domínio totalmente qualificado do servidor SSL.Observação:não há suporte para endereços IP.Esse servidor é responsável por estabelecer uma conexão SSL. Normalmente, esse não é o servidor em que o agente web é instalado.O servidor atua como o início do URL que oCA Single Sign-onusa para direcionar um certificado X.509 por uma conexão SSL.Os nomes de domínio devem conter pelo menos dois pontos finais. Insira o nome do servidor usando o seguinte formato:servername.host.comExemplo:server1.security.com
- PortaEspecifica a porta na qual o servidor SSL está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
- DestinoEspecifica o caminho e o nome do SFCC (SSL Credentials Collector - Coletor de Credenciais do SSL).O destino é.sfccO destino informa ao agente web doCA Single Sign-ono que deve ser usado para invocar o SFCC. Essa informação completa o URL que oCA Single Sign-onusa para direcionar as credenciais de usuário por uma conexão SSL e processar a autenticação de certificado.OCA Single Sign-onfornece um caminho padrão quando você seleciona o esquema de autenticação de formulários HTML e de certificado de cliente X.509.
- Lista de atributos adicionais(Opcional) Especifica atributos de usuário diferentes do nome de usuário. Ao listar os atributos, comece com AL= e use vírgulas para separar os nomes de atributos do usuário.Exemplo:AL=PASSWORD,SSN,age,zipcodeAL= é uma notação doCA Single Sign-onque indica a lista de atributos em consideração. Por padrão, a lista de atributos é considerada uma consulta de estilo AND. O servidor de políticas compara todos os valores de atributo coletados do usuário com os valores de atributos correspondentes no diretório do usuário. Se todos os valores de atributo corresponderem exatamente, o usuário será autenticado com êxito.Observação:é possível autenticar usuários com atributos que contenham vários valores. Para especificar que um atributo possui vários valores, prefixe o nome do atributo com um acento circunflexo (^).Exemplo:quando estiver usando um atributo "mail" com vários valores para autenticar usuários, especifique "AL=^mail". Um usuário pode fornecer um dos valores válidos para realizar a autenticação.Limite:os valores de um atributo com vários valores não podem conter um símbolo de acento circunflexo (^). Um valor que contém esse símbolo introduz a possibilidade de os usuários serem incorretamente autenticados. Por exemplo, se um valor for 123^456, um usuário poderá se autenticar com 123 e 456, além de 123^456.Para que oCA Single Sign-oncolete atributos adicionais, o arquivo .fcc que gera um formulário para autenticação de formulários HTML deve incluir os atributos.
- Usar local alternativo FCCMarque essa caixa de seleção se desejar especificar um destino para o qual o conjunto de formulários é redirecionado. Um possível uso desse redirecionamento é evitar vários desafios com base em SSL.
- Alternar o nome do servidorEspecifica o nome do servidor web em que o FCC alternativo está instalado. Insira um valor nesse campo se a opção Usar local alternativo FCC estiver selecionada.
- Alternar destinoEspecifica o caminho e o arquivo .fcc. Insira um valor nesse campo se a opção Usar local alternativo FCC estiver selecionada.O caminho padrão aponta para um diretório virtual no servidor web especificado no campo Alternar o nome do servidor que foi criado durante a instalação doCA Single Sign-on. O destino padrão especifica o arquivo login.fcc, que é um arquivo de amostra que pode ser personalizado.
- Usar conexão SSLMarque essa caixa de seleção se as credenciais de formulários HTML forem entregues por meio de uma conexão SSL. Certifique-se de marcar a caixa de seleção Usar local alternativo FCC para acessar a caixa de seleção Usar conexão SSL.
- Persistir variáveis da sessão de autenticação(Opcional) Especifica se os dados de contexto de autenticação devem ser salvos no repositório de sessões como variáveis de sessão. O servidor de políticas tem acesso a essas variáveis para utilização em decisões de autenticação.Importante:dados de autenticação persistentes no repositório de sessões criam uma degradação no momento da autenticação. Selecione essa opção somente quando você realmente deseja usar as variáveis posteriormente para tomar decisões de autenticação. Caso contrário, pode haver um grande impacto no desempenho sem nenhum benefício.
Caixa de grupo Avançado
A caixa de grupo Avançado de um esquema de autenticação de formulários HTML e de certificado de cliente X.509 contém o seguinte:
- BibliotecaExibe o nome da biblioteca do servidor de políticas usada para processar o esquema de autenticação.O valor da biblioteca de autenticação padrão é smauthcert. Esse campo contém o nome da biblioteca que o servidor de políticas usa para verificar o certificado do cliente.Observação:geralmente, não é necessário editar esse campo.
- ParâmetroExibe a sequência de caracteres criada a partir de suas entradas na caixa de grupo Configuração do esquema. Essa sequência de caracteres é o parâmetro que o servidor de políticas processa usando a biblioteca de autenticação especificada na caixa de grupo Configuração do esquema. O parâmetro consiste no valor de Servidor e de Destino da caixa de grupo Configuração do esquema, com a adição da sequência de caracteres ?cert+forms, que indica o uso do esquema de autenticação de formulários HTML e de certificado de cliente X.509.
- Ativar este esquema para administradores doCA Single Sign-onEssa caixa de seleção fica desativada por padrão para esquemas de certificado de cliente X.509. Não é possível usar esse esquema para autenticar administradores do servidor de políticas.
Observação:
você deve configurar o mapeamento de certificados para esse esquema de autenticação. O mapeamento de certificados vincula informações do certificado com a entrada de um usuário em um diretório.Caixa de diálogo Esquema de autenticação — Modelo de formulário ou de certificado de cliente X509
Para que o
CA Single Sign-on
possa autenticar usuários com base em certificados de cliente X.509, você deve configurar um esquema de autenticação na interface administrativa, bem como um mapeamento de certificado para o esquema de autenticação.Caixa de grupo Configuração do esquema
Nessa caixa de diálogo, você deve inserir as informações sobre o servidor SSL e o arquivo scc para o seu esquema de autenticação de certificado de cliente X.509.
- Nome do servidorEspecifica o nome de domínio totalmente qualificado do servidor SSL.Observação:não há suporte para endereços IP.Esse servidor é responsável por estabelecer uma conexão SSL. Normalmente, esse não é o servidor em que o agente web é instalado.O servidor atua como o início do URL que oCA Single Sign-onusa para direcionar um certificado X.509 por uma conexão SSL.Os nomes de domínio devem conter pelo menos dois pontos finais. Insira o nome do servidor usando o seguinte formato:servername.host.comExemplo:server1.security.com
- PortaEspecifica a porta na qual o servidor SSL está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
- DestinoEspecifica o caminho e o nome do SCC (SSL Credentials Collector - Coletor de Credenciais do SSL).O destino informa ao agente web o que deve ser usado para invocar o SCC. Essa informação completa o URL que oCA Single Sign-onusa para direcionar as credenciais por uma conexão SSL. O destino pode ser personalizado em casos em que os servidores proxy exigirem URLs específicos a fim de oferecer suporte à autenticação de credenciais básicas sobre SSL.OCA Single Sign-onfornece um caminho padrão quando você seleciona o esquema de autenticação de certificado de cliente X.509.
- Persistir variáveis da sessão de autenticação(Opcional) Especifica se os dados de contexto de autenticação devem ser salvos no repositório de sessões como variáveis de sessão. O servidor de políticas tem acesso a essas variáveis para utilização em decisões de autenticação.Importante:dados de autenticação persistentes no repositório de sessões criam uma degradação no momento da autenticação. Selecione essa opção somente quando você realmente deseja usar as variáveis posteriormente para tomar decisões de autenticação. Caso contrário, pode haver um grande impacto no desempenho sem nenhum benefício.
Caixa de grupo Avançado
A caixa de grupo Avançado da caixa de diálogo Esquema de autenticação para um esquema de autenticação de formulários HTML ou de certificado de cliente X.509 contém o seguinte:
- BibliotecaEsse campo contém o nome da biblioteca do servidor de políticas usada para processar o esquema de autenticação.O valor da biblioteca de autenticação padrão é smauthcert. Esse campo contém o nome da biblioteca que o servidor de políticas precisa para redirecionar as credenciais de usuário por uma conexão SSL e para verificar o certificado do cliente.Observação:geralmente, não é necessário editar esse campo.
- ParâmetroEsse campo exibe a sequência de caracteres criada a partir de suas entradas na caixa de grupo Configuração do esquema. Essa sequência de caracteres é o parâmetro que o servidor de políticas processa usando a biblioteca de autenticação especificada na caixa de grupo Configuração do esquema. O parâmetro consiste no valor de Servidor e de Destino da caixa de grupo Configuração do esquema, com a adição da sequência de caracteres ?certorform, que indica o uso de certificado ou de formulário HTML.
- Ativar este esquema para administradores doCA Single Sign-onEssa caixa de seleção fica desativada por padrão para esquemas de certificado de cliente X.509. Não é possível usar esse esquema para autenticar administradores do servidor de políticas.
Observação:
você deve configurar o mapeamento de certificados para esse esquema de autenticação. O mapeamento de certificados vincula informações do certificado com a entrada de um usuário em um diretório.Lista de IPs aprovados do agente
A caixa de grupo Lista de IPs aprovados do agente da caixa de diálogo Esquema de autenticação para um esquema de autenticação do Windows contém o seguinte:
- Verificação de AgentIPAtiva a validação de IP do agente.
- AdicionarAdiciona um novo endereço IP do agente à lista do esquema de autenticação.
- ExcluirExclui da lista o endereço IP do agente.
Caixa de diálogo Esquema de autenticação — Modelo anônimo
Para poder atribuir um esquema de autenticação anônimo a um realm, você deve configurar o esquema na caixa de diálogo Esquema de autenticação.
Um esquema de autenticação anônimo permite que usuários não registrados acessem conteúdo da web específico. Quando um usuário acessa um recurso que possui a autenticação anônima, o
CA Single Sign-on
atribui ao usuário uma GUID (Global User Identification - Identificação de Usuário Global). O CA Single Sign-on
coloca essa GUID em um cookie persistente no navegador do usuário, de forma que o usuário possa acessar recursos específicos sem ser solicitado a fazer a autenticação.Caixa de grupo Configuração do esquema
Esse é o local em que você pode especificar o DN (Distinguished Name - Nome Distinto) de um usuário. Quando um usuário anônimo tenta acessar qualquer recurso na rede, o
CA Single Sign-on
usa o DN para determinar os privilégios do usuário.- DN do usuárioEspecifica o nome distinto de convidados que será usado pelo esquema anônimo.Esse DN determina os privilégios de um usuário anônimo. Quando você atribui o esquema de autenticação anônimo a um realm e, em seguida, vincula diretivas ao DN do convidado, um usuário anônimo passa a ter privilégios de acesso especificados para o DN de convidado.Observação:é necessário especificar um DN para um usuário, e não para um grupo. O esquema anônimo funcionará apenas se você fornecer o DN de um usuário.Os esquemas de autenticação são associados a realms. Os realms estão localizados sob domínios de diretivas. Os domínios de diretivas permitem conexões com diretórios de usuários específicos. Ao especificar um DN nesse campo, o servidor de políticas verifica o DN nos diretórios de usuários especificados no domínio de diretivas do realm. O servidor de políticas verifica os diretórios de usuários na ordem de pesquisa definida para o domínio da diretiva.
- PesquisarClique para abrir a caixa de diálogo de pesquisa de usuários. A seleção de um DN nos resultados da pesquisa preenche o campo DN do usuário.
Caixa de grupo Avançado
A caixa de grupo Avançado da caixa de diálogo Esquema de Autenticação para um esquema anônimo contém o seguinte:
- BibliotecaExibe o nome da biblioteca que o servidor de políticas usa para resolver uma autenticação anônima.
- ParâmetroExibe o DN de convidado que você inseriu no campo DN da caixa de grupo Configuração do esquema.
- Ativar este esquema para administradores doCA Single Sign-onEssa caixa de seleção está desativada. O esquema anônimo não exige um nome de usuário e uma senha e, por isso, não pode ser ativado como um método para a autenticação de administradores do servidor de políticas.
Caixa de diálogo Esquema de autenticação — Modelo personalizado
Antes de atribuir um esquema de autenticação personalizado a um realm, configure-o na caixa de diálogo Esquema de autenticação.
Se desejar usar um método de autenticação que não é fornecido pelo
CA Single Sign-on
, pode criar um esquema de autenticação personalizado. Depois de criar um esquema personalizado, configure-o na caixa de diálogo Autenticação.Caixa de grupo Configuração do esquema
Nessa caixa de diálogo, você pode especificar uma biblioteca que processa credenciais para o esquema personalizado, bem como o parâmetro transmitido para a biblioteca.
- BibliotecaEspecifica o nome da biblioteca que o servidor de políticas usa para processar o esquema de autenticação personalizado.Essa é a biblioteca compartilhada criada usando uma API.
- Segredo e Confirmar segredoSe o esquema de autenticação personalizado exigir um shared secret para criptografia de credenciais, especifique o shared secret.
- ParâmetroEspecifica a sequência de caracteres transmitida do servidor de políticas para a biblioteca a fim de processar a autenticação personalizada.
- Caixa de seleção Ativar este esquema para administradores doCA Single Sign-onMarque essa caixa de seleção se desejar que o esquema personalizado faça a autenticação de administradores do servidor de políticas.Se essa caixa de seleção estiver marcada, o esquema poderá ser usado para autenticar os administradores.
- Persistir variáveis da sessão de autenticação(Opcional) Especifica se os dados de contexto de autenticação devem ser salvos no repositório de sessões como variáveis de sessão. O servidor de políticas tem acesso a essas variáveis para utilização em decisões de autenticação.Importante:dados de autenticação persistentes no repositório de sessões criam uma degradação no momento da autenticação. Selecione essa opção somente quando você realmente deseja usar as variáveis posteriormente para tomar decisões de autenticação. Caso contrário, pode haver um grande impacto no desempenho sem nenhum benefício.
Lista de IPs aprovados do agente
A caixa de grupo Lista de IPs aprovados do agente da caixa de diálogo Esquema de autenticação para um esquema de autenticação do Windows contém o seguinte:
- Verificação de AgentIPAtiva a validação de IP do agente.
- AdicionarAdiciona um novo endereço IP do agente à lista do esquema de autenticação.
- ExcluirExclui da lista o endereço IP do agente.
Caixa de diálogo Esquema de autenticação — Modelo personalizado para SAML 2.0
Se possuir uma licença do
CA Single Sign-on
eTrust SiteMinder FSS
, poderá configurar um modelo de autenticação SAML 2.0 personalizado para a configuração de um único realm. Você pode criar um único realm para vários provedores de identidades a fim de simplificar a configuração de realms para esquemas de autenticação SAML. Para oferecer suporte a um único realm de destino, também é preciso configurar um esquema de autenticação única personalizado.Observação:
você deve ter um esquema de autenticação via SAML 2.0 configurado para cada provedor de identidades para poder configurar um modelo personalizado.Caixa de diálogo Esquema de autenticação — Modelo personalizado — Configuração do esquema de SAML 2.0
A caixa de grupo Configuração do esquema de um modelo personalizado é o local em que você define a biblioteca para o esquema de autenticação personalizado. É possível especificar um parâmetro especial para os esquemas de autenticação SAML 2.0 personalizados que fazem parte da configuração de um único realm de destino.
Estas são as configurações:
- BibliotecaEspecifica o nome da biblioteca do esquema de autenticação única personalizado. Insira smauthsinglefed para o nome da biblioteca.
- Segredo e Confirmar segredoIgnore esses campos.
- ParâmetroEspecifique uma das opções a seguir:
- SCHEMESET=LIST;;Especifica a lista de nomes de esquema de autenticação via SAML a serem utilizados. Se tiver configurado um esquema de artefato chamado artifact_Idp1 e um esquema de perfil de POST chamado samlpost_IdP2, você deve inserir esses esquemas.
- SCHEMESET=SAML_ALL;Especifica todos os esquemas que você configurou. O esquema de autenticação personalizado enumera todos os esquemas de autenticação SAML e localiza aquele com a ID de origem de provedor correta para a solicitação.
- SCHEMESET=SAML_POST;Especifica todos os esquemas de perfil de SAML POST que você configurou. O esquema de autenticação personalizado enumera os esquemas de perfil de POST e localiza aquele com a ID de origem de provedor correta para a solicitação.
- SCHEMESET=SAML_ART;Especifica todos os esquemas de artefato de SAML que você configurou. O esquema de autenticação personalizado enumera os esquemas de artefato e localiza aquele com a ID de origem de provedor correta para a solicitação.
- Ativar este esquema para administradores doCA Single Sign-onIgnore essa caixa de seleção.
Caixa de diálogo Esquema de autenticação — Modelo de impersonation
Para poder atribuir um esquema de autenticação de impersonation a um realm, você deve configurar o esquema na caixa de diálogo Esquema de autenticação.
Caixa de grupo Configuração do esquema
Na caixa de grupo Configuração do esquema da autenticação de impersonation, você pode inserir o servidor, o destino e a lista de atributos para o esquema de autenticação de impersonation.
- Nome do servidor webEspecifica o nome de domínio totalmente qualificado do servidor web em que o FCC está instalado.Observação:não há suporte para endereços IP.O servidor não precisa ser o mesmo servidor no qual o agente está instalado.Os nomes de domínio devem conter ao menos dois pontos finais. O servidor deve ser inserido no seguinte formato:Exemplo:server1.security.comEsse campo diferencia letras maiúsculas e minúsculas.Observação:se a rede incluir vários domínios de cookies, você deverá configurar um esquema de autenticação de impersonation separado em cada domínio de cookies no qual desejar implementar a impersonation.
- PortaEspecifica a porta na qual o servidor web está escutando. Esse valor é necessário apenas para a comunicação por uma porta que não seja padrão.
- Caixa de seleção Usar conexão SSLMarque essa caixa de seleção se desejar que oCA Single Sign-onuse uma conexão SSL para processar a autenticação de representação.
- DestinoEspecifica o caminho e o arquivo .fcc usados pelo esquema.O caminho padrão aponta par um subdiretório /forms sob o diretório virtual /siteminderagent no servidor web especificado no campo Nome do servidor. O diretório e o arquivo .fcc padrão foram criados durante a instalação do agente web. O destino padrão especifica o arquivo imp.fcc, que é um arquivo de amostra que pode ser personalizado.
- Lista de atributos adicionais(Opcional) Os atributos de impersonation, diferentes do nome do usuário, que serão especificados por um personificador.Ao listar os atributos, comece com AL= e use vírgulas para separar os nomes de atributos do usuário.Exemplo:AL=SSN,age,zipcodeO AL= é uma notação doCA Single Sign-onque indica a lista de atributos que devem ser considerados. Por padrão, a lista de atributos é considerada uma consulta de estilo AND. O servidor de políticas compara todos os valores de atributo coletados do usuário com os valores de atributos correspondentes no diretório do usuário. Se todos os valores de atributo corresponderem exatamente, o usuário será autenticado com êxito.Observação:é possível autenticar usuários com atributos que contenham vários valores. Para especificar que um atributo possui vários valores, prefixe o nome do atributo com um acento circunflexo (^).Exemplo:se estiver usando um atributo "mail" com vários valores para autenticar usuários, você deve especificar "AL=^mail" para indicar que "mail" possui vários valores. Um usuário pode fornecer um dos valores válidos para realizar a autenticação com êxito.Limite:os valores de um atributo com vários valores não devem conter um símbolo de acento circunflexo (^). Um valor que contém esse símbolo introduz a possibilidade de os usuários serem incorretamente autenticados. Por exemplo, se um valor for 123^456, um usuário poderá se autenticar com 123 e 456, além de 123^456.Para que oCA Single Sign-oncolete atributos adicionais, o arquivo .fcc usado peloCA Single Sign-onpara gerar um formulário para a representação deve ser modificado a fim de incluir esses atributos.Ao usar os atributos adicionais em um esquema de impersonation, considere o seguinte:
- Os atributos são usados apenas para corresponder os valores de atributos associados com o usuário que foi localizado em um diretório por nome do usuário.
- Os nomes de atributo diferenciam maiúsculas de minúsculas. Eles devem corresponder exatamente os nomes de atributo implementados pelo diretório e os nomes de atributo especificados no esquema de autenticação.
Observação:se tiver instalado o kit de desenvolvimento de software, você poderá usar a API de autenticação doCA Single Sign-onpara definir outras notações.
Caixa de grupo Avançado
A caixa de grupo Avançado de um esquema de impersonation contém o seguinte:
- BibliotecaContém o nome da biblioteca compartilhada que processa a impersonation. Não altere esse valor, a menos que você tenha um esquema de autenticação personalizado, gravado usando a API de autenticação doCA Single Sign-on.A biblioteca compartilhada padrão para a autenticação de impersonation é SmAuthImpersonate.
- ParâmetroExibe o servidor e o destino que você inseriu na caixa de grupo Configuração do esquema. Também exibe quaisquer atributos adicionais que você inseriu para o esquema de autenticação. O servidor e o destino compõem o local do arquivo .fcc no servidor web.
- Ativar este esquema para administradores doCA Single Sign-onEssa caixa de seleção está desativada. A impersonation não pode ser usada para autenticar um administrador do servidor de políticas.
Caixa de diálogo Esquema de autenticação — Modelo de JSON Web Token
Você pode configurar o Esquema de autenticação do JSON Web Token para autenticar e trocar declarações entre duas partes com segurança. A seção Avançado da caixa de diálogo de autenticação para a configuração do JWT inclui os seguintes campos:
Avançado
Contém os seguintes campos, que exibem as informações usadas pelo CA SSO para configurar a autenticação do JWT:
- Pesquisa de usuário:Aceita o nome do campo personalizado e o mapeia para o campo de declaração do token JWT.Padrão: sub
- Lista de aliases do certificado:Ativa a lista de certificados a serem usados em sequência para validar o token JWT.
- Usar o cabeçalho de KID JOSE como alias do certificado:Recupera o KID do token e valida o token JWT.
- Exigir conexão SSL:Permite que o agente imponha o token JWT na conexão HTTPS quando a opção SSL está ativada.
Propriedades do esquema de autenticação via SAML 1.x
Esquema de autenticação -- Modelo de artefatos SAML
Você pode configurar o esquema de autenticação de artefatos SAML para o SAML 1.x. Após o esquema ser configurado, você pode atribuí-lo a um realm.
A seção de configuração geral e de esquema comum da caixa de diálogo de esquema de autenticação inclui os campos a seguir:
- NomeDesigna um nome para o esquema de autenticação.Observação:quando o ADAM (Active Directory Application Mode - Modo de Aplicativo do Active Directory) é usado como um repositório de diretivas, o comprimento máximo para o nome do esquema de autenticação é de 22 caracteres.
- DescriçãoFornece uma descrição do esquema de autenticação.
A configuração comum de esquemas identifica o esquema de autenticação. Essa parte da seção geral contém os seguintes campos:
- Tipo de esquema de autenticaçãoEspecifica o modelo que você está usando para o esquema de autenticação.
- Nível de proteçãoPermite o logon único para esquemas de autenticação com níveis de proteção iguais ou menores dentro do mesmo domínio de diretivas. O nível de proteção também exige autenticação adicional para acessar recursos com esquemas de nível de proteção mais altos.Limites: 1 e 1.000.Os esquemas de autenticação têm um nível de proteção padrão que pode ser alterado. Utilize níveis de proteção altos para recursos essenciais e esquemas de nível mais baixo para recursos comumente acessíveis.
- Diretivas de senha ativadas para este esquema de autenticaçãoIndica que diretivas de senha configuradas estão associadas ao esquema de autenticação.
Configure os detalhes do esquema na seção Configuração do esquema da caixa de diálogo.
Esquema de autenticação -- Modelo de SAML POST
Você pode configurar o esquema de autenticação via SAML POST para o perfil de SAML 1.x POST. Depois de configurar o esquema de autenticação, o atribua a um realm.
A seção de configuração geral e de esquema comum da caixa de diálogo de esquema de autenticação inclui os campos a seguir:
- NomeDesigna um nome para o esquema de autenticação.Observação:quando o ADAM (Active Directory Application Mode - Modo de Aplicativo do Active Directory) é usado como um repositório de diretivas, o comprimento máximo para o nome do esquema de autenticação é de 22 caracteres.
- DescriçãoFornece uma descrição do esquema de autenticação.
A configuração comum de esquemas identifica o esquema de autenticação. Essa parte da seção geral contém os seguintes campos:
- Tipo de esquema de autenticaçãoEspecifica o modelo que você está usando para o esquema de autenticação.
- Nível de proteçãoPermite o logon único para esquemas de autenticação com níveis de proteção iguais ou menores dentro do mesmo domínio de diretivas. O nível de proteção também exige autenticação adicional para acessar recursos com esquemas de nível de proteção mais altos.Limites: 1 e 1.000.Os esquemas de autenticação têm um nível de proteção padrão que pode ser alterado. Utilize níveis de proteção altos para recursos essenciais e esquemas de nível mais baixo para recursos comumente acessíveis.
- Diretivas de senha ativadas para este esquema de autenticaçãoIndica que diretivas de senha configuradas estão associadas ao esquema de autenticação.
Configure os detalhes do esquema na seção Configuração do esquema da caixa de diálogo.
Esquema de autenticação -- Modelo de artefato SAML -- Configuração do esquema
A seção Configuração do esquema do esquema de autenticação de artefatos SAML 1.x permite especificar:
- Como o destinatário se comunica com o produtor para recuperar um assertion.
- Como autenticar um usuário com um assertion.
- Como direcionar o usuário para o recurso de destino.
Os campos na seção de configuração de esquema são os seguintes:
- Nome afiliadoNomeia o destinatário. Insira uma sequência de caracteres alfabéticos, por exemplo, EmpresaA.O nome inserido deve corresponder ao valor do campo Nome do objeto afiliado associado no produtor.No perfil de artefatos SAML, o produtor envia o assertion por meio de um canal de apoio protegido para o destinatário. Proteja o canal de apoio com a autenticação de certificados básica ou de cliente.As seguintes diretrizes de configuração aplicam-se a esse campo para o logon único de artefatos HTTP:
- SenhaDefine a senha que o destinatário usa para se identificar no produtor.Essa senha deve corresponder à senha inserida para o destinatário no site do produtor.
- ID de origem da empresaEspecifica a ID de origem do produtor. O padrão de especificação de SAML define uma ID de origem como um número binário de 20 bytes codificado em hexadecimal que identifica o produtor. O destinatário usa essa ID para identificar um emissor de assertions.Insira a ID fornecida pelo produtor em uma comunicação fora de banda.Se oCA Single Sign-onfor o produtor, a ID de origem estará no arquivo de propriedades do gerador de asserções do SAML 1.x, AMAssertionGenerator.properties, no diretório policy_server_home/config/properties.O valor padrão de ID de origem da empresa é: b818452610a0ea431bff69dd346aeeff83128b6aObservação:o arquivo AMAssertionGenerator.properties é usado apenas para o perfil de SAML 1.x.
- URL do assertion retrievalDefine o URL do serviço no produtor em que o destinatário recupera o assertion do SAML. Especificamente, esse URL identifica a localização do Assertion Retrieval Service, o qual deve ser um URL acessado por meio de uma conexão SSL.Se o Assertion Retrieval Service no produtor fizer parte de um realm usando o esquema de autenticação de credenciais básicas sobre SSL, o URL padrão será:https://idp_server:port/affwebservices/assertionretrieverSe o Assertion Retrieval Service no produtor fizer parte de um realm usando o esquema de autenticação de certificado de cliente X.509, o URL padrão será:https://idp_server:port/affwebservices/certassertionretrieveridp_server:portIdentifica o servidor web e a porta que estão hospedando o Web Agent Option Pack ou o SPS federation gateway.
- Público(Opcional) Define o público do assertion do SAML.O público identifica a localização de um documento que descreve os termos e as condições do contrato de negócios entre o produtor e o destinatário. O administrador determina o público no site do produtor. O valor desse campo deve corresponder ao público especificada no produtor.O valor de público não deve exceder 1 K.Para especificar o público, insira um URL. Esse elemento diferencia letras maiúsculas de minúsculas. Por exemplo:http://www.companya.com/SampleAudience
- Alias de assinatura DEspecifica o alias do certificado no repositório de dados de certificados que o destinatário usa para verificar a assinatura digital do assertion. Esse alias correspondente ao certificado. O tipo de certificado usado para a verificação é o certificado CertificateEntry ou KeyEntry.
- AutenticaçãoEspecifica o método de autenticação para o realm no produtor que contém o Assertion Retrieval Service. O valor desse campo determina o tipo de credenciais que o coletor de credenciais via SAML no destinatário deve fornecer. Essas credenciais permitem que o destinatário acesse o Assertion Retrieval Service e recupere o assertion do SAML.O Assertion Retrieval Service obtém o assertion do servidor de políticas no produtor e, em seguida, o envia para o destinatário por meio de um canal de apoio de SSL. É recomendável proteger o Assertion Retrieval Service.Selecione uma das seguintes opções:
- Autenticação básicaPara o Assertion Retrieval Service que faz parte de um realm protegido por um esquema de autenticação básico ou de credenciais básicas sobre SSL.Se você selecionar Autenticação básica, nenhuma configuração adicional será necessária no produtor ou no destinatário. A exceção é se o certificado da autoridade de certificação que estabeleceu a conexão SSL não estiver no repositório de dados de certificado no destinatário. Se o certificado apropriado não estiver no repositório de dados, importe-o.
- Certificado de clientePara o Assertion Retrieval Service que faz parte de um realm protegido por um esquema de autenticação de certificado de cliente X.509. Se você selecionar essa opção, configure o acesso ao Assertion Retrieval Service com um certificado de cliente.Se selecionar Certificado de cliente, conclua as etapas de configuração no destinatário e no produtor para acessar o Assertion Retrieval Service com um certificado de cliente.É possível usar certificados que não tenham sido criptografados com FIPS 140 para proteger o canal de apoio, mesmo que o servidor de políticas esteja funcionando no modo apenas FIPS. No entanto, para instalações apenas FIPS use certificados criptografados somente com o uso de algoritmos compatíveis com FIPS 140.
- Verificar senhaConfirma a senha especificada no campo Senha.
- Versão do SAMLDefine a versão da especificação de SAML com a qual o assertion é gerado. As opções são 1.0 ou 1.1. SAML 1.1 é o padrão.Deve haver uma correspondência entre as versões do protocolo e do assertion do SAML utilizados pelo produtor ou o destinatário. Por exemplo, se um produtor que estiver usando SAML 1.1 receber uma solicitação de SAML 1.0, ele retornará um erro. Se um destinatário que estiver usando SAML 1.1 receber um assertion do SAML 1.0 incorporado a um elemento de protocolo SAML 1.1, ele retornará um erro.
- Modo de redirecionamentoIndica o método pelo qual o coletor de credenciais via SAML redireciona o usuário para o recurso de destino. Se você selecionar 302 Sem dados ou 302 Dados de cookie, nenhuma outra configuração será necessária. Se você selecionar Redirecionamento para o servidor ou PersistAttributes, configurações adicionais serão necessárias.
- 302 Sem dados (padrão)Redireciona o usuário por meio de um redirecionamento HTTP 302 com um cookie de sessão, mas sem outros dados.
- 302 Dados de cookieRedireciona o usuário por meio de um redirecionamento HTTP 302 com um cookie de sessão e dados de cookie adicionais configurados no site que gerou o assertion.
- Redirecionamento de servidorPermite que as informações de atributo de cabeçalho e cookie, que foram recebidas como parte de um assertion do SAML, sejam transmitidas para o aplicativo de destino personalizado. O coletor de credenciais via SAML transfere o usuário para o URL do aplicativo de destino usando a tecnologia de redirecionamento do lado do servidor. Os redirecionamentos do lado do servidor fazem parte da especificação do servlet Java. Todos os recipientes de servlet em conformidade com o padrão oferecem suporte a redirecionamentos do lado do servidor.Para usar o modo de redirecionamento de servidor, siga estes requisitos:
- Especifique um URL para esse modo que seja relativo ao contexto do servlet que está consumindo o assertion, normalmente, /affwebservices/public/. A raiz do contexto é a raiz do aplicativo Federation Web Services, geralmente, /affwebservices/.Todos os arquivos de aplicativo de destino devem estar no diretório raiz do aplicativo. Esse diretório é:
- Web Agent:web_agent_home\webagent\affwebservices
- SPS federation gateway:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- Defina realms, regras e diretivas para proteger os recursos de destino. Defina os realms com, pelo menos, o valor /affwebservices/ no filtro do recurso.
- Instale um aplicativo Java ou JSP personalizado no servidor que está executando o aplicativo Federation Web Services. O aplicativo é instalado com o Web Agent Option Pack ou o SPS federation gateway.A tecnologia de servlet Java permite que os aplicativos transmitam informações entre solicitações de dois recursos usando o método setAttribute da interface ServletRequest.O serviço que utiliza assertions envia o atributo de usuário ao aplicativo de destino. Diferentes objetos de atributo no objeto de solicitação são definidos antes de o serviço redirecionar o usuário para o aplicativo de destino.O serviço cria dois objetos java.util.HashMap -- um para armazenar todos os atributos de cabeçalho e outro para armazenar todos os atributos de cookies. O serviço utiliza nomes de atributos distintos para representar cada objeto hashmap:
- O atributo Netegrity.HeaderAttributeInfo representa o hashmap que contém os atributos de cabeçalho.
- O atributo Netegrity.CookieAttributeInfo representa o hashmap que contém os atributos de cookie.
Dois outros atributos Java.lang.String são definidos pelo serviço que utiliza o assertion para transmitir a identidade do usuário para o aplicativo personalizado:- O atributo Netegrity.smSessionID representa a ID da sessão.
- O atributo Netegrity.userDN representa o DN de usuário.
O aplicativo de destino personalizado no destinatário pode ler esses objetos a partir do objeto de solicitação HTTP, além de usar os dados encontrados nos objetos hashmap. - Persistir atributosRedireciona o usuário por meio de um redirecionamento HTTP 302 com um cookie de sessão, mas sem outros dados. Além disso, esse modo instrui o servidor de políticas a armazenar os atributos extraídos de um assertion no repositório de sessões. Dessa maneira, os atributos podem ser fornecidos como variáveis de cabeçalho HTTP. Para obter configurações adicionais, consulte as instruções para a utilização de atributos SAML como cabeçalhos HTTP.Observação:se você selecionar Persistir atributos e o assertion contiver atributos em branco, um valor NULL será gravado no repositório de sessões. Esse valor funciona como um espaço reservado para o atributo em branco. O valor é transmitido para qualquer aplicativo que estiver usando o atributo.
- EmissorIdentifica o produtor que emite assertions para o destinatário. Esse elemento diferencia letras maiúsculas de minúsculas.O destinatário aceita assertions apenas desse emissor. O administrador no produtor determina o emissor.Observação:o valor que você inserir para o emissor deve corresponder ao valor de AssertionIssuerID no produtor. Esse valor é especificado no arquivo AMAssertionGenerator.properties localizado em:siteminder_home/Config/properties/AMAssertionGenerator.properties
- Pesquisar XPATH de dadosA consulta XPath informa ao esquema de autenticação onde localizar uma entrada específica no assertion que, posteriormente, servirá como a ID de logon do usuário. O valor que a consulta obtém se torna parte da especificação de espaço para nome para procurar por uma entrada do repositório de usuários.As consultas Xpath não devem conter prefixos de espaço para nome. O exemplo a seguir é uma consulta Xpath:inválida/saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()A consulta Xpath válida é://Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()Exemplo:A consulta a seguir extrai o texto do atributo de nome de usuário do assertion:"/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()""//Username/text()" extrai o texto do primeiro elemento Username no assertion do SAML usando a sintaxe abreviada.Outros exemplos:"substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMprofile/NVpair[1]/text(),"header:uid=")"Essa sequência de caracteres de consulta extrai o texto do atributo de cabeçalho chamado "uid" configurado como o primeiro atributo listado no site do produtor.Ao usar a sintaxe abreviada a seguir, extrai o texto do atributo de cabeçalho chamado uid:"substring-after(//SMprofile/NVpair[1]/text(),"header:uid=")"
- Persistir variáveis da sessão de autenticação(Opcional) Especifica se os dados de contexto de autenticação devem ser salvos no repositório de sessões como variáveis de sessão. O servidor de políticas tem acesso a essas variáveis para utilização em decisões de autenticação. Por exemplo, você pode incluir as variáveis de contexto de autenticação em respostas ativas ou em expressões de diretivas.
- AtivoIndica se a configuração de federação legada está em uso para uma parceria específica. Se o servidor de políticas estiver usando a configuração de federação legada, confirme se essa caixa de seleção está marcada. Se você tiver recriado uma parceria federada com valores semelhantes para as configurações de identidade, como a ID de origem, desmarque essa caixa de seleção antes de ativar a parceria federada.OSingle Sign-Onnão funciona com uma configuração legada e de parceria que usa os mesmos valores de identidade, pois ocorre um conflito de nomes.
As outras seções de configuração de esquema são:
- Preencha uma especificação de espaço para nome para permitir que o destinatário localize o registro de usuário correto para autenticação.
- Especifique o recurso federado de destino na seção de configuração adicional da página. Como opção, configure o plugin do destinatário da mensagem e redirecione os URLs para os quais um usuário é enviado se a autenticação falhar.
Esquema de autenticação -- Modelo de SAML POST -- Configuração do esquema
Na seção Configuração do esquema, você pode especificar as seguintes informações:
- Como o destinatário se comunica com o produtor para recuperar um assertion.
- Como autenticar um usuário que se baseia nesse assertion.
- Como direcionar o usuário para o recurso de destino.
Os campos do modelo de autenticação SAML POST são os seguintes:
- Nome afiliadoNomeia o destinatário. Insira uma sequência de caracteres alfabéticos, por exemplo, EmpresaA.O nome inserido deve corresponder ao nome de um destinatário no domínio afiliado no site do produtor.
- PúblicoDefine o público do assertion do SAML.Identifica a localização de um documento que descreve os termos e as condições do contrato de negócios entre o produtor e o destinatário. O administrador determina o público no site do produtor. O valor também deve corresponder ao público do destinatário no site do produtor.
- URL do assertion consumerEspecifica o URL do destinatário do assertion (semelhante ao coletor de credenciais via SAML). Nesse URL, o navegador deve publicar (POST) o assertion gerado.O URL padrão é:http://consumer_server:port/affwebservices/public/samlccconsumer_server:portIdentifica o servidor web e a porta que estão hospedando o Web Agent Option Pack ou o SPS federation gateway. Por exemplo:http://www.discounts.com:85/affwebservices/public/samlccO valor de público não deve exceder 1 K.Para especificar o público, insira um URL. Esse elemento diferencia letras maiúsculas de minúsculas. Por exemplo:http://www.ca.com/SampleAudience
- DN do emissor DsigEspecifica o nome distinto do emissor de certificados que assina a resposta de SAML POST. O produtor deve assinar a resposta POST. Quando o destinatário recebe a resposta, ele verifica a assinatura usando os dados nesse parâmetro e no parâmetro de número de série. Esses dois parâmetros indicam o emissor do certificado que assinou a resposta.O certificado que verifica a assinatura deve estar no repositório de dados de certificado.
- Pesquisar XPATH de dadosA consulta XPath informa ao esquema de autenticação onde localizar uma entrada específica no assertion que, posteriormente, servirá como a ID de logon do usuário. O valor que a consulta obtém se torna parte da especificação de espaço para nome para procurar por uma entrada do repositório de usuários.As consultas Xpath não devem conter prefixos de espaço para nome.O exemplo a seguir é uma consulta Xpath inválida:/saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()A consulta Xpath válida é://Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()ExemploA consulta a seguir extrai o texto do atributo de nome de usuário do assertion:"/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()""//Username/text()" extrai o texto do primeiro elemento Username no assertion do SAML usando a sintaxe abreviada.Outros exemplos:"substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMprofile/NVpair[1]/text(),"header:uid=")"Essa consulta extrai o texto do atributo de cabeçalho chamado "uid" configurado como o primeiro atributo do objeto afiliado no site do produtor.A sequência de caracteres "substring-after(//SMprofile/NVpair[1]/text(),"header:uid=")" extrai o texto do atributo de cabeçalho chamado "uid". Esse atributo é o primeiro atributo configurado para o objeto afiliado no site do produtor usando uma sintaxe abreviada.
- Versão do SAMLEspecifica a versão de SAML (inativo; o valor é padronizado como 1.1, o que indica que os assertions do perfil POST estão em conformidade com o SAML versão 1.1).O produtor e o destinatário de SAML devem gerar e consumir assertions e respostas que possuem a mesma versão.
- Modo de redirecionamentoEspecifica o método pelo qual o servlet do coletor de credenciais via SAML redireciona o usuário para o recurso de destino. Se você selecionar 302 Sem dados ou 302 Dados de cookie, nenhuma outra configuração será necessária. Se você selecionar Redirecionamento para o servidor ou PersistAttributes, configurações adicionais serão necessárias.
- 302 Sem dados(padrão). Redireciona o usuário por meio de um redirecionamento HTTP 302 com um cookie de sessão, mas sem outros dados.
- 302 Dados de cookieRedireciona o usuário por meio de um redirecionamento HTTP 302 com um cookie de sessão e dados de cookie adicionais configurados no site que gerou o assertion.
- Redirecionamento de servidorPermite que as informações de atributo de cabeçalho e cookie, que foram recebidas como parte de um assertion do SAML, sejam transmitidas para o aplicativo de destino personalizado. O coletor de credenciais via SAML transfere o usuário para o URL do aplicativo de destino usando a tecnologia de redirecionamento do lado do servidor. Os redirecionamentos do lado do servidor fazem parte da especificação do servlet Java. Todos os recipientes de servlet em conformidade com o padrão oferecem suporte a redirecionamentos do lado do servidor.Para usar o modo de redirecionamento de servidor, siga estes requisitos:
- Especifique um URL para esse modo que seja relativo ao contexto do servlet que está consumindo o assertion, normalmente, /affwebservices/public/. A raiz do contexto é a raiz do aplicativo Federation Web Services, geralmente, /affwebservices/.Todos os arquivos de aplicativo de destino devem estar no diretório raiz do aplicativo. Esse diretório é:
- Web Agent:web_agent_home\webagent\affwebservices
- SPS federation gateway:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- Defina realms, regras e diretivas para proteger os recursos de destino. Defina os realms com, pelo menos, o valor /affwebservices/ no filtro do recurso.
- Instale um aplicativo Java ou JSP personalizado no servidor que está executando o aplicativo Federation Web Services. O aplicativo é instalado com o Web Agent Option Pack ou o SPS federation gateway.A tecnologia de servlet Java permite que os aplicativos transmitam informações entre solicitações de dois recursos usando o método setAttribute da interface ServletRequest.O serviço que utiliza assertions envia o atributo de usuário ao aplicativo de destino. Diferentes objetos de atributo no objeto de solicitação são definidos antes de o serviço redirecionar o usuário para o aplicativo de destino.O serviço cria dois objetos java.util.HashMap -- um para armazenar todos os atributos de cabeçalho e outro para armazenar todos os atributos de cookies. O serviço utiliza nomes de atributos distintos para representar cada objeto hashmap:
- O atributo Netegrity.HeaderAttributeInfo representa o hashmap que contém os atributos de cabeçalho.
- O atributo Netegrity.CookieAttributeInfo representa o hashmap que contém os atributos de cookie.
Dois outros atributos Java.lang.String são definidos pelo serviço que utiliza o assertion para transmitir a identidade do usuário para o aplicativo personalizado:- O atributo Netegrity.smSessionID representa a ID da sessão.
- O atributo Netegrity.userDN representa o DN de usuário.
O aplicativo de destino personalizado no destinatário pode ler esses objetos a partir do objeto de solicitação HTTP, além de usar os dados encontrados nos objetos hashmap. - Persistir atributosO usuário é redirecionado por meio de um redirecionamento HTTP 302 com um cookie de sessão, mas sem outros dados. Esse modo também instrui o servidor de políticas a armazenar os atributos de um assertion no repositório de sessões, de forma que seja possível fornecê-los como variáveis de cabeçalho HTTP. Para obter configurações adicionais, consulte as instruções para a utilização de atributos SAML como cabeçalhos HTTP.Observação:se você selecionar Persistir atributos e o assertion contiver atributos em branco, um valor NULL será gravado no repositório de sessões. Esse valor funciona como um espaço reservado para o atributo em branco. O valor é transmitido para qualquer aplicativo que estiver usando o atributo.
- EmissorIdentifica o produtor que emite assertions para o destinatário. Esse elemento diferencia letras maiúsculas de minúsculas.O destinatário aceita assertions apenas desse emissor. O administrador determina o emissor no produtor.Observação:o valor que você inserir para o emissor deve corresponder ao valor de AssertionIssuerID no site do produtor. Esse valor é especificado no arquivo AMAssertionGenerator.properties localizado em:policy_server_home/Config/properties/AMAssertionGenerator.properties
- Número de sérieEspecifica o número de série (uma sequência de caracteres hexadecimal) do certificado do destinatário no repositório de dados de certificados. Esse valor é usado com o DN do emissor da assinatura digital para localizar o certificado para assinar digitalmente a resposta de SAML POST.
- AtivoIndica se a configuração de federação legada está em uso para uma parceria específica. Se o servidor de políticas estiver usando a configuração de federação legada, confirme se essa caixa de seleção está marcada. Se você tiver recriado uma parceria federada com valores semelhantes para as configurações de identidade, como a ID de origem, desmarque essa caixa de seleção antes de ativar a parceria federada.OSingle Sign-Onnão funciona com uma configuração legada e de parceria que usa os mesmos valores de identidade, pois ocorre um conflito de nomes.
- Persistir variáveis da sessão de autenticação(Opcional) Especifica se os dados de contexto de autenticação devem ser salvos no repositório de sessões como variáveis de sessão. O servidor de políticas tem acesso a essas variáveis para utilização em decisões de autenticação. Por exemplo, você pode incluir as variáveis de contexto de autenticação em respostas ativas ou em expressões de diretivas.
As outras seções de configuração de esquema são:
- Preencha uma especificação de espaço para nome para permitir que o destinatário localize o registro de usuário correto para autenticação.
- Especifique o recurso federado de destino na seção de configuração adicional da página. Como opção, configure o plugin do destinatário da mensagem e redirecione os URLs para os quais um usuário é enviado se a autenticação falhar.
Esquema de autenticação -- Especificação de espaço para nome
A seção Especificação de espaço para nome lista os tipos de espaço para nome e as especificações de pesquisa associadas. O
CA Single Sign-on
usa essas informações para pesquisar um usuário em um repositório de usuários.A especificação de pesquisa utiliza os dados que a consulta XPath recupera do assertion e os mapeia para um atributo em uma entrada de repositório de usuários. A consulta XPath localiza uma entrada específica no assertion, que serve como a ID de logon de usuário. É possível definir a consulta no campo Pesquisar XPATH de dados.
Como parte da especificação de pesquisa, você pode substituir %s para representar o valor que a consulta XPath obtém do assertion. Por exemplo, a consulta XPATH recupera o valor
user1
do assertion do SAML. Se você inserir a especificação de pesquisa uid=%s
no campo LDAP, a sequência de caracteres resultante será uid=user1. Essa sequência de caracteres é verificada em relação ao diretório de usuários a fim de localizar o registro correto para autenticação.Você também pode especificar filtros com diversas variáveis %s. Por exemplo:
|(uid=%s)(email=%[email protected])|(abcAliasName=%s)(cn=%s)
Os resultados podem ser:
|(uid=user1)([email protected])|(abcAliasName=user1)(cn=user1)
Insira uma especificação de pesquisa para cada um dos tipos de espaço para nome em seu ambiente.
Esquema de autenticação -- Configuração adicional (artefato SAML 1.x, POST)
A seção Configuração adicional do esquema de autenticação permite configurar o plugin do destinatário da mensagem e redirecionar URLs para erros de processamento de assertions durante a autenticação. Além disso, é possível especificar o recurso de destino no site do destinatário.
A seção Configuração adicional contém os seguintes campos:
Plugin do destinatário da mensagem
Nome completo da classe em Java
(Opcional) Especifica o nome da classe em Java totalmente qualificado de uma classe que implementa a interface do Plugin do destinatário da mensagem para o esquema de autenticação.
- ParâmetroEspecifica uma sequência de caracteres de parâmetros que a API transmite para o plugin especificado no campo Nome completo da classe em Java.
Modos e URLs de redirecionamento de status
A autenticação com base em assertion pode falhar no site que utiliza os assertions por vários motivos. Se a autenticação falhar, o
eTrust SiteMinder FSS
fornecerá a funcionalidade para redirecionar o usuário para diferentes aplicativos (URLs) para processamento adicional. Por exemplo, se ocorrer uma falha de desambiguação de usuários, o CA Single Sign-on
redirecionará o usuário para um sistema de provisionamento. Esse sistema de provisionamento pode criar uma conta de usuário que se baseie nas informações encontradas no assertion do SAML.Observação:
o redirecionamento de erros ocorre somente quando o sistema pode analisar a solicitação com êxito e obter as informações necessárias para identificar a autoridade de confirmação e o provedor de serviço.As opções a seguir redirecionam o usuário a um URL configurado com base na condição que causou a falha.
URL de redirecionamento para o status Usuário não encontrado
(Opcional) Identifica o URL para o qual o
CA Single Sign-on
redireciona o usuário quando ele não é encontrado. O status de usuário não encontrado é aplicável quando a mensagem de logon único não tem ID de logon ou o diretório de usuários não contém a ID de logon.- URL de redirecionamento para o status Mensagem de SSO inválido(Opcional) Identifica o URL para o qual oCA Single Sign-onredireciona o usuário quando ocorre uma das seguintes condições:
- A mensagem de logon único é inválida, de acordo com as regras especificadas pelos esquemas de SAML.
- O destinatário exige um assertion criptografado, mas a mensagem de logon único não contém um assertion criptografado.
- URL de redirecionamento para o status Credencial de usuário (mensagem SSO) não aceita(Opcional) Identifica o URL para o qual oCA Single Sign-onredireciona o usuário em caso de condições de erro diferentes de usuário não encontrado ou mensagem de logon inválida. A asserção é válida, mas oCA Single Sign-onnão aceita a mensagem por alguns motivos, como:
- Falha na validação da assinatura digital de XML
- Falha na operação de descriptografia de XML
- Falha na validação de XML de condições, como uma mensagem expirada ou uma incompatibilidade de público.
- Nenhum dos assertions na mensagem de SSO contém uma instrução de autenticação.
- ModoEspecifica o método por meio do qual oCA Single Sign-onredireciona o usuário para o URL de redirecionamento. Estas opções são:
- 302 Sem dados (padrão)Redireciona o usuário por meio de um redirecionamento HTTP 302 com um cookie de sessão, mas sem outros dados.
- HTTP PostRedireciona o usuário usando o protocolo HTTP Post.
Configuração da página de destino
Essa seção da caixa de diálogo permite que você especifique o URL do recurso de destino no site do destinatário. Se existir um parâmetro de consulta, determine se o
CA Single Sign-on
deve substituir o URL pelo valor do parâmetro de consulta TARGET no URL de resposta da autenticação.- URL de destino padrão(Opcional) Especifica o URL do recurso de destino que reside no destinatário. Esse destino é um recurso federado protegido que os usuários podem solicitar.O destinatário não tem de usar o destino padrão. O link que inicia o logon único pode conter um parâmetro de consulta que especifica o destino.
- O DESTINO do parâmetro da consulta substitui o URL de destino padrão(Opcional) Substitui o valor especificado no campo URL de destino padrão pelo valor do parâmetro de consulta TARGET na resposta. Usando o parâmetro de consulta DESTINO, você pode definir o destino dinamicamente. É possível alterar o destino com cada resposta de autenticação. A flexibilidade do parâmetro de consulta TARGET proporciona mais controle sobre o destino. Em uma comparação, o valor de URL de destino padrão é um valor estático.Essa caixa de seleção é selecionada por padrão.