Configuração da entidade de SP local do SAML 2.0
casso1283
HID_local-sp-entity
A etapa Configurar entidade contém os detalhes de configuração de uma entidade de federação.
Configurar entidade de SP local do SAML 2.0
A seção de configuração de entidade de SP local do SAML 2.0 permite identificar a entidade. As configurações incluem:
- casso1283ID de entidadeIdentifica a entidade de federação para um parceiro. A ID da entidade é um identificador universal, como um nome de domínio. Se a ID da entidade representar umparceiro remoto, esse valor deverá ser exclusivo. Se a ID da entidade representar umparceiro local, ela poderá ser reutilizada no mesmo sistema. Por exemplo, se a ID da entidade representar uma autoridade de confirmação, essa mesma ID poderá ser usada em mais de uma parceria.Uma ID de entidade que representa um parceiro remoto pode pertencer apenas a uma única parceria ativa.Valor:URI (URL recomendado)Observe as seguintes diretrizes:
- A ID da entidade deve ser um URI, mas recomenda-se um URL absoluto.
- Se a ID da entidade for um URL:
- A parte do host do URL deve ser um nome com sua raiz no domínio de DNS principal da organização.
- O URL não deve conter um número de porta, uma sequência de caracteres de consulta ou um identificador de fragmento.
- Não use "e" comercial (&) na ID da entidade porque ele é reconhecido como um parâmetro de consulta separado.
- Não especifique um URN.
- A ID da entidade para um parceiro remoto deve ser globalmente exclusivo para evitar colisões de nome dentro das federações e entre elas.
Exemplos de IDs de entidade válidas- CompanyA:portal1
- http://idp_name.forwardinc.com/idp
- https://idp_name.example.edu/sp
Exemplos de IDs de entidade inválidas:- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto&test=1
- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (Este URL pode funcionar, mas não aconselhamos o uso desta sintaxe)
Nome da entidadeNomeia o objeto de entidade no repositório de diretivas. O Nome da entidade deve ser um valor exclusivo. O Federation usa o Nome da entidade internamente para distinguir uma entidade em um determinado site. Esse valor não é usado externamente e o parceiro remoto não tem conhecimento desse valor.Observação:o Nome da entidade pode ter o mesmo valor que a ID da entidade, mas o valor nunca será compartilhado com nenhuma outra entidade no site.Valor:uma sequência de caracteres alfanuméricosExemplo:Partner1DescriçãoEspecifica informações adicionais para descrever a entidade.Valor:uma sequência de caracteres alfanuméricos com até 1.024 caracteres.URL baseEspecifica o local de base do servidor que está visível para os usuários da federação desejados. Geralmente, esse é o servidor no qual oSiteMinderé instalado. Entretanto, o servidor pode ser o URL do servidor que hospeda os serviços de federação, como o serviço de logon único. O URL base permite que oSiteMindergere URLs relativos em outras partes da configuração, tornando a configuração mais eficiente.É possível editar o URL base. Por exemplo, você pode configurar hosts virtuais para o sistemaSiteMinder. Um host virtual lida com a comunicação da interface de usuário. O outro host virtual lida com o tráfego do usuário processado pelo Apache Web Server incorporado. É possível editar o URL base para apontar apenas para o servidor e a porta HTTP do Apache Web Server.Valor:URL válidoExemplo:https://fedserver.ca.com:5555Verifique as importantes diretrizes a seguir para modificar esse campo:Se você modificar o URL base, não insira uma barra no final desse URL. Um barra final resulta na inclusão de duas barras em outros URLs que utilizam esse URL base.Se estiver usando mais de umSiteMinderpara o suporte à tolerância a falhas, defina esse campo com o nome de host e a porta do sistema que está gerenciando a tolerância a falhas para os outros sistemas. Esse sistema não pode ser um balanceador de carga nem um servidor proxy.
Opções de criptografia e de assinatura padrão
A seção Opções de criptografia e de assinatura padrão define os comportamentos de assinatura e criptografia da comunicação federada.
As chaves privadas devem estar no repositório de dados de certificados antes que você possa selecionar aliases de chave para cada campo.
A seção contém as seguintes configurações:
- Alias de chave privada de assinatura(Opcional) Especifica o alias que está associado a um par chave/certificado privado específico no repositório de dados de certificados. A entrada nesse campo indica qual par de chave privada/certificado o SP usa para assinar respostas de assertions, solicitações de logoff único e respostas de logoff único.Se o par de chave/certificado ainda não estiver no repositório de dados de certificados, clique emImportarpara importá-lo.Valor:seleção da lista suspensa.
- Alias da chave privada de descriptografia(Opcional) Especifica o alias que está associado a uma determinada chave privada no repositório de dados de certificados. A entrada nesse campo indica a chave privada usada pelo SP para descriptografar assertions, respostas de assertions, solicitações de logoff único e respostas de logoff único.Se a chave ainda não estiver no repositório de dados de certificados, clique emImportarpara importá-la.Valor:seleção da lista suspensa
- Assinar solicitações de autenticaçãoIndica que a entidade assina todas as solicitações de autenticação que ele envia. Se você marcar essa caixa de seleção, o IdP não enviará respostas não solicitadas, o que garante uma relação de confiança entre os dois parceiros.
Formatos de ID de nome suportados
casso1283
A seção Formatos de ID de nome suportados permite que você especifique os formatos de ID de nome com suporte na entidade.
O identificador de nome nomeia um usuário de maneira exclusiva no assertion e especifica os atributos a serem incluídos no assertion. O formato do identificador de nome estabelece o tipo de conteúdo utilizado para a ID. Por exemplo, o formato pode ser o DN do usuário e, nesse caso, o conteúdo pode ser um uid.
- Formatos de ID de nome suportadosLista todos os formatos de ID de nome suportados pela entidade. Selecione todos os formatos aplicáveis.Para obter uma descrição de cada formato, consulte a especificaçãoAssertions e protocolos para OASIS SAML (Security Assertion Markup Language) V2.0.
(A partir da release 12.8.06) Seção de configuração de marcas
A seção de configuração de marcas permite adicionar mais informações ou contexto como marcas a uma entidade. As marcas ajudam no agrupamento de objetos semelhantes usando metadados comuns e persistindo contexto adicional específico à organização, o que ajuda na fácil identificação e recuperação dos objetos. Você pode atribuir vários valores a uma marca em um formato de par de chave e valor.
Esta seção contém os seguintes campos:
- AdicionarNo primeiro clique, exibe as marcas que são atribuídas à categoria de objetoEntidade de federaçãousando a caixa de diálogo Marcas. Nos cliques subsequentes, adiciona outra linha para acrescentar várias marcas e valores de marca.
- NomeExibe os nomes das marcas que são atribuídas à categoria de objetoEntidade de federação. O nome da marca é exibido no formato <tag_name>[<data_type>].
- ValorEspecifica um valor para a marca selecionada. Não insira os caracteres *, <, =, >, ! no valor. Se o tipo de dado da marca selecionada forData, o valor da marca deverá estar no formatoaaaa-mm-dde dentro do intervalo de 1º de janeiro de 1970 e 31 de dezembro de 3000.
Depois que as alterações forem enviadas, a coluna
Marcas
na tabela exibirá a marca no formato <tag_name
>=<tag_value
>.