Configuração da entidade de IdP remota do SAML 2.0

Conteúdo
casso1283
HID_remote-idp-entity-configuration
Conteúdo
A etapa Configurar entidade contém os detalhes de configuração de uma entidade de federação.
Configurar entidade de IdP remota do SAML 2.0
Na seção de configuração de entidade de IdP remota do SAML 2.0, você pode identificar a entidade. Os campos a seguir não são autoexplicativos:
  • casso1283
    ID de entidade
    Identifica a entidade de federação para um parceiro. A ID da entidade é um identificador universal, como um nome de domínio. Se a ID da entidade representar um
    parceiro remoto
    , esse valor deverá ser exclusivo. Se a ID da entidade representar um
    parceiro local
    , ela poderá ser reutilizada no mesmo sistema. Por exemplo, se a ID da entidade representar uma autoridade de confirmação, essa mesma ID poderá ser usada em mais de uma parceria.
    Uma ID de entidade que representa um parceiro remoto pode pertencer apenas a uma única parceria ativa.
    Valor:
    URI (URL recomendado)
    Observe as seguintes diretrizes:
    • A ID da entidade deve ser um URI, mas recomenda-se um URL absoluto.
    • Se a ID da entidade for um URL:
      • A parte do host do URL deve ser um nome com sua raiz no domínio de DNS principal da organização.
      • O URL não deve conter um número de porta, uma sequência de caracteres de consulta ou um identificador de fragmento.
    • Não use "e" comercial (&) na ID da entidade porque ele é reconhecido como um parâmetro de consulta separado.
    • Não especifique um URN.
    • A ID da entidade para um parceiro remoto deve ser globalmente exclusivo para evitar colisões de nome dentro das federações e entre elas.
    Exemplos de IDs de entidade válidas
    • CompanyA:portal1
    • http://idp_name.forwardinc.com/idp
    • https://idp_name.example.edu/sp
    Exemplos de IDs de entidade inválidas:
    Nome da entidade
    Nomeia o objeto de entidade no repositório de diretivas. O Nome da entidade deve ser um valor exclusivo. O Federation usa o Nome da entidade internamente para distinguir uma entidade em um determinado site. Esse valor não é usado externamente e o parceiro remoto não tem conhecimento desse valor.
    Observação:
    o Nome da entidade pode ter o mesmo valor que a ID da entidade, mas o valor nunca será compartilhado com nenhuma outra entidade no site.
    Valor:
    uma sequência de caracteres alfanuméricos
    Exemplo:
    Partner1
    Descrição
    Especifica informações adicionais para descrever a entidade.
    Valor:
    uma sequência de caracteres alfanuméricos com até 1.024 caracteres.
    URL base
    Especifica o local de base do servidor que está visível para os usuários da federação desejados. Geralmente, esse é o servidor no qual o
    SiteMinder
    é instalado. Entretanto, o servidor pode ser o URL do servidor que hospeda os serviços de federação, como o serviço de logon único. O URL base permite que o
    SiteMinder
    gere URLs relativos em outras partes da configuração, tornando a configuração mais eficiente.
    É possível editar o URL base. Por exemplo, você pode configurar hosts virtuais para o sistema
    SiteMinder
    . Um host virtual lida com a comunicação da interface de usuário. O outro host virtual lida com o tráfego do usuário processado pelo Apache Web Server incorporado. É possível editar o URL base para apontar apenas para o servidor e a porta HTTP do Apache Web Server.
    Valor:
    URL válido
    Exemplo:
    https://fedserver.ca.com:5555
    Verifique as importantes diretrizes a seguir para modificar esse campo:
    Se você modificar o URL base, não insira uma barra no final desse URL. Um barra final resulta na inclusão de duas barras em outros URLs que utilizam esse URL base.
    Se estiver usando mais de um
    SiteMinder
    para o suporte à tolerância a falhas, defina esse campo com o nome de host e a porta do sistema que está gerenciando a tolerância a falhas para os outros sistemas. Esse sistema não pode ser um balanceador de carga nem um servidor proxy.
  • Nome da entidade
    Nomeia a entidade no repositório de diretivas. O Nome da entidade deve ser um valor exclusivo. O Federation usa o Nome da entidade internamente para distinguir uma entidade em um determinado site. Esse valor não é usado externamente e o parceiro remoto não tem conhecimento desse valor.
    O Nome da entidade pode ter o mesmo valor que a ID da entidade, mas o valor nunca será compartilhado com nenhuma outra entidade no site.
    Valor:
    sequência de caracteres alfanuméricos
    Exemplo:
    Partner1
  • URLs de serviço SSO remoto
    Identifica o serviço de logon único nesse IdP remoto. Clique em Adicionar linha para incluir uma entrada na tabela.
    defina pelo menos um serviço de SSO.
    A tabela inclui as seguintes colunas:
    • Associação
      Especifica a associação usada para logon único por essa entidade.
      Padrão:
      Redirecionamento HTTP
      Limites:
      Redirecionamento HTTP, SOAP
    • URL
      Identifica o URL do serviço de logon único no IdP.
      Valor:
      um URL válido
      Por exemplo, se o
      SiteMinder
      for o produtor:
      http://
      federation_server
      :8054/affwebservices/public/saml2sso
    • Excluir
      Remove a entrada da tabela.
  • URLs remotos de resolução do artefato SOAP
    (Obrigatório apenas para Artefato HTTP) Identifica o serviço de resolução de artefato no IdP remoto.
    As entradas de URL incluem as seguintes configurações:
    • Índice remissivo
      Especifica um número de índice que identifica o URL do serviço de resolução de artefato no IdP. O índice determina a ordem em que os URLs do serviço de resolução de artefato são tentados, quando mais de um for definido.
      Padrão:
      0
      Valor:
      número inteiro exclusivo de 0 a 99999.
    • URL
      Especifica o URL do serviço de resolução de artefato. Se o SSL estiver ativado para esse serviço, o URL deverá começar com
      https://
      .
  • URLs de serviço SLO remoto
    (Opcional) Identifica o serviço de logoff único no IdP remoto. A tabela inclui as seguintes colunas:
    • Associação
      Especifica a associação para o SLO por essa entidade.
      Padrão:
      Redirecionamento HTTP
      Opções:
      Redirecionamento HTTP, SOAP
    • URL do local
      Especifica o URL do serviço de logoff único nesse IdP remoto.
      • O URL é: http:/
        server:port
        /affwebservices/public/saml2slo
        server:port
        é o servidor no qual o
        SiteMinder
        está instalado.
      • Para fornecedores terceiros, o URL representa o serviço que está tratando das respostas de logoff único.
    • URL do local da resposta
      (Opcional) Especifica o URL do serviço de logoff único nesse IdP remoto. Um URL do local da resposta é útil para uma configuração em que há um serviço para solicitações de logoff único e um serviço para respostas de logoff único.
      • Para o
        SiteMinder
        ,
        esse valor é sempre igual ao URL do local SLO:
        http://
        server:port
        /affwebservices/public/saml2slo
        server:port
        é o servidor no qual o
        SiteMinder
        está instalado.
      • Para fornecedores terceiros, o URL representa o serviço que está tratando das respostas de logoff único.
URLs do serviço Manage Name ID
(Opcional) Identifica o serviço de ID para gerenciar nome na ID remota. Clique em Adicionar linha para incluir uma entrada na tabela.
A tabela inclui as seguintes colunas:
  • Associação
    Especifica a associação que é usada para o serviço Gerenciar ID do nome por essa entidade.
    Padrão:
    SOAP
    Opções:
    Redirecionamento HTTP, HTTP Post (leitura, mas sem uso)
  • URL do local
    Especifica o URL do serviço Gerenciar ID do nome nesse IdP remoto.
    Para o
    SiteMinder
    ,
    esse valor é:
    http://
    servidor_sp:porta
    /affwebservices/public/saml2nidsoap
    sp_server:port
    especifica o servidor e o número da porta no SP que está hospedando o
    SiteMinder
    .
  • URL do local da resposta
    (Opcional) Especifica um URL do local da resposta, que é útil quando há um serviço para solicitações e um serviço para respostas. Essa configuração não se aplica à associação do SOAP.
    Para o
    SiteMinder
    , esse valor é sempre igual ao URL do local:
    http://
    servidor_stmndr:porta
    /affwebservices/public/saml2nidsoap
    stmndr_server:port
    é o servidor no SP no qual o
    SiteMinder
    está instalado.
  • URLs do serviço de atributos remoto
    (Opcional). Lista os URLs de vários serviços de atributos neste IdP. Insira o URL do serviço de atributos que pode suportar consultas de atributos de um SP. É possível adicionar várias entradas adicionando linhas à tabela.
    Exemplo:
    http://host.forwardinc.com/affwebservices/public/saml2attrsvc
Opções de assinatura e criptografia
A seção Opções de assinatura e criptografia permite definir os comportamentos de assinatura e criptografia para transações federadas. A seção contém os seguintes campos:
  • Alias do certificado de verificação
    (Opcional) Especifica o alias que está associado a um certificado específico no repositório de dados de certificados. O alias fornecido por você instrui o Servidor de políticas sobre o certificado que deve ser usado para verificar os assertions assinados e as solicitações de SLO.
    Selecione um alias na lista suspensa. Se o certificado não estiver no repositório de dados de certificados, clique em Importar para importar um certificado.
    O certificado deve estar no repositório de dados de certificados antes de você especificar seu alias associado nesse campo.
    Valor:
    uma seleção da lista suspensa
  • Alias do certificado de verificação secundário
    (Opcional) Especifica um segundo alias de certificado de verificação para um certificado no repositório de dados de certificados. Se a verificação de assinatura de uma solicitação ou resposta não usar o alias do certificado de verificação configurado, o SP local usará esse alias de certificado secundário. O IdP remoto envia o certificado de verificação ao SP antes da ocorrência de qualquer transação, usando metadados ou algum outro meio.Especificar um alias secundário é útil quando um IdP substitui seu certificado de assinatura. Uma substituição pode ocorrer por qualquer motivo, como quando um certificado expira, uma chave privada é comprometida ou o tamanho da chave privada é alterado. Se o certificado ainda não estiver no repositório de dados de certificados, clique em
    Importar
    para importá-lo.
    Valor:
    seleção da lista suspensa.
  • É necessário fornecer solicitações de autenticação assinada
    Indica que as mensagens de AuthnRequest devem estar assinadas, ou o IdP não as aceitará.
Atributos e formatos de ID de nome suportados (SAML 2.0)
casso1283
casso1283
A seção Atributos e formatos de ID de nome com suporte permite que você especifique os formatos de ID de nome com suporte na entidade. Além disso, para um provedor de identidades, ela indica os atributos a serem adicionados para um assertion.
O identificador de nome nomeia um usuário de maneira exclusiva no assertion e especifica os atributos a serem incluídos no assertion. O formato do identificador de nome estabelece o tipo de conteúdo utilizado para a ID. Por exemplo, o formato pode ser o DN do usuário e, nesse caso, o conteúdo pode ser um uid.
Os atributos adicionados em um assertion podem identificar ainda mais um usuário e ativar um aplicativo usando o assertion a ser personalizado para cada usuário.
  • Formatos de ID de nome suportados
    Lista todos os formatos de ID de nome suportados pela entidade. Selecione todos os formatos aplicáveis.
    Para obter uma descrição de cada formato, consulte a especificação
    Assertions e protocolos para OASIS SAML (Security Assertion Markup Language) V2.0
    .
  • Atributos de asserção suportados (IdP local e remoto)
    Especifica os atributos que a autoridade de confirmação inclui no assertion. A tabela inclui as seguintes colunas:
    • Atributo da declaração
      Indica o atributo de diretório de usuários específico que é incluído no assertion.
      Valor:
      nome de um atributo de diretório de usuários válido
    • Formato suportado
      Designa o formato do atributo.
      Opções:
      Não especificado, Básico, URI
(A partir da release 12.8.06) Seção de configuração de marcas
A seção de configuração de marcas permite adicionar mais informações ou contexto como marcas a uma entidade. As marcas ajudam no agrupamento de objetos semelhantes usando metadados comuns e persistindo contexto adicional específico à organização, o que ajuda na fácil identificação e recuperação dos objetos. Você pode atribuir vários valores a uma marca em um formato de par de chave e valor.
Esta seção contém os seguintes campos:
  • Adicionar
    No primeiro clique, exibe as marcas que são atribuídas à categoria de objeto
    Entidade de federação
    usando a caixa de diálogo Marcas. Nos cliques subsequentes, adiciona outra linha para acrescentar várias marcas e valores de marca.
  • Nome
    Exibe os nomes das marcas que são atribuídas à categoria de objeto
    Entidade de federação
    . O nome da marca é exibido no formato <
    tag_name
    >[<
    data_type
    >].
  • Valor
    Especifica um valor para a marca selecionada. Não insira os caracteres *, <, =, >, ! no valor. Se o tipo de dado da marca selecionada for
    Data
    , o valor da marca deverá estar no formato
    aaaa-mm-dd
    e dentro do intervalo de 1º de janeiro de 1970 e 31 de dezembro de 3000.
Depois que as alterações forem enviadas, a coluna
Marcas
na tabela exibirá a marca no formato <
tag_name
>=<
tag_value
>.