Configuração da entidade de IdP remota do SAML 2.0
Conteúdo
casso1283
HID_remote-idp-entity-configuration
Conteúdo
A etapa Configurar entidade contém os detalhes de configuração de uma entidade de federação.
Configurar entidade de IdP remota do SAML 2.0
Na seção de configuração de entidade de IdP remota do SAML 2.0, você pode identificar a entidade. Os campos a seguir não são autoexplicativos:
- casso1283ID de entidadeIdentifica a entidade de federação para um parceiro. A ID da entidade é um identificador universal, como um nome de domínio. Se a ID da entidade representar umparceiro remoto, esse valor deverá ser exclusivo. Se a ID da entidade representar umparceiro local, ela poderá ser reutilizada no mesmo sistema. Por exemplo, se a ID da entidade representar uma autoridade de confirmação, essa mesma ID poderá ser usada em mais de uma parceria.Uma ID de entidade que representa um parceiro remoto pode pertencer apenas a uma única parceria ativa.Valor:URI (URL recomendado)Observe as seguintes diretrizes:
- A ID da entidade deve ser um URI, mas recomenda-se um URL absoluto.
- Se a ID da entidade for um URL:
- A parte do host do URL deve ser um nome com sua raiz no domínio de DNS principal da organização.
- O URL não deve conter um número de porta, uma sequência de caracteres de consulta ou um identificador de fragmento.
- Não use "e" comercial (&) na ID da entidade porque ele é reconhecido como um parâmetro de consulta separado.
- Não especifique um URN.
- A ID da entidade para um parceiro remoto deve ser globalmente exclusivo para evitar colisões de nome dentro das federações e entre elas.
Exemplos de IDs de entidade válidas- CompanyA:portal1
- http://idp_name.forwardinc.com/idp
- https://idp_name.example.edu/sp
Exemplos de IDs de entidade inválidas:- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto&test=1
- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (Este URL pode funcionar, mas não aconselhamos o uso desta sintaxe)
Nome da entidadeNomeia o objeto de entidade no repositório de diretivas. O Nome da entidade deve ser um valor exclusivo. O Federation usa o Nome da entidade internamente para distinguir uma entidade em um determinado site. Esse valor não é usado externamente e o parceiro remoto não tem conhecimento desse valor.Observação:o Nome da entidade pode ter o mesmo valor que a ID da entidade, mas o valor nunca será compartilhado com nenhuma outra entidade no site.Valor:uma sequência de caracteres alfanuméricosExemplo:Partner1DescriçãoEspecifica informações adicionais para descrever a entidade.Valor:uma sequência de caracteres alfanuméricos com até 1.024 caracteres.URL baseEspecifica o local de base do servidor que está visível para os usuários da federação desejados. Geralmente, esse é o servidor no qual oSiteMinderé instalado. Entretanto, o servidor pode ser o URL do servidor que hospeda os serviços de federação, como o serviço de logon único. O URL base permite que oSiteMindergere URLs relativos em outras partes da configuração, tornando a configuração mais eficiente.É possível editar o URL base. Por exemplo, você pode configurar hosts virtuais para o sistemaSiteMinder. Um host virtual lida com a comunicação da interface de usuário. O outro host virtual lida com o tráfego do usuário processado pelo Apache Web Server incorporado. É possível editar o URL base para apontar apenas para o servidor e a porta HTTP do Apache Web Server.Valor:URL válidoExemplo:https://fedserver.ca.com:5555Verifique as importantes diretrizes a seguir para modificar esse campo:Se você modificar o URL base, não insira uma barra no final desse URL. Um barra final resulta na inclusão de duas barras em outros URLs que utilizam esse URL base.Se estiver usando mais de umSiteMinderpara o suporte à tolerância a falhas, defina esse campo com o nome de host e a porta do sistema que está gerenciando a tolerância a falhas para os outros sistemas. Esse sistema não pode ser um balanceador de carga nem um servidor proxy. - Nome da entidadeNomeia a entidade no repositório de diretivas. O Nome da entidade deve ser um valor exclusivo. O Federation usa o Nome da entidade internamente para distinguir uma entidade em um determinado site. Esse valor não é usado externamente e o parceiro remoto não tem conhecimento desse valor.O Nome da entidade pode ter o mesmo valor que a ID da entidade, mas o valor nunca será compartilhado com nenhuma outra entidade no site.Valor:sequência de caracteres alfanuméricosExemplo:Partner1
- URLs de serviço SSO remotoIdentifica o serviço de logon único nesse IdP remoto. Clique em Adicionar linha para incluir uma entrada na tabela.defina pelo menos um serviço de SSO.A tabela inclui as seguintes colunas:
- AssociaçãoEspecifica a associação usada para logon único por essa entidade.Padrão:Redirecionamento HTTPLimites:Redirecionamento HTTP, SOAP
- URLIdentifica o URL do serviço de logon único no IdP.Valor:um URL válidoPor exemplo, se ohttp://SiteMinderfor o produtor:federation_server:8054/affwebservices/public/saml2sso
- ExcluirRemove a entrada da tabela.
- URLs remotos de resolução do artefato SOAP(Obrigatório apenas para Artefato HTTP) Identifica o serviço de resolução de artefato no IdP remoto.As entradas de URL incluem as seguintes configurações:
- Índice remissivoEspecifica um número de índice que identifica o URL do serviço de resolução de artefato no IdP. O índice determina a ordem em que os URLs do serviço de resolução de artefato são tentados, quando mais de um for definido.Padrão:0Valor:número inteiro exclusivo de 0 a 99999.
- URLEspecifica o URL do serviço de resolução de artefato. Se o SSL estiver ativado para esse serviço, o URL deverá começar comhttps://.
- URLs de serviço SLO remoto(Opcional) Identifica o serviço de logoff único no IdP remoto. A tabela inclui as seguintes colunas:
- AssociaçãoEspecifica a associação para o SLO por essa entidade.Padrão:Redirecionamento HTTPOpções:Redirecionamento HTTP, SOAP
- URL do localEspecifica o URL do serviço de logoff único nesse IdP remoto.
- O URL é: http:/server:port/affwebservices/public/saml2sloserver:porté o servidor no qual oSiteMinderestá instalado.
- Para fornecedores terceiros, o URL representa o serviço que está tratando das respostas de logoff único.
- URL do local da resposta(Opcional) Especifica o URL do serviço de logoff único nesse IdP remoto. Um URL do local da resposta é útil para uma configuração em que há um serviço para solicitações de logoff único e um serviço para respostas de logoff único.
- Para oSiteMinder,esse valor é sempre igual ao URL do local SLO:http://server:port/affwebservices/public/saml2sloserver:porté o servidor no qual oSiteMinderestá instalado.
- Para fornecedores terceiros, o URL representa o serviço que está tratando das respostas de logoff único.
URLs do serviço Manage Name ID
(Opcional) Identifica o serviço de ID para gerenciar nome na ID remota. Clique em Adicionar linha para incluir uma entrada na tabela.
A tabela inclui as seguintes colunas:
- AssociaçãoEspecifica a associação que é usada para o serviço Gerenciar ID do nome por essa entidade.Padrão:SOAPOpções:Redirecionamento HTTP, HTTP Post (leitura, mas sem uso)
- URL do localEspecifica o URL do serviço Gerenciar ID do nome nesse IdP remoto.Para oSiteMinder,esse valor é:http://servidor_sp:porta/affwebservices/public/saml2nidsoapsp_server:portespecifica o servidor e o número da porta no SP que está hospedando oSiteMinder.
- URL do local da resposta(Opcional) Especifica um URL do local da resposta, que é útil quando há um serviço para solicitações e um serviço para respostas. Essa configuração não se aplica à associação do SOAP.Para oSiteMinder, esse valor é sempre igual ao URL do local:http://servidor_stmndr:porta/affwebservices/public/saml2nidsoapstmndr_server:porté o servidor no SP no qual oestá instalado.SiteMinder
- URLs do serviço de atributos remoto(Opcional). Lista os URLs de vários serviços de atributos neste IdP. Insira o URL do serviço de atributos que pode suportar consultas de atributos de um SP. É possível adicionar várias entradas adicionando linhas à tabela.Exemplo:http://host.forwardinc.com/affwebservices/public/saml2attrsvc
Opções de assinatura e criptografia
A seção Opções de assinatura e criptografia permite definir os comportamentos de assinatura e criptografia para transações federadas. A seção contém os seguintes campos:
- Alias do certificado de verificação(Opcional) Especifica o alias que está associado a um certificado específico no repositório de dados de certificados. O alias fornecido por você instrui o Servidor de políticas sobre o certificado que deve ser usado para verificar os assertions assinados e as solicitações de SLO.Selecione um alias na lista suspensa. Se o certificado não estiver no repositório de dados de certificados, clique em Importar para importar um certificado.O certificado deve estar no repositório de dados de certificados antes de você especificar seu alias associado nesse campo.Valor:uma seleção da lista suspensa
- Alias do certificado de verificação secundário(Opcional) Especifica um segundo alias de certificado de verificação para um certificado no repositório de dados de certificados. Se a verificação de assinatura de uma solicitação ou resposta não usar o alias do certificado de verificação configurado, o SP local usará esse alias de certificado secundário. O IdP remoto envia o certificado de verificação ao SP antes da ocorrência de qualquer transação, usando metadados ou algum outro meio.Especificar um alias secundário é útil quando um IdP substitui seu certificado de assinatura. Uma substituição pode ocorrer por qualquer motivo, como quando um certificado expira, uma chave privada é comprometida ou o tamanho da chave privada é alterado. Se o certificado ainda não estiver no repositório de dados de certificados, clique emImportarpara importá-lo.Valor:seleção da lista suspensa.
- É necessário fornecer solicitações de autenticação assinadaIndica que as mensagens de AuthnRequest devem estar assinadas, ou o IdP não as aceitará.
Atributos e formatos de ID de nome suportados (SAML 2.0)
casso1283
casso1283
A seção Atributos e formatos de ID de nome com suporte permite que você especifique os formatos de ID de nome com suporte na entidade. Além disso, para um provedor de identidades, ela indica os atributos a serem adicionados para um assertion.
O identificador de nome nomeia um usuário de maneira exclusiva no assertion e especifica os atributos a serem incluídos no assertion. O formato do identificador de nome estabelece o tipo de conteúdo utilizado para a ID. Por exemplo, o formato pode ser o DN do usuário e, nesse caso, o conteúdo pode ser um uid.
Os atributos adicionados em um assertion podem identificar ainda mais um usuário e ativar um aplicativo usando o assertion a ser personalizado para cada usuário.
- Formatos de ID de nome suportadosLista todos os formatos de ID de nome suportados pela entidade. Selecione todos os formatos aplicáveis.Para obter uma descrição de cada formato, consulte a especificaçãoAssertions e protocolos para OASIS SAML (Security Assertion Markup Language) V2.0.
- Atributos de asserção suportados (IdP local e remoto)Especifica os atributos que a autoridade de confirmação inclui no assertion. A tabela inclui as seguintes colunas:
- Atributo da declaraçãoIndica o atributo de diretório de usuários específico que é incluído no assertion.Valor:nome de um atributo de diretório de usuários válido
- Formato suportadoDesigna o formato do atributo.Opções:Não especificado, Básico, URI
(A partir da release 12.8.06) Seção de configuração de marcas
A seção de configuração de marcas permite adicionar mais informações ou contexto como marcas a uma entidade. As marcas ajudam no agrupamento de objetos semelhantes usando metadados comuns e persistindo contexto adicional específico à organização, o que ajuda na fácil identificação e recuperação dos objetos. Você pode atribuir vários valores a uma marca em um formato de par de chave e valor.
Esta seção contém os seguintes campos:
- AdicionarNo primeiro clique, exibe as marcas que são atribuídas à categoria de objetoEntidade de federaçãousando a caixa de diálogo Marcas. Nos cliques subsequentes, adiciona outra linha para acrescentar várias marcas e valores de marca.
- NomeExibe os nomes das marcas que são atribuídas à categoria de objetoEntidade de federação. O nome da marca é exibido no formato <tag_name>[<data_type>].
- ValorEspecifica um valor para a marca selecionada. Não insira os caracteres *, <, =, >, ! no valor. Se o tipo de dado da marca selecionada forData, o valor da marca deverá estar no formatoaaaa-mm-dde dentro do intervalo de 1º de janeiro de 1970 e 31 de dezembro de 3000.
Depois que as alterações forem enviadas, a coluna
Marcas
na tabela exibirá a marca no formato <tag_name
>=<tag_value
>.