Configuração da entidade de SP remota do SAML 2.0
casso1283
HID_remote-sp-entity-config
A etapa Configurar entidade contém os detalhes de configuração de uma entidade de federação.
Configurar entidade de SP remota do SAML 2.0
A seção de configuração de entidade de SP remota do SAML 2.0 permite identificar a entidade.
- ID de entidadeIdentifica a entidade de federação para um parceiro. A ID da entidade é um identificador universal, como um nome de domínio. Se a ID da entidade representar umparceiro remoto, esse valor deverá ser exclusivo. Se a ID da entidade representar umparceiro local, ela poderá ser reutilizada no mesmo sistema. Por exemplo, se a ID da entidade representar um IdP local, essa mesma ID poderá ser usada em mais de uma parceria do tipo IdP-para-SP.
- Uma ID de entidade que representa um parceiro remoto pode pertencer apenas a uma única parceria ativa.Valor:URI (URL recomendado)Observe as seguintes diretrizes:
- A ID da entidade deve ser um URI, mas recomenda-se um URL absoluto.
- Se a ID da entidade for um URL:
- A parte do host do URL deve ser um nome com sua raiz no domínio de DNS principal da organização.
- O URL não deve conter um número de porta, uma sequência de caracteres de consulta ou um identificador de fragmento.
- Não use "e" comercial (&) na ID da entidade porque ele é reconhecido como um parâmetro de consulta separado.
- Não especifique um URN.
- A ID da entidade para um parceiro remoto deve ser globalmente exclusivo para evitar colisões de nome dentro das federações e entre elas.
Exemplos de IDs de entidade válidas- CompanyA:portal1
- http://idp_name.forwardinc.com/idp
- https://idp_name.example.edu/sp
Exemplos de IDs de entidade inválidas:- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto&test=1
- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (Este URL pode funcionar, mas não aconselhamos o uso desta sintaxe)
- Nome da entidadeNomeia o objeto de entidade no banco de dados. O Nome da entidade deve ser um valor exclusivo. O sistema usa o Nome da entidade internamente para distinguir uma entidade em um determinado site. Esse valor não é usado externamente e o parceiro remoto não tem conhecimento desse valor.O Nome da entidade pode ter o mesmo valor que a ID da entidade, mas o valor nunca será compartilhado com nenhuma outra entidade no site.Valor:uma sequência de caracteres alfanuméricosExemplo:Partner1
- DescriçãoEspecifica informações adicionais para descrever a entidade.Valor:uma sequência de caracteres alfanuméricos com até 1.024 caracteres.
URLs do Assertion Consumer Service
A seção URLs do Assertion Consumer Service especifica o serviço no SP remoto que utiliza os assertions. Clique em Adicionar linha para incluir uma entrada na tabela.
certifique-se de definir pelo menos uma entrada do Assertion Consumer Service.
A tabela inclui as seguintes colunas:
- Índice remissivoEspecifica o número de índice associado ao URL do Assertion Consumer Service.Padrão:0Valor: número inteiro exclusivo de 0 a 99999.
- AssociaçãoEspecifica a associação utilizada por esse terminal para o logon único.O IdP pode iniciar o logon único com uma solicitação não realizada. Se a solicitação incluir o parâmetro de consulta ProtocolBinding, a associação especificada no parâmetro de consulta substituirá o valor selecionado para esse campo.Opções:artefato HTTP, HTTP POST, SOAP
- URLEspecifica o URL do Assertion Consumer Service. Se o SSL estiver ativado para esse serviço, o URL deverá começar comhttps://.
- PadrãoIndica que a entrada selecionada do Assertion Consumer Service funciona como o URL padrão para o consumo de assertions. Apenas uma entrada pode ser definida para ser o padrão.
URLs do serviço SLO
(Opcional) Nessa seção, identifica o serviço de logoff único no SP remoto. Clique em Adicionar linha para incluir uma entrada na tabela.
A tabela inclui as seguintes colunas:
- AssociaçãoEspecifica a associação usada para SLO por essa entidade.Padrão:Redirecionamento HTTPOpções:Redirecionamento HTTP, SOAP
- URL do localEspecifica o URL do serviço de logoff único nesse SP remoto.
- Para oSiteMinder, esse valor é:http://sp_server:port/affwebservices/public/saml2slosp_server:portespecifica o servidor e o número da porta no SP que está hospedando oSiteMinder.
- Para fornecedores terceiros, o URL representa o serviço de logoff único.
- URL do local da resposta(Opcional) Especifica o URL do serviço de logoff único nesse SP remoto. Um URL do local da resposta é útil quando há um serviço para solicitações de logoff único e um serviço para respostas de logoff único.
- Para oSiteMinder, esse valor é sempre igual ao URL do local SLO:http://sp_server:port/affwebservices/public/saml2slosp_server:porté o servidor no SP no qual oSiteMinderestá instalado.
- Para fornecedores terceiros, o URL representa o serviço que está tratando das respostas de logoff único.
URLs do serviço Manage Name ID
(Opcional) Identifica o serviço de ID para gerenciar nome no SP remoto. Clique em Adicionar linha para incluir uma entrada na tabela.
A tabela inclui as seguintes colunas:
- AssociaçãoEspecifica a associação que é usada para o serviço de ID para gerenciar nome por essa entidade.Padrão:SOAPOpções:Redirecionamento HTTP, HTTP Post (leitura, mas sem uso)
- URL do localEspecifica o URL do serviço de ID para gerenciar nome nesse SP remoto.
- Para oSiteMinder, esse valor é:http://servidor_sp:porta/affwebservices/public/saml2nidsoapsp_server:portespecifica o servidor e o número da porta no SP que está hospedando oSiteMinder.
- URL do local da resposta(Opcional) Especifica um URL do local da resposta, que é útil quando há um serviço para solicitações e um serviço para respostas. Não se aplica à associação SOAP.
- Para oSiteMinder, esse valor é sempre igual ao URL do local:http://servidor_sp:porta/affwebservices/public/saml2nidsoapsp_server:porté o servidor no SP no qual oSiteMinderestá instalado.
Opções de assinatura e criptografia
A opção Opções de assinatura e criptografia permite definir os comportamentos de assinatura e criptografia para transações federadas. Essa Seção contém as seguintes configurações:
- Alias do certificado de verificação(Opcional) Especifica o alias que está associado a um certificado específico no repositório de dados de certificados. O alias fornecido por você instrui o Servidor de políticas sobre o certificado que deve ser usado para verificar os assertions assinados e as solicitações de SLO.Selecione um alias na lista suspensa. Se o certificado não estiver disponível, clique emImportarpara importá-lo.O certificado deve estar no repositório de dados de certificados antes de você especificar seu alias associado nesse campo.Valor:seleção da lista suspensa
- Alias do certificado de verificação secundário(Opcional) Especifica um segundo alias de certificado de verificação no repositório de dados de certificados. Se a verificação de assinatura de solicitações ou respostas não usar o alias do certificado de verificação, o IdP usará esse alias de verificação secundário para verificar a assinatura. O SP remoto envia o certificado de verificação ao IdP antes que ocorra qualquer transação usando os metadados ou por outro meio. Especificar um alias secundário é útil quando um SP substitui seu certificado de assinatura. Uma substituição pode ocorrer por qualquer motivo, como quando um certificado expira, uma chave privada é comprometida ou o tamanho da chave privada é alterado.Se o certificado ainda não estiver no repositório de dados de certificados, clique emImportarpara importá-lo.Valor:seleção da lista suspensa.
- Alias de certificado de criptografia(Opcional) Especifica o alias que está associado a um certificado específico no repositório de dados de certificados. Ao preencher esse campo, você está indicando o certificado que o SP remoto fornece ao IdP, e que o IdP usará para a criptografia. O SP executa a descriptografia com sua chave privada.Selecione um alias na lista suspensa e clique em Importar para importar um certificado se a chave desejada não estiver disponível.O certificado deve estar no repositório de dados de certificados antes de você especificar seu alias associado nesse campo.Valor:seleção da lista suspensa
- Assinar solicitações de autenticaçãoIndica que as mensagens de AuthnRequest enviadas pelo SP exigem uma assinatura. A assinatura da solicitação protege a relação de confiança entre os dois lados da parceria.
Formatos de ID de nome suportados
casso1283
A seção Formatos de ID de nome suportados permite que você especifique os formatos de ID de nome com suporte na entidade.
O identificador de nome nomeia um usuário de maneira exclusiva no assertion e especifica os atributos a serem incluídos no assertion. O formato do identificador de nome estabelece o tipo de conteúdo utilizado para a ID. Por exemplo, o formato pode ser o DN do usuário e, nesse caso, o conteúdo pode ser um uid.
- Formatos de ID de nome suportadosLista todos os formatos de ID de nome suportados pela entidade. Selecione todos os formatos aplicáveis.Para obter uma descrição de cada formato, consulte a especificaçãoAssertions e protocolos para OASIS SAML (Security Assertion Markup Language) V2.0.
(A partir da release 12.8.06) Seção de configuração de marcas
A seção de configuração de marcas permite adicionar mais informações ou contexto como marcas a uma entidade. As marcas ajudam no agrupamento de objetos semelhantes usando metadados comuns e persistindo contexto adicional específico à organização, o que ajuda na fácil identificação e recuperação dos objetos. Você pode atribuir vários valores a uma marca em um formato de par de chave e valor.
Esta seção contém os seguintes campos:
- AdicionarNo primeiro clique, exibe as marcas que são atribuídas à categoria de objetoEntidade de federaçãousando a caixa de diálogo Marcas. Nos cliques subsequentes, adiciona outra linha para acrescentar várias marcas e valores de marca.
- NomeExibe os nomes das marcas que são atribuídas à categoria de objetoEntidade de federação. O nome da marca é exibido no formato <tag_name>[<data_type>].
- ValorEspecifica um valor para a marca selecionada. Não insira os caracteres *, <, =, >, ! no valor. Se o tipo de dado da marca selecionada forData, o valor da marca deverá estar no formatoaaaa-mm-dde dentro do intervalo de 1º de janeiro de 1970 e 31 de dezembro de 3000.
Depois que as alterações forem enviadas, a coluna
Marcas
na tabela exibirá a marca no formato <tag_name
>=<tag_value
>.