Configuração da entidade de SP remota do SAML 2.0

casso1283
HID_remote-sp-entity-config
A etapa Configurar entidade contém os detalhes de configuração de uma entidade de federação.
Configurar entidade de SP remota do SAML 2.0
A seção de configuração de entidade de SP remota do SAML 2.0 permite identificar a entidade.
  • ID de entidade
    Identifica a entidade de federação para um parceiro. A ID da entidade é um identificador universal, como um nome de domínio. Se a ID da entidade representar um
    parceiro remoto
    , esse valor deverá ser exclusivo. Se a ID da entidade representar um
    parceiro local
    , ela poderá ser reutilizada no mesmo sistema. Por exemplo, se a ID da entidade representar um IdP local, essa mesma ID poderá ser usada em mais de uma parceria do tipo IdP-para-SP.
  • Uma ID de entidade que representa um parceiro remoto pode pertencer apenas a uma única parceria ativa.
    Valor:
    URI (URL recomendado)
    Observe as seguintes diretrizes:
    • A ID da entidade deve ser um URI, mas recomenda-se um URL absoluto.
    • Se a ID da entidade for um URL:
      • A parte do host do URL deve ser um nome com sua raiz no domínio de DNS principal da organização.
      • O URL não deve conter um número de porta, uma sequência de caracteres de consulta ou um identificador de fragmento.
    • Não use "e" comercial (&) na ID da entidade porque ele é reconhecido como um parâmetro de consulta separado.
    • Não especifique um URN.
    • A ID da entidade para um parceiro remoto deve ser globalmente exclusivo para evitar colisões de nome dentro das federações e entre elas.
    Exemplos de IDs de entidade válidas
    • CompanyA:portal1
    • http://idp_name.forwardinc.com/idp
    • https://idp_name.example.edu/sp
    Exemplos de IDs de entidade inválidas:
    • http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto&test=1
    • http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (Este URL pode funcionar, mas não aconselhamos o uso desta sintaxe)
  • Nome da entidade
    Nomeia o objeto de entidade no banco de dados. O Nome da entidade deve ser um valor exclusivo. O sistema usa o Nome da entidade internamente para distinguir uma entidade em um determinado site. Esse valor não é usado externamente e o parceiro remoto não tem conhecimento desse valor.O Nome da entidade pode ter o mesmo valor que a ID da entidade, mas o valor nunca será compartilhado com nenhuma outra entidade no site.
    Valor:
    uma sequência de caracteres alfanuméricos
    Exemplo:
    Partner1
  • Descrição
    Especifica informações adicionais para descrever a entidade.
    Valor:
    uma sequência de caracteres alfanuméricos com até 1.024 caracteres.
URLs do Assertion Consumer Service
A seção URLs do Assertion Consumer Service especifica o serviço no SP remoto que utiliza os assertions. Clique em Adicionar linha para incluir uma entrada na tabela.
certifique-se de definir pelo menos uma entrada do Assertion Consumer Service.
A tabela inclui as seguintes colunas:
  • Índice remissivo
    Especifica o número de índice associado ao URL do Assertion Consumer Service.
    Padrão:
    0
    Valor
    : número inteiro exclusivo de 0 a 99999.
  • Associação
    Especifica a associação utilizada por esse terminal para o logon único.
    O IdP pode iniciar o logon único com uma solicitação não realizada. Se a solicitação incluir o parâmetro de consulta ProtocolBinding, a associação especificada no parâmetro de consulta substituirá o valor selecionado para esse campo.
    Opções:
    artefato HTTP, HTTP POST, SOAP
  • URL
    Especifica o URL do Assertion Consumer Service. Se o SSL estiver ativado para esse serviço, o URL deverá começar com
    https://
    .
  • Padrão
    Indica que a entrada selecionada do Assertion Consumer Service funciona como o URL padrão para o consumo de assertions. Apenas uma entrada pode ser definida para ser o padrão.
URLs do serviço SLO
(Opcional) Nessa seção, identifica o serviço de logoff único no SP remoto. Clique em Adicionar linha para incluir uma entrada na tabela.
A tabela inclui as seguintes colunas:
  • Associação
    Especifica a associação usada para SLO por essa entidade.
    Padrão:
    Redirecionamento HTTP
    Opções:
    Redirecionamento HTTP, SOAP
  • URL do local
    Especifica o URL do serviço de logoff único nesse SP remoto.
    • Para o
      SiteMinder
      , esse valor é:
      http://
      sp_server:port
      /affwebservices/public/saml2slo
      sp_server:port
      especifica o servidor e o número da porta no SP que está hospedando o
      SiteMinder
      .
    • Para fornecedores terceiros, o URL representa o serviço de logoff único.
  • URL do local da resposta
    (Opcional) Especifica o URL do serviço de logoff único nesse SP remoto. Um URL do local da resposta é útil quando há um serviço para solicitações de logoff único e um serviço para respostas de logoff único.
    • Para o
      SiteMinder
      , esse valor é sempre igual ao URL do local SLO:
      http://sp
      _server:port
      /affwebservices/public/saml2slo
      sp_server:port
      é o servidor no SP no qual o
      SiteMinder
       está instalado.
    • Para fornecedores terceiros, o URL representa o serviço que está tratando das respostas de logoff único.
URLs do serviço Manage Name ID
(Opcional) Identifica o serviço de ID para gerenciar nome no SP remoto. Clique em Adicionar linha para incluir uma entrada na tabela.
A tabela inclui as seguintes colunas:
  • Associação
    Especifica a associação que é usada para o serviço de ID para gerenciar nome por essa entidade.
    Padrão:
    SOAP
    Opções:
    Redirecionamento HTTP, HTTP Post (leitura, mas sem uso)
  • URL do local
    Especifica o URL do serviço de ID para gerenciar nome nesse SP remoto.
    • Para o
      SiteMinder
      , esse valor é:
      http://
      servidor_sp:porta
      /affwebservices/public/saml2nidsoap
      sp_server:port
      especifica o servidor e o número da porta no SP que está hospedando o
      SiteMinder
      .
  • URL do local da resposta
    (Opcional) Especifica um URL do local da resposta, que é útil quando há um serviço para solicitações e um serviço para respostas. Não se aplica à associação SOAP.
    • Para o
      SiteMinder
      , esse valor é sempre igual ao URL do local:
      http://
      servidor_sp:porta
      /affwebservices/public/saml2nidsoap
      sp_server:port
      é o servidor no SP no qual o
      SiteMinder
       está instalado.
Opções de assinatura e criptografia
A opção Opções de assinatura e criptografia permite definir os comportamentos de assinatura e criptografia para transações federadas. Essa Seção contém as seguintes configurações:
  • Alias do certificado de verificação
    (Opcional) Especifica o alias que está associado a um certificado específico no repositório de dados de certificados. O alias fornecido por você instrui o Servidor de políticas sobre o certificado que deve ser usado para verificar os assertions assinados e as solicitações de SLO.
    Selecione um alias na lista suspensa. Se o certificado não estiver disponível, clique em
    Importar
    para importá-lo.O certificado deve estar no repositório de dados de certificados antes de você especificar seu alias associado nesse campo.
    Valor:
    seleção da lista suspensa
  • Alias do certificado de verificação secundário
    (Opcional) Especifica um segundo alias de certificado de verificação no repositório de dados de certificados. Se a verificação de assinatura de solicitações ou respostas não usar o alias do certificado de verificação, o IdP usará esse alias de verificação secundário para verificar a assinatura. O SP remoto envia o certificado de verificação ao IdP antes que ocorra qualquer transação usando os metadados ou por outro meio. Especificar um alias secundário é útil quando um SP substitui seu certificado de assinatura. Uma substituição pode ocorrer por qualquer motivo, como quando um certificado expira, uma chave privada é comprometida ou o tamanho da chave privada é alterado.Se o certificado ainda não estiver no repositório de dados de certificados, clique em
    Importar
    para importá-lo.
    Valor:
    seleção da lista suspensa.
  • Alias de certificado de criptografia
    (Opcional) Especifica o alias que está associado a um certificado específico no repositório de dados de certificados. Ao preencher esse campo, você está indicando o certificado que o SP remoto fornece ao IdP, e que o IdP usará para a criptografia. O SP executa a descriptografia com sua chave privada.
    Selecione um alias na lista suspensa e clique em Importar para importar um certificado se a chave desejada não estiver disponível.O certificado deve estar no repositório de dados de certificados antes de você especificar seu alias associado nesse campo.
    Valor:
    seleção da lista suspensa
  • Assinar solicitações de autenticação
    Indica que as mensagens de AuthnRequest enviadas pelo SP exigem uma assinatura. A assinatura da solicitação protege a relação de confiança entre os dois lados da parceria.
Formatos de ID de nome suportados
casso1283
A seção Formatos de ID de nome suportados permite que você especifique os formatos de ID de nome com suporte na entidade.
O identificador de nome nomeia um usuário de maneira exclusiva no assertion e especifica os atributos a serem incluídos no assertion. O formato do identificador de nome estabelece o tipo de conteúdo utilizado para a ID. Por exemplo, o formato pode ser o DN do usuário e, nesse caso, o conteúdo pode ser um uid.
  • Formatos de ID de nome suportados
    Lista todos os formatos de ID de nome suportados pela entidade. Selecione todos os formatos aplicáveis.
    Para obter uma descrição de cada formato, consulte a especificação
    Assertions e protocolos para OASIS SAML (Security Assertion Markup Language) V2.0
    .
 
 
(A partir da release 12.8.06) Seção de configuração de marcas
A seção de configuração de marcas permite adicionar mais informações ou contexto como marcas a uma entidade. As marcas ajudam no agrupamento de objetos semelhantes usando metadados comuns e persistindo contexto adicional específico à organização, o que ajuda na fácil identificação e recuperação dos objetos. Você pode atribuir vários valores a uma marca em um formato de par de chave e valor.
Esta seção contém os seguintes campos:
  • Adicionar
    No primeiro clique, exibe as marcas que são atribuídas à categoria de objeto
    Entidade de federação
    usando a caixa de diálogo Marcas. Nos cliques subsequentes, adiciona outra linha para acrescentar várias marcas e valores de marca.
  • Nome
    Exibe os nomes das marcas que são atribuídas à categoria de objeto
    Entidade de federação
    . O nome da marca é exibido no formato <
    tag_name
    >[<
    data_type
    >].
  • Valor
    Especifica um valor para a marca selecionada. Não insira os caracteres *, <, =, >, ! no valor. Se o tipo de dado da marca selecionada for
    Data
    , o valor da marca deverá estar no formato
    aaaa-mm-dd
    e dentro do intervalo de 1º de janeiro de 1970 e 31 de dezembro de 3000.
Depois que as alterações forem enviadas, a coluna
Marcas
na tabela exibirá a marca no formato <
tag_name
>=<
tag_value
>.