Configuração da entidade do WS-Federation
casso1283
HID_wsfed-entity
A maioria das configurações a seguir são comuns a entidades do WS-Federation locais e remotas.
- ID de entidadeIdentifica a entidade de federação para um parceiro. A ID da entidade é um identificador universal, como um nome de domínio. Se a ID da entidade representar umparceiro remoto, esse valor deverá ser exclusivo. Se a ID da entidade representar umparceiro local, ela poderá ser reutilizada no mesmo sistema. Por exemplo, se a ID da entidade representar uma autoridade de confirmação, essa mesma ID poderá ser usada em mais de uma parceria.Uma ID de entidade que representa um parceiro remoto pode pertencer apenas a uma única parceria ativaValor:URI (URL recomendado)Observe as seguintes diretrizes:
- A ID da entidade deve ser um URI, mas recomenda-se um URL absoluto.
- Se a ID da entidade for um URL:
- A parte do host do URL deve ser um nome com sua raiz no domínio de DNS principal da organização.
- O URL não deve conter um número de porta, uma sequência de caracteres de consulta ou um identificador de fragmento.
- Não use "e" comercial (&) na ID da entidade porque ele é reconhecido como um parâmetro de consulta separado.
- Não especifique um URN.
- A ID da entidade para um parceiro remoto deve ser globalmente exclusivo para evitar colisões de nome dentro das federações e entre elas.Exemplos de IDs de entidade válidas
- CompanyA:portal1
- https://idp_name.example.edu/spExemplos de IDs de entidade inválidas:
- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (Este URL pode funcionar, mas não aconselhamos o uso desta sintaxe)
- Nome da entidade
Nomeia o objeto de entidade no repositório de diretivas. O nome da entidade deve ser um valor exclusivo. O
SiteMinder
usa o nome da entidade internamente para diferenciar uma entidade em um site específico. Esse valor não é usado externamente e o parceiro remoto não tem conhecimento desse valor.O Nome da entidade pode ter o mesmo valor que a ID da entidade, mas o valor não será compartilhado com nenhuma outra entidade no site.
Valor:
uma sequência de caracteres alfanuméricosExemplo:
Partner1- Descrição
Especifica informações adicionais para descrever a entidade.
Valor:
uma sequência de caracteres alfanuméricos com até 1.024 caracteres- URL base
Especifica o local de base do servidor que está visível para os usuários da federação desejados. Geralmente, esse servidor está no local em que o
SiteMinder
está instalado. O servidor também pode ser o URL do servidor que hospeda os serviços de federação. O URL base permite que o SiteMinder
gere URLs relativos em outras partes da configuração, tornando a configuração mais eficiente.É possível editar o URL base. Por exemplo, você pode configurar hosts virtuais para o sistema do
SiteMinder
. Um host virtual lida com a comunicação da interface de usuário administrativa. O outro host virtual lida com o tráfego do usuário processado pelo Apache Web Server incorporado. Nesse caso, é possível editar o URL base para apontar apenas para o servidor e a porta HTTP do Apache Web Server.Valor:
URL válidoExemplo:
https://fedserver.ca.com:5555Verifique as importantes diretrizes a seguir para modificar esse campo:
- Se você modificar o URL base, não insira uma barra no final desse URL. Um barra final resulta na inclusão de duas barras em outros URLs que utilizam esse URL base.
- Para o suporte à tolerância a falhas, o valor desse campo é o nome de host e a porta do sistema que está gerenciando a tolerância a falhas para os outros sistemas. Esse sistema não pode ser um balanceador de carga nem um servidor proxy.
- ID de desambiguidade (entidades de RP e IP local)Defina esta ID somente quando houver várias parcerias entre o mesmo IP e RP. A ID de desambiguidade é útil quando várias unidades de negócios em uma organização precisam ter a sua própria relação com um parceiro remoto, mas cada unidade depende de uma infraestrutura de federação compartilhada.Não é possível ter várias parcerias com o mesmo IP ou ID RP. Se um parceiro remoto usar uma única ID RP, oSiteMinderdeverá ser capaz de diferenciar as solicitações de logon único. A ID de desambiguidade permite que o sistema diferencie parcerias com um único sufixo de caminho lógico para os URLs do serviço de federação, como o serviço SSO.Por exemplo, as divisões de vendas e finanças desejam formar parcerias com o ForwardInc.com. As duas parcerias usam a mesma ID RP para o ForwardInc.com. Para a entidade local em cada parceria, adicione uma ID de desambiguidade "vendas" e "finanças", respectivamente.Exemplo de URL do SSO:http://servidor:porta/affwebservices/public/wsfeddispatcher?RPID=http://forwardinc.comtorna-se os seguintes URLs em dois tipos diferentes de parcerias:http://servidor:porta/affwebservices/public/wsfeddispatcher/sales?RPID=http://forwardinc.comhttp://servidor:porta/affwebservices/public/wsfeddispatcher/finance?RPID=http://forwardinc.comHá apenas um serviço SSO, mas o sufixo e a ID RP criam uma única chave de pesquisa de parceria.A existência de duas parcerias também afeta o URL do Assertion Consumer fornecido pelo RP. Trate a configuração desse URL de uma das seguintes maneiras:
- Use a mesma ID IP em ambas as parcerias. Um IP local pode ser associado a vários RPs remotos. Para essa configuração, o RP deve fornecer dois diferentes URLs do Assertion Consumer, para que possa saber a qual inquilino o assertion se destina. Exemplo:https://casales.salesforce.com/public/wsfedConsumerhttps://cafinance.salesforce.com/public/wsfedConsumer
- Usa diferentes IDs IP para cada parceria. O RP pode, em seguida, fornecer o mesmo URL do Assertion Consumer porque a ID IP distingue o remetente do assertion.
Valor:insira uma sequência de caracteres alfanumérica, mas não use nenhum caractere especial.
- Serviço do solicitante passivo remoto (IP remoto)Identifica o URL do serviço do solicitante passivo no IP remoto. Solicitantes passivos são aplicativos ou navegadores web que oferecem suporte ao protocolo HTTP. Esse serviço fornece os tokens de segurança que verificam se o solicitante requerido é legítimo.
- URL de confirmação do logoff (IP local)Especifica o URL no provedor de identidades que executa o logoff.Padrão:http://servidor_ip:porta/affwebservices/signoutconfirmurl.jspip_server:portEspecifica o servidor e o número da porta do sistema do provedor de identidades. O sistema está hospedando o Web Agent Option Pack ou o gateway da federação, dependendo do componente que está instalado em sua rede de federação.O signoutconfirmurl.jsp está incluído no Web Agent Option Pack ou no gateway da federação. Mova essa página do diretório padrão e a coloque no local onde o mecanismo de servlet do Federation Web Services pode acessar a página.
- URL de logoff remoto (RP remoto)Especifica o URL de serviço de logoff de RP remoto. O URL padrão é:https://rp_service:port/affwebservices/public/wsfeddispatcherO serviço WSFedDispatcher recebe todas as mensagens de entrada do WS-Federation e encaminha o processamento da solicitação para o serviço apropriado com base nos dados do parâmetro de consulta. Embora haja um serviço wsfedsignout, use o URL de wsfeddispatcher para o URL de logoff.
- URL do Security Token Consumer Service (RP remoto)Especifica o URL do serviço de token no parceiro de recurso remoto. Este serviço recebe mensagens de resposta de token de segurança e extrai o assertion. O local padrão do serviço é:https://rp_server:port/affwebservices/public/wsfeddispatcherrp_server:portIdentifica o servidor web e a porta no parceiro de recurso que estão hospedando o Web Agent Option Pack ou o gateway da federação. Esses componentes fornecem o aplicativo Federation Web Services.O serviço WSFedDispatcher recebe todas as mensagens de entrada do WS-Federation e encaminha o processamento da solicitação para o serviço apropriado com base nos dados do parâmetro de consulta. Embora haja um serviço wsfedsecuritytokenconsumer, o serviço wsfeddispatcher é recomendado para a entrada desse campo.
Configurações de assinatura
As opções de assinatura definem os comportamentos de assinatura para logon único. Esta seção contém configurações diferentes, dependendo da entidade.
- Alias de chave privada de assinatura (apenas para IP local)(Opcional) Especifica o alias que está associado a uma determinada chave privada no repositório de dados de certificados. Ao preencher esse campo, você está indicando qual chave privada a autoridade de confirmação utiliza para assinar assertions.Se a chave que deseja usar ainda não estiver no repositório de dados de certificados, você pode clicar em Importar para importá-la antes de continuar.Observação:a chave privada deve estar no repositório de dados de certificados antes de você especificar seu alias associado nesse campo.Valor:selecione na lista suspensa.
- Alias do certificado de verificação (RP e IP remoto)(Opcional) Especifica o alias que está associado a um certificado específico (chave pública) no repositório de dados de certificados. O alias fornecido por você instrui o servidor de políticas sobre o certificado que deve ser usado para verificar assertions assinados.Para importar um certificado se a chave desejada não estiver disponível, clique em Importar ou selecione um alias na lista suspensa.Observação:o certificado deve estar no repositório de dados de certificados antes de você especificar seu alias associado.Valor:selecione na lista suspensa.
Atributos e formatos de ID de nome com suporte
casso1283
A seção Atributos e formatos de ID de nome com suporte possui duas funções:
- Especifica os formatos de ID de nome suportados pela entidade.O identificador de nome nomeia um usuário de maneira exclusiva no assertion e especifica os atributos a serem incluídos no assertion. O formato do identificador de nome estabelece o tipo de conteúdo utilizado para a ID. Por exemplo, o formato pode ser o DN do usuário e, nesse caso, o conteúdo pode ser um uid.
- Para a autoridade de confirmação, é possível especificar atributos a serem incluídos em um assertion.Os atributos adicionados em um assertion podem identificar ainda mais um usuário e ativar um aplicativo usando o assertion a ser personalizado para cada usuário.
Atributos e formatos de ID de nome com suporte
Na lista de opções, selecione todos os formatos aplicáveis. Para selecionar todos os formatos, escolha Selecionar formatos de ID de nome.
Para obter uma descrição de cada formato, consulte a especificação do perfil do SAML ou WS-Federation.
- Atributos do assertion com suporteEspecifica os atributos que o produtor inclui no assertion. Clique em Adicionar para incluir um atributo na tabela. A tabela inclui as seguintes colunas:
- Atributo da declaraçãoIndica o atributo específico no assertion.Valor:nome de um atributo de assertion válido
- Espaço para nomeDesigna uma coleção que identifica os nomes de maneira exclusiva.Valor:qualquer nome de espaço para nome
- ExcluirClique no ícone e a entrada será removida da tabela.