Esquema de autenticação SAML 2.0 -- Configurações de SSO

Conteúdo
casso1283
HID_saml2-auth-sso
Conteúdo
Nas configurações de SSO, você pode configurar a maneira como o SSO (Single Sign-On - Logon Único) é tratado no provedor de serviços.
A seção SSO da página inclui as seguintes configurações:
  • Modo de redirecionamento
    Especifica o método usado pelo provedor de serviços para redirecionar os usuários para o recurso de destino. Se você selecionar 302 Sem dados ou 302 Dados de cookie, nenhuma outra configuração será necessária. Se você selecionar Redirecionamento para o servidor ou PersistAttributes, configurações adicionais serão necessárias.
    • 302 Sem dados (padrão)
      O usuário é redirecionado por meio de um redirecionamento HTTP 302 com um cookie de sessão, mas sem outros dados.
    • 302 Dados de cookie
      O usuário é redirecionado por meio de um redirecionamento HTTP 302 com um cookie de sessão e dados de cookie adicionais, que o
      SiteMinder
      configurou para o provedor de serviços no provedor de identidades.
    • casso1283
      Redirecionamento de servidor
      Permite que as informações de atributo de cabeçalho e cookie recebidas no assertion sejam transmitidas para o aplicativo de destino personalizado. O Assertion Consumer Service do SAML 2.0 ou o Security Token Consumer Service do WS-Federation coletam as credenciais do usuário e, em seguida, transferem o usuário para o URL do aplicativo de destino usando redirecionamentos no lado do servidor. Os redirecionamentos do lado do servidor fazem parte da especificação do servlet Java. Todos os recipientes de servlet em conformidade com o padrão oferecem suporte a redirecionamentos no lado do servidor.
      Para usar esse modo, siga estes requisitos:
      • O URL especificado para esse modo deve ser relativo ao contexto do servlet que está utilizando o assertion, que normalmente é /affwebservices/public/. A raiz do contexto é a raiz do aplicativo Federation Web Services, geralmente, /affwebservices/.
        Todos os arquivos de aplicativo de destino devem estar no diretório raiz do aplicativo. Esse diretório é:
        — Agente web:
        web_agent_home
        \webagent\affwebservices
        Access Gateway
        :
        sps_home
        \secure-proxy\Tomcat\webapps\affwebservices
      • Defina realms, regras e diretivas para proteger os recursos de destino. Defina os realms com, pelo menos, o valor /affwebservices/ no filtro do recurso.
      • Instale um aplicativo Java ou JSP personalizado no servidor que está atendendo o aplicativo Federation Web Services. O Federation Web Services é instalado com o Pacote de opções do agente web ou o
        Access Gateway
        .
        A tecnologia de servlet Java permite que os aplicativos transmitam informações entre solicitações de dois recursos usando o método setAttribute da interface ServletRequest.
        O serviço que utiliza os assertions envia o atributo de usuário para o aplicativo de destino antes de redirecionar o usuário para o destino. O serviço envia os atributos criando um objeto java.util.HashMap. O atributo que contém os atributos HashMap de SAML é “Netegrity.AttributeInfo”.
        O serviço que utiliza os assertions transmite outros dois atributos Java.lang.String para o aplicativo personalizado:
        — O atributo Netegrity.smSessionID representa a ID de sessão do
        SiteMinder
        .
        — O atributo Netegrity.userDN representa o DN de usuário do
        SiteMinder
        .
        O aplicativo de destino personalizado lê esses objetos na solicitação HTTP e usa os dados encontrados nos objetos hashmap.
    • Persistir atributos
      O usuário é redirecionado por meio de um redirecionamento HTTP 302 com um cookie de sessão, mas sem outros dados. Além disso, esse modo instrui o servidor de políticas a armazenar os atributos extraídos de um assertion no repositório de sessões, de forma que seja possível fornecê-los como variáveis de cabeçalho HTTP. Para obter configurações adicionais, consulte as instruções para a utilização de atributos SAML como cabeçalhos HTTP.
      Para ver essa opção, ative o repositório de sessões usando o Console de gerenciamento do servidor de políticas do
      SiteMinder
      .
      casso1283
      Se você selecionar Persistir atributos e o assertion contiver atributos em branco, um valor NULL será gravado no repositório de sessões. Esse valor funciona como um espaço reservado para o atributo em branco. O valor é transmitido para qualquer aplicativo que estiver usando o atributo.
  • Serviço SSO
    Especifica o URI do serviço de logon único em um provedor de identidades. Esse URI é o local para o qual o serviço AuthnRequest redireciona uma mensagem de authnrequest, que contém a ID do provedor de serviços. O URL padrão é:
    http://
    idp_host:port
    /affwebservices/public/saml2sso
  • Público
    Especifica o público do assertion do SAML. O público é um URL que identifica o local de um documento que descreve os termos e as condições do contrato de negócios entre o provedor de identidades e o provedor de serviços. O administrador no site do provedor de identidades determina o público, que corresponde ao público do provedor de serviços.
    O valor de público não deve exceder 1K e ele diferencia maiúsculas de minúsculas. Por exemplo:
    http://www.ca.com/SampleAudience
  • Destino
    (Opcional) Especifica o URI de recurso de destino no site do provedor de serviços de destino.
    O provedor de serviços não tem de usar o destino padrão. O link que inicia o logon único pode conter um parâmetro de consulta que especifica o destino.
  • Permitir que o IDP crie um identificador de usuário
    Se o provedor de serviços enviar uma mensagem de AuthnRequest para o provedor de identidades para obter um assertion, a marcação dessa caixa definirá o atributo AllowCreate na mensagem de AuthnRequest como verdadeiro. O atributo AllowCreate instrui o provedor de identidades a gerar um novo valor para o NameID. O recurso AllowCreate é ativado no provedor de identidades. Esse novo valor para o NameID é incluído no assertion.
  • Perfil de cliente ou proxy aprimorado
    Permite o processamento de solicitações usando o perfil de ECP (Enhanced Client and Proxy - Cliente e Proxy Aprimorado) do SAML 2.0.
  • Assinar solicitações de autenticação
    Instrui o servidor de políticas no provedor de serviços a assinar AuthnRequest após a sua geração. Essa caixa de seleção é obrigatória se o provedor de identidades exigir AuthnRequests assinadas. O serviço AuthnRequest redireciona a AuthnRequest assinada para o URL do serviço de logon único.
  • O estado de retransmissão substitui o destino
    (Opcional) Substitui o valor especificado no campo Destino pelo valor do parâmetro de consulta Estado de retransmissão para o logon único iniciado pelo SP ou IdP. Essa caixa de seleção fornece a você um maior controle sobre o destino, pois o uso do parâmetro de consulta Estado de retransmissão permite definir o destino dinamicamente.
Associações
Na seção de associações, é possível configurar as associações de logon único de Artefato e POST às quais você deseja que o provedor de serviços ofereça suporte.
Esquema de autenticação SAML 2.0 -- Associações -- Artefato
Associações - Artefato
Se o provedor de serviços oferecer suporte à associação de artefatos, defina as configurações nessa seção. Para o logon único de artefatos SAML 2.0, as configurações incluem:
  • Artefato
Define a configuração de perfil do artefato HTTP.
Artefato HTTP
Permite a associação de artefatos (quando ativado, os seguintes controles associados são ativados).
  • Assinar ArtifactResolve
    Indica que a mensagem de resolução de artefato exige assinatura. A solicitação recupera a mensagem de SAML original do provedor de serviços.
    Se você marcar essa caixa de seleção, o provedor de identidades será configurado para exigir uma mensagem de resolução de artefato assinada.
    O processamento de assinatura digital é ativado para assinar a mensagem de resolução de artefato.
  • Substituir ID de origem do IdP gerada pelo sistema
    Permite que você especifique uma ID de origem do IdP no campo associado. O padrão é um hash SHA-1 da ID do IdP. Os valores devem ser um número hexadecimal de 40 dígitos.
  • Exigir ArtifactResponse assinado
    Indica que o provedor de serviços aceita apenas a resposta do artefato, a qual exige assinatura.
    Se você marcar essa caixa de seleção, o provedor de identidades será configurado para assinar a resposta do artefato.
    O processamento de assinatura digital é ativado para processar a resposta assinada.
  • Índice remissivo
    Ativado ao marcar a caixa de seleção Artefato HTTP. Esse campo atribui um parâmetro AssertionConsumerServiceIndex à associação de artefatos. Se você tiver vários pontos de extremidade em uma rede federada, atribua um índice para o Assertion Consumer Service. O valor de índice instrui o provedor de identidades sobre para onde enviar a resposta. Insira um número inteiro no intervalo entre 0 e 65535.
  • Serviço de resolução
    Especifica o URL do serviço de resolução de artefato no provedor de identidades. O URL padrão é:
    http://
    host:port
    /affwebservices/saml2artifactresolution
  • ID de origem
    Define a ID de origem do provedor de identidades.
    O padrão da especificação de SAML define uma ID de origem como um número binário codificado em hexadecimal de 20 bytes que identifica a parte que está emitindo o assertion. O provedor de serviços usa essa ID para identificar um emissor de assertions.
    O valor da ID de origem é gerado automaticamente com base no valor da ID do IdP, localizado nas configurações gerais do esquema de autenticação. Ao selecionar a opção Substituir ID de origem do IdP gerada pelo sistema, insira um valor que o provedor de identidades fornecerá a você em uma comunicação fora de banda.
Esquema de autenticação SAML 2.0 -- Associações -- POST
Associações - POST
Se o provedor de serviços oferecer suporte à associação de POST, defina as configurações nessa seção. Para o POST do SAML 2.0, as configurações incluem:
  • Enviar
    • HTTP Post
      Indica que a associação de POST está ativada para o provedor de identidades.
    • Aplicar diretiva de uso único
      Aplica a diretiva de uso único, impedindo que os assertion do SAML 2.0 sejam reutilizados em um provedor de serviços para estabelecer uma segunda sessão.
    • Índice remissivo
      Ativado ao marcar a caixa de seleção HTTP Post. Esse campo atribui um parâmetro AssertionConsumerServiceIndex à associação de artefatos. Se você tiver vários pontos de extremidade em uma rede federada, atribua um índice para o Assertion Consumer Service. O valor de índice instrui o provedor de identidades sobre para onde enviar a resposta.
      Valor:
      de 0 a 65535