Esquema de autenticação SAML 2.0 -- Configurações de SSO
Conteúdo
casso1283
HID_saml2-auth-sso
Conteúdo
Nas configurações de SSO, você pode configurar a maneira como o SSO (Single Sign-On - Logon Único) é tratado no provedor de serviços.
A seção SSO da página inclui as seguintes configurações:
- Modo de redirecionamentoEspecifica o método usado pelo provedor de serviços para redirecionar os usuários para o recurso de destino. Se você selecionar 302 Sem dados ou 302 Dados de cookie, nenhuma outra configuração será necessária. Se você selecionar Redirecionamento para o servidor ou PersistAttributes, configurações adicionais serão necessárias.
- 302 Sem dados (padrão)O usuário é redirecionado por meio de um redirecionamento HTTP 302 com um cookie de sessão, mas sem outros dados.
- 302 Dados de cookieO usuário é redirecionado por meio de um redirecionamento HTTP 302 com um cookie de sessão e dados de cookie adicionais, que oSiteMinderconfigurou para o provedor de serviços no provedor de identidades.
- casso1283Redirecionamento de servidorPermite que as informações de atributo de cabeçalho e cookie recebidas no assertion sejam transmitidas para o aplicativo de destino personalizado. O Assertion Consumer Service do SAML 2.0 ou o Security Token Consumer Service do WS-Federation coletam as credenciais do usuário e, em seguida, transferem o usuário para o URL do aplicativo de destino usando redirecionamentos no lado do servidor. Os redirecionamentos do lado do servidor fazem parte da especificação do servlet Java. Todos os recipientes de servlet em conformidade com o padrão oferecem suporte a redirecionamentos no lado do servidor.Para usar esse modo, siga estes requisitos:
- O URL especificado para esse modo deve ser relativo ao contexto do servlet que está utilizando o assertion, que normalmente é /affwebservices/public/. A raiz do contexto é a raiz do aplicativo Federation Web Services, geralmente, /affwebservices/.Todos os arquivos de aplicativo de destino devem estar no diretório raiz do aplicativo. Esse diretório é:— Agente web:web_agent_home\webagent\affwebservices—Access Gateway:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- Defina realms, regras e diretivas para proteger os recursos de destino. Defina os realms com, pelo menos, o valor /affwebservices/ no filtro do recurso.
- Instale um aplicativo Java ou JSP personalizado no servidor que está atendendo o aplicativo Federation Web Services. O Federation Web Services é instalado com o Pacote de opções do agente web ou oAccess Gateway.A tecnologia de servlet Java permite que os aplicativos transmitam informações entre solicitações de dois recursos usando o método setAttribute da interface ServletRequest.O serviço que utiliza os assertions envia o atributo de usuário para o aplicativo de destino antes de redirecionar o usuário para o destino. O serviço envia os atributos criando um objeto java.util.HashMap. O atributo que contém os atributos HashMap de SAML é “Netegrity.AttributeInfo”.O serviço que utiliza os assertions transmite outros dois atributos Java.lang.String para o aplicativo personalizado:— O atributo Netegrity.smSessionID representa a ID de sessão doSiteMinder.— O atributo Netegrity.userDN representa o DN de usuário doSiteMinder.O aplicativo de destino personalizado lê esses objetos na solicitação HTTP e usa os dados encontrados nos objetos hashmap.
- Persistir atributosO usuário é redirecionado por meio de um redirecionamento HTTP 302 com um cookie de sessão, mas sem outros dados. Além disso, esse modo instrui o servidor de políticas a armazenar os atributos extraídos de um assertion no repositório de sessões, de forma que seja possível fornecê-los como variáveis de cabeçalho HTTP. Para obter configurações adicionais, consulte as instruções para a utilização de atributos SAML como cabeçalhos HTTP.Para ver essa opção, ative o repositório de sessões usando o Console de gerenciamento do servidor de políticas doSiteMinder.casso1283Se você selecionar Persistir atributos e o assertion contiver atributos em branco, um valor NULL será gravado no repositório de sessões. Esse valor funciona como um espaço reservado para o atributo em branco. O valor é transmitido para qualquer aplicativo que estiver usando o atributo.
- Serviço SSOEspecifica o URI do serviço de logon único em um provedor de identidades. Esse URI é o local para o qual o serviço AuthnRequest redireciona uma mensagem de authnrequest, que contém a ID do provedor de serviços. O URL padrão é:http://idp_host:port/affwebservices/public/saml2sso
- PúblicoEspecifica o público do assertion do SAML. O público é um URL que identifica o local de um documento que descreve os termos e as condições do contrato de negócios entre o provedor de identidades e o provedor de serviços. O administrador no site do provedor de identidades determina o público, que corresponde ao público do provedor de serviços.O valor de público não deve exceder 1K e ele diferencia maiúsculas de minúsculas. Por exemplo:http://www.ca.com/SampleAudience
- Destino(Opcional) Especifica o URI de recurso de destino no site do provedor de serviços de destino.O provedor de serviços não tem de usar o destino padrão. O link que inicia o logon único pode conter um parâmetro de consulta que especifica o destino.
- Permitir que o IDP crie um identificador de usuárioSe o provedor de serviços enviar uma mensagem de AuthnRequest para o provedor de identidades para obter um assertion, a marcação dessa caixa definirá o atributo AllowCreate na mensagem de AuthnRequest como verdadeiro. O atributo AllowCreate instrui o provedor de identidades a gerar um novo valor para o NameID. O recurso AllowCreate é ativado no provedor de identidades. Esse novo valor para o NameID é incluído no assertion.
- Perfil de cliente ou proxy aprimoradoPermite o processamento de solicitações usando o perfil de ECP (Enhanced Client and Proxy - Cliente e Proxy Aprimorado) do SAML 2.0.
- Assinar solicitações de autenticaçãoInstrui o servidor de políticas no provedor de serviços a assinar AuthnRequest após a sua geração. Essa caixa de seleção é obrigatória se o provedor de identidades exigir AuthnRequests assinadas. O serviço AuthnRequest redireciona a AuthnRequest assinada para o URL do serviço de logon único.
- O estado de retransmissão substitui o destino(Opcional) Substitui o valor especificado no campo Destino pelo valor do parâmetro de consulta Estado de retransmissão para o logon único iniciado pelo SP ou IdP. Essa caixa de seleção fornece a você um maior controle sobre o destino, pois o uso do parâmetro de consulta Estado de retransmissão permite definir o destino dinamicamente.
Associações
Esquema de autenticação SAML 2.0 -- Associações -- Artefato
Associações - Artefato
Se o provedor de serviços oferecer suporte à associação de artefatos, defina as configurações nessa seção. Para o logon único de artefatos SAML 2.0, as configurações incluem:
- Artefato
Define a configuração de perfil do artefato HTTP.
Artefato HTTP
Permite a associação de artefatos (quando ativado, os seguintes controles associados são ativados).
- Assinar ArtifactResolveIndica que a mensagem de resolução de artefato exige assinatura. A solicitação recupera a mensagem de SAML original do provedor de serviços.Se você marcar essa caixa de seleção, o provedor de identidades será configurado para exigir uma mensagem de resolução de artefato assinada.O processamento de assinatura digital é ativado para assinar a mensagem de resolução de artefato.
- Substituir ID de origem do IdP gerada pelo sistemaPermite que você especifique uma ID de origem do IdP no campo associado. O padrão é um hash SHA-1 da ID do IdP. Os valores devem ser um número hexadecimal de 40 dígitos.
- Exigir ArtifactResponse assinadoIndica que o provedor de serviços aceita apenas a resposta do artefato, a qual exige assinatura.Se você marcar essa caixa de seleção, o provedor de identidades será configurado para assinar a resposta do artefato.O processamento de assinatura digital é ativado para processar a resposta assinada.
- Índice remissivoAtivado ao marcar a caixa de seleção Artefato HTTP. Esse campo atribui um parâmetro AssertionConsumerServiceIndex à associação de artefatos. Se você tiver vários pontos de extremidade em uma rede federada, atribua um índice para o Assertion Consumer Service. O valor de índice instrui o provedor de identidades sobre para onde enviar a resposta. Insira um número inteiro no intervalo entre 0 e 65535.
- Serviço de resoluçãoEspecifica o URL do serviço de resolução de artefato no provedor de identidades. O URL padrão é:http://host:port/affwebservices/saml2artifactresolution
- ID de origemDefine a ID de origem do provedor de identidades.O padrão da especificação de SAML define uma ID de origem como um número binário codificado em hexadecimal de 20 bytes que identifica a parte que está emitindo o assertion. O provedor de serviços usa essa ID para identificar um emissor de assertions.O valor da ID de origem é gerado automaticamente com base no valor da ID do IdP, localizado nas configurações gerais do esquema de autenticação. Ao selecionar a opção Substituir ID de origem do IdP gerada pelo sistema, insira um valor que o provedor de identidades fornecerá a você em uma comunicação fora de banda.
Esquema de autenticação SAML 2.0 -- Associações -- POST
Associações - POST
Se o provedor de serviços oferecer suporte à associação de POST, defina as configurações nessa seção. Para o POST do SAML 2.0, as configurações incluem:
- Enviar
- HTTP PostIndica que a associação de POST está ativada para o provedor de identidades.
- Aplicar diretiva de uso únicoAplica a diretiva de uso único, impedindo que os assertion do SAML 2.0 sejam reutilizados em um provedor de serviços para estabelecer uma segunda sessão.
- Índice remissivoAtivado ao marcar a caixa de seleção HTTP Post. Esse campo atribui um parâmetro AssertionConsumerServiceIndex à associação de artefatos. Se você tiver vários pontos de extremidade em uma rede federada, atribua um índice para o Assertion Consumer Service. O valor de índice instrui o provedor de identidades sobre para onde enviar a resposta.Valor:de 0 a 65535