Provedor de serviços SAML -- Configurações gerais
As configurações nessa caixa de diálogo identificam o provedor de serviços para o qual o provedor de identidades gera assertions.
casso1283
HID_service-provider-general
As configurações nessa caixa de diálogo identificam o provedor de serviços para o qual o provedor de identidades gera assertions.
Configurações gerais
As configurações gerais permitem que você especifique as informações gerais sobre o provedor de serviços.
As configurações nessa guia são as seguintes:
- NomeNomeia o provedor de serviços. Esse nome é exclusivo entre todos os domínios afiliados.
- ID do SPEspecifica um URI que identifica exclusivamente o provedor de serviços, como sp.example.com.
- URL de autenticaçãoEspecifica um URL protegido que a federação usa para autenticar usuários e criar uma sessão quando um recurso protegido é solicitado. Se o modo de autenticação tiver sido definido como Local e um usuário não tiver efetuado logon na autoridade de confirmação, os usuários serão enviados para esse URL.Esse URL deve apontar para o arquivo redirect.jsp, a menos que você marque a caixa de seleção Usar URL seguro.Exemplo: http://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jspmyserveridentifica o servidor web com o Web Agent Option Pack ou o gateway da federação. O arquivo redirect.jsp é incluído no Web Agent Option Pack ou no gateway da federação que é instalado na autoridade de confirmação.Proteja o URL de autenticação com uma política de controle de acesso. Para a diretiva, configure uma regra, realm e esquema de autenticação. Para adicionar atributos do repositório de sessões ao assertion, ative a caixa de seleção Persistir as variáveis da sessão de autenticação, que é uma configuração no esquema de autenticação.
- casso1283AtivoIndica se a configuração de federação legada está em uso para uma parceria específica. Se o servidor de políticas estiver usando a configuração de federação legada, confirme se essa caixa de seleção está marcada. Se você tiver recriado uma parceria federada com valores semelhantes para as configurações de identidade, como a ID de origem, desmarque essa caixa de seleção antes de ativar a parceria federada.OSiteMindernão funciona com uma configuração legada e de parceria que usa os mesmos valores de identidade, pois ocorre um conflito de nomes.
- AtivadoPermite que o servidor de políticas e o Federation Web Services ofereçam suporte à autenticação de recursos do provedor de serviços.
- Duração da latênciaEspecifica o número de segundos (como um número inteiro positivo) adicionado e subtraído da hora do relógio atual. Esse ajuste é para prestar contas para os provedores de serviços com relógios que não estão sincronizados com o provedor de identidades. A duração da latência e a duração da validade determinam como o Servidor de políticas calcula o tempo total em que um assertion é válido.Para determinar a validade do assertion, a duração da latência é subtraída do tempo de geração do assertion (IssueInstant) para obter o tempo NotBefore. A duração da latência é adicionada à duração da validade e à IssueInstant a fim de obter o tempo NotOnOrAfter. As equações a seguir ilustram como a duração da latência é usada:
- NotBefore=IssueInstant - Duração da latência
- NotOnOrAfter=Duração da validade + Duração da latência + IssueInstant
- Versão do SAMLEspecifica a versão de SAML (desativado; o valor é padronizado como 2.0, o que indica que os assertion enviados para essa ID do SP devem ser compatíveis com o SAML versão 2.0).
- DescriçãoOpcionalmente, uma breve descrição do provedor de serviços.
- ID do IdPEspecifica um URI que identifica exclusivamente o provedor de identidades, como idp.ca.com. Esse valor de URI se torna o valor do campo Emissor no assertion.
- URL do aplicativo(Opcional) Identifica o URL protegido de um aplicativo web personalizado que é usado para fornecer atributos de usuário para o serviço de logon único. O aplicativo pode estar em qualquer host na rede.Os atributos do aplicativo web especificados nesse campo são disponibilizados para o gerador de assertions e, em seguida, colocados no assertion do SAML por um plugin do Assertion Generator. Crie o plugin e o integre aoSiteMinder.O aplicativo Federation Web Services fornece aplicativos web de amostra que você pode usar como base para o seu aplicativo web. Elas incluem o seguinte:http://idp_server:port/affwebservices/public/sample_application.jsphttp://idp_server:port/affwebservices/public/unsolicited_application.jspidp_server:portIdentifica o servidor web e a porta que estão hospedando o Web Agent Option Pack ou o gateway da federação.
- Usar URL seguroEsta configuração instrui o serviço de logon único para criptografar apenas o parâmetro de consulta SMPORTALURL.Um SMPORTALURL criptografado impede que um usuário mal-intencionado modifique o valor e redirecione usuários autenticados para um site mal-intencionado.O SMPORTALURL é anexado ao URL de autenticação antes de o navegador redirecionar o usuário para estabelecer uma sessão. Após a autenticação do usuário, o navegador direciona o usuário de volta para o destino especificado no parâmetro de consulta SMPORTALURL.Se você marcar a caixa de seleção Usar URL seguro, execute as seguintes etapas:1. Defina o campo URL de autenticação como o seguinte URL: http(s)://idp_server:port/affwebservices/secure/secureredirect2. Proteja o serviço web secureredirect com uma política.Se a autoridade de confirmação atende a mais de um provedor de serviços, a autoridade de confirmação provavelmente autentica usuários diferentes para esses parceiros diferentes. Como resultado, para cada URL de autenticação que usa o serviço secureredirect, inclua esse serviço web em um realm diferente para cada parceiro.Para associar o serviço secureredirect a realms diferentes, modifique o arquivo web.xml e crie mapeamentos de recursos diferentes. Não é possível copiar o serviço web secureredirect em locais diferentes do servidor. Localize o arquivo web.xml no diretórioweb_agent_home/affwebservices/WEB-INF, ondeweb_agent_homeé o local de instalação do agente web.
- URL de autenticaçãoEspecifica um URL protegido que a federação usa para autenticar usuários e criar uma sessão quando um recurso protegido é solicitado. Se o modo de autenticação tiver sido definido como Local e um usuário não tiver efetuado logon na autoridade de confirmação, os usuários serão enviados para esse URL.Esse URL deve apontar para o arquivo redirect.jsp, a menos que você marque a caixa de seleção Usar URL seguro.Exemplo: http:///siteminderagent/redirectjsp/redirect.jspmyserveridentifica o servidor web com o Web Agent Option Pack ou o gateway da federação. O arquivo redirect.jsp é incluído no Web Agent Option Pack ou no gateway da federação que é instalado na autoridade de confirmação.Proteja o URL de autenticação com uma política de controle de acesso. Para a diretiva, configure uma regra, realm e esquema de autenticação. Para adicionar atributos do repositório de sessões ao assertion, ative a caixa de seleção Persistir as variáveis da sessão de autenticação, que é uma configuração no esquema de autenticação.
As configurações gerais também incluem as seguintes seções:
- RestriçõesPermite configurar o endereço IP e as restrições de tempo na diretiva de geração de assertions do provedor de serviços.
- Hora
- DefinirAbre a caixa de diálogo Tempo para que você possa configurar a disponibilidade do parceiro de recurso. Quando você adiciona uma restrição de tempo, o provedor de serviços funciona apenas durante o período especificado.
- Limpar
- Endereços IP
- AdicionarAbre uma caixa de diálogo Adicionar endereço IP, na qual é possível criar uma restrição de endereço IP.
- AvançadoA seção Avançado permite configurar os seguintes recursos:
- Plugin do Assertion GeneratorIdentifica um plugin do Assertion Generator desenvolvido de maneira personalizada usando a API do plugin do Assertion Generator. O plugin do Assertion Generator é um recurso opcional.
- ProxyIdentifica o servidor proxy entre o cliente e o sistema em que o Federation Web Services está em execução, se aplicável.
- Configuração avançada do SSOEspecifica URLs de redirecionamento personalizados para erros de status de HTTP. OSiteMinderpode redirecionar o usuário para uma página de erro personalizada para uma ação adicional. Os URLs personalizados são opcionais.
Provedor de serviços SAML – Configurações avançadas
Configurações do plugin do Assertion Generator
A área do plugin do Assertion Generator inclui as seguintes configurações:
- Nome completo da classe em JavaEspecifica o nome totalmente qualificado da classe Java do plugin do Assertion Generator.
- ParâmetrosSe um valor for inserido no campo Nome completo da classe Java, será especificada uma sequência de caracteres de parâmetros que oSiteMindertransmitirá para o plugin especificado.
- Servidor proxyQuando a rede possuir um servidor proxy entre o cliente e o ambiente operacional do , especifique o esquema e as partes de autoridade do URL, comoprotocol:authority. O esquema é http: ou https: e a autoridade é // ou //host.domain.com:port. Por exemplo, http://example.ca.com.
O Federation Web Services está disponível em um sistema em que reside o Web Agent Option Pack ou o gateway da federação.
Provedor de serviços SAML -- Configuração avançada do SSO
A seção Configuração avançada do SSO permite configurar os seguintes recursos:
- O contexto de autenticação solicitado.
- O uso único do assertion.
- URLs de redirecionamento para a manipulação de erros.
- O uso do atributo SessionNotOnOrOAfter em um assertion do SAML.
Essa caixa de diálogo inclui as seguintes configurações:
- Ignorar AuthnContext solicitadoDetermina como uma transação é realizada se o SP incluir o elemento <RequestedAuthnContext> em uma mensagem de AuthnRequest ao solicitar um assertion.O termocontexto de autenticaçãodescreve como um usuário á autenticado em um IdP. Esse elemento é uma solicitação do SP que indica seus requisitos para a instrução AuthnContext que o IdP deve retornar na resposta de assertion.Se a caixa de seleção for marcada, o IdP será instruído a ignorar o elemento <RequestedAuthnContext> na mensagem de AuthnRequest recebida do SP. A federação legada não oferece suporte ao uso do elemento <RequestedAuthnContext> em um AuthnRequest, mas a marcação dessa caixa de seleção impede que ocorram falhas na transação.Se essa caixa de seleção não for marcada (o padrão) e o AuthnRequest de entrada possuir o elemento <RequestedAuthnContext>, a transação falhará.
- Definir a condição OneTimeUseInstrui o SP a usar o assertion imediatamente e não mantê-lo para uso futuro. O assertion é destinado apenas para uso único. A condição OneTimeUse é útil porque as informações em um assertion podem ser alteradas ou expirar e o SP usa um assertion com informações atualizadas. Em vez de reutilizar o assertion, o SP deve solicitar um novo assertion do IdP.
- Ativar URL de erro do servidorAtiva um redirecionamento de erro do servidor.
- URL de redirecionamento de erro do servidor
Exemplo: http://www.redirectmachine.com/error_pages/server_error.html - Ativar URL de solicitação inválidaAtiva um redirecionamento de erro de solicitação inválida.
- URL de redirecionamento de solicitação inválido
Exemplo: http://www.redirectmachine.com/error_pages/invalidreq_error.html - Ativar URL de acesso não autorizadoPermite o redirecionamento de um erro de acesso não autorizado.
- URL de redirecionamento de acesso não autorizado
Exemplo: http://www.redirectmachine.com/error_pages/unauthorized_error.html
Campos de Modo
Para cada URL, você pode selecionar um modo que o navegador usará para redirecionar o usuário.
302 Sem dados
Redireciona o usuário utilizando um redirecionamento HTTP 302. O
SiteMinder
direciona o usuário com um cookie de sessão. O SiteMinder
não acrescenta nenhuma informação adicional ao URL de redirecionamento.- HTTP POSTRedireciona o usuário utilizando o protocolo HTTP POST. Quando o usuário é redirecionado para o URL da página de erro personalizada, os seguintes dados, se disponíveis, são acrescentados ao URL de redirecionamento e, em seguida, publicados em uma página de erro personalizada:
- TARGET
- AUTHREASON
- CONSUMERURL
- SAMLRESPONSE
- IDPID
- SPID
- PROTOCOLBINDING
Duração da validade da sessão de SP
Determina o uso do atributo SessionNotOnOrOAfter em um assertion. Defina esse valor para determinar se o IdP deve adicionar o atributo SessionNotOnOrOAfter a um assertion do SAML.
A definição dessa configuração está disponível apenas no IdP do
SiteMinder
. O SiteMinder
instrui o IdP sobre o valor a ser definido para o parâmetro SessionNotOnOrAfter no assertion. A configuração não define nenhum valor de tempo limite no SP. Se
SiteMinder
estiver funcionando como um SP, ele irá ignorar o valor de SessionNotOnOrAfter. Em vez disso, um SP do SiteMinder
define os tempos limite de sessão com base no tempo limite do realm. O tempo limite do realm corresponde ao esquema de autenticação via SAML configurado que protege o recurso de destino.Opções:
Usar a validade do assertion
Calcula o valor de SessionNotOnOrAfter que se baseia na duração da validade do assertion.
Omitir
Instrui o IdP a não incluir o parâmetro SessionNotOnOrAfter no assertion.
Sessão do IDP
Calcula o valor de SessionNotOnOrAfter que se baseia no tempo limite da sessão do IdP. O tempo limite é configurado no realm do IdP para o URL de autenticação. Ao utilizar essa opção, é possível sincronizar os valores de tempo limite de sessão do IdP e do SP.
Personalizado
Permite especificar um valor personalizado para o parâmetro SessionNotOnOrAfter no assertion. Se você selecionar essa opção, insira um tempo no campo Duração da sessão personalizada do assertion.
Duração da sessão personalizada do assertion (minutos)
Especifica o período de tempo (em minutos) definido para o parâmetro SessionNotOnOrAfter no assertion. Se o atributo estiver no assertion, essa configuração determinará a duração da sessão entre o usuário e o IdP. Defina qualquer período de tempo que se adapte ao seu ambiente.