Provedor de serviços SAML -- Configurações gerais

As configurações nessa caixa de diálogo identificam o provedor de serviços para o qual o provedor de identidades gera assertions.
casso1283
HID_service-provider-general
As configurações nessa caixa de diálogo identificam o provedor de serviços para o qual o provedor de identidades gera assertions.
Configurações gerais
As configurações gerais permitem que você especifique as informações gerais sobre o provedor de serviços.
As configurações nessa guia são as seguintes:
  • Nome
    Nomeia o provedor de serviços. Esse nome é exclusivo entre todos os domínios afiliados.
  • ID do SP
    Especifica um URI que identifica exclusivamente o provedor de serviços, como sp.example.com.
  • URL de autenticação
    Especifica um URL protegido que a federação usa para autenticar usuários e criar uma sessão quando um recurso protegido é solicitado. Se o modo de autenticação tiver sido definido como Local e um usuário não tiver efetuado logon na autoridade de confirmação, os usuários serão enviados para esse URL.Esse URL deve apontar para o arquivo redirect.jsp, a menos que você marque a caixa de seleção Usar URL seguro.
    Exemplo: http://
    myserver.idpA.com
    /siteminderagent/redirectjsp/redirect.jsp
    myserver
    identifica o servidor web com o Web Agent Option Pack ou o gateway da federação. O arquivo redirect.jsp é incluído no Web Agent Option Pack ou no gateway da federação que é instalado na autoridade de confirmação.
    Proteja o URL de autenticação com uma política de controle de acesso. Para a diretiva, configure uma regra, realm e esquema de autenticação. Para adicionar atributos do repositório de sessões ao assertion, ative a caixa de seleção Persistir as variáveis da sessão de autenticação, que é uma configuração no esquema de autenticação.
  • casso1283
    Ativo
    Indica se a configuração de federação legada está em uso para uma parceria específica. Se o servidor de políticas estiver usando a configuração de federação legada, confirme se essa caixa de seleção está marcada. Se você tiver recriado uma parceria federada com valores semelhantes para as configurações de identidade, como a ID de origem, desmarque essa caixa de seleção antes de ativar a parceria federada.
    O
    SiteMinder
    não funciona com uma configuração legada e de parceria que usa os mesmos valores de identidade, pois ocorre um conflito de nomes.
  • Ativado
    Permite que o servidor de políticas e o Federation Web Services ofereçam suporte à autenticação de recursos do provedor de serviços.
  • Duração da latência
    Especifica o número de segundos (como um número inteiro positivo) adicionado e subtraído da hora do relógio atual. Esse ajuste é para prestar contas para os provedores de serviços com relógios que não estão sincronizados com o provedor de identidades. A duração da latência e a duração da validade determinam como o Servidor de políticas calcula o tempo total em que um assertion é válido.
    Para determinar a validade do assertion, a duração da latência é subtraída do tempo de geração do assertion (IssueInstant) para obter o tempo NotBefore. A duração da latência é adicionada à duração da validade e à IssueInstant a fim de obter o tempo NotOnOrAfter. As equações a seguir ilustram como a duração da latência é usada:
    • NotBefore=IssueInstant - Duração da latência
    • NotOnOrAfter=Duração da validade + Duração da latência + IssueInstant
    Os horários são em relação ao GMT.
  • Versão do SAML
    Especifica a versão de SAML (desativado; o valor é padronizado como 2.0, o que indica que os assertion enviados para essa ID do SP devem ser compatíveis com o SAML versão 2.0).
  • Descrição
    Opcionalmente, uma breve descrição do provedor de serviços.
  • ID do IdP
    Especifica um URI que identifica exclusivamente o provedor de identidades, como idp.ca.com. Esse valor de URI se torna o valor do campo Emissor no assertion.
  • URL do aplicativo
    (Opcional) Identifica o URL protegido de um aplicativo web personalizado que é usado para fornecer atributos de usuário para o serviço de logon único. O aplicativo pode estar em qualquer host na rede.
    Os atributos do aplicativo web especificados nesse campo são disponibilizados para o gerador de assertions e, em seguida, colocados no assertion do SAML por um plugin do Assertion Generator. Crie o plugin e o integre ao
    SiteMinder
    .
    O aplicativo Federation Web Services fornece aplicativos web de amostra que você pode usar como base para o seu aplicativo web. Elas incluem o seguinte:
    http://
    idp_server:port
    /affwebservices/public/sample_application.jsp
    http://
    idp_server:port
    /affwebservices/public/unsolicited_application.jsp
    idp_server:port
    Identifica o servidor web e a porta que estão hospedando o Web Agent Option Pack ou o gateway da federação.
  • Usar URL seguro
    Esta configuração instrui o serviço de logon único para criptografar apenas o parâmetro de consulta SMPORTALURL.Um SMPORTALURL criptografado impede que um usuário mal-intencionado modifique o valor e redirecione usuários autenticados para um site mal-intencionado.O SMPORTALURL é anexado ao URL de autenticação antes de o navegador redirecionar o usuário para estabelecer uma sessão. Após a autenticação do usuário, o navegador direciona o usuário de volta para o destino especificado no parâmetro de consulta SMPORTALURL.
    Se você marcar a caixa de seleção Usar URL seguro, execute as seguintes etapas:
    1. Defina o campo URL de autenticação como o seguinte URL: http(s)://
    idp_server:port
    /affwebservices/secure/secureredirect
    2. Proteja o serviço web secureredirect com uma política.
    Se a autoridade de confirmação atende a mais de um provedor de serviços, a autoridade de confirmação provavelmente autentica usuários diferentes para esses parceiros diferentes. Como resultado, para cada URL de autenticação que usa o serviço secureredirect, inclua esse serviço web em um realm diferente para cada parceiro.
    Para associar o serviço secureredirect a realms diferentes, modifique o arquivo web.xml e crie mapeamentos de recursos diferentes. Não é possível copiar o serviço web secureredirect em locais diferentes do servidor. Localize o arquivo web.xml no diretório
    web_agent_home
    /affwebservices/WEB-INF, onde
    web_agent_home
    é o local de instalação do agente web.
  • URL de autenticação
    Especifica um URL protegido que a federação usa para autenticar usuários e criar uma sessão quando um recurso protegido é solicitado. Se o modo de autenticação tiver sido definido como Local e um usuário não tiver efetuado logon na autoridade de confirmação, os usuários serão enviados para esse URL.Esse URL deve apontar para o arquivo redirect.jsp, a menos que você marque a caixa de seleção Usar URL seguro.
    Exemplo: http:///siteminderagent/redirectjsp/redirect.jsp
    myserver
    identifica o servidor web com o Web Agent Option Pack ou o gateway da federação. O arquivo redirect.jsp é incluído no Web Agent Option Pack ou no gateway da federação que é instalado na autoridade de confirmação.
    Proteja o URL de autenticação com uma política de controle de acesso. Para a diretiva, configure uma regra, realm e esquema de autenticação. Para adicionar atributos do repositório de sessões ao assertion, ative a caixa de seleção Persistir as variáveis da sessão de autenticação, que é uma configuração no esquema de autenticação.
As configurações gerais também incluem as seguintes seções:
  • Restrições
    Permite configurar o endereço IP e as restrições de tempo na diretiva de geração de assertions do provedor de serviços.
    • Hora
    • Definir
      Abre a caixa de diálogo Tempo para que você possa configurar a disponibilidade do parceiro de recurso. Quando você adiciona uma restrição de tempo, o provedor de serviços funciona apenas durante o período especificado.
    • Limpar
    • Endereços IP
    Lista os endereços IP restritos que são configurados para a diretiva dos recursos do provedor de serviços. Você pode especificar um endereço IP, um intervalo de endereços IP ou uma máscara de sub-rede do servidor web. Um navegador deve estar em execução nesse servidor web para que o usuário possa acessar um provedor de serviços.
    • Adicionar
      Abre uma caixa de diálogo Adicionar endereço IP, na qual é possível criar uma restrição de endereço IP.
  • Avançado
    A seção Avançado permite configurar os seguintes recursos:
    • Plugin do Assertion Generator
      Identifica um plugin do Assertion Generator desenvolvido de maneira personalizada usando a API do plugin do Assertion Generator. O plugin do Assertion Generator é um recurso opcional.
    • Proxy
      Identifica o servidor proxy entre o cliente e o sistema em que o Federation Web Services está em execução, se aplicável.
    • Configuração avançada do SSO
      Especifica URLs de redirecionamento personalizados para erros de status de HTTP. O
      SiteMinder
      pode redirecionar o usuário para uma página de erro personalizada para uma ação adicional. Os URLs personalizados são opcionais.
Provedor de serviços SAML – Configurações avançadas
Configurações do plugin do Assertion Generator
A área do plugin do Assertion Generator inclui as seguintes configurações:
  • Nome completo da classe em Java
    Especifica o nome totalmente qualificado da classe Java do plugin do Assertion Generator.
  • Parâmetros
    Se um valor for inserido no campo Nome completo da classe Java, será especificada uma sequência de caracteres de parâmetros que o
    SiteMinder
    transmitirá para o plugin especificado.
  • Servidor proxy
    Quando a rede possuir um servidor proxy entre o cliente e o ambiente operacional do
    , especifique o esquema e as partes de autoridade do URL, como
    protocol
    :
    authority
    . O esquema é http: ou https: e a autoridade é // ou //. Por exemplo, http://example.ca.com.
O Federation Web Services está disponível em um sistema em que reside o Web Agent Option Pack ou o gateway da federação.
Provedor de serviços SAML -- Configuração avançada do SSO
A seção Configuração avançada do SSO permite configurar os seguintes recursos:
  • O contexto de autenticação solicitado.
  • O uso único do assertion.
  • URLs de redirecionamento para a manipulação de erros.
  • O uso do atributo SessionNotOnOrOAfter em um assertion do SAML.
Essa caixa de diálogo inclui as seguintes configurações:
  • Ignorar AuthnContext solicitado
    Determina como uma transação é realizada se o SP incluir o elemento <RequestedAuthnContext> em uma mensagem de AuthnRequest ao solicitar um assertion.
    O termo
    contexto de autenticação
    descreve como um usuário á autenticado em um IdP. Esse elemento é uma solicitação do SP que indica seus requisitos para a instrução AuthnContext que o IdP deve retornar na resposta de assertion.
    Se a caixa de seleção for marcada, o IdP será instruído a ignorar o elemento <RequestedAuthnContext> na mensagem de AuthnRequest recebida do SP. A federação legada não oferece suporte ao uso do elemento <RequestedAuthnContext> em um AuthnRequest, mas a marcação dessa caixa de seleção impede que ocorram falhas na transação.
    Se essa caixa de seleção não for marcada (o padrão) e o AuthnRequest de entrada possuir o elemento <RequestedAuthnContext>, a transação falhará.
  • Definir a condição OneTimeUse
    Instrui o SP a usar o assertion imediatamente e não mantê-lo para uso futuro. O assertion é destinado apenas para uso único. A condição OneTimeUse é útil porque as informações em um assertion podem ser alteradas ou expirar e o SP usa um assertion com informações atualizadas. Em vez de reutilizar o assertion, o SP deve solicitar um novo assertion do IdP.
  • Ativar URL de erro do servidor
    Ativa um redirecionamento de erro do servidor.
    • URL de redirecionamento de erro do servidor
    Especifica o URL para o qual o usuário é redirecionado quando ocorre um erro de servidor HTTP 500. Um usuário pode receber um erro 500 devido a uma condição inesperada que impede o servidor web de atender à solicitação do cliente. Se esse tipo de erro ocorrer, o usuário será enviado para o URL especificado para processamento adicional.
    Exemplo: http://www.redirectmachine.com/error_pages/server_error.html
  • Ativar URL de solicitação inválida
    Ativa um redirecionamento de erro de solicitação inválida.
    • URL de redirecionamento de solicitação inválido
    Especifica o URL para o qual o usuário é redirecionado quando ocorre um erro do tipo HTTP 400 - Solicitação incorreta ou 405 - Método não permitido. Um usuário pode receber um erro 400 devido a uma solicitação malformada. O usuário pode receber um erro 405 devido ao servidor web não permitir a execução de um determinado método ou ação. Se esses tipos de erros ocorrerem, o usuário será enviado para o URL especificado para processamento adicional.
    Exemplo: http://www.redirectmachine.com/error_pages/invalidreq_error.html
  • Ativar URL de acesso não autorizado
    Permite o redirecionamento de um erro de acesso não autorizado.
    • URL de redirecionamento de acesso não autorizado
    Especifica o URL para o qual o usuário é redirecionado quando ocorre um erro de proibição HTTP 403. Um usuário pode receber um erro 403 porque o URL em uma solicitação está apontando para o destino incorreto, como um diretório, em vez de um arquivo. Se esse erro ocorrer, o usuário será enviado para o URL especificado para processamento adicional.
    Exemplo: http://www.redirectmachine.com/error_pages/unauthorized_error.html
Campos de Modo
Para cada URL, você pode selecionar um modo que o navegador usará para redirecionar o usuário.
302 Sem dados
Redireciona o usuário utilizando um redirecionamento HTTP 302. O
SiteMinder
direciona o usuário com um cookie de sessão. O
SiteMinder
não acrescenta nenhuma informação adicional ao URL de redirecionamento.
  • HTTP POST
    Redireciona o usuário utilizando o protocolo HTTP POST. Quando o usuário é redirecionado para o URL da página de erro personalizada, os seguintes dados, se disponíveis, são acrescentados ao URL de redirecionamento e, em seguida, publicados em uma página de erro personalizada:
    • TARGET
    • AUTHREASON
    • CONSUMERURL
    • SAMLRESPONSE
    • IDPID
    • SPID
    • PROTOCOLBINDING
Duração da validade da sessão de SP
Determina o uso do atributo SessionNotOnOrOAfter em um assertion. Defina esse valor para determinar se o IdP deve adicionar o atributo SessionNotOnOrOAfter a um assertion do SAML.
A definição dessa configuração está disponível apenas no IdP do
SiteMinder
. O
SiteMinder
instrui o IdP sobre o valor a ser definido para o parâmetro SessionNotOnOrAfter no assertion. A configuração não define nenhum valor de tempo limite no SP.
Se
SiteMinder
estiver funcionando como um SP, ele irá ignorar o valor de SessionNotOnOrAfter. Em vez disso, um SP do
SiteMinder
define os tempos limite de sessão com base no tempo limite do realm. O tempo limite do realm corresponde ao esquema de autenticação via SAML configurado que protege o recurso de destino.
Opções:
Usar a validade do assertion
Calcula o valor de SessionNotOnOrAfter que se baseia na duração da validade do assertion.
Omitir
Instrui o IdP a não incluir o parâmetro SessionNotOnOrAfter no assertion.
Sessão do IDP
Calcula o valor de SessionNotOnOrAfter que se baseia no tempo limite da sessão do IdP. O tempo limite é configurado no realm do IdP para o URL de autenticação. Ao utilizar essa opção, é possível sincronizar os valores de tempo limite de sessão do IdP e do SP.
Personalizado
Permite especificar um valor personalizado para o parâmetro SessionNotOnOrAfter no assertion. Se você selecionar essa opção, insira um tempo no campo Duração da sessão personalizada do assertion.
Duração da sessão personalizada do assertion (minutos)
Especifica o período de tempo (em minutos) definido para o parâmetro SessionNotOnOrAfter no assertion. Se o atributo estiver no assertion, essa configuração determinará a duração da sessão entre o usuário e o IdP. Defina qualquer período de tempo que se adapte ao seu ambiente.