Esquema de autenticação WS-Federation -- Perfis do SAML

A página contém os seguintes campos:
casso1283
HID_wsfed-auth-scheme-saml-profiles
Na caixa de diálogo Perfil do SAML, você pode definir como o parceiro de recurso lida com a comunicação de logon e logoff únicos.
A página contém os seguintes campos:
  • Modo de redirecionamento
    Indica o método usado pelo parceiro de recurso para redirecionar o usuário para o recurso de destino. Se você selecionar 302 Sem dados ou 302 Dados de cookie, nenhuma outra configuração será necessária. Se você selecionar Redirecionamento para o servidor ou PersistAttributes, configurações adicionais serão necessárias.
    • 302 Sem dados
      (padrão). Indica que um redirecionamento HTTP 302 envia o usuário para o destino com um cookie de sessão, mas sem outros dados.
    • 302 Dados de cookie
      Indica que um redirecionamento HTTP 302 envia o usuário para o destino com um cookie da sessão e dados de cookie adicionais do parceiro de recurso.
    • casso1283
      Redirecionamento de servidor
      Permite que as informações de atributo de cabeçalho e cookie recebidas no assertion sejam transmitidas para o aplicativo de destino personalizado. O Assertion Consumer Service do SAML 2.0 ou o Security Token Consumer Service do WS-Federation coletam as credenciais do usuário e, em seguida, transferem o usuário para o URL do aplicativo de destino usando redirecionamentos no lado do servidor. Os redirecionamentos do lado do servidor fazem parte da especificação do servlet Java. Todos os recipientes de servlet em conformidade com o padrão oferecem suporte a redirecionamentos no lado do servidor.
      Para usar esse modo, siga estes requisitos:
      • O URL especificado para esse modo deve ser relativo ao contexto do servlet que está utilizando o assertion, que normalmente é /affwebservices/public/. A raiz do contexto é a raiz do aplicativo Federation Web Services, geralmente, /affwebservices/.
        Todos os arquivos de aplicativo de destino devem estar no diretório raiz do aplicativo. Esse diretório é:
        — Agente web:
        web_agent_home
        \webagent\affwebservices
        Access Gateway
        :
        sps_home
        \secure-proxy\Tomcat\webapps\affwebservices
      • Defina realms, regras e diretivas para proteger os recursos de destino. Defina os realms com, pelo menos, o valor /affwebservices/ no filtro do recurso.
      • Instale um aplicativo Java ou JSP personalizado no servidor que está atendendo o aplicativo Federation Web Services. O Federation Web Services é instalado com o Pacote de opções do agente web ou o
        Access Gateway
        .
        A tecnologia de servlet Java permite que os aplicativos transmitam informações entre solicitações de dois recursos usando o método setAttribute da interface ServletRequest.
        O serviço que utiliza os assertions envia o atributo de usuário para o aplicativo de destino antes de redirecionar o usuário para o destino. O serviço envia os atributos criando um objeto java.util.HashMap. O atributo que contém os atributos HashMap de SAML é “Netegrity.AttributeInfo”.
        O serviço que utiliza os assertions transmite outros dois atributos Java.lang.String para o aplicativo personalizado:
        — O atributo Netegrity.smSessionID representa a ID de sessão do
        SiteMinder
        .
        — O atributo Netegrity.userDN representa o DN de usuário do
        SiteMinder
        .
        O aplicativo de destino personalizado lê esses objetos na solicitação HTTP e usa os dados encontrados nos objetos hashmap.
    • Persistir atributos
      Indica que um redirecionamento HTTP 302 envia o usuário para o destino com um cookie de sessão, mas sem outros dados. Além disso, esse modo instrui o servidor de políticas a armazenar os atributos extraídos de um assertion no repositório de sessões, de forma que seja possível fornecê-los como variáveis de cabeçalho HTTP. Para obter configurações adicionais, consulte as instruções para a utilização de atributos SAML como cabeçalhos HTTP.
      casso1283
      Se você selecionar Persistir atributos e o assertion contiver atributos em branco, um valor NULL será gravado no repositório de sessões. Esse valor funciona como um espaço reservado para o atributo em branco. O valor é transmitido para qualquer aplicativo que estiver usando o atributo.
  • Destino
    Especifica o URI de recurso de destino no site de destino do provedor de serviços.
  • Aplicar diretiva de uso único
    Força o uso único de uma diretiva. A seleção dessa opção impede que os assertion sejam reutilizados em um parceiro de recurso para estabelecer uma segunda sessão.
A seção de logoff permite configurar como o parceiro de recurso responde a uma solicitação de logoff.
As configurações nessa seção são:
  • Ativar atributos SignoutJava.lang.String
    Ativa o logoff do WS-Federation.
  • URL de logoff
    Especifica o URL do servlet de logoff no parceiro de conta. O URL padrão é a entrada recomendada:
    https://<ap_service:port>/affwebservices/public/wsfeddispatcher
    O serviço WSFedDispatcher recebe todas as mensagens de entrada do WS-Federation e encaminha o processamento da solicitação para o serviço apropriado com base nos dados do parâmetro de consulta. Embora haja um serviço wsfedsignout, use o URL de wsfeddispatcher para o URL de logoff.
A seção Desambiguidade de usuário define como obter informações de usuários a partir de um assertion em uma mensagem de entrada de <RequestSecurityTokenResponse>.
A guia inclui os campos e os controles a seguir:
Desambiguidade de usuário
  • Consulta Xpath
    Especifica uma consulta XPath. A consulta XPath informa ao esquema de autenticação onde localizar uma entrada específica no assertion que, posteriormente, servirá como a ID de logon do usuário. O valor que a consulta obtém se torna parte da especificação de pesquisa para procurar por uma entrada do repositório de usuários.
    A consulta XPath padrão usada quando nenhuma está configurada é:
    /Assertion/Subject/NameID/text()
    Xpath queries must not contain namespace prefixes. The following is an invalid Xpath query:
    /saml:Response/saml:Assertion/saml:AuthenticationStatement/
    saml:Subject/saml:NameIdentifier/text()
    The valid Xpath query is:
    //Response/Assertion/AuthenticationStatement/Subject/
    NameIdentifier/text()
    Exemplo
    Para obter o atributo “FirstName” do assertion para autenticação, o caminho XPath é:
    /Assertion/AttributeStatement/Attribute[@Name=”FirstName”]/AttributeValue/text()
  • Pesquisa de usuário
    Exibe os tipos de espaço para nome nos quais você pode inserir uma especificação de pesquisa para localizar um registro de usuário em um diretório de usuários. Use o campo Personalizado para um espaço para nome que não esteja listado.
    Insira uma especificação de pesquisa para o tipo de repositório de usuários que você está usando. A especificação de pesquisa combina um atributo de repositório de usuários e o valor que a consulta Xpath identifica. O esquema de autenticação usa a especificação de pesquisa para localizar um registro de usuário no repositório de usuários.
    Use %s para representar o valor da ID de logon.
    Por exemplo, a ID de logon é user1. Se você especificar Username=%s no campo Especificação de pesquisa, a sequência de caracteres resultante será Username=user1. Essa sequência de caracteres é comparada com um registro no diretório de usuários a fim de localizar o registro correto para autenticação.
    Você também pode especificar filtros com diversas variáveis %s. Por exemplo:
    |(uid=%s)(email=%[email protected])
    |(abcAliasName=%s)(cn=%s)
    Os resultados podem ser:
    |(uid=user1)([email protected])
    |(abcAliasName=user1)(cn=user1)