Perfis do SAML do parceiro de recurso
Na caixa de diálogo Perfil do SAML, você pode configurar o logon único e o logoff único entre o parceiro de conta e o parceiro de recurso.
casso1283
HID_wsfed-rp-saml-profiles
Na caixa de diálogo Perfil do SAML, você pode configurar o logon único e o logoff único entre o parceiro de conta e o parceiro de recurso.
As configurações de logon único são:
- Método de autenticaçãoIndica como o usuário é autenticado no parceiro de conta. Selecione um método de autenticação na lista suspensa.O parceiro de conta inclui o método de autenticação no assertion na forma de uma sequência de caracteres de URI.O valor que você selecionar para esse campo deve corresponder ao esquema de autenticação que protege o URL de autenticação. Você pode especificar o URL de autenticação nas configurações gerais desse parceiro de conta. Por exemplo, se o URL de autenticação estiver protegido por um esquema de autenticação de certificado X.509, selecione Certificado SSL/TLS para esse campo.O método de autenticação selecionado também deve ser apropriado para o nível de autenticação configurado nessa página. Por exemplo, você pode selecionar o certificado de cliente X509 e o modelo básico para o esquema de autenticação que protege o URL de autenticação. O nível de proteção padrão para esse modelo é 15. No entanto, o método de autenticação padrão para a configuração de SSO do parceiro de recurso é Senha. Se você mantiver a senha como método de autenticação, o parceiro de conta adicionará o seguinte URI ao assertion:urn:oasis:names:tc:SAML:1.0:am:classes:password
- Security Token Consumer ServiceEspecifica o URL do serviço no parceiro de recurso que recebe as mensagens de resposta do token de segurança e extrai o assertion. O local padrão do serviçoSiteMinderé:https://rp_server:port/affwebservices/public/wsfeddispatchercasso1283rp_server:portIdentifica o servidor web e a porta no parceiro de recursos que está hospedando o Pacote de opções do agente web ou oAccess Gateway.Esses componentes fornecem o aplicativo Federation Web Services.O serviço WSFedDispatcher recebe todas as mensagens de entrada do WS-Federation e encaminha o processamento da solicitação para o serviço apropriado com base nos dados do parâmetro de consulta. Embora haja um serviço wsfedsecuritytokenconsumer, o serviço wsfeddispatcher é recomendado para a entrada desse campo.
- Duração da validade em segundosEspecifica o número de segundos (um número inteiro positivo) durante os quais um assertion é válido. O padrão é 60 segundos.Em um ambiente de teste, se a mensagem a seguir estiver no log de rastreamento de servidor de políticas, aumente a duração da validade para mais de 60.Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237) - current time (Fri Sep 09 17:28:33EDT 2011) is after SessionNotOnOrAfter time (Fri Sep 09 17:28:20 EDT 2006)
- Nível de autenticação [de 0 a 1000]Especifica o nível mínimo no qual o usuário deve estar autenticado para obter acesso a um realm doSiteMinder.Quando um usuário solicita um recurso federado, ele deve ter uma sessão doSiteMinder. Se ele não possuir uma sessão, oSiteMindero redirecionará para o URL de autenticação a fim de estabelecer uma sessão. O usuário poderá, possivelmente, ter uma sessão, mas o nível de proteção será menor do que o nível de autenticação especificado nessa caixa de diálogo. Nesse caso, oSiteMinderredireciona o usuário para o URL de autenticação para restabelecer uma sessão.O esquema de autenticação que protege o URL de autenticação é configurado com um determinado nível de proteção. O nível de proteção deve ser igual ou maior que o nível no campo Nível de autenticação dessa página. Se o usuário tiver sido autenticado nesse nível, o parceiro de conta gerará um assertion para ele. Se o nível de proteção do URL de autenticação for menor que o nível no campo Nível de autenticação, oSiteMindernão gerará um assertion.
A seção de logoff permite ativar o recurso de logoff do WS-Federation. O logoff encerra todas as sessões de um determinado usuário em cada parceiro de recurso em que o usuário possuir uma sessão.
As configurações de logoff são:
- Ativar logoffAtiva o recurso de logoff do WS-Federation para o parceiro de recurso.
- URL de limpeza de logoffEspecifica um URL no parceiro de recurso em que o navegador é redirecionado para encerrar a sessão do usuário.Depois que a sessão do usuário é removida do parceiro de conta e de todos os sites do parceiro de recurso, o Federation Web Services redireciona o usuário para o URL de limpeza de logoff. Se o logoff for iniciado no parceiro de recurso, a página de confirmação de logoff deverá ser um recurso sem proteção no parceiro de recurso. Se o logoff for iniciado em um site de parceiro de conta, a página de confirmação de logoff deverá ser um recurso sem proteção no site do parceiro de conta.
- URL de confirmação de logoffEspecifica o URL no provedor de contas para o qual oSiteMinderenvia a mensagem de logoff. Esse URL também é o local para o qual as localizações de limpeza do provedor de recursos são enviadas como dados de postagem para a página SignoutConfirm JSP. O URL padrão é:http://ap_server:port/affwebservices/public/signoutconfirmurl.jspap_server:portEspecifica o servidor e o número da porta do sistema no parceiro de conta. O sistema está hospedando o Web Agent Option Pack ou o gateway da federação, dependendo do componente que está instalado em sua rede de federação.O signoutconfirmurl.jsp está incluído no Web Agent Option Pack ou no gateway da federação. Você pode mover essa página a partir do diretório padrão. Nesse caso, coloque-a em um local em que o mecanismo de servlet do Federation Web Services possa acessar a página.