Perfis do SAML do parceiro de recurso

Na caixa de diálogo Perfil do SAML, você pode configurar o logon único e o logoff único entre o parceiro de conta e o parceiro de recurso.
casso1283
HID_wsfed-rp-saml-profiles
Na caixa de diálogo Perfil do SAML, você pode configurar o logon único e o logoff único entre o parceiro de conta e o parceiro de recurso.
As configurações de logon único são:
  • Método de autenticação
    Indica como o usuário é autenticado no parceiro de conta. Selecione um método de autenticação na lista suspensa.O parceiro de conta inclui o método de autenticação no assertion na forma de uma sequência de caracteres de URI.
    O valor que você selecionar para esse campo deve corresponder ao esquema de autenticação que protege o URL de autenticação. Você pode especificar o URL de autenticação nas configurações gerais desse parceiro de conta. Por exemplo, se o URL de autenticação estiver protegido por um esquema de autenticação de certificado X.509, selecione Certificado SSL/TLS para esse campo.
    O método de autenticação selecionado também deve ser apropriado para o nível de autenticação configurado nessa página. Por exemplo, você pode selecionar o certificado de cliente X509 e o modelo básico para o esquema de autenticação que protege o URL de autenticação. O nível de proteção padrão para esse modelo é 15. No entanto, o método de autenticação padrão para a configuração de SSO do parceiro de recurso é Senha. Se você mantiver a senha como método de autenticação, o parceiro de conta adicionará o seguinte URI ao assertion:
    urn:oasis:names:tc:SAML:1.0:am:classes:password
  • Security Token Consumer Service
    Especifica o URL do serviço no parceiro de recurso que recebe as mensagens de resposta do token de segurança e extrai o assertion. O local padrão do serviço
    SiteMinder
    é:
    https://
    rp_server:port
    /affwebservices/public/wsfeddispatcher
    casso1283
    rp_server:port
    Identifica o servidor web e a porta no parceiro de recursos que está hospedando o Pacote de opções do agente web ou o
    Access Gateway
    .
    Esses componentes fornecem o aplicativo Federation Web Services.
    O serviço WSFedDispatcher recebe todas as mensagens de entrada do WS-Federation e encaminha o processamento da solicitação para o serviço apropriado com base nos dados do parâmetro de consulta. Embora haja um serviço wsfedsecuritytokenconsumer, o serviço wsfeddispatcher é recomendado para a entrada desse campo.
  • Duração da validade em segundos
    Especifica o número de segundos (um número inteiro positivo) durante os quais um assertion é válido. O padrão é 60 segundos.
    Em um ambiente de teste, se a mensagem a seguir estiver no log de rastreamento de servidor de políticas, aumente a duração da validade para mais de 60.
    Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237)  - current time (Fri Sep 09 17:28:33
    EDT 2011) is after SessionNotOnOrAfter time (Fri Sep 09 17:28:20 EDT 2006)
  • Nível de autenticação [de 0 a 1000]
    Especifica o nível mínimo no qual o usuário deve estar autenticado para obter acesso a um realm do
    SiteMinder
    .
    Quando um usuário solicita um recurso federado, ele deve ter uma sessão do
    SiteMinder
    . Se ele não possuir uma sessão, o
    SiteMinder
    o redirecionará para o URL de autenticação a fim de estabelecer uma sessão. O usuário poderá, possivelmente, ter uma sessão, mas o nível de proteção será menor do que o nível de autenticação especificado nessa caixa de diálogo. Nesse caso, o
    SiteMinder
    redireciona o usuário para o URL de autenticação para restabelecer uma sessão.
    O esquema de autenticação que protege o URL de autenticação é configurado com um determinado nível de proteção. O nível de proteção deve ser igual ou maior que o nível no campo Nível de autenticação dessa página. Se o usuário tiver sido autenticado nesse nível, o parceiro de conta gerará um assertion para ele. Se o nível de proteção do URL de autenticação for menor que o nível no campo Nível de autenticação, o
    SiteMinder
    não gerará um assertion.
A seção de logoff permite ativar o recurso de logoff do WS-Federation. O logoff encerra todas as sessões de um determinado usuário em cada parceiro de recurso em que o usuário possuir uma sessão.
As configurações de logoff são:
  • Ativar logoff
    Ativa o recurso de logoff do WS-Federation para o parceiro de recurso.
  • URL de limpeza de logoff
    Especifica um URL no parceiro de recurso em que o navegador é redirecionado para encerrar a sessão do usuário.
    Depois que a sessão do usuário é removida do parceiro de conta e de todos os sites do parceiro de recurso, o Federation Web Services redireciona o usuário para o URL de limpeza de logoff. Se o logoff for iniciado no parceiro de recurso, a página de confirmação de logoff deverá ser um recurso sem proteção no parceiro de recurso. Se o logoff for iniciado em um site de parceiro de conta, a página de confirmação de logoff deverá ser um recurso sem proteção no site do parceiro de conta.
  • URL de confirmação de logoff
    Especifica o URL no provedor de contas para o qual o
    SiteMinder
    envia a mensagem de logoff. Esse URL também é o local para o qual as localizações de limpeza do provedor de recursos são enviadas como dados de postagem para a página SignoutConfirm JSP. O URL padrão é:
    http://
    ap_server:port
    /affwebservices/public/signoutconfirmurl.jsp
    ap_server:port
    Especifica o servidor e o número da porta do sistema no parceiro de conta. O sistema está hospedando o Web Agent Option Pack ou o gateway da federação, dependendo do componente que está instalado em sua rede de federação.
    O signoutconfirmurl.jsp está incluído no Web Agent Option Pack ou no gateway da federação. Você pode mover essa página a partir do diretório padrão. Nesse caso, coloque-a em um local em que o mecanismo de servlet do Federation Web Services possa acessar a página.