Aktivieren der SAML-Authentifizierung für Service Catalog

Security Assertion Markup Language (SAML) ist ein Standard für die Protokollierung von Benutzern in Anwendungen auf Grundlage ihrer Sitzungen in einem anderen Kontext. SAML SSO überträgt die Identität des Benutzers von einer Stelle (dem Identity-Provider) in eine andere (dem Service-Provider). Dies erfolgt über den Austausch von digital signierten XML-Dokumenten.
casm173
Security Assertion Markup Language (SAML) ist ein Standard für die Protokollierung von Benutzern in Anwendungen auf Grundlage ihrer Sitzungen in einem anderen Kontext. SAML SSO überträgt die Identität des Benutzers von einer Stelle (dem Identity-Provider) in eine andere (dem Service-Provider). Dies erfolgt über den Austausch von digital signierten XML-Dokumenten.
In diesem Artikel wird beschrieben, wie Sie SAML für CA Service Catalog-Tomcat-Server auf Active Directory-Verbunddienste (Active Directory Federation Services, ADFS) und CA Single Sign-On (Siteminder) aktivieren:
Voraussetzungen
Voraussetzungen für das Aktivieren von SAML auf ADFS
Wenn Sie ADFS als den Identity-Provider verwenden möchten, müssen Sie ADFS unter Windows Server 2012 R2 und höher installieren. Nach Abschluss der Installation von ADFS und CA Service Catalog müssen Sie die ADFS mit folgenden Informationen konfigurieren:
  1. Geben Sie bei der Konfiguration von "Vertrauensstellung der vertrauenden Seite hinzufügen" auf ADFS Folgendes im Fenster
    URL konfigurieren
    ein:
    1. Aktivieren Sie das Kontrollkästchen "
      Unterstützung für das WS-Federation-Passive-Protokoll aktivieren
      ".
    2. Geben Sie folgenden Wert in
      URL des passiven WS-Verbundprotokolls der vertrauenden Seite:
      ein:
      https://<catalog hostname>:<https port>/usm/wpf
    3. Aktivieren Sie das Kontrollkästchen "
      Aktivieren der Unterstützung für das SAML 2.0 WebSSO-Protokoll
      ".
    4. Geben Sie folgenden Wert in "
      URL des SAML 2.0-Diensts für einmaliges Anmelden der vertrauenden Seite:
      " ein:
      https://<catalog hostname>:<https port>/usm/wpf
  2. Geben Sie beim Hinzufügen von Anspruchsregeln Folgendes im Schritt "
    Anspruchsregel konfigurieren
    " ein:
    1. Anspruchsregelname
      : Geben Sie einen Namen für die Anspruchsregel ein. Zum Beispiel
      Catalog-Anspruchsregel
      .
    2. Attributspeicher
      :
      Wählen Sie die Datenquelle aus der Drop-down-Liste. Zum Beispiel
      Active Directory
      .
    3. LDAP-Attribut
      : Wählen Sie
      SAM-Kontoname
      aus der Drop-down-Liste aus.
    4. Typ des ausgehenden Anspruchs
      : Wählen Sie
      Name
      aus der Drop-down-Liste aus.
Voraussetzungen für das Aktivieren von SAML für CA Single Sign-On (Siteminder)
Wenn Sie CA Single Sign-On (früher CA Siteminder) als Ihren Identify-Provider verwenden möchten, führen Sie folgende Schritte aus:
  1. Starten Sie CA Single Sign-On als Administrator.
  2. Gehen Sie zu Sie "Federation--Partnerschaft Partnerschaft-Federation" und klicken Sie auf "Partnerschaften".
  3. Klicken Sie auf den Namen der Federation-Partnerschaft aus der Liste "Federation-Partnerschaft", die Sie verwenden möchten.
  4. Erweitern Sie den Abschnitt "IP-Einschränkungen", und überprüfen Sie die Eigenschaften der Assertionsattribute auf der Eigenschaftenseite der Partnerschaften.
  5. Der Wert des Felds "Namespace" muss der URI für den jeweiligen Anspruch sein.
    Wenn der Wert als "
    Unbekannt
    " angegeben ist, funktioniert die SAML-Authentifizierung nicht.
  6. Stellen Sie sicher, dass das Zertifikat, das Sie zum Konfigurieren des Identity-Provider verwenden möchten,
    SHA-256-signiert
    ist.
Aktivieren der SAML-Authentifizierung für CA Service Catalog-Tomcat-Webserver
Führen Sie folgende Schritte auf allen CA Service Catalog-Tomcat Webservern durch:
  1. Stellen Sie sicher, dass SSL für CA Service Catalog aktiviert ist. Weitere Informationen finden Sie unter Enable SSL Authentication for CA SM 17.3.
  2. Stellen Sie sicher, dass die folgende Informationen in der Datei
    web.xml
    vorhanden sind, die sich im Verzeichnis befindet, in dem Sie den CA Service Catalog-Tomcat-Webserver installiert haben:
    Zum Beispiel:
    C:\Programme\CA\Service Catalog\view\webapps\usm\WEB-INF\web.xml
  3. Überprüfen Sie die Konfiguration unter der Anweisung
    <!-- Add filter here -->
    :
    <filter>
    <filter-name>FederationFilter</filter-name>
    <filter-class>com.auth10.federation.WSFederationFilter</filter-class>
    <init-param>
    <param-name>login-page-url</param-name>
    <param-value>main.jsp</param-value>
    </init-param>
    <init-param>
    <param-name>exclude-urls-regex</param-name>
    <param-value>/images/|/js/|/css/</param-value>
    </init-param>
    </filter>
  4. Überprüfen Sie die folgende Konfiguration unter der Anweisung <!-- Add filter-mapping here -->:
    <filter-mapping>
    <filter-name>FederationFilter</filter-name>
    <url-pattern>/*</url-pattern>
    </filter-mapping>
  5. Schließen Sie die Datei "
    web.xml
    ".
  6. Starten Sie die CA Service Catalog-Dienste neu.
Konfigurieren von SAML über die CA Service Catalog-Anwenderoberfläche
Gehen Sie folgendermaßen vor,um SAML auf ADFS oder CA SSO zu konfigurieren:
Konfigurieren von SAML für ADFS
Konfigurieren Sie die SAML-Parameter in der CA Service Catalog-Anwenderoberfläche für ADFS wie folgt:
  1. Stellen Sie sicher, dass Sie die Schritte unter Aktivieren der SAML-Authentifizierung für CA Service Catalog-Tomcat-Webserver befolgt haben.
  2. Melden Sie sich als "spadmin" oder als CA Service Catalog-Administrator an.
  3. Navigieren Sie zu
    Administrator
    ,
    Konfigurationen
    ,
    Single Sign-On-Authentifizierung
    , und konfigurieren Sie Folgendes:
    Parameter
    Beschreibung
    Single Sign-On Type
    Ändern Sie den Single Sign-On-Typ auf
    SAML
    .
    SAML-Federation Audienceuris
    Definieren Sie den URI der Anwendung, von der die Token angenommen werden sollen.
    Beispiel:
    https://<catalog hostname>:<catalog-Tomcat-SSL-Port>/usm/wpf|https://<catalog hostname>:<catalog-Tomcat-SSL-Port>/usm/wpf
    SAML-Federation EnableManualRedirect
    Deaktiviert
    SAML-Federation Realm
    Definieren Sie die Lokation, von der Token gesendet werden.
    Beispiel:
    https://<catalog hostname>:<catalog-Tomcat-SSL-Port>/usm/wpf
    SAML-Federation Reply
    Definieren Sie die URL der Lokation, die Antworten empfängt.
    https://<catalog hostname>:<catalog-Tomcat-SSL-Port>/usm/wpf
    SAML-Federation Trustedissuers Friendlyname
    Geben Sie einen allgemeinen Namen für den Identity-Provider an.
    Beispiel:
    sun06_cert - <ADFS hostname>-I6029.sun06.local.com
    SAML-Federation Trustedissuers Issuer
    Geben Sie die Identity-Provider-URL an:
    Beispiel:
    https://<trusted_issuer_URL>/<identity_provider>/ls/idpinitiatedsignon.aspx
    SAML-Federation Trustedissuers Thumbprint
    Definieren Sie den Wert des Zertifikatfingerabdrucks, der vom Identity Provider bereitgestellt wird. Sie müssen den Thumbprint vom "
    Token-Signatur"
    -Abschnitt des Zertifikats angeben.
    Beispiel:
    375181a915d1e699ef8e8e47c20d550be9dda024
Konfigurieren von SAML für CA Single Sign-On
Gehen Sie folgendermaßen vor:
  1. Stellen Sie sicher, dass Sie die Schritte unter Aktivieren der SAML-Authentifizierung für CA Service Catalog-Tomcat-Webserver abgeschlossen haben.
  2. Melden Sie sich als "spadmin" oder als CA Service Catalog-Administrator an.
  3. Navigieren Sie zu
    Administrator
    ,
    Konfigurationen
    ,
    Single Sign-On-Authentifizierung
    , und konfigurieren Sie Folgendes:
    Parameter
    Beschreibung
    Single-Sign on Type
    Ändern Sie den Single Sign-On-Typ auf
    SAML
    .
    SAML-Federation Audienceuris
    Definieren Sie den URI der Anwendung, von der die Token angenommen werden sollen.
    SAML-Federation Audienceuris–https://<catalog hostname>:<catalog-Tomcat-SSL-Port>/usm/wpf|https://<catalog hostname>:<catalog-Tomcat-SSL-Port>/usm/wpf
    SAML-Federation EnableManualRedirect
    Deaktiviert
    SAML-Federation Realm
    Definieren Sie die Lokation, von der Token gesendet werden. Beispiel:
    https://<catalog hostname>:<catalog-Tomcat-SSL-Port>/usm/wpf
    SAML-Federation Reply
    Definieren Sie die URL der Lokation, die Antworten empfängt.
    https://<catalog hostname>:<catalog-Tomcat-SSL-Port>/usm/wpf
    SAML-Federation Trustedissuers Friendlyname
    Definieren Sie einen allgemeinen Name für den Identity Provider.
    ipslcm
    SAML-Federation Trustedissuers Issuer
    Definieren Sie die Identity-Provider-URL.
    http://<siteminderURL>/affwebservices/public/wsfeddispatcher
    SAML-Federation Trustedissuers Thumbprint
    Definieren Sie den Wert des Zertifikatfingerabdrucks, der vom Identity Provider bereitgestellt wird. Sie müssen den Thumbprint vom "
    Token-Signatur"
    -Abschnitt des Zertifikats angeben.
    Beispiel:
    ED516ED2AE632E15A52BE0C4D1BCFDDA73B9A146
Fehlerbehebung
Wenn Sie falsche Daten oder Werte für SAML-Eigenschaften in der Catalog-Anwenderoberfläche angeben, können Sie sich nicht an der CA Service Catalog-Schnittstelle anmelden. Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
  1. Navigieren Sie in das Verzeichnis, in dem Sie den CA Service Catalog-Tomcat-Webserver installiert haben, und suchen Sie die Datei "web.xml".
    Beispiel:
    C:\Programme\CA\Service Catalog\view\webapps\usm\WEB-INF\web.xml
  2. Öffnen Sie die Datei "web.xml", suchen Sie nach
    <FederationFilter>
    unter
    <!---SAML Auth Filter-->
    , und kommentieren Sie den gesamten Filterbereich in der folgenden Anweisung:
    <filter>
    <filter-name>FederationFilter</filter-name>
    <filter-class>com.auth10.federation.WSFederationFilter</filter-class>
    <init-param>
    <param-name>login-page-url</param-name>
    <param-value>main.jsp</param-value>
    </init-param>
    <init-param>
    <param-name>exclude-urls-regex</param-name>
    <param-value>/images/|/js/|/css/</param-value>
    </init-param>
    </filter>
  3. Suchen Sie in der Datei "web.xml" nach
    <FederationFilter>
    unter
    <!—SAML Filter Mapping---->
    , und kommentieren Sie
    <filter-mapping>
    :
    <filter-mapping>
    <filter-name>FederationFilter</filter-name>
    <url-pattern>/*</url-pattern>
    </filter-mapping>
  4. Schließen Sie die Datei "
    web.xml
    ".
  5. Starten Sie die CA Service Catalog-Dienste neu.