Dialogfeld "Single Sign-On" (SAML 1.1-Producer)

casso13de
HID_partnership-sso-saml1-producer
Inhalt
 
 
Konfigurieren Sie den Single Sign-On-Vorgang unter dem Single Sign-On-Schritt im Assistenten.
Authentifizierung (SAML 1.1-Producer)
Im Abschnitt "Authentifizierung" können Sie angeben, wie das Federation-System während der Single Sign-On-Transaktionen Benutzer authentifiziert. Legen Sie die Methode fest, nach der ein Benutzer ohne Sitzung authentifiziert werden soll.
Sie können folgende Einstellungen konfigurieren:
  •  
    Authentifizierungsmodus
    Zeigt an, ob eine Sitzung hergestellt ist, weil ein Benutzer lokal authentifiziert wurde oder weil eine Authentifizierung an ein Remote-Zugriffsverwaltungssystem eines Drittanbieters delegiert wurde.
    Standard:
     Lokal
    Optionen
    : Wählen Sie eine der folgenden Optionen aus, und konfigurieren Sie alle zusätzlichen Felder für diese Option:
    •  
      Lokal
       - Das Federation-System verarbeitet die Benutzerauthentifizierung.  Wenn Sie im Feld "Authentifizierungsmodus" die Option "Lokal" auswählen, geben Sie eine URL im Feld 
      "Authentifizierungs-URL"
       ein. Die URL verweist in der Regel auf die Datei "redirect.jsp". Wenn Sie allerdings das Kontrollkästchen 
      Sichere URL verwenden
       auswählen, muss die URL auf den Webservice "secureredirect" verweisen.
    •  
      Authentifizierungs-URL
      Gibt eine geschützte URL an, die die Federation verwendet, um Benutzer zu authentifizieren und um eine Sitzung zu erstellen, wenn eine geschützte Ressource angefordert wird. Wenn der Authentifizierungsmodus auf "Lokal" festgelegt ist und ein Benutzer nicht auf der behauptenden Seite angemeldet ist, werden Benutzer an diese URL gesendet. Diese URL muss auf die Datei "redirect.jsp" verweisen, es sei denn, Sie wählen das Kontrollkästchen 
      Sichere URL verwenden
       aus.
      Verwenden Sie einen der folgenden Pfade zum Ordner "redirectjsp" als Ressourcenfilter. Das CA Web-Agent-Optionspaket und das CA Access Gateway verwenden diesen Ressourcenfilter.
    • Direkter Pfad:
       /affwebservices/redirectjsp/
    • Virtueller Pfad:
       Pfad zum Server mit dem Ordner "redirectjsp". Ein allgemeiner virtueller Pfad ist /siteminderagent/redirectjsp, der beim Konfigurieren des Web-Agenten mit dem Web-Agent-Optionspaket oder Access Gateway eingerichtet wird. Der virtuelle Pfad verweist auf das folgende virtuelle Verzeichnis:
      • Web-Agent: 
        web_agent_home
        /affwebservices/redirectjsp
      • CA Access Gateway: 
        access_gateway_home
        /secure-proxy/Tomcat/webapps/affwebservices/redirectjsp
    • Beispiele:
      http://myserver.idpA.com/affwebservices/redirectjsp/redirect.jsp
      http://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jsp
      myserver gibt den Webserver mit dem Web-Agent-Optionspaket oder CA Access Gateway (installiert auf der behauptenden Seite) an. Die Anwendung redirectjsp ist in diesen Produkten enthalten.
       
      Wichtig!
       Schützen Sie die Authentifizierungs-URL mit einer Zugriffssteuerungsrichtlinie. Konfigurieren Sie für die Richtlinie ein Authentifizierungsschema, einen Bereich und eine Regel. Um der Assertion Sitzungsspeicherattribute hinzuzufügen, aktivieren Sie das Kontrollkästchen "Variable der Authentifizierungssitzung beibehalten", das eine Einstellung im Authentifizierungsschema ist.
    •  
      Sichere URL verwenden
       
      Diese Einstellung weist den Dienst für Single Sign-On an, nur den Abfrageparameter "SMPORTALURL" zu verschlüsseln. Der verschlüsselte Abfrageparameter "SMPORTALURL" verhindert, dass ein bösartiger Benutzer den Wert ändert und authentifizierte Benutzer auf eine bösartige Website umleitet. "SMPORTALURL" wird an die Authentifizierungs-URL angehängt, bevor der Browser den Benutzer umleitet, um eine Sitzung herzustellen. Nachdem der Benutzer authentifiziert wurde, leitet der Browser den Benutzer zurück an das Ziel, das im Abfrageparameter "SMPORTALURL" angegeben ist.
      Wenn Sie das Kontrollkästchen "Sichere URL verwenden" auswählen, müssen Sie folgende Schritte ausführen:
      1. Legen Sie das Feld "Authentifizierungs-URL" auf folgende URL fest: http(s)://
      idp_server:port
      /affwebservices/secure/secureredirect
      2. Schützen Sie den Webservice "secureredirect" mit einer Richtlinie.
      Bei die behauptende Seite mehr als einen vertrauenden Partner bedient, authentifiziert die behauptende Seite wahrscheinlich verschiedene Benutzer für diese verschiedenen Partner. Für jede Authentifizierungs-URL, die "secureredirect" verwendet, ist daher dieser Webservice in einem unterschiedlichen Bereich für jeden Partner enthalten.
      Um den Service "secureredirect" zu verschiedenen Bereichen zuzuordnen, ändern Sie die Datei "web.xml", und erstellen Sie verschiedene Ressourcenzuordnungen. Kopieren Sie den Webservice "secureredirect" nicht in verschiedenen Speicherorten auf Ihrem Server. Suchen Sie die Datei "web.xml" im Verzeichnis 
      web_agent_home
      /affwebservices/WEB-INF, wobei 
      web_agent_home
       der Speicherort des installierten Web-Agenten ist.
    • Delegiert – Ein Drittanbieter-WAM-System (Web Access Management) verarbeitet die Benutzerauthentifizierung. Füllen Sie die zusätzlichen Felder aus.
    • Anmeldeinformationsauswahl - Benutzern wird eine Seite mit Anmeldeinformationsauswahl bereitgestellt, die mehrere Identity Provider auflistet. Die Identity Provider können Social Media-, WS-Federation-, SAML- und OAuth-Partner sein. Benutzer wählen den entsprechenden Identity Provider aus, und dieser Provider authentifiziert den Benutzer. Die Liste der zulässigen Identity Provider ist in einer Gruppe der Authentifizierungsmethode angegeben. Für alle diese Partner muss der Benutzer bereits mit diesen externen Partnern registriert sein.
      Wenn Sie "Anmeldeinformationsauswahl" als Authentifizierungsmodus auswählen, sollten Sie die folgenden Felder ausfüllen:
      •  
        Authentifizierungsbasis-URL
        Definiert den Hostnamen des 
        CA Access Gateway
        -Servers, auf dem der Dienst zur Handhabung der Anmeldeinformationen installiert ist. Geben Sie den Wert im folgenden Format ein:
        https:
        sps_hostname
        /chs/login oder http:
        sps_hostname
        /chs/login
      •  
        Authentifizierungsmethodengruppen
        Gibt die Authentifizierungsmethodengruppe der Identity Provider an, die den Benutzern angezeigt werden muss, wenn die Partnerschaft aufgerufen wird.
      •  
        Authentifizierungstyp (nur lokaler Modus)
        Wählen Sie "Standard" oder "Formularbasiert" aus.
        Wenn 
        CA SiteMinder® Federation
         für japanische oder französische Benutzer lokalisiert ist, wählen Sie das formularbasierte Authentifizierungsschema aus. Grundlegende Authentifizierung wird für lokalisierte Benutzer nicht unterstützt. Für formularbasierte Authentifizierung sind für Japanisch und Französisch Beispielanmeldeformulare verfügbar. Die Formulare befinden sich im Verzeichnis 
        federation_mgr_home
        /secure-proxy/proxy-engine/examples im Ordner "formsja" (Japanisch) bzw. "formsfr" (Französisch).
        So verwenden Sie die lokalisierten Formulare
        1. Navigieren Sie zu 
          federation_mgr_home/
          secure-proxy/proxy-engine/examples.
        2. Stellen Sie eine Sicherungskopie des Ordners "forms" her.
        3. Benennen Sie den Ordner für Ihre Sprache ("formsja" für Japanisch bzw. "formsfr" für Französisch) in 
          forms
           um.
  •  
    Typ der delegierten Authentifizierung (Nur delegierter Modus)
    Gibt an, ob die Authentifizierung des Drittanbieters ausgeführt wird, indem ein quelloffenes Cookie oder eine Abfragezeichenfolge mit der Benutzeranmelde-ID und anderen Informationen übergeben wurde. Dieses Feld wird nur angezeigt, wenn "Delegiert" als Authentifizierungsmodus gewählt wurde.
    Werte: 
    Abfragezeichenfolge, quelloffenes Cookie, Legacy-Cookie
     
    Hinweis:
     Wenn Sie delegierte Authentifizierung mit dem 
    CA Single Sign-on
    -Connector verwenden, akzeptieren Sie den Standardwert des 
    CA Single Sign-on
    -Connector für dieses Feld. Wenn Sie "Legacy-Cookie" oder "Quelloffenes Cookie" auswählen, konfigurieren Sie die erforderlichen globalen Cookie-Einstellungen. Sie finden die Bereitstellungseinstellungen, indem Sie zu "Infrastruktur", "Bereitstellungseinstellungen" navigieren.
  •  
    URL der delegierten Authentifizierung
    Gibt die URL des Webzugriffsverwaltungssystems des Drittanbieters an, das die Benutzerauthentifizierung verarbeitet. Wenn ein Benutzer eine Anforderung am Federation-System initiiert, wird der Benutzer für die Authentifizierung an das Webzugriffsverwaltungssystem umgeleitet. Nach erfolgreicher Authentifizierung wird der Benutzer zurück an das Federation-System umgeleitet.
    Diese URL ist nicht relevant, wenn ein Benutzer zuerst eine Anforderung am Webzugriffsverwaltungssystem initiiert.
    Wert:
     Eine gültige URL beginnt mit "http://" oder "https://"
     
  •  
    Delegierten Authentifizierungsstatus verfolgen
     
    Prüft, ob die delegierte Authentifizierung erfolgreich ist. Falls die delegierte Authentifizierung fehlschlägt, bestimmt diese Einstellung das Verhalten des Federation-Systems. Standardmäßig ist dieses Kontrollkästchen aktiviert.
    Wenn ein Benutzer beim Zugriff auf eine geschützte Ressource, die für die delegierte Authentifizierung konfiguriert ist, keine Anmeldeinformationen angibt, schlägt die delegierte Authentifizierung fehl. Wenn dieser Benutzer versucht, in der gleichen Browsersitzung erneut auf die Ressource zuzugreifen, zeigt der Browser den Fehler 404 an. Auch schreibt das Federation-System eine Fehlermeldung in die Dateien affwebservices.log und FWSTrace.log. Die Fehlermeldung zeigt an, dass die Anmeldeinformationen für delegierte Authentifizierung fehlen. Das Federation-System leitet den Benutzer nicht zur URL der delegierten Authentifizierung zurück, damit er die Anmeldeinformationen angibt.
    Deaktivieren Sie dieses Kontrollkästchen, wenn Sie wollen, dass das Federation-System den Benutzer in der gleichen Browser-Sitzung zur URL der delegierten Authentifizierung zurückführt. Durch Deaktivieren der Tracking-Funktion kann ein Benutzer versuchen, in der gleichen Browser-Sitzung erneut auf die Ressource zuzugreifen, ohne einen 404-Fehler zu erhalten. Das Federation-System leitet den Browser stattdessen zur URL der delegierten Authentifizierung zurück. Dort wird der Benutzer erneut aufgefordert, die Anmeldeinformationen einzugeben.
  •  
    Geheimer Hash-Wert (nur Abfragezeichenfolge)
    Legt den gemeinsamen geheimen Schlüssel fest, der an die Benutzeranmelde-ID angehängt wird, um den Abfrageparameter "LoginIDHash" zu erstellen. Diese Einstellung ist nur relevant, wenn Sie die Abfragezeichenfolge als delegierten Authentifizierungstyp auswählen.
  •  
    Geheimen Hash-Wert bestätigen (nur Abfragezeichenfolge)
    Bestätigt den geheimen Hash-Wert. Geben Sie den Wert des geheimen Hash-Werts erneut ein.
  •  
    Quelloffenes Cookie (nur quelloffenes Cookie)
    Der Benutzer wird an die Zielanwendung umgeleitet, indem eine HTTP-302-Umleitung mit einem quelloffenen Cookie und ohne andere Daten durchgeführt wird. Die Kundenanwendung entschlüsselt das verschlüsselte Cookie, um die Benutzerinformationen abzurufen.
    Wenn die vertrauende Seite eine Assertion mit mehreren Attributwerten empfängt, werden alle Werte an die Zielanwendung übergeben.
    Wenn Sie die Option "Quelloffenes Cookie" für delegierte Authentifizierung auswählen, zeigt die Verwaltungsoberfläche die folgenden zusätzlichen Felder an:
 
Konfigurationsquelle des quelloffenen Cookies
Zeigt an, ob die Einstellungen für quelloffene Cookies in den globalen Einstellungen im Dialogfeld "Bereitstellungseinstellung" festgelegt sind oder für jede Partnerschaft einzeln eingerichtet werden.
Optionen:
 Global, Partnerschaft
Standard:
 Global
Name des quelloffenen Cookies
Gibt den Cookie-Namen an.
Verschlüsselungstransformation
Zeigt den Verschlüsselungsalgorithmus an, der verwendet werden soll, um das quelloffene Cookie zu verschlüsseln.Wenn Sie einen der FIPS-kompatiblen Algorithmen (AES-Algorithmen) auswählen, muss das Zielsystem einen Federation-SDK verwenden, um das Cookie zu verwenden. Das SDK muss sich auf dem gleichen Server wie die Zielanwendung befinden. Wenn Sie den Federation-NET-SDK verwenden, um das Cookie zu konsumieren, verwenden Sie den Verschlüsselungsalgorithmus "AES128/CBC/PKCS5Padding".
Verschlüsselungskennwort
Zeigt das Kennwort an, das verwendet wird, um das Cookie zu verschlüsseln. Die Felder "Verschlüsselungskennwort" und "Kennwort bestätigen" sind erforderlich.
Kennwort bestätigen
Bestätigt den Eintrag für das Verschlüsselungskennwort.
HMAC aktivieren 
Zeigt an, dass ein HMAC (Hash Message Authentication Code) mithilfe des Verschlüsselungskennworts generiert wird, das in diesem Dialogfeld angegeben ist. MACs (Message authentication codes) können die Integrität der Informationen prüfen, die zwischen zwei Parteien gesendet werden. Die zwei Parteien nutzen gemeinsam einen geheimen Schlüssel für die Berechnung und Prüfung der Meldungsauthentifizierungswerte. Ein HMAC (Hash Message Authentication Code) ist ein MAC-Mechanismus, der auf kryptografischen Hash-Funktionen basiert.Wenn Sie das Kontrollkästchen "HMAC aktivieren" auswählen, generiert das System einen HMAC-Wert für das quelloffene Cookie. Der HMAC-Wert wird dann dem Wert des quelloffenen Cookies vorangestellt, und anschließend wird die gesamte Zeichenfolge verschlüsselt. Das Federation-System fügt die verschlüsselte Zeichenfolge in das quelloffene Cookie ein, das dann an die Zielanwendung übergeben wird.
 
Zeitversatz des Cookies (Sekunden)
Gibt die Anzahl an Sekunden an, und zwar subtrahiert von der aktuellen Systemzeit, um die Unterschiede in den Systemuhren aufzuzeigen. Der Unterschied besteht zwischen Ihrem Federation-System und der Drittanbieteranwendung, die die delegierte Authentifizierung verarbeitet.
Die Software wendet den Zeitversatz auf die Generierung und die Nutzung des Cookies im offenen Format an.
Wert:
 Geben Sie einen Wert in Sekunden ein.
  •  
    Authentifizierungsklasse
    Gibt den URI an, der im Element "AuthnContextClassRef" in der Assertion angegeben ist. Dieses Element beschreibt, wie ein Verbundbenutzer authentifiziert wird. Wenn der Benutzer lokal authentifizieren wird, akzeptieren Sie den Standard-URI für das Kennwort. Wenn der Benutzer über ein Zugriffsverwaltungssystem eines Drittanbieters authentifiziert wird, bearbeiten Sie dieses Feld, um die Authentifizierungsmethode wiederzugeben.
    • Wenn der Benutzer lokal authentifizieren wird, akzeptieren Sie den Standard-URI für das Kennwort.
    • Wenn der Benutzer über einen Drittanbieter per Remote-Zugriff authentifiziert wird, bearbeiten Sie dieses Feld, um die Authentifizierungsmethode wiederzugeben.
    Standard:
     urn:oasis:names:tc:SAML:2.0:ac:classes:Password
    Eintrag für einen lokalen Authentifizierungsmodus:
     urn:oasis:names:tc:SAML:2.0:ac:classes:Password
    Eintrag für einen delegierten Authentifizierungsmodus:
    Gültiger URI für das Element "AuthnContextClassRef", wie in der SAML-Spezifikation angegeben.
  •  
    Zeitlimit des Leerlaufs
    Bestimmt die Zeit, während derer eine autorisierte Benutzersitzung inaktiv bleiben kann, bevor das Federation-System die Sitzung beendet. Wenn Sie besorgt sind, dass Benutzer nach dem Zugriff auf eine geschützte Ressource ihre Workstations verlassen lassen, dann legen Sie das Zeitlimit des Leerlaufs auf einen kurzen Zeitraum fest. Wenn die Sitzung das Zeitlimit überschreitet, müssen Benutzer erneut authentifiziert werden, bevor Sie wieder auf die Ressourcen zugreifen.
    Diese Einstellung ist standardmäßig aktiviert. Deaktivieren Sie das Kontrollkästchen, um kein Zeitlimit des Leerlaufs anzugeben. Das standardmäßige Zeitlimit des Leerlaufs ist eine Stunde.
    Standard:
     1 Stunde
    Stunden
    Gibt die Stundenanzahl für das Zeitlimit des Leerlaufs an.
  •  
    Minuten
    Gibt die Minutenanzahl für das Zeitlimit des Leerlaufs an.
  •  
    Maximales Zeitlimit
    Bestimmt die Zeit, während derer eine Benutzersitzung maximal aktiv sein kann, bevor das Federation-System den Benutzer zur erneuten Authentifizierung auffordert.
    Diese Einstellung ist standardmäßig aktiviert. Deaktivieren Sie das Kontrollkästchen, um keine maximale Sitzungsdauer anzugeben.
    Standard
    : 2 Stunden
    •  
      Stunden
      Gibt die Stundenanzahl für die maximale Sitzungsdauer an.
    •  
      Minuten
      Gibt die Minutenanzahl für die maximale Sitzungsdauer an.
  •  
    Sitzungssicherung aktivieren
    Schützt die Ressourcen, die im Bereich (des Richtliniendomänenmodells) oder der Komponente (des Anwendungsmodells) festgelegt sind. Sie können auch die Authentifizierungsanforderungen von bestimmten Federation-Partnerschaften schützen. Der Sitzungssicherungsendpunkt erfasst die DeviceDNA™ vom Benutzer und validiert die Sitzung.
    Wert:
     Diese Funktion benötigt Sitzungssicherungsendpunkte.
SSO (SAML 1.1-Producer)
Der SSO-Abschnitt zeigt folgende Einstellungen an:
  •  
    SSO-Profil
    Legt fest, ob 
    CA SiteMinder® Federation
     das HTTP-Artefakt oder die HTTP-POST-Bindung für Single Sign-On verwendet.
    Optionen:
     "HTTP-Artefakt", "HTTP-POST"
  • casso13de
    Artefakt-Schutztyp
    Definiert, wie der Backchannel für HTTP-Artefakt-SSO geschützt ist. Die Option "Altlast" zeigt an, dass
    CA Single Sign-on
    den Backchannel schützt. Die Partnerschaftsoption zeigt an, dass die Federation-Komponente in
    CA Single Sign-on
    den Backchannel schützt.
    Wenn Sie Ihre
    eTrust SiteMinder FSS
    -Konfiguration im Partnerschafts-Federation-Modell wiederherstellen, können Sie Ihre ursprüngliche Methode verwenden, um den Backchannel zu schützen. Die Option "Altlast" ermöglicht der Konfiguration, die vorhandene URL für den Assertionsabrufdienst (SAML 1.x) oder den Artefakt-Auflösungsdienst (SAML 2.0) zu verwenden. Durch das Auswählen der Option "Altlast" akzeptiert
    CA Single Sign-on
    die Anforderung. Sie müssen die URL nicht ändern. Wenn die Artefaktservice-URL aus einer bestehenden Konfiguration stammt, aber nur die Partnerschaftsoption für diese Einstellung ausgewählt ist, verweigert
    CA Single Sign-on
    die Anforderung.
    Wichtig!
    Stellen Sie bei Auswahl der Option "Altlast" sicher, die Richtlinie zu erzwingen, die den Artefaktservice schützt. Diese Richtlinie ist eine Komponente der Federation-Webservices.
    CA Single Sign-on
    erstellt automatisch Richtlinien für Federation-Webservices, Sie müssen jedoch den Schutz dieser Richtlinien erzwingen. Sie müssen anzeigen, welche Partnerschaft den Zugriff auf den Service gestattet, der Artefakte abruft.
    Optionen:
    "Altlast", "Partnerschaft"
  •  
    Zielgruppe
    Gibt die URL der Zielgruppe an. Die Zielgruppen-URL identifiziert den Speicherort eines Dokuments, das die Bedingungen der Business-Vereinbarung zwischen den behauptenden und vertrauenden Seiten beschreibt. Der Administrator beim Producer legt die Zielgruppe fest. Dieser Wert und der Zielgruppenwert beim Consumer müssen gleich sein.
    Wert:
     Eine URL. Der Zielgruppenwert darf 1.024 Zeichen nicht überschreiten und unterscheidet zwischen Groß- und Kleinschreibung.
    Beispiel
    : http://www.ca.com/fedserver
  •  
    Quell-ID
    (Nur SAML 1.1-HTTP-Artefakt) Gibt eine eindeutige ID im SAML-Artefakt an, die den Producer bestimmt. Der Consumer verwendet diese ID, um den Assertionsaussteller zu identifizieren.
    Die SAML-Spezifikation definiert eine Quell-ID als eine aus 20 Byte bestehende binäre und hexadezimalcodierte Zahl, die den Producer bestimmt. Der Wert "Quell-ID", den Sie eingeben, muss die 40 Byte-Hexadezimaldarstellung dieses Wertes sein.
    Wir empfehlen, dass Sie den SHA1-Hash der Entitäts-ID als Quell-ID-Wert angeben. Wenn Sie keinen Wert für diesen Parameter eingeben, verwendet 
    CA Single Sign-on
     standardmäßig den SHA1-Hash.
    Standard für 
    CA Single Sign-on
    : SHA1-Hash der Entitäts-ID
  •  
    URL des Remote-Assertionskonsumdienstes
    Gibt die URL des Assertionskonsumdienstes beim Consumer an. Dieser Service verbraucht Assertionen für die Benutzerauthentifizierung.
    Standard, wenn 
    Single Sign-On
     der Consumer ist: http://
    consumer_server:port
    /affwebservices/public/samlcc
  •  
    SSO-Gültigkeitsdauer (Sekunden)
    Gibt die Sekundenanzahl an, die eine generierte Assertion gültig ist.
    In einer Testumgebung können Sie die Gültigkeitsdauer auf über 60 (Standardwert) erhöhen, wenn folgende Meldung im Nachverfolgungsprotokoll angezeigt wird:
    Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237) -
    current time (Fri Oct 16 17:28:33 EDT 2009) is after SessionNotOnOrAfter
    time (Mon Oct 19 17:28:20 EDT 2009)
     
    Hinweis:
     Bei Single Sign-On wird aus den Werten "SSO-Gültigkeitsdauer" und "Zeitversatz" die Gesamtdauer berechnet, die die Single Sign-On-Anforderung gültig ist.
     
    Standard:
     60
    Wert:
     Positive Ganzzahl
  •  
    DoNotCache-Bedingung festlegen
    Fordert den Identity Provider dazu auf, dass das <DoNotCacheCondition>-Element innerhalb des <Conditions>-Elements einer Assertion hinzugefügt wird. Diese Bedingung teilt dem SP, der die Assertion erhält, mit, dass die Assertion sofort verwendet und nicht für zukünftige Verwendung beibehalten werden soll. Informationen in einer Assertion können sich ändern oder ablaufen. Deshalb ist es wichtig, dass der SP eine Assertion mit aktuellen Informationen verwendet. Wenn <DoNotCacheCondition> festgelegt ist, muss der SP eine neue Assertion vom Identity Provider anfordern.
  •  
    Benutzerdefiniertes POST-Formular
    Ermöglicht es Ihnen, den Text auf den Auto-POST-Seiten anzupassen, die 
    CA Single Sign-on
     verwendet, um SAML-Informationen an den Consumer zu senden.
    Geben Sie den Pfad zum benutzerdefinierten HTML-Formular an. Der Pfad muss ein Pfad zur Datei auf dem Dateisystem sein. Die physische Seite und alle zugeordneten Inhalte befinden sich in einem öffentlichen Verzeichnis. Der Servlet-Container, in dem Federation-Webservices bereitgestellt sind, bedient dieses Verzeichnis. Diese Inhalte können sich im öffentlichen Inhalt eines Servlet-Containers befinden.
Backchannel (SAML 1.1-Producer)
Im Bereich "Backchannel" können Sie die Authentifizierungsmethode auswählen, die die Kommunikation für HTTP-Artefakt-SSO über den Backchannel hinweg schützt.
Dieser Bereich zeigt folgende Einstellungen an:
  •  
    Authentifizierungsmethode
    Gibt die Authentifizierungsmethode für Backchannel-Transaktionen an.
    Standard:
     Keine Authentifizierung
    Optionen: 
    Standard: Zeigt an, dass ein standardmäßiges Authentifizierungsschema den Backchannel für die Kommunikation mit dem Assertionsabrufdienst schützt. Daher muss der Consumer einen Benutzernamen und ein Kennwort bereitstellen.
    Wenn SSL für die Backchannel-Verbindung aktiviert ist, können Sie die Standardauthentifizierung weiterhin auswählen.
    Wenn Sie die Standardauthentifizierung auswählen, konfigurieren Sie die folgenden zusätzlichen Einstellungen:
 
Backchannel-Benutzername
Gibt den Benutzernamen des Consumers an, wenn die Standardauthentifizierung verwendet wird, um den Backchannel zu schützen. Der Name, den Sie in dieses Feld eingeben, ist von der Konfiguration abhängig.
  • Ist ein Producer Partner mehrerer Consumer, kann jede Partnerschaft dieselbe Quell-ID aufweisen. Geben Sie daher den am Producer konfigurierten Namen der Producer:Consumer-Partnerschaft ein. Diese Konfiguration nimmt an, dass sich CA Federation auf beiden Seiten der Partnerschaft befindet. Beispielsweise wird eine Partnerschaft mit dem Namen Partners1 zwischen CompanyA (Producer) und CompanyB (Consumer) definiert. Beim lokalen Consumer CompanyB lautet der von Ihnen eingegebene Wert Partners1, um den Benutzernamen der zugeordneten Partnerschaft am Producer zuzuordnen.
  • Geben Sie einen beliebigen Namen in dieses Feld ein, wenn ein Producer Partner eines einzelnen Consumers ist. 
  • Geben Sie einen beliebigen Namen in dieses Feld ein, wenn ein Producer Partner mehrerer Consumer ist und jede Partnerschaft über eine eindeutige Quell-ID verfügt.
 
Kennwort
Gibt das Benutzerkennwort für den Backchannel-Benutzernamen an. Dieses Kennwort ist nur relevant, wenn Sie eine standardmäßige Authentifizierungsmethode oder eine "Basic over SSL"-Authentifizierungsmethode im Backchannel verwenden.
Die zwei Partner müssen sich über dieses Kennwort einigen.
 
Kennwort bestätigen
Bestätigt den Kennworteintrag erneut.
  •  
    Client-Zertifikat 
    Zeigt an, dass ein Authentifizierungsschema des X.509-Client-Zertifikats den Backchannel für die Kommunikation mit dem Assertionsabrufdienst schützt.
    Für die Authentifizierung "Client-Zertifikat" muss SSL für alle Endpunkt-URLs verwendet werden. Endpunkt-URLs suchen die verschiedenen SAML-Services auf einem Server, wie z. B. den Assertionsabrufdienst. Für die SSL-Anforderung ist es erforderlich, dass die URL zum Service mit https:// beginnen muss.
    Um die Authentifizierung "Client-Zertifikat" zu implementieren, sendet der Consumer ein Zertifikat an den Producer, bevor eine Transaktion auftritt. Der Producer speichert das Zertifikat in seiner Datenbank. Beide Partner müssen über das Zertifikat verfügen, das die SSL-Verbindung in ihren jeweiligen Datenbanken aktiviert hat. Andernfalls funktioniert die Client-Zertifikatsauthentifizierung nicht.
    Während des Authentifizierungsprozesses sendet der Consumer sein Zertifikat an den Producer. Der Producer vergleicht das empfangene Zertifikat mit dem Zertifikat in seiner Datenbank, um zu überprüfen, ob sie übereinstimmen. Wenn es eine Übereinstimmung vorhanden ist, dann lässt der Producer den Consumer auf den Assertionsabrufdienst zugreifen. Wenn Sie die Client-Zertifikatsauthentifizierung auswählen, konfigurieren Sie das Feld "Zertifikat-Alias des Clients".
    •  
      Client-Zertifikats-Alias
      Gibt den Alias an, der einem Client-Zertifikat im Zertifikatsdatenspeicher zugeordnet ist. Wählen Sie den Alias aus der Drop-down-Liste aus. Auf der Consumerseite muss ein Schlüssel-/Zertifikatspaar vorliegen und das Zertifikat dieses Paares muss beim Producer vorhanden sein. Wenn der gleiche Producer Partner mehrerer Consumer ist, können die Partnerschaften dieselbe Quell-ID verwenden. In dieser Konfiguration muss der CN des Zertifikatantragstellers auch mit dem Namen der Producer:Consumer-Partnerschaft am Producer übereinstimmen.
  •  
    Keine Authentifizierung
    Zeigt an, dass keine Anmeldeinformationen vom Consumer erforderlich sind. Der Backchannel und der Assertionsabrufdienst sind nicht geschützt.
    Wichtig!
     Wenn ein einzelner Producer ein Partner von verschiedenen Consumern ist, muss jede Partnerschaft eine eindeutige Quell-ID haben.