SSO- und SLO-Dialogfeld (SAML 2.0-IdP)
Im SSO- und SLO-Schritt können Sie den Single Sign-On- und Single Logout-Vorgang konfigurieren.
casso13de
HID_partnership-sso-asserting
Im SSO- und SLO-Schritt können Sie den Single Sign-On- und Single Logout-Vorgang konfigurieren.
2
Authentifizierung (SAML 2.0-IdP)
Im Authentifizierungsabschnitt können Sie angeben, wie Benutzer während der Single Sign-On-Transaktionen authentifiziert werden. Legen Sie die Methode fest, nach der ein Benutzer ohne Benutzersitzung authentifiziert werden soll.
Dieser Bereich zeigt folgende Einstellungen an:
- AuthentifizierungsmodusZeigt an, ob eine Benutzersitzung hergestellt ist, weil ein Benutzer lokal authentifiziert wurde oder weil eine Authentifizierung an ein Remote-Zugriffsverwaltungssystem eines Drittanbieters delegiert wurde.Standard:LokalOptionen: Wählen Sie eine der folgenden Optionen aus, und konfigurieren Sie alle zusätzlichen Felder für diese Option:
- "Lokal" - Das Federation-System verarbeitet die Benutzerauthentifizierung.Wenn Sie im Feld "Authentifizierungsmodus" die Option "Lokal" auswählen, geben Sie eine URL im Feld "Authentifizierungs-URL" ein. Die URL verweist in der Regel auf die Datei "redirect.jsp". Wenn Sie allerdings das KontrollkästchenSichere URL verwendenauswählen, muss die URL auf den Webservice "secureredirect" verweisen.Authentifizierungs-URLGibt eine geschützte URL an, die die Federation verwendet, um Benutzer zu authentifizieren und um eine Sitzung zu erstellen, wenn eine geschützte Ressource angefordert wird. Wenn der Authentifizierungsmodus auf "Lokal" festgelegt ist und ein Benutzer nicht auf der behauptenden Seite angemeldet ist, werden Benutzer an diese URL gesendet. Diese URL muss auf die Datei "redirect.jsp" verweisen, es sei denn, Sie wählen das KontrollkästchenSichere URL verwendenaus.Beispiele: http://casso13deVerwenden Sie einen der folgenden Pfade zum Ordner "redirectjsp" als Ressourcenfilter. Das CA Web-Agent-Optionspaket und das CA Access Gateway verwenden diesen Ressourcenfilter.
- Direkter Pfad:/affwebservices/redirectjsp/
- Virtueller Pfad:Pfad zum Server mit dem Ordner "redirectjsp". Ein allgemeiner virtueller Pfad ist /siteminderagent/redirectjsp, der beim Konfigurieren des Web-Agenten mit dem Web-Agent-Optionspaket oder Access Gateway eingerichtet wird. Der virtuelle Pfad verweist auf das folgende virtuelle Verzeichnis:
- Web-Agent:web_agent_home/affwebservices/redirectjsp
- CA Access Gateway:access_gateway_home/secure-proxy/Tomcat/webapps/affwebservices/redirectjsp
myserver.idpA.com/affwebservices/redirectjsp/redirect.jsphttp://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jspmyservergibt den Webserver mit dem Web-Agent-Optionspaket oderCA Access Gateway(installiert auf der behauptenden Seite) an. Die Anwendung redirectjsp ist in diesen Produkten enthalten.Wichtig!Schützen Sie die Authentifizierungs-URL mit einer Zugriffssteuerungsrichtlinie. Konfigurieren Sie für die Richtlinie ein Authentifizierungsschema, einen Bereich und eine Regel. Um der Assertion Sitzungsspeicherattribute hinzuzufügen, aktivieren Sie das Kontrollkästchen "Variable der Authentifizierungssitzung beibehalten", das eine Einstellung im Authentifizierungsschema ist.Sichere URL verwendenDiese Einstellung weist den Dienst für Single Sign-On an, nur den Abfrageparameter "SMPORTALURL" zu verschlüsseln. Der verschlüsselte Abfrageparameter "SMPORTALURL" verhindert, dass ein bösartiger Benutzer den Wert ändert und authentifizierte Benutzer auf eine bösartige Website umleitet. "SMPORTALURL" wird an die Authentifizierungs-URL angehängt, bevor der Browser den Benutzer umleitet, um eine Sitzung herzustellen. Nachdem der Benutzer authentifiziert wurde, leitet der Browser den Benutzer zurück an das Ziel, das im Abfrageparameter "SMPORTALURL" angegeben ist.Wenn Sie das Kontrollkästchen "Sichere URL verwenden" auswählen, müssen Sie folgende Schritte ausführen:1. Legen Sie das Feld "Authentifizierungs-URL" auf folgende URL fest: http(s)://idp_server:port/affwebservices/secure/secureredirect2. Schützen Sie den Webservice "secureredirect" mit einer Richtlinie.Bei die behauptende Seite mehr als einen vertrauenden Partner bedient, authentifiziert die behauptende Seite wahrscheinlich verschiedene Benutzer für diese verschiedenen Partner. Für jede Authentifizierungs-URL, die "secureredirect" verwendet, ist daher dieser Webservice in einem unterschiedlichen Bereich für jeden Partner enthalten.Um den Service "secureredirect" zu verschiedenen Bereichen zuzuordnen, ändern Sie die Datei "web.xml", und erstellen Sie verschiedene Ressourcenzuordnungen. Kopieren Sie den Webservice "secureredirect" nicht in verschiedenen Speicherorten auf Ihrem Server. Suchen Sie die Datei "web.xml" im Verzeichnisweb_agent_home/affwebservices/WEB-INF, wobeiweb_agent_homeder Speicherort des installierten Web-Agenten ist.
- Delegiert – Ein Drittanbieter-WAM-System (Web Access Management) verarbeitet die Benutzerauthentifizierung. Füllen Sie die zusätzlichen Felder aus. Erfahren Sie mehr über delegierte Authentifizierung.
- Anmeldeinformationsauswahl - Benutzern wird eine Seite mit Anmeldeinformationsauswahl bereitgestellt, die mehrere Identity Provider auflistet. Die Identity Provider können Social Media-, WS-Federation-, SAML- und OAuth-Partner sein. Benutzer wählen den entsprechenden Identity Provider aus, und dieser Provider authentifiziert den Benutzer. Die Liste der zulässigen Identity Provider ist in einer Gruppe der Authentifizierungsmethode angegeben. Für alle diese Partner muss der Benutzer bereits mit diesen externen Partnern registriert sein.Wenn Sie "Anmeldeinformationsauswahl" auswählen, sollten Sie folgende Felder ausfüllen:Authentifizierungs-Basis-URL- Definiert den Hostnamen desCA Access Gateway-Servers, auf dem der Dienst zur Handhabung der Anmeldeinformationen installiert ist. Geben Sie den Wert im folgenden Format ein: https:sps_hostnameoder http:sps_hostnameGruppen der Authentifizierungsmethode- Gibt die Gruppe der Authentifizierungsmethoden der Identity Provider an, die den Benutzern angezeigt werden muss, wenn die Partnerschaft aufgerufen wird.
- casso13deTyp der delegierten Authentifizierung (Nur delegierter Modus)Gibt an, ob die Drittanbieterauthentifizierung ausgeführt wird, indem ein quelloffenes Cookie oder eine Abfragezeichenfolge mit der Benutzeranmelde-ID und anderen Informationen übergeben wird. Dieses Feld wird nur angezeigt, wenn "Delegiert" als Authentifizierungsmodus gewählt wurde.Optionen: Abfragezeichenfolge, Quelloffenes Cookie
- Abfragezeichenfolge:Wenn eine Abfragezeichenfolge ausgewählt ist, erstellt der Drittanbieter eine Umleitungszeichenfolge und fügt einen Abfrageparameter mit dem Namen "LoginIDHash" zu dieser Zeichenfolge hinzu. Der Parameter "LoginIDHash" ist eine Kombination aus Anmelde-ID eines Benutzers und einem gemeinsamen geheimen Schlüssel. Diese zwei Werte werden verbunden und anschließend über einen Hashing-Algorithmus verarbeitet.Wichtig!Verwenden Sie die Abfragezeichenfolgenmethode nicht in Produktionsumgebungen. Die Umleitungsmethode mit Abfragezeichenfolgen ist nur für Testumgebungen gedacht.Hinweis:Die Abfragezeichenfolgenoption erzeugt keine FIPS-kompatible Partnerschaft.
- Quelloffene Cookies: Das Drittanbietersystem mussCA SiteMinder® Federation-Java oder -.NET SDK verwenden, um das quelloffene Cookie zu erstellen. Als Alternative können Sie eine Programmiersprache verwenden, um ein Cookie manuell zu erstellen. Der Drittanbieter leitet den Browser auf Ihr Federation-System um, das die Benutzer-ID abruft.
- URL der delegierten Authentifizierung (Nur delegierter Modus)Gibt die URL des Webzugriffsverwaltungssystems des Drittanbieters an, das die Benutzerauthentifizierung verarbeitet. Wenn ein Benutzer eine Anforderung am lokalen System initiiert, wird der Benutzer für die Authentifizierung an das Webzugriffsverwaltungssystem umgeleitet. Nach erfolgreicher Authentifizierung wird der Benutzer zurück an das lokale System umgeleitet.Diese URL ist nicht relevant, wenn ein Benutzer zuerst eine Anforderung am Webzugriffsverwaltungssystem initiiert.Wert:Eine gültige URL beginnt mit "http://" oder "https://"
- casso13deDelegierten Authentifizierungsstatus verfolgenPrüft, ob die delegierte Authentifizierung erfolgreich ist. Falls die delegierte Authentifizierung fehlschlägt, bestimmt diese Einstellung das Verhalten des Federation-Systems. Standardmäßig ist dieses Kontrollkästchen aktiviert. Wenn ein Benutzer beim Zugriff auf eine geschützte Ressource, die für die delegierte Authentifizierung konfiguriert ist, keine Anmeldeinformationen angibt, schlägt die delegierte Authentifizierung fehl. Wenn dieser Benutzer versucht, in der gleichen Browsersitzung erneut auf die Ressource zuzugreifen, zeigt der Browser den Fehler 404 an. Auch schreibt das Federation-System eine Fehlermeldung in die Dateien affwebservices.log und FWSTrace.log. Die Fehlermeldung zeigt an, dass die Anmeldeinformationen für delegierte Authentifizierung fehlen. Das Federation-System leitet den Benutzer nicht zur URL der delegierten Authentifizierung zurück, damit er die Anmeldeinformationen angibt.Deaktivieren Sie dieses Kontrollkästchen, wenn Sie wollen, dass das Federation-System den Benutzer in der gleichen Browser-Sitzung zur URL der delegierten Authentifizierung zurückführt. Durch Deaktivieren der Tracking-Funktion kann ein Benutzer versuchen, in der gleichen Browser-Sitzung erneut auf die Ressource zuzugreifen, ohne einen 404-Fehler zu erhalten. Das Federation-System leitet den Browser stattdessen zur URL der delegierten Authentifizierung zurück. Dort wird der Benutzer erneut aufgefordert, die Anmeldeinformationen einzugeben.
- Parameter der Abfragezeichenfolgen für delegierte AuthentifizierungWenn Sie "Abfragezeichenfolge" für das Feld "Typ der delegierten Authentifizierung" auswählen, füllen Sie diese zusätzlichen Einstellungen aus:
- Geheimer Hash-WertLegt den gemeinsamen geheimen Schlüssel fest, der an die Benutzeranmelde-ID angehängt wird, um den Abfrageparameter "LoginIDHash" zu erstellen. Diese Einstellung ist nur relevant, wenn Sie die Option "Abfragezeichenfolge" als delegierten Authentifizierungstyp auswählen.
- Geheimen Hash-Wert bestätigenBestätigt den geheimen Hash-Wert. Geben Sie den Wert des geheimen Hash-Werts erneut ein.
- Parameter des quelloffenen Cookies für delegierte AuthentifizierungWenn Sie das quelloffene Cookie auswählen, wird der Benutzer über eine HTTP-302-Umleitung an die Drittanbieteranwendung umgeleitet. Das Drittanbieter-WAM-System authentifiziert den Benutzer und gibt die Benutzeranmeldeinformationen für CA SSO auf der behauptenden Seite in einem quelloffenen Cookie frei.Wenn Sie die Option "Quelloffenes Cookie" für delegierte Authentifizierung auswählen, werden folgende zusätzliche Felder angezeigt:Name des quelloffenen CookiesGibt den Cookie-Namen an.VerschlüsselungstransformationZeigt die Verschlüsselungstransformation an, die verwendet werden soll, um das quelloffene Cookie zu verschlüsseln. Verwenden Sie den gleichen Wert, den das Drittanbieter-WAM-System verwendet, um das quelloffene Cookie zu verschlüsseln.VerschlüsselungskennwortZeigt das Kennwort an, das verwendet wird, um das Cookie zu entschlüsseln. Verwenden Sie den gleichen Wert, den das Drittanbieter-WAM-System verwendet, um das quelloffene Cookie zu verschlüsseln.Kennwort bestätigenBestätigt den Eintrag für das Verschlüsselungskennwort.HMAC aktivierenZeigt an, dass die Software ein HMAC (Hash Message Authentication Code) mithilfe des Verschlüsselungskennworts generiert, das in diesem Dialogfeld angegeben ist.MACs (Message authentication codes) können die Integrität der Informationen prüfen, die zwischen zwei Parteien gesendet werden. Die zwei Parteien nutzen gemeinsam einen geheimen Schlüssel für die Berechnung und Prüfung der Meldungsauthentifizierungswerte. Ein HMAC (Hash Message Authentication Code) ist ein MAC-Mechanismus, der auf kryptografischen Hash-Funktionen basiert.Wenn Sie das Kontrollkästchen "HMAC aktivieren" auswählen, generiert das System einen HMAC-Wert für das quelloffene Cookie. Die Software stellt den HMAC-Wert dem Wert des quelloffenen Cookies voran, und anschließend wird die gesamte Zeichenfolge verschlüsselt. Das System fügt die verschlüsselte Zeichenfolge in das quelloffene Cookie ein, das dann an die Zielanwendung übergeben wird.Zeitversatz des Cookies (Sekunden)Gibt die Anzahl an Sekunden an, und zwar subtrahiert von der aktuellen Systemzeit, um die Unterschiede in den Systemuhren aufzuzeigen. Der Unterschied besteht zwischen Ihrem Federation-System und der Drittanbieteranwendung, die die delegierte Authentifizierung verarbeitet. Die Software wendet den Zeitversatz auf die Generierung und die Nutzung des Cookies im offenen Format an.Wert:Geben Sie einen Wert in Sekunden ein.Authentifizierungsklasse mit dem Wert des quelloffenen Cookies überschreibenAktivieren Sie dieses Kontrollkästchen, um den konfigurierten Authentifizierungsklassen-URI mit dem URI zu überschreiben, der von einem Remote-Zugriffsverwaltungssystem eines Drittanbieters gesendet wurde und in der Assertion an den SP enthalten ist.
- AuthentifizierungsklasseGibt den URI an, der im Element "AuthnContextClassRef" in der Assertion angegeben ist, die beschreibt, wie ein Verbundbenutzer authentifiziert wird. Wenn der Benutzer lokal authentifizieren wird, akzeptieren Sie den Standard-URI für das Kennwort. Wenn der Benutzer über ein Zugriffsverwaltungssystem eines Drittanbieters authentifiziert wird, bearbeiten Sie dieses Feld, um die Authentifizierungsmethode wiederzugeben.Standard:urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordLokaler Authentifizierungsmodus:urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordWert für delegierten Authentifizierungsmodus:Gültiger URI für das Element "AuthnContextClassRef", wie in der SAML-Spezifikation angegeben.
- Konfigurieren von AuthnContextDefiniert die Methode, die der Identity Provider verwendet, um den Authentifizierungskontext festzulegen, der in der Assertion eingefügt wird. Vorhandene Optionen:
- Vordefinierte Authentifizierungsklasse verwendenWeist den Identity Provider an, einen hartkodierten Authentifizierungsklassen-URI in der Assertion zu verwenden. Dieser URI ist der Wert, der im Feld "Authentifizierungsklasse" angegeben ist. Wenn Sie diese Option auswählen, dann konfigurieren Sie folgendes Feld:AuthentifizierungsklasseGibt den URI an, der im Element "AuthnContextClassRef" in der Assertion angegeben ist, die beschreibt, wie ein Verbundbenutzer authentifiziert wird. Akzeptieren Sie den Standard-URI für das Kennwort.Standard:urn:oasis:names:tc:SAML:2.0:ac:classes:Password
- Authentifizierungsklasse automatisch erkennenWeist den Identity Provider an, die Klasse "AuthnContext" zur Schutzebene für die Sitzung zuzuordnen, die auf einer konfigurierten Vorlage für den Authentifizierungskontext basiert. Wenn Sie diese Option auswählen, konfigurieren Sie das Feld "Vorlagen für den Authentifizierungskontext". Diese Einstellung identifiziert die Vorlage, die der Identity Provider verwendet, um den Authentifizierungskontext zur zugeordneten Schutzebene für eine bestimmte Benutzersitzung zuzuordnen. Wählen Sie "Vorlage erstellen" aus, um eine Vorlage zu erstellen, statt eine vorhandene Vorlage auszuwählen.
- Angeforderten "AuthnContext" ignorierenWeist den Identity Provider an, das Element <RequestedAuthnContext> in der Authentifizierungsanforderung zu ignorieren, die der Service Provider sendet. Der Identity Provider legt den Authentifizierungskontext mithilfe einer vordefinierten Authentifizierungsklasse oder eine Vorlage für den Authentifizierungskontext fest.
- Zeitlimit des Leerlaufs (Stunden:Minuten)Bestimmt die Zeit, während derer eine autorisierte Benutzersitzung inaktiv bleiben kann, bevor das Federation-System die Sitzung beendet. Wenn Sie besorgt sind, dass Benutzer nach dem Zugriff auf eine geschützte Ressource ihre Workstations verlassen lassen, dann legen Sie das Zeitlimit des Leerlaufs auf einen kurzen Zeitraum fest. Wenn die Sitzung das Zeitlimit überschreitet, müssen Benutzer erneut authentifiziert werden, bevor Sie wieder auf die Ressourcen zugreifen.Diese Einstellung ist standardmäßig aktiviert. Deaktivieren Sie das Kontrollkästchen, um kein Zeitlimit des Leerlaufs anzugeben. Das standardmäßige Zeitlimit des Leerlaufs ist eine Stunde.Standard:1 Stunde
- StundenGibt die Stundenanzahl für das Zeitlimit des Leerlaufs an.
- MinutenGibt die Minutenanzahl für das Zeitlimit des Leerlaufs an.
- Maximales Zeitlimit (Stunden:Minuten)Bestimmt die Zeit, während derer eine Benutzersitzung maximal aktiv sein kann, bevor das Federation-System den Benutzer zur erneuten Authentifizierung auffordert.Diese Einstellung ist standardmäßig aktiviert. Deaktivieren Sie das Kontrollkästchen, um keine maximale Sitzungsdauer anzugeben.Standard: 2 Stunden
- StundenGibt die Stundenanzahl für die maximale Sitzungsdauer an.
- MinutenGibt die Minutenanzahl für die maximale Sitzungsdauer an.
- Aktualisieren der Sitzung für ForceAuthnAktivieren Sie dieses Kontrollkästchen, um die Assertion mit der Startzeit, das maximale Zeitlimit und das Zeitlimit des Leerlaufs für die aktuelle Sitzung zu aktualisieren. Dieses Kontrollkästchen ist gültig, wenn Anmeldeinformationen vom SP angefordert werden und die Authentifizierungsanforderung einen erzwungenen Authentifizierungs-Abfrageparameter enthält.Diese Einstellung ist standardmäßig deaktiviert. Die Startzeit und die Zeitlimits der ursprünglichen Sitzung werden verwendet, wenn die Assertion generiert wird.
- Erhöhte Sitzungssicherheit aktivierenAktivieren Sie dieses Kontrollkästchen, um die Ressourcen zu schützen, die im Bereich (des Richtliniendomänenmodells) oder der Komponente (des Anwendungsmodells) angegeben werden. Sie können auch die Authentifizierungsanforderungen von bestimmten Federation-Partnerschaften schützen. Der Sitzungssicherungsendpunkt erfasst die DeviceDNA™ vom Benutzer und validiert die Sitzung. Diese Funktion benötigt Sitzungssicherungsendpunkte.
SSO (SAML 2.0-IdP)
Im SSO-Abschnitt können Sie Single Sign-On (SSO) konfigurieren. Dieser Bereich zeigt folgende Einstellungen an:
- Bindung der AuthentifizierungsanforderungGibt die Typen der Bindungen an, die das IdP zulässt, wenn es eine Authentifizierungsanforderung vom SP erhält.Optionen: "HTTP-Umleitung", "HTTP-POST"
- SSO-BindungLegt fest, welches Single Sign-On-Profil für die Verarbeitung von Anforderungen verwendet wird. Sie können alle Bindungen auswählen. Die lokale Entität legt die Reihenfolge fest, in der die Bindungen ausprobiert werden.Optionen:HTTP-Artefakt, HTTP-POST, "Enhanced Client or Proxy"Richtlinien für diese Einstellung:
- Wenn Sie eine Artefakt-Bindung auswählen, wählen Sie eine Artefakt-Verschlüsselung aus (URL oder FORMULAR). Die Verschlüsselung gibt an, wie das Artefakt zur vertrauenden Seite zurückkommt. Wenn Sie die Option "URL" auswählen, wird das Artefakt als Abfrageparameter in einer URL zurückgeschickt. Wenn Sie "FORMULAR" auswählen, wird das Artefakt in Formulardaten angegeben. Bei einer Artefakt-Bindung wird die Assertion über einen sicheren Backchannel gesendet. Deswegen sollten Sie die Einstellungen im Abschnitt "Backchannel" konfigurieren.
- Wenn Sie eine SSO-Bindung auswählen, konfigurieren Sie mindestens einen Assertionskonsumdienst mit einer übereinstimmenden Bindung.
- Wählen Sie das ECP-Profil aus, wenn die Entitäten in der Partnerschaft indirekt durch einen erweiterten Client kommunizieren. Ein erweiterter Client kann ein Browser oder ein anderer Benutzeragent oder ein erweiterter Proxy sein, wie z. B. ein drahtloser Proxy für ein drahtloses Gerät.
- casso13deArtefakt-SchutztypDefiniert, wie der Backchannel für HTTP-Artefakt-SSO geschützt ist. Die Option "Altlast" zeigt an, dassCA Single Sign-onden Backchannel schützt. Die Partnerschaftsoption zeigt an, dass die Federation-Komponente inCA Single Sign-onden Backchannel schützt.Wenn Sie IhreeTrust SiteMinder FSS-Konfiguration im Partnerschafts-Federation-Modell wiederherstellen, können Sie Ihre ursprüngliche Methode verwenden, um den Backchannel zu schützen. Die Option "Altlast" ermöglicht der Konfiguration, die vorhandene URL für den Assertionsabrufdienst (SAML 1.x) oder den Artefakt-Auflösungsdienst (SAML 2.0) zu verwenden. Durch das Auswählen der Option "Altlast" akzeptiertCA Single Sign-ondie Anforderung. Sie müssen die URL nicht ändern. Wenn die Artefaktservice-URL aus einer bestehenden Konfiguration stammt, aber nur die Partnerschaftsoption für diese Einstellung ausgewählt ist, verweigertCA Single Sign-ondie Anforderung.Wichtig!Stellen Sie bei Auswahl der Option "Altlast" sicher, die Richtlinie zu erzwingen, die den Artefaktservice schützt. Diese Richtlinie ist eine Komponente der Federation-Webservices.CA Single Sign-onerstellt automatisch Richtlinien für Federation-Webservices, Sie müssen jedoch den Schutz dieser Richtlinien erzwingen. Sie müssen anzeigen, welche Partnerschaft den Zugriff auf den Service gestattet, der Artefakte abruft.Optionen:"Altlast", "Partnerschaft"
- Artefakt-VerschlüsselungGibt an, wie das Artefakt verschlüsselt ist, wenn es zur vertrauenden Seite für Single Sign-On des HTTP-Artefakts gesendet wird.Optionen:URL, FormularWenn Sie "URL" auswählen, wird das Artefakt zu einer URL-verschlüsselten Abfragezeichenfolge hinzugefügt. Wenn Sie "Formular" auswählen, wird das Artefakt in einem Formular zu einem versteckten Steuerelement für das Formular hinzugefügt.
- ZielgruppeGibt die URL der Zielgruppe an. Die Zielgruppen-URL identifiziert den Speicherort eines Dokuments, das die Bedingungen der Business-Vereinbarung zwischen den behauptenden und vertrauenden Seiten beschreibt. Der Administrator auf der behauptenden Seite legt die Zielgruppe fest. Dieser Wert wird mit der Zielgruppe verglichen, die auf der behauptenden Seite angegeben ist.Wert:Eine URL.Der Zielgruppenwert darf 1.024 Zeichen nicht überschreiten und unterscheidet zwischen Groß- und Kleinschreibung.Beispiel:http://www.ca.com/fedserver
- Akzeptieren der ACS-URL in der von der vertrauenden Seite aus eingehenden AuthentifizierungsanforderungLässt das System die Assertion Consumer Service-URL in der eingehenden Authentifizierungsanforderung akzeptieren und verarbeiten. Aktivieren Sie dieses Kontrollkästchen, um zu validieren, dass die URL vorhanden und gültig ist, und sich in den Metadaten befindet.
- Erlaubte TransaktionenZeigt an, welcher Partner Single Sign-On initiieren kann. Wenn Sie steuern, welcher Partner Single Sign-On initiiert, können Sie Federation-Aufrufe verwalten. Beim Wert "Nur SP-initiiert" kann ein SP einen bestimmten Authentifizierungskontext benötigen, der in der Assertion zurückgegeben wird, bevor der Zugriff auf eine Ressource gewährt wird.
- SSO-Gültigkeitsdauer (Sekunden)Gibt die Sekundenanzahl an, die eine generierte Assertion gültig ist. Bei Single Sign-On weisen SSO-Gültigkeitsdauer und Zeitversatz den Richtlinienserver an, wie die Gesamtdauer berechnet werden soll, während derer die Single Sign-On-Anforderung gültig ist. In einer Testumgebung können Sie die Gültigkeitsdauer auf über 60 (Standardwert) erhöhen, wenn folgende Meldung im Nachverfolgungsprotokoll angezeigt wird:Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237) -current time (Fri Sep 09 17:28:33 EDT 2005) is after SessionNotOnOrAftertime (Fri Sep 09 17:28:20 EDT 2005)Wert:Geben Sie eine positive Ganzzahl ein.Standard:60
- Empfohlene SP-SitzungsdauerGibt die Länge an, die die Sitzung beim SP aktiv ist.Im <AuthnStatement> der Assertion berechnet der Richtlinienserver das Attribut "SessionNotOnOrAfter" mithilfe der Formel "current_time + validity_duration + skew_time" (Aktuelle Zeit + Gültigkeitsdauer + Zeitversatz). Wenn ein SP versucht, das Sitzungszeitlimit auf diesen Wert festzulegen, dann ist die Sitzung zu kurz. Sie können dieses Problem beheben, indem Sie den Wert der SSO-Gültigkeitsdauer verwenden oder den Wert "SessionNotOnOrAfter" ändern.Optionen:
- Assertionsgültigkeit verwendenBerechnet den Wert "SessionNotOnOrAfter", der auf der Einstellung "SSO-Gültigkeitsdauer" basiert.
- Sitzungsdauer der benutzerdefinierten AssertionWählen Sie eine der folgenden Optionen aus:Auslassen: Weist den IdP an, den Parameter "SessionNotOnOrAfter" nicht in die Assertion einzuschließen.IDP-Sitzung: Berechnet den Wert "SessionNotOnOrAfter", der auf dem IdP-Sitzungszeitlimit basiert. Das Zeitlimit wird im IdP-Bereich für die Authentifizierungs-URL konfiguriert. Über diese Option können die Werte des IdP- und SP-Sitzungszeitlimits synchronisiert werden.Benutzerdefiniert: Legt das Zeitlimit auf einen benutzerdefinierten Wert in Stunden und Minuten fest.
- Negative Authentifizierungsantwort aktivierenGibt an, dass der Service Provider Benachrichtigungen empfängt, wenn eine Anforderung zur Benutzerauthentifizierung fehlschlägt.
- Benutzereinverständnis aktivierenUm Benutzerdatenschutz zu erhöhen, können Sie festlegen, dass ein Benutzereinverständnis erforderlich ist, damit die behauptende Seite die Identitätsinformationen für den SP freigibt. Wenn Sie das Kontrollkästchen "Benutzereinverständnis aktivieren" auswählen, fordert die behauptende Seite die Zustimmung des Benutzers an. Die behauptende Seite übergibt den entsprechenden Wert an die Assertion.Wenn dieses Kontrollkästchen aktiviert ist, werden die folgenden zwei Felder angezeigt:
- URL des Dienstes für das BenutzereinverständnisGibt die URL für den Dienst des Benutzereinverständnisses auf der behauptenden Seite an. Der Standard ist "http://idp_site:8999/affwebservices/public/saml2userconsent"
- Post-Formular des BenutzereinverständnissesBenennt das benutzerdefinierte Auto-POST-HTML-Formular für das Benutzereinverständnis. Geben Sie nur den Namen des Formulars ein, nicht den Pfad zum Formular. Der Benutzer kann das HTML-Formular konfigurieren, das die behauptende Seite dem Benutzer bereitstellt, um die Zustimmung einzuholen. Dieses Formular kann bearbeitet werden, um es an Ihre Business-Anforderungen anzupassen.Die physische Seite muss sich im Verzeichnis "%NETE_WA_ROOT%\customization" befinden, wobei "%NETE_WA_ROOT%" der Speicherort des Web-Agent-Optionspakets ist. Wenn der Web-Agent und das Web-Agent-Optionspaket auf dem gleichen System installiert sind, werden sie im gleichen Verzeichnis installiert (z. B. unter "webagent\customization").
- Minimale AuthentifizierungsebeneGibt die minimale Ebene an, auf der ein Benutzer authentifiziert sein muss, um Zugriff auf einen Bereich zu erhalten. Wenn der Benutzer auf dieser Ebene oder auf einer höheren Ebene authentifiziert wurde, dann generiert der Identity Provider eine Assertion für den Benutzer. Wenn der Benutzer nicht auf dieser Ebene oder nicht auf einer höheren Ebene authentifiziert wurde, dann werden sie an die Authentifizierungs-URL umgeleitet, um auf dieser Ebene authentifiziert zu werden.
- Benutzerdefiniertes POST-FormularBenennt das benutzerdefinierte Auto-POST-HTML-Formular für Single Sign-On des HTTP-POST. Geben Sie nur den Namen des Formulars ein, nicht den Pfad zum Formular. Der Richtlinienserver stellt ein Formular mit dem Namen "defaultpostform.html" zur Verfügung. Ein angepasstes Auto-POST-Formular ermöglicht es dem Richtlinienserver, SAML-Informationen an den Consumer zu senden. Die physische Seite muss sich im Verzeichnis "%NETE_WA_ROOT%\customization" befinden, wobei "%NETE_WA_ROOT%" der Speicherort des Web-Agent-Optionspakets ist. Wenn der Web-Agent und das Web-Agent-Optionspaket auf dem gleichen System installiert sind, werden sie im gleichen Verzeichnis installiert (z. B. unter "webagent\customization").
- ValidierungszeitraumUm dieses Kontrollkästchen anzuzeigen, aktivieren Sie den Sitzungsserver mithilfe der Richtlinienserver-Verwaltungskonsole.Bestimmt die maximale Dauer zwischen Agentenaufrufen an den Richtlinienserver, um eine Sitzung zu validieren. Die Sitzungsvalidierungsaufrufe informieren den Richtlinienserver darüber, dass ein Benutzer noch aktiv ist, und es bestätigen, dass die entsprechende Benutzersitzung noch gültig ist. Um den Validierungszeitraum anzugeben, geben Sie Werte in die Felder "Stunden", "Minuten" und "Sekunden" ein. Wenn Sie das System konfigurieren, um einen Windows-Benutzersicherheitskontext anzugeben, geben Sie einen hohen Wert ein, wie z. B. 15-30 Minuten.Wichtig!Der Validierungszeitraum der Sitzung muss weniger sein als der angegebene Wert für das Zeitlimit des Leerlaufs.
- Festlegen von OneTimeUseConditionWeist den SP an, die Assertion sofort zu verwenden und es nicht für zukünftige Verwendungen beizubehalten. Die Assertion ist nur für eine einmalige Verwendung vorgesehen. Die "OneTimeUse"-Bedingung ist nützlich, weil Informationen in einer Assertion geändert werden können oder ablaufen können, und der SP verwendet eine Assertion mit aktuellen Informationen. Anstatt die Assertion erneut zu verwenden, muss der SP eine neue Assertion vom IdP anfordern.
- Assertionskonsum-URLIn diesem Abschnitt können Sie Indexwerte für Assertionskonsumdienst-URLs zuweisen. Wenn Indexnummern zugewiesen werden, können verschiedene Einträge des Assertionskonsumdienstes für verschiedene Protokollbindungen verwendet werden. Die vertrauende Seite schließt einfach die Indexnummer für die entsprechende URL in der AuthnRequest ein, die an die behauptende Seite gesendet wird.Die Tabelle in diesem Abschnitt enthält folgende Felder:
- IndexGibt die Indexnummer für die URL eines Assertionskonsumdienstes auf der vertrauenden Seite an.Standardwert:0Wert: Eindeutige Ganzzahl zwischen 0 und 65.535
- BindungGibt die Single Sign-On-Bindung an, die Sie für den Assertionskonsumdienst verwenden.Eine unaufgeforderte Anforderung kann Single Sign-On auf der behauptenden Seite initiieren. Wenn die Verknüpfung, die die Anforderung auslöst, den Abfrageparameter "ProtocolBinding" enthält, überschreibt die Bindung, die in diesem Abfrageparameter angegeben ist, den Wert für dieses Feld.Standard:HTTP-POSTOptionen: "HTTP-Artefakt", "HTTP-POST", PAOS
- URLGibt die URL des Assertionskonsumdienstes auf der vertrauenden Seite an.Standard: (: http://CA Single Sign-onals SP)sp_server:port/affwebservices/public/saml2assertionconsumer
- Standard(Optional) Zeigt an, dass die ausgewählte URL als Standardeintrag dient. Aktivieren Sie das Kontrollkästchen neben dem Eintrag, den Sie als Standard verwenden möchten.
SLO (SAML 2.0-IdP)
Im SLO-Abschnitt können Sie Single Logout (SLO) konfigurieren. Dieser Bereich zeigt folgende Einstellungen an:
- SLO-BindungGibt an, ob das Single Logout-Profil auf der behauptenden Seite aktiviert ist und welche Bindung verwendet wird. Die Bindung der HTTP-Umleitung sendet SLO-Meldungen mithilfe von HTTP-GET-Anforderungen. Die SOAP-Bindung beruht nach der eigentlichen Anforderung nicht auf HTTP und sendet Meldungen über einen Backchannel.Optionen:HTTP-Redirect, HTTP-POST, SOAP
- URL der SLO-BestätigungGibt die URL an, auf die der Benutzer umgeleitet wird, wenn der Single Logout-Vorgang abgeschlossen ist. Normalerweise verweist die URL der Bestätigung auf einen Speicherort auf der Site, die Single Logout initiiert hat. Wenn SLO auf Ihrer Site initiiert wird, verwendet das System diese URL. Die URL-Ressource muss eine lokale Ressource sein, auf die Ihre Site zugreifen kann, keine Ressource in einer föderierten Partnerdomäne. Wenn die lokale Domäne beispielsweise "acme.com" und Ihr Partner "example.com" ist, dann muss die URL der SLO-Bestätigung in "acme.com" sein.Wert:Gültige URL
- SLO-Gültigkeitsdauer (Sekunden)Gibt die Sekundenanzahl an, die eine SLO-Anforderung gültig ist.Standard:60SekundenWert:Eine positive Ganzzahl
- Relay-Status überschreibt die URL der SLO-Bestätigung (nur HTTP-Umleitung)Ersetzt die URL im Feld "URL der SLO-Bestätigung" mit dem Wert des Abfrageparameters "Relay-Status", der in der Single Logout-Anforderung enthalten ist. Mit diesem Kontrollkästchen haben Sie größere Kontrolle über das Bestätigungsziel für Single Logout. Mit dem Abfrageparameter "Relay-Status" können Sie die Bestätigungs-URL für SLO-Anforderungen dynamisch definieren.
- Sitzungsindex wiederverwendenGibt an, obCA Single Sign-onin einer einzelnen Browsersitzung den gleichen Sitzungsindex in der Assertion für den gleichen Partner sendet. Ein Benutzer kann mithilfe des gleichen Browserfensters mehrmals mit dem gleichen Partner föderiert werden. Wenn diese Option ausgewählt ist, wird der IdP angewiesen, den gleichen Sitzungsindex in jeder Assertion zu senden. Wenn Sie diese Option deaktivieren, dann generiertCA Single Sign-onbei jedem Single Sign-On einen neuen Sitzungsindex.Sie können diese Option aktivieren, um "Single Logout" mit Drittanbieterpartnern sicherzustellen, die den Sitzungsindex, der in neueren Assertionen übergeben wurde, nicht berücksichtigen.Hinweis:Diese Einstellung ist nur relevant, wenn "Single Logout" aktiviert ist.
- SLO-Dienst-URLsListet die verfügbaren SLO-Dienst-URLs auf. Die Tabelle enthält folgende Einträge:
- AuswählenZeigt an, dass dieser Wert den Eintrag für die SLO-Dienst-URL ist.
- BindungZeigt die Bindung für die SLO-Verbindung an.Optionen:"HTTP-Umleitung", "SOAP"
- Speicherort-URLGibt die URL des Dienstes für Single Logout beim Remote-Partner an, an die die Single Logout-Anforderung gesendet wird.Wert:Gültige URLWenn Ihr Federation-System beim Remote-SP ist, dann verwenden Sie folgende URLs:HTTP-Umleitungs-Bindung:http://sp_host:port/affwebservices/public/saml2sloHTTP-POST-Bindung:http://sp_host:port/affwebservices/public/saml2sloSOAP-Bindung:http://sp_host:port/affwebservices/public/saml2slosoapWenn ein Federation-Produkt eines Drittanbieters beim SP ist, verwenden Sie die entsprechende URL für dieses Produkt.
- Speicherort-URL der Antwort(Optional) Gibt die URL des Dienstes für Single Logout für die Entität an. Die Speicherort-URL der Antwort wird in einer Konfiguration verwendet, in der ein Dienst für Single Logout-Anforderungen und ein Dienst für Single Logout-Antworten vorhanden ist. Wenn nur die Speicherort-URL angegeben ist, wird sie standardmäßig für die Anforderung und die Antwort verwendet.Wert:Gültige URL
Dienst für "Namens-ID verwalten"
Dieser Abschnitt beschreibt die Felder für das Konfigurieren des Diensts "Namens-ID verwalten".
- MNI-Bindung: SOAPAktivieren Sie den Dienst "Namens-ID verwalten". SOAP ist die einzige unterstützte Bindung. Bei Auswahl dieser Option wird der Bereich "Benutzersuche nach Attributen und Namens-ID-Diensten" angezeigt. Geben Sie eine Suchspezifikation für ein Benutzerverzeichnis im Feld Benutzerdefiniert an. Der von Ihnen angegebenen Wert gibt dem Richtlinienserver Informationen darüber, wie der Benutzerdatensatz im Benutzerverzeichnis gefunden wird. Geben Sie eine Suchzeichenfolge ein, die für den Verzeichnistyp geeignet ist:LDAP:uid=%sODBC:name=%s
- Namens-ID verschlüsselnVerschlüsseln Sie die Namens-ID.
- Verschlüsselte Namens-ID ist erforderlichMacht eine Verschlüsselung der Namens-ID in eingehenden Meldungen erforderlich.
- SignaturanforderungSigniert die Meldung der ManageNameID-Anforderung.
- Signierte Anforderung ist erforderlichMacht eine Signatur der Meldung der ManageNameID-Anforderung erforderlich.
- Antwort signierenSigniert die Meldung der ManageNameID-Antwort.
- Signierte Antwort ist erforderlichMacht eine Signatur der Meldung der ManageNameID-Antwort erforderlich.
- Namens-ID löschenLöscht das Benutzerverzeichnisattribut, das die Namens-ID des Benutzers für diese Partnerschaft enthält. Beachten Sie, dass Sie entweder "Namens-ID löschen" oder "Enable Notification" (Benachrichtigung aktivieren) auswählen sollten, um die Funktion betriebsbereit zu machen.
- SOAP-Zeitlimit (Sekunden)Gibt die Anzahl von Minuten an, während derer gewartet wird, bis die Anforderung abläuft.Standard: 60
- Anzahl der WiederholungenGibt an, wie viele Versuche für eine Anforderung durchgeführt werden.Standard: 3
- Wiederholungsbegrenzung (Minuten)Gibt die Anzahl von Minuten an, während derer gewartet wird, bevor nach einer fehlgeschlagenen Meldung ein neuer Versuch durchgeführt wird.Standard:15
- (Optional) Benachrichtigung aktivierenWeist dieSingle Sign-On-Federation-Entität an, die Kundenanwendung zu benachrichtigen, wenn ein Benutzer beendet wird. Eine Benachrichtigung informiert den Namens-ID-Dienst im Hintergrund, wenn das Beenden einer Namens-ID erfolgreich war. Aktivieren Sie Benachrichtigungen, wenn der Kunde, der die angeforderte Anwendung besitzt, das Entfernen eines Benutzers aus dem Benutzerverzeichnis steuern möchte.
- Benachrichtigungs-URLGibt die URL der Remote-IDP oder -SP an, über die die lokale Federation-Entität die Benachrichtigung sendet, dass die Namens-ID für einen föderierten Benutzer beendet wird.
- Benachrichtigungszeitlimit (Sekunden)Gibt die Sekunden an, die gewartet werden sollen, bis die Benachrichtigungsanforderung das Zeitlimit erreicht.
- BenachrichtigungsauthentifizierungstypGibt an, ob der Kunde die Anmeldeinformationen benötigt, wenn eine Beendigung gesendet wird. Wenn Sie auf "Basic" auswählen, führt der Benachrichtigungsdienst im Hintergrund einen Callout über die Benachrichtigungs-URL aus. Die Kundenanwendung kann authentifizieren, dass dieSingle Sign-On-Federation für diesen Callout zulässig ist. Wenn Sie "Basic" auswählen, geben Sie Werte für die Einstellungen "Benutzername für Benachrichtigung" und "Benachrichtigungskennwort" an. Diese Werte dienen als Anmeldeinformationen, wenn ein Callout über den Benachrichtigungskanal gesendet wird.Optionen: "Keine Authentifizierung", "Basic"
- Benutzername für BenachrichtigungGibt einen Benutzernamen für den Benachrichtigungsdienst an. Dieser Name ist ein Teil der Anmeldeinformationen für die Kundenanwendung, um die Entität zu überprüfen, die über die Benachrichtigungs-URL kommuniziert.
- BenachrichtigungskennwortGibt ein Kennwort für den Benachrichtigungsdienst an. Dieses Kennwort ist ein Teil der Anmeldeinformationen für die Kundenanwendung, um die Entität zu überprüfen, die über die Benachrichtigungs-URL kommuniziert. Eine Kundenanwendung stellt diese Authentifizierung bereit, um sicherzustellen, dass ein gültiger Client die Benachrichtigung sendet.
- BenachrichtigungsbestätigungskennwortBestätigt den Wert für "Benachrichtigungskennwort".
Backchannel (SAML 2.0-IdP)
casso13de
Im Bereich "Backchannel" konfigurieren Sie die Authentifizierungsmethode über den Backchannel hinweg. Der Backchannel hat unterschiedliche Zwecke, und zwar auf Grundlage der folgenden Kriterien:
- HTTP-Artefakt-SSO ist konfiguriert.
- Single Logout mit der SOAP-Bindung ist konfiguriert.
- Ihr Federation-System ist der Identitätsanbieter oder Serviceanbieter.
- Kommunikation erfolgt über einen eingehenden oder ausgehenden Kanal.
Der Bereich "Backchannel" zeigt die folgenden Einstellungen an:
- Eingehende Konfiguration/Ausgehende KonfigurationKonfigurieren Sie einen eingehenden oder ausgehenden Backchannel nach Bedarf durch die ausgewählten Bindungen. Der Backchannel hat nur eine Konfiguration. Wenn zwei Services den gleichen Kanal verwenden, verwenden diese zwei Services die gleiche Backchannel-Konfiguration. Zum Beispiel unterstützt der eingehende Kanal für ein lokales IdP HTTP-Artefakt-SSO und SLO über SOAP. Diese zwei Services müssen die gleiche Backchannel-Konfiguration verwenden.
- AuthentifizierungsmethodeGibt die Authentifizierungsmethode an, die den Backchannel schützt.Standard:Keine AuthentifizierungOptionen: Standard, Client-Zertifikat, Keine AuthentifizierungGrundlegendZeigt an, dass ein standardmäßiges Authentifizierungsschema die Kommunikation über den Backchannel schützt.Hinweis:Wenn SSL für die Backchannel-Verbindung aktiviert ist, können Sie die Standardauthentifizierung weiterhin auswählen.Wenn Sie die Standardauthentifizierung auswählen, konfigurieren Sie die folgenden zusätzlichen Einstellungen:
- Backchannel-Benutzername(Standardauthentifizierung – nur ausgehender Kanal). Gibt den Benutzernamen des SP an, wenn die Standardauthentifizierung über den Backchannel hinweg verwendet wird. Geben Sie den Namen der Partnerschaft ein, die am Remote-IdP konfiguriert wird. Beispielsweise wird am Remote-IdP eine Partnerschaft mit dem Namen Partners1 zwischen CompanyA (IdP) und CompanyB (SP) definiert. Beim lokalen SP CompanyB geben Sie den Wert Partners1 ein, um den Benutzernamen der zugeordneten Partnerschaft am IdP zuzuordnen.
- KennwortGibt das Benutzerkennwort für den Backchannel-Benutzernamen an. Dieses Kennwort ist nur relevant, wenn Sie eine standardmäßige Authentifizierungsmethode oder eine "Basic over SSL"-Authentifizierungsmethode im Backchannel verwenden.Die zwei Partner einigen sich über dieses Kennwort.
- Kennwort bestätigenBestätigt den Kennworteintrag erneut.
- Backchannel-Zeitlimit (Sekunden)(nur ausgehender Kanal) Gibt die maximale Zeit an, die das System nach dem Senden einer Backchannel-Anforderung an den Artefakt-Auflösungsdienst auf eine Antwort wartet. Geben Sie ein Intervall in Sekunden an.Standard:300 SekundenWert:Positive Ganzzahl
- Client-ZertifikatZeigt an, dass ein Authentifizierungsschema des X.509-Client-Zertifikats die Kommunikation zum Artefakt-Auflösungsdienst über den gesamten Backchannel schützt.Für die Authentifizierung "Client-Zertifikat" muss SSL für alle Endpunkt-URLs verwendet werden. Endpunkt-URLs suchen die verschiedenen SAML-Services auf einem Server, beispielsweise den Artefakt-Auflösungsdienst. Für die SSL-Anforderung ist es erforderlich, dass die URL zum Service mithttps://beginnen muss.Um die Client-Zertifikatsauthentifizierung zu implementieren, sendet der SP der behauptenden Seite ein Zertifikat, bevor andere Transaktionen ausgeführt werden. Die behauptende Seite speichert das Zertifikat in ihrer Datenbank. Beide Partner müssen über das Zertifikat verfügen, das die SSL-Verbindung in ihren jeweiligen Datenbanken aktiviert hat. Andernfalls funktioniert die Client-Zertifikatsauthentifizierung nicht.Während des Authentifizierungsprozesses sendet die vertrauende Seite ihr Zertifikat der behauptenden Seite. Die behauptende Seite vergleicht das empfangene Zertifikat mit dem Zertifikat in ihrer Datenbank, um zu überprüfen, ob sie übereinstimmen. Wenn eine Übereinstimmung vorliegt, lässt die behauptende Seite die vertrauende Seite auf den Artefakt-Auflösungsdienst zugreifen.Wenn Sie die Authentifizierung "Client-Zertifikat" auswählen, konfigurieren Sie folgende zusätzliche Einstellung:
- Client-Zertifikats-AliasGibt den Alias an, der einem Client-Zertifikat in der Schlüsseldatenbank zugeordnet ist. Wählen Sie den Alias aus der Drop-down-Liste aus.
- Backchannel-Zeitlimit (Sekunden)(nur ausgehender Kanal). Gibt die maximale Zeit an, dieCA Single Sign-onnach dem Senden einer Backchannel-Anforderung an den Artefakt-Auflösungsdienst auf eine Antwort wartet. Geben Sie ein Intervall in Sekunden an.Standard:300 SekundenWert:Positive Ganzzahl
- Keine AuthentifizierungZeigt an, dass die vertrauende Seite nicht erforderlich ist, um Anmeldeinformationen bereitzustellen. Der Backchannel und der Artefakt-Auflösungsdienst sind nicht gesichert. Sie können SSL weiterhin mit dieser Option aktivieren. Der Backchannel-Datenverkehr wird verschlüsselt, es werden jedoch keine Anmeldeinformationen zwischen den Parteien ausgetauscht.Wählen Sie "NoAuth" für Testzwecke, aber nicht für die Produktion aus, außer wenn Ihr Federation-System für ein SSL-aktiviertes Failover konfiguriert ist und es sich hinter einem Proxyserver befindet. Der Proxyserver verarbeitet die Authentifizierung, wenn er über das Serverzertifikat verfügt. In diesem Fall verwenden alle IdP:SP-Partnerschaften "NoAuth" als den Authentifizierungstypen.
Attributservice beim IdP
Sie können einen Identity Provider konfigurieren, der als Attributverwaltung agieren soll. Die Verwaltung kann auf eine Attributabfrage von einem SAML-Anforderer reagieren. Der Anforderer kann Benutzer basierend auf den abgerufenen Attributen autorisieren.
Der Abschnitt "Attributservice" enthält die folgenden Felder zur Unterstützung von Attributabfragen:
- AktivierenErmöglicht es dem Identity Provider, als Attributverwaltung zu agieren. Als Attributautorität kann das System auf Abfragemeldungen SAML-Anforderern reagieren. Bei Auswahl dieser Option wird der Bereich "Benutzersuche nach Attributen und Namens-ID-Diensten" angezeigt. Geben Sie eine Suchspezifikation für ein Benutzerverzeichnis im Feld Benutzerdefiniert an. Der von Ihnen angegebenen Wert gibt dem Richtlinienserver Informationen darüber, wie der Benutzerdatensatz im Benutzerverzeichnis gefunden wird. Geben Sie eine Suchzeichenfolge ein, die für den Verzeichnistyp geeignet ist:LDAP:uid=%sODBC:name=%s
- Signierte Attributabfrage ist erforderlichZeigt an, dass die Attributverwaltung eine digital signierte Attributabfrage vom SAML-Anforderer benötigt.
- casso13deAbfrage mit Proxy aktivierenZeigt an, dass ein Drittanbieter-IdP auf die Attributabfrage antwortet. Die Funktion für Abfrage mit Proxy ist für Bereitstellungen mit Drittanbieter-IdP und -Attributautorität konzipiert. Das lokale Richtlinienserversystem, das Sie konfigurieren, hat zwei Rollen, wenn eine Abfrage mit Proxy implementiert wird. Das System agiert als SP und Attributanforderer für den Drittanbieter-IdP. Das lokale System agiert ebenfalls als IdP und als Attributautorität für den SP, der die angeforderte Anwendung besitzt.Eine Abfrage mit Proxy tritt auf, wenn die folgenden Bedingungen erfüllt sind:
- Das Attribut kann nicht im Benutzerverzeichnis oder Sitzungsspeicher des lokalen Systems gefunden werden.
- Der Benutzer wird anfänglich vom Drittanbieter-IdP authentifiziert.
Der Richtlinienserver fragt den Drittanbieter-IdP ab. Wenn der IdP das Attribut findet, gibt er eine Abfrageantwort zurück. Der Richtlinienserver fügt die Attribute der Antwort zum Sitzungsspeicher hinzu. Das System gibt die Antwort mit den Attributen des SP zurück, der die Anwendung besitzt. Dieser SP ist der ursprüngliche Attributanforderer.Hinweis:Die URL für den Attributservice beim IdP werden in der SP-Partnerschaft konfiguriert. - Gültigkeitsdauer in SekundenGibt die Sekundenanzahl an, die die Assertion gültig ist.
- SignaturoptionenBezeichnet die Signaturanforderungen für Attributassertionen und Antworten.
- Assertion signierenWeist die Attributverwaltung an, nur die Attributassertion zu signieren. Die SAML-Antwort wird nicht signiert.
- Antwort signierenWeist die Attributverwaltung an, nur die SAML-Antwort zu signieren.
- Beides signierenWeist die Attributverwaltung an, die Attributassertion und die SAML-Antwort zu signieren.
- Keins von beiden signierenWeist die Attributverwaltung an, weder die Attributassertion noch die SAML-Antwort zu signieren.
- BenutzersucheDefiniert Suchspezifikationen für Namespaces der Benutzerverzeichnisse. Die Attributverwaltung verwendet die Suchspezifikation, um den Benutzer lokal zu suchen. Die Suchspezifikation muss die Namens-ID des Betreffs von der Attributabfrage enthalten, um den Benutzer zu finden.Geben Sie eine Suchspezifikation in das Feld für den Namespace-Typ ein, den Sie verwenden.Hinweis:Es ist mindestens eine Suchspezifikation erforderlich.
IDP-Discovery (SAML 2.0-IdP)
Im Abschnitt "IDP Discovery" können Sie das Profil "Identity Provider Discovery" konfigurieren. Mit diesem Profil kann die vertrauende Seite festlegen, welche behauptende Seite ein Principal verwendet.
Dieser Bereich zeigt folgende Einstellungen an:
- IDP-Discovery aktivierenAktiviert oder deaktiviert das Profil "Identity Provider Discovery".
- Dienst-URLGibt die URL des Servlets für das Profil "Identity Provider Discovery" auf der lokalen Entität an.
- Allgemeine DomäneGibt die Domäne des allgemeinen Domänen-Cookies an, wo der Dienst "Identity Provider Discovery" Informationen über die behauptende Seite speichert. Diese Domäne muss eine übergeordnete Domäne des Hosts in der Dienst-URL sein.Wert:Eine gültige Cookie-Domäne
- Dauerhaftes Cookie aktivierenZeigt an, dass das Cookie dauerhaft sein muss.
URL der Status-Umleitung (SAML 2.0-IdP)
Im Abschnitt "URL der Status-Umleitung" können Sie festlegen, wie ein Browser einen Benutzer umleitet, wenn HTTP 500-, HTTP 400- und HTTP 405-Fehler auftreten.
Wählen Sie die Umleitungsoptionen aus, die Sie aktivieren möchten, und geben Sie anschließend eine zugeordnete URL ein.
Die Optionen sind:
- Umleitung des Serverfehlers aktivierenURL-Umleitung bei Serverfehler:Gibt die URL an, an die der Browser den Benutzer umgeleitet, wenn ein HTTP 500-Serverfehler auftritt. Bei einem Benutzer kann ein 500-Fehler auftreten, da eine unerwartete Bedingung verhindert, dass der Webserver die Client-Anforderung erfüllt. Wenn dieser Fehlertyp auftritt, wird der Benutzer zur weiteren Verarbeitung an die angegebene URL gesendet.Beispiel:http://www.redirectmachine.com/error_pages/server_error.html
- Umleitung der ungültigen Anforderung aktivierenURL-Umleitung für ungültige Anforderung: Gibt die URL an, an die der Browser den Benutzer umgeleitet, wenn ein "HTTP 400 Bad Request"- oder "405 Method Not Allowed"-Fehler auftritt. Bei einem Benutzer kann ein 400-Fehler auftreten, wenn eine Anforderung fehlerhaft ist. Bei einem Benutzer kann auch ein 405-Fehler auftreten, weil der Webserver nicht zulässt, dass eine bestimmte Methode oder Aktion ausgeführt wird. Wenn diese Fehlertypen auftreten, wird der Benutzer zur weiteren Verarbeitung an die angegebene URL gesendet.Beispiel: http://www.redirectmachine.com/error_pages/invalidreq_error.html
- Umleitung des nicht autorisierten Zugriffs aktivierenURL-Umleitung des unbefugten Zugriffs:Gibt die URL an, an die der Benutzer umgeleitet wird, wenn ein "HTTP 403 Forbidden"-Fehler auftritt. Dieser Fehler tritt auf, weil der Benutzer nicht für eine föderierte Transaktion autorisiert ist. Ein 403-Fehler kann auch auftreten, weil die URL in einer Anforderung auf das falsche Ziel verweist, wie z. B. auf ein Verzeichnis statt auf eine Datei.Beispiel:http://www.redirectmachine.com/error_pages/unauthorized_error.htm
- 302 - Keine Daten (Standard)Leitet den Benutzer über eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und ohne andere Daten um.
- HTTP POSTLeitet den Benutzer mithilfe eines "HTTP POST"-Protokolls um.