SSO- und SLO-Dialogfeld (SAML 2.0-SP)
casso13de
HID_partnerships-SSO-relying
Im SSO- und SLO-Schritt können Sie die Single Sign-On- und Single Logout-Konfiguration festlegen.
Hinweis:
Um die SLO-Einstellungen anzuzeigen, aktivieren Sie den Sitzungsserver mithilfe der Richtlinienserver-Verwaltungskonsole.SSO (SAML 2.0-SP)
In diesem SSO-Abschnitt können Sie Single Sign-On-Informationen (SSO) konfigurieren. Die Einstellungen sind:
Bindung der Authentifizierungsanforderung
Gibt die Typen der Bindungen an, die das SP verwendet, wenn es eine Authentifizierungsanforderung an den IdP sendet.
Optionen:
"HTTP-Umleitung", "HTTP-POST"SSO-Profil
Legt fest, welches Single Sign-On-Profil das Federation-System für die Verarbeitung von Anforderungen verwendet. Sie können alle Bindungen auswählen. Die lokale Entität legt die Reihenfolge fest, in der die Bindungen ausprobiert werden.
Optionen:
HTTP-Artefakt, HTTP-POST, "Enhanced Client or Proxy"Wählen Sie das ECP-Profil aus, wenn die Entitäten in der Partnerschaft indirekt durch einen erweiterten Client kommunizieren. Ein erweiterter Client kann ein Browser oder ein anderer Benutzeragent oder ein erweiterter Proxy sein, wie z. B. ein drahtloser Proxy für ein drahtloses Gerät.
Zielgruppe
Gibt die Zielgruppe für die SAML-Assertion an.
Die Zielgruppe ist eine URL eines Dokuments, das die Bedingungen der Business-Vereinbarung zwischen zwei föderierten Partnern beschreibt. Der Administrator auf der behauptenden Seite legt die Zielgruppe fest. Der Wert, den Sie eingeben, muss mit dem Wert der Zielgruppe übereinstimmen, die für die behauptende Seite festgelegt ist.
Wert:
Eine URL.Beispiel:
http://www.ca.com/fedserverErlaubte Transaktionen
Zeigt an, welcher Partner Single Sign-On initiieren kann. Wenn Sie steuern, welcher Partner Single Sign-On initiiert, können Sie Federation-Aufrufe verwalten. Zum Beispiel können Sie "Nur SP-initiiert" auswählen. In diesem Fall kann ein SP eine föderierte Transaktion nur dann initiieren, wenn ein bestimmter Authentifizierungskontext angefordert wird.
Benutzereinverständnis ist erforderlich
Zeigt an, dass es für den SP erforderlich ist, dass der Identity Provider den Benutzer um Erlaubnis bittet, die entsprechenden Identitätsinformationen freizugeben. Um die Zustimmung zu bestätigen, vergleicht der SP den Wert des Benutzereinverständnis in der empfangenen Assertion mit einem der folgenden Zustimmungswerte:
- urn:oasis:names:tc:SAML:2.0:consent:obtainedDer Identity Provider hat eine Zustimmung vom Benutzer erhalten.
- urn:oasis:names:tc:SAML:2.0:consent:priorDer Identity Provider hat eine Zustimmung vom Benutzer erhalten, bevor die Single Sign-On-Transaktion aufgetreten ist.
- urn:oasis:names:tc:SAML:2.0:consent:current-implicitDer Identity Provider hat implizit eine Zustimmung während der Single Sign-On-Transaktion erhalten. Diese Zustimmung ist oft ein Teil einer Aktivität, die Zustimmung impliziert. Eine implizite Zustimmung ist normalerweise zeitlich näher zur Transaktion als die vorherige Zustimmung.
- urn:oasis:names:tc:SAML:2.0:consent:current-explicitDer Identity Provider hat eine Zustimmung während der Aktion erhalten, die die Single Sign-On-Transaktion initiiert hat.
Schutzebene
Erlaubt Single Sign-On für Authentifizierungsschemen mit den gleichen oder niedrigeren Schutzebenen innerhalb der gleichen Richtliniendomäne. Die Schutzebene erfordert auch zusätzliche Authentifizierung, um auf Ressourcen mit höheren Schemen der Schutzebene zuzugreifen.
Wert:
1 bis 1000.Authentifizierungsschemen haben eine standardmäßige Schutzebene, die Sie ändern können. Verwenden Sie hohe Schutzebenen für kritische Ressourcen, und verwenden Sie Schemen mit niedrigeren Ebenen für allgemein zugreifbare Ressourcen.
Einmalige Assertion erzwingen
Verhindert, dass SAML 2.0-Assertionen beim Service Provider erneut verwendet werden, um eine zweite Sitzung herzustellen.
Synchrone Überwachung aktivieren
Gibt an, dass
CA Single Sign-on
Aktionen des Richtlinienservers und des Web-Agent protokollieren muss, bevor der Zugriff auf Ressourcen erlaubt wird. CA Single Sign-on
erlaubt keinen Zugriff auf die Ressourcen des Bereichs, bis die Aktivität in den Audit-Protokollen aufgezeichnet wurde.
Dauerhafte Sitzung verwenden
(Optional) Gibt an, dass Benutzersitzungen verfolgt und im Sitzungsspeicher und in Cookies gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Informationen, die bei Authentifizierungsentscheidungen verwendet werden können.
Aktivieren Sie dieses Kontrollkästchen, um dauerhafte Sitzungen zu aktivieren. Für das Single Logout und für einmalige Richtlinienfunktionen ist das Auswählen dieses Kontrollkästchens erforderlich.
Wichtig!
Um dieses Kontrollkästchen anzuzeigen, aktivieren Sie den Sitzungsserver mithilfe der CA Single Sign-on
-Richtlinienserver-Verwaltungskonsole.- ValidierungszeitraumBestimmt die maximale Dauer zwischen Agentenaufrufen zum Richtlinienserver, um eine Sitzung zu validieren. Validierungsaufrufe der Sitzung informieren den Richtlinienserver darüber, dass ein Benutzer noch aktiv ist, und es wird bestätigt, dass die Benutzersitzung noch gültig ist.Um den Validierungszeitraum anzugeben, geben Sie Werte in die Felder "Stunden", "Minuten" und "Sekunden" ein. Wenn SieCA Single Sign-onkonfigurieren, um einen Windows-Benutzersicherheitskontext anzugeben, geben Sie einen hohen Wert ein, wie z. B. 15-30 Minuten. Auch wenn aktive Sitzungen niedriger sind als der maximale Zwischenspeicherwert der Benutzersitzung des Agenten, dann muss der Agent die Sitzung mit dem Sitzungsserver nicht erneut validieren.Wichtig!Der Validierungszeitraum der Sitzung muss weniger sein als der angegebene Wert für das Zeitlimit des Leerlaufs.
URL des Remote-SSO-Dienstes
Listet die URLs der Dienste für Single Sign-On auf der behauptenden Seite auf. Jeder Eintrag in der Tabelle gibt den Speicherort an, an den der AuthnRequest-Dienst eine AuthnRequest-Meldung umleiten kann. Klicken Sie auf "Zeile hinzufügen", um der Tabelle mehr Einträge hinzuzufügen. Werte, die während der Erstellung oder des Imports der vertrauenden Remote-Seite angegeben wurden, werden in diese Tabelle eingegeben.
Die Tabelle enthält folgende Spalten:
- AuswählenZeigt an, welcher Eintrag verwendet werden soll.
- BindungGibt an, welche Bindung auf der behauptenden Seite unterstützt wird.Optionen:HTTP-Redirect, HTTP-POST, SOAP
- URLGibt den Dienst für Single Sign-On auf der behauptenden Seite an.Wert:URL des SSO-Dienstes auf der behauptenden Remote-Seite
- LöschenWenn Sie das Symbol auswählen, wird der Eintrag gelöscht.
URLs der Remote-SOAP-Artefakt-Auflösung
Listet die URLs des Artefakt-Auflösungsdienstes auf der behauptenden Seite auf. Dieser Dienst ruft die Assertion ab, die auf dem Artefakt basiert, das die vertrauende Seite sendet. Ein Eintrag in dieser Tabelle ist für Single Sign-On des Artefakts erforderlich. Werte, die während der Erstellung oder des Imports der vertrauenden Remote-Seite angegeben wurden, werden in diese Tabelle eingegeben.
Die Tabelle enthält folgende Spalten:
- AuswählenWeistCA Single Sign-onan, welcher Eintrag verwendet werden soll.
- IndexOrdnet einen Indexwert zu einer bestimmten URL des Artefakt-Auflösungsdienstes zu. Ein Nullwert zeigt den Standardeintrag an.Standardwert:0Wert:0 bis 65.535
- URLURL für den Artefakt-Auflösungsdienst.Wenn Ihr Remote-Identity ProviderCA Single Sign-onverwendet, verwenden Sie folgende URL:http://idp_host:port/affwebservices/public/saml2ars
- LöschenWenn Sie das Symbol auswählen, wird der Eintrag gelöscht.
Dienst für "Namens-ID verwalten"
Dieser Abschnitt beschreibt die Felder für das Konfigurieren des Diensts "Namens-ID verwalten".
- MNI-Bindung: SOAPAktivieren Sie den Dienst "Namens-ID verwalten". SOAP ist die einzige unterstützte Bindung.
- Namens-ID verschlüsselnVerschlüsseln Sie die Namens-ID.
- Verschlüsselte Namens-ID ist erforderlichMacht eine Verschlüsselung der Namens-ID in eingehenden Meldungen erforderlich.
- SignaturanforderungSigniert die Meldung der ManageNameID-Anforderung.
- Signierte Anforderung ist erforderlichMacht eine Signatur der Meldung der ManageNameID-Anforderung erforderlich.
- Antwort signierenSigniert die Meldung der ManageNameID-Antwort.
- Signierte Antwort ist erforderlichMacht eine Signatur der Meldung der ManageNameID-Antwort erforderlich.
- Namens-ID löschenLöscht das Benutzerverzeichnisattribut, das die Namens-ID des Benutzers für diese Partnerschaft enthält. Beachten Sie, dass Sie entweder "Namens-ID löschen" oder "Enable Notification" (Benachrichtigung aktivieren) auswählen sollten, um die Funktion betriebsbereit zu machen.
- SOAP-Zeitlimit (Sekunden)Gibt die Anzahl von Minuten an, während derer gewartet wird, bis die Anforderung abläuft.Standard: 60
- Anzahl der WiederholungenGibt an, wie viele Versuche für eine Anforderung durchgeführt werden.Standard: 3
- Wiederholungsbegrenzung (Minuten)Gibt die Anzahl von Minuten an, während derer gewartet wird, bevor nach einer fehlgeschlagenen Meldung ein neuer Versuch durchgeführt wird.Standard: 15
- (Optional) Benachrichtigung aktivierenWeist dieSingle Sign-On-Federation-Entität an, die Kundenanwendung zu benachrichtigen, wenn ein Benutzer beendet wird. Eine Benachrichtigung informiert den Namens-ID-Dienst im Hintergrund, wenn das Beenden einer Namens-ID erfolgreich war. Aktivieren Sie Benachrichtigungen, wenn der Kunde, der die angeforderte Anwendung besitzt, das Entfernen eines Benutzers aus dem Benutzerverzeichnis steuern möchte.
- Benachrichtigungs-URLGibt die URL der Remote-IDP oder -SP an, über die die lokale Federation-Entität die Benachrichtigung sendet, dass die Namens-ID für einen föderierten Benutzer beendet wird.
- Benachrichtigungszeitlimit (Sekunden)Gibt die Sekunden an, die gewartet werden sollen, bis die Benachrichtigungsanforderung das Zeitlimit erreicht.
- BenachrichtigungsauthentifizierungstypGibt an, ob der Kunde die Anmeldeinformationen benötigt, wenn eine Beendigung gesendet wird. Wenn Sie auf "Basic" auswählen, führt der Benachrichtigungsdienst im Hintergrund einen Callout über die Benachrichtigungs-URL aus. Die Kundenanwendung kann authentifizieren, dass dieSingle Sign-On-Federation für diesen Callout zulässig ist. Wenn Sie "Basic" auswählen, geben Sie Werte für die Einstellungen "Benutzername für Benachrichtigung" und "Benachrichtigungskennwort" an. Diese Werte dienen als Anmeldeinformationen, wenn ein Callout über den Benachrichtigungskanal gesendet wird.Optionen: "Keine Authentifizierung", "Basic"
- Benutzername für BenachrichtigungGibt einen Benutzernamen für den Benachrichtigungsdienst an. Dieser Name ist ein Teil der Anmeldeinformationen für die Kundenanwendung, um die Entität zu überprüfen, die über die Benachrichtigungs-URL kommuniziert.
- BenachrichtigungskennwortGibt ein Kennwort für den Benachrichtigungsdienst an. Das Kennwort ist ein Teil der Anmeldeinformationen für die Kundenanwendung, um die Entität zu überprüfen, die über die Benachrichtigungs-URL kommuniziert. Eine Kundenanwendung stellt diese Authentifizierung bereit, um sicherzustellen, dass ein gültiger Client die Benachrichtigung sendet.
- BenachrichtigungsbestätigungskennwortBestätigt den Wert für "Benachrichtigungskennwort".
Attributanfordererservice beim SP
Konfigurieren Sie im Abschnitt "Dienst des Attributanforderers" die Attribute, die der Attributanforderer aus einer Attributautorität abrufen möchte. Diese Attribute werden in die Attributabfrage eingeschlossen, die an die Attributautorität gesendet wird.
Der Abschnitt enthält folgende Einstellungen:
- AktivierenErmöglicht es dem Anforderer, Attributabfragen zu generieren.
- Signierte Assertion ist erforderlichZeigt an, dass der Attributanforderer nur Attributassertionen akzeptiert, die von der Attributautorität signiert werden. Die Assertion wird abgelehnt, wenn sie nicht signiert ist.
- casso13deAbfrage mit Proxy aktivierenZeigt an, dass ein Drittanbieter-IdP auf die Attributabfrage antwortet. Die Funktion für Abfrage mit Proxy ist für Bereitstellungen mit Drittanbieter-IdP und -Attributautorität konzipiert. Das lokale Richtlinienserversystem, das Sie konfigurieren, hat zwei Rollen, wenn eine Abfrage mit Proxy implementiert wird. Das System agiert als SP und Attributanforderer für den Drittanbieter-IdP. Das lokale System agiert ebenfalls als IdP und als Attributautorität für den SP, der die angeforderte Anwendung besitzt.Eine Abfrage mit Proxy tritt auf, wenn die folgenden Bedingungen erfüllt sind:
- Das Attribut kann nicht im Benutzerverzeichnis oder Sitzungsspeicher des lokalen Systems gefunden werden.
- Der Benutzer wird anfänglich vom Drittanbieter-IdP authentifiziert.
Der Richtlinienserver fragt den Drittanbieter-IdP ab. Wenn der IdP das Attribut findet, gibt er eine Abfrageantwort zurück. Der Richtlinienserver fügt die Attribute der Antwort zum Sitzungsspeicher hinzu. Das System gibt die Antwort mit den Attributen des SP zurück, der die Anwendung besitzt. Dieser SP ist der ursprüngliche Attributanforderer. - Attributabfrage signierenWeist den Attributanforderer an, die Attributabfrage zu signieren, bevor sie der Attributautorität gesendet wird.
- Signierte Antwort ist erforderlichWeist den Attributanforderer an, nur signierte Antworten zu akzeptieren.
- AttributservicesListet die URL des Attributservices der Attributautoritäten auf.Um die stellvertretende Attributautorität anzuzeigen, die auf Abfragen vom Anforderer reagiert, aktivieren Sie das entsprechende Optionsfeld.
Attributanfordererservice beim SP
Um den richtigen Wert in die Attributabfrage aufzunehmen, die der Attributanforderer an die Attributautorität sendet, konfigurieren Sie den Abschnitt "Namens-ID".
Hinweis:
Dieser Abschnitt ist nur konfigurierbar, wenn die Attributabfragefunktion aktiviert ist.Die Felder sind:
- Format der Namens-IDDefiniert das Format der Namens-ID. Dieser Wert muss mit dem Format der erwarteten Namens-ID bei der Attributverwaltung übereinstimmen. Anderenfalls schlägt die Anforderung fehl.
- Typ der Namens-IDDieses Feld definiert den Attributtyp, der für die Namens-ID verwendet wird.
- StatischGibt an, dass die Namens-ID eine statischer Wert ist, der im Feld "Wert" angegeben ist.
- BenutzerattributGibt an, dass die Namens-ID ein Benutzerattribut aus einem Benutzerspeicher ist. Das Benutzerattribut ist im Feld "Wert" angegeben.
- SitzungsattributZeigt an, dass die Namens-ID das Sitzungsspeicherattribut ist, das im Feld "Wert" angegeben ist.
- DN-AttributGibt an, dass die Namens-ID ein Attribut ist, das einem DN zugeordnet ist. Füllen Sie die Felder "Wert" und "DN-Spezifikation" aus.
- WertGibt den Wert für die Namens-ID an. Die gültigen Eingaben in diesem Feld basieren auf der Auswahl unter "Typ der Namens-ID".
- Statisch: Geben Sie den statischen Textwert ein.
- Benutzerattribut: Geben Sie den Namen eines Benutzerattributs aus einem Benutzerspeicher an.
- Sitzungsattribut: Geben Sie den Namen eines Sitzungsattributs aus dem Sitzungsspeicher des Richtlinienservers an.
- DN-Attribut: Geben Sie den Namen des Benutzerattributs an, das einem Gruppen- oder Organisationseinheit-DN zugeordnet ist. Geben Sie auch die DN-Spezifikation an.
- DN-SpezifikationGibt den Gruppen- oder Organisationseinheit-DN an, den das System verwendet, um das entsprechende DN-Attribut abzurufen.
SLO (SAML 2.0-SP)
Im SLO-Abschnitt können Sie Single Logout (SLO) konfigurieren.
Wichtig!
Aktivieren Sie das Kontrollkästchen "Dauerhafte Sitzung verwenden" im SSO-Abschnitt dieses Dialogfelds, wenn Sie SLO verwenden möchten.Dieser Bereich zeigt folgende Einstellungen an:
- SLO-BindungGibt an, ob das Single Logout-Profil auf der behauptenden Seite aktiviert ist und welche Bindung verwendet wird. Die Bindung der HTTP-Umleitung sendet SLO-Meldungen mithilfe von HTTP-GET-Anforderungen. Die SOAP-Bindung beruht nach der eigentlichen Anforderung nicht auf HTTP und sendet Meldungen über einen Backchannel.Optionen:HTTP-Redirect, HTTP-POST, SOAP
- URL der SLO-BestätigungGibt die URL an, auf die der Benutzer umgeleitet wird, wenn der Single Logout-Vorgang abgeschlossen ist. Diese Site initiiert normalerweise Single Logout. Die URL der SLO-Bestätigung muss für Ihre Site zugreifbar sein. Das Federation-System verwendet diese URL, wenn SLO auf Ihrer Site initiiert wird.Dieser Wert ist eine lokale Ressource und keine Ressource in einer föderierten Partnerdomäne. Wenn die lokale Domäne beispielsweise "acme.com" und Ihr Partner "example.com" ist, dann muss die URL der SLO-Bestätigung in "acme.com" sein.Geben Sie eine gültige URL ein.
- SLO-Gültigkeitsdauer (Sekunden)Gibt die Sekundenanzahl an, die eine SLO-Anforderung gültig ist.Standard:60SekundenOptionen:Eine positive Ganzzahl
- Relay-Status überschreibt die URL der SLO-Bestätigung (nur HTTP-Umleitung)Ersetzt den Wert für "URL der SLO-Bestätigung" mit dem Wert des Abfrageparameters "Relay-Status", der in der Single Logout-Anforderung enthalten ist.Mit diesem Kontrollkästchen haben Sie größere Kontrolle über das Bestätigungsziel für Single Logout. Mit dem Abfrageparameter "Relay-Status" können Sie die Bestätigungs-URL für SLO-Anforderungen dynamisch definieren.
- Sitzungsindex wiederverwendenGibt an, obCA Single Sign-onin einer einzelnen Browsersitzung den gleichen Sitzungsindex in der Assertion für den gleichen Partner sendet. Ein Benutzer kann mithilfe des gleichen Browserfensters mehrmals mit dem gleichen Partner föderiert werden. Wenn diese Option ausgewählt ist, wird der IdP angewiesen, den gleichen Sitzungsindex in jeder Assertion zu senden. Wenn Sie diese Option deaktivieren, dann generiertCA Single Sign-onbei jedem Single Sign-On einen neuen Sitzungsindex.Sie können diese Option aktivieren, um "Single Logout" mit Drittanbieterpartnern sicherzustellen, die den Sitzungsindex, der in neueren Assertionen übergeben wurde, nicht berücksichtigen.Hinweis:Diese Einstellung ist nur relevant, wenn "Single Logout" aktiviert ist.
- SLO-Dienst-URLsListet die verfügbaren SLO-Dienst-URLs auf. Die Tabelle enthält folgende Einträge:
- AuswählenZeigt an, dass dieser Wert den Eintrag für die SLO-Dienst-URL ist.
- BindungZeigt die Bindung für die SLO-Verbindung an.Optionen:HTTP-Redirect, HTTP-POST, SOAP
- Speicherort-URLGibt die URL des Dienstes für Single Logout beim Remote-Partner an. An diese URL wird die Single Logout-Anforderung gesendet.Optionen:Eine gültige URLWenn Ihr Federation-System beim Remote-Identity Provider verwendet wird, dann verwenden Sie folgende URLs:Bindung der HTTP-Umleitung:http://idp_host:port/affwebservices/public/saml2sloHTTP-POST-Bindung:http://idp_host:port/affwebservices/public/saml2sloSOAP-Bindung:http://idp_host:port/affwebservices/public/saml2slosoapWenn ein Federation-Produkt eines Drittanbieters beim Identity Provider ist, verwenden Sie die entsprechende URL für dieses Produkt.
- Speicherort-URL der Antwort(Optional) Gibt die URL des Dienstes für Single Logout für eine Entität an. Die Speicherort-URL der Antwort wird in einer Konfiguration verwendet, in der ein Dienst für Single Logout-Anforderungen und ein Dienst für Single Logout-Antworten vorhanden ist. Wenn nur die Speicherort-URL angegeben ist, wird sie standardmäßig für die Anforderung und die Antwort verwendet.Geben Sie eine gültige URL ein.
Backchannel (SAML 2.0-SP)
casso13de
Im Bereich "Backchannel" konfigurieren Sie die Authentifizierungsmethode über den Backchannel hinweg. Der Backchannel hat unterschiedliche Zwecke, und zwar auf Grundlage der folgenden Kriterien:
- HTTP-Artefakt-SSO ist konfiguriert.
- Single Logout mit der SOAP-Bindung ist konfiguriert.
- Ihr Federation-System ist der Identitätsanbieter oder Serviceanbieter.
- Kommunikation erfolgt über einen eingehenden oder ausgehenden Kanal.
Der Bereich "Backchannel" zeigt die folgenden Einstellungen an:
- Eingehende Konfiguration/Ausgehende KonfigurationKonfigurieren Sie einen eingehenden oder ausgehenden Backchannel nach Bedarf durch die ausgewählten Bindungen. Der Backchannel hat nur eine Konfiguration. Wenn zwei Services den gleichen Kanal verwenden, verwenden diese zwei Services die gleiche Backchannel-Konfiguration. Zum Beispiel unterstützt der eingehende Kanal für ein lokales IdP HTTP-Artefakt-SSO und SLO über SOAP. Diese zwei Services müssen die gleiche Backchannel-Konfiguration verwenden.
- AuthentifizierungsmethodeGibt die Authentifizierungsmethode an, die den Backchannel schützt.Standard:Keine AuthentifizierungOptionen: Standard, Client-Zertifikat, Keine AuthentifizierungGrundlegendZeigt an, dass ein standardmäßiges Authentifizierungsschema die Kommunikation über den Backchannel schützt.Hinweis:Wenn SSL für die Backchannel-Verbindung aktiviert ist, können Sie die Standardauthentifizierung weiterhin auswählen.Wenn Sie die Standardauthentifizierung auswählen, konfigurieren Sie die folgenden zusätzlichen Einstellungen:
- Backchannel-Benutzername(Standardauthentifizierung – nur ausgehender Kanal). Gibt den Benutzernamen des SP an, wenn die Standardauthentifizierung über den Backchannel hinweg verwendet wird. Geben Sie den Namen der Partnerschaft ein, die am Remote-IdP konfiguriert wird. Beispielsweise wird am Remote-IdP eine Partnerschaft mit dem Namen Partners1 zwischen CompanyA (IdP) und CompanyB (SP) definiert. Beim lokalen SP CompanyB geben Sie den Wert Partners1 ein, um den Benutzernamen der zugeordneten Partnerschaft am IdP zuzuordnen.
- KennwortGibt das Benutzerkennwort für den Backchannel-Benutzernamen an. Dieses Kennwort ist nur relevant, wenn Sie eine standardmäßige Authentifizierungsmethode oder eine "Basic over SSL"-Authentifizierungsmethode im Backchannel verwenden.Die zwei Partner einigen sich über dieses Kennwort.
- Kennwort bestätigenBestätigt den Kennworteintrag erneut.
- Backchannel-Zeitlimit (Sekunden)(nur ausgehender Kanal) Gibt die maximale Zeit an, die das System nach dem Senden einer Backchannel-Anforderung an den Artefakt-Auflösungsdienst auf eine Antwort wartet. Geben Sie ein Intervall in Sekunden an.Standard:300 SekundenWert:Positive Ganzzahl
- Client-ZertifikatZeigt an, dass ein Authentifizierungsschema des X.509-Client-Zertifikats die Kommunikation zum Artefakt-Auflösungsdienst über den gesamten Backchannel schützt.Für die Authentifizierung "Client-Zertifikat" muss SSL für alle Endpunkt-URLs verwendet werden. Endpunkt-URLs suchen die verschiedenen SAML-Services auf einem Server, beispielsweise den Artefakt-Auflösungsdienst. Für die SSL-Anforderung ist es erforderlich, dass die URL zum Service mithttps://beginnen muss.Um die Client-Zertifikatsauthentifizierung zu implementieren, sendet der SP der behauptenden Seite ein Zertifikat, bevor andere Transaktionen ausgeführt werden. Die behauptende Seite speichert das Zertifikat in ihrer Datenbank. Beide Partner müssen über das Zertifikat verfügen, das die SSL-Verbindung in ihren jeweiligen Datenbanken aktiviert hat. Andernfalls funktioniert die Client-Zertifikatsauthentifizierung nicht.Während des Authentifizierungsprozesses sendet die vertrauende Seite ihr Zertifikat der behauptenden Seite. Die behauptende Seite vergleicht das empfangene Zertifikat mit dem Zertifikat in ihrer Datenbank, um zu überprüfen, ob sie übereinstimmen. Wenn eine Übereinstimmung vorliegt, lässt die behauptende Seite die vertrauende Seite auf den Artefakt-Auflösungsdienst zugreifen.Wenn Sie die Authentifizierung "Client-Zertifikat" auswählen, konfigurieren Sie folgende zusätzliche Einstellung:
- Client-Zertifikats-AliasGibt den Alias an, der einem Client-Zertifikat in der Schlüsseldatenbank zugeordnet ist. Wählen Sie den Alias aus der Drop-down-Liste aus.
- Backchannel-Zeitlimit (Sekunden)(nur ausgehender Kanal). Gibt die maximale Zeit an, dieCA Single Sign-onnach dem Senden einer Backchannel-Anforderung an den Artefakt-Auflösungsdienst auf eine Antwort wartet. Geben Sie ein Intervall in Sekunden an.Standard:300 SekundenWert:Positive Ganzzahl
- Keine AuthentifizierungZeigt an, dass die vertrauende Seite nicht erforderlich ist, um Anmeldeinformationen bereitzustellen. Der Backchannel und der Artefakt-Auflösungsdienst sind nicht gesichert. Sie können SSL weiterhin mit dieser Option aktivieren. Der Backchannel-Datenverkehr wird verschlüsselt, es werden jedoch keine Anmeldeinformationen zwischen den Parteien ausgetauscht.Wählen Sie "NoAuth" für Testzwecke, aber nicht für die Produktion aus, außer wenn Ihr Federation-System für ein SSL-aktiviertes Failover konfiguriert ist und es sich hinter einem Proxyserver befindet. Der Proxyserver verarbeitet die Authentifizierung, wenn er über das Serverzertifikat verfügt. In diesem Fall verwenden alle IdP:SP-Partnerschaften "NoAuth" als den Authentifizierungstypen.