Exportieren von Metadaten von einem lokalen SAML 2.0-IdP
Inhalt
casso13de
HID_export-local-asserting-partnership
Inhalt
Im Dialogfeld "Metadaten exportieren" können Sie eine Partnerschaft oder einen Eintrag der lokalen Entität auswählen und die Daten in eine Metadatendatei exportieren. Die vertrauende Seite kann dann die Datei importieren und Partnerschaften erstellen.
Metadaten basieren auf der Entitätsebene, da SAML keine Partnerschaften erkennt. Allerdings ist das Erstellen einer Partnerschaft das Endziel bei der Verwendung von Metadaten.
Hinweis
: Obwohl der Metadatendatei Daten auf Partnerschaftsebene hinzugefügt werden, erfassen Metadaten nur eine Teilmenge der erforderlichen Daten für eine Partnerschaft.Das Dialogfeld zeigt folgende Informationen an, die in eine Metadatendatei exportiert werden:
Sie können die Daten ändern, indem Sie die Partnerschaft oder die Entität ändern, bevor die Daten exportiert werden.
Identifizierung (SAML 2.0-IdP exportieren)
casso13de
Der Abschnitt "Identifizierung" benennt die Partnerschaft, aus der exportiert werden soll.
Wenn Metadaten aus einer Entität exportiert werden, erstellt
CA Single Sign-on
automatisch eine standardmäßige Partnerschaft für den Export. Die standardmäßige Partnerschaft wird aus folgenden Gründen erstellt:- Einige Metadatenelemente sind kein Teil der Entitätsvorlage und sind nur in der Partnerschaft vorhanden.
- Nach dem Exportieren haben Sie eine Partnerschaft, die mit den exportierten Metadaten übereinstimmt, die Sie später verwenden können, um die Partnerschaftskonfiguration fertigzustellen.
Hinweis:
Wenn Sie eine Partnerschaft exportieren und die lokale Entität der Partnerschaft eine behauptende Seite ist, dann wird das Dialogfeld "Metadaten exportieren" angezeigt. Allerdings sind die Felder "Partnerschaftsname" und "Beschreibung" schreibgeschützt, weil sie bereits für die Partnerschaft definiert wurden.Der Abschnitt enthält folgende Einstellungen:
- PartnerschaftsnameIdentifiziert eine neue Partnerschaft mit einem eindeutigen Namen.Ein Partnerschaftsname ist erforderlich, wenn Metadaten exportiert werden. Daten auf Partnerschaftsebene sind erforderlich, um eine vollständige Metadatendatei zu erstellen. Metadaten basieren auf der Entitätsebene, da PartnerschaftskonzepteCA Single Sign-on-spezifisch sind. Allerdings ist das Erstellen einer Partnerschaft das Endziel bei der Verwendung von Metadaten.HinweisObwohl der Metadatendatei Daten auf Partnerschaftsebene hinzugefügt werden, erfassen Metadaten nur eine Teilmenge der erforderlichen Daten für eine Partnerschaft.Wert:Alphanumerische Zeichenfolge. Sie können auch Bindestriche, Unterstriche und Punkte verwenden.
- BeschreibungBeschreibt die Partnerschaft.Wert:Alphanumerische Zeichenfolge
- Lokaler EntitätsnameZeigt den Namen der vorhandenen Entität an, aus der die Metadaten exportiert werden. Dieser Wert ist ein schreibgeschützter Text, der von der Entität entnommen wird, die für den Export ausgewählt wurde.
URL der Artefakt-Auflösung (SAML 2.0-IdP exportieren)
Im Abschnitt "URL der Artefakt-Auflösung" konfigurieren Sie den Dienst beim Identity Provider, der die Assertion abruft. Assertionsabruf basiert das Artefakt, das der Identity Provider vom Service Provider erhält.
Die Einstellungen sind:
- StandortGibt die URL des Artefakt-Auflösungsdienstes beim IdP an. Dieser Wert kann nicht bearbeitet werden.Standard:http://idp_server:port/affwebservices/public/saml2ars
- ARS aktiviertAktiviert und deaktiviert den Export der URL des Artefakt-Auflösungsdienstes. Wenn Sie dieses Kontrollkästchen auswählen, wird die URL exportiert. Wenn das Kontrollkästchen deaktiviert ist, wird festgelegt, dass der Artefakt-Auflösungsdienst nicht für diese Partnerschaft verwendet wird.Optionen:Ja, Nein
SSO-Dienst-URLs (SAML 2.0-IdP)
Der Abschnitt "SSO-Dienst-URL" gibt den Speicherort des Dienstes auf der behauptenden Seite an. Die Einstellungen sind:
- StandortGibt die URL des Dienstes für Single Sign-On auf der behauptenden Seite an.Standard:http://idp_server:port/affwebservices/public/saml2ssoidp_server:portGibt den Server und die Portnummer auf der behauptenden Seite an, die die Federation hostet.Wert:Diese URL stellt nur die lokale Entität dar, dieCA SiteMinder® Federationin diesem Fall steuert.CA Single Sign-onberechnet diese URL.
- Bindung der AuthentifizierungsanforderungGibt an, dass die Bindung der HTTP-Umleitung für Single Sign-On verwendet wird. Dieses Kontrollkästchen wird zu Informationszwecken angezeigt. Der Wert kann nicht geändert werden.Wert:HTTP-Redirect, HTTP-POST
SLO-Dienst-URLs (SAML 2.0-IdP)
Der Abschnitt "SLO-Dienst-URLs" zeigt den Speicherort des Dienstes beim Identity Provider an. Die Einstellungen sind:
- Speicherort der HTTP-UmleitungGibt die URL des Dienstes für Single Logout beim Identity Provider an.Standard:http://idp_server:port/affwebservices/public/saml2sloidp_server:portGibt den Server und die Portnummer beim Identity Provider an, der die Federation hostet.Wert:CA Single Sign-onsteuert in diesem Fall die lokale Entität, sodass diese URL berechnet wird.
- SOAP-SpeicherortLegt die URL des Dienstes für Single Logout beim Identity Provider fest.Standard:http://idp_server:port/affwebservices/public/saml2slosoapidp_server:portGibt den Server und die Portnummer beim Identity Provider an, der die Federation hostet.
- SLO-Umleitung aktiviertGibt an, ob die Umleitung die Single Logout-Bindung für diese Entität ist.Optionen:Ja, Nein
- SLO-SOAP aktiviertGibt an, ob SOAP die Single Logout-Bindung für diese Entität ist.Optionen: Ja, Nein
URL des Remote-Attributservice (SAML 2.0-IdP exportieren)
Der Abschnitt "URLs des Remote-Attributservice" enthält Informationen zum Attributservice beim Identity Provider. Dieser Service reagiert auf Attributabfragen.
- StandortGibt die URL des Attributservice beim Identity Provider an.Standard:http://idp_server:port/affwebservices/public/saml2attrsvcidp_server:portGibt den Server und die Portnummer beim Identity Provider an, der die Federation hostet.Wert:Der Richtlinienserver steuert in diesem Fall die lokale Entität, sodass diese URL berechnet wird.
- Attributservice aktiviertZeigt an, ob der Attributservice aktiviert ist.Standard:No
Signatur- und Verschlüsselungsoptionen (SAML 2.0-IdP exportieren)
Der Abschnitt "Signatur- und Verschlüsselungsoptionen" definiert das Signatur- und Verschlüsselungsverhalten. Die Einstellungen sind:
- Überprüfungs- und Signatur-Alias(Optional) Gibt den Alias an, der einem spezifischen Schlüssel-/Zertifikatspaar im Zertifikatsdatenspeicher der lokalen Entität, der für die Signatur und die Prüfung verwendet wird, zugeordnet ist. Wenn die Metadatendatei generiert wird, dann wird nur das Zertifikat dieses Paares in die Metadatendatei eingeschlossen. Wenn diese Metadatendatei auf der Remote-Site importiert wird, um einen Identity Provider zu erstellen, dann wird das Zertifikat in den Zertifikatsdatenspeicher importiert. Der Remote-SP verwendet dieses Zertifikat, um die Signatur zu prüfen, die verwendet wird, um Assertionen und Single Logout-Antworten in dieser Partnerschaft zu signieren.Wert:Eine alphanumerische Zeichenfolge
- Signierte Authentifizierungsanforderungen sind erforderlichGibt in der Metadatendatei an, dass der Remote-SP AuthnRequest-Meldungen signieren muss.Optionen:Ja, Nein
Unterstützte Namens-ID und Attribute (SAML 2.0-IdP exportieren)
casso13de
Der Abschnitt "Unterstützte Namens-ID und Attribute" erstellt das Attribut, das für die Namens-ID in der Assertion verwendet wird.
- Unterstützte Formate der Namens-IDLegt das Format der Namenskennung fest, die die Partnerschaft verwendet.
- Unterstützte AssertionsattributeLegt die Benutzerverzeichnisattribute fest, die in der Metadatendatei eingeschlossen werden.Die Tabelle enthält folgende Informationen:
- AttributGibt die Attribute an, die der Assertion hinzugefügt wurden.
- AbrufmethodeGibt die geplante Verwendung des Attributs an. Mögliche Werte:
- SSO: Gibt an, dass das Attribut für Single Sign-On verwendet wird.
- Attributservice: Gibt an, dass die Attributautorität das Attribut verwendet, um auf Attributabfragen zu reagieren.
- Beides: Gibt an, dass das Attribut sowohl für Single Sign-On als auch von der Attributautorität verwendet wird.
- FormatLegt das Format des Assertionsattributs fest.
- TypLegt den Typ des Wertes fest, der für den Wert "Namens-ID" verwendet wird. Mögliche Werte:Statisch:Das Attribut ist ein konstanter Wert, den Sie in der Spalte "Wert" angeben.Benutzerattribut:Eine Abfrage an ein Benutzerverzeichnis, das in der Spalte "Wert" angegeben ist, legt dieses Attribut fest.DN-Attribut: Das Attribut ist ein DN-Attribut, das Sie in den Feldern "Wert" und "DN-Spezifikation" angeben.
- WertGibt den statischen Textwert oder den Benutzerattributwert bzw. den DN-Attributwert an.
- DN-SpezifikationGibt den Gruppen- oder Organisationseinheits-DN an, den das System verwendet, um das zugeordnete Attribut abzurufen, das als Namenskennung verwendet wird.
Optionen für Metadatenexport (SAML 2.0)
casso13de
Die Optionen für Metadatenexport geben Merkmale für die Metadatendatei an. Die Einstellungen sind:
- Dokumentsignatur-AliasIdentifiziert den Alias für den Schlüssel, der das Metadatendokument zur sicheren Kommunikation mit dem Remote-Partner signiert. Wählen Sie einen Alias aus der Liste aus.Wert: Ein Alias aus der Pull-down-Liste.
- Algorithmus der DokumentsignaturZeigt den Algorithmus an, den das System verwendet, um das Metadatendokument zu signieren.Standard: RSAwithSHA1Optionen: "RSAwithSHA1", "RSAwithSHA256"
- Gültige TageZeigt die Anzahl der Tage an, die das Metadatendokument gültig ist.Standardwert: 0Wert: Eine Ganzzahl von 0 bis 9999