Exportieren von Metadaten von einem lokalen SAML 2.0-SP

Inhalt
casso13de
HID_export-local-relying-partnership
Inhalt
Im Dialogfeld "Metadaten exportieren" können Sie einen Eintrag in der Liste "Federation-Partnerschaft" oder in der Liste "Federation-Entität" auswählen und Partnerschaften und lokale Entitätsdaten in eine Metadatendatei exportieren. Diese Datei kann dann importiert werden, um Partnerschaften auf der anderen Site zu erstellen.
Metadaten basieren auf der Entitätsebene, da SAML keine Partnerschaften erkennt. Allerdings ist das Erstellen einer Partnerschaft das Endziel bei der Verwendung von Metadaten.
Hinweis:
Obwohl der Metadatendatei Daten auf Partnerschaftsebene hinzugefügt werden, erfassen Metadaten nur eine Teilmenge der erforderlichen Daten für eine Partnerschaft.
Das Dialogfeld zeigt folgende Informationen an, die in der exportierten Metadatendatei eingeschlossen sind:
Sie können die Daten ändern, indem Sie die Partnerschaft oder die Entität ändern, bevor die Daten exportiert werden.
Identifizierung (SAML 2.0-SP exportieren)
casso13de
Der Abschnitt "Identifizierung" benennt die Partnerschaft, aus der exportiert werden soll.
Wenn Metadaten aus einer Entität exportiert werden, erstellt
CA Single Sign-on
automatisch eine standardmäßige Partnerschaft für den Export. Die standardmäßige Partnerschaft wird aus folgenden Gründen erstellt:
  • Einige Metadatenelemente sind kein Teil der Entitätsvorlage und sind nur in der Partnerschaft vorhanden.
  • Nach dem Exportieren haben Sie eine Partnerschaft, die mit den exportierten Metadaten übereinstimmt, die Sie später verwenden können, um die Partnerschaftskonfiguration fertigzustellen.
Hinweis:
Wenn Sie eine Partnerschaft exportieren und die lokale Entität der Partnerschaft eine behauptende Seite ist, dann wird das Dialogfeld "Metadaten exportieren" angezeigt. Allerdings sind die Felder "Partnerschaftsname" und "Beschreibung" schreibgeschützt, weil sie bereits für die Partnerschaft definiert wurden.
Der Abschnitt enthält folgende Einstellungen:
  • Partnerschaftsname
    Identifiziert eine neue Partnerschaft mit einem eindeutigen Namen.
    Ein Partnerschaftsname ist erforderlich, wenn Metadaten exportiert werden. Daten auf Partnerschaftsebene sind erforderlich, um eine vollständige Metadatendatei zu erstellen. Metadaten basieren auf der Entitätsebene, da Partnerschaftskonzepte
    CA Single Sign-on
    -spezifisch sind. Allerdings ist das Erstellen einer Partnerschaft das Endziel bei der Verwendung von Metadaten.
    Hinweis
    Obwohl der Metadatendatei Daten auf Partnerschaftsebene hinzugefügt werden, erfassen Metadaten nur eine Teilmenge der erforderlichen Daten für eine Partnerschaft.
    Wert:
    Alphanumerische Zeichenfolge. Sie können auch Bindestriche, Unterstriche und Punkte verwenden.
  • Beschreibung
    Beschreibt die Partnerschaft.
    Wert:
    Alphanumerische Zeichenfolge
  • Lokaler Entitätsname
    Zeigt den Namen der vorhandenen Entität an, aus der die Metadaten exportiert werden. Dieser Wert ist ein schreibgeschützter Text, der von der Entität entnommen wird, die für den Export ausgewählt wurde.
URL des Assertionskonsumdienstes (SAML 2.0-SP exportieren)
Im Dialogfeld "URL des Assertionskonsumdienstes" konfigurieren Sie den Dienst beim SP, der die Assertionen verbraucht.
Die Einstellungen sind:
  • Standort
    Legt die URL des Assertionskonsumdienstes beim SP fest.
    Standard:
    http://
    sp_host:port
    /affwebservices/public/saml2assertionconsumer
    Wert
    :
    CA Single Sign-on
    berechnet diese URL. Der Wert kann nicht geändert werden.
  • Aktivierte Bindungen
    Gibt die SAML-Bindung an, die von dieser Entität für Single Sign-On verwendet wird. Wählen Sie eine verfügbare Bindung aus.
    Optionen:
    "HTTP-Artefakt", "HTTP-POST"
    Die behauptende Seite kann Single Sign-On mit einer unaufgeforderten Anforderung initiieren. Anforderungen, die den Abfrageparameter "ProtocolBinding" enthalten, überschreiben den Wert, den Sie für dieses Feld auswählen.
SLO-Dienst-URLs (SAML 2.0-SP exportieren)
Der Abschnitt "SLO-Dienst-URLs" zeigt den Speicherort des Dienstes beim SP an. Die Einstellungen sind:
  • Speicherort der HTTP-Umleitung
    Gibt die URL des Dienstes für Single Logout auf der vertrauenden Seite an. Der Standard-URL ist:
    http://
    sp_server:port
    /affwebservices/public/saml2slo
    Einschränkung
    :
    CA Single Sign-on
    berechnet diese URL. Der Wert kann nicht geändert werden.
  • SOAP-Speicherort
    Legt die URL des Dienstes für Single Logout auf der behauptenden Seite fest.
    Standard
    : http://
    idp_server:port
    /affwebservices/public/saml2slosoap
    idp_server:port
    Gibt den Server und die Portnummer auf der behauptenden Seite an, die die Federation hostet.
  • SLO-Umleitung aktiviert
    Gibt an, ob die Umleitung die Single Logout-Bindung für diese Entität ist.
    Optionen:
    Ja, Nein
  • SLO-SOAP aktiviert
    Gibt an, ob SOAP die Single Logout-Bindung für diese Entität ist.
    Optionen:
    Ja, Nein
Signatur- und Verschlüsselungsoptionen (SAML 2.0-SP exportieren)
Der Abschnitt "Signatur- und Verschlüsselungsoptionen" definiert das Signatur- und Verschlüsselungsverhalten. Die Einstellungen sind:
  • Überprüfungs- und Signatur-Alias
    (Optional) Gibt den Alias an, der einem spezifischen Schlüssel-/Zertifikatspaar im Zertifikatsdatenspeicher, der für die Signatur und die Prüfung verwendet wird, zugeordnet ist. Wenn die Metadatendatei generiert wird, dann wird nur das Zertifikat dieses Paares in die Metadatendatei eingeschlossen. Wenn diese Metadatendatei auf der Remote-Site importiert wird, um eine neue vertrauende Entität zu erstellen, dann wird das Zertifikat in den Datenspeicher importiert. Die behauptende Seite verwendet dieses Zertifikat, um die Signatur zu überprüfen, die verwendet wird, um Authentifizierungsanforderungen und Single Logout-Antworten von der lokalen vertrauenden Entität zu signieren.
    Wert:
    Eine alphanumerische Zeichenfolge
  • Verschlüsselungs- und Entschlüsselungs-Alias
    (Optional) Gibt den Alias an, der einem spezifischen Schlüssel-/Zertifikatspaar im Zertifikatsdatenspeicher der lokalen Entität, der für die Verschlüsselung und Entschlüsselung verwendet wird, zugeordnet ist. Wenn die Metadatendatei generiert wird, dann wird nur das Zertifikat dieses Paares in die Metadatendatei eingeschlossen. Nachdem die Metadatendatei auf der Remote-Site importiert wurde, um eine neue vertrauende Entität zu erstellen, wird das Zertifikat in den Zertifikatsdatenspeicher importiert. Die vertrauende Remote-Seite verwendet dieses Zertifikat, um Daten zu verschlüsseln.
    Wert:
    Eine alphanumerische Zeichenfolge
  • Authentifizierungsanforderungen signieren
    Gibt in der Metadatendatei an, dass die lokale Seite AuthnRequest-Meldungen signieren muss.
 
Optionen für Metadatenexport (lokaler SP)
casso13de
Die Optionen für Metadatenexport geben Merkmale für die Metadatendatei an. Die Einstellungen sind:
  • Dokumentsignatur-Alias
    Identifiziert den Alias für den Schlüssel, der das Metadatendokument zur sicheren Kommunikation mit dem Remote-Partner signiert. Wählen Sie einen Alias aus der Liste aus.
    Wert
    : Ein Alias aus der Pull-down-Liste.
  • Algorithmus der Dokumentsignatur
    Zeigt den Algorithmus an, den das System verwendet, um das Metadatendokument zu signieren.
    Standard
    : RSAwithSHA1
    Optionen
    : "RSAwithSHA1", "RSAwithSHA256"
  • Gültige Tage
    Zeigt die Anzahl der Tage an, die das Metadatendokument gültig ist.
    Standardwert
    : 0
    Wert
    : Eine Ganzzahl von 0 bis 9999