Exportieren von Metadaten von einem lokalen SAML 2.0-IdP

Inhalt
casso126figsbrde
HID_export-local-asserting-partnership
Inhalt
Im Dialogfeld "Metadaten exportieren" können Sie eine Partnerschaft oder einen Eintrag der lokalen Entität auswählen und die Daten in eine Metadatendatei exportieren. Die vertrauende Seite kann dann die Datei importieren und Partnerschaften erstellen.
Metadaten basieren auf der Entitätsebene, da SAML keine Partnerschaften erkennt. Allerdings ist das Erstellen einer Partnerschaft das Endziel bei der Verwendung von Metadaten.
Hinweis:
Obwohl der Metadatendatei Daten auf Partnerschaftsebene hinzugefügt werden, erfassen Metadaten nur eine Teilmenge der erforderlichen Daten für eine Partnerschaft.
Das Dialogfeld zeigt folgende Informationen an, die in eine Metadatendatei exportiert werden:
Sie können die Daten ändern, indem Sie die Partnerschaft oder die Entität ändern, bevor die Daten exportiert werden.
Identifizierung (SAML 2.0-IdP exportieren)
casso126figsbrde
Der Abschnitt "Identifizierung" benennt die Partnerschaft, aus der exportiert werden soll.
Wenn Metadaten aus einer Entität exportiert werden, erstellt
CA Single Sign-on
automatisch eine standardmäßige Partnerschaft für den Export. Die standardmäßige Partnerschaft wird aus folgenden Gründen erstellt:
  • Einige Metadatenelemente sind kein Teil der Entitätsvorlage und sind nur in der Partnerschaft vorhanden.
  • Nach dem Exportieren haben Sie eine Partnerschaft, die mit den exportierten Metadaten übereinstimmt, die Sie später verwenden können, um die Partnerschaftskonfiguration fertigzustellen.
Hinweis:
Wenn Sie eine Partnerschaft exportieren und die lokale Entität der Partnerschaft eine behauptende Seite ist, dann wird das Dialogfeld "Metadaten exportieren" angezeigt. Allerdings sind die Felder "Partnerschaftsname" und "Beschreibung" schreibgeschützt, weil sie bereits für die Partnerschaft definiert wurden.
Der Abschnitt enthält folgende Einstellungen:
  • Partnerschaftsname
    Identifiziert eine neue Partnerschaft mit einem eindeutigen Namen.
    Ein Partnerschaftsname ist erforderlich, wenn Metadaten exportiert werden. Daten auf Partnerschaftsebene sind erforderlich, um eine vollständige Metadatendatei zu erstellen. Metadaten basieren auf der Entitätsebene, da Partnerschaftskonzepte
    CA Single Sign-on
    -spezifisch sind. Allerdings ist das Erstellen einer Partnerschaft das Endziel bei der Verwendung von Metadaten.
    Hinweis
    Obwohl der Metadatendatei Daten auf Partnerschaftsebene hinzugefügt werden, erfassen Metadaten nur eine Teilmenge der erforderlichen Daten für eine Partnerschaft.
    Wert:
    Alphanumerische Zeichenfolge. Sie können auch Bindestriche, Unterstriche und Punkte verwenden.
  • Beschreibung
    Beschreibt die Partnerschaft.
    Wert:
    Alphanumerische Zeichenfolge
  • Lokaler Entitätsname
    Zeigt den Namen der vorhandenen Entität an, aus der die Metadaten exportiert werden. Dieser Wert ist ein schreibgeschützter Text, der von der Entität entnommen wird, die für den Export ausgewählt wurde.
URL der Artefakt-Auflösung (SAML 2.0-IdP exportieren)
Im Abschnitt "URL der Artefakt-Auflösung" konfigurieren Sie den Dienst beim Identity Provider, der die Assertion abruft. Assertionsabruf basiert das Artefakt, das der Identity Provider vom Service Provider erhält.
Die Einstellungen sind:
  • Standort
    Gibt die URL des Artefakt-Auflösungsdienstes beim IdP an. Dieser Wert kann nicht bearbeitet werden.
    Standard:
    http://
    idp_server:port
    /affwebservices/public/saml2ars
  • ARS aktiviert
    Aktiviert und deaktiviert den Export der URL des Artefakt-Auflösungsdienstes. Wenn Sie dieses Kontrollkästchen auswählen, wird die URL exportiert. Wenn das Kontrollkästchen deaktiviert ist, wird festgelegt, dass der Artefakt-Auflösungsdienst nicht für diese Partnerschaft verwendet wird.
    Optionen:
    Ja, Nein
SSO-Dienst-URLs (SAML 2.0-IdP)
Der Abschnitt "SSO-Dienst-URL" gibt den Speicherort des Dienstes auf der behauptenden Seite an. Die Einstellungen sind:
  • Standort
    Gibt die URL des Dienstes für Single Sign-On auf der behauptenden Seite an.
    Standard:
    http://
    idp_server:port
    /affwebservices/public/saml2sso
    idp_server:port
    Gibt den Server und die Portnummer auf der behauptenden Seite an, die die Federation hostet.
    Wert:
    Diese URL stellt nur die lokale Entität dar, die
    CA SiteMinder® Federation
    in diesem Fall steuert.
    CA Single Sign-on
    berechnet diese URL.
  • Bindung der Authentifizierungsanforderung
    Gibt an, dass die Bindung der HTTP-Umleitung für Single Sign-On verwendet wird. Dieses Kontrollkästchen wird zu Informationszwecken angezeigt. Der Wert kann nicht geändert werden.
    Wert:
    HTTP-Redirect, HTTP-POST
SLO-Dienst-URLs (SAML 2.0-IdP)
Der Abschnitt "SLO-Dienst-URLs" zeigt den Speicherort des Dienstes beim Identity Provider an. Die Einstellungen sind:
  • Speicherort der HTTP-Umleitung
    Gibt die URL des Dienstes für Single Logout beim Identity Provider an.
    Standard:
    http://
    idp_server:port
    /affwebservices/public/saml2slo
    idp_server:port
    Gibt den Server und die Portnummer beim Identity Provider an, der die Federation hostet.
    Wert:
    CA Single Sign-on
    steuert in diesem Fall die lokale Entität, sodass diese URL berechnet wird.
  • SOAP-Speicherort
    Legt die URL des Dienstes für Single Logout beim Identity Provider fest.
    Standard:
    http://
    idp_server:port
    /affwebservices/public/saml2slosoap
    idp_server:port
    Gibt den Server und die Portnummer beim Identity Provider an, der die Federation hostet.
  • SLO-Umleitung aktiviert
    Gibt an, ob die Umleitung die Single Logout-Bindung für diese Entität ist.
    Optionen:
    Ja, Nein
  • SLO-SOAP aktiviert
    Gibt an, ob SOAP die Single Logout-Bindung für diese Entität ist.
    Optionen:
    Ja, Nein
URL des Remote-Attributservice (SAML 2.0-IdP exportieren)
Der Abschnitt "URLs des Remote-Attributservice" enthält Informationen zum Attributservice beim Identity Provider. Dieser Service reagiert auf Attributabfragen.
  • Standort
    Gibt die URL des Attributservice beim Identity Provider an.
    Standard:
    http://
    idp_server:port
    /affwebservices/public/saml2attrsvc
    idp_server:port
    Gibt den Server und die Portnummer beim Identity Provider an, der die Federation hostet.
    Wert:
    Der Richtlinienserver steuert in diesem Fall die lokale Entität, sodass diese URL berechnet wird.
  • Attributservice aktiviert
    Zeigt an, ob der Attributservice aktiviert ist.
    Standard:
    No
Signatur- und Verschlüsselungsoptionen (SAML 2.0-IdP exportieren)
Der Abschnitt "Signatur- und Verschlüsselungsoptionen" definiert das Signatur- und Verschlüsselungsverhalten. Die Einstellungen sind:
  • Überprüfungs- und Signatur-Alias
    (Optional) Gibt den Alias an, der einem spezifischen Schlüssel-/Zertifikatspaar im Zertifikatsdatenspeicher der lokalen Entität, der für die Signatur und die Prüfung verwendet wird, zugeordnet ist. Wenn die Metadatendatei generiert wird, dann wird nur das Zertifikat dieses Paares in die Metadatendatei eingeschlossen. Wenn diese Metadatendatei auf der Remote-Site importiert wird, um einen Identity Provider zu erstellen, dann wird das Zertifikat in den Zertifikatsdatenspeicher importiert. Der Remote-SP verwendet dieses Zertifikat, um die Signatur zu prüfen, die verwendet wird, um Assertionen und Single Logout-Antworten in dieser Partnerschaft zu signieren.
    Wert:
    Eine alphanumerische Zeichenfolge
  • Signierte Authentifizierungsanforderungen sind erforderlich
    Gibt in der Metadatendatei an, dass der Remote-SP AuthnRequest-Meldungen signieren muss.
    Optionen:
    Ja, Nein
Unterstützte Namens-ID und Attribute (SAML 2.0-IdP exportieren)
casso126figsbrde
Der Abschnitt "Unterstützte Namens-ID und Attribute" erstellt das Attribut, das für die Namens-ID in der Assertion verwendet wird.
  • Unterstützte Formate der Namens-ID
    Legt das Format der Namenskennung fest, die die Partnerschaft verwendet.
  • Unterstützte Assertionsattribute
    Legt die Benutzerverzeichnisattribute fest, die in der Metadatendatei eingeschlossen werden.
    Die Tabelle enthält folgende Informationen:
    • Attribut
      Gibt die Attribute an, die der Assertion hinzugefügt wurden.
    • Abrufmethode
      Gibt die geplante Verwendung des Attributs an. Mögliche Werte:
      • SSO: Gibt an, dass das Attribut für Single Sign-On verwendet wird.
      • Attributservice: Gibt an, dass die Attributautorität das Attribut verwendet, um auf Attributabfragen zu reagieren.
      • Beides: Gibt an, dass das Attribut sowohl für Single Sign-On als auch von der Attributautorität verwendet wird.
    • Format
      Legt das Format des Assertionsattributs fest.
    • Typ
      Legt den Typ des Wertes fest, der für den Wert "Namens-ID" verwendet wird. Mögliche Werte:
      Statisch:
      Das Attribut ist ein konstanter Wert, den Sie in der Spalte "Wert" angeben.
      Benutzerattribut:
      Eine Abfrage an ein Benutzerverzeichnis, das in der Spalte "Wert" angegeben ist, legt dieses Attribut fest.
      DN-Attribut
      : Das Attribut ist ein DN-Attribut, das Sie in den Feldern "Wert" und "DN-Spezifikation" angeben.
    • Wert
      Gibt den statischen Textwert oder den Benutzerattributwert bzw. den DN-Attributwert an.
    • DN-Spezifikation
      Gibt den Gruppen- oder Organisationseinheits-DN an, den das System verwendet, um das zugeordnete Attribut abzurufen, das als Namenskennung verwendet wird.
Optionen für Metadatenexport (SAML 2.0)
Die Optionen für Metadatenexport geben Merkmale für die Metadatendatei an. Die Einstellungen sind:
  • Dokumentsignatur-Alias
    Identifiziert den Alias für den Schlüssel, der das Metadatendokument zur sicheren Kommunikation mit dem Remote-Partner signiert. Wählen Sie einen Alias aus der Liste aus.
    Wert:
    Ein Alias aus der Pull-down-Liste.
  • Algorithmus der Dokumentsignatur
    Zeigt den Algorithmus an, den das System verwendet, um das Metadatendokument zu signieren.
    Standard
    : RSAwithSHA1
    Optionen
    : "RSAwithSHA1", "RSAwithSHA256"
  • Gültige Tage
    Zeigt die Anzahl der Tage an, die das Metadatendokument gültig ist. 
    Standardwert:
    0
    Wert:
    Eine Ganzzahl von 0 bis 9999
  • Zwischenspeicherdauer
    Die Zeitdauer, die die Metadaten auf dem lokalen Server der Entität, die Metadaten verwendet, zwischengespeichert werden können. Entitäten müssen nach Ablauf dieser Zeit die Metadaten neu laden.