SAML 1.x - Eigenschaften des Authentifizierungsschemas
Inhalt
casso127figsbrde
Inhalt
Authentifizierungsschema - Vorlage für SAML-Artefakt
Sie können das Authentifizierungsschema des SAML-Artefakts für SAML 1.x konfigurieren. Nachdem das Schema konfiguriert wurde, können Sie es einem Bereich zuweisen.
casso127figsbrde
Der Bereich "Allgemein" und "Allgemeines Schema-Setup" des Dialogfelds "Authentifizierungsschema" enthält die folgenden Felder:
- NameBezeichnet einen Namen für das Authentifizierungsschema.Hinweis:Wenn Active Directory-Anwendungsmodus (ADAM) als Richtlinienspeicher verwendet wird, beträgt die maximale Länge für den Authentifizierungsschemanamen 22 Zeichen.
- BeschreibungGibt eine Beschreibung des Authentifizierungsschemas an.
Das allgemeine Schema-Setup bestimmt das Authentifizierungsschema. Dieser Teil des allgemeinen Bereichs enthält die folgenden Felder:
- Typ des AuthentifizierungsschemasGibt die Vorlage an, die Sie für das Authentifizierungsschema verwenden.
- SchutzebeneErlaubt Single Sign-On für Authentifizierungsschemen mit den gleichen oder niedrigeren Schutzebenen innerhalb der gleichen Richtliniendomäne. Die Schutzebene erfordert auch zusätzliche Authentifizierung, um auf Ressourcen mit höheren Schemen der Schutzebene zuzugreifen.Grenze:1 und 1.000.Authentifizierungsschemen haben eine standardmäßige Schutzebene, die Sie ändern können. Verwenden Sie hohe Schutzebenen für kritische Ressourcen, und verwenden Sie Schemen mit niedrigeren Ebenen für allgemein zugreifbare Ressourcen.
- Kennwortrichtlinien, die für dieses Authentifizierungsschema aktiviert sindZeigt an, dass konfigurierte Kennwortrichtlinien dem Authentifizierungsschema zugeordnet sind.
Konfigurieren Sie die Details des Schemas im Abschnitt Schema-Setup des Dialogfelds.
Authentifizierungsschema - Vorlage für SAML-POST
Sie können das SAML-POST-Authentifizierungsschema für das SAML 1.x-POST-Profil konfigurieren. Nachdem Sie das Authentifizierungsschema konfiguriert haben, weisen Sie es einem Bereich zu.
casso127figsbrde
Der Bereich "Allgemein" und "Allgemeines Schema-Setup" des Dialogfelds "Authentifizierungsschema" enthält die folgenden Felder:
- NameBezeichnet einen Namen für das Authentifizierungsschema.Hinweis:Wenn Active Directory-Anwendungsmodus (ADAM) als Richtlinienspeicher verwendet wird, beträgt die maximale Länge für den Authentifizierungsschemanamen 22 Zeichen.
- BeschreibungGibt eine Beschreibung des Authentifizierungsschemas an.
Das allgemeine Schema-Setup bestimmt das Authentifizierungsschema. Dieser Teil des allgemeinen Bereichs enthält die folgenden Felder:
- Typ des AuthentifizierungsschemasGibt die Vorlage an, die Sie für das Authentifizierungsschema verwenden.
- SchutzebeneErlaubt Single Sign-On für Authentifizierungsschemen mit den gleichen oder niedrigeren Schutzebenen innerhalb der gleichen Richtliniendomäne. Die Schutzebene erfordert auch zusätzliche Authentifizierung, um auf Ressourcen mit höheren Schemen der Schutzebene zuzugreifen.Grenze:1 und 1.000.Authentifizierungsschemen haben eine standardmäßige Schutzebene, die Sie ändern können. Verwenden Sie hohe Schutzebenen für kritische Ressourcen, und verwenden Sie Schemen mit niedrigeren Ebenen für allgemein zugreifbare Ressourcen.
- Kennwortrichtlinien, die für dieses Authentifizierungsschema aktiviert sindZeigt an, dass konfigurierte Kennwortrichtlinien dem Authentifizierungsschema zugeordnet sind.
Konfigurieren Sie die Details des Schemas im Abschnitt Schema-Setup des Dialogfelds.
Authentifizierungsschema - Vorlage für SAML-Artefakt - Schema-Setup
Im Abschnitt "Schema-Setup" des SAML 1.x-Artefaktauthentifizierungsschemas können Sie Folgendes angeben:
- Wie der Consumer mit dem Producer kommuniziert, um eine Assertion abzurufen.
- Wie ein Benutzer mit einer Assertion authentifiziert wird.
- Wie der Benutzer zur Zielressource geleitet wird.
Die Felder im Abschnitt für das Schema-Setup sind:
- PartnernameBenennt den Consumer. Geben Sie eine Buchstabenfolge ein, zum Beispiel "CompanyA".Der Name, den Sie eingeben, muss mit dem Wert des Namensfelds für das zugeordnete Partnerobjekt beim Producer übereinstimmen.Wichtig!Für das SAML-Artefaktprofil sendet der Producer die Assertion über einen geschützten Backchannel an den Consumer. Schützen Sie den Backchannel mit einer standardmäßigen Zertifikatsauthentifizierung oder mit einer Client-Zertifikatsauthentifizierung.Folgende Konfigurationsrichtlinien beziehen sich auf dieses Feld für Single Sign-On des HTTP-Artefakts:
- KennwortDefiniert das Kennwort, das der Consumer verwendet, um sich beim Producer zu identifizieren.Dieses Kennwort muss mit dem Kennwort übereinstimmen, das für den Consumer auf der Producer-Site eingegeben wird.
- Company Source ID (Quell-ID des Unternehmens)Gibt die Quell-ID des Producer an. Der SAML-Spezifikationsstandard definiert eine Quell-ID als eine 20 Byte binäre, hex-kodierte Zahl, die den Producer identifiziert. Der Consumer verwendet diese ID, um einen Assertionsaussteller zu bestimmen.Geben Sie die ID ein, die der Producer in einer Out-Of-Band-Kommunikation angibt.WennCA Single Sign-onder Producer ist, ist die Quell-ID in der Eigenschaftsdatei des SAML 1.x-Assertionsgenerators, "AMAssertionGenerator.properties", im Verzeichnis "policy_server_home/config/properties".Der Standardwert für "Company Source ID" (Quell-ID des Unternehmens) ist: b818452610a0ea431bff69dd346aeeff83128b6aHinweis:Die Datei "AMAssertionGenerator.properties" wird nur für das SAML 1.x-Profil verwendet.
- URL des AssertionsabrufsDefiniert die URL des Services beim Producer, wo der Consumer die SAML-Assertion abruft. Insbesondere identifiziert diese URL den Speicherort des Assertionsabrufdienstes, der eine URL sein muss, auf die über eine SSL-Verbindung zugegriffen wurde.Wenn der Assertionsabrufdienst beim Producer Teil eines Bereichs ist, der das Authentifizierungsschema "Basic over SSL" verwendet, dann ist die Standard-URL:https://idp_server:port/affwebservices/assertionretrieverWenn der Assertionsabrufdienst beim Producer Teil eines Bereichs ist, der das Authentifizierungsschema des X.509-Client-Zertifikats verwendet, dann ist die Standard-URL:https://idp_server:port/affwebservices/certassertionretrieveridp_server:portIdentifiziert den Webserver und den Port, der das Web-Agent-Optionspaket oder das SPS-Federation-Gateway hostet.
- Zielgruppe(Optional) Definiert die Zielgruppe für die SAML-Assertion.Die Zielgruppe identifiziert den Speicherort eines Dokuments, das die Bedingungen der Geschäftsvereinbarung zwischen dem Producer und dem Consumer beschreibt. Der Administrator bestimmt die Zielgruppe auf der Producer-Site. Der Wert in diesem Feld muss mit der Zielgruppe übereinstimmen, die beim Producer angegeben ist. Der Zielgruppenwert darf 1 K nicht überschreiten.Um die Zielgruppe anzugeben, geben Sie eine URL ein. Bei diesem Element wird Groß- und Kleinschreibung beachtet. Beispiel:http://www.companya.com/SampleAudience
- D-Sig AliasGibt den Alias des Zertifikats im Zertifikatsdatenspeicher an, den der Consumer verwendet, um die digitale Signatur der Assertion zu überprüfen. Dieser Alias entspricht dem Zertifikat. Der Zertifikatstyp, der für die Prüfung verwendet wird, ist ein CertificateEntry- oder ein KeyEntry-Zertifikat.
- AuthentifizierungGibt die Authentifizierungsmethode für den Bereich beim Producer an, der den Assertionsabrufdienst enthält. Der Wert dieses Felds bestimmt den Typ der Anmeldeinformationen, die der SAML-Anmeldedatensammler beim Consumer angeben muss. Diese Anmeldeinformationen ermöglichen es dem Consumer, auf den Assertionsabrufdienst zuzugreifen und die SAML-Assertion abzurufen.Der Assertionsabrufdienst erhält die Assertion vom Richtlinienserver beim Producer, und sendet sie anschließend über einen SSL-Backchannel an den Consumer. Es ist empfehlenswert, den Assertionsabrufdienst zu schützen.Wählen Sie eine der folgenden Optionen aus:
- StandardauthentifizierungFür den Assertionsabrufdienst, der Teil eines Bereichs ist, der durch ein standardmäßiges Authentifizierungsschema oder durch ein "Basic over SSL"-Authentifizierungsschema geschützt wird.Wenn Sie "Standardauthentifizierung" auswählen, ist keine zusätzliche Konfiguration am Producer oder Consumer erforderlich. Die Ausnahme ist, wenn das Zertifikat der Zertifizierungsstelle, das die SSL-Verbindung hergestellt hat, nicht im Zertifikatsdatenspeicher beim Consumer ist. Wenn das entsprechende Zertifikat nicht im Datenspeicher ist, importieren Sie es.
- Client-ZertifikatFür den Assertionsabrufdienst, der Teil eines Bereichs ist, der von einem Authentifizierungsschema des X.509-Client-Zertifikats geschützt wird. Wenn Sie diese Option auswählen, konfigurieren Sie den Zugriff auf den Assertionsabrufdienst mit einem Client-Zertifikat.Wenn Sie "Client-Zertifikat" auswählen, stellen Sie die Konfigurationsschritte am Consumer und am Producer fertig, um mit dem Client-Zertifikat auf den Assertionsabrufdienst zuzugreifen.Sie können Nicht-FIPS-140-verschlüsselte Zertifikate verwenden, um den Backchannel zu sichern, auch wenn der Richtlinienserver im Nur-FIPS-Modus ausgeführt wird. Für Nur-FIPS-Installationen müssen Sie allerdings Zertifikate verwenden, die nur mit FIPS-140-kompatiblen Algorithmen verschlüsselt sind.
- Kennwort bestätigenBestätigt das Kennwort, das Sie im Feld "Kennwort" angegeben haben.
- SAML-VersionGibt die Version der SAML-Spezifikation an, mit der die Assertion generiert wird. Die Optionen sind 1.0 oder 1.1. SAML 1.1 ist der Standardwert.Es muss eine Übereinstimmung zwischen dem SAML-Protokoll und den Assertionsversionen geben, die der Producer oder Consumer verwendet. Wenn ein Producer beispielsweise SAML 1.1 verwendet und eine SAML 1.0-Anforderung erhält, wird ein Fehler zurückgegeben. Wenn ein Consumer SAML 1.1 verwendet und eine SAML 1.0-Assertion erhält, die in einem SAML 1.1-Protokollelement eingebettet ist, dann wird ein Fehler zurückgegeben.
- UmleitungsmodusZeigt die Methode an, die der SAML-Anmeldedatensammler verwendet, um den Benutzer an die Zielressource umzuleiten. Wenn Sie "302 - Keine Daten" oder "302 - Cookie-Daten" auswählen, ist keine weitere Konfiguration erforderlich. Wenn Sie "Server-Umleitung" oder "Dauerhafte Attribute" auswählen, ist eine zusätzliche Konfiguration erforderlich.
- 302 - Keine Daten (Standard)Leitet Benutzer durch eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und ohne andere Daten um.
- 302 - Cookie-DatenLeitet Benutzer durch eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und zusätzlichen Cookie-Daten um, die auf der Site konfiguriert werden, die die Assertion erstellt hat.
- casso127figsbrdeServer-UmleitungErmöglicht, dass Header- und Cookie-Attributinformationen, die als Teil einer SAML-Assertion empfangen wurden, an eine benutzerdefinierte Zielanwendung weitergegeben werden. Der SAML-Anmeldedatensammler überträgt den Benutzer mithilfe der serverseitigen Umleitungstechnologie auf die Zielanwendungs-URL. Serverseitige Umleitungen sind ein Bestandteil der Java Servlet-Spezifikation. Alle standardmäßig kompatiblen Servlet-Container unterstützen serverseitige Umleitungen.Befolgen Sie zum Verwenden des Serverumleitungsmodus folgende Anforderungen:
- Geben Sie eine URL für diesen Modus an, der relativ zum Kontext des Servlets ist, das die Assertion nutzt (normalerweise /affwebservices/public/). Der Stamm des Kontexts ist der Stamm der Federation-Webservices-Anwendung (normalerweise /affwebservices/).Alle Zielanwendungsdateien müssen sich im Stammverzeichnis der Anwendung befinden. Dieses Verzeichnis ist entweder:
- Web-Agent:web_agent_home\webagent\affwebservices
- SPS-Federation-Gateway:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- Definieren Sie Bereiche, Regeln und Richtlinien, um Zielressourcen zu schützen. Definieren Sie die Bereiche mindestens mit dem Wert /affwebservices/ im Ressourcenfilter.
- Installieren Sie eine benutzerdefinierte Java- oder JSP-Anwendung auf dem Server, auf dem die Federation-Webservices-Anwendung ausgeführt wird. Die Anwendung wird zusammen mit dem Web-Agent-Optionspaket oder dem SPS-Federation-Gateway installiert.Die Java-Servlet-Technologie ermöglicht Anwendungen, Informationen zwischen zwei Ressourcenanfragen mithilfe der setAttribute-Methode auf der ServletRequest-Schnittstelle weiterzugeben.Der Service, der Assertionen nutzt, sendet das Benutzerattribut an die Zielanwendung. Unterschiedliche Attributobjekte im Anfrageobjekt werden festgelegt, bevor der Service den Benutzer an die Zielanwendung umleitet.Der Service erstellt zwei java.util.HashMap-Objekte. Das erste dient zum Speichern sämtlicher Header-Attribute, das zweite zum Speichern sämtlicher Cookie-Attribute. Der Service verwendet eindeutige Attributnamen, um jedes Hashzuordnungsobjekt darzustellen:
- Das "Netegrity.HeaderAttributeInfo"-Attribut stellt die Hash-Zuordnung dar, die Header-Attribute enthält.
- Das "Netegrity.CookieAttributeInfo"-Attribut stellt die Hash-Zuordnung dar, die Cookie-Attribute enthält.
Zwei andere Java.lang.String-Attribute werden vom Assertions-Nutzungsservice festgelegt, um die Benutzeridentität an die benutzerdefinierte Anwendung weiterzuleiten:- Das "Netegrity.smSessionID"-Attribut stellt die Sitzungs-ID dar.
- Das "Netegrity.userDN"-Attribut stellt den Benutzer-DN dar.
Die benutzerdefinierte Zielanwendung auf dem Consumer kann diese Objekte vom HTTP-Anforderungsobjekt lesen und verwendet die in den Hashzuordnungsobjekten gefundenen Daten. - Dauerhafte AttributeLeitet den Benutzer über eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und ohne andere Daten um. Zusätzlich weist dieser Modus den Richtlinienserver an, Attribute zu speichern, die aus einer Assertion im Sitzungsspeicher extrahiert werden. Die Attribute können dann als HTTP-Header-Variablen bereitgestellt werden. Zusätzliche Konfigurationen finden Sie in den Anweisungen für die Verwendung von SAML-Attributen als HTTP-Header.casso127figsbrdeHinweisWenn Sie dauerhafte Attribute auswählen und die Assertion über leere Attribute verfügt, wird der Wert NULL in den Sitzungsspeicher geschrieben. Dieser Wert fungiert als ein Platzhalter für das leere Attribut. Der Wert wird an eine beliebige Anwendung mit dem Attribut weitergegeben.
- AusstellerIdentifiziert den Producer, der Assertionen für den Consumer ausstellt. Bei diesem Element wird Groß- und Kleinschreibung beachtet.Der Consumer akzeptiert nur Assertionen von diesem Aussteller. Der Administrator beim Producer bestimmt den Aussteller.Hinweis:Der Wert, den Sie für den Aussteller eingeben, muss mit dem Wert in "AssertionIssuerID" beim Producer übereinstimmen. Dieser Wert wird in der Datei "AMAssertionGenerator.properties" angegeben, die sich hier befindet:siteminder_home/Config/properties/AMAssertionGenerator.properties
- Daten-XPATH suchenDie XPath-Abfrage teilt dem Authentifizierungsschema mit, wo in der Assertion ein bestimmter Eintrag, der dann als Benutzeranmeldungs-ID dient, gesucht werden soll. Der Wert, den die Abfrage erhält, wird ein Teil der Namespace-Spezifikation, um einen Benutzerspeichereintrag zu suchen.casso127figsbrdeXPath-Abfragen dürfen keine Namespace-Präfixe enthalten. Folgendes Beispiel ist eineXPath-Abfrage:ungültige/saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()Die gültige XPath-Abfrage ist://Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()Beispiel:Folgende Abfrage extrahiert den Text des Attributs "Benutzername" aus der Assertion:"/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()""/Username/text()" extrahiert den Text des ersten Elements des Benutzernamens in der SAML-Assertion, indem eine abgekürzte Syntax verwendet wird.Andere Beispiele:"substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMprofile/NVpair[1]/text(),"header:uid=")"Diese Abfragezeichenfolge extrahiert den Text des Header-Attributs mit dem Namen "uid", das als erstes Attribut konfiguriert und auf der Producer-Site aufgelistet ist.Wenn Sie die folgende abgekürzte Syntax verwenden, wird der Text des Header-Attributs mit dem Namen "uid" extrahiert:"substring-after(//SMprofile/NVpair[1]/text(),"header:uid=")"
- Variable der Authentifizierungssitzung beibehalten(Optional) Legt fest, dass die Daten des Authentifizierungskontextes im Sitzungsspeicher als Sitzungsvariablen gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Variablen, die bei Authentifizierungsentscheidungen verwendet werden können. Zum Beispiel können Sie die Variablen im Authentifizierungskontext in aktiven Antworten oder Richtlinienausdrücken einschließen.
- casso127figsbrdeAktivZeigt an, ob die Legacy-Federation-Konfiguration für eine bestimmte Partnerschaft verwendet wird. Wenn der Richtlinienserver die Legacy-Federation-Konfiguration verwendet, bestätigen Sie, dass dieses Kontrollkästchen aktiviert ist. Wenn Sie eine Federation-Partnerschaft mit ähnlichen Werten für die Identitätseinstellungen wiederhergestellt haben, beispielsweise Quell-ID, deaktivieren Sie das Kontrollkästchen, bevor Sie die Federation-Partnerschaft aktivieren.Single Sign-Onkann nicht mit einer vorhandenen und Partnerschaftskonfiguration arbeiten, die die gleichen Identitätswerte verwenden, da sonst ein Namenskonflikt auftritt.
Die anderen Abschnitte für die Schema-Setup-Konfiguration sind:
- Füllen Sie eine Namespace-Spezifikation aus, um es dem Consumer zu ermöglichen, den korrekten Benutzerdatensatz für die Authentifizierung zu finden.
- Geben Sie im Abschnitt für die zusätzliche Konfiguration das Ziel der föderierten Ressource an. Konfigurieren Sie optional das Plug-in für Message Consumer, und leiten Sie URLs um, an die ein Benutzer gesendet wird, wenn die Authentifizierung fehlschlägt.
Authentifizierungsschema - Vorlage für SAML-POST - Schema-Setup
Im Abschnitt "Schema-Setup" geben Sie folgende Informationen an:
- Wie der Consumer mit dem Producer kommuniziert, um eine Assertion abzurufen
- Wie ein Benutzer authentifiziert wird, der auf dieser Assertion basiert.
- Wie der Benutzer zur Zielressource geleitet wird.
Die Felder für die Vorlage der SAML-POST-Authentifizierung sind:
- PartnernameBenennt den Consumer. Geben Sie eine Buchstabenfolge ein, zum Beispiel "CompanyA".Der Name, den Sie eingeben, muss mit einem Namen für einen Consumer in der Partnerdomäne auf der Producer-Site übereinstimmen.
- ZielgruppeDefiniert die Zielgruppe für die SAML-Assertion.Identifiziert den Speicherort eines Dokuments, das die Bedingungen der Geschäftsvereinbarung zwischen dem Producer und dem Consumer beschreibt. Der Administrator bestimmt die Zielgruppe auf der Producer-Site. Der Wert muss auch mit der Zielgruppe für den Consumer auf der Producer-Site übereinstimmen.Um die Zielgruppe anzugeben, geben Sie eine URL ein. Bei diesem Element wird Groß- und Kleinschreibung beachtet. Der Zielgruppenwert darf 1 K nicht überschreiten.Zum Beispiel: http://www.ca.com/SampleAudience
- Assertionskonsum-URLGibt die URL des Assertions-Consumer an (Synonym für SAML-Anmeldedatensammler). Unter dieser URL muss der Browser die generierte Assertion ANGEBEN. Der Standard-URL ist:http://consumer_server:port/affwebservices/public/samlccconsumer_server:portIdentifiziert den Webserver und den Port, der das Web-Agent-Optionspaket oder das SPS-Federation-Gateway hostet.Zum Beispiel: http://www.discounts.com:85/affwebservices/public/samlcchttp://www.discounts.com:85/affwebservices/public/samlcc
- Dsig-Aussteller-DNGibt den Distinguished Name des Zertifikatsausstellers an, der die SAML-POST-Antwort signiert. Der Producer muss die POST-Antwort signieren. Wenn der Consumer die Antwort erhält, wird die Signatur mithilfe der Daten in diesem Parameter und dem Parameter der Seriennummer überprüft. Diese zwei Parameter zeigen den Aussteller des Zertifikats an, der die Antwort signiert hat.Das Zertifikat, das die Signatur überprüft, muss sich im Zertifikatsdatenspeicher befinden.
- Daten-XPATH suchenDie XPath-Abfrage teilt dem Authentifizierungsschema mit, wo in der Assertion ein bestimmter Eintrag, der dann als Benutzeranmeldungs-ID dient, gesucht werden soll. Der Wert, den die Abfrage erhält, wird ein Teil der Namespace-Spezifikation, um einen Benutzerspeichereintrag zu suchen. XPath-Abfragen dürfen keine Namespace-Präfixe enthalten.Folgendes Beispiel ist eine ungültige XPath-Abfrage:/saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()Die gültige XPath-Abfrage ist://Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()BeispielFolgende Abfrage extrahiert den Text des Attributs "Benutzername" aus der Assertion:"/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()""//Username/text()" extrahiert den Text des ersten Elements des Benutzernamens in der SAML-Assertion, indem eine abgekürzte Syntax verwendet wird.Andere Beispiele:"substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMprofile/NVpair[1]/text(),"header:uid=")"Diese Abfrage extrahiert den Text des Header-Attributs mit dem Namen "uid", das auf der Producer-Site als erstes Attribut für das Partnerobjekt konfiguriert ist.Die Zeichenfolge "substring-after(//SMprofile/NVpair[1]/text(),"header:uid=")" extrahiert den Text des Header-Attributs mit dem Name "uid". Dieses Attribut ist das erste Attribut, das für das Partnerobjekt auf der Producer-Site mithilfe einer abgekürzten Syntax konfiguriert wird.
- SAML-VersionGibt die SAML-Version an (Inaktiv: Der Wert wird standardmäßig auf 1.1 festgelegt. Dadurch wird angegeben, dass POST-Profilassertionen mit SAML-Version 1.1 kompatibel sind).Der SAML-Producer und SAML-Consumer müssen Assertionen und Antworten generieren und verbrauchen, die die gleiche Version haben.
- UmleitungsmodusGibt die Methode an, die das Servlet des SAML-Anmeldedatensammlers verwendet, um den Benutzer an die Zielressource umzuleiten. Wenn Sie "302 - Keine Daten" oder "302 - Cookie-Daten" auswählen, ist keine weitere Konfiguration erforderlich. Wenn Sie "Server-Umleitung" oder "Dauerhafte Attribute" auswählen, ist eine zusätzliche Konfiguration erforderlich.
- 302 - Keine Daten(Standard). Leitet Benutzer durch eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und ohne andere Daten um.
- 302 - Cookie-DatenLeitet Benutzer durch eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und zusätzlichen Cookie-Daten um, die auf der Site konfiguriert werden, die die Assertion erstellt hat.
- casso127figsbrdeServer-UmleitungErmöglicht, dass Header- und Cookie-Attributinformationen, die als Teil einer SAML-Assertion empfangen wurden, an eine benutzerdefinierte Zielanwendung weitergegeben werden. Der SAML-Anmeldedatensammler überträgt den Benutzer mithilfe der serverseitigen Umleitungstechnologie auf die Zielanwendungs-URL. Serverseitige Umleitungen sind ein Bestandteil der Java Servlet-Spezifikation. Alle standardmäßig kompatiblen Servlet-Container unterstützen serverseitige Umleitungen.Befolgen Sie zum Verwenden des Serverumleitungsmodus folgende Anforderungen:
- Geben Sie eine URL für diesen Modus an, der relativ zum Kontext des Servlets ist, das die Assertion nutzt (normalerweise /affwebservices/public/). Der Stamm des Kontexts ist der Stamm der Federation-Webservices-Anwendung (normalerweise /affwebservices/).Alle Zielanwendungsdateien müssen sich im Stammverzeichnis der Anwendung befinden. Dieses Verzeichnis ist entweder:
- Web-Agent:web_agent_home\webagent\affwebservices
- SPS-Federation-Gateway:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- Definieren Sie Bereiche, Regeln und Richtlinien, um Zielressourcen zu schützen. Definieren Sie die Bereiche mindestens mit dem Wert /affwebservices/ im Ressourcenfilter.
- Installieren Sie eine benutzerdefinierte Java- oder JSP-Anwendung auf dem Server, auf dem die Federation-Webservices-Anwendung ausgeführt wird. Die Anwendung wird zusammen mit dem Web-Agent-Optionspaket oder dem SPS-Federation-Gateway installiert.Die Java-Servlet-Technologie ermöglicht Anwendungen, Informationen zwischen zwei Ressourcenanfragen mithilfe der setAttribute-Methode auf der ServletRequest-Schnittstelle weiterzugeben.Der Service, der Assertionen nutzt, sendet das Benutzerattribut an die Zielanwendung. Unterschiedliche Attributobjekte im Anfrageobjekt werden festgelegt, bevor der Service den Benutzer an die Zielanwendung umleitet.Der Service erstellt zwei java.util.HashMap-Objekte. Das erste dient zum Speichern sämtlicher Header-Attribute, das zweite zum Speichern sämtlicher Cookie-Attribute. Der Service verwendet eindeutige Attributnamen, um jedes Hashzuordnungsobjekt darzustellen:
- Das "Netegrity.HeaderAttributeInfo"-Attribut stellt die Hash-Zuordnung dar, die Header-Attribute enthält.
- Das "Netegrity.CookieAttributeInfo"-Attribut stellt die Hash-Zuordnung dar, die Cookie-Attribute enthält.
Zwei andere Java.lang.String-Attribute werden vom Assertions-Nutzungsservice festgelegt, um die Benutzeridentität an die benutzerdefinierte Anwendung weiterzuleiten:- Das "Netegrity.smSessionID"-Attribut stellt die Sitzungs-ID dar.
- Das "Netegrity.userDN"-Attribut stellt den Benutzer-DN dar.
Die benutzerdefinierte Zielanwendung auf dem Consumer kann diese Objekte vom HTTP-Anforderungsobjekt lesen und verwendet die in den Hashzuordnungsobjekten gefundenen Daten. - Dauerhafte AttributeDer Benutzer wird durch eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und ohne andere Daten umgeleitet. Dieser Modus weist auch den Richtlinienserver an, Attribute aus einer Assertion im Sitzungsspeicher zu speichern, sodass sie als HTTP-Header-Variablen bereitgestellt werden können. Zusätzliche Konfigurationen finden Sie in den Anweisungen für die Verwendung von SAML-Attributen als HTTP-Header.casso127figsbrdeHinweisWenn Sie dauerhafte Attribute auswählen und die Assertion über leere Attribute verfügt, wird der Wert NULL in den Sitzungsspeicher geschrieben. Dieser Wert fungiert als ein Platzhalter für das leere Attribut. Der Wert wird an eine beliebige Anwendung mit dem Attribut weitergegeben.
- AusstellerIdentifiziert den Producer, der Assertionen für den Consumer ausstellt. Bei diesem Element wird Groß- und Kleinschreibung beachtet.Der Consumer akzeptiert nur Assertionen von diesem Aussteller. Der Administrator bestimmt den Aussteller beim Producer.Hinweis:Der Wert, den Sie für den Aussteller eingeben, muss mit dem Wert in "AssertionIssuerID" auf der Producer-Site übereinstimmen. Dieser Wert wird in der Datei "AMAssertionGenerator.properties" angegeben, die sich hier befindet:policy_server_home/Config/properties/AMAssertionGenerator.properties
- SeriennummerGibt die Seriennummer (eine hexadezimale Zeichenfolge) des Zertifikats des Consumer im Zertifikatsdatenspeicher an. Dieser Wert wird mit dem Dsig-Aussteller-DN verwendet, um das Zertifikat für die digitale Signierung der SAML-POST-Antwort zu suchen.
- casso127figsbrdeAktivZeigt an, ob die Legacy-Federation-Konfiguration für eine bestimmte Partnerschaft verwendet wird. Wenn der Richtlinienserver die Legacy-Federation-Konfiguration verwendet, bestätigen Sie, dass dieses Kontrollkästchen aktiviert ist. Wenn Sie eine Federation-Partnerschaft mit ähnlichen Werten für die Identitätseinstellungen wiederhergestellt haben, beispielsweise Quell-ID, deaktivieren Sie das Kontrollkästchen, bevor Sie die Federation-Partnerschaft aktivieren.Single Sign-Onkann nicht mit einer vorhandenen und Partnerschaftskonfiguration arbeiten, die die gleichen Identitätswerte verwenden, da sonst ein Namenskonflikt auftritt.
- Variable der Authentifizierungssitzung beibehalten(Optional) Legt fest, dass die Daten des Authentifizierungskontextes im Sitzungsspeicher als Sitzungsvariablen gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Variablen, die bei Authentifizierungsentscheidungen verwendet werden können. Zum Beispiel können Sie die Variablen im Authentifizierungskontext in aktiven Antworten oder Richtlinienausdrücken einschließen.
Die anderen Abschnitte für die Schema-Setup-Konfiguration sind:
- Füllen Sie eine Namespace-Spezifikation aus, um es dem Consumer zu ermöglichen, den korrekten Benutzerdatensatz für die Authentifizierung zu finden.
- Geben Sie im Abschnitt für die zusätzliche Konfiguration das Ziel der föderierten Ressource an. Konfigurieren Sie optional das Plug-in für Message Consumer, und leiten Sie URLs um, an die ein Benutzer gesendet wird, wenn die Authentifizierung fehlschlägt.
Authentifizierungsschema - Namespace-Spezifikation
Der Abschnitt "Namespace-Spezifikation" listet Namespace-Typen und zugeordnete Suchspezifikationen auf.
CA Single Sign-on
verwendet diese Informationen, um einen Benutzer in einem Benutzerspeicher zu suchen.Die Suchspezifikation verwendet Daten, die die XPath-Abfrage aus der Assertion abruft und einem Attribut in einem Benutzerspeichereintrag zuordnet. Die XPath-Abfrage sucht einen bestimmten Eintrag in der Assertion, die als Benutzeranmelde-ID dient. Sie definieren die Abfrage im Feld "Daten-XPATH suchen".
Als Teil der Suchspezifikation können Sie "%s" ersetzen, um den Wert darzustellen, den die XPath-Abfrage von der Assertion erhält. Zum Beispiel ruft die XPath-Abfrage den Wert
user1
aus der SAML-Assertion ab. Wenn Sie die Suchspezifikation uid=%s
in das LDAP-Feld eingeben, dann ergibt sich daraus die Zeichenfolge "uid=user1". Diese Zeichenfolge wird anhand des Benutzerverzeichnisses überprüft, um den korrekten Datensatz für die Authentifizierung zu finden.Sie können auch Filter mit mehreren %s-Variablen angeben. Beispiel:
|(uid=%s)(email=%[email protected])|(abcAliasName=%s)(cn=%s)
Die Ergebnisse wären:
|(uid=user1)([email protected])|(abcAliasName=user1)(cn=user1)
Geben Sie eine Suchspezifikation für jeden der Namespace-Typen in Ihrer Umgebung ein.
Authentifizierungsschema - Zusätzliche Konfiguration (SAML 1.x-Artefakt, POST)
Im Abschnitt "Zusätzliche Konfiguration" des Authentifizierungsschemas können Sie das Plug-in für Message Consumer sowie Weiterleitungs-URLs für Assertionsverarbeitungsfehler bei der Authentifizierung angeben. Zusätzlich geben Sie die Zielressource auf der Consumer-Site an.
Der Bereich "Zusätzliche Konfiguration" enthält folgende Felder:
Plug-in für Message ConsumerVollständiger Java-Klassenname
(Optional) Gibt den vollqualifizierten Java-Klassennamen einer Klasse an, die eine Plug-in-Schnittstelle für Message Consumer für das Authentifizierungsschema implementiert.
Parameter
Gibt eine Zeichenfolge von Parametern an, die die API an das Plug-in übergibt, das im Feld "Vollständiger Java-Klassenname" angegeben ist.
URLs und Modi der Status-Umleitung
Assertionsbasierte Authentifizierung kann auf der Site, die Assertionen nutzt, aus verschiedenen Gründen fehlschlagen. Wenn die Authentifizierung fehlschlägt, wird der Benutzer zur weiteren Verarbeitung an verschiedene Anwendungen (URLs) umgeleitet. Wenn die Begriffserklärung des Benutzers fehlschlägt, leitet der Richtlinienserver den Benutzer an ein Bereitstellungssystem um. Dieses Bereitstellungssystem kann ein Benutzerkonto erstellen, das auf Informationen basiert, die sich in der SAML-Assertion befinden.
Hinweis:
Fehlerumleitung geschieht nur, wenn das System die Anforderung erfolgreich analysieren kann und die Informationen erhält, die notwendig sind, um die gültigen und vertrauenden Partner zu identifizieren.Folgende Optionen leiten den Benutzer an eine konfigurierte URL um, die auf der Bedingung basiert, die den Fehler verursacht hat.
URL-Umleitung für den Status "Benutzer nicht gefunden"
(Optional) Bestimmt die URL, an die der Richtlinienserver den Benutzer umleitet, wenn der Benutzer nicht gefunden wurde. Der Status "Benutzer nicht gefunden" tritt auf, wenn die Single Sign-On-Meldung keine Anmelde-ID hat oder wenn das Benutzerverzeichnis die Anmelde-ID nicht enthält.
- URL-Umleitung für den Status "Ungültige SSO-Meldung"(Optional) Bestimmt die URL, an die der Benutzer umgeleitet wird, wenn eine der folgenden Bedingungen eintritt:
- Die Single Sign-On-Meldung ist basierend auf Regeln, die von SAML-Schemen angegeben wurden, ungültig.
- Der Consumer erfordert eine verschlüsselte Assertion, die Single Sign-On-Meldung enthält jedoch keine verschlüsselte Assertion.
- URL-Umleitung für den Status "Nicht akzeptierte Benutzeranmeldeinformationen (SSO-Meldung)"(Optional) Identifiziert die URL, an die der Benutzer bei Fehlerbedingungen umgeleitet wird, die nicht aufgrund eines nicht gefundenen Benutzers oder aufgrund einer ungültigen Sing-On-Meldung auftreten. Die Assertion ist gültig, aber der Richtlinienserver akzeptiert die Meldung aus bestimmten Gründen nicht, beispielsweise:
- Fehler bei der Validierung der digitalen XML-Signatur
- Fehler beim XML-Entschlüsselungsvorgang
- Die XML-Validierung von Bedingungen schlägt fehl, wie z. B. eine abgelaufene Meldung oder eine nicht übereinstimmende Zielgruppe.
- Keine Assertion in der SSO-Meldung enthält eine Authentifizierungsanweisung.
- ModusGibt die Methode an, die verwendet wird, um den Benutzer zur Umleitungs-URL umzuleiten. Die Optionen sind:
- 302 - Keine Daten (Standard)Leitet Benutzer über eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und ohne andere Daten um.
- HTTP POSTLeitet Benutzer mithilfe eines HTTP POST-Protokolls um.
Konfiguration der Zielseite
In diesem Abschnitt des Dialogfelds können Sie die URL der Zielressource auf der Consumer-Site angeben. Wenn der Abfrageparameter vorhanden ist, legen Sie fest, ob der Richtlinienserver die URL durch den Wert des ZIEL-Abfrageparameters in der Antwort-URL der Authentifizierung ersetzen soll.
- URL des Standardziels(Optional) Gibt die URL der Zielressource an, die sich beim Consumer befindet. Dieses Ziel ist eine geschützte föderierte Ressource, die Benutzer anfordern können.Der Consumer muss nicht das Standardziel verwenden. Der Link, der Single Sign-On initiiert, kann einen Abfrageparameter enthalten, der das Ziel angibt.
- Das ZIEL des Abfrageparameters überschreibt die URL des Standardziels(Optional) Ersetzt den Wert, der im Feld "URL des Standardziels" angegeben ist, durch den Wert des ZIEL-Abfrageparameters in der Antwort. Mithilfe des Abfrageparameters ZIEL können Sie das Ziel dynamisch definieren. Sie können das Ziel mit jeder Authentifizierungsantwort ändern. Durch die Flexibilität des ZIEL-Abfrageparameters haben Sie eine größere Kontrolle über das Ziel. Vergleichsweise ist der Wert "URL des Standardziels" ein statischer Wert.Standardmäßig ist dieses Kontrollkästchen ausgewählt.