Dialogfeld "Autorisierungs-Provider"
Im Schritt "Autorisierungs-Provider" können Sie eine Vorlage mit einer Provider-Konfiguration erstellen, die während der Registrierung Clients zugeordnet werden kann. Sie können eine Vorlage für mehrere Client-Registrierungen wiederverwenden.
casso127figsbrde
HID_authz-provider
Im Schritt "Autorisierungs-Provider" können Sie eine Vorlage mit einer Provider-Konfiguration erstellen, die während der Registrierung Clients zugeordnet werden kann. Sie können eine Vorlage für mehrere Client-Registrierungen wiederverwenden.
Das Dialogfeld zeigt folgende Einstellungen an:
Anbietername
Definiert einen eindeutigen Namen für den Provider.
Beschreibung
Gibt eine kurze Beschreibung des Providers an.
Authentifizierung und Autorisierung
Dieser Abschnitt definiert, wie eine Anforderung authentifiziert und autorisiert wird.
Benutzerverzeichnisse
Gibt die Liste von Benutzerverzeichnissen an, die
Single Sign-On
für das Autorisieren und Abrufen von Anspruchsinformationen verwendet.Wählen Sie ein oder mehrere Verzeichnisse im Bereich "Verfügbare Verzeichnisse" aus, und klicken Sie auf den Pfeil, um Ihre Auswahl in den Bereich "Ausgewählte Verzeichnisse" zu verschieben. Verwenden Sie die Auf- und Abwärtspfeile, um die Reihenfolge der Verzeichnisse anzupassen. Der Autorisierungserver durchsucht die Benutzerverzeichnisse in der Reihenfolge, in der sie unter "Ausgewählte Verzeichnisse" angegeben sind.
Suchspezifikation
Legt die Suchzeichenfolge fest, die verwendet wird, um den Benutzer in einem Benutzerverzeichnis zu finden. Verwenden Sie dieses Feld nur für Benutzerverzeichnisse mit ODBC-Namespace.
Beispiel
: ODBC: name=%sWenn Sie LDAP oder Active Directory verwenden, müssen Sie keine Suchzeichenfolge angeben.
Basis-URL des Autorisierungsservers
Definiert die Basisadresse des Autorisierungsservers, auf dem
CA Access Gateway
installiert ist. Die Basis-URL ermöglicht dem Richtlinienserver, beim Export Ihrer Konfiguration relative URLs zu generieren. Authentifizierungs-URL
Definiert die URL, die der Autorisierungsserver für die Authentifizierung verwenden muss.
Sichere Authentifizierungs-URL verwenden
Weist den Dienst für Single Sign-On an, nur den Abfrageparameter "SMPORTALURL" zu verschlüsseln. Der verschlüsselte Abfrageparameter "SMPORTALURL" verhindert, dass ein bösartiger Benutzer den Wert ändert und authentifizierte Benutzer auf eine bösartige Website umleitet. "SMPORTALURL" wird an die Authentifizierungs-URL angehängt, bevor der Browser den Benutzer umleitet, um eine Sitzung herzustellen. Nachdem der Benutzer authentifiziert wurde, leitet der Browser den Benutzer zurück an das Ziel, das im Abfrageparameter "SMPORTALURL" angegeben ist.
Wenn Sie diese Option auswählen, führen Sie die folgenden Schritte aus:
- Legen Sie das FeldAuthentifizierungs-URLauf folgende URL fest:https://idp_server:port/affwebservices/secure/secureredirect
- Schützen Sie den Webservice "secureredirect" mit einer Richtlinie.
Um den Service "secureredirect" zu verschiedenen Bereichen zuzuordnen, ändern Sie die Datei "web.xml", und erstellen Sie verschiedene Ressourcenzuordnungen. Kopieren Sie den Webservice "secureredirect" nicht in verschiedenen Speicherorten auf Ihrem Server. Suchen Sie die Datei "web.xml" im Verzeichnis
access_gateway_home
/affwebservices/WEB-INF, wobei access_gateway_home
das Installationsverzeichnis des Web-Agenten ist.Ablaufzeit des Autorisierungscodes
Definiert den Zeitraum, für den ein Autorisierungscode bei
Single Sign-On
gültig ist.Signatur und Verschlüsselung
Dieser Abschnitt definiert, wie die Token signiert und verschlüsselt werden.
Zertifikatalias wird signiert
Gibt den Alias an, der einem privaten Schlüssel im Zertifikatsdatenspeicher zugeordnet ist, der verwendet wird, um das ID-Token zu signieren.
Signaturalgorithmus
Gibt den Hash-Algorithmus an, der für die digitale Signatur des ID-Tokens und die Benutzerinfo-Antwort verwendet werden muss.
ID-Token signieren
Gibt an, dass das ID-Token signiert ist. Dieses Feld ist schreibgeschützt.
Benutzerinformationen signieren
Gibt an, ob die Benutzerinfo-Antwort signiert sein muss.
Zertifikat-Alias der Verschlüsselung
Identifiziert einen Alias für das Zertifikat, das zum Verschlüsseln des Tokens verwendet wird. Der entsprechende private Schlüssel auf der vertrauenden Seite entschlüsselt die Daten.
Verschlüsselungsschlüssel-ID
Definiert einen Wert, der beim Verschlüsseln des JWT-Tokens als kid-Header verwendet wird. Dieses Feld ist obligatorisch, wenn "ID-Token verschlüsseln" oder "Benutzerinformationen verschlüsseln" ausgewählt ist.
Algorithmus der Verschlüsselung und Verschlüsselungsmethode
Gibt den JWE-Algorithmus und die Methode an, die zum Verschlüsseln des ID-Tokens und der Benutzerinfo-Antwort verwendet werden müssen.
ID-Token verschlüsseln
Gibt an, ob das ID-Token verschlüsselt werden muss.
Benutzerinformationen verschlüsseln
Gibt an, ob die Benutzerinfo-Antwort verschlüsselt werden muss.
Zuordnungen
Dieser Abschnitt definiert, wie Ansprüche und Geltungsbereiche zugeordnet werden.
Anspruchszuordnung
Definiert die Zuordnung von Ansprüchen mit Benutzerverzeichnisattributen.
Anspruchsname
Definiert den Namen des Anspruchs. Sie können mehrere Ansprüche mit dem gleichen Namen, jedoch für verschiedene Spaltennamen hinzufügen, bei denen die Groß-/Kleinschreibung beachtet werden muss.
Benutzerattribut
Definiert das Benutzerattribut, das dem eingegebenen Anspruch in einem definierten Benutzerverzeichnis entspricht.
Hinzufügen
Fügt den eingegebenen Anspruchsnamen und das Benutzerattribut zur Tabelle mit den Ansprüchen hinzu.
Zuordnung des Geltungsbereichs
Definiert die Zuordnung des Geltungsbereichs zu Ansprüchen, die im ID-Token- und Benutzerinfo-Endpunkt zurückgegeben werden müssen.
Geltungsbereichsname
Definiert einen Geltungsbereichsnamen.
Anspruchsname
Definiert einen Anspruchsnamen für die definierten Ansprüche. Sie können mehrere, durch Kommas voneinander getrennte Ansprüche hinzufügen.
Hinzufügen
Fügt den eingegebenen Geltungsbereich und den Anspruchsnamen zur Tabelle "Geltungsbereiche" hinzu.
Erstellen
Speichert die eingegebenen Informationen und erstellt den Provider.
Abbrechen
Bricht den Vorgang ab und navigiert zur Liste der Autorisierungs-Provider.