Dialogfeld "Single Sign-On" (OAuth)
Im Schritt "Single Sign-On" können Sie den Single Sign-On-Vorgang konfigurieren.
casso127figsbrde
HID_partnership-sso-oauth
Im Schritt "Single Sign-On" können Sie den Single Sign-On-Vorgang konfigurieren.
- Client-Authentifizierungs-ID (OAuth 2.0)Definiert die Client-ID, die der Autorisierungserver generiert, wenn die Client-Anwendung erfolgreich registriert wurde.
- "Client-Geheimnis" und "Client-Geheimnis bestätigen" (OAuth 2.0)Zeigt die zum ClientID zugeordnete Geheimfrage an. Aktualisieren Sie den Wert dieser Einstellung mit der Geheimfrage, die der ClientID zugeordnet ist. Der Autorisierungsserver gibt diesen Wert an, wenn die Anwendung erfolgreich registriert wird.
- Consumer-Schlüssel (OAuth 1.0a)Definiert den Consumer-Schlüssel, den der Autorisierungserver generiert, wenn die Client-Anwendung erfolgreich registriert wurde.
- "Consumer-Geheimnis" und "Consumer-Geheimnis bestätigen" (OAuth 1.0a)Definiert den geheimen Wert des Consumer-Schlüssels.
- Autorisierungsdienst-URLGibt die Autorisierungserverendpunkt-URL für diesen Anbieter an. Diese URL muss nach erfolgreicher Authentifizierung eines Benutzers ein Autorisierungs-Token generieren.Zum Beispiel ist die Autorisierung.URL für Google https://accounts.google.com/o/oauth2/auth.
- Unterstützung für Autorisierungs-Header (OAuth 2.0)Gibt an, ob ein Autorisierungserver den Autorisierungs-Header für die Client-Anmeldeinformationen überprüfen muss. Wenn Sie diese Option auswählen, sendet das System die Client-Anmeldeinformationen im Autorisierung-Header. Wenn Sie diese Option nicht auswählen, sendet das System die Client-Anmeldeinformationen im Anfragetext durch die Verwendung der Client-ID und des Client-Geheimnisses.Wichtig!OAuth 2.0 empfiehlt, dass Sie die Client-Anmeldeinformationen nicht im Anfragetext senden, außer wenn Sie nicht direkt ein kennwortbasiertes HTTP-Authentifizierungsschema verwenden können.
- Zeitlimit für Remote-ServerDefiniert das maximale Limit der Wartezeit eines OAuth-Client auf eine Antwort von einem OAuth-Autorisierungsserver.
- Dienst-URL für Zugriffs-TokenGibt eine Zugriffs-Token-Endpunkt-URL an. Ein Benutzer kann ein Zugriffs-Token abrufen, indem er den Autorisierungscode zusammen mit Anwendungskonfigurationsdetails austauscht.Zum Beispiel ist die Zugriffs-Token-URL für Google https://accounts.google.com/o/oauth2/token.
- Zugriffs-Token-Typ validieren (OAuth 2.0)Gibt an, ob der Typ des Zugriffs-Tokens, das vom OAuth-Authentifizierungsserver gesendet wird, anhand der unterstützten Zugriffs-Token-Typen validiert werden muss.
- Zugriffs-Token-AbfrageparameterIdentifiziert das Zugriffs-Token, das der Identitätsanbieter sendet auf die Zugriffs-Token-Anfrage sendet.
- Unterstützte Zugriffs-Token-Typen (OAuth 2.0)Gibt die Zugriffs-Token-Typen an, die unterstützt werden. Sie können die unterstützten Zugriffs-Token-Typen hinzufügen, indem Sie die Option "Zeile Hinzufügen" verwenden.Wichtig!Wenn ein Autorisierungserver nicht über den Token-Typ berichtet, den er verwendet, empfiehlt OAuth, dass Sie den Wert des unterstützten Zugriffs-Token-Typs für den Autorisierungserver nicht konfigurieren.
- Authentifizierungsserver-Offset (Sekunden) (OAuth 1.0a)Definiert die Zeit, um die Ihre lokale Rechnerzeit versetzt werden muss, um sie mit der Zeit eines Autorisierungservers zu synchronisieren.
- SchutzebeneErlaubt Single Sign-On für Authentifizierungsschemen mit den gleichen oder niedrigeren Schutzebenen innerhalb der gleichen Richtliniendomäne. Die Schutzebene erfordert zusätzliche Authentifizierung, um auf Ressourcen mit Schemen mit höheren Schutzebenen zuzugreifen.Wert:1 bis 1000.Authentifizierungsschemen haben eine standardmäßige Schutzebene, die Sie ändern können. Verwenden Sie hohe Schutzebenen für kritische Ressourcen, und verwenden Sie Schemen mit niedrigeren Ebenen für allgemein zugreifbare Ressourcen.
- Synchrone Überwachung aktivierenGibt an, dassCA Single Sign-onAktionen des Richtlinienservers und des Web-Agent protokollieren muss, bevor der Zugriff auf Ressourcen erlaubt wird.CA Single Sign-onerlaubt keinen Zugriff auf die Ressourcen des Bereichs, bis die Aktivität in den Audit-Protokollen aufgezeichnet wurde.
- Dauerhafte Sitzung verwenden(Optional) Gibt an, dass Benutzersitzungen verfolgt und im Sitzungsspeicher und in Cookies gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Informationen, die bei Authentifizierungsentscheidungen verwendet werden können.Aktivieren Sie dieses Kontrollkästchen, um dauerhafte Sitzungen zu aktivieren. Für das Single Logout und für einmalige Richtlinienfunktionen ist das Auswählen dieses Kontrollkästchens erforderlich.Wichtig!Um dieses Kontrollkästchen anzuzeigen, aktivieren Sie den Sitzungsserver mithilfe derCA Single Sign-on-Richtlinienserver-Verwaltungskonsole.
- ValidierungszeitraumUm dieses Kontrollkästchen anzuzeigen, aktivieren Sie den Sitzungsserver mithilfe der Richtlinienserver-Verwaltungskonsole.Bestimmt die maximale Dauer zwischen Agentenaufrufen an den Richtlinienserver, um eine Sitzung zu validieren. Die Sitzungsvalidierungsaufrufe informieren den Richtlinienserver darüber, dass ein Benutzer noch aktiv ist, und es bestätigen, dass die entsprechende Benutzersitzung noch gültig ist.Um den Validierungszeitraum anzugeben, geben Sie Werte in die Felder "Stunden", "Minuten" und "Sekunden" ein. Wenn Sie das System konfigurieren, um einen Windows-Benutzersicherheitskontext anzugeben, geben Sie einen hohen Wert ein, wie z. B. 15-30 Minuten. Wenn weniger Sitzungen aktiv sind als der maximale Zwischenspeicherwert der Benutzersitzung des Agenten, muss der Agent die Sitzung mit dem Sitzungsserver nicht erneut validieren.Wichtig!Der Validierungszeitraum der Sitzung muss weniger sein als der angegebene Wert für das Zeitlimit des Leerlaufs.