Single Sign-On und Sign-Out (WSFED IP)
casso127figsbrde
HID_sso-signout-wsfed
In den Schritten "Single Sign-On und Sign-Out" können Sie die Vorgänge für diese Funktionen konfigurieren.
Authentifizierung (WSFED)
Im Abschnitt "Authentifizierung" können Sie angeben, wie das Federation-System während der Single Sign-On-Transaktionen Benutzer authentifiziert. Legen Sie die Methode fest, nach der ein Benutzer ohne Sitzung authentifiziert werden soll.
Sie können folgende Einstellungen konfigurieren:
Authentifizierungsmodus
Zeigt an, ob eine Sitzung hergestellt ist, weil ein Benutzer lokal authentifiziert wurde oder weil eine Authentifizierung an ein Remote-Zugriffsverwaltungssystem eines Drittanbieters delegiert wurde.
Standard:
LokalOptionen
: Wählen Sie eine der folgenden Optionen aus, und konfigurieren Sie alle zusätzlichen Felder für diese Option:- Lokal - Das Federation-System verarbeitet die Benutzerauthentifizierung.Wenn Sie im Feld "Authentifizierungsmodus" die Option "Lokal" auswählen, geben Sie eine URL im Feld Authentifizierungs-URL ein. Die URL verweist in der Regel auf die Datei "redirect.jsp". Wenn Sie allerdings das KontrollkästchenSichere URL verwendenauswählen, muss die URL auf den Webservice "secureredirect" verweisen.Authentifizierungs-URLGibt eine geschützte URL an, die die Federation verwendet, um Benutzer zu authentifizieren und um eine Sitzung zu erstellen, wenn eine geschützte Ressource angefordert wird. Wenn der Authentifizierungsmodus auf "Lokal" festgelegt ist und ein Benutzer nicht auf der behauptenden Seite angemeldet ist, werden Benutzer an diese URL gesendet. Diese URL muss auf die Datei "redirect.jsp" verweisen, es sei denn, Sie wählen das KontrollkästchenSichere URL verwendenaus. Beispiele: http://myserver.idpA.com/affwebservices/redirectjsp/redirect.jsphttp://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jspmyservergibt den Webserver mit dem Web-Agent-Optionspaket oderCA Access Gateway(installiert auf der behauptenden Seite) an. Die Anwendung redirectjsp ist in diesen Produkten enthalten.Wichtig!Schützen Sie die Authentifizierungs-URL mit einer Zugriffssteuerungsrichtlinie. Konfigurieren Sie für die Richtlinie ein Authentifizierungsschema, einen Bereich und eine Regel. Um der Assertion Sitzungsspeicherattribute hinzuzufügen, aktivieren Sie das Kontrollkästchen "Variable der Authentifizierungssitzung beibehalten", das eine Einstellung im Authentifizierungsschema ist.Sichere URL verwendenDiese Einstellung weist den Dienst für Single Sign-On an, nur den Abfrageparameter "SMPORTALURL" zu verschlüsseln. Der verschlüsselte Abfrageparameter "SMPORTALURL" verhindert, dass ein bösartiger Benutzer den Wert ändert und authentifizierte Benutzer auf eine bösartige Website umleitet. "SMPORTALURL" wird an die Authentifizierungs-URL angehängt, bevor der Browser den Benutzer umleitet, um eine Sitzung herzustellen. Nachdem der Benutzer authentifiziert wurde, leitet der Browser den Benutzer zurück an das Ziel, das im Abfrageparameter "SMPORTALURL" angegeben ist.Wenn Sie das Kontrollkästchen "Sichere URL verwenden" auswählen, müssen Sie folgende Schritte ausführen:1. Legen Sie das Feld "Authentifizierungs-URL" auf folgende URL fest: http(s)://idp_server:port/affwebservices/secure/secureredirect2. Schützen Sie den Webservice "secureredirect" mit einer Richtlinie.Bei die behauptende Seite mehr als einen vertrauenden Partner bedient, authentifiziert die behauptende Seite wahrscheinlich verschiedene Benutzer für diese verschiedenen Partner. Für jede Authentifizierungs-URL, die "secureredirect" verwendet, ist daher dieser Webservice in einem unterschiedlichen Bereich für jeden Partner enthalten.Um den Service "secureredirect" zu verschiedenen Bereichen zuzuordnen, ändern Sie die Datei "web.xml", und erstellen Sie verschiedene Ressourcenzuordnungen. Kopieren Sie den Webservice "secureredirect" nicht in verschiedenen Speicherorten auf Ihrem Server. Suchen Sie die Datei "web.xml" im Verzeichnisweb_agent_home/affwebservices/WEB-INF, wobeiweb_agent_homeder Speicherort des installierten Web-Agenten ist.
- Delegiert – Ein Drittanbieter-WAM-System (Web Access Management) verarbeitet die Benutzerauthentifizierung. Füllen Sie die zusätzlichen Felder aus.
- Anmeldeinformationsauswahl - Benutzern wird eine Seite mit Anmeldeinformationsauswahl bereitgestellt, die mehrere Identity Provider auflistet. Die Identity Provider können Social Media-, WS-Federation-, SAML- und OAuth-Partner sein. Benutzer wählen den entsprechenden Identity Provider aus, und dieser Provider authentifiziert den Benutzer. Die Liste der zulässigen Identity Provider ist in einer Gruppe der Authentifizierungsmethode angegeben. Für alle diese Partner muss der Benutzer bereits mit diesen externen Partnern registriert sein.
- Typ der delegierten Authentifizierung (Nur delegierter Modus)Gibt an, ob die Drittanbieterauthentifizierung ausgeführt wird, indem ein quelloffenes Cookie oder eine Abfragezeichenfolge mit der Benutzeranmelde-ID und anderen Informationen übergeben wird. Dieses Feld wird nur angezeigt, wenn "Delegiert" als Authentifizierungsmodus gewählt wurde.Optionen:Abfragezeichenfolge, Quelloffenes Cookie
- Abfragezeichenfolge: Wenn eine Abfragezeichenfolge ausgewählt ist, erstellt der Drittanbieter eine Umleitungszeichenfolge und fügt einen Abfrageparameter mit dem Namen "LoginIDHash" zu dieser Zeichenfolge hinzu. Der Parameter "LoginIDHash" ist eine Kombination aus Anmelde-ID eines Benutzers und einem gemeinsamen geheimen Schlüssel. Diese zwei Werte werden verbunden und anschließend über einen Hashing-Algorithmus verarbeitet.Wichtig!Verwenden Sie die Abfragezeichenfolgenmethode nicht in Produktionsumgebungen. Die Umleitungsmethode mit Abfragezeichenfolgen ist nur für Testumgebungen gedacht. Die Abfragezeichenfolgenoption erzeugt keine FIPS-kompatible Partnerschaft.
- Quelloffenes Cookie: Das Drittanbietersystem kann einen Federation Java SDK oder .NET SDK verwenden, um das quelloffene Cookie zu erstellen. Als Alternative können Sie eine Programmiersprache verwenden, um ein Cookie manuell zu erstellen. Der Drittanbieter leitet den Browser auf Ihr Federation-System um, das die Benutzer-ID abruft.
- URL der delegierten AuthentifizierungGibt die URL des Webzugriffsverwaltungssystems des Drittanbieters an, das die Benutzerauthentifizierung verarbeitet. Wenn ein Benutzer eine Anforderung am Federation-System initiiert, wird der Benutzer für die Authentifizierung an das Webzugriffsverwaltungssystem umgeleitet. Nach erfolgreicher Authentifizierung wird der Benutzer zurück an das Federation-System umgeleitet.Diese URL ist nicht relevant, wenn ein Benutzer zuerst eine Anforderung am Webzugriffsverwaltungssystem initiiert.Wert:Eine gültige URL beginnt mit "http://" oder "https://"
- Delegierten Authentifizierungsstatus verfolgen- Prüft, ob die delegierte Authentifizierung erfolgreich ist. Falls die delegierte Authentifizierung fehlschlägt, bestimmt diese Einstellung das Verhalten des Federation-Systems. Standardmäßig ist dieses Kontrollkästchen aktiviert.Wenn ein Benutzer beim Zugriff auf eine geschützte Ressource, die für die delegierte Authentifizierung konfiguriert ist, keine Anmeldeinformationen angibt, schlägt die delegierte Authentifizierung fehl. Wenn dieser Benutzer versucht, in der gleichen Browsersitzung erneut auf die Ressource zuzugreifen, zeigt der Browser den Fehler 404 an. Auch schreibt das Federation-System eine Fehlermeldung in die Dateien affwebservices.log und FWSTrace.log. Die Fehlermeldung zeigt an, dass die Anmeldeinformationen für delegierte Authentifizierung fehlen. Das Federation-System leitet den Benutzer nicht zur URL der delegierten Authentifizierung zurück, damit er die Anmeldeinformationen angibt.Deaktivieren Sie dieses Kontrollkästchen, wenn Sie wollen, dass das Federation-System den Benutzer in der gleichen Browser-Sitzung zur URL der delegierten Authentifizierung zurückführt. Durch Deaktivieren der Tracking-Funktion kann ein Benutzer versuchen, in der gleichen Browser-Sitzung erneut auf die Ressource zuzugreifen, ohne einen 404-Fehler zu erhalten. Das Federation-System leitet den Browser stattdessen zur URL der delegierten Authentifizierung zurück. Dort wird der Benutzer erneut aufgefordert, die Anmeldeinformationen einzugeben.
- Geheimer Hash-Wert (nur Abfragezeichenfolge)Legt den gemeinsamen geheimen Schlüssel fest, der an die Benutzeranmelde-ID angehängt wird, um den Abfrageparameter "LoginIDHash" zu erstellen. Diese Einstellung ist nur relevant, wenn Sie die Abfragezeichenfolge als delegierten Authentifizierungstyp auswählen.
- Geheimen Hash-Wert bestätigen (nur Abfragezeichenfolge)Bestätigt den geheimen Hash-Wert. Geben Sie den Wert des geheimen Hash-Werts erneut ein.
- Quelloffenes Cookie (nur quelloffenes Cookie)Der Benutzer wird an die Zielanwendung umgeleitet, indem eine HTTP-302-Umleitung mit einem quelloffenen Cookie und ohne andere Daten durchgeführt wird. Die Kundenanwendung entschlüsselt das verschlüsselte Cookie, um die Benutzerinformationen abzurufen.Wenn die vertrauende Seite eine Assertion mit mehreren Attributwerten empfängt, werden alle Werte an die Zielanwendung übergeben.Wenn Sie die Option "Quelloffenes Cookie" für delegierte Authentifizierung auswählen, zeigt die Verwaltungsoberfläche die folgenden zusätzlichen Felder an:
- Name des quelloffenen CookiesGibt den Cookie-Namen an.VerschlüsselungstransformationZeigt den Verschlüsselungsalgorithmus an, der verwendet werden soll, um das quelloffene Cookie zu verschlüsseln.Wenn Sie einen der FIPS-kompatiblen Algorithmen (AES-Algorithmen) auswählen, muss das Zielsystem einen Federation-SDK verwenden, um das Cookie zu verwenden. Das SDK muss sich auf dem gleichen Server wie die Zielanwendung befinden.Wenn Sie den Federation-NET-SDK verwenden, um das Cookie zu konsumieren, verwenden Sie den Verschlüsselungsalgorithmus "AES128/CBC/PKCS5Padding".VerschlüsselungskennwortZeigt das Kennwort an, das verwendet wird, um das Cookie zu verschlüsseln. Die Felder "Verschlüsselungskennwort" und "Kennwort bestätigen" sind erforderlich.Kennwort bestätigenBestätigt den Eintrag für das Verschlüsselungskennwort.HMAC aktivierenZeigt an, dass ein HMAC (Hash Message Authentication Code) mithilfe des Verschlüsselungskennworts generiert wird, das in diesem Dialogfeld angegeben ist.MACs (Message authentication codes) können die Integrität der Informationen prüfen, die zwischen zwei Parteien gesendet werden. Die zwei Parteien nutzen gemeinsam einen geheimen Schlüssel für die Berechnung und Prüfung der Meldungsauthentifizierungswerte. Ein HMAC (Hash Message Authentication Code) ist ein MAC-Mechanismus, der auf kryptografischen Hash-Funktionen basiert.Wenn Sie das Kontrollkästchen "HMAC aktivieren" auswählen, generiert das System einen HMAC-Wert für das quelloffene Cookie. Der HMAC-Wert wird dann dem Wert des quelloffenen Cookies vorangestellt, und anschließend wird die gesamte Zeichenfolge verschlüsselt. Das Federation-System fügt die verschlüsselte Zeichenfolge in das quelloffene Cookie ein, das dann an die Zielanwendung übergeben wird.Zeitversatz des Cookies (Sekunden)Gibt die Anzahl an Sekunden an, und zwar subtrahiert von der aktuellen Systemzeit, um die Unterschiede in den Systemuhren aufzuzeigen. Der Unterschied besteht zwischen Ihrem Federation-System und der Drittanbieteranwendung, die die delegierte Authentifizierung verarbeitet.Die Software wendet den Zeitversatz auf die Generierung und die Nutzung des Cookies im offenen Format an.Wert:Geben Sie einen Wert in Sekunden ein.
- Zeitlimit des LeerlaufsBestimmt die Zeit, die eine autorisierte Benutzersitzung inaktiv bleiben kann, bevor der Agent die Sitzung beendet. Wenn Sie besorgt sind, dass Benutzer nach dem Zugriff auf eine geschützte Ressource ihre Workstations verlassen lassen, dann legen Sie das Zeitlimit des Leerlaufs auf einen kurzen Zeitraum fest. Wenn die Sitzung das Zeitlimit überschreitet, müssen Benutzer erneut authentifiziert werden, bevor Sie wieder auf die Ressourcen zugreifen.Diese Einstellung ist standardmäßig aktiviert. Deaktivieren Sie das Kontrollkästchen, um kein Zeitlimit des Leerlaufs anzugeben. Das standardmäßige Zeitlimit des Leerlaufs ist eine Stunde.Hinweis:Die Sitzung läuft tatsächlich innerhalb eines bestimmten Wartungszeitraums, nach dem angegebenen Zeitlimit des Leerlaufs, ab. Die Sekundenanzahl, die im folgenden Registrierungsschlüssel angegeben ist, legt den Zeitraum fest:HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\siteminder\CurrentVersion\SessionServer\MaintenancePeriodZum Beispiel legen Sie das Zeitlimit des Leerlaufs auf 10 Minuten fest. Sie legen auch die Registrierung für den Wartungszeitraum auf den Standardwert fest. Der längste Zeitraum, bevor eine Sitzung das Zeitlimit aufgrund von Inaktivität überschreitet, ist 11 Minuten (Zeitlimit + Wartungszeitraum).Um diese Funktion mit dem standardmäßigen Authentifizierungsschema zu verwenden, muss der Web-Agent auf "Cookie-Anforderung" konfiguriert sein.Beachten Sie folgende Probleme:
- Aktivieren Sie bei dauerhaften Sitzungen das Zeitlimit des Leerlaufs, und legen Sie es auf einen Wert fest, der höher ist als der Validierungszeitraum.
- Sie können diese globale Einstellung überschreiben, indem Sie das Antwortattribut "WebAgent-OnAuthAccept-Session-Idle-Timeout" verwenden. Ein Nullwert gibt an, dass die Sitzung nicht aufgrund von Inaktivität beendet wird.
Standard: 60 SekundenStundenGibt die Stundenanzahl für das Zeitlimit des Leerlaufs an. - MinutenGibt die Minutenanzahl für das Zeitlimit des Leerlaufs an.
- Maximales ZeitlimitBestimmt die Zeit, die eine Benutzersitzung maximal aktiv sein kann, bevor der Agent den Benutzer zur erneuten Authentifizierung auffordert.Diese Einstellung ist standardmäßig aktiviert. Deaktivieren Sie das Kontrollkästchen, um keine maximale Sitzungsdauer anzugeben. Die maximale Sitzungsdauer ist standardmäßig auf zwei Stunden festgelegt.
- StundenGibt die Stundenanzahl für die maximale Sitzungsdauer an.
- MinutenGibt die Minutenanzahl für die maximale Sitzungsdauer an.
Um diese Funktion mit dem standardmäßigen Authentifizierungsschema zu verwenden, konfigurieren Sie den Web-Agenten auf "Require Cookies" (Cookies sind erforderlich).Hinweis:Sie können diese Einstellung überschreiben, indem Sie das Antwortattribut "WebAgent-OnAuthAccept-Session-Max-Timeout" verwenden. - MinimaleAuthentifizierungsebeneGibt die minimale Ebene an, auf der ein Benutzer authentifiziert sein muss, um Zugriff auf einen Bereich zu erhalten. Wenn der Benutzer auf dieser Ebene oder auf einer höheren Ebene authentifiziert wurde, dann generiert der Identity Provider eine Assertion für den Benutzer. Wenn der Benutzer nicht auf dieser Ebene oder nicht auf einer höheren Ebene authentifiziert wurde, dann werden sie an die Authentifizierungs-URL umgeleitet, um auf dieser Ebene authentifiziert zu werden.
Wenn Sie "Anmeldeinformationsauswahl" als Authentifizierungsmodus auswählen, sollten Sie die folgenden Felder ausfüllen:
- Authentifizierungsbasis-URLDefiniert den Hostnamen desCA Access Gateway-Servers, auf dem der Dienst zur Handhabung der Anmeldeinformationen installiert ist. Geben Sie den Wert im folgenden Format ein:https:sps_hostname/chs/login oder http:sps_hostname/chs/login
- AuthentifizierungsmethodengruppenGibt die Authentifizierungsmethodengruppe der Identity Provider an, die den Benutzern angezeigt werden muss, wenn die Partnerschaft aufgerufen wird.
Single Sign-On (WSFED-IP)
- ZielgruppeGibt die URL der Zielgruppe an. Die Zielgruppen-URL identifiziert den Speicherort eines Dokuments, das die Bedingungen der Geschäftsvereinbarung zwischen den behauptenden und vertrauenden Seiten beschreibt. Der Administrator auf der behauptenden Seite legt die Zielgruppe fest. Dieser Zielgruppenwert muss mit dem Zielgruppenwert bei der vertrauenden Seite und der Entitäts-ID des Ressourcenpartners übereinstimmen. Alle drei Einstellungen müssen den gleichen Wert verwenden.Wert:Eine gültige URL.Der Zielgruppenwert darf 1.024 Zeichen nicht überschreiten und unterscheidet zwischen Groß- und Kleinschreibung.Beispiel:http://fed.example.com/portal1
- URL des Konsumdienstes für Sicherheits-TokenGibt die URL des Service beim Ressourcenpartner an, der Antwortmeldungen der Sicherheits-Token erhält und die Assertion extrahiert. Der standardmäßige Speicherort für den Service ist:https://rp_server:port/affwebservices/public/wsfeddispatcherrp_server:portBestimmt den Webserver und den Port auf dem Ressourcenpartner, auf dem das Web-Agent-Optionspaket oder das SPS-Federation-Gateway gehostet wird. Diese Komponenten stellen die Anwendung "Federation-Webservices" bereit.Hinweis:Der Service "WSFedDispatcher" erhält alle eingehenden WS-Federation-Meldungen und leitet die Abfrageverarbeitung an den entsprechenden Service weiter, der auf den Abfrageparameterdaten basiert. Obwohl der Service "Wsfedsecuritytokenconsumer" vorhanden ist, wird der Service "wsfeddispatcher" für den Eintrag in diesem Feld empfohlen.
- SSO-Gültigkeitsdauer (Sekunden)Gibt die Sekundenanzahl an, die eine generierte Assertion gültig ist.In einer Testumgebung können Sie die Gültigkeitsdauer auf über 60 (Standardwert) erhöhen, wenn folgende Meldung im Nachverfolgungsprotokoll angezeigt wird:Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237) -current time (Fri Sep 09 17:28:33 EDT 2005) is after SessionNotOnOrAftertime (Fri Sep 09 17:28:20 EDT 2005)Hinweis:SSO-Gültigkeitsdauer und Zeitversatz weisen den Richtlinienserver an, wie die Gesamtdauer berechnet werden soll, während der die Single-Sign-On-Anfrage gültig ist.Standard:60Wert:Geben Sie eine positive Ganzzahl ein.
- Benutzerdefiniertes POST-FormularBenennt das benutzerdefinierte Auto-POST-HTML-Formular für Single Sign-On des HTTP-POST. Geben Sie nur den Namen des Formulars ein, nicht den Pfad zum Formular. Ein Formular namens "defaultpostform.html" Formular wird mit dem Produkt installiert.Ein angepasstes Auto-POST-Formular ermöglicht es dem Richtlinienserver, SAML-Informationen an den Ressourcenpartner zu senden. Die physische Seite muss sich im Verzeichnis "%NETE_WA_ROOT%\customization" befinden, wobei "%NETE_WA_ROOT%" der Speicherort des Web-Agent-Optionspakets ist. Wenn der Web-Agent und das Web-Agent-Optionspaket auf dem gleichen System installiert sind, werden sie im gleichen Verzeichnis installiert (z. B. unter "webagent\customization").
- ValidierungszeitraumUm dieses Kontrollkästchen anzuzeigen, aktivieren Sie den Sitzungsserver mithilfe der Richtlinienserver-Verwaltungskonsole.Bestimmt die maximale Dauer zwischen Agentenaufrufen an den Richtlinienserver, um eine Sitzung zu validieren. Die Sitzungsvalidierungsaufrufe informieren den Richtlinienserver darüber, dass ein Benutzer noch aktiv ist, und es bestätigen, dass die entsprechende Benutzersitzung noch gültig ist.Um den Validierungszeitraum anzugeben, geben Sie Werte in die Felder "Stunden", "Minuten" und "Sekunden" ein. Wenn Sie das System konfigurieren, um einen Windows-Benutzersicherheitskontext anzugeben, geben Sie einen hohen Wert ein, wie z. B. 15-30 Minuten. Wenn weniger Sitzungen aktiv sind als der maximale Zwischenspeicherwert der Benutzersitzung des Agenten, muss der Agent die Sitzung mit dem Sitzungsserver nicht erneut validieren.Wichtig!Der Validierungszeitraum der Sitzung muss weniger sein als der angegebene Wert für das Zeitlimit des Leerlaufs.
Sign-Out (WSFED-IP)
Der Abschnitt "Sign-Out" des Dialogfelds wird nur angezeigt, wenn der Sitzungsspeicher aktiviert ist. Aktivieren Sie den Sitzungsspeicher mithilfe der Richtlinienserver-Verwaltungskonsole.
- Abmeldung aktivierenAktiviert die Sign-Out-Funktion für die Partnerschaft.
- URL der AbmeldungsbestätigungGibt die URL des Identitätsanbieter an, der die Abmeldung durchführt.Der Standard-URL ist:http://ip_server:port/affwebservices/signoutconfirmurl.jspip_server:portGibt den Server und die Portnummer des Identitätsanbietersystems an. Das System hostet das Web-Agent-Optionspaket oder das SPS-Federation-Gateway, abhängig davon, welche Komponente in Ihrem Federation-Netzwerk installiert ist."signoutconfirmurl.jsp" ist im Web-Agent-Optionspaket oder im SPS-Federation-Gateway enthalten. Sie können diese Seite in das Standardverzeichnis verschieben, über das die Servlet-Engine für die Federation-Webservices auf die Seite zugreifen kann.Wenn der Ressourcenpartner Sign-Out initiiert, muss die Bestätigungsseite eine ungeschützte Ressource im Ressourcenpartner sein. Wenn der Identity Provider Sign-Out initiiert, muss die Bestätigungsseite eine ungeschützte Ressource auf der Site des Identity Provider sein.
- Remote-Abmelde-URLGibt die URL des Abmeldedienstes beim Ressourcenpartner an. Der Identity Provider sendet die "signoutcleanup"-Anforderung an diese URL.Beispiel: WennSingle Sign-Onals Ressourcenpartner verwendet wird, lautet die URL https://rp_service:port/affwebservices/public/wsfeddispatcher.Hinweis:Der Service "wsfeddispatcher" empfängt alle eingehenden WS-Federation-Meldungen. Dieser Service gibt die Anfrage basierend auf den Abfrageparameterdaten an den entsprechenden Service weiter. Obwohl der Service "wsfedsignout" vorhanden ist, verwenden Sie die wsfeddispatcher-URL als Abmelde-URL.