SSO- und SLO-Dialogfeld (SAML 2.0-IdP)

Im SSO- und SLO-Schritt können Sie den Single Sign-On- und Single Logout-Vorgang konfigurieren.
casso127figsbrde
HID_partnership-sso-asserting
Im SSO- und SLO-Schritt können Sie den Single Sign-On- und Single Logout-Vorgang konfigurieren.
2
Authentifizierung (SAML 2.0-IdP)
Im Authentifizierungsabschnitt können Sie angeben, wie Benutzer während der Single Sign-On-Transaktionen authentifiziert werden. Legen Sie die Methode fest, nach der ein Benutzer ohne Benutzersitzung authentifiziert werden soll.
Dieser Bereich zeigt folgende Einstellungen an:
  • Authentifizierungsmodus
    Zeigt an, ob eine Benutzersitzung hergestellt ist, weil ein Benutzer lokal authentifiziert wurde oder weil eine Authentifizierung an ein Remote-Zugriffsverwaltungssystem eines Drittanbieters delegiert wurde.
    Standard:
    Lokal
    Optionen
    : Wählen Sie eine der folgenden Optionen aus, und konfigurieren Sie alle zusätzlichen Felder für diese Option:
    • Lokal - Das Federation-System verarbeitet die Benutzerauthentifizierung. 
      Wenn Sie im Feld "Authentifizierungsmodus" die Option "Lokal" auswählen, geben Sie eine URL im Feld Authentifizierungs-URL ein. Die URL verweist in der Regel auf die Datei "redirect.jsp". Wenn Sie allerdings das Kontrollkästchen
      Sichere URL verwenden
      auswählen, muss die URL auf den Webservice "secureredirect" verweisen.
      Authentifizierungs-URL
      Gibt eine geschützte URL an, die die Federation verwendet, um Benutzer zu authentifizieren und um eine Sitzung zu erstellen, wenn eine geschützte Ressource angefordert wird. Wenn der Authentifizierungsmodus auf "Lokal" festgelegt ist und ein Benutzer nicht auf der behauptenden Seite angemeldet ist, werden Benutzer an diese URL gesendet. Diese URL muss auf die Datei "redirect.jsp" verweisen, es sei denn, Sie wählen das Kontrollkästchen
      Sichere URL verwenden
      aus. Beispiele: http://
      myserver.idpA.com
      /affwebservices/redirectjsp/redirect.jsphttp://
      myserver.idpA.com
      /siteminderagent/redirectjsp/redirect.jsp 
      myserver i
       gibt den Webserver mit dem Web-Agent-Optionspaket oder
      CA Access Gateway
       (installiert auf der behauptenden Seite) an. Die Anwendung redirectjsp ist in diesen Produkten enthalten.
      Wichtig!
      Schützen Sie die Authentifizierungs-URL mit einer Zugriffssteuerungsrichtlinie. Konfigurieren Sie für die Richtlinie ein Authentifizierungsschema, einen Bereich und eine Regel. Um der Assertion Sitzungsspeicherattribute hinzuzufügen, aktivieren Sie das Kontrollkästchen "Variable der Authentifizierungssitzung beibehalten", das eine Einstellung im Authentifizierungsschema ist.
      Sichere URL verwenden
      Diese Einstellung weist den Dienst für Single Sign-On an, nur den Abfrageparameter "SMPORTALURL" zu verschlüsseln. Der verschlüsselte Abfrageparameter "SMPORTALURL" verhindert, dass ein bösartiger Benutzer den Wert ändert und authentifizierte Benutzer auf eine bösartige Website umleitet. "SMPORTALURL" wird an die Authentifizierungs-URL angehängt, bevor der Browser den Benutzer umleitet, um eine Sitzung herzustellen. Nachdem der Benutzer authentifiziert wurde, leitet der Browser den Benutzer zurück an das Ziel, das im Abfrageparameter "SMPORTALURL" angegeben ist.
      Wenn Sie das Kontrollkästchen "Sichere URL verwenden" auswählen, müssen Sie folgende Schritte ausführen:
      1. Legen Sie das Feld "Authentifizierungs-URL" auf folgende URL fest: http(s)://
      idp_server:port
      /affwebservices/secure/secureredirect
      2. Schützen Sie den Webservice "secureredirect" mit einer Richtlinie.
      Bei die behauptende Seite mehr als einen vertrauenden Partner bedient, authentifiziert die behauptende Seite wahrscheinlich verschiedene Benutzer für diese verschiedenen Partner. Für jede Authentifizierungs-URL, die "secureredirect" verwendet, ist daher dieser Webservice in einem unterschiedlichen Bereich für jeden Partner enthalten.
      Um den Service "secureredirect" zu verschiedenen Bereichen zuzuordnen, ändern Sie die Datei "web.xml", und erstellen Sie verschiedene Ressourcenzuordnungen. Kopieren Sie den Webservice "secureredirect" nicht in verschiedenen Speicherorten auf Ihrem Server. Suchen Sie die Datei "web.xml" im Verzeichnis
      web_agent_home
      /affwebservices/WEB-INF, wobei
      web_agent_home
      der Speicherort des installierten Web-Agenten ist.
       
    • Delegiert – Ein Drittanbieter-WAM-System (Web Access Management) verarbeitet die Benutzerauthentifizierung. Füllen Sie die zusätzlichen Felder aus.
    • Anmeldeinformationsauswahl - Benutzern wird eine Seite mit Anmeldeinformationsauswahl bereitgestellt, die mehrere Identity Provider auflistet. Die Identity Provider können Social Media-, WS-Federation-, SAML- und OAuth-Partner sein. Benutzer wählen den entsprechenden Identity Provider aus, und dieser Provider authentifiziert den Benutzer. Die Liste der zulässigen Identity Provider ist in einer Gruppe der Authentifizierungsmethode angegeben. Für alle diese Partner muss der Benutzer bereits mit diesen externen Partnern registriert sein.
      Wenn Sie "Anmeldeinformationsauswahl" auswählen, sollten Sie folgende Felder ausfüllen:
      Authentifizierungs-Basis-URL
      – Definiert den Hostnamen des
      CA Access Gateway
      -Servers, auf dem der Dienst zur Handhabung der Anmeldeinformationen installiert ist. Geben Sie den Wert im folgenden Format ein: https:
      sps_hostname
      oder http:
      sps_hostname
      Gruppen der Authentifizierungsmethode
      - Gibt die Gruppe der Authentifizierungsmethoden der Identity Provider an, die den Benutzern angezeigt werden muss, wenn die Partnerschaft aufgerufen wird.
    • Dynamisch - Ein IdP authentifiziert erneut einen Benutzer auf der erforderlichen Authentifizierungsebene. Verschiedene Authentifizierungs-URLs werden zur Authentifizierung von Benutzern auf verschiedenen Ebenen verwendet, um die erforderliche Authentifizierungsebene für eine Assertion festzulegen. Nachdem der Benutzer erneut authentifiziert wurde, generiert der IdP eine Assertion.
      Wenn Sie "Dynamisch" auswählen, müssen Sie den Parameter "Authentifizierungskontext-Vorlage" konfigurieren. Das Drop-down "Authentifizierungskontext-Vorlage" listet alle Authentifizierungskontext-Vorlagen auf, die zur Unterstützung von dynamischer Authentifizierung konfiguriert sind. Informationen zur Konfiguration der dynamischen Authentifizierung finden Sie unter "Dynamic Authentication Context Processing (SAML 2.0)" (Verarbeitung des dynamischen Authentifizierungskontextes).
  • casso127figsbrde
    Typ der delegierten Authentifizierung (Nur delegierter Modus)
    Gibt an, ob die Drittanbieterauthentifizierung ausgeführt wird, indem ein quelloffenes Cookie oder eine Abfragezeichenfolge mit der Benutzeranmelde-ID und anderen Informationen übergeben wird. Dieses Feld wird nur angezeigt, wenn "Delegiert" als Authentifizierungsmodus gewählt wurde.
    Optionen: Abfragezeichenfolge, Quelloffenes Cookie
    • Abfragezeichenfolge:
      Wenn eine Abfragezeichenfolge ausgewählt ist, erstellt der Drittanbieter eine Umleitungszeichenfolge und fügt einen Abfrageparameter mit dem Namen "LoginIDHash" zu dieser Zeichenfolge hinzu. Der Parameter "LoginIDHash" ist eine Kombination aus Anmelde-ID eines Benutzers und einem gemeinsamen geheimen Schlüssel. Diese zwei Werte werden verbunden und anschließend über einen Hashing-Algorithmus verarbeitet.
      Wichtig!
      Verwenden Sie die Abfragezeichenfolgenmethode nicht in Produktionsumgebungen. Die Umleitungsmethode mit Abfragezeichenfolgen ist nur für Testumgebungen gedacht.
      Hinweis:
      Die Abfragezeichenfolgenoption erzeugt keine FIPS-kompatible Partnerschaft.
    • Quelloffene Cookies: Das Drittanbietersystem muss
      CA SiteMinder® Federation
      -Java oder -.NET SDK verwenden, um das quelloffene Cookie zu erstellen. Als Alternative können Sie eine Programmiersprache verwenden, um ein Cookie manuell zu erstellen. Der Drittanbieter leitet den Browser auf Ihr Federation-System um, das die Benutzer-ID abruft.
  • URL der delegierten Authentifizierung (Nur delegierter Modus)
    Gibt die URL des Webzugriffsverwaltungssystems des Drittanbieters an, das die Benutzerauthentifizierung verarbeitet. Wenn ein Benutzer eine Anforderung am lokalen System initiiert, wird der Benutzer für die Authentifizierung an das Webzugriffsverwaltungssystem umgeleitet. Nach erfolgreicher Authentifizierung wird der Benutzer zurück an das lokale System umgeleitet.
    Diese URL ist nicht relevant, wenn ein Benutzer zuerst eine Anforderung am Webzugriffsverwaltungssystem initiiert.
    Wert:
    Eine gültige URL beginnt mit "http://" oder "https://"
  • casso127figsbrde
    Delegierten Authentifizierungsstatus verfolgen
    Prüft, ob die delegierte Authentifizierung erfolgreich ist. Falls die delegierte Authentifizierung fehlschlägt, bestimmt diese Einstellung das Verhalten des Federation-Systems. Standardmäßig ist dieses Kontrollkästchen aktiviert. Wenn ein Benutzer beim Zugriff auf eine geschützte Ressource, die für die delegierte Authentifizierung konfiguriert ist, keine Anmeldeinformationen angibt, schlägt die delegierte Authentifizierung fehl. Wenn dieser Benutzer versucht, in der gleichen Browsersitzung erneut auf die Ressource zuzugreifen, zeigt der Browser den Fehler 404 an. Auch schreibt das Federation-System eine Fehlermeldung in die Dateien affwebservices.log und FWSTrace.log. Die Fehlermeldung zeigt an, dass die Anmeldeinformationen für delegierte Authentifizierung fehlen. Das Federation-System leitet den Benutzer nicht zur URL der delegierten Authentifizierung zurück, damit er die Anmeldeinformationen angibt.
    Deaktivieren Sie dieses Kontrollkästchen, wenn Sie wollen, dass das Federation-System den Benutzer in der gleichen Browser-Sitzung zur URL der delegierten Authentifizierung zurückführt. Durch Deaktivieren der Tracking-Funktion kann ein Benutzer versuchen, in der gleichen Browser-Sitzung erneut auf die Ressource zuzugreifen, ohne einen 404-Fehler zu erhalten. Das Federation-System leitet den Browser stattdessen zur URL der delegierten Authentifizierung zurück. Dort wird der Benutzer erneut aufgefordert, die Anmeldeinformationen einzugeben.
  • Parameter der Abfragezeichenfolgen für delegierte Authentifizierung
    Wenn Sie "Abfragezeichenfolge" für das Feld "Typ der delegierten Authentifizierung" auswählen, füllen Sie diese zusätzlichen Einstellungen aus:
    • Geheimer Hash-Wert
      Legt den gemeinsamen geheimen Schlüssel fest, der an die Benutzeranmelde-ID angehängt wird, um den Abfrageparameter "LoginIDHash" zu erstellen. Diese Einstellung ist nur relevant, wenn Sie die Option "Abfragezeichenfolge" als delegierten Authentifizierungstyp auswählen.
    • Geheimen Hash-Wert bestätigen
      Bestätigt den geheimen Hash-Wert. Geben Sie den Wert des geheimen Hash-Werts erneut ein.
  • Parameter des quelloffenen Cookies für delegierte Authentifizierung
    Wenn Sie das quelloffene Cookie auswählen, wird der Benutzer über eine HTTP-302-Umleitung an die Drittanbieteranwendung umgeleitet. Das Drittanbieter-WAM-System authentifiziert den Benutzer und gibt die Benutzeranmeldeinformationen für
    Single Sign-On
    auf der behauptenden Seite in einem quelloffenen Cookie frei.
    Wenn Sie die Option "Quelloffenes Cookie" für delegierte Authentifizierung auswählen, werden folgende zusätzliche Felder angezeigt:
    Name des quelloffenen Cookies
    Gibt den Cookie-Namen an.
    Verschlüsselungstransformation
    Zeigt die Verschlüsselungstransformation an, die verwendet werden soll, um das quelloffene Cookie zu verschlüsseln. Verwenden Sie den gleichen Wert, den das Drittanbieter-WAM-System verwendet, um das quelloffene Cookie zu verschlüsseln.
    Verschlüsselungskennwort
    Zeigt das Kennwort an, das verwendet wird, um das Cookie zu entschlüsseln. Verwenden Sie den gleichen Wert, den das Drittanbieter-WAM-System verwendet, um das quelloffene Cookie zu verschlüsseln.
    Kennwort bestätigen
    Bestätigt den Eintrag für das Verschlüsselungskennwort.
    HMAC aktivieren
    Zeigt an, dass die Software ein HMAC (Hash Message Authentication Code) mithilfe des Verschlüsselungskennworts generiert, das in diesem Dialogfeld angegeben ist.
    MACs (Message authentication codes) können die Integrität der Informationen prüfen, die zwischen zwei Parteien gesendet werden. Die zwei Parteien nutzen gemeinsam einen geheimen Schlüssel für die Berechnung und Prüfung der Meldungsauthentifizierungswerte. Ein HMAC (Hash Message Authentication Code) ist ein MAC-Mechanismus, der auf kryptografischen Hash-Funktionen basiert.
    Wenn Sie das Kontrollkästchen "HMAC aktivieren" auswählen, generiert das System einen HMAC-Wert für das quelloffene Cookie. Die Software stellt den HMAC-Wert dem Wert des quelloffenen Cookies voran, und anschließend wird die gesamte Zeichenfolge verschlüsselt. Das System fügt die verschlüsselte Zeichenfolge in das quelloffene Cookie ein, das dann an die Zielanwendung übergeben wird.
    Zeitversatz des Cookies (Sekunden)
    Gibt die Anzahl an Sekunden an, und zwar subtrahiert von der aktuellen Systemzeit, um die Unterschiede in den Systemuhren aufzuzeigen. Der Unterschied besteht zwischen Ihrem Federation-System und der Drittanbieteranwendung, die die delegierte Authentifizierung verarbeitet. Die Software wendet den Zeitversatz auf die Generierung und die Nutzung des Cookies im offenen Format an.
    Wert:
    Geben Sie einen Wert in Sekunden ein.
    Authentifizierungsklasse mit dem Wert des quelloffenen Cookies überschreiben
    Aktivieren Sie dieses Kontrollkästchen, um den konfigurierten Authentifizierungsklassen-URI mit dem URI zu überschreiben, der von einem Remote-Zugriffsverwaltungssystem eines Drittanbieters gesendet wurde und in der Assertion an den SP enthalten ist.
  • Authentifizierungsklasse
    Gibt den URI an, der im Element "AuthnContextClassRef" in der Assertion angegeben ist, die beschreibt, wie ein Verbundbenutzer authentifiziert wird. Wenn der Benutzer lokal authentifizieren wird, akzeptieren Sie den Standard-URI für das Kennwort. Wenn der Benutzer über ein Zugriffsverwaltungssystem eines Drittanbieters authentifiziert wird, bearbeiten Sie dieses Feld, um die Authentifizierungsmethode wiederzugeben.
    Standard:
    urn:oasis:names:tc:SAML:2.0:ac:classes:Password
    Lokaler Authentifizierungsmodus:
    urn:oasis:names:tc:SAML:2.0:ac:classes:Password
    Wert für delegierten Authentifizierungsmodus:
    Gültiger URI für das Element "AuthnContextClassRef", wie in der SAML-Spezifikation angegeben.
  • Konfigurieren von AuthnContext
    Definiert die Methode, die der Identity Provider verwendet, um den Authentifizierungskontext festzulegen, der in der Assertion eingefügt wird. Vorhandene Optionen:
    • Vordefinierte Authentifizierungsklasse verwenden
      Weist den Identity Provider an, einen hartkodierten Authentifizierungsklassen-URI in der Assertion zu verwenden. Dieser URI ist der Wert, der im Feld "Authentifizierungsklasse" angegeben ist. Wenn Sie diese Option auswählen, dann konfigurieren Sie folgendes Feld:
      Authentifizierungsklasse
      Gibt den URI an, der im Element "AuthnContextClassRef" in der Assertion angegeben ist, die beschreibt, wie ein Verbundbenutzer authentifiziert wird. Akzeptieren Sie den Standard-URI für das Kennwort.
      Standard:
      urn:oasis:names:tc:SAML:2.0:ac:classes:Password
    • Authentifizierungsklasse automatisch erkennen
      Weist den Identity Provider an, die Klasse "AuthnContext" zur Schutzebene für die Sitzung zuzuordnen, die auf einer konfigurierten Vorlage für den Authentifizierungskontext basiert. Wenn Sie diese Option auswählen, konfigurieren Sie das Feld "Vorlagen für den Authentifizierungskontext". Diese Einstellung identifiziert die Vorlage, die der Identity Provider verwendet, um den Authentifizierungskontext zur zugeordneten Schutzebene für eine bestimmte Benutzersitzung zuzuordnen.  Wählen Sie "Vorlage erstellen" aus, um eine Vorlage zu erstellen, statt eine vorhandene Vorlage auszuwählen. 
  • Angeforderten "AuthnContext" ignorieren
    Weist den Identity Provider an, das Element <RequestedAuthnContext> in der Authentifizierungsanforderung zu ignorieren, die der Service Provider sendet. Der Identity Provider legt den Authentifizierungskontext mithilfe einer vordefinierten Authentifizierungsklasse oder eine Vorlage für den Authentifizierungskontext fest.
  • Zeitlimit des Leerlaufs (Stunden:Minuten)
    Bestimmt die Zeit, während derer eine autorisierte Benutzersitzung inaktiv bleiben kann, bevor das Federation-System die Sitzung beendet. Wenn Sie besorgt sind, dass Benutzer nach dem Zugriff auf eine geschützte Ressource ihre Workstations verlassen lassen, dann legen Sie das Zeitlimit des Leerlaufs auf einen kurzen Zeitraum fest. Wenn die Sitzung das Zeitlimit überschreitet, müssen Benutzer erneut authentifiziert werden, bevor Sie wieder auf die Ressourcen zugreifen.
    Diese Einstellung ist standardmäßig aktiviert. Deaktivieren Sie das Kontrollkästchen, um kein Zeitlimit des Leerlaufs anzugeben. Das standardmäßige Zeitlimit des Leerlaufs ist eine Stunde.
    Standard:
    1 Stunde
    • Stunden
      Gibt die Stundenanzahl für das Zeitlimit des Leerlaufs an.
    • Minuten
      Gibt die Minutenanzahl für das Zeitlimit des Leerlaufs an.
  • Maximales Zeitlimit (Stunden:Minuten)
    Bestimmt die Zeit, während derer eine Benutzersitzung maximal aktiv sein kann, bevor das Federation-System den Benutzer zur erneuten Authentifizierung auffordert.
    Diese Einstellung ist standardmäßig aktiviert. Deaktivieren Sie das Kontrollkästchen, um keine maximale Sitzungsdauer anzugeben.
    Standard
    : 2 Stunden
    • Stunden
      Gibt die Stundenanzahl für die maximale Sitzungsdauer an.
    • Minuten
      Gibt die Minutenanzahl für die maximale Sitzungsdauer an.
  • Aktualisieren der Sitzung für ForceAuthn
    Aktivieren Sie dieses Kontrollkästchen, um die Assertion mit der Startzeit, das maximale Zeitlimit und das Zeitlimit des Leerlaufs für die aktuelle Sitzung zu aktualisieren. Dieses Kontrollkästchen ist gültig, wenn Anmeldeinformationen vom SP angefordert werden und die Authentifizierungsanforderung einen erzwungenen Authentifizierungs-Abfrageparameter enthält.
    Diese Einstellung ist standardmäßig deaktiviert. Die Startzeit und die Zeitlimits der ursprünglichen Sitzung werden verwendet, wenn die Assertion generiert wird.
  • Erhöhte Sitzungssicherheit aktivieren
    Aktivieren Sie dieses Kontrollkästchen, um die Ressourcen zu schützen, die im Bereich (des Richtliniendomänenmodells) oder der Komponente (des Anwendungsmodells) angegeben werden. Sie können auch die Authentifizierungsanforderungen von bestimmten Federation-Partnerschaften schützen. Der Sitzungssicherungsendpunkt erfasst die DeviceDNA™ vom Benutzer und validiert die Sitzung. Diese Funktion benötigt Sitzungssicherungsendpunkte.
SSO (SAML 2.0-IdP)
Im SSO-Abschnitt können Sie Single Sign-On (SSO) konfigurieren. Dieser Bereich zeigt folgende Einstellungen an:
  • Bindung der Authentifizierungsanforderung
    Gibt die Typen der Bindungen an, die das IdP zulässt, wenn es eine Authentifizierungsanforderung vom SP erhält.
    Optionen
    : "HTTP-Umleitung", "HTTP-POST"
  • SSO-Bindung
    Legt fest, welches Single Sign-On-Profil für die Verarbeitung von Anforderungen verwendet wird. Sie können alle Bindungen auswählen. Die lokale Entität legt die Reihenfolge fest, in der die Bindungen ausprobiert werden.
    Optionen:
    HTTP-Artefakt, HTTP-POST, "Enhanced Client or Proxy"
    Richtlinien für diese Einstellung:
    • Wenn Sie eine Artefakt-Bindung auswählen, wählen Sie eine Artefakt-Verschlüsselung aus (URL oder FORMULAR). Die Verschlüsselung gibt an, wie das Artefakt zur vertrauenden Seite zurückkommt. Wenn Sie die Option "URL" auswählen, wird das Artefakt als Abfrageparameter in einer URL zurückgeschickt. Wenn Sie "FORMULAR" auswählen, wird das Artefakt in Formulardaten angegeben. Bei einer Artefakt-Bindung wird die Assertion über einen sicheren Backchannel gesendet. Deswegen sollten Sie die Einstellungen im Abschnitt "Backchannel" konfigurieren.
    • Wenn Sie eine SSO-Bindung auswählen, konfigurieren Sie mindestens einen Assertionskonsumdienst mit einer übereinstimmenden Bindung.
    • Wählen Sie das ECP-Profil aus, wenn die Entitäten in der Partnerschaft indirekt durch einen erweiterten Client kommunizieren. Ein erweiterter Client kann ein Browser oder ein anderer Benutzeragent oder ein erweiterter Proxy sein, wie z. B. ein drahtloser Proxy für ein drahtloses Gerät.
    Wenn Sie das "Enhanced Client or Proxy"-Profil auswählen, benötigen Sie einen Assertionskonsumdienst mit der PAOS-Bindung.
  • casso127figsbrde
    Artefakt-Schutztyp
    Definiert, wie der Backchannel für HTTP-Artefakt-SSO geschützt ist. Die Option "Altlast" zeigt an, dass
    CA Single Sign-on
    den Backchannel schützt. Die Partnerschaftsoption zeigt an, dass die Federation-Komponente in
    CA Single Sign-on
    den Backchannel schützt.
    Wenn Sie Ihre
    eTrust SiteMinder FSS
    -Konfiguration im Partnerschafts-Federation-Modell wiederherstellen, können Sie Ihre ursprüngliche Methode verwenden, um den Backchannel zu schützen. Die Option "Altlast" ermöglicht der Konfiguration, die vorhandene URL für den Assertionsabrufdienst (SAML 1.x) oder den Artefakt-Auflösungsdienst (SAML 2.0) zu verwenden. Durch das Auswählen der Option "Altlast" akzeptiert
    CA Single Sign-on
    die Anforderung. Sie müssen die URL nicht ändern. Wenn die Artefaktservice-URL aus einer bestehenden Konfiguration stammt, aber nur die Partnerschaftsoption für diese Einstellung ausgewählt ist, verweigert
    CA Single Sign-on
    die Anforderung.
    Wichtig!
    Stellen Sie bei Auswahl der Option "Altlast" sicher, die Richtlinie zu erzwingen, die den Artefaktservice schützt. Diese Richtlinie ist eine Komponente der Federation-Webservices.
    CA Single Sign-on
    erstellt automatisch Richtlinien für Federation-Webservices, Sie müssen jedoch den Schutz dieser Richtlinien erzwingen. Sie müssen anzeigen, welche Partnerschaft den Zugriff auf den Service gestattet, der Artefakte abruft.
    Optionen:
    "Altlast", "Partnerschaft"
  • Artefakt-Verschlüsselung
    Gibt an, wie das Artefakt verschlüsselt ist, wenn es zur vertrauenden Seite für Single Sign-On des HTTP-Artefakts gesendet wird.
    Optionen:
    URL, Formular
    Wenn Sie "URL" auswählen, wird das Artefakt zu einer URL-verschlüsselten Abfragezeichenfolge hinzugefügt. Wenn Sie "Formular" auswählen, wird das Artefakt in einem Formular zu einem versteckten Steuerelement für das Formular hinzugefügt.
  • Zielgruppe
    Gibt die URL der Zielgruppe an. Die Zielgruppen-URL identifiziert den Speicherort eines Dokuments, das die Bedingungen der Geschäftsvereinbarung zwischen den behauptenden und vertrauenden Seiten beschreibt. Der Administrator auf der behauptenden Seite legt die Zielgruppe fest. Dieser Wert wird mit der Zielgruppe verglichen, die auf der behauptenden Seite angegeben ist.
    Wert:
    Eine URL.
    Der Zielgruppenwert darf 1.024 Zeichen nicht überschreiten und unterscheidet zwischen Groß- und Kleinschreibung. 
    Beispiel:
    http://www.ca.com/fedserver
  • Akzeptieren der ACS-URL in der von der vertrauenden Seite aus eingehenden Authentifizierungsanforderung
    Lässt das System die Assertion Consumer Service-URL in der eingehenden Authentifizierungsanforderung akzeptieren und verarbeiten. Aktivieren Sie dieses Kontrollkästchen, damit das System bestätigt, dass die URL vorhanden und gültig ist, und sich in den Metadaten befindet.
  • Erlaubte Transaktionen
    Zeigt an, welcher Partner Single Sign-On initiieren kann. Wenn Sie steuern, welcher Partner Single Sign-On initiiert, können Sie Federation-Aufrufe verwalten. Beim Wert "Nur SP-initiiert" kann ein SP einen bestimmten Authentifizierungskontext benötigen, der in der Assertion zurückgegeben wird, bevor der Zugriff auf eine Ressource gewährt wird.
  • SSO-Gültigkeitsdauer (Sekunden)
    Gibt die Sekundenanzahl an, die eine generierte Assertion gültig ist. Bei Single Sign-On weisen SSO-Gültigkeitsdauer und Zeitversatz den Richtlinienserver an, wie die Gesamtdauer berechnet werden soll, während derer die Single Sign-On-Anforderung gültig ist. In einer Testumgebung können Sie die Gültigkeitsdauer auf über 60 (Standardwert) erhöhen, wenn folgende Meldung im Nachverfolgungsprotokoll angezeigt wird:
    Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237)  - 
    current time (Fri Sep 09 17:28:33 EDT 2005) is after SessionNotOnOrAfter
    time (Fri Sep 09 17:28:20 EDT 2005)
    Wert:
    Geben Sie eine positive Ganzzahl ein.
    Standard:
    60
  • GUID-Cookie-Gültigkeitsdauer (Sekunden)
    Definiert den Zeitraum (in Sekunden), für den ein GUID-Cookie gültig ist. Konfigurieren Sie diesen Wert, um den AuthnRequest-Status zu verwalten, wenn dieAuthnRequest-Bindung auf HTTP-POST festgelegt ist.
  • Empfohlene SP-Sitzungsdauer
    Gibt die Länge an, die die Sitzung beim SP aktiv ist.
    Im <AuthnStatement> der Assertion berechnet der Richtlinienserver das Attribut "SessionNotOnOrAfter" mithilfe der Formel "current_time + validity_duration + skew_time" (Aktuelle Zeit + Gültigkeitsdauer + Zeitversatz). Wenn ein SP versucht, das Sitzungszeitlimit auf diesen Wert festzulegen, dann ist die Sitzung zu kurz. Sie können dieses Problem beheben, indem Sie den Wert der SSO-Gültigkeitsdauer verwenden oder den Wert "SessionNotOnOrAfter" ändern.
    Optionen:
    • Assertionsgültigkeit verwenden
      Berechnet den Wert "SessionNotOnOrAfter", der auf der Einstellung "SSO-Gültigkeitsdauer" basiert.
    • Sitzungsdauer der benutzerdefinierten Assertion
      Wählen Sie eine der folgenden Optionen aus:
      Auslassen
      : Weist den IdP an, den Parameter "SessionNotOnOrAfter" nicht in die Assertion einzuschließen.
      IDP-Sitzung
      : Berechnet den Wert "SessionNotOnOrAfter", der auf dem IdP-Sitzungszeitlimit basiert. Das Zeitlimit wird im IdP-Bereich für die Authentifizierungs-URL konfiguriert. Über diese Option können die Werte des IdP- und SP-Sitzungszeitlimits synchronisiert werden.
      Benutzerdefiniert
      : Legt das Zeitlimit auf einen benutzerdefinierten Wert in Stunden und Minuten fest.
  • Negative Authentifizierungsantwort aktivieren
    Gibt an, dass der Service Provider Benachrichtigungen empfängt, wenn eine Anforderung zur Benutzerauthentifizierung fehlschlägt.
  • Benutzereinverständnis aktivieren
    Um Benutzerdatenschutz zu erhöhen, können Sie festlegen, dass ein Benutzereinverständnis erforderlich ist, damit die behauptende Seite die Identitätsinformationen für den SP freigibt. Wenn Sie das Kontrollkästchen "Benutzereinverständnis aktivieren" auswählen, fordert die behauptende Seite die Zustimmung des Benutzers an. Die behauptende Seite übergibt den entsprechenden Wert an die Assertion.
    Wenn dieses Kontrollkästchen aktiviert ist, werden die folgenden zwei Felder angezeigt:
    • URL des Dienstes für das Benutzereinverständnis
      Gibt die URL für den Dienst des Benutzereinverständnisses auf der behauptenden Seite an. Der Standard ist "http://
      idp_site:
      8999/affwebservices/public/saml2userconsent"
    • Post-Formular des Benutzereinverständnisses
      Benennt das benutzerdefinierte Auto-POST-HTML-Formular für das Benutzereinverständnis. Geben Sie nur den Namen des Formulars ein, nicht den Pfad zum Formular. Der Benutzer kann das HTML-Formular konfigurieren, das die behauptende Seite dem Benutzer bereitstellt, um die Zustimmung einzuholen. Dieses Formular kann bearbeitet werden, um es an Ihre Geschäftsanforderungen anzupassen.
      Die physische Seite muss sich im Verzeichnis "%NETE_WA_ROOT%\customization" befinden, wobei "%NETE_WA_ROOT%" der Speicherort des Web-Agent-Optionspakets ist. Wenn der Web-Agent und das Web-Agent-Optionspaket auf dem gleichen System installiert sind, werden sie im gleichen Verzeichnis installiert (z. B. unter "webagent\customization").
  • Minimale Authentifizierungsebene
    Gibt die minimale Ebene an, auf der ein Benutzer authentifiziert sein muss, um Zugriff auf einen Bereich zu erhalten. Wenn der Benutzer auf dieser Ebene oder auf einer höheren Ebene authentifiziert wurde, dann generiert der Identity Provider eine Assertion für den Benutzer. Wenn der Benutzer nicht auf dieser Ebene oder nicht auf einer höheren Ebene authentifiziert wurde, dann werden sie an die Authentifizierungs-URL umgeleitet, um auf dieser Ebene authentifiziert zu werden.
  • Benutzerdefiniertes POST-Formular
    Benennt das benutzerdefinierte Auto-POST-HTML-Formular für Single Sign-On des HTTP-POST. Geben Sie nur den Namen des Formulars ein, nicht den Pfad zum Formular. Der Richtlinienserver stellt ein Formular mit dem Namen "defaultpostform.html" zur Verfügung. Ein angepasstes Auto-POST-Formular ermöglicht es dem Richtlinienserver, SAML-Informationen an den Consumer zu senden. Die physische Seite muss sich im Verzeichnis "%NETE_WA_ROOT%\customization" befinden, wobei "%NETE_WA_ROOT%" der Speicherort des Web-Agent-Optionspakets ist. Wenn der Web-Agent und das Web-Agent-Optionspaket auf dem gleichen System installiert sind, werden sie im gleichen Verzeichnis installiert (z. B. unter "webagent\customization").
  • Validierungszeitraum
    Um dieses Kontrollkästchen anzuzeigen, aktivieren Sie den Sitzungsserver mithilfe der Richtlinienserver-Verwaltungskonsole.
    Bestimmt die maximale Dauer zwischen Agentenaufrufen an den Richtlinienserver, um eine Sitzung zu validieren. Die Sitzungsvalidierungsaufrufe informieren den Richtlinienserver darüber, dass ein Benutzer noch aktiv ist, und es bestätigen, dass die entsprechende Benutzersitzung noch gültig ist. Um den Validierungszeitraum anzugeben, geben Sie Werte in die Felder "Stunden", "Minuten" und "Sekunden" ein. Wenn Sie das System konfigurieren, um einen Windows-Benutzersicherheitskontext anzugeben, geben Sie einen hohen Wert ein, wie z. B. 15-30 Minuten. 
    Wichtig!
    Der Validierungszeitraum der Sitzung muss weniger sein als der angegebene Wert für das Zeitlimit des Leerlaufs.
  • Festlegen von OneTimeUseCondition
    Weist den SP an, die Assertion sofort zu verwenden und es nicht für zukünftige Verwendungen beizubehalten. Die Assertion ist nur für eine einmalige Verwendung vorgesehen. Die "OneTimeUse"-Bedingung ist nützlich, weil Informationen in einer Assertion geändert werden können oder ablaufen können, und der SP verwendet eine Assertion mit aktuellen Informationen. Anstatt die Assertion erneut zu verwenden, muss der SP eine neue Assertion vom IdP anfordern.
  • Assertionskonsum-URL
    In diesem Abschnitt können Sie Indexwerte für Assertionskonsumdienst-URLs zuweisen. Wenn Indexnummern zugewiesen werden, können verschiedene Einträge des Assertionskonsumdienstes für verschiedene Protokollbindungen verwendet werden. Die vertrauende Seite schließt einfach die Indexnummer für die entsprechende URL in der AuthnRequest ein, die an die behauptende Seite gesendet wird.
    Die Tabelle in diesem Abschnitt enthält folgende Felder:
    • Index
      Gibt die Indexnummer für die URL eines Assertionskonsumdienstes auf der vertrauenden Seite an.
      Standardwert:
      0
      Wert
      : Eindeutige Ganzzahl zwischen 0 und 65.535
    • Bindung
      Gibt die Single Sign-On-Bindung an, die Sie für den Assertionskonsumdienst verwenden.
      Eine unaufgeforderte Anforderung kann Single Sign-On auf der behauptenden Seite initiieren. Wenn die Verknüpfung, die die Anforderung auslöst, den Abfrageparameter "ProtocolBinding" enthält, überschreibt die Bindung, die in diesem Abfrageparameter angegeben ist, den Wert für dieses Feld.
      Standard:
      HTTP-POST
      Optionen
      : "HTTP-Artefakt", "HTTP-POST", PAOS
    • URL
      Gibt die URL des Assertionskonsumdienstes auf der vertrauenden Seite an.
      Standard: (
      CA Single Sign-on
      als SP)
      : http://
      sp_server:port
      /affwebservices/public/saml2assertionconsumer
    • Standard
      (Optional) Zeigt an, dass die ausgewählte URL als Standardeintrag dient. Aktivieren Sie das Kontrollkästchen neben dem Eintrag, den Sie als Standard verwenden möchten.
SLO (SAML 2.0-IdP)
Im SLO-Abschnitt können Sie Single Logout (SLO) konfigurieren. Dieser Bereich zeigt folgende Einstellungen an:
  • SLO-Bindung
    Gibt an, ob das Single Logout-Profil auf der behauptenden Seite aktiviert ist und welche Bindung verwendet wird. Die Bindung der HTTP-Umleitung sendet SLO-Meldungen mithilfe von HTTP-GET-Anforderungen. Die SOAP-Bindung beruht nach der eigentlichen Anforderung nicht auf HTTP und sendet Meldungen über einen Backchannel.
    Optionen:
    HTTP-Umleitung, HTTP-POST, SOAP. Bei Auswahl dieser Option wird der Bereich "Benutzersuche nach Attributen und Namens-ID-Diensten" angezeigt. Geben Sie eine Suchspezifikation für ein Benutzerverzeichnis im Feld Benutzerdefiniert an. Der von Ihnen angegebenen Wert gibt dem Richtlinienserver Informationen darüber, wie der Benutzerdatensatz im Benutzerverzeichnis gefunden wird.  Geben Sie eine Suchzeichenfolge ein, die für den Verzeichnistyp geeignet ist:
    LDAP:
    uid=%s
    ODBC:
    name=%s
  • URL der SLO-Bestätigung
    Gibt die URL an, auf die der Benutzer umgeleitet wird, wenn der Single Logout-Vorgang abgeschlossen ist. Normalerweise verweist die URL der Bestätigung auf einen Speicherort auf der Site, die Single Logout initiiert hat. Wenn SLO auf Ihrer Site initiiert wird, verwendet das System diese URL. Die URL-Ressource muss eine lokale Ressource sein, auf die Ihre Site zugreifen kann, keine Ressource in einer föderierten Partnerdomäne. Wenn die lokale Domäne beispielsweise "acme.com" und Ihr Partner "example.com" ist, dann muss die URL der SLO-Bestätigung in "acme.com" sein.
    Wert:
    Gültige URL 
  • SLO-Gültigkeitsdauer (Sekunden)
    Gibt die Sekundenanzahl an, die eine SLO-Anforderung gültig ist.
    Standard:
    60
    Sekunden
    Wert:
    Eine positive Ganzzahl
  • Relay-Status überschreibt die URL der SLO-Bestätigung (nur HTTP-Umleitung)
    Ersetzt die URL im Feld "URL der SLO-Bestätigung" mit dem Wert des Abfrageparameters "Relay-Status", der in der Single Logout-Anforderung enthalten ist. Mit diesem Kontrollkästchen haben Sie größere Kontrolle über das Bestätigungsziel für Single Logout. Mit dem Abfrageparameter "Relay-Status" können Sie die Bestätigungs-URL für SLO-Anforderungen dynamisch definieren.
  • Sitzungsindex wiederverwenden
    Gibt an, ob 
    CA Single Sign-on
    in einer einzelnen Browsersitzung den gleichen Sitzungsindex in der Assertion für den gleichen Partner sendet. Ein Benutzer kann mithilfe des gleichen Browserfensters mehrmals mit dem gleichen Partner föderiert werden. Wenn diese Option ausgewählt ist, wird der IdP angewiesen, den gleichen Sitzungsindex in jeder Assertion zu senden. Wenn Sie diese Option deaktivieren, dann generiert 
    CA Single Sign-on
     bei jedem Single Sign-On einen neuen Sitzungsindex. 
    Sie können diese Option aktivieren, um "Single Logout" mit Drittanbieterpartnern sicherzustellen, die den Sitzungsindex, der in neueren Assertionen übergeben wurde, nicht berücksichtigen.
    Hinweis:
    Diese Einstellung ist nur relevant, wenn "Single Logout" aktiviert ist.
  • SLO-Dienst-URLs
    Listet die verfügbaren SLO-Dienst-URLs auf. Die Tabelle enthält folgende Einträge:
    • Auswählen
      Zeigt an, dass dieser Wert den Eintrag für die SLO-Dienst-URL ist.
    • Bindung
      Zeigt die Bindung für die SLO-Verbindung an.
      Optionen:
      "HTTP-Umleitung", "SOAP"
    • Speicherort-URL
      Gibt die URL des Dienstes für Single Logout beim Remote-Partner an, an die die Single Logout-Anforderung gesendet wird.
      Wert:
      Gültige URL
      Wenn Ihr Federation-System beim Remote-SP ist, dann verwenden Sie folgende URLs:
      HTTP-Umleitungs-Bindung:
      http://
      sp_host:port
      /affwebservices/public/saml2slo
      HTTP-POST-Bindung: 
      http://sp_host:port/affwebservices/public/saml2slo
      SOAP-Bindung: 
      http://
      sp_host:port
      /affwebservices/public/saml2slosoap
      Wenn ein Federation-Produkt eines Drittanbieters beim SP ist, verwenden Sie die entsprechende URL für dieses Produkt.
  • Speicherort-URL der Antwort
    (Optional) Gibt die URL des Dienstes für Single Logout für die Entität an. Die Speicherort-URL der Antwort wird in einer Konfiguration verwendet, in der ein Dienst für Single Logout-Anforderungen und ein Dienst für Single Logout-Antworten vorhanden ist. Wenn nur die Speicherort-URL angegeben ist, wird sie standardmäßig für die Anforderung und die Antwort verwendet.
    Wert:
    Gültige URL
Dienst für "Namens-ID verwalten"
Dieser Abschnitt beschreibt die Felder für das Konfigurieren des Diensts "Namens-ID verwalten".
  • MNI-Bindung: SOAP
    Aktivieren Sie den Dienst "Namens-ID verwalten". SOAP ist die einzige unterstützte Bindung.
  • Namens-ID verschlüsseln
    Verschlüsseln Sie die Namens-ID.
  • Verschlüsselte Namens-ID ist erforderlich
    Macht eine Verschlüsselung der Namens-ID in eingehenden Meldungen erforderlich.
  • Signaturanforderung
    Signiert die Meldung der ManageNameID-Anforderung.
  • Signierte Anforderung ist erforderlich
    Macht eine Signatur der Meldung der ManageNameID-Anforderung erforderlich.
  • Antwort signieren
    Signiert die Meldung der ManageNameID-Antwort.
  • Signierte Antwort ist erforderlich
    Macht eine Signatur der Meldung der ManageNameID-Antwort erforderlich.
  • Namens-ID löschen
    Löscht das Benutzerverzeichnisattribut, das die Namens-ID des Benutzers für diese Partnerschaft enthält. Beachten Sie, dass Sie entweder "Namens-ID löschen" oder "Enable Notification" (Benachrichtigung aktivieren) auswählen sollten, um die Funktion betriebsbereit zu machen.
  • SOAP-Zeitlimit (Sekunden)
    Gibt die Anzahl von Minuten an, während derer gewartet wird, bis die Anforderung abläuft.
    Standard
    : 60
  • Anzahl der Wiederholungen
    Gibt an, wie viele Versuche für eine Anforderung durchgeführt werden.
    Standard
    : 3
  • Wiederholungsbegrenzung (Minuten)
    Gibt die Anzahl von Minuten an, während derer gewartet wird, bevor nach einer fehlgeschlagenen Meldung ein neuer Versuch durchgeführt wird.
    Standard
    : 15
  • (Optional) Benachrichtigung aktivieren
    Weist die
    Single Sign-On
    -Federation-Entität an, die Kundenanwendung zu benachrichtigen, wenn ein Benutzer beendet wird. Eine Benachrichtigung informiert den Namens-ID-Dienst im Hintergrund, wenn das Beenden einer Namens-ID erfolgreich war. Aktivieren Sie Benachrichtigungen, wenn der Kunde, der die angeforderte Anwendung besitzt, das Entfernen eines Benutzers aus dem Benutzerverzeichnis steuern möchte. 
  • Benachrichtigungs-URL
    Gibt die URL der Remote-IDP oder -SP an, über die die lokale Federation-Entität die Benachrichtigung sendet, dass die Namens-ID für einen föderierten Benutzer beendet wird.
  • Benachrichtigungszeitlimit (Sekunden)
    Gibt die Sekunden an, die gewartet werden sollen, bis die Benachrichtigungsanforderung das Zeitlimit erreicht.
  • Benachrichtigungsauthentifizierungstyp
    Gibt an, ob der Kunde die Anmeldeinformationen benötigt, wenn eine Beendigung gesendet wird. Wenn Sie auf "Basic" auswählen, führt der Benachrichtigungsdienst im Hintergrund einen Callout über die Benachrichtigungs-URL aus. Die Kundenanwendung kann authentifizieren, dass die
    Single Sign-On
    -Federation für diesen Callout zulässig ist. Wenn Sie "Basic" auswählen, geben Sie Werte für die Einstellungen "Benutzername für Benachrichtigung" und "Benachrichtigungskennwort" an. Diese Werte dienen als Anmeldeinformationen, wenn ein Callout über den Benachrichtigungskanal gesendet wird.
    Optionen
    : "Keine Authentifizierung", "Basic"
  • Benutzername für Benachrichtigung
    Gibt einen Benutzernamen für den Benachrichtigungsdienst an. Dieser Name ist ein Teil der Anmeldeinformationen für die Kundenanwendung, um die Entität zu überprüfen, die über die Benachrichtigungs-URL kommuniziert. 
  • Benachrichtigungskennwort
    Gibt ein Kennwort für den Benachrichtigungsdienst an. Dieses Kennwort ist ein Teil der Anmeldeinformationen für die Kundenanwendung, um die Entität zu überprüfen, die über die Benachrichtigungs-URL kommuniziert.  Eine Kundenanwendung stellt diese Authentifizierung bereit, um sicherzustellen, dass ein gültiger Client die Benachrichtigung sendet.
  • Benachrichtigungsbestätigungskennwort
    Bestätigt den Wert für "Benachrichtigungskennwort".
Backchannel (SAML 2.0-IdP)
casso127figsbrde
Im Bereich "Backchannel" konfigurieren Sie die Authentifizierungsmethode über den Backchannel hinweg. Der Backchannel hat unterschiedliche Zwecke, und zwar auf Grundlage der folgenden Kriterien:
  • HTTP-Artefakt-SSO ist konfiguriert.
  • Single Logout mit der SOAP-Bindung ist konfiguriert.
  • Ihr Federation-System ist der Identitätsanbieter oder Serviceanbieter.
  • Kommunikation erfolgt über einen eingehenden oder ausgehenden Kanal.
Der Bereich "Backchannel" zeigt die folgenden Einstellungen an:
  • Eingehende Konfiguration/Ausgehende Konfiguration
    Konfigurieren Sie einen eingehenden oder ausgehenden Backchannel nach Bedarf durch die ausgewählten Bindungen. Der Backchannel hat nur eine Konfiguration. Wenn zwei Services den gleichen Kanal verwenden, verwenden diese zwei Services die gleiche Backchannel-Konfiguration. Zum Beispiel unterstützt der eingehende Kanal für ein lokales IdP HTTP-Artefakt-SSO und SLO über SOAP. Diese zwei Services müssen die gleiche Backchannel-Konfiguration verwenden.
  • Authentifizierungsmethode
    Gibt die Authentifizierungsmethode an, die den Backchannel schützt.
    Standard:
    Keine Authentifizierung
    Optionen
    : Standard, Client-Zertifikat, Keine Authentifizierung
    Grundlegend
    Zeigt an, dass ein standardmäßiges Authentifizierungsschema die Kommunikation über den Backchannel schützt.
    Hinweis:
    Wenn SSL für die Backchannel-Verbindung aktiviert ist, können Sie die Standardauthentifizierung weiterhin auswählen.
    Wenn Sie die Standardauthentifizierung auswählen, konfigurieren Sie die folgenden zusätzlichen Einstellungen:
    • Backchannel-Benutzername
      (Standardauthentifizierung – nur ausgehender Kanal). Gibt den Benutzernamen des SP an, wenn die Standardauthentifizierung über den Backchannel hinweg verwendet wird. Geben Sie den Namen der Partnerschaft ein, die am Remote-IdP konfiguriert wird. Beispielsweise wird am Remote-IdP eine Partnerschaft mit dem Namen Partners1 zwischen CompanyA (IdP) und CompanyB (SP) definiert. Beim lokalen SP CompanyB geben Sie den Wert Partners1 ein, um den Benutzernamen der zugeordneten Partnerschaft am IdP zuzuordnen.
    • Kennwort
      Gibt das Benutzerkennwort für den Backchannel-Benutzernamen an. Dieses Kennwort ist nur relevant, wenn Sie eine standardmäßige Authentifizierungsmethode oder eine "Basic over SSL"-Authentifizierungsmethode im Backchannel verwenden.
      Die zwei Partner einigen sich über dieses Kennwort.
    • Kennwort bestätigen
      Bestätigt den Kennworteintrag erneut.
    • Backchannel-Zeitlimit (Sekunden)
      (nur ausgehender Kanal) Gibt die maximale Zeit an, die das System nach dem Senden einer Backchannel-Anforderung an den Artefakt-Auflösungsdienst auf eine Antwort wartet. Geben Sie ein Intervall in Sekunden an.
      Standard:
      300 Sekunden
      Wert:
      Positive Ganzzahl
  • Client-Zertifikat
    Zeigt an, dass ein Authentifizierungsschema des X.509-Client-Zertifikats die Kommunikation zum Artefakt-Auflösungsdienst über den gesamten Backchannel schützt.
    Für die Authentifizierung "Client-Zertifikat" muss SSL für alle Endpunkt-URLs verwendet werden. Endpunkt-URLs suchen die verschiedenen SAML-Services auf einem Server, beispielsweise den Artefakt-Auflösungsdienst. Für die SSL-Anforderung ist es erforderlich, dass die URL zum Service mit
    https://
    beginnen muss.
    Um die Client-Zertifikatsauthentifizierung zu implementieren, sendet der SP der behauptenden Seite ein Zertifikat, bevor andere Transaktionen ausgeführt werden. Die behauptende Seite speichert das Zertifikat in ihrer Datenbank. Beide Partner müssen über das Zertifikat verfügen, das die SSL-Verbindung in ihren jeweiligen Datenbanken aktiviert hat. Andernfalls funktioniert die Client-Zertifikatsauthentifizierung nicht.
    Während des Authentifizierungsprozesses sendet die vertrauende Seite ihr Zertifikat der behauptenden Seite. Die behauptende Seite vergleicht das empfangene Zertifikat mit dem Zertifikat in ihrer Datenbank, um zu überprüfen, ob sie übereinstimmen. Wenn eine Übereinstimmung vorliegt, lässt die behauptende Seite die vertrauende Seite auf den Artefakt-Auflösungsdienst zugreifen.
    Wenn Sie die Authentifizierung "Client-Zertifikat" auswählen, konfigurieren Sie folgende zusätzliche Einstellung:
    • Client-Zertifikats-Alias
      Gibt den Alias an, der einem Client-Zertifikat in der Schlüsseldatenbank zugeordnet ist. Wählen Sie den Alias aus der Drop-down-Liste aus.
    • Backchannel-Zeitlimit (Sekunden)
      (nur ausgehender Kanal). Gibt die maximale Zeit an, die
      CA Single Sign-on
      nach dem Senden einer Backchannel-Anforderung an den Artefakt-Auflösungsdienst auf eine Antwort wartet. Geben Sie ein Intervall in Sekunden an.
      Standard:
      300 Sekunden
      Wert:
      Positive Ganzzahl
  • Keine Authentifizierung
    Zeigt an, dass die vertrauende Seite nicht erforderlich ist, um Anmeldeinformationen bereitzustellen. Der Backchannel und der Artefakt-Auflösungsdienst sind nicht gesichert. Sie können SSL weiterhin mit dieser Option aktivieren. Der Backchannel-Datenverkehr wird verschlüsselt, es werden jedoch keine Anmeldeinformationen zwischen den Parteien ausgetauscht.
    Wählen Sie "NoAuth" für Testzwecke, aber nicht für die Produktion aus, außer wenn Ihr Federation-System für ein SSL-aktiviertes Failover konfiguriert ist und es sich hinter einem Proxyserver befindet. Der Proxyserver verarbeitet die Authentifizierung, wenn er über das Serverzertifikat verfügt. In diesem Fall verwenden alle IdP:SP-Partnerschaften "NoAuth" als den Authentifizierungstypen.
Attributservice beim IdP
Sie können einen Identity Provider konfigurieren, der als Attributverwaltung agieren soll. Die Verwaltung kann auf eine Attributabfrage von einem SAML-Anforderer reagieren. Der Anforderer kann Benutzer basierend auf den abgerufenen Attributen autorisieren.
Der Abschnitt "Attributservice" enthält die folgenden Felder zur Unterstützung von Attributabfragen:
  • Aktivieren
    Ermöglicht es dem Identity Provider, als Attributverwaltung zu agieren. Als Attributautorität kann das System auf Abfragemeldungen SAML-Anforderern reagieren.
  • Signierte Attributabfrage ist erforderlich
    Zeigt an, dass die Attributverwaltung eine digital signierte Attributabfrage vom SAML-Anforderer benötigt.
  • casso127figsbrde
    Abfrage mit Proxy aktivieren
    Zeigt an, dass ein Drittanbieter-IdP auf die Attributabfrage antwortet. Die Funktion für Abfrage mit Proxy ist für Bereitstellungen mit Drittanbieter-IdP und -Attributautorität konzipiert. Das lokale Richtlinienserversystem, das Sie konfigurieren, hat zwei Rollen, wenn eine Abfrage mit Proxy implementiert wird. Das System agiert als SP und Attributanforderer für den Drittanbieter-IdP. Das lokale System agiert ebenfalls als IdP und als Attributautorität für den SP, der die angeforderte Anwendung besitzt.
    Eine Abfrage mit Proxy tritt auf, wenn die folgenden Bedingungen erfüllt sind:
    • Das Attribut kann nicht im Benutzerverzeichnis oder Sitzungsspeicher des lokalen Systems gefunden werden.
    • Der Benutzer wird anfänglich vom Drittanbieter-IdP authentifiziert.
    Der Richtlinienserver fragt den Drittanbieter-IdP ab. Wenn der IdP das Attribut findet, gibt er eine Abfrageantwort zurück. Der Richtlinienserver fügt die Attribute der Antwort zum Sitzungsspeicher hinzu. Das System gibt die Antwort mit den Attributen des SP zurück, der die Anwendung besitzt. Dieser SP ist der ursprüngliche Attributanforderer.
    Hinweis:
    Die URL für den Attributservice beim IdP werden in der SP-Partnerschaft konfiguriert.
  • Gültigkeitsdauer in Sekunden
    Gibt die Sekundenanzahl an, die die Assertion gültig ist.
  • Signaturoptionen
    Bezeichnet die Signaturanforderungen für Attributassertionen und Antworten.
    • Assertion signieren
      Weist die Attributverwaltung an, nur die Attributassertion zu signieren. Die SAML-Antwort wird nicht signiert.
    • Antwort signieren
      Weist die Attributverwaltung an, nur die SAML-Antwort zu signieren.
    • Beides signieren
      Weist die Attributverwaltung an, die Attributassertion und die SAML-Antwort zu signieren.
    • Keins von beiden signieren
      Weist die Attributverwaltung an, weder die Attributassertion noch die SAML-Antwort zu signieren.
  • Benutzersuche
    Definiert Suchspezifikationen für Namespaces der Benutzerverzeichnisse. Die Attributverwaltung verwendet die Suchspezifikation, um den Benutzer lokal zu suchen. Die Suchspezifikation muss die Namens-ID des Betreffs von der Attributabfrage enthalten, um den Benutzer zu finden.
    Geben Sie eine Suchspezifikation in das Feld für den Namespace-Typ ein, den Sie verwenden.
    Hinweis:
    Es ist mindestens eine Suchspezifikation erforderlich.
IDP-Discovery (SAML 2.0-IdP)
Im Abschnitt "IDP Discovery" können Sie das Profil "Identity Provider Discovery" konfigurieren. Mit diesem Profil kann die vertrauende Seite festlegen, welche behauptende Seite ein Principal verwendet.
Dieser Bereich zeigt folgende Einstellungen an:
  • IDP-Discovery aktivieren
    Aktiviert oder deaktiviert das Profil "Identity Provider Discovery".
  • Dienst-URL
    Gibt die URL des Servlets für das Profil "Identity Provider Discovery" auf der lokalen Entität an.
  • Allgemeine Domäne
    Gibt die Domäne des allgemeinen Domänen-Cookies an, wo der Dienst "Identity Provider Discovery" Informationen über die behauptende Seite speichert. Diese Domäne muss eine übergeordnete Domäne des Hosts in der Dienst-URL sein.
    Wert:
    Eine gültige Cookie-Domäne
  • Dauerhaftes Cookie aktivieren
    Zeigt an, dass das Cookie dauerhaft sein muss.
URL der Status-Umleitung (SAML 2.0-IdP)
Im Abschnitt "URL der Status-Umleitung" können Sie festlegen, wie ein Browser einen Benutzer umleitet, wenn HTTP 500-, HTTP 400- und HTTP 405-Fehler auftreten.
Wählen Sie die Umleitungsoptionen aus, die Sie aktivieren möchten, und geben Sie anschließend eine zugeordnete URL ein.
Die Optionen sind:
  • Umleitung des Serverfehlers aktivieren
    URL-Umleitung bei Serverfehler:
    Gibt die URL an, an die der Browser den Benutzer umgeleitet, wenn ein HTTP 500-Serverfehler auftritt. Bei einem Benutzer kann ein 500-Fehler auftreten, da eine unerwartete Bedingung verhindert, dass der Webserver die Client-Anforderung erfüllt. Wenn dieser Fehlertyp auftritt, wird der Benutzer zur weiteren Verarbeitung an die angegebene URL gesendet.
    Beispiel:
    http://www.redirectmachine.com/error_pages/server_error.html
  • Umleitung der ungültigen Anforderung aktivieren
    URL-Umleitung für ungültige Anforderung
    : Gibt die URL an, an die der Browser den Benutzer umgeleitet, wenn ein "HTTP 400 Bad Request"- oder "405 Method Not Allowed"-Fehler auftritt. Bei einem Benutzer kann ein 400-Fehler auftreten, wenn eine Anforderung fehlerhaft ist. Bei einem Benutzer kann auch ein 405-Fehler auftreten, weil der Webserver nicht zulässt, dass eine bestimmte Methode oder Aktion ausgeführt wird. Wenn diese Fehlertypen auftreten, wird der Benutzer zur weiteren Verarbeitung an die angegebene URL gesendet.
    Beispiel: http://www.redirectmachine.com/error_pages/invalidreq_error.html
  • Umleitung des nicht autorisierten Zugriffs aktivieren
    URL-Umleitung des unbefugten Zugriffs:
    Gibt die URL an, an die der Benutzer umgeleitet wird, wenn ein "HTTP 403 Forbidden"-Fehler auftritt. Dieser Fehler tritt auf, weil der Benutzer nicht für eine föderierte Transaktion autorisiert ist. Ein 403-Fehler kann auch auftreten, weil die URL in einer Anforderung auf das falsche Ziel verweist, wie z. B. auf ein Verzeichnis statt auf eine Datei.
    Beispiel:
    http://www.redirectmachine.com/error_pages/unauthorized_error.htm
  • 302 - Keine Daten (Standard)
    Leitet den Benutzer über eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und ohne andere Daten um.
  • HTTP POST
    Leitet den Benutzer mithilfe eines "HTTP POST"-Protokolls um.