SSO- und SLO-Dialogfeld (SAML 2.0-SP)

casso127figsbrde
HID_partnerships-SSO-relying
Inhalt
Im SSO- und SLO-Schritt können Sie die Single Sign-On- und Single Logout-Konfiguration festlegen.
Hinweis:
Um die SLO-Einstellungen anzuzeigen, aktivieren Sie den Sitzungsserver mithilfe der Richtlinienserver-Verwaltungskonsole.
SSO (SAML 2.0-SP)
In diesem SSO-Abschnitt können Sie Single Sign-On-Informationen (SSO) konfigurieren. Die Einstellungen sind:
Bindung der Authentifizierungsanforderung
Gibt die Typen der Bindungen an, die das SP verwendet, wenn es eine Authentifizierungsanforderung an den IdP sendet.
Optionen:
"HTTP-Umleitung", "HTTP-POST"
SSO-Profil
Legt fest, welches Single Sign-On-Profil das Federation-System für die Verarbeitung von Anforderungen verwendet. Sie können alle Bindungen auswählen. Die lokale Entität legt die Reihenfolge fest, in der die Bindungen ausprobiert werden.
Optionen:
HTTP-Artefakt, HTTP-POST, "Enhanced Client or Proxy"
Wählen Sie das ECP-Profil aus, wenn die Entitäten in der Partnerschaft indirekt durch einen erweiterten Client kommunizieren. Ein erweiterter Client kann ein Browser oder ein anderer Benutzeragent oder ein erweiterter Proxy sein, wie z. B. ein drahtloser Proxy für ein drahtloses Gerät.
Zielgruppe
Gibt die Zielgruppe für die SAML-Assertion an.
Die Zielgruppe ist eine URL eines Dokuments, das die Bedingungen der Geschäftsvereinbarung zwischen zwei föderierten Partnern beschreibt. Der Administrator auf der behauptenden Seite legt die Zielgruppe fest. Der Wert, den Sie eingeben, muss mit dem Wert der Zielgruppe übereinstimmen, die für die behauptende Seite festgelegt ist.
Wert:
Eine URL.
Zielgruppenwert darf 1.024 Zeichen nicht überschreiten. Der Wert unterscheidet auch zwischen Groß- und Kleinschreibung.
Beispiel:
http://www.ca.com/fedserver
Erlaubte Transaktionen
Zeigt an, welcher Partner Single Sign-On initiieren kann. Wenn Sie steuern, welcher Partner Single Sign-On initiiert, können Sie Federation-Aufrufe verwalten. Zum Beispiel können Sie "Nur SP-initiiert" auswählen. In diesem Fall kann ein SP eine föderierte Transaktion nur dann initiieren, wenn ein bestimmter Authentifizierungskontext angefordert wird.
Benutzereinverständnis ist erforderlich
Zeigt an, dass es für den SP erforderlich ist, dass der Identity Provider den Benutzer um Erlaubnis bittet, die entsprechenden Identitätsinformationen freizugeben. Um die Zustimmung zu bestätigen, vergleicht der SP den Wert des Benutzereinverständnis in der empfangenen Assertion mit einem der folgenden Zustimmungswerte:
  • urn:oasis:names:tc:SAML:2.0:consent:obtained
    Der Identity Provider hat eine Zustimmung vom Benutzer erhalten.
  • urn:oasis:names:tc:SAML:2.0:consent:prior
    Der Identity Provider hat eine Zustimmung vom Benutzer erhalten, bevor die Single Sign-On-Transaktion aufgetreten ist.
  • urn:oasis:names:tc:SAML:2.0:consent:current-implicit
    Der Identity Provider hat implizit eine Zustimmung während der Single Sign-On-Transaktion erhalten. Diese Zustimmung ist oft ein Teil einer Aktivität, die Zustimmung impliziert. Eine implizite Zustimmung ist normalerweise zeitlich näher zur Transaktion als die vorherige Zustimmung.
  • urn:oasis:names:tc:SAML:2.0:consent:current-explicit
    Der Identity Provider hat eine Zustimmung während der Aktion erhalten, die die Single Sign-On-Transaktion initiiert hat.
Schutzebene
Erlaubt Single Sign-On für Authentifizierungsschemen mit den gleichen oder niedrigeren Schutzebenen innerhalb der gleichen Richtliniendomäne. Die Schutzebene erfordert auch zusätzliche Authentifizierung, um auf Ressourcen mit höheren Schemen der Schutzebene zuzugreifen.
Wert:
1 bis 1000.
Authentifizierungsschemen haben eine standardmäßige Schutzebene, die Sie ändern können. Verwenden Sie hohe Schutzebenen für kritische Ressourcen, und verwenden Sie Schemen mit niedrigeren Ebenen für allgemein zugreifbare Ressourcen.
Einmalige Assertion erzwingen
Verhindert, dass SAML 2.0-Assertionen beim Service Provider erneut verwendet werden, um eine zweite Sitzung herzustellen.
Synchrone Überwachung aktivieren
Gibt an, dass Aktionen von Richtlinienserver und Web-Agent- protokolliert werden müssen, bevor Benutzern der Zugriff auf Ressourcen gewährt wird. Der Richtlinienserver erlaubt keinen Zugriff auf die Ressourcen des Bereichs, bis die Aktivität in den Audit-Protokollen aufgezeichnet wurde
.
Dauerhafte Sitzung verwenden
(Optional) Gibt an, dass Benutzersitzungen verfolgt und im Sitzungsspeicher und in Cookies gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Informationen, die bei Authentifizierungsentscheidungen verwendet werden können. Um dieses Kontrollkästchen anzuzeigen, aktivieren Sie den Sitzungsserver mithilfe der Richtlinienserver-Verwaltungskonsole.
Aktivieren Sie dieses Kontrollkästchen, um dauerhafte Sitzungen zu aktivieren. Für das Single Logout und für einmalige Richtlinienfunktionen ist das Auswählen dieses Kontrollkästchens erforderlich.
Validierungszeitraum
Bestimmt die maximale Dauer zwischen Agentenaufrufen zum Richtlinienserver, um eine Sitzung zu validieren. Validierungsaufrufe der Sitzung informieren den Richtlinienserver darüber, dass ein Benutzer noch aktiv ist, und es wird bestätigt, dass die Benutzersitzung noch gültig ist.
Um den Validierungszeitraum anzugeben, geben Sie Werte in die Felder "Stunden", "Minuten" und "Sekunden" ein. Um einen Windows-Benutzersicherheitskontext anzugeben, geben Sie einen hohen Wert ein, wie z. B. 15-30 Minuten. Auch wenn aktive Sitzungen niedriger sind als der maximale Zwischenspeicherwert der Benutzersitzung des Agenten, dann muss der Agent die Sitzung mit dem Sitzungsserver nicht erneut validieren.
Wichtig!
Der Validierungszeitraum der Sitzung muss weniger sein als der angegebene Wert für das Zeitlimit des Leerlaufs.
ACS-URL in der Authentifizierungsanforderung senden
Aktivieren Sie dieses Kontrollkästchen, um die URL des Assertionskonsumdienstes in der Authentifizierungsanforderung einzuschließen, die an den IdP gesendet wurden. Diese URL gibt dem IdP an, wohin die Assertionsantwort gesendet werden soll.
URL des Remote-SSO-Dienstes
Listet die URLs der Dienste für Single Sign-On auf der behauptenden Seite auf. Jeder Eintrag in der Tabelle gibt den Speicherort an, an den der AuthnRequest-Dienst eine AuthnRequest-Meldung umleiten kann. Klicken Sie auf "Zeile hinzufügen", um der Tabelle mehr Einträge hinzuzufügen. Werte, die während der Erstellung oder des Imports der vertrauenden Remote-Seite angegeben wurden, werden in diese Tabelle eingegeben.
Die Tabelle enthält folgende Spalten:
    • Auswählen
      Zeigt an, welcher Eintrag verwendet werden soll.
    • Bindung
      Gibt an, welche Bindung auf der behauptenden Seite unterstützt wird.
      Optionen:
      HTTP-Redirect, HTTP-POST, SOAP
    • URL
      Gibt den Dienst für Single Sign-On auf der behauptenden Seite an.
      Wert:
      URL des SSO-Dienstes auf der behauptenden Remote-Seite
    • Löschen
      Wenn Sie das Symbol auswählen, wird der Eintrag gelöscht.
URLs der Remote-SOAP-Artefakt-Auflösung
Listet die URLs des Artefakt-Auflösungsdienstes auf der behauptenden Seite auf. Dieser Dienst ruft die Assertion ab, die auf dem Artefakt basiert, das die vertrauende Seite sendet. Ein Eintrag in dieser Tabelle ist für Single Sign-On des Artefakts erforderlich. Werte, die während der Erstellung oder des Imports der vertrauenden Remote-Seite angegeben wurden, werden in diese Tabelle eingegeben.
Die Tabelle enthält folgende Spalten:
    • Auswählen
      Weist
      CA Single Sign-on
      an, welcher Eintrag verwendet werden soll.
    • Index
      Ordnet einen Indexwert zu einer bestimmten URL des Artefakt-Auflösungsdienstes zu. Ein Nullwert zeigt den Standardeintrag an.
      Standardwert:
      0
      Einschränkungen:
      0 bis 65.535
    • URL
      URL für den Artefakt-Auflösungsdienst.
      Wenn Ihr Remote-Identity Provider
      CA Single Sign-on
      verwendet, verwenden Sie folgende URL:
      http://
      idp_host:port
      /affwebservices/public/saml2ars
    • Löschen
      Wenn Sie das Symbol auswählen, wird der Eintrag gelöscht.
Dienst für "Namens-ID verwalten"
Dieser Abschnitt beschreibt die Felder für das Konfigurieren des Diensts "Namens-ID verwalten".
  • MNI-Bindung: SOAP
    Aktivieren Sie den Dienst "Namens-ID verwalten". SOAP ist die einzige unterstützte Bindung.
  • Namens-ID verschlüsseln
    Verschlüsseln Sie die Namens-ID.
  • Verschlüsselte Namens-ID ist erforderlich
    Macht eine Verschlüsselung der Namens-ID in eingehenden Meldungen erforderlich.
  • Signaturanforderung
    Signiert die Meldung der ManageNameID-Anforderung.
  • Signierte Anforderung ist erforderlich
    Macht eine Signatur der Meldung der ManageNameID-Anforderung erforderlich.
  • Antwort signieren
    Signiert die Meldung der ManageNameID-Antwort.
  • Signierte Antwort ist erforderlich
    Macht eine Signatur der Meldung der ManageNameID-Antwort erforderlich.
  • Namens-ID löschen
    Löscht das Benutzerverzeichnisattribut, das die Namens-ID des Benutzers für diese Partnerschaft enthält. Beachten Sie, dass Sie entweder "Namens-ID löschen" oder "Enable Notification" (Benachrichtigung aktivieren) auswählen sollten, um die Funktion betriebsbereit zu machen.
  • SOAP-Zeitlimit (Sekunden)
    Gibt die Anzahl von Minuten an, während derer gewartet wird, bis die Anforderung abläuft.
    Standard
    : 60
  • Anzahl der Wiederholungen
    Gibt an, wie viele Versuche für eine Anforderung durchgeführt werden.
    Standard
    : 3
  • Wiederholungsbegrenzung (Minuten)
    Gibt die Anzahl von Minuten an, während derer gewartet wird, bevor nach einer fehlgeschlagenen Meldung ein neuer Versuch durchgeführt wird.
    Standard
    : 15
  • (Optional) Benachrichtigung aktivieren
    Weist die
    Single Sign-On
    -Federation-Entität an, die Kundenanwendung zu benachrichtigen, wenn ein Benutzer beendet wird. Eine Benachrichtigung informiert den Namens-ID-Dienst im Hintergrund, wenn das Beenden einer Namens-ID erfolgreich war. Aktivieren Sie Benachrichtigungen, wenn der Kunde, der die angeforderte Anwendung besitzt, das Entfernen eines Benutzers aus dem Benutzerverzeichnis steuern möchte. 
  • Benachrichtigungs-URL 
    Gibt die URL der Remote-IDP oder -SP an, über die die lokale Federation-Entität die Benachrichtigung sendet, dass die Namens-ID für einen föderierten Benutzer beendet wird.
  • Benachrichtigungszeitlimit (Sekunden)
    Gibt die Sekunden an, die gewartet werden sollen, bis die Benachrichtigungsanforderung das Zeitlimit erreicht.
  • Benachrichtigungsauthentifizierungstyp
    Gibt an, ob der Kunde die Anmeldeinformationen benötigt, wenn eine Beendigung gesendet wird. Wenn Sie auf "Basic" auswählen, führt der Benachrichtigungsdienst im Hintergrund einen Callout über die Benachrichtigungs-URL aus. Die Kundenanwendung kann authentifizieren, dass die
    Single Sign-On
    -Federation für diesen Callout zulässig ist. Wenn Sie "Basic" auswählen, geben Sie Werte für die Einstellungen "Benutzername für Benachrichtigung" und "Benachrichtigungskennwort" an. Diese Werte dienen als Anmeldeinformationen, wenn ein Callout über den Benachrichtigungskanal gesendet wird.
    Optionen
    : "Keine Authentifizierung", "Basic"
  • Benutzername für Benachrichtigung
    Gibt einen Benutzernamen für den Benachrichtigungsdienst an. Dieser Name ist ein Teil der Anmeldeinformationen für die Kundenanwendung, um die Entität zu überprüfen, die über die Benachrichtigungs-URL kommuniziert. 
  • Benachrichtigungskennwort
    Gibt ein Kennwort für den Benachrichtigungsdienst an. Dieses Kennwort ist ein Teil der Anmeldeinformationen für die Kundenanwendung, um die Entität zu überprüfen, die über die Benachrichtigungs-URL kommuniziert.  Eine Kundenanwendung stellt diese Authentifizierung bereit, um sicherzustellen, dass ein gültiger Client die Benachrichtigung sendet.
  • Benachrichtigungsbestätigungskennwort
    Bestätigt den Wert für "Benachrichtigungskennwort".
Attributanfordererservice beim SP
Konfigurieren Sie im Abschnitt "Dienst des Attributanforderers" die Attribute, die der Attributanforderer aus einer Attributautorität abrufen möchte. Diese Attribute werden in die Attributabfrage eingeschlossen, die an die Attributautorität gesendet wird.
Der Abschnitt enthält folgende Einstellungen:
  • Aktivieren
    Ermöglicht es dem Anforderer, Attributabfragen zu generieren.
  • Signierte Assertion ist erforderlich
    Zeigt an, dass der Attributanforderer nur Attributassertionen akzeptiert, die von der Attributautorität signiert werden. Die Assertion wird abgelehnt, wenn sie nicht signiert ist.
  • casso127figsbrde
    Abfrage mit Proxy aktivieren
    Zeigt an, dass ein Drittanbieter-IdP auf die Attributabfrage antwortet. Die Funktion für Abfrage mit Proxy ist für Bereitstellungen mit Drittanbieter-IdP und -Attributautorität konzipiert. Das lokale Richtlinienserversystem, das Sie konfigurieren, hat zwei Rollen, wenn eine Abfrage mit Proxy implementiert wird. Das System agiert als SP und Attributanforderer für den Drittanbieter-IdP. Das lokale System agiert ebenfalls als IdP und als Attributautorität für den SP, der die angeforderte Anwendung besitzt.
    Eine Abfrage mit Proxy tritt auf, wenn die folgenden Bedingungen erfüllt sind:
    • Das Attribut kann nicht im Benutzerverzeichnis oder Sitzungsspeicher des lokalen Systems gefunden werden.
    • Der Benutzer wird anfänglich vom Drittanbieter-IdP authentifiziert.
    Der Richtlinienserver fragt den Drittanbieter-IdP ab. Wenn der IdP das Attribut findet, gibt er eine Abfrageantwort zurück. Der Richtlinienserver fügt die Attribute der Antwort zum Sitzungsspeicher hinzu. Das System gibt die Antwort mit den Attributen des SP zurück, der die Anwendung besitzt. Dieser SP ist der ursprüngliche Attributanforderer.
  • Attributabfrage signieren
    Weist den Attributanforderer an, die Attributabfrage zu signieren, bevor sie der Attributautorität gesendet wird.
  • Signierte Antwort ist erforderlich
    Weist den Attributanforderer an, nur signierte Antworten zu akzeptieren.
  • Attributservices
    Listet die URL des Attributservices der Attributautoritäten auf.
    Um die stellvertretende Attributautorität anzuzeigen, die auf Abfragen vom Anforderer reagiert, aktivieren Sie das entsprechende Optionsfeld.
Attributanfordererservice beim SP
Um den richtigen Wert in die Attributabfrage aufzunehmen, die der Attributanforderer an die Attributautorität sendet, konfigurieren Sie den Abschnitt "Namens-ID".
Hinweis:
Dieser Abschnitt ist nur konfigurierbar, wenn die Attributabfragefunktion aktiviert ist.
Die Felder sind:
  • Format der Namens-ID
    Definiert das Format der Namens-ID. Dieser Wert muss mit dem Format der erwarteten Namens-ID bei der Attributverwaltung übereinstimmen. Anderenfalls schlägt die Anforderung fehl.
  • Typ der Namens-ID
    Dieses Feld definiert den Attributtyp, der für die Namens-ID verwendet wird.
    • Statisch
      Gibt an, dass die Namens-ID eine statischer Wert ist, der im Feld "Wert" angegeben ist.
    • Benutzerattribut
      Gibt an, dass die Namens-ID ein Benutzerattribut aus einem Benutzerspeicher ist. Das Benutzerattribut ist im Feld "Wert" angegeben.
    • Sitzungsattribut
      Zeigt an, dass die Namens-ID das Sitzungsspeicherattribut ist, das im Feld "Wert" angegeben ist.
    • DN-Attribut
      Gibt an, dass die Namens-ID ein Attribut ist, das einem DN zugeordnet ist. Füllen Sie die Felder "Wert" und "DN-Spezifikation" aus.
    • Wert
      Gibt den Wert für die Namens-ID an. Die gültigen Eingaben in diesem Feld basieren auf der Auswahl unter "Typ der Namens-ID".
      • Statisch: Geben Sie den statischen Textwert ein.
      • Benutzerattribut: Geben Sie den Namen eines Benutzerattributs aus einem Benutzerspeicher an.
      • Sitzungsattribut: Geben Sie den Namen eines Sitzungsattributs aus dem Sitzungsspeicher des Richtlinienservers an.
      • DN-Attribut: Geben Sie den Namen des Benutzerattributs an, das einem Gruppen- oder Organisationseinheit-DN zugeordnet ist. Geben Sie auch die DN-Spezifikation an.
    • DN-Spezifikation
      Gibt den Gruppen- oder Organisationseinheit-DN an, den das System verwendet, um das entsprechende DN-Attribut abzurufen.
SLO (SAML 2.0-SP)
Im SLO-Abschnitt können Sie Single Logout (SLO) konfigurieren.
Wichtig!
Aktivieren Sie das Kontrollkästchen "Dauerhafte Sitzung verwenden" im SSO-Abschnitt dieses Dialogfelds, wenn Sie SLO verwenden möchten.
Dieser Bereich zeigt folgende Einstellungen an:
  • SLO-Bindung
    Gibt an, ob das Single Logout-Profil auf der behauptenden Seite aktiviert ist und welche Bindung verwendet wird. Die Bindung der HTTP-Umleitung sendet SLO-Meldungen mithilfe von HTTP-GET-Anforderungen. Die SOAP-Bindung beruht nach der eigentlichen Anforderung nicht auf HTTP und sendet Meldungen über einen Backchannel.
    Optionen:
    HTTP-Redirect, HTTP-POST, SOAP
  • URL der SLO-Bestätigung
    Gibt die URL an, auf die der Benutzer umgeleitet wird, wenn der Single Logout-Vorgang abgeschlossen ist. Diese Site initiiert normalerweise Single Logout. Die URL der SLO-Bestätigung muss für Ihre Site zugreifbar sein. Das Federation-System verwendet diese URL, wenn SLO auf Ihrer Site initiiert wird.
    Dieser Wert ist eine lokale Ressource und keine Ressource in einer föderierten Partnerdomäne. Wenn die lokale Domäne beispielsweise "acme.com" und Ihr Partner "example.com" ist, dann muss die URL der SLO-Bestätigung in "acme.com" sein.
    Geben Sie eine gültige URL ein.
  • SLO-Gültigkeitsdauer (Sekunden)
    Gibt die Sekundenanzahl an, die eine SLO-Anforderung gültig ist.
    Standard:
    60
    Sekunden
    Optionen:
    Eine positive Ganzzahl
  • Relay-Status überschreibt die URL der SLO-Bestätigung (nur HTTP-Umleitung)
    Ersetzt den Wert für "URL der SLO-Bestätigung" mit dem Wert des Abfrageparameters "Relay-Status", der in der Single Logout-Anforderung enthalten ist.
    Mit diesem Kontrollkästchen haben Sie größere Kontrolle über das Bestätigungsziel für Single Logout. Mit dem Abfrageparameter "Relay-Status" können Sie die Bestätigungs-URL für SLO-Anforderungen dynamisch definieren.
  • Sitzungsindex wiederverwenden
    Gibt an, ob 
    CA Single Sign-on
    in einer einzelnen Browsersitzung den gleichen Sitzungsindex in der Assertion für den gleichen Partner sendet. Ein Benutzer kann mithilfe des gleichen Browserfensters mehrmals mit dem gleichen Partner föderiert werden. Wenn diese Option ausgewählt ist, wird der IdP angewiesen, den gleichen Sitzungsindex in jeder Assertion zu senden. Wenn Sie diese Option deaktivieren, dann generiert 
    CA Single Sign-on
     bei jedem Single Sign-On einen neuen Sitzungsindex. 
    Sie können diese Option aktivieren, um "Single Logout" mit Drittanbieterpartnern sicherzustellen, die den Sitzungsindex, der in neueren Assertionen übergeben wurde, nicht berücksichtigen.
    Hinweis:
    Diese Einstellung ist nur relevant, wenn "Single Logout" aktiviert ist.
  • SLO-Dienst-URLs
    Listet die verfügbaren SLO-Dienst-URLs auf. Die Tabelle enthält folgende Einträge:
    • Auswählen
      Zeigt an, dass dieser Wert den Eintrag für die SLO-Dienst-URL ist.
    • Bindung
      Zeigt die Bindung für die SLO-Verbindung an.
      Optionen:
      HTTP-Redirect, HTTP-POST, SOAP
    • Speicherort-URL
      Gibt die URL des Dienstes für Single Logout beim Remote-Partner an. An diese URL wird die Single Logout-Anforderung gesendet.
      Optionen:
      Eine gültige URL
      Wenn Ihr Federation-System beim Remote-Identity Provider verwendet wird, dann verwenden Sie folgende URLs:
      Bindung der HTTP-Umleitung:
      http://
      idp_host:port
      /affwebservices/public/saml2slo
      HTTP-POST-Bindung
      :
      http://
      idp_host:port
      /affwebservices/public/saml2slo
      SOAP-Bindung:
      http://
      idp_host:port
      /affwebservices/public/saml2slosoap
      Wenn ein Federation-Produkt eines Drittanbieters beim Identity Provider ist, verwenden Sie die entsprechende URL für dieses Produkt.
    • Speicherort-URL der Antwort
      (Optional) Gibt die URL des Dienstes für Single Logout für eine Entität an. Die Speicherort-URL der Antwort wird in einer Konfiguration verwendet, in der ein Dienst für Single Logout-Anforderungen und ein Dienst für Single Logout-Antworten vorhanden ist. Wenn nur die Speicherort-URL angegeben ist, wird sie standardmäßig für die Anforderung und die Antwort verwendet.
      Geben Sie eine gültige URL ein.
Backchannel (SAML 2.0-SP)
casso127figsbrde
Im Bereich "Backchannel" konfigurieren Sie die Authentifizierungsmethode über den Backchannel hinweg. Der Backchannel hat unterschiedliche Zwecke, und zwar auf Grundlage der folgenden Kriterien:
  • HTTP-Artefakt-SSO ist konfiguriert.
  • Single Logout mit der SOAP-Bindung ist konfiguriert.
  • Ihr Federation-System ist der Identitätsanbieter oder Serviceanbieter.
  • Kommunikation erfolgt über einen eingehenden oder ausgehenden Kanal.
Der Bereich "Backchannel" zeigt die folgenden Einstellungen an:
  • Eingehende Konfiguration/Ausgehende Konfiguration
    Konfigurieren Sie einen eingehenden oder ausgehenden Backchannel nach Bedarf durch die ausgewählten Bindungen. Der Backchannel hat nur eine Konfiguration. Wenn zwei Services den gleichen Kanal verwenden, verwenden diese zwei Services die gleiche Backchannel-Konfiguration. Zum Beispiel unterstützt der eingehende Kanal für ein lokales IdP HTTP-Artefakt-SSO und SLO über SOAP. Diese zwei Services müssen die gleiche Backchannel-Konfiguration verwenden.
  • Authentifizierungsmethode
    Gibt die Authentifizierungsmethode an, die den Backchannel schützt.
    Standard:
    Keine Authentifizierung
    Optionen
    : Standard, Client-Zertifikat, Keine Authentifizierung
    Grundlegend
    Zeigt an, dass ein standardmäßiges Authentifizierungsschema die Kommunikation über den Backchannel schützt.
    Hinweis:
    Wenn SSL für die Backchannel-Verbindung aktiviert ist, können Sie die Standardauthentifizierung weiterhin auswählen.
    Wenn Sie die Standardauthentifizierung auswählen, konfigurieren Sie die folgenden zusätzlichen Einstellungen:
    • Backchannel-Benutzername
      (Standardauthentifizierung – nur ausgehender Kanal). Gibt den Benutzernamen des SP an, wenn die Standardauthentifizierung über den Backchannel hinweg verwendet wird. Geben Sie den Namen der Partnerschaft ein, die am Remote-IdP konfiguriert wird. Beispielsweise wird am Remote-IdP eine Partnerschaft mit dem Namen Partners1 zwischen CompanyA (IdP) und CompanyB (SP) definiert. Beim lokalen SP CompanyB geben Sie den Wert Partners1 ein, um den Benutzernamen der zugeordneten Partnerschaft am IdP zuzuordnen.
    • Kennwort
      Gibt das Benutzerkennwort für den Backchannel-Benutzernamen an. Dieses Kennwort ist nur relevant, wenn Sie eine standardmäßige Authentifizierungsmethode oder eine "Basic over SSL"-Authentifizierungsmethode im Backchannel verwenden.
      Die zwei Partner einigen sich über dieses Kennwort.
    • Kennwort bestätigen
      Bestätigt den Kennworteintrag erneut.
    • Backchannel-Zeitlimit (Sekunden)
      (nur ausgehender Kanal) Gibt die maximale Zeit an, die das System nach dem Senden einer Backchannel-Anforderung an den Artefakt-Auflösungsdienst auf eine Antwort wartet. Geben Sie ein Intervall in Sekunden an.
      Standard:
      300 Sekunden
      Wert:
      Positive Ganzzahl
  • Client-Zertifikat
    Zeigt an, dass ein Authentifizierungsschema des X.509-Client-Zertifikats die Kommunikation zum Artefakt-Auflösungsdienst über den gesamten Backchannel schützt.
    Für die Authentifizierung "Client-Zertifikat" muss SSL für alle Endpunkt-URLs verwendet werden. Endpunkt-URLs suchen die verschiedenen SAML-Services auf einem Server, beispielsweise den Artefakt-Auflösungsdienst. Für die SSL-Anforderung ist es erforderlich, dass die URL zum Service mit
    https://
    beginnen muss.
    Um die Client-Zertifikatsauthentifizierung zu implementieren, sendet der SP der behauptenden Seite ein Zertifikat, bevor andere Transaktionen ausgeführt werden. Die behauptende Seite speichert das Zertifikat in ihrer Datenbank. Beide Partner müssen über das Zertifikat verfügen, das die SSL-Verbindung in ihren jeweiligen Datenbanken aktiviert hat. Andernfalls funktioniert die Client-Zertifikatsauthentifizierung nicht.
    Während des Authentifizierungsprozesses sendet die vertrauende Seite ihr Zertifikat der behauptenden Seite. Die behauptende Seite vergleicht das empfangene Zertifikat mit dem Zertifikat in ihrer Datenbank, um zu überprüfen, ob sie übereinstimmen. Wenn eine Übereinstimmung vorliegt, lässt die behauptende Seite die vertrauende Seite auf den Artefakt-Auflösungsdienst zugreifen.
    Wenn Sie die Authentifizierung "Client-Zertifikat" auswählen, konfigurieren Sie folgende zusätzliche Einstellung:
    • Client-Zertifikats-Alias
      Gibt den Alias an, der einem Client-Zertifikat in der Schlüsseldatenbank zugeordnet ist. Wählen Sie den Alias aus der Drop-down-Liste aus.
    • Backchannel-Zeitlimit (Sekunden)
      (nur ausgehender Kanal). Gibt die maximale Zeit an, die
      CA Single Sign-on
      nach dem Senden einer Backchannel-Anforderung an den Artefakt-Auflösungsdienst auf eine Antwort wartet. Geben Sie ein Intervall in Sekunden an.
      Standard:
      300 Sekunden
      Wert:
      Positive Ganzzahl
  • Keine Authentifizierung
    Zeigt an, dass die vertrauende Seite nicht erforderlich ist, um Anmeldeinformationen bereitzustellen. Der Backchannel und der Artefakt-Auflösungsdienst sind nicht gesichert. Sie können SSL weiterhin mit dieser Option aktivieren. Der Backchannel-Datenverkehr wird verschlüsselt, es werden jedoch keine Anmeldeinformationen zwischen den Parteien ausgetauscht.
    Wählen Sie "NoAuth" für Testzwecke, aber nicht für die Produktion aus, außer wenn Ihr Federation-System für ein SSL-aktiviertes Failover konfiguriert ist und es sich hinter einem Proxyserver befindet. Der Proxyserver verarbeitet die Authentifizierung, wenn er über das Serverzertifikat verfügt. In diesem Fall verwenden alle IdP:SP-Partnerschaften "NoAuth" als den Authentifizierungstypen.