SAML 2.0 Remote IdP Entity Configuration (Konfiguration der SAML 2.0-Remote-IdP-Entität)
Inhalt
casso1283
HID_remote-idp-entity-configuration
Inhalt
Im Schritt "Entität konfigurieren" enthält Konfigurationsdetails einer Federation-Entität.
Configure SAML 2.0 Remote IdP Entity (SAML 2.0-Remote-IdP-Entität konfigurieren)
Im Abschnitt "Configure SAML 2.0 Remote IdP Entity" (SAML 2.0-Remote-IdP-Entität konfigurieren) können Sie die Entität identifizieren. Folgende Felder sind nicht selbsterklärend:
- casso1283Entity IDIdentifies the federation entity to a partner. The Entity ID is a universal identifier like a domain name. If the Entity ID represents aremote partner,this value must be unique. If the Entity ID represents alocal partner,it can be reused on the same system. For example, if the Entity ID represents a local asserting party, this same ID can be used in more than one partnership.An Entity ID that represents a remote partner can only belong to a single active partnership.Value:URI (URL recommended)Note the following guidelines:
- The entity ID must be a URI, but an absolute URL is recommended.
- If the entity ID is a URL:
- The host part of the URL must be a name rooted in the organization's primary DNS domain.
- The URL must not contain a port number, a query string, or a fragment identifier.
- Do not use the ampersand (&) in the Entity ID because it is recognized as a separate query parameter.
- Do not specify a URN.
- The entity ID for a remote partner be globally unique to avoid name collisions within and across the federation.
Examples of Valid Entity IDs- CompanyA:portal1
- http://idp_name.forwardinc.com/idp
- https://idp_name.example.edu/sp
Examples of Invalid Entity IDs:Entity NameNames the entity object in the policy store. The Entity Name must be a unique value. Federation uses the Entity Name internally to distinguish an entity at a particular site. This value is not used externally and the remote partner is not aware of this value.Note:The Entity Name can be the same value as the Entity ID, but the value is never shared with any other entity at the site.Value:An alphanumeric stringExample:Partner1DescriptionSpecifies additional information to describe the entity.Value:Alphanumeric string up to 1024 characters.Base URLSpecifies the base location of the server that is visible to the intended users of the federation. This server is typically the server whereCA Single Sign-onis installed. However, the server can be the URL of the server that hosts federation services, such as the Single Sign-on service. The base URL enablesCA Single Sign-onto generate relative URLs in other parts of the configuration, making configuration more efficient.You can edit the Base URL. For example, you can configure virtual hosts for theCA Single Sign-onsystem. One virtual host handles the UI communication. The other virtual host handles the user traffic that the embedded Apache Web Server processes. You can edit the Base URL to point only to the server and HTTP port of the Apache Web Server.Value:valid URLExample:https://fedserver.ca.com:5555Note the following important guidelines for modifying this field:If you modify the base URL, do not put a forward slash at the end of the base URL. A final slash results in two slashes being appended to other URLs that use this base URL.If you are using more than oneCA Single Sign-onfor failover support, set this field to the host name and port of the system managing failover to the other systems. This system can be a load balancer or proxy server. - Entitätsname:Benennt die Entität im Richtlinienspeicher. Der Entitätsname muss ein eindeutiger Wert sein. Federation verwendet intern den Entitätsnamen, um eine Entität auf einer bestimmten Site zu unterscheiden. Dieser Wert wird nicht extern verwendet, und der Remote-Partner kennt diesen Wert nicht.Der Entitätsname kann den gleichen Wert haben wie die Entitäts-ID. Allerdings kann der Wert niemals für eine andere Entität auf der Site freigegeben werden.Wert:Alphanumerische ZeichenfolgeBeispiel:Partner1
- URLs des Remote-SSO-DienstesIdentifiziert den Dienst für Single Sign-On bei diesem Remote-IdP. Klicken Sie auf "Zeile hinzufügen", um einen Eintrag in die Tabelle aufzunehmen.Geben Sie mindestens einen SSO-Dienst an.Die Tabelle enthält folgende Spalten:
- BindungGibt die Bindung an, die von dieser Entität für Single Sign-On verwendet wird.Standard:HTTP-UmleitungEinschränkungen:"HTTP-Umleitung", "SOAP"
- URLIdentifiziert die URL für den Dienst für Single Sign-On beim IdP an.Wert:Eine gültige URLBeispiel: Wennhttp://CA Single Sign-onder Producer ist:federation_server:8054/affwebservices/public/saml2sso
- LöschenEntfernt die Eingabe aus der Tabelle.
- URLs der Remote-SOAP-Artefakt-Auflösung(Nur für HTTP-Artefakt erforderlich) Identifiziert den Artefakt-Auflösungsdienst beim Remote-IdP.Die URL-Einträge umfassen die folgenden Einstellungen:
- IndexGibt eine Indexnummer an, die die URL des Artefakt-Auflösungsdienstes beim IdP identifiziert. Der Index legt die Reihenfolge fest, in der die URLs des Artefakt-Auflösungsdienstes ausprobiert werden, wenn mehr als eine URL angegeben ist.Standardwert:0Wert: Eine eindeutige Ganzzahl von 0 bis 99.999.
- URLGibt die URL für den Artefakt-Auflösungsdienst an. Wenn SSL für diesen Dienst aktiviert ist, dann muss die URL mithttps://beginnen.
- URLs des Remote-SLO-Dienstes(Optional) Identifiziert den Dienst für Single Logout beim Remote-IdP. Die Tabelle enthält folgende Spalten:
- BindungGibt die Bindung für SLO für diese Entität an.Standard:HTTP-UmleitungOptionen:"HTTP-Umleitung", "SOAP"
- Speicherort-URLGibt die URL des Dienstes für Single Logout beim Remote-IdP an.
- Die URL ist: http:/server:port/affwebservices/public/saml2sloserver:portist der Server, auf demCA Single Sign-oninstalliert ist.
- Bei Drittanbietern stellt die URL den Service dar, der Single Logout-Antworten bearbeitet.
- Speicherort-URL der Antwort(Optional) Gibt die URL des Dienstes für Single Logout beim Remote-IdP an. Eine Speicherort-URL der Antwort ist für eine Konfiguration nützlich, in der ein Dienst für Single Logout-Anforderungen und ein Dienst für Single Logout-Antworten vorhanden ist.
- FürCA Single Sign-onist dieser Wert immer identisch mit der URL des SLO-Speicherorts:http://server:port/affwebservices/public/saml2sloserver:portist der Server, auf demCA Single Sign-oninstalliert ist.
- Bei Drittanbietern stellt die URL den Service dar, der Single Logout-Antworten bearbeitet.
Dienst-URLs für "Namens-ID verwalten"
(Optional) Identifiziert den Dienst für "Namens-ID verwalten" der Remote-ID. Klicken Sie auf "Zeile hinzufügen", um einen Eintrag in der Tabelle hinzuzufügen.
Die Tabelle enthält folgende Spalten:
- BindungGibt die Bindung an, das von dieser Entität für den Dienst für "Namens-ID verwalten" verwendet wird.Standard:SOAPOptionen:HTTP-Umleitung, HTTP-POST (wird gelesen, aber nicht verwendet)
- Speicherort-URLGibt die URL des Diensts "Namens-ID verwalten" beim Remote-IdP an.FürCA Single Sign-onist dieser Wert:http://sp_server:port/affwebservices/public/saml2nidsoapsp_server:portgibt den Server und die Portnummer beim SP an, derCA Single Sign-onhostet.
- Speicherort-URL der Antwort(Optional) Gibt die URL der Antwort ist an. Dieser Wert ist nützlich, wenn ein Dienst Anforderungen und ein anderer Dienst für Antworten vorhanden ist. Für die SOAP-Bindung gilt diese Einstellung nicht.FürCA Single Sign-onist dieser Wert immer identisch mit der Speicherort-URL:http://stmndr_server:port/affwebservices/public/saml2nidsoapstmndr_server:portist der Server beim SP, auf deminstalliert ist.CA Single Sign-on
- URLs des Remote-Attributservice(Optional). Listet die URLs von verschiedenen Attributservices bei diesem IdP auf. Geben Sie die URL des Attributservices ein, der Attributabfragen von einem SP unterstützen kann. Sie können mehrere Angaben machen, indem Sie weitere Zeilen zur Tabelle hinzufügen.Beispiel:http://host.forwardinc.com/affwebservices/public/saml2attrsvc
Signatur- und Verschlüsselungsoptionen
Im Abschnitt "Signatur- und Verschlüsselungsoptionen" können Sie das Signatur- und Verschlüsselungsverhalten für föderierte Transaktionen angeben. Der Abschnitt enthält folgende Felder:
- Zertifikat-Alias der Überprüfung(Optional) Gibt den Alias an, der einem bestimmten Zertifikat im Zertifikatsdatenspeicher zugeordnet ist. Der von Ihnen angegebene Alias weist den Richtlinienserver an, welches Zertifikat verwendet werden soll, um signierte Assertionen und SLO-Anforderungen zu prüfen.Wählen Sie in der Pull-down-Liste einen Alias aus. Wenn kein Zertifikat im Zertifikatsdatenspeicher vorhanden ist, klicken Sie auf "Importieren", um ein Zertifikat zu importieren.Das Zertifikat muss im Zertifikatsdatenspeicher gespeichert sein, bevor Sie den zugeordneten Alias in diesem Feld angeben.Wert:Auswahl aus der Drop-down-Liste
- Sekundärer Alias für Überprüfungszertifikat(Optional) Gibt einen zweiten Alias für Überprüfungszertifikat für ein Zertifikat im Zertifikatsdatenspeicher an. Wenn die Überprüfung der Signatur einer Anforderung oder Antwort mithilfe des konfigurierten Alias für Überprüfungszertifikat fehlschlägt, dann verwendet der lokale SP diesen sekundären Zertifikat-Alias. Remote-IdP sendet das Überprüfungszertifikat an den SP, bevor eine Transaktion auftritt, indem Metadaten oder Mittel verwendet werden. Die Angabe eines sekundären Alias ist nützlich, wenn ein IdP einen Rollover seines Signaturzertifikats durchführt. Ein Rollover kann aus verschiedenen Gründen auftreten, z. B. wenn ein Zertifikat abgelaufen ist, ein privater Schlüssel gefährdet ist oder wenn sich die Größe des private Schlüssels ändert. Wenn das Zertifikat nicht bereits im Zertifikatsdatenspeicher ist, klicken Sie aufImportieren, um das Zertifikat zu importieren.Wert:Auswahl aus der Drop-down-Liste.
- Signierte Authentifizierungsanforderungen sind erforderlichLegt fest, dass AuthnRequest-Meldungen signiert werden. Anderenfalls akzeptiert der IdP sie nicht.
Unterstützte Namens-ID-Formate und Attribute (SAML 2.0)
casso1283
casso1283
The Supported Name ID Formats and Attributes section allows you to specify the Name ID formats that the entity support. Additionally, for an Identity Provider it indicates the attributes to add to an assertion.
The Name Identifier names a user in a unique way in the assertion and specifies which attributes to include in the assertion. The format of the Name Identifier establishes the type of content that is used for the ID. For example, the format can be the User DN, in which case the content can be a uid.
Attributes added to an assertion can further identify a user and enable an application using the assertion to be customized for each user.
- Supported Name ID FormatsLists all the Name ID formats that the entity supports. Select all the formats that apply.For a description of each format, see theAssertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0specification.
- Supported Assertion Attributes (local and remote IdP)Specifies the attributes that the asserting party includes in the assertion. The table includes the following columns:
- Assertion AttributeIndicates the specific user directory attribute that is included in the assertion.Value:Name of a valid user directory attribute
- Supported FormatDesignates the format of the attribute.Options:Unspecified, Basic, URI