SAML 2.0 Remote SP Entity Configuration (Konfiguration der SAML 2.0-Remote-IdP-Entität)
casso1283
HID_remote-sp-entity-config
Im Schritt "Entität konfigurieren" enthält Konfigurationsdetails einer Federation-Entität.
Configure SAML 2.0 Remote SP Entity (SAML 2.0-Remote-IdP-Entität konfigurieren)
Im Abschnitt "Configure SAML 2.0 Remote SP Entity" (SAML 2.0-Remote-IdP-Entität konfigurieren) können Sie die Entität identifizieren.
- Entitäts-IDBestimmt die Federation-Entität für einen Partner. Die Entitäts-ID ist eine universelle Kennung wie ein Domänenname. Wenn die Entitäts-ID einenRemote-Partnerdarstellt, dann muss dieser Wert eindeutig sein. Wenn die Entitäts-ID einenlokalen Partnerdarstellt, dann kann sie auf dem gleichen System erneut verwendet werden. Wenn die Entitäts-ID beispielsweise einen lokalen IdP darstellt, dann kann die gleiche ID in mehreren IdP-to-SP-Partnerschaften verwendet werden.
- Eine Entitäts-ID, die einen Remote-Partner darstellt, kann nur zu einer einzelnen aktiven Partnerschaft gehören.Wert:URI (URL empfohlen)Beachten Sie die folgenden Anweisungen:
- Die Entitäts-ID muss ein URI sein, eine absolute URL wird jedoch empfohlen.
- Wenn die Entitäts-ID eine URL ist:
- Der Hostteil der URL muss ein Name sein, der in der primären DNS-Domäne der Organisation als Stamm verwendet wird.
- Die URL darf keine Portnummer, keine Abfragezeichenfolge und keinen Fragmentbezeichner enthalten.
- Verwenden Sie in der Entitäts-ID kein kaufmännisches Und-Zeichen (&), da es als separater Abfrageparameter erkannt wird.
- Geben Sie keinen URN an.
- Die Entitäts-ID für einen Remote-Partner sollte global eindeutig sein, um Namenskonflikte innerhalb und über die Föderation hinaus zu vermeiden.
Beispiele für gültige Entitäts-IDs- CompanyA:portal1
- http://idp_name.forwardinc.com/idp
- https://idp_name.example.edu/sp
Beispiele für ungültige Entitäts-IDs:- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto&test=1
- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (Diese URL kann funktionieren, wir empfehlen Ihnen aber nicht, diese Syntax zu verwenden)
- Entitätsname:Benennt das Entitätsobjekt in der Datenbank. Der Entitätsname muss ein eindeutiger Wert sein. Das System verwendet den Entitätsnamen intern, um eine Entität auf einer bestimmten Site zu unterscheiden. Dieser Wert wird nicht extern verwendet, und der Remote-Partner kennt diesen Wert nicht. Der Entitätsname kann den gleichen Wert haben wie die Entitäts-ID. Allerdings kann der Wert niemals für eine andere Entität auf der Site freigegeben werden.Wert:Eine alphanumerische ZeichenfolgeBeispiel:Partner1
- BeschreibungGibt zusätzliche Informationen an, um die Entität zu beschreiben.Wert:Eine alphanumerische Zeichenfolge mit bis zu 1024 Zeichen.
URLs des Assertionskonsumdienstes
Der Abschnitt "URLs des Assertionskonsumdienstes" gibt den Dienst bei diesem Remote-SP an, der Assertionen verbraucht. Klicken Sie auf "Zeile hinzufügen", um einen Eintrag in der Tabelle hinzuzufügen.
Stellen Sie sicher, dass Sie mindestens einen Eintrag für den Assertionskonsumdienst vornehmen.
Die Tabelle enthält folgende Spalten:
- IndexGibt die Indexnummer an, die zur URL des Assertionskonsumdienstes zugeordnet ist.Standardwert:0Wert:Eine eindeutige Ganzzahl von 0 bis 99.999.
- BindungGibt die Bindung an, die dieser Endpunkt für Single Sign-On verwendet.Der IdP kann Single Sign-On mit einer unaufgeforderten Anforderung initiieren. Wenn die Anforderung den Abfrageparameter "ProtocolBinding" enthält, überschreibt die Bindung im Abfrageparameter den Wert, der für dieses Feld ausgewählt ist.Optionen:"HTTP-Artefakt", "HTTP-POST", "SOAP"
- URLGibt die URL für den Assertionskonsumdienst an. Wenn SSL für den Dienst aktiviert ist, dann muss die URL mithttps: //beginnen.
- StandardLegt fest, dass der ausgewählte Eintrag für den Assertionskonsumdienst als Standard-URL für Consuming-Assertionen dient. Es kann nur ein Eintrag als Standard festgelegt werden.
SLO-Dienst-URLs
(Optional) In diesem Abschnitt identifizieren Sie den Dienst für Single Logout bei diesem Remote-SP. Klicken Sie auf "Zeile hinzufügen", um einen Eintrag in der Tabelle hinzuzufügen.
Die Tabelle enthält folgende Spalten:
- BindungGibt die Bindung an, die von dieser Entität für SLO verwendet wird.Standard:HTTP-UmleitungOptionen:"HTTP-Umleitung", "SOAP"
- Speicherort-URLGibt die URL des Dienstes für Single Logout beim Remote-SP an.
- FürCA Single Sign-onist dieser Wert:http://sp_server:port/affwebservices/public/saml2slosp_server:portgibt den Server und die Portnummer beim SP an, derCA Single Sign-onhostet.
- Bei Drittanbietern stellt die URL den Dienst für Single Logout dar.
- Speicherort-URL der Antwort(Optional) Gibt die URL des Dienstes für Single Logout beim Remote-SP an. Eine Speicherort-URL der Antwort ist nützlich, wenn ein Dienst für Single Logout-Anforderung und ein Dienst für Single Logout-Antworten vorhanden ist.
- FürCA Single Sign-onist dieser Wert immer identisch mit der URL des SLO-Speicherorts:http://sp_server:port/affwebservices/public/saml2slosp_server:portist der Server beim SP, auf demCA Single Sign-oninstalliert ist.
- Bei Drittanbietern stellt die URL den Service dar, der Single Logout-Antworten bearbeitet.
Dienst-URLs für "Namens-ID verwalten"
(Optional) Identifiziert den Dienst für "Namens-ID verwalten" des Remote-SP. Klicken Sie auf "Zeile hinzufügen", um einen Eintrag in der Tabelle hinzuzufügen.
Die Tabelle enthält folgende Spalten:
- BindungGibt die Bindung an, das von dieser Entität für den Dienst für "Namens-ID verwalten" verwendet wird.Standard:SOAPOptionen:HTTP-Umleitung, HTTP-POST (wird gelesen, aber nicht verwendet)
- Speicherort-URLGibt die URL des Diensts "Namens-ID verwalten" beim Remote-SP an.
- FürCA Single Sign-onist dieser Wert:http://sp_server:port/affwebservices/public/saml2nidsoapsp_server:portgibt den Server und die Portnummer beim SP an, derCA Single Sign-onhostet.
- Speicherort-URL der Antwort(Optional) Gibt die URL der Antwort ist an. Dieser Wert ist nützlich, wenn ein Dienst Anforderungen und ein anderer Dienst für Antworten vorhanden ist. Für die SOAP-Bindung gilt diese Angabe nicht.
- FürCA Single Sign-onist dieser Wert immer identisch mit der Speicherort-URL:http://sp_server:port/affwebservices/public/saml2nidsoapsp_server:portist der Server beim SP, auf demCA Single Sign-oninstalliert ist.
Signatur- und Verschlüsselungsoptionen
Die Signatur- und Verschlüsselungsoptionen geben das Signatur- und Verschlüsselungsverhalten für föderierte Transaktionen an. Der Abschnitt enthält folgende Einstellungen:
- Zertifikat-Alias der Überprüfung(Optional) Gibt den Alias an, der einem bestimmten Zertifikat im Zertifikatsdatenspeicher zugeordnet ist. Der von Ihnen angegebene Alias weist den Richtlinienserver an, welches Zertifikat verwendet werden soll, um signierte Assertionen und SLO-Anforderungen zu prüfen.Wählen Sie in der Pull-down-Liste einen Alias aus. Wenn das Zertifikat nicht verfügbar ist, klicken Sie aufImportieren, um es zu importieren. Das Zertifikat muss im Zertifikatsdatenspeicher gespeichert sein, bevor Sie den zugeordneten Alias in diesem Feld angeben.Wert:Auswahl aus der Drop-down-Liste
- Sekundärer Alias für Überprüfungszertifikat(Optional) Gibt einen zweiten Alias für Überprüfungszertifikat im Zertifikatsdatenspeicher an. Wenn die Überprüfung der Signatur einer Anforderung oder Antwort mithilfe des Alias für Überprüfungszertifikat fehlschlägt, dann verwendet der IdP diesen sekundären Zertifikat-Alias, um die Signatur zu überprüfen. Der Remote-SP sendet das Überprüfungszertifikat an den IdP, bevor eine Transaktion auftritt, indem Metadaten oder Mittel verwendet werden. Die Angabe eines sekundären Alias ist nützlich, wenn ein SP einen Rollover seines Signaturzertifikats durchführt. Ein Rollover kann aus verschiedenen Gründen auftreten, z. B. wenn ein Zertifikat abgelaufen ist, ein privater Schlüssel gefährdet ist oder wenn sich die Größe des private Schlüssels ändert. Wenn das Zertifikat nicht bereits im Zertifikatsdatenspeicher ist, klicken Sie aufImportieren, um ein Zertifikat zu importieren.Wert:Auswahl aus der Drop-down-Liste.
- Zertifikat-Alias der Verschlüsselung(Optional) Gibt den Alias an, der einem bestimmten Zertifikat im Zertifikatsdatenspeicher zugeordnet ist. Wenn Sie dieses Feld ausfüllen, legen Sie fest, welches Zertifikat der Remote-SP dem IdP bereitstellt, das der IdP für die Verschlüsselung verwendet. Der SP führt die Entschlüsselung mit dem zugehörigen privaten Schlüssel aus.Wählen Sie ein Alias aus der Pull-down-Liste aus, oder klicken Sie auf "Importieren", um ein Zertifikat zu importieren, wenn der gewünschte Schlüssel nicht verfügbar ist. Das Zertifikat muss im Zertifikatsdatenspeicher gespeichert sein, bevor Sie den zugeordneten Alias in diesem Feld angeben.Wert:Auswahl aus der Drop-down-Liste
- Authentifizierungsanforderungen signierenLegt fest, dass AuthnRequest-Meldungen, die der SP sendet, eine Signatur benötigten. Wenn Sie die Anforderung signieren, stellen Sie die Vertrauensstellung zwischen den zwei Seiten der Partnerschaft sicher.
Unterstützte Formate der Namens-ID
casso1283
The Supported Name ID Formats section allows you to specify the Name ID formats that the entity support.
The Name Identifier names a user in a unique way in the assertion and specifies which attributes to include in the assertion. The format of the Name Identifier establishes the type of content that is used for the ID. For example, the format can be the User DN, in which case the content can be a uid.
- Supported Name ID FormatsLists all the Name ID formats that the entity supports. Select all the formats that apply.For a description of each format, see theAssertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0specification.