Konfiguration der WS-Federation-Entität

casso1283
HID_wsfed-entity
Inhalt
Die meisten der folgenden Einstellungen sind bei lokalen und Remote-WS-Federation-Entitäten identisch.
  • Entitäts-ID
    Bestimmt die Federation-Entität für einen Partner. Die Entitäts-ID ist eine universelle Kennung wie ein Domänenname. Wenn die Entitäts-ID einen
    Remote-Partner
    darstellt, dann muss dieser Wert eindeutig sein. Wenn die Entitäts-ID einen
    lokalen Partner
    darstellt, dann kann sie auf dem gleichen System erneut verwendet werden. Wenn die Entitäts-ID beispielsweise eine lokale behauptende Seite darstellt, kann dieselbe ID in mehr als einer Partnerschaft verwendet werden.
    Eine Entitäts-ID, die einen Remote-Partner darstellt, kann nur zu einer einzelnen aktiven Partnerschaft gehören.
    Wert:
    URI (URL empfohlen)
    Beachten Sie die folgenden Anweisungen:
    • Die Entitäts-ID muss ein URI sein, eine absolute URL wird jedoch empfohlen.
    • Wenn die Entitäts-ID eine URL ist:
      • Der Hostteil der URL muss ein Name sein, der in der primären DNS-Domäne der Organisation als Stamm verwendet wird.
      • Die URL darf keine Portnummer, keine Abfragezeichenfolge und keinen Fragmentbezeichner enthalten.
    • Verwenden Sie in der Entitäts-ID kein kaufmännisches Und-Zeichen (&), da es als separater Abfrageparameter erkannt wird.
    • Geben Sie keinen URN an.
    • Die Entitäts-ID für einen Remote-Partner sollte global eindeutig sein, um Namenskonflikte innerhalb und über die Föderation hinaus zu vermeiden.
      Beispiele für gültige Entitäts-IDs
Benennt das Entitätsobjekt im Richtlinienspeicher. Der Entitätsname muss ein eindeutiger Wert sein.
CA Single Sign-on
verwendet intern den Entitätsnamen, um eine Entität auf einer bestimmten Site zu unterscheiden. Dieser Wert wird nicht extern verwendet, und der Remote-Partner kennt diesen Wert nicht.
Der Entitätsname kann dem Entitäts-ID-Wert entsprechen, aber der Wert wird nicht mit einer anderen Entität am Standort geteilt.
Wert:
Eine alphanumerische Zeichenfolge
Beispiel:
Partner1
  • Beschreibung
Gibt zusätzliche Informationen an, um die Entität zu beschreiben.
Wert:
Ein alphanumerisches Zeichen mit bis zu 1024 Zeichen
  • Basis-URL
Gibt den Basisspeicherort des Servers an, der für den gewünschten Benutzer der Federation sichtbar ist. Dieser Server ist normalerweise der, auf dem
CA Single Sign-on
installiert ist. Der Server kann auch die URL des Servers sein, der Federation-Services hostet. Die Basis-URL ermöglicht es
CA Single Sign-on
, relative URLs in anderen Bereichen der Konfiguration zu generieren, wodurch die Konfiguration effizienter wird.
Sie können die Basis-URL bearbeiten. Zum Beispiel können Sie möglicherweise virtuelle Hosts für das
CA Single Sign-on
-System konfigurieren. Ein virtueller Host verarbeitet die Kommunikation der Verwaltungsoberfläche. Der andere virtuelle Host verarbeitet den Benutzerdatenverkehr, den der eingebettete Apache-Webserver verarbeitet. Sie können die Basis-URL in diesem Fall so bearbeiten, dass sie nur auf den Server- und den HTTP-Port des Apache-Webservers zeigt.
Wert:
gültige URL
Beachten Sie die folgenden wichtigen Richtlinien für das Ändern dieses Felds:
    • Wenn Sie die Basis-URL ändern, stellen Sie keinen Schrägstrich ans Ende der Basis-URL. Ein Schrägstrich am Ende hat zur Folge, dass zwei Schrägstriche an andere URLs angefügt werden, die die Basis-URL verwenden.
    • Für die Failover-Unterstützung ist der Wert dieses Felds der Hostname und Port des Systems, das das Failover zu anderen Systemen verwaltet. Dieses System kann ein Lastenausgleich oder Proxyserver sein.
  • Begriffsklärungs-ID (lokale IP- und RP-Entitäten)
    Legen Sie diese ID nur fest, wenn es mehrere Partnerschaften zwischen der gleichen IP und RP gibt. Die Begriffsklärungs-ID ist hilfreich, wenn mehrere Geschäftsbereiche in einer Organisation ihre eigene Beziehung zu einem Remote-Partner haben, aber jede Einheit sich auf eine freigegebene Federation-Infrastruktur verlässt.
    Sie können nicht mehrere Partnerschaften mit der gleichen IP- oder RP-ID haben. Wenn ein Remote-Partner eine einzelne RP-ID verwendet, muss
    CA Single Sign-on
    Single Sign-On-Anforderungen unterscheiden können. Die Begriffsklärungs-ID befähigt das System dazu, Partnerschaften mit einem eindeutigen logischen Pfadsuffix für die Federation-Service-URLs, wie dem SSO-Service, zu unterscheiden.
    Zum Beispiel wollen sowohl der Verkaufs- als auch der Finanzbereich Partnerschaften mit ForwardInc.com. Beide Partnerschaften verwenden die gleiche SP-ID für ForwardInc.com. Fügen Sie für die lokale Entität in jeder Partnerschaft jeweils eine Begriffsklärungs-ID für "Verkauf" und "Finanzen" hinzu.
    Beispiel-SSO-URL:
    http://
    server:port
    /affwebservices/public/wsfeddispatcher?RPID=http://forwardinc.com
    wird zu folgenden URLs in zwei verschiedenen Partnerschaften:
    http://server:port/affwebservices/public/wsfeddispatcher/sales?RPID=http://forwardinc.com
    http://server:port/affwebservices/public/wsfeddispatcher/finance?RPID=http://forwardinc.com
    Es gibt nur einen SSO-Service, aber das Suffix und die RP-ID erstellen einen eindeutigen Partnerschaftssuchschlüssel.
    Die Existenz zweier Partnerschaften wirkt sich auch auf die vom RP angegebenen Assertionskonsum-URL aus. Behandeln Sie die Konfiguration dieser URL auf eine der folgenden Arten:
    • Verwenden Sie die gleiche IP-ID in beiden Partnerschaften. Eine lokale IP kann an mehrere Remote-RP gebunden sein. Für diese Konfiguration muss der RP zwei unterschiedliche Assertionskonsument-URLs angeben, damit klar wird, für welchen Mandanten die Assertion ist. Beispiel:
      https://casales.salesforce.com/public/wsfedConsumer
      https://cafinance.salesforce.com/public/wsfedConsumer
    • Verwendet unterschiedliche IP-IDs für jede Partnerschaft. Der RP kann die gleiche Assertionskonsument-URL angeben, weil die IP-ID den Sender der Assertion unterscheidet.
    Wert:
    Geben Sie eine alphanumerische Zeichenfolge ohne Sonderzeichen ein.
  • Passive Remote-Dienst-URL des Anforderers (Remote-IP)
    Identifiziert die URL des passiven Anforderer-Services bei der Remote-IP. Passive Anforderer sind Webbrowser oder Anwendungen, die das HTTP-Protokoll unterstützen. Dieser Service gibt die Sicherheitstoken an, die überprüfen, ob der beanspruchte Anforderer gültig ist.
  • URL der Sign-Out-Bestätigung (lokale IP)
    Gibt die URL des Identitätsanbieter an, der die Abmeldung durchführt.
    Standard:
    http://
    ip_server:port
    /affwebservices/signoutconfirmurl.jsp
    ip_server:port
    Gibt den Server und die Portnummer des Identitätsanbietersystems an. Das System hostet das Web-Agent-Optionspaket oder das SPS-Federation-Gateway, abhängig davon, welche Komponente in Ihrem Federation-Netzwerk installiert ist.
    "signoutconfirmurl.jsp" ist im Web-Agent-Optionspaket oder im SPS-Federation-Gateway enthalten. Sie können diese Seite aus dem Standardverzeichnis in das Verzeichnis verschieben, über das die Servlet-Engine für die Federation-Webservices auf die Seite zugreifen kann.
     
  • Remote-Sign-Out-URL (Remote-RP)
    Gibt die URL des Remote-Ressourcenpartner-Sign-Out-Services an. Der Standard-URL ist:
    https://
    rp_service:port
    /affwebservices/public/wsfeddispatcher
    Der Service "WSFedDispatcher" erhält alle eingehenden WS-Federation-Meldungen und leitet die Abfrageverarbeitung an den entsprechenden Service weiter, der auf den Abfrageparameterdaten basiert. Obwohl der Service "wsfedsignout" vorhanden ist, verwenden Sie die wsfeddispatcher-URL für die Abmelde-URL.
  • URL des Konsumdienstes für Sicherheits-Token (Remote-RP)
    Gibt die URL des Tokenservices beim Remote-Partner an. Dieser Service empfängt Sicherheitstoken-Antwortmeldungen und extrahiert die Assertion. Der standardmäßige Speicherort für den Service ist:
    https://
    rp_server:port
    /affwebservices/public/wsfeddispatcher
    rp_server:port
    Bestimmt den Webserver und den Port auf dem Ressourcenpartner, auf dem das Web-Agent-Optionspaket oder das SPS-Federation-Gateway gehostet wird. Diese Komponenten stellen die Anwendung "Federation-Webservices" bereit.
    Der Service "WSFedDispatcher" erhält alle eingehenden WS-Federation-Meldungen und leitet die Abfrageverarbeitung an den entsprechenden Service weiter, der auf den Abfrageparameterdaten basiert. Obwohl der Service "Wsfedsecuritytokenconsumer" vorhanden ist, wird der Service "wsfeddispatcher" für den Eintrag in diesem Feld empfohlen.
Signatureinstellungen
Die Signaturoptionen definieren das Signaturverhalten für Single Sign-On. Dieser Abschnitt enthält die unterschiedlichen Einstellungen für die einzelnen Entitäten.
  • Privater Schlüsselalias der Signatur (nur lokale IP)
    (Optional) Gibt den Alias an, der einem bestimmten privaten Schlüssel im Zertifikatsdatenspeicher zugeordnet ist. Wenn Sie dieses Feld ausfüllen, zeigen Sie an, welchen privaten Schlüssel die behauptende Seite verwendet, um Assertionen zu signieren.
    Wenn der Schlüssel, den Sie verwenden möchten, nicht bereits im Zertifikatsdatenspeicher ist, können Sie auf "Importieren" klicken, um den Schlüssel zu importieren, bevor Sie fortfahren.
    Hinweis:
    Der private Schlüssel muss bereits im Zertifikatsdatenspeicher gespeichert sein, bevor Sie den zugeordneten Alias in diesem Feld angeben.
    Wert:
    Treffen Sie eine Auswahl aus der Drop-down-Liste.
     
  • Zertifikat-Alias der Überprüfung Remote-IP und -RP)
    (Optional) Gibt den Alias an, der einem bestimmten Zertifikat (öffentlichen Schlüssel) im Zertifikatsdatenspeicher zugeordnet ist. Der von Ihnen angegebene Alias weist den Richtlinienserver an, welches Zertifikat verwendet werden soll, um signierte Assertionen zu prüfen.
    Um ein Zertifikat zu importieren, wenn der gewünschte Schlüssel nicht verfügbar ist, klicken Sie auf "Importieren", oder wählen Sie einen Alias aus der Pull-down-Liste aus.
    Hinweis:
    Das Zertifikat muss im Zertifikatsdatenspeicher gespeichert sein, bevor Sie den zugeordneten Alias angeben.
    Wert:
    Treffen Sie eine Auswahl aus der Drop-down-Liste.
Unterstützte Formate für Namens-ID und Attribute
casso1283
The Supported Name ID Formats and Attributes section has two functions:
  • Specifies the Name ID formats that the entity supports.
    The Name Identifier names a user in a unique way in the assertion and specifies which attributes to include in the assertion. The format of the Name Identifier establishes the type of content that is used for the ID. For example, the format can be the User DN so the content can be a uid.
  • For the asserting party, you specify attributes to include in an assertion.
    Attributes added to an assertion can further identify a user and enable an application using the assertion to be customized for each user.
Supported Name ID Formats and Attributes
From the list of options, select all the formats that apply. To select all formats, select Select Name ID Formats.
For a description of each format, see the specification for the SAML or WS-Federation profile.
  • Supported Assertion Attributes
    Specifies the attributes that the producer includes in the assertion. Click Add to include an attribute in the table. The table includes the following columns:
  • Assertion Attribute
    Indicates the specific attribute in the assertion.
    Value:
    name of a valid assertion attribute
  • Namespace
    Designates a collection that uniquely identifies names.
    Value:
    Any namespace name
  • Delete
    Click the icon and the entry is removed from the table.