Allgemeine Einstellungen für den Partner

Folgende Abschnitte sind auch Teile der allgemeinen Seite:
casso1283
HID_affiliate-saml1-general
Folgende Felder und Steuerelemente befinden sich auf der Seite "Allgemein" für SAML 1.x-Partner:
  • Name
    Gibt den Namen des Consumer an. Dieser Name muss für alle Partnerdomänen eindeutig sein.
  • Beschreibung
    Gibt eine kurze Beschreibung des Consumer an.
  • Kennwort
    Definiert das Kennwort, das ein Consumer verwendet, um sich auf der Producer-Site zu identifizieren, sodass eine Assertion abgerufen werden kann.
  • Kennwort bestätigen
    Bestätigt das Kennwort, das in das Feld "Kennwort" eingegeben wurde.
  • casso1283
    Active
    Indicates whether the legacy federation configuration is in use for a particular partnership. If the Policy Server is using the legacy federation configuration, confirm this check box is selected. If you have recreated a federated partnership with similar values for identity settings, such as source ID, clear this check box before activating the federated partnership.
    CA Single Sign-on
    cannot work with a legacy and partnership configuration that use the same identity values or a name collision occurs.
  • Sichere URL verwenden
    Diese Einstellung weist den Dienst für Single Sign-On an, nur den Abfrageparameter "SMPORTALURL" zu verschlüsseln. Der verschlüsselte Abfrageparameter "SMPORTALURL" verhindert, dass ein bösartiger Benutzer den Wert ändert und authentifizierte Benutzer auf eine bösartige Website umleitet. "SMPORTALURL" wird an die Authentifizierungs-URL angehängt, bevor der Browser den Benutzer umleitet, um eine Sitzung herzustellen. Nachdem der Benutzer authentifiziert wurde, leitet der Browser den Benutzer zurück an das Ziel, das im Abfrageparameter "SMPORTALURL" angegeben ist.
    Wenn Sie das Kontrollkästchen "Sichere URL verwenden" auswählen, müssen Sie folgende Schritte ausführen:
    1. Legen Sie das Feld "Authentifizierungs-URL" auf folgende URL fest: http(s)://
    idp_server:port
    /affwebservices/secure/secureredirect
    2. Schützen Sie den Webservice "secureredirect" mit einer Richtlinie.
    Bei die behauptende Seite mehr als einen vertrauenden Partner bedient, authentifiziert die behauptende Seite wahrscheinlich verschiedene Benutzer für diese verschiedenen Partner. Für jede Authentifizierungs-URL, die "secureredirect" verwendet, ist daher dieser Webservice in einem unterschiedlichen Bereich für jeden Partner enthalten.
    Um den Service "secureredirect" zu verschiedenen Bereichen zuzuordnen, ändern Sie die Datei "web.xml", und erstellen Sie verschiedene Ressourcenzuordnungen. Kopieren Sie den Webservice "secureredirect" nicht in verschiedenen Speicherorten auf Ihrem Server. Suchen Sie die Datei "web.xml" im Verzeichnis
    web_agent_home
    /affwebservices/WEB-INF, wobei
    web_agent_home
    der Speicherort des installierten Web-Agenten ist.
  • Authentifizierungs-URL
    Gibt eine geschützte URL an, die die Federation verwendet, um Benutzer zu authentifizieren und eine Sitzung zu erstellen, wenn eine geschützte Ressource angefordert wird. Wenn der Authentifizierungsmodus auf "Lokal" festgelegt ist und ein Benutzer nicht auf der behauptenden Seite angemeldet ist, werden Benutzer an diese URL gesendet. Diese URL muss auf die Datei "redirect.jsp" verweisen, es sei denn, Sie wählen das Kontrollkästchen Sichere URL verwenden aus.
    Beispiel: http://
    myserver.idpA.com
    /siteminderagent/redirectjsp/redirect.jsp
    myserver
    gibt den Webserver mit dem Web-Agent-Optionspaket oder dem SPS-Federation-Gateway an. Die Datei "redirect.jsp" ist im Web-Agent-Optionspaket oder im SPS-Federation-Gateway enthalten, das auf der behauptenden Seite installiert ist.
    Schützen Sie die Authentifizierungs-URL mit einer Zugriffssteuerungsrichtlinie. Konfigurieren Sie für die Richtlinie ein Authentifizierungsschema, einen Bereich und eine Regel. Um der Assertion Sitzungsspeicherattribute hinzuzufügen, aktivieren Sie das Kontrollkästchen "Variable der Authentifizierungssitzung beibehalten", das eine Einstellung im Authentifizierungsschema ist.
Folgende Abschnitte sind auch Teile der allgemeinen Seite:
  • Einschränkungen
    Ermöglicht es Ihnen, die IP-Adresse und Zeiteinschränkungen auf der Richtlinie der Assertionsgenerierung für den Service Provider zu konfigurieren.
    • Zeit
    • Festlegen
      Öffnet das Dialogfeld "Zeit", sodass Sie die Verfügbarkeit des Ressourcenpartners konfigurieren können. Wenn Sie eine Zeiteinschränkung hinzufügen, dann funktioniert der Service Provider nur während des angegebenen Zeitraums.
    • Löschen
    • IP-Adressen
    Listet eingeschränkte IP-Adressen auf, die für die Richtlinie für die Service Provider-Ressourcen konfiguriert sind. Sie können eine IP-Adresse, den Bereich der IP-Adressen oder eine Subnetzmaske des Webservers angeben. Ein Browser muss auf diesem Server ausgeführt werden, damit der Benutzer auf einen Service Provider zugreifen kann.
    • Hinzufügen
      Öffnet das leere Dialogfeld "Add IP Address" (IP-Adresse hinzufügen), wo Sie eine Einschränkung der IP-Adresse erstellen können.
  • Erweitert
    Konfiguriert ein Plug-in, um den Inhalt der Assertion anzupassen. Gibt eine Option an, um eine einmalige Bedingung für die Assertion festzulegen.
    • Plug-in für die Assertionsanpassung
      Mit folgenden Parametern können Sie den Inhalt der Assertion anpassen:
      • Vollständiger Java-Klassenname
        Definiert den Java-Klassennamen des Plug-ins, das der Assertionsgenerator zur Laufzeit aufruft.
        Der Assertionsgenerator ruft das Plug-in zur Laufzeit auf. Die Plug-in-Klasse kann die Assertion analysieren und ändern und anschließend das Ergebnis an den Assertionsgenerator für die letzte Verarbeitung zurückgeben.
        Pro Consumer ist nur ein Plug-in erlaubt. Zum Beispiel: com.mycompany.assertiongenerator.AssertionSample
      • Parameter
        (Optional) Definiert eine Zeichenfolge von Parametern, die dem Plug-in als Parameter zur Laufzeit übergeben wird. Die Zeichenfolge kann einen beliebigen Wert enthalten. Es muss keine bestimmte Syntax eingehalten werden.
      • Zusätzliche Assertionskonfiguration
        Folgende Einstellung wendet eine Bedingung auf die Verwendung der Assertion beim SP an.
        • DoNotCache-Bedingung festlegen
          Fordert den IdP dazu auf, dass das <DoNotCacheCondition>-Element innerhalb des <Conditions>-Elements einer Assertion hinzugefügt wird. Diese Bedingung teilt dem SP, der die Assertion erhält, mit, dass die Assertion sofort verwendet und nicht für zukünftige Verwendung beibehalten werden soll. Das <DoNotCacheCondition>-Element ist hilfreich, weil Informationen in einer Assertion geändert werden können oder ablaufen können. Anstatt die Assertion erneut zu verwenden, muss der SP eine neue Assertion vom IdP anfordern.