Allgemeine Einstellungen für den Partner
Folgende Abschnitte sind auch Teile der allgemeinen Seite:
casso1283
HID_affiliate-saml1-general
- NameGibt den Namen des Consumer an. Dieser Name muss für alle Partnerdomänen eindeutig sein.
- BeschreibungGibt eine kurze Beschreibung des Consumer an.
- KennwortDefiniert das Kennwort, das ein Consumer verwendet, um sich auf der Producer-Site zu identifizieren, sodass eine Assertion abgerufen werden kann.
- Kennwort bestätigenBestätigt das Kennwort, das in das Feld "Kennwort" eingegeben wurde.
- casso1283ActiveIndicates whether the legacy federation configuration is in use for a particular partnership. If the Policy Server is using the legacy federation configuration, confirm this check box is selected. If you have recreated a federated partnership with similar values for identity settings, such as source ID, clear this check box before activating the federated partnership.CA Single Sign-oncannot work with a legacy and partnership configuration that use the same identity values or a name collision occurs.
- Sichere URL verwendenDiese Einstellung weist den Dienst für Single Sign-On an, nur den Abfrageparameter "SMPORTALURL" zu verschlüsseln. Der verschlüsselte Abfrageparameter "SMPORTALURL" verhindert, dass ein bösartiger Benutzer den Wert ändert und authentifizierte Benutzer auf eine bösartige Website umleitet. "SMPORTALURL" wird an die Authentifizierungs-URL angehängt, bevor der Browser den Benutzer umleitet, um eine Sitzung herzustellen. Nachdem der Benutzer authentifiziert wurde, leitet der Browser den Benutzer zurück an das Ziel, das im Abfrageparameter "SMPORTALURL" angegeben ist.Wenn Sie das Kontrollkästchen "Sichere URL verwenden" auswählen, müssen Sie folgende Schritte ausführen:1. Legen Sie das Feld "Authentifizierungs-URL" auf folgende URL fest: http(s)://idp_server:port/affwebservices/secure/secureredirect2. Schützen Sie den Webservice "secureredirect" mit einer Richtlinie.Bei die behauptende Seite mehr als einen vertrauenden Partner bedient, authentifiziert die behauptende Seite wahrscheinlich verschiedene Benutzer für diese verschiedenen Partner. Für jede Authentifizierungs-URL, die "secureredirect" verwendet, ist daher dieser Webservice in einem unterschiedlichen Bereich für jeden Partner enthalten.Um den Service "secureredirect" zu verschiedenen Bereichen zuzuordnen, ändern Sie die Datei "web.xml", und erstellen Sie verschiedene Ressourcenzuordnungen. Kopieren Sie den Webservice "secureredirect" nicht in verschiedenen Speicherorten auf Ihrem Server. Suchen Sie die Datei "web.xml" im Verzeichnisweb_agent_home/affwebservices/WEB-INF, wobeiweb_agent_homeder Speicherort des installierten Web-Agenten ist.
- Authentifizierungs-URLGibt eine geschützte URL an, die die Federation verwendet, um Benutzer zu authentifizieren und eine Sitzung zu erstellen, wenn eine geschützte Ressource angefordert wird. Wenn der Authentifizierungsmodus auf "Lokal" festgelegt ist und ein Benutzer nicht auf der behauptenden Seite angemeldet ist, werden Benutzer an diese URL gesendet. Diese URL muss auf die Datei "redirect.jsp" verweisen, es sei denn, Sie wählen das Kontrollkästchen Sichere URL verwenden aus.Beispiel: http://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jspmyservergibt den Webserver mit dem Web-Agent-Optionspaket oder dem SPS-Federation-Gateway an. Die Datei "redirect.jsp" ist im Web-Agent-Optionspaket oder im SPS-Federation-Gateway enthalten, das auf der behauptenden Seite installiert ist.Schützen Sie die Authentifizierungs-URL mit einer Zugriffssteuerungsrichtlinie. Konfigurieren Sie für die Richtlinie ein Authentifizierungsschema, einen Bereich und eine Regel. Um der Assertion Sitzungsspeicherattribute hinzuzufügen, aktivieren Sie das Kontrollkästchen "Variable der Authentifizierungssitzung beibehalten", das eine Einstellung im Authentifizierungsschema ist.
Folgende Abschnitte sind auch Teile der allgemeinen Seite:
- EinschränkungenErmöglicht es Ihnen, die IP-Adresse und Zeiteinschränkungen auf der Richtlinie der Assertionsgenerierung für den Service Provider zu konfigurieren.
- Zeit
- FestlegenÖffnet das Dialogfeld "Zeit", sodass Sie die Verfügbarkeit des Ressourcenpartners konfigurieren können. Wenn Sie eine Zeiteinschränkung hinzufügen, dann funktioniert der Service Provider nur während des angegebenen Zeitraums.
- Löschen
- IP-Adressen
- HinzufügenÖffnet das leere Dialogfeld "Add IP Address" (IP-Adresse hinzufügen), wo Sie eine Einschränkung der IP-Adresse erstellen können.
- ErweitertKonfiguriert ein Plug-in, um den Inhalt der Assertion anzupassen. Gibt eine Option an, um eine einmalige Bedingung für die Assertion festzulegen.
- Plug-in für die AssertionsanpassungMit folgenden Parametern können Sie den Inhalt der Assertion anpassen:
- Vollständiger Java-KlassennameDefiniert den Java-Klassennamen des Plug-ins, das der Assertionsgenerator zur Laufzeit aufruft.Der Assertionsgenerator ruft das Plug-in zur Laufzeit auf. Die Plug-in-Klasse kann die Assertion analysieren und ändern und anschließend das Ergebnis an den Assertionsgenerator für die letzte Verarbeitung zurückgeben.Pro Consumer ist nur ein Plug-in erlaubt. Zum Beispiel: com.mycompany.assertiongenerator.AssertionSample
- Parameter(Optional) Definiert eine Zeichenfolge von Parametern, die dem Plug-in als Parameter zur Laufzeit übergeben wird. Die Zeichenfolge kann einen beliebigen Wert enthalten. Es muss keine bestimmte Syntax eingehalten werden.
- Zusätzliche AssertionskonfigurationFolgende Einstellung wendet eine Bedingung auf die Verwendung der Assertion beim SP an.
- DoNotCache-Bedingung festlegenFordert den IdP dazu auf, dass das <DoNotCacheCondition>-Element innerhalb des <Conditions>-Elements einer Assertion hinzugefügt wird. Diese Bedingung teilt dem SP, der die Assertion erhält, mit, dass die Assertion sofort verwendet und nicht für zukünftige Verwendung beibehalten werden soll. Das <DoNotCacheCondition>-Element ist hilfreich, weil Informationen in einer Assertion geändert werden können oder ablaufen können. Anstatt die Assertion erneut zu verwenden, muss der SP eine neue Assertion vom IdP anfordern.