SAML 2.0 - Authentifizierungsschema - SSO-Einstellungen
Inhalt
casso1283
HID_saml2-auth-sso
Inhalt
In den SSO-Einstellungen können Sie konfigurieren, wie Single Sign-On (SSO) beim Service Provider gehandhabt wird.
Der SSO-Abschnitt der Seite enthält folgende Einstellungen:
- UmleitungsmodusGibt die Methode an, nach der der Service Provider den Benutzer an die Zielressource umleitet. Wenn Sie "302 - Keine Daten" oder "302 - Cookie-Daten" auswählen, ist keine weitere Konfiguration erforderlich. Wenn Sie "Server-Umleitung" oder "Dauerhafte Attribute" auswählen, ist eine zusätzliche Konfiguration erforderlich.
- 302 - Keine Daten (Standard)Der Benutzer wird mithilfe einer HTTP-302-Umleitung mit einem Sitzungs-Cookie und ohne andere Daten umgeleitet.
- 302 - Cookie-DatenBenutzer wird mithilfe einer HTTP-302-Umleitung mit einem Sitzungs-Cookie und zusätzlichen Cookie-Daten umgeleitet, dieCA Single Sign-onfür den Service Provider beim Identity Provider konfiguriert hat.
- casso1283Server RedirectEnables header and cookie attribute information received in the assertion to be passed to the custom target application. The SAML 2.0 Assertion Consumer Service or WS-Federation Security Token Consumer Service collects the user credentials then transfers the user to the target application URL using server-side redirects. Server-side redirects are part of the Java Servlet specification. All the standard-compliant servlet containers support server-side redirects.To use this mode, follow these requirements:
- The URL you specify for this mode must be relative to the context of the servlet that is consuming the assertion, which is typically /affwebservices/public/. The root of the context is the root of the Federation Web Services application, typically /affwebservices/.All target application files must be in the application root directory. This directory is either:—Web Agent:web_agent_home\webagent\affwebservices—CA Access Gateway:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- Define realms, rules, and policies to protect target resources. You define the realms with at least the value /affwebservices/ in the resource filter.
- Install a custom Java or JSP application on the server that is serving the Federation Web Services application. Federation Web Services is installed with the Web Agent Option Pack orCA Access Gateway.Java servlet technology allows applications to pass information between two resource requests using the setAttribute method of the ServletRequest interface.The service that consumes assertions sends the user attribute to the target application before redirecting the user to the target. The service sends the attributes by creating a java.util.HashMap object. The attribute that contains the HashMap of SAML attributes is “Netegrity.AttributeInfo.”The service that consumes assertions passes two other Java.lang.String attributes to the custom application:—Netegrity.smSessionID attribute represents theCA Single Sign-onsession ID—Netegrity.userDN attribute represents theCA Single Sign-onuser DN.The custom target application reads these objects from the HTTP request and uses the data found in the hashmap objects.
- Dauerhafte AttributeDer Benutzer wird mithilfe einer HTTP-302-Umleitung mit einem Sitzungs-Cookie und ohne andere Daten umgeleitet. Zusätzlich weist dieser Modus den Richtlinienserver an, Attribute, die aus einer Assertion extrahiert wurden, im Sitzungsspeicher zu speichern, sodass sie als HTTP-Header-Variablen bereitgestellt werden können. Zusätzliche Konfigurationen finden Sie in den Anweisungen für die Verwendung von SAML-Attributen als HTTP-Header.Um diese Option anzuzeigen, aktivieren Sie den Sitzungsspeicher mithilfe derCA Single Sign-onRichtlinienserver-Verwaltungskonsole.casso1283If you select Persist Attributes and the assertion contains attributes that are left blank, a value of NULL is written to the session store. This value acts as a placeholder for the empty attribute. The value is passed to any application using the attribute.
- SSO-DienstGibt den URI des Dienstes für Single Sign-On beim Identity Provider an. Dieser URI ist der Speicherort, wo der AuthnRequest-Dienst eine Authnrequest-Meldung umleitet, die die Service Provider-ID enthält. Der Standard-URL ist:http://idp_host:port/affwebservices/public/saml2sso
- ZielgruppeGibt die Zielgruppe für die SAML-Assertion an. Die Zielgruppe ist eine URL, die den Speicherort eines Dokuments identifiziert, das Bedingungen der Geschäftsvereinbarung zwischen dem Identity Provider und dem Service Provider beschreibt. Der Administrator auf der Identity Provider-Site legt die Zielgruppe fest, die mit der Zielgruppe für den Service Provider übereinstimmt.Der Zielgruppenwert ist nicht größer als 1 K und unterscheidet Groß- und Kleinschreibung. Beispiel:http://www.ca.com/SampleAudience
- Ziel(Optional) Gibt den URI der Zielressource am Ziel der Service Provider-Site an.Der Service Provider muss nicht das Standardziel verwenden. Der Link, der Single Sign-On initiiert, kann einen Abfrageparameter enthalten, der das Ziel angibt.
- IdP erlauben, neue Benutzerkennungen zu erstellenWenn der Service Provider eine AuthnRequest-Meldung an den Identity Provider sendet, um eine Assertion abzurufen, dann wird durch das Markieren dieses Kontrollkästchens das Attribut "AllowCreate" in der AuthnRequest-Meldung auf "True" (Wahr) festgelegt. Das Attribut "AllowCreate" weist den Identity Provider an, einen neuen Wert für die Namens-ID zu generieren. Die Funktion "AllowCreate" wird beim Identity Provider aktiviert. Dieser neue Wert für die Namens-ID ist in der Assertion enthalten.
- "Enhanced Client or Proxy"-ProfilErmöglicht die Verarbeitung von Anforderungen mithilfe des Profils "SAML 2.0-Enhanced Client or Proxy" (ECP).
- Authn-Anforderungen signierenWeist den Richtlinienserver beim Service Provider an, die Authn-Anforderung zu signieren, nachdem sie generiert wurde. Dieses Kontrollkästchen ist erforderlich, wenn der Identity Provider signierte AuthnRequests benötigt. Der AuthnRequest-Dienst leitet die signierte AuthnRequest an die URL des Dienstes für Single Sign-On um.
- Relay-Status überschreibt Ziel(Optional) Ersetzt den Wert, der im Feld "Ziel" angegeben ist, mit dem Wert des Abfrageparameters "Relay-Status" für SP-initiiertes oder IdP-initiiertes Single Sign-On. Mit diesem Kontrollkästchen haben Sie eine größere Kontrolle über das Ziel, da Sie mithilfe des Abfrageparameters "Relay-Status" das Ziel dynamisch definieren können.
Bindungen
SAML 2.0-Authentifizierungsschema - Bindungen - Artefakt
Bindungen - Artefakt
Wenn der Service Provider die Artefakt-Bindung unterstützt, können Sie die Einstellungen in diesem Abschnitt konfigurieren. Bei Single Sign-on des SAML 2.0-Artefakts sind die Einstellungen:
- Artefakt
Definiert die Profilkonfiguration des HTTP-Artefakts.
HTTP-Artefakt
Aktiviert die Artefakt-Bindung (wenn aktiviert, sind folgende zugeordnete Steuerelemente aktiviert).
- ArtifactResolve signierenZeigt an, dass die Meldung zur Artefaktauflösung signiert werden muss. Die Anforderung ruft die ursprüngliche SAML-Meldung vom Service Provider ab.Wenn Sie dieses Kontrollkästchen aktivieren, wird der Identity Provider so konfiguriert, dass eine signierte Meldung zur Artefaktauflösung erforderlich ist.Die Verarbeitung von digitalen Signaturen ist aktiviert, um die Meldung zur Artefaktauflösung zu signieren.
- Systemgenerierte IdP-Quell-ID überschreibenErmöglicht es Ihnen, eine IdP-Quell-ID im zugeordneten Feld anzugeben. Der Standard ist ein SHA-1-Hash der IdP-ID. Werte müssen ein Hexadezimalzahl mit 40 Ziffern sein.
- Signierte "ArtifactResponse" ist erforderlichGibt an, dass der Service Provider nur Artefaktantworten akzeptiert, für die eine Signatur erforderlich ist.Wenn Sie dieses Kontrollkästchen aktivieren, wird der Identity Provider konfiguriert, um die Artefaktantwort zu signieren.Die Verarbeitung von digitalen Signaturen ist aktiviert, um die signierte Antwort zu verarbeiten.
- IndexWenn Sie das Kontrollkästchen "HTTP-Artefakt" auswählen, weist dieses Feld den Parameter "AssertionConsumerServiceIndex" für die Artefakt-Bindung zu. Wenn Sie mehrere Endpunkte in einem föderierten Netzwerk haben, weisen Sie einen Index für den Assertionskonsumdienst zu. Der Indexwert teilt dem Identity Provider mit, wohin die Antwort gesendet werden soll. Geben Sie eine Ganzzahl im Bereich zwischen 0 bis 65.535 ein.
- AuflösungsdienstGibt die URL des Artefakt-Auflösungsdienstes beim Identity Provider an. Der Standard-URL ist:http://host:port/affwebservices/saml2artifactresolution
- Quell-IDDefiniert die Quell-ID des Identity Provider.Der SAML-Spezifikationsstandard definiert eine Quell-ID als eine 20 Byte binäre, hex-kodierte Zahl, die die Partei identifiziert, die die Assertion ausstellt. Der Service Provider verwendet diese ID, um einen Assertionsaussteller zu identifizieren.Der Wert der Quell-ID wird basierend auf dem IdP-ID-Wert, der sich in den allgemeinen Einstellungen des Authentifizierungsschemas befindet, automatisch generiert. Wenn Sie die Option "Systemgenerierte IdP-Quell-ID überschreiben" auswählen, geben Sie einen Wert ein, den der Identity Provider in einer Out-Of-Band-Kommunikation bereitstellt.
SAML 2.0-Authentifizierungsschema - Bindungen - POST
Bindungs-POST
Wenn der Service Provider die POST-Bindung unterstützt, können Sie die Einstellungen in diesem Abschnitt konfigurieren. Bei SAML 2.0-POST sind die Einstellungen:
- Post
- HTTP POSTGibt an, dass die POST-Bindung für den Identity Provider aktiviert ist.
- Einmalige Richtlinie erzwingenSetzt die einmalige Richtlinie durch, sodass SAML 2.0-Assertionen beim Service Provider nicht erneut verwendet werden, um eine zweite Sitzung herzustellen.
- IndexWenn Sie das Kontrollkästchen "HTTP-Post" auswählen, weist dieses Feld den Parameter "AssertionConsumerServiceIndex" für die Artefakt-Bindung zu. Wenn Sie mehrere Endpunkte in einem föderierten Netzwerk haben, weisen Sie einen Index für den Assertionskonsumdienst zu. Der Indexwert teilt dem Identity Provider mit, wohin die Antwort gesendet werden soll.Wert:0 bis 65.535