SAML-Service Provider - Allgemeine Einstellungen
Die Einstellungen in diesem Dialogfeld geben den Service Provider an, für den der Identity Provider Assertionen generiert.
casso1283
HID_service-provider-general
Die Einstellungen in diesem Dialogfeld geben den Service Provider an, für den der Identity Provider Assertionen generiert.
Allgemeine Einstellungen
In den allgemeinen Einstellungen können Sie allgemeine Informationen über den Service Provider angeben.
Die Einstellungen auf dieser Registerkarte sind:
- NameBenennt den Service Provider. Dieser Name ist für alle Partnerdomänen eindeutig.
- SP-IDGibt einen URI an, der den Service Provider, wie z. B. "sp.example.com", eindeutig identifiziert.
- Authentifizierungs-URLGibt eine geschützte URL an, die die Federation verwendet, um Benutzer zu authentifizieren und eine Sitzung zu erstellen, wenn eine geschützte Ressource angefordert wird. Wenn der Authentifizierungsmodus auf "Lokal" festgelegt ist und ein Benutzer nicht auf der behauptenden Seite angemeldet ist, werden Benutzer an diese URL gesendet.Diese URL muss auf die Datei "redirect.jsp" verweisen, es sei denn, Sie wählen das Kontrollkästchen Sichere URL verwenden aus.Beispiel: http://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jspmyservergibt den Webserver mit dem Web-Agent-Optionspaket oder dem SPS-Federation-Gateway an. Die Datei "redirect.jsp" ist im Web-Agent-Optionspaket oder im SPS-Federation-Gateway enthalten, das auf der behauptenden Seite installiert ist.Schützen Sie die Authentifizierungs-URL mit einer Zugriffssteuerungsrichtlinie. Konfigurieren Sie für die Richtlinie ein Authentifizierungsschema, einen Bereich und eine Regel. Um der Assertion Sitzungsspeicherattribute hinzuzufügen, aktivieren Sie das Kontrollkästchen "Variable der Authentifizierungssitzung beibehalten", das eine Einstellung im Authentifizierungsschema ist.
- casso1283ActiveIndicates whether the legacy federation configuration is in use for a particular partnership. If the Policy Server is using the legacy federation configuration, confirm this check box is selected. If you have recreated a federated partnership with similar values for identity settings, such as source ID, clear this check box before activating the federated partnership.CA Single Sign-oncannot work with a legacy and partnership configuration that use the same identity values or a name collision occurs.
- AktiviertAktiviert den Richtlinienserver und Federation-Webservices, um die Authentifizierung der Service Provider-Ressourcen zu unterstützen.
- ZeitversatzGibt die Sekundenanzahl an (als positive Ganzzahl), die von der aktuellen Uhrzeit hinzugefügt und abgezogen wurde. Durch diese Anpassung werden Service Provider mit Uhren berücksichtigt, die nicht mit dem Identitätsanbieter synchronisiert sind. Der Zeitversatz und die Gültigkeitsdauer legen fest, wie der Richtlinienserver die Gesamtdauer berechnet, die eine Assertion gültig ist.Um die Assertionsgültigkeit festzulegen, wird der Zeitversatz von der Assertionsgenerierungszeit (IssueInstant) abgezogen, um die "NotBefore"-Zeit abzurufen. Der Zeitversatz wird dann der Gültigkeitsdauer und dem Wert "IssueInstant" hinzugefügt, um die "NotOnOrAfter"-Zeit abzurufen. Folgende Gleichungen veranschaulichen, wie der Zeitversatz verwendet wird:
- NotBefore = IssueInstant - Zeitversatz
- NotOnOrAfter = Gültigkeitsdauer + Zeitversatz + IssueInstant
- SAML-VersionGibt die SAML-Version an (Deaktiviert: Der Wert wird standardmäßig auf 2.0 festgelegt. Dadurch wird angegeben, dass Assertionen, die dieser SP-ID gesendet werden, mit SAML-Version 2.0 kompatibel sein müssen).
- Beschreibung(Optional) Eine kurze Beschreibung des Service Provider.
- IdP-IDGibt einen URI an, der den Identity Provider, wie z. B. "idp.ca.com", eindeutig identifiziert. Dieser URI-Wert wird zum Wert des Felds "Aussteller" in der Assertion.
- Anwendungs-URL(Optional) Identifiziert die geschützte URL für eine benutzerdefinierte Webanwendung, die verwendet wird, um dem Dienst für Single Sign-On Benutzerattribute bereitzustellen. Die Anwendung kann auf einem beliebigen Host in Ihrem Netzwerk sein.Attribute von der Webanwendung, die in diesem Feld angegeben ist, stehen dem Assertionsgenerator zur Verfügung und werden dann über ein Assertionsgenerator-Plug-in in die SAML-Assertion eingesetzt. Sie erstellen das Plug-in und integrieren es inCA Single Sign-on.Die Anwendung "Federation-Webservices" stellt Beispiele für Webanwendungen bereit, die Sie als Grundlage für Ihre Webanwendung verwenden können. Diese gliedern sich wie folgt:http://idp_server:port/affwebservices/public/sample_application.jsphttp://idp_server:port/affwebservices/public/unsolicited_application.jspidp_server:portIdentifiziert den Webserver und den Port, der das Web-Agent-Optionspaket oder das SPS-Federation-Gateway hostet.
- Sichere URL verwendenDiese Einstellung weist den Dienst für Single Sign-On an, nur den Abfrageparameter "SMPORTALURL" zu verschlüsseln. Der verschlüsselte Abfrageparameter "SMPORTALURL" verhindert, dass ein bösartiger Benutzer den Wert ändert und authentifizierte Benutzer auf eine bösartige Website umleitet. "SMPORTALURL" wird an die Authentifizierungs-URL angehängt, bevor der Browser den Benutzer umleitet, um eine Sitzung herzustellen. Nachdem der Benutzer authentifiziert wurde, leitet der Browser den Benutzer zurück an das Ziel, das im Abfrageparameter "SMPORTALURL" angegeben ist.Wenn Sie das Kontrollkästchen "Sichere URL verwenden" auswählen, müssen Sie folgende Schritte ausführen:1. Legen Sie das Feld "Authentifizierungs-URL" auf folgende URL fest: http(s)://idp_server:port/affwebservices/secure/secureredirect2. Schützen Sie den Webservice "secureredirect" mit einer Richtlinie.Bei die behauptende Seite mehr als einen vertrauenden Partner bedient, authentifiziert die behauptende Seite wahrscheinlich verschiedene Benutzer für diese verschiedenen Partner. Für jede Authentifizierungs-URL, die "secureredirect" verwendet, ist daher dieser Webservice in einem unterschiedlichen Bereich für jeden Partner enthalten.Um den Service "secureredirect" zu verschiedenen Bereichen zuzuordnen, ändern Sie die Datei "web.xml", und erstellen Sie verschiedene Ressourcenzuordnungen. Kopieren Sie den Webservice "secureredirect" nicht in verschiedenen Speicherorten auf Ihrem Server. Suchen Sie die Datei "web.xml" im Verzeichnisweb_agent_home/affwebservices/WEB-INF, wobeiweb_agent_homeder Speicherort des installierten Web-Agenten ist.
- Authentifizierungs-URLGibt eine geschützte URL an, die die Federation verwendet, um Benutzer zu authentifizieren und um eine Sitzung zu erstellen, wenn eine geschützte Ressource angefordert wird. Wenn der Authentifizierungsmodus auf "Lokal" festgelegt ist und ein Benutzer nicht auf der behauptenden Seite angemeldet ist, werden Benutzer an diese URL gesendet.Diese URL muss auf die Datei "redirect.jsp" verweisen, es sei denn, Sie wählen das Kontrollkästchen Sichere URL verwenden aus.Beispiel: http:///siteminderagent/redirectjsp/redirect.jspmyservergibt den Webserver mit dem Web-Agent-Optionspaket oder dem SPS-Federation-Gateway an. Die Datei "redirect.jsp" ist im Web-Agent-Optionspaket oder im SPS-Federation-Gateway enthalten, das auf der behauptenden Seite installiert ist.Schützen Sie die Authentifizierungs-URL mit einer Zugriffssteuerungsrichtlinie. Konfigurieren Sie für die Richtlinie ein Authentifizierungsschema, einen Bereich und eine Regel. Um der Assertion Sitzungsspeicherattribute hinzuzufügen, aktivieren Sie das Kontrollkästchen "Variable der Authentifizierungssitzung beibehalten", das eine Einstellung im Authentifizierungsschema ist.
Die allgemeinen Einstellungen enthalten auch folgende Abschnitte:
- EinschränkungenErmöglicht es Ihnen, die IP-Adresse und Zeiteinschränkungen auf der Richtlinie der Assertionsgenerierung für den Service Provider zu konfigurieren.
- Zeit
- FestlegenÖffnet das Dialogfeld "Zeit", sodass Sie die Verfügbarkeit des Ressourcenpartners konfigurieren können. Wenn Sie eine Zeiteinschränkung hinzufügen, dann funktioniert der Service Provider nur während des angegebenen Zeitraums.
- Löschen
- IP-Adressen
- HinzufügenÖffnet das leere Dialogfeld "Add IP Address" (IP-Adresse hinzufügen), wo Sie eine Einschränkung der IP-Adresse erstellen können.
- ErweitertIm erweiterten Abschnitt können Sie folgende Funktionen konfigurieren:
- Plug-in für AssertionsgeneratorIdentifiziert ein benutzerdefiniertes Assertionsgenerator-Plug-in, das mithilfe der Plug-in-API für Assertionsgenerator entwickelt wurde. Das Assertionsgenerator-Plug-in ist eine zusätzliche Funktion.
- ProxyIdentifiziert den Proxyserver zwischen dem Client und dem System, auf dem Federation-Webservices ausgeführt werden, falls vorhanden.
- Erweiterte SSO-KonfigurationGibt benutzerdefinierte Umleitungs-URLs für HTTP-Statusfehler an.CA Single Sign-onkann den Benutzer für weitere Aktionen auf eine benutzerdefinierte Fehlerseite umleiten. Benutzerdefinierte URLs sind optional.
SAML-Service Provider - Erweiterte Einstellungen
Einstellungen des Assertionsgenerator-Plug-ins
Der Bereich des Assertionsgenerator-Plug-ins enthält folgende Einstellungen:
- Vollständiger Java-KlassennameGibt den vollständig qualifizierten Java-Klassennamen des Assertionsgenerator-Plug-ins an.
- ParameterWenn ein Wert im Feld "Vollständiger Java-Klassenname" eingegeben ist, wird eine Zeichenfolge der Parameter angegeben, dieCA Single Sign-onan das angegebene Plug-in übergibt.
- Proxy-ServerWenn Ihr Netzwerk über einen Proxyserver zwischen dem Client und dereTrust SiteMinder FSS-Betriebsumgebung verfügt, dann geben Sie die Schema- und Autoritätsteile der URL an, wie z. B.protocol:authority. Das Schema ist "http:" oder "https:", und die Autorität ist "// oder "//host.domain.com:port". Zum Beispiel: http://example.ca.com.
Federation-Webservices sind auf einem System verfügbar, auf dem sich das Web-Agent-Optionspaket oder das SPS-Federation-Gateway befindet.
SAML-Service Provider - Erweiterte SSO-Konfiguration
Im Abschnitt "Erweiterte SSO-Konfiguration" können Sie folgende Funktionen konfigurieren:
- Der angeforderte Authentifizierungskontext.
- Einmalige Verwendung der Assertion.
- Umleitungs-URLs für Fehlerbehandlung.
- Verwendung des Attributs "SessionNotOnOrOAfter" in einer SAML-Assertion.
Das Dialogfeld enthält folgende Einstellungen:
- Angeforderten "AuthnContext" ignorierenLegt fest, wie eine Transaktion fortfährt, wenn der SP bei der Anforderung einer Assertion das Element "<RequestedAuthnContext>" in einer AuthnRequest-Meldung enthält.Der BegriffAuthentifizierungskontextbeschreibt, wie ein Benutzer bei einem IdP authentifiziert wird. Dieses Element ist eine Anforderung des SP, der die Anforderungen für die AuthnContext-Anweisung angibt, die der IdP in der Assertionsantwort zurückgeben muss.Wenn das Kontrollkästchen aktiviert ist, wird dem IdP mitgeteilt, dass das <RequestedAuthnContext>-Element in der AuthnRequest-Meldung vom SP ignoriert werden soll. Legacy-Federation unterstützt nicht die Verwendung des <RequestedAuthnContext>-Elements in einer AuthnRequest-Meldung. Wenn Sie dieses Kontrollkästchen auswählen, dann wird verhindert, dass die Transaktion fehlschlägt.Wenn dieses Kontrollkästchen nicht aktiviert ist (Standard) und die eingehende AuthnRequest-Meldung das <RequestedAuthnContext>-Element enthält, dann schlägt die Transaktion fehl.
- "OneTimeUse"-Bedingung festlegenWeist den SP an, die Assertion sofort zu verwenden und es nicht für zukünftige Verwendungen beizubehalten. Die Assertion ist nur für eine einmalige Verwendung vorgesehen. Die "OneTimeUse"-Bedingung ist nützlich, weil Informationen in einer Assertion geändert werden können oder ablaufen können, und der SP verwendet eine Assertion mit aktuellen Informationen. Anstatt die Assertion erneut zu verwenden, muss der SP eine neue Assertion vom IdP anfordern.
- URL des Serverfehlers aktivierenAktiviert eine Umleitung bei Serverfehlern
- URL-Umleitung bei Serverfehler
Beispiel: http://www.redirectmachine.com/error_pages/server_error.html - Ungültige Anforderungs-URL aktivierenAktiviert eine Umleitung bei ungültigen Anforderungsfehlern.
- URL-Umleitung für ungültige Anforderung
Beispiel: http://www.redirectmachine.com/error_pages/invalidreq_error.html - URL des nicht autorisierten Zugriffs aktivierenAktiviert eine Umleitung bei unbefugten Zugriffsfehlern.
- URL-Umleitung des unbefugten Zugriffs
Beispiel: http://www.redirectmachine.com/error_pages/unauthorized_error.html
Modusfelder
Für jede URL können Sie einen Modus auswählen, in dem der Browser den Benutzer umleitet.
302 - Keine Daten
Leitet den Benutzer mithilfe einer "HTTP 302"-Umleitung um.
CA Single Sign-on
leitet den Benutzer mit einem Sitzungs-Cookie. CA Single Sign-on
hängt der Umleitungs-URL keine zusätzlichen Informationen an.- HTTP POSTLeitet den Benutzer mithilfe des "HTTP POST"-Protokolls um. Wenn der Benutzer an die URL der benutzerdefinierten Fehlerseite umgeleitet wird, werden folgende Daten, wenn verfügbar, an die Umleitungs-URL angehängt und anschließend auf der benutzerdefinierten Fehlerseite angegeben:
- TARGET
- AUTHREASON
- CONSUMERURL
- SAMLRESPONSE
- IDPID
- SPID
- PROTOCOLBINDING
Gültigkeitsdauer der SP-Sitzung
Legt die Verwendung des Attributs "SessionNotOnOrOAfter" in einer Assertion fest. Geben Sie diesen Wert an, um festzulegen, ob der IdP das Attribut "SessionNotOnOrOAfter" einer SAML-Assertion hinzufügen soll.
Diese Konfigurationseinstellung ist nur beim
CA Single Sign-on
-IdP verfügbar. CA Single Sign-on
weist den IdP an, welcher Wert für den Parameter "SessionNotOnOrAfter" in der Assertion festgelegt werden soll. Die Einstellung legt keinen Zeitlimitwert beim SP fest. Wenn
CA Single Sign-on
als SP agiert, dann wird der Wert "SessionNotOnOrAfter" ignoriert. Stattdessen legt ein CA Single Sign-on
-SP Sitzungszeitlimits fest, die auf dem Zeitlimit des Bereichs basieren. Das Zeitlimit des Bereichs entspricht dem konfigurierten SAML-Authentifizierungsschema, das die Zielressource schützt.Optionen:
Assertionsgültigkeit verwenden
Berechnet den Wert "SessionNotOnOrAfter", der auf der Gültigkeitsdauer der Assertion basiert.
Auslassen
Weist den IdP an, den Parameter "SessionNotOnOrAfter" nicht in die Assertion einzuschließen.
IDP-Sitzung
Berechnet den Wert "SessionNotOnOrAfter", der auf dem IdP-Sitzungszeitlimit basiert. Das Zeitlimit wird im IdP-Bereich für die Authentifizierungs-URL konfiguriert. Über diese Option können die Werte des IdP- und SP-Sitzungszeitlimits synchronisiert werden.
Benutzerdefiniert
Ermöglicht es Ihnen, einen benutzerdefinierten Wert für den Parameter "SessionNotOnOrAfter" in der Assertion anzugeben. Wenn Sie diese Option auswählen, geben Sie einen Wert in das Feld "Sitzungsdauer der benutzerdefinierten Assertion" ein.
Sitzungsdauer der benutzerdefinierten Assertion (Minuten)
Gibt den Zeitraum (in Minuten) an, der für den Parameter "SessionNotOnOrAfter" in der Assertion festgelegt ist. Wenn das Attribut in der Assertion ist, legt diese Einstellung die Dauer der Sitzung zwischen dem Benutzer und dem IdP fest. Legen Sie einen Zeitraum fest, der für Ihre Umgebung geeignet ist.