Auth-Schema für WS-Federation - SAML-Profil

Die Seite enthält folgende Felder:
casso1283
HID_wsfed-auth-scheme-saml-profiles
Im Dialogfeld "SAML-Profil" legen Sie fest, wie der Ressourcenpartner Single Sign-On und die Abmeldekommunikation verarbeitet.
Die Seite enthält folgende Felder:
  • Umleitungsmodus
    Zeigt die Methode an, nach der der Ressourcenpartner den Benutzer an die Zielressource umleitet. Wenn Sie "302 - Keine Daten" oder "302 - Cookie-Daten" auswählen, ist keine weitere Konfiguration erforderlich. Wenn Sie "Server-Umleitung" oder "Dauerhafte Attribute" auswählen, ist eine zusätzliche Konfiguration erforderlich.
    • 302 - Keine Daten
      (Standard). Gibt an, dass eine HTTP-302-Umleitung den Benutzer an das Ziel mit einem Sitzungs-Cookie und ohne andere Daten sendet.
    • 302 - Cookie-Daten
      Gibt an, dass eine HTTP-302-Umleitung den Benutzer an das Ziel mit einem Sitzungs-Cookie und zusätzlichen Cookie-Daten für den Ressourcenpartner sendet.
    • casso1283
      Server Redirect
      Enables header and cookie attribute information received in the assertion to be passed to the custom target application. The SAML 2.0 Assertion Consumer Service or WS-Federation Security Token Consumer Service collects the user credentials then transfers the user to the target application URL using server-side redirects. Server-side redirects are part of the Java Servlet specification. All the standard-compliant servlet containers support server-side redirects.
      To use this mode, follow these requirements:
      • The URL you specify for this mode must be relative to the context of the servlet that is consuming the assertion, which is typically /affwebservices/public/. The root of the context is the root of the Federation Web Services application, typically /affwebservices/.
        All target application files must be in the application root directory. This directory is either:
        —Web Agent:
        web_agent_home
        \webagent\affwebservices
        CA Access Gateway
        :
        sps_home
        \secure-proxy\Tomcat\webapps\affwebservices
      • Define realms, rules, and policies to protect target resources. You define the realms with at least the value /affwebservices/ in the resource filter.
      • Install a custom Java or JSP application on the server that is serving the Federation Web Services application. Federation Web Services is installed with the Web Agent Option Pack or
        CA Access Gateway
        .
        Java servlet technology allows applications to pass information between two resource requests using the setAttribute method of the ServletRequest interface.
        The service that consumes assertions sends the user attribute to the target application before redirecting the user to the target. The service sends the attributes by creating a java.util.HashMap object. The attribute that contains the HashMap of SAML attributes is “Netegrity.AttributeInfo.”
        The service that consumes assertions passes two other Java.lang.String attributes to the custom application:
        —Netegrity.smSessionID attribute represents the
        CA Single Sign-on
        session ID
        —Netegrity.userDN attribute represents the
        CA Single Sign-on
        user DN.
        The custom target application reads these objects from the HTTP request and uses the data found in the hashmap objects.
    • Dauerhafte Attribute
      Gibt an, dass eine HTTP-302-Umleitung den Benutzer an das Ziel mit einem Sitzungs-Cookie und ohne andere Daten sendet. Zusätzlich weist dieser Modus den Richtlinienserver an, Attribute, die aus einer Assertion extrahiert wurden, im Sitzungsspeicher zu speichern, sodass sie als HTTP-Header-Variablen bereitgestellt werden können. Zusätzliche Konfigurationen finden Sie in den Anweisungen für die Verwendung von SAML-Attributen als HTTP-Header.
      casso1283
      If you select Persist Attributes and the assertion contains attributes that are left blank, a value of NULL is written to the session store. This value acts as a placeholder for the empty attribute. The value is passed to any application using the attribute.
  • Ziel
    Gibt den URI der Zielressource am Ziel der Service Provider-Site an.
  • Einmalige Richtlinie erzwingen
    Setzt die einmalige Verwendung einer Richtlinie durch. Wenn Sie diese Option auswählen, wird verhindert, dass Assertionen bei einem Ressourcenpartner erneut verwendet werden, um eine zweite Sitzung herzustellen.
Im Abmeldeabschnitt können Sie konfigurieren, wie der Ressourcenpartner auf eine Abmeldeanforderung reagiert.
Die Einstellungen in diesem Abschnitt sind:
  • Aktivieren Sie das Attribut "SignoutJava.lang.String"
    Aktiviert die WS-Federation-Abmeldung.
  • Abmelde-URL
    Gibt die URL des Abmelde-Servlets beim Kontopartner an. Die Standard-URL ist der empfohlene Eintrag:
    https://<ap_service:port>/affwebservices/public/wsfeddispatcher
    Der Service "WSFedDispatcher" erhält alle eingehenden WS-Federation-Meldungen und leitet die Abfrageverarbeitung an den entsprechenden Service weiter, der auf den Abfrageparameterdaten basiert. Obwohl der Service "wsfedsignout" vorhanden ist, verwenden Sie die wsfeddispatcher-URL für die Abmelde-URL.
Im Abschnitt "Benutzerbegriffsklärung" wird angegeben, wie Benutzerinformationen aus einer Assertion in einer eingehenden <RequestSecurityTokenResponse>-Meldung abgerufen werden.
Die Registerkarte enthält folgende Felder und Steuerelemente:
Benutzerbegriffsklärung
  • Xpath-Abfrage
    Gibt eine XPath-Abfrage an. Die XPath-Abfrage teilt dem Authentifizierungsschema mit, wo in der Assertion ein bestimmter Eintrag, der dann als Benutzeranmeldungs-ID dient, gesucht werden soll. Der Wert, den die Abfrage erhält, wird ein Teil der Suchspezifikation, um einen Benutzerspeichereintrag zu suchen.
    Die standardmäßige XPath-Abfrage, die verwendet wird, wenn keine konfiguriert wurde, ist:
    /Assertion/Subject/NameID/text()
    Xpath queries must not contain namespace prefixes. The following is an invalid Xpath query:
    /saml:Response/saml:Assertion/saml:AuthenticationStatement/
    saml:Subject/saml:NameIdentifier/text()
    The valid Xpath query is:
    //Response/Assertion/AuthenticationStatement/Subject/
    NameIdentifier/text()
    Beispiel
    Wenn Sie das Attribut "FirstName" aus der Assertion für die Authentifizierung abrufen, dann ist die XPath-Abfrage:
    /Assertion/AttributeStatement/Attribute[@Name=”FirstName”]/AttributeValue/text()
  • Benutzersuche
    Zeigt Namespace-Typen an, wo Sie eine Suchspezifikation eingeben können, um einen Benutzerdatensatz in einem Benutzerverzeichnis zu finden. Verwenden Sie das Feld "Benutzerdefiniert" für einen Namespace, der nicht aufgelistet ist.
    Geben Sie eine Suchspezifikation für den Benutzerspeichertyp ein, den Sie verwenden. Die Suchspezifikation verbindet ein Benutzerspeicherattribut und den Wert, den die XPath-Abfrage identifiziert. Das Authentifizierungsschema verwendet die Suchspezifikation, um einen Benutzerdatensatz im Benutzerspeicher zu finden.
    Verwenden Sie "%s", um den Anmelde-ID-Wert darzustellen.
    Zum Beispiel ist die Anmelde-ID "user1". Wenn Sie "Username=%s" im Feld "Suchspezifikation" angeben, dann ergibt sich daraus die Zeichenfolge "Username=user1". Diese Zeichenfolge wird mit einem Datensatz im Benutzerverzeichnis verglichen, um den korrekten Datensatz für die Authentifizierung zu finden.
    Sie können auch Filter mit mehreren %s-Variablen angeben. Beispiel:
    |(uid=%s)(email=%[email protected])
    |(abcAliasName=%s)(cn=%s)
    Die Ergebnisse wären:
    |(uid=user1)([email protected])
    |(abcAliasName=user1)(cn=user1)