Ressourcenpartner - Allgemeine Einstellungen
In diesem Dialogfeld geben Sie Identitätsinformationen für den Kontopartner und den Ressourcenpartner an.
casso1283
HID_wsfed-rp-general
In diesem Dialogfeld geben Sie Identitätsinformationen für den Kontopartner und den Ressourcenpartner an.
Allgemeine Einstellungen
Die Seite "Allgemein" enthält folgende Einstellungen:
- NameName des Ressourcenpartners. Dieser Name muss für alle Partnerdomänen eindeutig sein.
- Ressourcenpartner-IDGibt einen URI an, der den Ressourcenpartner, wie z. B. "rp.example.com", eindeutig identifiziert.
- Authentifizierungs-URLGibt eine geschützte URL an, die die Federation verwendet, um Benutzer zu authentifizieren und eine Sitzung zu erstellen, wenn eine geschützte Ressource angefordert wird. Wenn der Authentifizierungsmodus auf "Lokal" festgelegt ist und ein Benutzer nicht auf der behauptenden Seite angemeldet ist, werden Benutzer an diese URL gesendet.Diese URL muss auf die Datei "redirect.jsp" verweisen, es sei denn, Sie wählen das Kontrollkästchen Sichere URL verwenden aus. Beispiel: http://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jspmyserverIdentifiziert den Webserver mit dem Web-Agent-Optionspaket oder dem SPS-Federation-Gateway. Die Datei "redirect.jsp" ist im Web-Agent-Optionspaket oder im SPS-Federation-Gateway enthalten, das auf der behauptenden Seite installiert ist.Schützen Sie die Authentifizierungs-URL mit einer Zugriffssteuerungsrichtlinie. Konfigurieren Sie für die Richtlinie ein Authentifizierungsschema, einen Bereich und eine Regel. Um der Assertion Sitzungsspeicherattribute hinzuzufügen, aktivieren Sie das Kontrollkästchen "Variable der Authentifizierungssitzung beibehalten", das eine Einstellung im Authentifizierungsschema ist.
- casso1283ActiveIndicates whether the legacy federation configuration is in use for a particular partnership. If the Policy Server is using the legacy federation configuration, confirm this check box is selected. If you have recreated a federated partnership with similar values for identity settings, such as source ID, clear this check box before activating the federated partnership.CA Single Sign-oncannot work with a legacy and partnership configuration that use the same identity values or a name collision occurs.
- ZeitversatzGibt die Sekundenanzahl an, die von der aktuellen Zeit abgezogen werden soll, um Ressourcenpartner zu berücksichtigen, deren Uhren nicht mit dem Kontopartner synchronisiert sind.Geben Sie die Sekundenanzahl als positive Ganzzahl ein.
- Beschreibung(Optional) Eine kurze Beschreibung des Ressourcenpartners.
- Kontopartner-IDGibt einen URI an, der den Kontopartner, wie z. B. "ap-ca.com", eindeutig identifiziert. Diese ID wird zum Wert des Felds "Aussteller" in der SAML-Assertion.
- Anwendungs-URL(Optional) Die geschützte URL für eine benutzerdefinierte Webanwendung, die verwendet wird, um dem Dienst für Single Sign-On Benutzerattribute bereitzustellen. Die Anwendung kann auf einem beliebigen Host in Ihrem Netzwerk sein.Attribute von der Webanwendung, die in diesem Feld angegeben ist, werden durch ein Assertionsgenerator-Plug-in in die SAML-Assertion eingefügt. Schreiben und integrieren Sie das Plug-in inCA Single Sign-on.Die FWS-Anwendung stellt Beispiele für Webanwendungen bereit, die Sie als Grundlage für Ihre Webanwendung verwenden können.Diese Anwendungen befinden sich hier:http://ap_server:port/affwebservices/public/sample_application.jsphttp://ap_server:port/affwebservices/public/unsolicited_application.jspap_server:portGibt den Server und Portnummer des Systems beim Kontopartner an. Das System hostet das Web-Agent-Optionspaket oder das SPS-Federation-Gateway, abhängig davon, welche Komponente in Ihrem Federation-Netzwerk installiert ist.
- Sichere URL verwendenDiese Einstellung weist den Dienst für Single Sign-On an, nur den Abfrageparameter "SMPORTALURL" zu verschlüsseln. Der verschlüsselte Abfrageparameter "SMPORTALURL" verhindert, dass ein bösartiger Benutzer den Wert ändert und authentifizierte Benutzer auf eine bösartige Website umleitet. "SMPORTALURL" wird an die Authentifizierungs-URL angehängt, bevor der Browser den Benutzer umleitet, um eine Sitzung herzustellen. Nachdem der Benutzer authentifiziert wurde, leitet der Browser den Benutzer zurück an das Ziel, das im Abfrageparameter "SMPORTALURL" angegeben ist.Wenn Sie das Kontrollkästchen "Sichere URL verwenden" auswählen, müssen Sie folgende Schritte ausführen:1. Legen Sie das Feld "Authentifizierungs-URL" auf folgende URL fest: http(s)://idp_server:port/affwebservices/secure/secureredirect2. Schützen Sie den Webservice "secureredirect" mit einer Richtlinie.Bei die behauptende Seite mehr als einen vertrauenden Partner bedient, authentifiziert die behauptende Seite wahrscheinlich verschiedene Benutzer für diese verschiedenen Partner. Für jede Authentifizierungs-URL, die "secureredirect" verwendet, ist daher dieser Webservice in einem unterschiedlichen Bereich für jeden Partner enthalten.Um den Service "secureredirect" zu verschiedenen Bereichen zuzuordnen, ändern Sie die Datei "web.xml", und erstellen Sie verschiedene Ressourcenzuordnungen. Kopieren Sie den Webservice "secureredirect" nicht in verschiedenen Speicherorten auf Ihrem Server. Suchen Sie die Datei "web.xml" im Verzeichnisweb_agent_home/affwebservices/WEB-INF, wobeiweb_agent_homeder Speicherort des installierten Web-Agenten ist.
- PartnerdomäneListet die Partnerdomäne auf, die diese Entität enthält.
Die allgemeinen Einstellungen enthalten auch folgende Abschnitte:
- EinschränkungenErmöglicht es Ihnen, die IP-Adresse und Zeiteinschränkungen auf der Richtlinie der Assertionsgenerierung für den Ressourcenpartner zu konfigurieren.
- Zeit
- FestlegenÖffnet das Dialogfeld "Zeit", sodass Sie die Verfügbarkeit des Ressourcenpartners konfigurieren können. Wenn Sie eine Zeiteinschränkung hinzufügen, dann funktioniert der Ressourcenpartner nur während des angegebenen Zeitraums.
- Löschen
- IP-Adressen
- HinzufügenÖffnet das leere Dialogfeld "Add IP Address" (IP-Adresse hinzufügen), wo Sie eine Einschränkung der IP-Adresse erstellen können.
Ressourcenpartner - D-Sig-Verifizierungsinformationen
D-Sig-Verifizierungsinformationen
Aktiviert digitale Signatur.
- Signaturverarbeitung deaktivierenDeaktiviert alle Signaturverarbeitungen für diesen Ressourcenpartner (Signatur und Überprüfung von Signaturen).Die Signaturverarbeitung ist in einer Produktionsumgebung erforderlich. Signaturverarbeitung sollte nur für Debugging-Zwecke deaktiviert werden.
- Signatur-Alias(Optional) Gibt den Alias an, der einem bestimmten privaten Schlüssel im Zertifikatsdatenspeicher zugeordnet ist. Wenn Sie dieses Feld ausfüllen, geben Sie an, welcher private Schlüssel der Kontopartner verwenden muss, um Assertionen und Assertionsantworten zu signieren.Stellen Sie sicher, dass der private Schlüssel im Datenspeicher ist, bevor Sie den zugeordneten Alias in diesem Feld angeben.Wert:Eine alphanumerische Zeichenfolge.
Ressourcenpartner - Erweiterte Einstellungen
Im Abschnitt "Erweitert" können Sie ein Assertionsgenerator-Plug-in konfigurieren, das nach Benutzerangaben entwickelt wurde. Die API des Assertionsgenerator-Plug-ins ermöglicht es Ihnen, das Plug-in zu entwickeln. Diese Aufgabe ist optional.
Das Assertionsgenerator-Plug-in verfügt über folgende Felder:
- Java-KlassennameGibt den vollständig qualifizierten Java-Klassennamen des Assertionsgenerator-Plug-ins an.
- ParameterGibt eine Zeichenfolge von Parametern an, dieCA Single Sign-onan das angegebene Plug-in übergibt.