Ressourcenpartner - Allgemeine Einstellungen

In diesem Dialogfeld geben Sie Identitätsinformationen für den Kontopartner und den Ressourcenpartner an.
casso1283
HID_wsfed-rp-general
In diesem Dialogfeld geben Sie Identitätsinformationen für den Kontopartner und den Ressourcenpartner an.
Allgemeine Einstellungen
Die Seite "Allgemein" enthält folgende Einstellungen:
  • Name
    Name des Ressourcenpartners. Dieser Name muss für alle Partnerdomänen eindeutig sein.
  • Ressourcenpartner-ID
    Gibt einen URI an, der den Ressourcenpartner, wie z. B. "rp.example.com", eindeutig identifiziert.
  • Authentifizierungs-URL
    Gibt eine geschützte URL an, die die Federation verwendet, um Benutzer zu authentifizieren und eine Sitzung zu erstellen, wenn eine geschützte Ressource angefordert wird. Wenn der Authentifizierungsmodus auf "Lokal" festgelegt ist und ein Benutzer nicht auf der behauptenden Seite angemeldet ist, werden Benutzer an diese URL gesendet.Diese URL muss auf die Datei "redirect.jsp" verweisen, es sei denn, Sie wählen das Kontrollkästchen Sichere URL verwenden aus. Beispiel: http://
    myserver.idpA.com
    /siteminderagent/redirectjsp/redirect.jsp
    myserver
    Identifiziert den Webserver mit dem Web-Agent-Optionspaket oder dem SPS-Federation-Gateway. Die Datei "redirect.jsp" ist im Web-Agent-Optionspaket oder im SPS-Federation-Gateway enthalten, das auf der behauptenden Seite installiert ist.
    Schützen Sie die Authentifizierungs-URL mit einer Zugriffssteuerungsrichtlinie. Konfigurieren Sie für die Richtlinie ein Authentifizierungsschema, einen Bereich und eine Regel. Um der Assertion Sitzungsspeicherattribute hinzuzufügen, aktivieren Sie das Kontrollkästchen "Variable der Authentifizierungssitzung beibehalten", das eine Einstellung im Authentifizierungsschema ist.
  • casso1283
    Active
    Indicates whether the legacy federation configuration is in use for a particular partnership. If the Policy Server is using the legacy federation configuration, confirm this check box is selected. If you have recreated a federated partnership with similar values for identity settings, such as source ID, clear this check box before activating the federated partnership.
    CA Single Sign-on
    cannot work with a legacy and partnership configuration that use the same identity values or a name collision occurs.
  • Zeitversatz
    Gibt die Sekundenanzahl an, die von der aktuellen Zeit abgezogen werden soll, um Ressourcenpartner zu berücksichtigen, deren Uhren nicht mit dem Kontopartner synchronisiert sind.
    Geben Sie die Sekundenanzahl als positive Ganzzahl ein.
  • Beschreibung
    (Optional) Eine kurze Beschreibung des Ressourcenpartners.
  • Kontopartner-ID
    Gibt einen URI an, der den Kontopartner, wie z. B. "ap-ca.com", eindeutig identifiziert. Diese ID wird zum Wert des Felds "Aussteller" in der SAML-Assertion.
  • Anwendungs-URL
    (Optional) Die geschützte URL für eine benutzerdefinierte Webanwendung, die verwendet wird, um dem Dienst für Single Sign-On Benutzerattribute bereitzustellen. Die Anwendung kann auf einem beliebigen Host in Ihrem Netzwerk sein.
    Attribute von der Webanwendung, die in diesem Feld angegeben ist, werden durch ein Assertionsgenerator-Plug-in in die SAML-Assertion eingefügt. Schreiben und integrieren Sie das Plug-in in
    CA Single Sign-on
    .
    Die FWS-Anwendung stellt Beispiele für Webanwendungen bereit, die Sie als Grundlage für Ihre Webanwendung verwenden können.
    Diese Anwendungen befinden sich hier:
    http://
    ap_server:port
    /affwebservices/public/sample_application.jsp
    http://
    ap_server:port
    /affwebservices/public/unsolicited_application.jsp
    ap_server:port
    Gibt den Server und Portnummer des Systems beim Kontopartner an. Das System hostet das Web-Agent-Optionspaket oder das SPS-Federation-Gateway, abhängig davon, welche Komponente in Ihrem Federation-Netzwerk installiert ist.
  • Sichere URL verwenden
    Diese Einstellung weist den Dienst für Single Sign-On an, nur den Abfrageparameter "SMPORTALURL" zu verschlüsseln. Der verschlüsselte Abfrageparameter "SMPORTALURL" verhindert, dass ein bösartiger Benutzer den Wert ändert und authentifizierte Benutzer auf eine bösartige Website umleitet. "SMPORTALURL" wird an die Authentifizierungs-URL angehängt, bevor der Browser den Benutzer umleitet, um eine Sitzung herzustellen. Nachdem der Benutzer authentifiziert wurde, leitet der Browser den Benutzer zurück an das Ziel, das im Abfrageparameter "SMPORTALURL" angegeben ist.
    Wenn Sie das Kontrollkästchen "Sichere URL verwenden" auswählen, müssen Sie folgende Schritte ausführen:
    1. Legen Sie das Feld "Authentifizierungs-URL" auf folgende URL fest: http(s)://
    idp_server:port
    /affwebservices/secure/secureredirect
    2. Schützen Sie den Webservice "secureredirect" mit einer Richtlinie.
    Bei die behauptende Seite mehr als einen vertrauenden Partner bedient, authentifiziert die behauptende Seite wahrscheinlich verschiedene Benutzer für diese verschiedenen Partner. Für jede Authentifizierungs-URL, die "secureredirect" verwendet, ist daher dieser Webservice in einem unterschiedlichen Bereich für jeden Partner enthalten.
    Um den Service "secureredirect" zu verschiedenen Bereichen zuzuordnen, ändern Sie die Datei "web.xml", und erstellen Sie verschiedene Ressourcenzuordnungen. Kopieren Sie den Webservice "secureredirect" nicht in verschiedenen Speicherorten auf Ihrem Server. Suchen Sie die Datei "web.xml" im Verzeichnis
    web_agent_home
    /affwebservices/WEB-INF, wobei
    web_agent_home
    der Speicherort des installierten Web-Agenten ist.
  • Partnerdomäne
    Listet die Partnerdomäne auf, die diese Entität enthält.
Die allgemeinen Einstellungen enthalten auch folgende Abschnitte:
  • Einschränkungen
    Ermöglicht es Ihnen, die IP-Adresse und Zeiteinschränkungen auf der Richtlinie der Assertionsgenerierung für den Ressourcenpartner zu konfigurieren.
    • Zeit
    • Festlegen
      Öffnet das Dialogfeld "Zeit", sodass Sie die Verfügbarkeit des Ressourcenpartners konfigurieren können. Wenn Sie eine Zeiteinschränkung hinzufügen, dann funktioniert der Ressourcenpartner nur während des angegebenen Zeitraums.
    • Löschen
    • IP-Adressen
    Listet eingeschränkte IP-Adressen auf, die für die Richtlinie für die Federation-Ressourcen konfiguriert sind. Gibt eine IP-Adresse, einen Bereich von IP-Adressen oder eine Subnetzmaske des Webservers an, auf dem ein Browser ausgeführt werden muss, damit der Benutzer auf einen Ressourcenpartner zugreifen kann.
    • Hinzufügen
      Öffnet das leere Dialogfeld "Add IP Address" (IP-Adresse hinzufügen), wo Sie eine Einschränkung der IP-Adresse erstellen können.
Ressourcenpartner - D-Sig-Verifizierungsinformationen
D-Sig-Verifizierungsinformationen
Aktiviert digitale Signatur.
  • Signaturverarbeitung deaktivieren
    Deaktiviert alle Signaturverarbeitungen für diesen Ressourcenpartner (Signatur und Überprüfung von Signaturen).
    Die Signaturverarbeitung ist in einer Produktionsumgebung erforderlich. Signaturverarbeitung sollte nur für Debugging-Zwecke deaktiviert werden.
  • Signatur-Alias
    (Optional) Gibt den Alias an, der einem bestimmten privaten Schlüssel im Zertifikatsdatenspeicher zugeordnet ist. Wenn Sie dieses Feld ausfüllen, geben Sie an, welcher private Schlüssel der Kontopartner verwenden muss, um Assertionen und Assertionsantworten zu signieren.
    Stellen Sie sicher, dass der private Schlüssel im Datenspeicher ist, bevor Sie den zugeordneten Alias in diesem Feld angeben.
    Wert:
    Eine alphanumerische Zeichenfolge.
Ressourcenpartner - Erweiterte Einstellungen
Im Abschnitt "Erweitert" können Sie ein Assertionsgenerator-Plug-in konfigurieren, das nach Benutzerangaben entwickelt wurde. Die API des Assertionsgenerator-Plug-ins ermöglicht es Ihnen, das Plug-in zu entwickeln. Diese Aufgabe ist optional.
Das Assertionsgenerator-Plug-in verfügt über folgende Felder:
  • Java-Klassenname
    Gibt den vollständig qualifizierten Java-Klassennamen des Assertionsgenerator-Plug-ins an.
  • Parameter
    Gibt eine Zeichenfolge von Parametern an, die
    CA Single Sign-on
    an das angegebene Plug-in übergibt.