Ressourcenpartner - SAML-Profile
Im Dialogfeld "SAML-Profil" konfigurieren Sie Single Sign-On (SSO) und die Abmeldung zwischen dem Kontopartner und dem Ressourcenpartner.
casso1283
HID_wsfed-rp-saml-profiles
Im Dialogfeld "SAML-Profil" konfigurieren Sie Single Sign-On (SSO) und die Abmeldung zwischen dem Kontopartner und dem Ressourcenpartner.
Die Single Sign-On-Einstellungen sind:
- AuthentifizierungsmethodeZeigt an, wie der Benutzer beim Kontopartner authentifiziert wurde. Wählen Sie die Agentengruppe aus der Drop-down-Liste aus. Der Kontopartner schließt die Authentifizierungsmethode in die Assertion in Form einer URI-Zeichenfolge ein.Der Wert, den Sie für dieses Feld auswählen, muss dem Authentifizierungsschema entsprechen, das die Authentifizierungs-URL schützt. Sie geben die Authentifizierungs-URL in den allgemeinen Einstellungen für diesen Kontopartner an. Wenn die Authentifizierungs-URL zum Beispiel durch ein Authentifizierungsschema des X.509-Zertifikats geschützt wird, wählen Sie SSL-/TLS-Zertifikat für dieses Feld aus.Die Authentifizierungsmethode, die Sie auswählen, muss auch für die Authentifizierungsebene geeignet sein, die Sie auf dieser Seite konfigurieren. Zum Beispiel wählen Sie das X509-Client-Zertifikat und eine einfache Vorlage für das Authentifizierungsschema aus, das die Authentifizierungs-URL schützt. Die standardmäßige Schutzebene für diese Vorlage ist 15. Allerdings ist "Password" die standardmäßige Authentifizierungsmethode für die SSO-Konfiguration des Ressourcenpartners. Wenn Sie "Password" als Authentifizierungsmethode beibehalten, fügt der Kontopartner folgende URI zur Assertion hinzu:urn:oasis:names:tc:SAML:1.0:am:classes:password
- Konsumdienst für Sicherheits-TokenGibt die URL des Service beim Ressourcenpartner an, der Antwortmeldungen der Sicherheits-Token erhält und die Assertion extrahiert. Der standardmäßige Speicherort für denCA Single Sign-on-Service ist:https://rp_server:port/affwebservices/public/wsfeddispatchercasso1283rp_server:portIdentifies the web server and port at the Resource Partner hosting the Web Agent Option Pack orCA Access Gateway.Diese Komponenten stellen die Anwendung "Federation-Webservices" bereit.Der Service "WSFedDispatcher" erhält alle eingehenden WS-Federation-Meldungen und leitet die Abfrageverarbeitung an den entsprechenden Service weiter, der auf den Abfrageparameterdaten basiert. Obwohl der Service "Wsfedsecuritytokenconsumer" vorhanden ist, wird der Service "wsfeddispatcher" für den Eintrag in diesem Feld empfohlen.
- Gültigkeitsdauer in SekundenGibt die Sekundenanzahl an (eine positive Ganzzahl), die eine Assertion gültig ist. Der Standardwert beträgt 60 Sekunden.Wenn in einer Testumgebung folgende Meldung im Nachverfolgungsprotokoll des Richtlinienservers vorhanden ist, erhöhen Sie die Gültigkeitsdauer auf über 60.Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237) - current time (Fri Sep 09 17:28:33EDT 2011) is after SessionNotOnOrAfter time (Fri Sep 09 17:28:20 EDT 2006)
- Authentifizierungsebene [0-1000]Gibt die minimale Ebene an, auf der ein Benutzer authentifiziert sein muss, um Zugriff auf einenCA Single Sign-on-Bereich zu erhalten.Wenn ein Benutzer eine föderierte Ressource anfordert, müssen sie eineCA Single Sign-on-Sitzung haben. Wenn ein Benutzer keine Sitzung hat, leitetCA Single Sign-onden Benutzer auf die Authentifizierungs-URL um, um eine Sitzung herzustellen. Der Benutzer kann möglicherweise eine Sitzung haben, aber die Schutzebene ist niedriger als die Authentifizierungsebene, die in diesem Dialogfeld angegeben ist. In diesem Fall leitetCA Single Sign-onden Benutzer auf die Authentifizierungs-URL um, um eine Sitzung wiederherzustellen.Das Authentifizierungsschema, das die Authentifizierungs-URL schützt, ist mit einer bestimmten Schutzebene konfiguriert. Die Schutzebene muss gleich oder größer als die Ebene sein, die im Feld "Authentifizierungsebene" auf dieser Seite angegeben ist. Wenn der Benutzer auf dieser Ebene authentifiziert wurde, dann generiert der Kontopartner eine Assertion für den Benutzer. Wenn die Schutzebene für die Authentifizierungs-URL niedriger ist als die Ebene im Feld "Authentifizierungsebene", dann generiertCA Single Sign-onkeine Assertion.
Im Abmeldeabschnitt können Sie die Abmeldefunktion von WS-Federation aktivieren. Das Abmelden beendet alle Sitzungen für einen bestimmten Benutzer bei jedem Ressourcenpartner, wo der Benutzer eine Sitzung hat.
Die Abmeldeeinstellungen sind:
- Abmeldung aktivierenAktiviert die Abmeldefunktion von WS-Federation für den Ressourcenpartner.
- URL der AbmeldungsbereinigungGibt eine URL beim Ressourcenpartner an, an die der Browser umgeleitet wird, um die Benutzersitzung zu beenden.Nachdem die Benutzersitzung beim Kontopartner und aus allen Ressourcenpartner-Sites entfernt wurde, leiten die Federation-Webservices den Benutzer an die URL der Abmeldungsbereinigung um. Wenn die Abmeldung beim Ressourcenpartner initiiert wird, muss die Abmeldebestätigungsseite eine ungeschützte Ressource beim Ressourcenpartner sein. Wenn die Abmeldung auf einer Kontopartner-Site initiiert wird, muss die Abmeldebestätigungsseite eine ungeschützte Ressource auf der Kontopartner-Site sein.
- URL der AbmeldungsbestätigungGibt die URL beim Kontoanbieter an, an dieCA Single Sign-ondie Abmeldenachricht sendet. An diese URL werden auch Bereinigungsspeicherorte der Ressourcenanbieter als POST-Daten an die Seite "Signout Confirm JSP" (JSP der Abmeldungsbestätigung) gesendet. Der Standard-URL ist:http://ap_server:port/affwebservices/public/signoutconfirmurl.jspap_server:portGibt den Server und Portnummer des Systems beim Kontopartner an. Das System hostet das Web-Agent-Optionspaket oder das SPS-Federation-Gateway, abhängig davon, welche Komponente in Ihrem Federation-Netzwerk installiert ist."signoutconfirmurl.jsp" ist im Web-Agent-Optionspaket oder im SPS-Federation-Gateway enthalten. Sie können diese Seite aus dem Standardverzeichnis verschieben. Stellen Sie sie in diesem Fall in einen Speicherort, wo die Servlet-Engine für die Federation-Webservices auf die Seite zugreifen kann.