Konfiguration der Sitzungsschemaeinstellungen

Inhalt
casso128figsbrde
HID_session-scheme-configuration
Inhalt
Ein Sitzungsschema legt fest, auf welche Weise während einer Sitzung die Identität eines Benutzers beibehalten wird und Single Sign-On möglich macht.
CA Access Gateway
 wird mit folgenden standardmäßigen, konfigurierbaren Sitzungsschemen geliefert:
  • Standardschema
  • SSL-ID
  • IP-Adresse
  • Mini-Cookies
  • Einfache URL-Umschreibung
  • Geräte-ID
Sie können benutzerdefinierte Sitzungsschemen erstellen. Sie können verschiedene Sitzungsschemen definieren. Sie können Sitzungsschemen für jeden konfigurierten virtuellen Host zu Benutzeragententypen zuordnen und eine Sitzungsschemazuordnung erstellen. Zu jedem Sitzungsschema muss eine Java-Klassendatei zugeordnet sein, die das Sitzungsverhalten definiert. Wenn Sie für einen Benutzeragenten kein Sitzungsschema definieren, wird das standardmäßige Sitzungsschema verwendet.
Verwendungen der einzelnen Sitzungsschemen
In der folgenden Tabelle sind Szenarien veranschaulicht, in denen die einzelnen Sitzungsschemen verwendet werden. Sitzungsschemen basieren auf der Empfindlichkeit von Ressourcen auf einem virtuellen Host.
Sitzungsschema
Sicherheitsstufe
Empfehlung
SSL-Sitzungs-ID
Hoch
Dieses Schema verleiht Benutzersitzungen Klarheit und große Sicherheit. Es handelt sich um das sicherste verfügbare Schema, ist aber nur begrenzt skalierbar. Alle Inhalte müssen über SSL geliefert werden, und der Benutzer muss kontinuierlich auf denselben
CA Access Gateway
-Server zugreifen, damit die Sitzung aufrechterhalten bleibt. Manche Browser (bestimmte Versionen von IE) beenden SSL-Sitzungen zudem standardmäßig nach 2 Minuten. Dieses Schema ist ideal für Intranet- und Extranet-Anwendungen mit hohen Sicherheitsanforderungen.
CA Single Sign-on
-Cookies
Mittel oder hoch
Dieses Schema ist die gebräuchlichste
CA Single Sign-on
-Sitzung, die sich in vielen Unternehmensbereitstellungen als sehr sicher bewährt hat.
Für höchste Sicherheit ist die Einstellung die "WebAgent SecureCookie" auf "Yes" gesetzt.
IP-Adresse
Niedrig
Dieses Schema eignet sich nur für Anwendungen, in denen Benutzer Informationen von geschützten Ressourcen abrufen (mit HTTP GET) und keine Informationen an sichere Anwendungen senden (mit HTTP POST). Ein Beispiel für eine solche Anwendung ist eine Online-Bibliothek. Ein Beispiel für eine Anwendung, für die sich dieses Schema nicht eignet, ist eine Anwendung für Anleihenhandel.
Mini-Cookies
Mittel oder hoch
Dieses Schema ist ideal für Anwendungen, in denen Benutzer-Clients Cookies akzeptieren, dabei aber über Verbindungen mit eingeschränkter Geschwindigkeit und Bandbreite auf die Anwendung zugreifen.
Für höchste Sicherheit ist die Einstellung die "WebAgent SecureCookie" auf "Yes" gesetzt.
Einfache URL-Umschreibung
Mittel
Dieses Schema ist ideal für Umgebungen, in denen die Verwendung von Cookies nicht unterstützt wird oder unerwünscht ist.
Geräte-ID
Mittel
Dieses Schema wurde für Drahtlosumgebungen entwickelt, in denen mit jeder Client-Anforderung eine Geräte-ID gesendet wird, um einen Benutzer zu identifizieren.
 
Konfigurieren des standardmäßigen Sitzungsschemas
Das standardmäßige Sitzungsschema ist das Schema, das
CA Access Gateway
verwendet, um Benutzersitzungen einzurichten und zu verwalten, wenn kein anderes Schema für einen Benutzeragententyp angegeben ist. Sie müssen ein standardmäßiges Sitzungsschema konfigurieren. Sie können das Standardsitzungsschema so konfigurieren, dass ein verfügbares Sitzungsschema verwendet wird.
Folgen Sie diesen Schritten:
  1. Navigieren Sie zu "Virtuelle Hosts", "Sitzungsschemen".
  2. Klicken Sie für das Sitzungsschema "default" in der Liste "Verfügbare Sitzungsschemen" auf "Aktionen", "Bearbeiten".
  3. Konfigurieren Sie die folgenden Parameter:
    • Klasse
      Gibt die Java-Klasse an, die das Standardsitzungsschema enthält.
      Standard
      : com.netegrity.proxy.session.SSLIdSessionScheme
    • SMSESSION-Cookies akzeptieren
      Gibt an, dass Benutzer, die über einen Benutzeragententyp, der dem Cookie-Sitzungsschema von
      CA Single Sign-on
      zugeordnet ist, auf Ressourcen zugreifen, bei der Sitzung weiterhin herkömmliche
      CA Single Sign-on
      -Cookies verwenden.  Da
      CA Single Sign-on
      Cookies verwendet, um Sitzungen zu verfolgen, unterstützt
      CA Access Gateway
      ein Cookie-Schema. Aktivieren Sie diese Option, damit das Sitzungsschema die SMSESSION-Cookies akzeptiert.
  4. Klicken Sie auf "OK" und auf "Speichern".
Konfigurieren des Sitzungsschemas mit SSL-ID
Eine SSL-Verbindung (Secure Sockets Layer) enthält eine eindeutige ID, die erstellt wird, wenn eine SSL-Verbindung initiiert wird.  
CA Access Gateway
kann die eindeutige ID als Token verwenden, um auf die Sitzungsinformationen eines Benutzers zu verweisen, der im speicherinternen Sitzungsspeicher verwaltet wird. Dieses Schema entfernt Cookies als Mechanismus für die Verwaltung von Benutzersitzungen. Sitzungsschemen mit SSL-ID können über die im Lieferumfang von
CA Access Gateway
enthaltenen Java-Klassen unterstützt werden.
Wichtig!
Eine Beschränkung des Schemas besteht darin, dass beim ersten Kontakt mit
CA Access Gateway
eine SSL-Sitzungs-ID erstellt wird. Wenn eine SSL-Benutzersitzung unterbrochen wird, wird eine neue SSL-Verbindung hergestellt. Der Benutzer erneut authentifiziert und autorisiert werden, da die neue SSL-Verbindung mit einem neuen Server hergestellt wird, obwohl es sich um einen virtuellen Server im selben System handelt. Zudem müssen Formulare, die von Authentifizierungsschemen mit HTML-Formulare verwendet werden vom selben Hostnamen wie die geschützte Ressource zur Verfügung gestellt werden.
 
Folgen Sie diesen Schritten:
  1. Navigieren Sie zu "Virtuelle Hosts", "Sitzungsschemen".
  2. Klicken Sie für das Sitzungsschema "ssl_idt session" in der Liste "Verfügbare Sitzungsschemen" auf "Aktionen", "Bearbeiten".
  3. Konfigurieren Sie die folgenden Parameter:
    • Klasse
      Gibt die Java-Klasse an, die das Sitzungsschema mit SSL-ID verarbeitet.
      Standard
      : com.netegrity.proxy.session.SSLIdSessionScheme
    • SMSESSION-Cookies akzeptieren
      Gibt an, ob SMSESSION-Cookies akzeptiert werden.
  4. Klicken Sie auf "OK" und auf "Speichern".
Sie müssen SSL in der Datei "httpd.conf" des Apache-Webserver aktivieren, um das Sitzungsschema mit SSL-ID zu konfigurieren. Um "httpd.conf" zu ändern, führen Sie folgende Schritte aus:
  1. Öffnen Sie die Datei "httpd.conf" im Verzeichnis Installationsverzeichnis/secure-proxy/httpd/conf.
  2. Suchen Sie die folgende Zeile:
    #SSLOptions +StdEnvVars +ExportCertData +CompatEnvVars
  3. Löschen Sie das #-Symbol am Beginn der Zeile.
  4. Löschen "+CompateEnvVars" aus der Zeile, sodass sie folgendermaßen aussieht:
    SSLOptions +StdEnvVars +ExportCertData
  5. Speichern Sie die Änderungen.
  6. Starten Sie
    CA Access Gateway
    neu.
Sitzungsschema mit SSL-ID wird mit SSL-Sitzungstickets nicht unterstützt. Um die Unterstützung für SSL-Sitzungstickets zu deaktivieren, führen Sie folgende Schritte aus:
  1. Navigieren Sie zu
    accessgateway_home
    /httpd/conf/extra/.
  2. Öffnen Sie die Datei "httpd-ssl.conf file", und navigieren Sie zur Direktive "SSLSessionTickets".
  3. Legen Sie
    SSLSessionTickets
    auf
    Aus
    fest.
  4. Speichern Sie die Änderungen.
Konfigurieren des Sitzungsschemas mit IP-Adresse
In Umgebungen mit unveränderlichen IP-Adressen können Sie IP-Adressen verwenden, um auf Benutzerinformationen zu einer Sitzung im Sitzungsspeicher zu verweisen. Dieses Schema eliminiert Cookies, kann aber nur in Umgebungen verwendet werden, denen einem Benutzer eine festgelegte IP-Adresse zugewiesen.
Konfigurieren des Sitzungsschemas mit Mini-Cookies
Das Sitzungsschema mit Mini-Cookies speichert Sitzungsinformationen im speicherinternen
CA Access Gateway
-Sitzungsspeicher und erstellt ein Cookie, das ein verschlüsseltes Token enthält und von
CA Access Gateway
an den Benutzer zurückgegeben wird. Das Mini-Cookie macht einen Bruchteil eines standardmäßigen
CA Single Sign-on
-Cookie aus und verringert den Zugriffsaufwand für Geräte wie z. B. Schnurtlostelefone. Es stellt eine Alternative zu standardmäßigen
CA Single Sign-on
-Cookies dar.
Sie können die Einstellungen manuell oder auf der Verwaltungsoberfläche konfigurieren.
Folgen Sie diesen Schritten:
  1. Navigieren Sie zu "Virtuelle Hosts", "Sitzungsschemen".
  2. Klicken Sie für das Sitzungsschema "minicookie" in der Liste "Verfügbare Sitzungsschemen" auf "Aktionen", "Bearbeiten".
  3. Konfigurieren Sie die folgenden Parameter:
    • Klasse
      Gibt die Java-Klasse an, die das Sitzungsschema verarbeitet. Wenn Sie das standardmäßige Sitzungsschema mit Mini-Cookies verwenden möchten, ändern Sie den Wert nicht.
      Standard
      : com.netegrity.proxy.session.MiniCookieSessionScheme
    • SMSESSION-Cookies akzeptieren
      Gibt an, ob SMSESSION-Cookies akzeptiert werden.
    • cookie_name
      Definiert den Namen des Mini-Cookie, das das Token für die Benutzersitzung enthält.
      Hinweis:
      Dieser Name ist nicht für alle
      CA Access Gateway
      -Instanzen, die Single Sign-On bieten, mit demselben Wert konfiguriert.
  4. Klicken Sie auf "OK" und auf "Speichern".
Konfigurieren des Sitzungsschemas mit einfacher URL-Umschreibung
Durch einfache URL-Umschreibung wird ein Token an die angeforderte URL angehängt, und Benutzersitzungen werden verfolgt. Das Token wird verwendet, um Sitzungsinformationen aus dem speicherinternen Sitzungsspeicher abzurufen.
Die Schema "simple_url" unterstützt eine einfache Umschreibung von URLs, die keine Schritte seitens des Benutzers erfordert.
Hinweis
Für das Sitzungsschema "simple_url" werden CGI-basierte und FCC-basierte Kennwortschemen werden unterstützt.
Beispiel
Ein Benutzer greift auf einen Host zu, und die Benutzersitzung wird über das Sitzungsschema mit einfacher URL-Umschreibung hergestellt. Eine anfängliche Anforderung kann etwa folgendermaßen aussehen:
Wenn der Benutzer die passenden Anmeldeinformationen angibt und authentifiziert und autorisiert wird, wird die vom Benutzer angeforderte URL neu geschrieben und in einem Formular, das etwas folgendermaßen aussieht, an den Benutzer zurückgegeben:
nnnnnnnnnn
Steht für ein nach dem Zufallsprinzip generiertes Token mit Hash, das von
CA Access Gateway
verwendet wird, um die Benutzersitzung zu identifizieren.
Wichtig!
Damit das Sitzungsschema mit einfacher URL-Umschreibung funktioniert, müssen sämtliche im Unternehmen definierte Links relativ sein. Bei absoluten Links schlägt das Schema mit einfacher URL-Umschreibung fehl. Außerdem wird das Token, das
CA Access Gateway
an die URL anhängt, beim Weiterleiten der URL aus ihr entfernt. Das Token wird nur auf Ebene der
CA Access Gateway
-Interaktion angehängt, um Interferenzen mit der Verarbeitung im Backend-Server zu vermeiden.
Folgen Sie diesen Schritten:
  1. Navigieren Sie zu "Virtuelle Hosts", "Sitzungsschemen".
  2. Klicken Sie für das Sitzungsschema "simple_url session" in der Liste "Verfügbare Sitzungsschemen" auf "Aktionen", "Bearbeiten".
  3. Konfigurieren Sie die folgenden Parameter:
    • Klasse
      Gibt die Java-Klasse an, die das Sitzungsschema verarbeitet. Wenn Sie das Cookie-freie Sitzungsschema mit Umschreibung verwenden möchten, ändern Sie den Wert nicht.
      Standard
      : com.netegrity.proxy.session.SimpleURLSessionScheme
    • SMSESSION-Cookies akzeptieren
      Gibt an, ob SMSESSION-Cookies akzeptiert werden.
    • session_key_name
      Gibt die
      CA Single Sign-on
      -ID (SMID) an.
  4. Klicken Sie auf "OK" und auf "Speichern".
Umschreiben von FWS-Umleitungen für Sitzungsschemen mit einfacher URL
Wenn Sie
CA Access Gateway
in einer Verbundumgebung bereitstellen, kann auf der Seite, die Assertionen erzeugt, unter anderem ein Sitzungsschema mit einfacher URL verwendet werden. Wenn Sie dieses Schema verwenden, müssen Sie die Links, die den Benutzer zur entsprechenden Site führen, möglicherweise umschreiben, damit der Sitzungsschlüssel hinzugefügt wird. In der
CA Single Sign-on
-Dokumentation werden solche Links für SAML 1.x als Standorttransfer-URLs bezeichnet. Für SAML 2.0 werden solche Links als unaufgeforderte Antworten oder als AuthnRequest-Link bezeichnet.
Um Links umzuschreiben, damit die Sitzungschlüsselinformationen zur Basis-URL hinzugefügt werden, enthalten die
CA Access Gateway
-Filterbeispiele einen Beispiel-Post-Filter, "RewriteLinksPostFilter". Dieser Filter kann kompiliert und an die entsprechende Proxy-Regel, die Weiterleitungen an Standorttransfer-URLs, unaufgeforderte Antworten oder AuthnRequest verarbeitet, angehängt werden.
Der in
CA Access Gateway
enthaltene Filter "RewriteLinksPostFilter" ist ein Beispielfilter. Sie müssen die Filterkonfiguration an Ihre Anforderungen anpassen.
Hinweis:
Wenn Sie das Sitzungsschema "simple_url session" für Transaktionen verwenden, in die das
CA Access Gateway
-Federation-Gateway involviert ist, wird der Sitzungsschlüssel (SMID) als Abfrageparameter zur Anforderung hinzugefügt und nicht an den URI angehängt. Allerdings wird die SMID zum URI hinzugefügt, wenn am Backend-Server auf die endgültige Zielressource zugegriffen wird.
 
Konfigurieren des Sitzungsschemas für Drahtlosgeräte
Manche Drahtlosgeräte verfügen über eine eindeutige Geräte-ID. Diese Zahl mit sämtlichen Ressourcenanforderungen als Header-Variable mitgesendet.  
CA Access Gateway
kann diese Geräte-ID als Token verwenden, um auf Sitzungsinformationen im Sitzungsspeicher zu verweisen.
Folgen Sie diesen Schritten:
  1. Navigieren Sie zu "Virtuelle Hosts", "Sitzungsschemen".
  2. Klicken Sie für das Sitzungsschema "device_id" in der Liste "Verfügbare Sitzungsschemen" auf "Aktionen", "Bearbeiten".
  3. Konfigurieren Sie die folgenden Parameter:
    • Klasse
      Gibt die Java-Klasse an, die das Sitzungsschema verarbeitet.
      Standard
      : com.netegrity.proxy.session.DeviceIdSessionScheme
    • SMSESSION-Cookies akzeptieren
      Gibt an, ob SMSESSION-Cookies akzeptiert werden.
    • device_id_header_name
      Definiert die herstellerspezifische Geräte-ID.
  4. Klicken Sie auf "OK" und auf "Speichern".