Dialogfeld "Authentifizierungsschemen"
2
casso128figsbrde
HID_authentication-scheme
2
Authentifizierungsschemen legen die Anmeldeinformationen und Methoden fest, die der Richtlinienserver benötigt, um die Identität eines Benutzers zu erstellen.
Die Inhalte des Dialogfelds "Authentifizierungsschema" werden geändert, wenn Sie ein Schema aus der Drop-down-Liste "Typ des Authentifizierungsschemas" auswählen. Der Bereich unter dem Abschnitt für das allgemeine Schema-Setups enthält zwei Abschnitte für jeden Schematyp:
- Schema-SetupEnthält Felder für Informationen, die Sie angeben müssen, damit das Schema ordnungsgemäß funktioniert.
- ErweitertEnthält ein oder mehrere schreibgeschützte Felder, die Informationen anzeigen, dieCA Single Sign-onverwendet, um die Authentifizierung aufzulösen. Das erweiterte Dialogfeld enthält auch ein Kontrollkästchen, das anzeigt, ob ein Authentifizierungsschema verwendet werden kann, um einen Administrator zu authentifizieren. Nachdem Sie ein Schema konfiguriert haben, können Sie es Bereichen zuweisen, indem Sie das Dialogfeld "Bereiche" verwenden.
Hinweis:
Nur Schemen, die einen Benutzernamen und ein Kennwort benötigen, können verwendet werden, um einen Administrator zu authentifizieren.Einstellungen für das Authentifizierungsschema
Die Inhalte des Dialogfelds "Authentifizierungsschema" werden je nach Schematyp, den Sie konfigurieren möchten, geändert. Allerdings haben alle Authentifizierungsschemen folgende Felder und Steuerelemente gemeinsam:
- NameName des Authentifizierungsschemas.
- Beschreibung(Optional) Kurze Beschreibung des Authentifizierungsschemas.
Gruppenfeld "Allgemeines Schema-Setup"
- Stil des AuthentifizierungstypsListet die Vorlagen des Authentifizierungsschemas auf.Die Liste enthält alle Vorlagen des Authentifizierungsschemas, die für Verwendung mit den Authentifizierungsbibliotheken des Richtlinienservers vordefiniert sind.
- SchutzebeneDefiniert eine Ebene von 1 bis 1.000.Schutzebenen geben ein zusätzliches Maß an Flexibilität in der Zugriffssicherung an.Hinweis:Authentifizierungsschemen haben eine standardmäßige Schutzebene, die Sie möglicherweise ändern müssen. Beachten Sie die Schutzebenen beim Definieren Ihrer Schemen, und weisen Sie sie Bereichen zu. Verwenden Sie Schemen mit hohen Schutzebenen für kritische Ressourcen. Verwenden Sie Schemen mit niedrigen Schutzebenen für allgemein zugreifbare Ressourcen.
- Kennwortrichtlinien, die für dieses Authentifizierungsschema aktiviert sind(Optional) Aktivieren Sie dieses Kontrollkästchen, um Kennwortrichtlinien zu aktivieren.Hinweis:Nicht alle Authentifizierungsschemen unterstützen Kennwortrichtlinien.
- Schutzüberschreibung zulassen(Optional) Aktivieren Sie dieses Kontrollkästchen, um die in der Authentifizierungsbibliothek angegebene Schutzebene zu verwenden, statt der Schutzebene, die in der Verwaltungsoberfläche angegeben wurde.Hinweis:Diese Option gilt nur für das benutzerdefinierte Authentifizierungsschema.
Dialogfeld "Authentifizierungsschema" – Vorlage für die Authentifizierungskette
Eine Authentifizierungskette ist eine Art von Authentifizierungsschema, das einem Administrator ermöglicht, unterschiedliche Authentifizierungsmodule so zu konfigurieren, dass sie sich als eine einzelne Autorität verhalten, die die Angaben zum Authentifizieren eines Benutzers validiert.
Gruppenfeld "Instanz des Authentifizierungsschemas"
Im Gruppenfeld "Instanz des Authentifizierungsschemas" für die Authentifizierungskette konfigurieren Sie das IWA-Fallback auf formularbasierte Authentifizierungsschemas mit Authentifizierungsketten.
- NameGibt den vollständig qualifizierten Namen der Authentifizierungskette an.
- BeschreibungGibt die Beschreibung der Authentifizierungskette an.
- Standard-AuthentifizierungsschemaGibt den Typ des Authentifizierungsschemas für das primäre Authentifizierungsschema an.
- Fallback-AuthentifizierungsschemaGibt den Typ des Authentifizierungsschemas für das Fallback-Authentifizierungsschema an.
- Instanz des AuthentifizierungsschemasGibt die Instanz des Authentifizierungsschemas an, die als primäres Authentifizierungsschema oder als Fallback-Authentifizierungsschema ausgewählt werden soll.
- AusdruckZeigt den ausgewählten Authentifizierungsketten-Ausdruck an, den Sie mit der Vorlage für die Authentifizierungskette erlangt haben.
Dialogfeld "Authentifizierungsschema" - Einfache Vorlage
Wenn Sie den Richtlinienserver installieren, wird automatisch ein standardmäßiges Authentifizierungsschema erstellt. Sie können zusätzliche Instanzen von standardmäßigen Authentifizierungsschemen mit unterschiedlichen Schutzebenen erstellen.
Gruppenfeld "Schema-Setup"
Das Gruppenfeld "Schema-Setup" für ein Standardschema ist leer. Außer den Informationen im Gruppenfeld des allgemeinen Schema-Setups ist keine Konfiguration erforderlich.
Gruppenfeld "Erweitert"
- BibliothekDieses Feld zeigt die Bibliothek an, die der Richtlinienserver verwendet, um Standardauthentifizierung aufzulösen.
- Diesen Plan fürCA Single Sign-on-Administratoren aktivierenDieses Kontrollkästchen ist aktiviert und kann nicht geändert werden. "Standard" ist das standardmäßige Authentifizierungsschema für einen Administrator.
Dialogfeld "Authentifizierungsschema" - Vorlage für "Basic over SSL"
Das Authentifizierungsschema "Basic over SSL" erfasst Anmeldeinformationen für Benutzernamen und Kennwort von einem Benutzer über eine "Secure Sockets Layer"-Verbindung.
Gruppenfeld "Schema-Setup"
Im Gruppenfeld "Schema-Setup" für "Basic over SSL"-Authentifizierung geben Sie Server- und Zielinformationen für ihr "Basic over SSL"-Schema ein.
- ServernameGibt den vollständig qualifizierten Domänennamen des SSL-Servers an.Hinweis:IP-Adressen werden nicht unterstützt.Dies ist der Webserver, der für das Herstellen einer SSL-Verbindung verantwortlich ist. Obwohl es möglich ist, ist dies normalerweise nicht der gleiche Server, auf dem der Web-Agent installiert ist.Der Server agiert als Anfang der URL, die der Richtlinienserver verwendet, um die Anmeldeinformationen eines Benutzers über eine SSL-Verbindung umzuleiten.Domänennamen müssen mindestens 2 Punkte enthalten. Der Server muss mithilfe des folgenden Formats eingegeben werden:servername.domainname.comBeispiel:server1.security.com.
- PortGibt den Port an, den der SSL-Server überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
- ZielGibt den Pfad und den Namen für den SSL-Anmeldedatensammler (SCC) an.Das Ziel teilt demCA Single Sign-on-Web-Agenten mit, was verwendet werden soll, um den SCC abzurufen. Dadurch wird die URL vervollständigt, die der Richtlinienserver verwendet, um die Anmeldeinformationen des Benutzers über eine SSL-Verbindung umzuleiten. Das Ziel kann angepasst werden, wenn Proxyserver bestimmte URLs benötigen, um "Basic over SSL"-Authentifizierung zu unterstützen.Der Standardwert für das Feld "Ziel" ist:/siteminder/nocert/smgetcred.scc
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" im Dialogfeld "Authentifizierungsschema" für ein "Basic over SSL"-Schema enthält Folgendes:
- BibliothekEnthält den Namen der Bibliothek, die verwendet wird, um das Authentifizierungsschema zu verarbeiten.Der Standardwert der Authentifizierungsbibliothek ist "smauthcert". Dieses Feld enthält den Namen der Bibliothek, die der Richtlinienserver benötigt, um die "Basic over SSL "-Authentifizierung zu verarbeiten.Hinweis:Normalerweise müssen Sie dieses Feld nicht bearbeiten.
- ParameterZeigt die Zeichenfolge an, die aus Ihren Einträgen im Gruppenfeld des Schema-Setup erstellt wurde, die von der Authentifizierungsbibliothek bearbeitet wird, die Sie in das Feld "Authentifizierungsbibliothek" eingegeben haben. Der Parameter besteht aus den von Ihnen eingegebenen Server- und Zielwerten, mit dem Hinzufügen der Basiszeichenfolge, die die Verwendung des grundlegenden Benutzernamens und der Kennwortauthentifizierung anzeigt.
- Diesen Plan fürCA Single Sign-on-Administratoren aktivierenDieses Kontrollkästchen ist deaktiviert. "Basic over SSL" kann nicht verwendet werden, um einen Administrator des Richtlinienservers zu authentifizieren. Der Richtlinienserver kommuniziert direkt mit einem Benutzerverzeichnis oder dem Richtlinienspeicher, um einen Administrator zu authentifizieren. Deshalb ist SSL-Kommunikation nicht möglich.
Dialogfeld "Authentifizierungsschema" - HTML-Formularvorlage
Authentifizierungsschemen für HTML-Formulare geben eine Methode zur Authentifizierung an, die auf Anmeldeinformationen basieren, die in einem benutzerdefinierten HTML-Formular erfasst wurden.
Gruppenfeld "Schema-Setup"
In das Gruppenfeld "Schema-Setup" geben Sie den Server, das Ziel und die Attributliste für das Authentifizierungsschema für HTML-Formulare ein.
- WebservernameGibt den vollständig qualifizierten Domänennamen des Webservers an, auf dem der FCC installiert wurde.Hinweis:IP-Adressen werden nicht unterstützt.Der Server muss nicht der gleiche Server sein, auf dem der Agent installiert ist. Domänennamen müssen mindestens 2 Punkte enthalten. Der Server muss mithilfe des folgenden Formats eingegeben werden:Beispiel:server1.security.com.Bei diesem Namen wird Groß- und Kleinschreibung beachtet.Hinweis:Wenn Ihr Netzwerk mehrere Cookie-Domänen enthält, müssen Sie ein separates Authentifizierungsschema für HTML-Formulare in jeder Cookie-Domäne konfigurieren, in der Sie Authentifizierung für HTML-Formulare implementieren möchten.
- PortGibt den Port an, den der Webserver überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
- SSL-Verbindung verwendenWählen Sie diese Option, um eine SSL-Verbindung zur Verarbeitung der HTML-Formularauthentifizierung zu verwenden.
- ZielGibt den Pfad und die .fcc-Datei an, die vom Schema verwendet wird.Der Standardpfad verweist auf ein virtuelles Verzeichnis auf dem Webserver, das im Feld "Servername" angegeben ist, das während der Installation erstellt wurde. Das Standardziel gibt die Datei "login.fcc" an, eine Beispieldatei, die angepasst werden kann.
- Diesem Schema erlauben, Anmeldeinformationen zu speichernWählen Sie diese Option aus, um zu erlauben, dass Benutzeranmeldeinformationen gespeichert werden.Sie können das spezielle Name-Wert-Paar "Smsavecreds"in Ihrer .fcc-Datei verwenden, damit ein Benutzer seine Anmeldeinformationen speichern kann. Wenn Sie dieses Kontrollkästchen aktivieren und die .fcc-Datei eine entsprechende Eingabe hat (wie z. B. ein Kontrollkästchen auf Ihrem HTML-Formular), können Benutzer ihre Anmeldeinformationen speichern, um sie bei der nächsten Anmeldung auf der Website automatisch verwenden zu können.Wenn ein Benutzer die Anmeldeinformationen speichern möchte, fordert der Richtlinienserver den Web-Agenten dazu auf, ein dauerhaftes Cookie mit den Anmeldeinformationen des Benutzers zu erstellen. Der Cookie bleibt für den Zeitraum unverändert, der im Konfigurationsparameter "SaveCredsTimeout" für den Agenten angegeben wurde. Die Standardeinstellung beträgt 30 Tage. Das Cookie ermöglicht es Web-Agenten, einen Benutzer zu authentifizieren, der auf Anmeldeinformationen basiert, die im Cookie gespeichert sind, statt den Benutzer zur Authentifizierung anzufragen.
- Nicht-Browser-Clients unterstützenWählen Sie diese Option aus, um Benutzer zu authentifizieren, die Nicht-Browser-HTTP-Clients verwenden. Diese Clients können mithilfe von Perl-Skripten, C++ und Java-Programmen entwickelt werden, die mithilfe des HTTP-Protokolls kommunizieren.Benutzerdefinierte Clients müssen die grundlegenden Anmeldeinformationen mit der eigentlichen Anfrage über einen HTTP-Autorisierungs-Header senden. Anderenfalls authentifiziertCA Single Sign-ondie Benutzer nicht. Wenn die Anmeldeinformationen nicht über einen HTTP-Autorisierungs-Header gesendet werden, wirdCA Single Sign-onan das HTML-Formular-Schema ohne Unterstützung der Nicht-Browser-Clients umgeleitet.
- Zusätzliche Attributliste(Optional) Gibt andere Attribute an, abgesehen vom Benutzernamen, die vom Benutzer erfasst werden. Wenn Sie Attribute auflisten, beginnen Sie "AL=", und verwenden Sie Kommas, um die Benutzerattributnamen zu trennen.Beispiel:AL=PASSWORD,SSN,age,zipcodeAL= ist eineCA Single Sign-on-Notation, die die Liste der Attribute angibt, die berücksichtigt werden soll. Standardmäßig wird die Liste der Attribute als AND-ähnliche Abfrage betrachtet. Der Richtlinienserver vergleicht alle Attributwerte, die vom Benutzer erfasst wurden, mit den entsprechenden Attributwerten im Benutzerverzeichnis. Wenn alle Attributwerte genau übereinstimmen, wird der Benutzer erfolgreich authentifiziert.Hinweis:Sie können Benutzer mit Attributen authentifizieren, die mehrere Werte enthalten. Um anzugeben, dass ein Attribut mehrere Werte hat, stellen Sie dem Attributnamen ein Caret-Zeichen (^) voran.Beispiel:Wenn Sie ein "Mail"-Attribut mit mehreren Werten verwenden, um Benutzer zu authentifizieren, dann würden Sie "AL=^mail" angeben, um anzuzeigen, dass "Mail" mehrere Werte enthält. Ein Benutzer kann einen der gültigen Werte angeben, um eine erfolgreiche Authentifizierung durchzuführen.Einschränkung:Die Werte eines mehrwertigen Attributs sollten keine Caret-Zeichen enthalten. Ein Wert, der ein Caret-Zeichen enthält, führt möglicherweise dazu, dass Benutzer nicht ordnungsgemäß authentifiziert werden. Wenn ein Wert zum Beispiel 123^456 ist, könnte ein Benutzer zusätzlich zu 123^456 auch mit 123 und 456 authentifiziert werden.DamitCA Single Sign-onzusätzliche Attribute erfasst, muss die .fcc-Datei, die vonCA Single Sign-onzur Generierung eines Formulars für die HTML-Formularauthentifizierung verwendet wird, geändert werden, um die Attribute einzuschließen.Wenn zusätzliche Attribute in einem Schema für HTML-Formulare verwendet werden, beachten Sie Folgendes:
- Der vom Formular angegebene Kennwortwert ist auf 255 Zeichen beschränkt. Durch diese Beschränkung wird festgelegt, dass die durch Und-Zeichen (&) getrennte Liste der Elemente "AttributeName=URLEncodedAttributeValue" weniger als 255 Zeichen lang sein muss.
- Das Attribut "PASSWORD" muss immer im Formular angegeben sein, das von der .fcc-Datei erstellt wurde.
- Die Attribute werden nur verwendet, um Attributwerte abzugleichen, die dem Benutzer zugeordnet sind, der in einem Verzeichnis über den Benutzernamen gefunden wurde.
- Bei Attributnamen wird auf Groß- und Kleinschreibung geachtet. Sie müssen genau mit den beiden Attributnamen übereinstimmen, die über das Verzeichnis und die Attributnamen implementiert wurden, die im Authentifizierungsschema angegeben sind.
Hinweis:Wenn Sie das "Software Development Kit" installiert haben, können Sie die API derCA Single Sign-on-Authentifizierung verwenden, um zusätzliche Notationen zu definieren.
Gruppenfeld "Erweitert"
- BibliothekEnthält den Namen der freigegebenen Bibliothek, die die Authentifizierung für HTML-Formulare verarbeitet. Ändern Sie diesen Wert nicht, sofern Sie kein benutzerdefiniertes Authentifizierungsschema haben, das mithilfe der API für dieCA Single Sign-on-Authentifizierung geschrieben wurde.Die standardmäßig freigegebene Bibliothek für die HTML-Formularauthentifizierung ist "smauthhtml".
- ParameterZeigt den Server und das Ziel an, die Sie in das Gruppenfeld "Schema-Setup" eingegeben haben. Es werden auch zusätzliche Attribute angezeigt, die Sie für das Authentifizierungsschema eingegeben haben. Der Server und das Ziel bilden den Speicherort der .fcc-Datei auf dem Webserver.
- Diesen Plan fürCA Single Sign-on-Administratoren aktivierenDieses Kontrollkästchen ist deaktiviert. HTML-Formularauthentifizierung kann nicht verwendet werden, um einen Richtlinienserver-Administrator zu authentifizieren.
Dialogfeld "Authentifizierungsschema" - Vorlage für Windows
Integrierte Windows-Authentifizierung (IWA) ist ein urheberrechtlich geschützter Mechanismus, der von Microsoft entwickelt wurde, um Benutzer in reinen Windows-Umgebungen zu validieren. IWA setzt Single Sign-On durch, indem zugelassen wird, dass Windows während dem ersten Anmeldevorgang des interaktiven Desktop Benutzeranmeldeinformationen erfasst und diese Informationen anschließend zur Sicherheitsstufe überträgt.
CA Single Sign-on
sichert mithilfe des Windows-Authentifizierungsschemas Ressourcen, indem Benutzeranmeldeinformationen verarbeitet werden, die von der in Microsoft integrierten Infrastruktur der Windows-Authentifizierung bezogen werden.Vorgängerversionen von
CA Single Sign-on
haben Windows-Authentifizierung über das NTLM-Authentifizierungsschema unterstützt. Allerdings war diese Unterstützung auf Umgebungen mit NT-Domänen beschränkt oder auf Umgebungen, bei denen der Active Directory-Service für die Unterstützung der Legacy-NT-Domänen im gemischten Modus konfiguriert ist.Das Windows-Authentifizierungsschema ermöglicht es
CA Single Sign-on
, Zugriffssicherung in Bereitstellungen mit "Active Directories" anzugeben, die im systemeigenen Modus ausgeführt werden, ebenso wie "Active Directories", die für die Unterstützung der NTLM-Authentifizierung konfiguriert sind. Das Windows-Authentifizierungsschema ersetzt das frühere NTLM-Authentifizierungsschema von CA Single Sign-on
. Vorhandene NTLM-Authentifizierungsschemen werden weiterhin unterstützt und können mithilfe des neuen Windows-Authentifizierungsschemas konfiguriert werden.Gruppenfeld "Schema-Setup"
Im Gruppenfeld "Schema-Setup" des Windows-Authentifizierungsschemas geben Sie einen Server und ein Ziel für das Schema an.
- Dieses Schema unterstütztWählen Sie entweder "Active Directory/LDAP" oder "WinNT".Ihre Auswahl hängt davon ab, wo Benutzerdaten gespeichert sind, und die Auswahl hängt vom Namespace ab, den Sie ausgewählt haben, als die Verbindung in der Verwaltungsoberfläche konfiguriert wurde. Wenn Sie "Active Directory/LDAP" auswählen, müssen Benutzerdaten in einem Verzeichnis gespeichert werden, das mithilfe eines AD- oder LDAP-Namespace konfiguriert wurde. Wenn Sie "WinNT" auswählen, müssen Benutzerdaten in einem Verzeichnis gespeichert werden, das mithilfe des WinNT-Namespace konfiguriert wurde.
- Relatives Ziel verwendenAktivieren Sie dieses Kontrollkästchen, wenn Sie einen relativen Pfadnamen für das Ziel oder die Ressource angeben möchten, der durch dieses Windows-Authentifizierungsschema geschützt wird. Wenn dieses Kontrollkästchen aktiviert wird, ist das Feld "Servername" nicht verfügbar.
- ServernameGibt den vollqualifizierten Domänennamen des IIS-Webservers an, der das virtuelle Verzeichnis enthält, zu dem Sie die Windows-Authentifizierung umleiten möchten.Hinweis:IP-Adressen werden nicht unterstützt.CA Single Sign-onwird zum Server umgeleitet, der in diesem Feld angegeben ist, um Authentifizierung aufzulösen, die auf dem aktuellen Benutzernamen und Kennwort der Windows-Anmeldung des Benutzers basieren.
- PortGibt den Port an, den der ISS-Webserver überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
- SSL-Verbindung verwendenWählen Sie diese Option, um eine SSL-Verbindung zur Verarbeitung der Windows-Authentifizierung zu verwenden.
- ZielGibt den Namen des virtuellen Verzeichnisses und der .ntc-Datei an, dieCA Single Sign-onverwendet, um das Authentifizierungsschema aufzurufen.Das Feld "Ziel" sollte auf eine .ntc-Datei verweisen, die vonCA Single Sign-on-Agenten interpretiert wird, um Benutzer basierend auf ihre aktuellen Anmeldebenutzernamen und Kennwörter zu authentifizieren. Standardmäßig verwendet der Richtlinienserver folgenden Wert:/siteminderagent/ntlm/creds.ntc
- Benutzer-DN-SucheWenn Sie das Optionsfeld "Active Directory" oder "LDAP" ausgewählt haben, müssen Sie eine Suchzeichenfolge für den Benutzer-DN in diesem Feld angeben.
Suchformate des Benutzer-DN für Windows-Authentifizierungsschemen
Das Feld "Benutzer-DN-Suche" für ein Windows-Authentifizierungsschema für Active Directory oder LDAP-Namespaces muss eine Zeichenfolge im folgenden Format enthalten:
- AD-/LDAP-SucheDie Syntax der Benutzer-DN-Suche ist in Form eines vollständig qualifizierten DN (Distinguished Name). Wir gehen von einem Benutzer mit dem Namen "John Smith" mit folgenden Attributen im Active Directory aus:cn: jsmithdistinguishedName: CN=jsmith,CN=Users,DC=MYCOMPANY,DC=comsAMAccountName: jsmithDie Benutzeranmeldeinformationen, die vom Webbrowser weitergegeben werden, sind im Format:MYCOMPANY\jsmithUm diesen Benutzernamen zu einem LDAP-Suchfilter zuzuordnen, wird das Windows-Authentifizierungsschema mit dem folgenden Benutzer-DN-Filter konfiguriert:CN=%{UID},CN=Users,DC=%{DOMAIN},DC=comDas Authentifizierungsschema ersetzt "%{UID}" und "%{DOMAIN}" mit den jeweiligen Werten, um den verarbeiteten Suchfilter zu erstellen.
- AD-/LDAP-SucheIn diesem Szenario enthält die Siteminder-Domäne zusätzliche Benutzerverzeichnisse, die ihr zugeordnet sind. Ein Benutzerverzeichnis ist das Active Directory, das dem primären Domänencontroller zugeordnet ist, und die zusätzlichen Benutzerverzeichnisse können entweder LDAP- oder AD-Benutzerverzeichnisse sein. Dies kann auftreten, wenn ein Bereich eine Standardauthentifizierung und der andere Bereich eine Windows-Authentifizierung verwendet. Wir gehen vom gleichen Benutzer wie im vorherigen Anwendungsfall aus:cn: jsmithdistinguishedName: CN=jsmith,CN=Users,DC=MYCOMPANY,DC=comsAMAccountName: jsmithAußerdem ist ein anderer Benutzer vorhanden, der im sekundären Benutzerverzeichnis folgende Attribute enthält:cn: jsmithdistinguishedName: CN=jsmith,CN=Users,DC=NOTMYCOMPANY,DC=comsAMAccountName: jsmithDer Benutzer-DN-Filter für das Windows-Authentifizierungsschema kann Folgendes sein:(sAMAccountName=%{UID})CA Single Sign-onwird anhand des DN authentifiziert, der die Suchkriterien erfüllt, die auf der Suchreihenfolge des Verzeichnisses basieren. In diesem Fall wird der Wert des Domänennamens ignoriert.
Zusätzlich zu diesen Formaten, können Sie eine Kombination aus den Variablen "UID" und "DOMAIN" ohne unterstützende Attributnamen verwenden. Wenn Sie dieses Format für die Benutzer-DN-Suche verwenden, berücksichtigt
CA Single Sign-on
die Konfiguration, die beim Erstellen des Suchfilters für die Werte "Benutzer-DN-Suchbeginn" und "Benutzer-DN-Suchende" angegeben wurden. Die Start- und Endwerte werden im Benutzerverzeichnisobjekt definiert, das dem Active Directory zugeordnet ist. Beispiel:%{UID}%{UID}@{DOMAIN}
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" im Dialogfeld "Authentifizierungsschema" für ein Windows-Authentifizierungsschema enthält Folgendes:
- BibliothekZeigt die Bibliothek an, die der Richtlinienserver verwendet, um Windows-Authentifizierung aufzulösen. Die Standardbibliothek ist "smauthntlm".
- ParameterZeigt den Server und das Ziel an, die Sie in das Gruppenfeld "Schema-Setup" eingegeben haben. Es werden auch zusätzliche Attribute angezeigt, die Sie für das Authentifizierungsschema eingegeben haben. Der Server und das Ziel bilden den Speicherort der .ntc-Datei auf dem Webserver.
- Kontrollkästchen "Diesen Plan fürCA Single Sign-on-Administratoren aktivieren"Deaktiviert und kann nicht geändert werden. Windows-Authentifizierung darf nicht als Authentifizierungsschema für einen Administrator verwendet werden.
Agenten-IP-Whitelist
Das Gruppenfeld "Agenten-IP-Whitelist" im Dialogfeld "Authentifizierungsschema" für ein Windows-Authentifizierungsschema enthält Folgendes:
- AgentIP-ÜberprüfungAktiviert die Agenten-IP-Validierung.
- HinzufügenFügt eine neue Agenten-IP-Adresse zur Liste der Authentifizierungsschemen hinzu.
- LöschenLöscht die Agenten-IP-Adresse aus der Liste.
Dialogfeld "Authentifizierungsschema" - Vorlage für Kerberos
Kerberos ist ein Authentifizierungsprotokoll für Computernetzwerke, mit dem Einzelanwendern, die über ein nicht sicheres Netzwerk kommunizieren, sich ihre Identität gegenseitig auf eine sichere Weise beweisen können. Kerberos baut auf einer Kryptografie mit symmetrischen Schlüsseln auf und benötigt einen vertrauenswürdigen Drittanbieter. Erweiterungen an Kerberos können während gewisser Phasen der Authentifizierung Kryptografie mit öffentlichen Schlüsseln ermöglichen.
Authentifizierungsschema - Kerberos-Vorlage - Schema-Setup
Der Abschnitt "Schema-Setup" für ein Kerberos-Authentifizierungsschema umfasst die folgenden Felder:
- Relatives Ziel verwendenAktivieren Sie dieses Kontrollkästchen, wenn Sie einen relativen Pfadnamen für das Ziel oder die Ressource angeben möchten, die durch dieses Kerberos-Authentifizierungsschema geschützt werden. Die Felder "Servername" und "Port" werden verdunkelt. "SSL-Verbindung verwenden" wird ebenfalls abgeblendet, wenn Sie ein relatives Ziel angeben.
- ServernameGibt den vollständig qualifizierten Domänennamen des Webservers an, auf dem die Kerberos-Anmeldeinformationen erfasst werden. DerCA Single Sign-on-Web-Agent implementiert eine Kerberos Collector-Seite, die einen Client zur Verhandlung der Kerberos-Authentifizierung auffordert. Als ein Client den Zugriff auf eine Seite anfordert, die von diesem Kerberos-Authentifizierungsschema geschützt ist, dann leitet der Web-Agent den Client an diesen Server um.Hinweis:IP-Adressen werden nicht unterstützt.
- PortGibt den Port an, den der Webserver überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
- SSL-Verbindung verwendenAktivieren Sie diese Option, um eine SSL-Verbindung zur Verarbeitung der Authentifizierung zu verwenden.
- ZielGibt den Namen des virtuellen Verzeichnisses und der .kcc-Datei an, dieCA Single Sign-onverwendet, um das Authentifizierungsschema aufzurufen.Das Feld "Ziel" weist auf eine .kcc-Datei, dieCA Single Sign-on-Agenten verwenden, um Benutzer zu authentifizieren. Standardmäßig verwendet der Richtlinienserver folgenden Wert:/siteminderagent/Kerberos/creds.kcc
- PrinzipalnameGibt einen Kerberos-Prinzipal an, der vom Richtlinienserver auf dem KDC (zum Beispiel "Active Directory") zur Verwendung erstellt wurde. Das Format des Namens ist "service/hostname@realm", zum Beispiel "smps/smps.example.com/@EXAMPLE.COM".Hinweis:Dieser Wert ist anders als der "SmpsPrincipalName", der auf dem Konfigurationsobjekt des Web-Agenten angegeben ist.
- Benutzer-DN-SucheGibt eine Suchzeichenfolge für den Benutzer an. Diese Zeichenfolge besteht aus einer Kombination der Variablen "UID", "DOMAIN" und "REALM". Dieses Feld unterstützt eine Vielzahl von Formaten, zum Beispiel:
- %{UID}
- %{UID}@%{DOMAIN}
- (cn=%{UID}) — Klammern sind erforderlich
- (cn=%{DOMAIN}:%{UID}) — Klammern sind erforderlich
Authentifizierungsschema - Zuordnungen Kerberos-Bereich zu Windows-Domäne
Dieser Abschnitt enthält Zeilen, in denen Sie einen Namen eines Kerberos-Bereichs zu einer oder mehreren konfigurierten Windows-Domänen zuordnen können. Diese Zuordnung ähnelt der Zuordnung in der Kerberos-Konfigurationsdatei (krb5.ini).
Hinweis:
Wenn Sie die DOMAIN-Variable im Feld "Benutzer-DN-Suche" angeben, ist diese Zuordnung auch dann erforderlich, wenn Bereich und Domänennamen identisch sind.Die Felder auf der linken Seite enthalten die Kerberos-Bereichsnamen, und die Felder auf der rechten Seite enthalten eine durch Kommas getrennte Liste von Domänennamen für diesen Bereichsnamen. Beispiel:
Bereichsname
Domänenname
EXAMPLE.COM BEISPIEL
Authentifizierungsschema - Vorlage für Kerberos - Erweitert
Der Abschnitt "Erweitert" im Dialogfeld "Authentifizierungsschema" für ein Kerberos-Authentifizierungsschema enthält die folgenden Felder:
- BibliothekZeigt die Bibliothek an, die der Richtlinienserver verwendet, um Kerberos-Authentifizierung aufzulösen. Die Standardbibliothek ist "smauthkerberos".
- ParameterZeigt die Einträge für "Server", "Ziel" und "Benutzer-DN-Suche" an, die Sie im Abschnitt "Schema-Setup" eingegeben haben.
- Kontrollkästchen "Diesen Plan fürCA Single Sign-on-Administratoren aktivieren"Sie können dieses Feld nicht für ein Kerberos-Authentifizierungsschema auswählen.
Dialogfeld "Authentifizierungsschema" - Vorlage für OpenID
Das OpenID-Authentifizierungsschema ermöglicht es Ihnen, Benutzer mithilfe eines OpenID-Anbieters zu authentifizieren.
Schema-Setup
Der Abschnitt "Schema-Setup" ermöglicht es Ihnen, die erforderlichen Informationen anzugeben, um das Authentifizierungsschema zu implementieren.
Hinweis:
Wenn Ihr Netzwerk mehrere Cookie-Domänen enthält und wenn jede Cookie-Domäne das Authentifizierungsschema benötigt, konfigurieren Sie in jeder Cookie-Domäne ein separates Objekt des Authentifizierungsschemas.- Relatives Ziel verwendenWählen Sie diese Option aus, um anzugeben, dass der OpenID-FCC auf dem Webserver installiert ist, von dem die Agentenanfrage ausgegangen ist.
- WebservernameGibt den vollständig qualifizierten Domänennamen des Webservers an, auf dem der OpenID-FCC installiert ist. Der Webserver muss nicht der gleiche Webserver sein, auf dem der Agent installiert ist.Einschränkungen:
- IP-Adressen werden nicht unterstützt.
- Beim Namen wird zwischen Groß- und Kleinschreibung unterschieden.
- PortGibt den Port an, den der Webserver überwacht. Ein Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
- SSL-Verbindung verwendenWählen Sie diese Option, um eine SSL-Verbindung zur Verarbeitung der Authentifizierungsanforderungen zu verwenden.
- ZielGibt den Speicherort der Datei "OpenID FCC" an.Der Standardpfad verweist auf ein virtuelles Verzeichnis auf dem Webserver, der während der Agenteninstallation erstellt wurde. Das Standardziel gibt den OpenID-FCC an, der in der Agenteninstallation enthalten ist.Standardspeicherort:agent_home\samples\forms\openid.fcc
- AnbieterkonfigurationsdateiGibt den Pfad der Anbieterkonfigurationsdatei von OpenID an. Die Datei listet die Konfigurationsdetails der Anbieter auf, denenCA Single Sign-onvertraut. Eine Standarddatei ist in der Installation des Richtlinienservers enthalten.Standardspeicherort:siteminder_home\config\properties\Openidproviders.xml
- ICAM-ComplianceWählen Sie diese Option aus, um das Authentifizierungsschema für "ICAM Compliance" (Federal Identity, Credential, and Access Management compliance) zu aktivieren.Die standardmäßige OpenID-Anbieterkonfigurationsdatei listet die ICAM-Richtlinien auf, die für die vertrauenswürdigen Anbieter gelten. Der Anbieter muss sich an jede aufgelistete ICAM-Richtlinie richten, oder der Benutzer wird nicht authentifiziert. Folgende Markierung identifiziert die ICAM-Richtlinien:<Policies>Standardspeicherort:siteminder_home\config\properties\Openidproviders.xml
- Anonymer ModusWählen Sie diese Option aus, um anonyme Authentifizierung zu aktivieren.Standardmäßig verwendet der Richtlinienserver die Anbieterauthentifizierungsantwort von OpenID, um den Wert des ersten erforderlichen Anspruchs festzustellen. Der Richtlinienserver sucht in allen Benutzerverzeichnissen in der Richtliniendomäne nach einem Benutzer, der mit dem Anspruchswert übereinstimmt. Wenn der Richtlinienserver den Anspruchswert zu einem Benutzer zuordnet, dann ist die Authentifizierung erfolgreich.Beispiel:Der Richtlinienserver stellt fest, dass der Wert des ersten erforderlichen Anspruchs (vollständiger Name) "Sample User" (Beispielbenutzer) ist. Der Richtlinienserver sucht in allen Benutzerverzeichnissen in der Richtliniendomäne nach einem Benutzer, der mit "Sample User" übereinstimmt.Wenn anonyme Authentifizierung aktiviert ist, dann verwendet der Richtlinienserver den Anspruchswert nicht, um den Benutzer zu authentifizieren. Stattdessen sucht der Richtlinienserver in allen Benutzerverzeichnissen in der Richtliniendomäne nach einem Benutzer, der mit dem Benutzer übereinstimmt, den Sie angeben.
- Anonymer BenutzerGibt den anonymen Benutzer an, den der Richtlinienserver authentifizieren soll. Wenn der Richtlinienserver einen anonymen Benutzer authentifiziert, wird der Authentifizierungskontext für den anonymen Benutzer erstellt. Der Richtlinienserver erstellt den Authentifizierungskontext nicht für den tatsächlichen Benutzer, der die Anmeldeinformationen angegeben hat.Beispiel:Der anonyme Benutzer wird mit folgendem Wert konfiguriert:DefaultUserDer Richtlinienserver erhält die Anbieterauthentifizierungsantwort von "OpenID", jedoch wird der Wert des ersten erforderlichen Anspruchs ignoriert. Stattdessen sucht der Richtlinienserver in allen Benutzerverzeichnissen in der Richtliniendomäne nach einem Benutzer, der mit folgendem Wert übereinstimmt:DefaultUserWichtig!Stellen Sie sicher, dass der von Ihnen eingegebene Wert mindestens in einem Benutzerverzeichnis in der Richtliniendomäne vorhanden ist. Wenn der anonyme Benutzer in keinem Benutzerverzeichnis vorhanden ist, dann schlägt die Authentifizierung fehl.
- Variable der Authentifizierungssitzung beibehaltenLegt fest, dass die OpenID-Ansprüche im Sitzungsspeicher als Sitzungsvariablen gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Variablen, die bei Authentifizierungsentscheidungen verwendet werden können. Zum Beispiel können Sie die Variablen im Authentifizierungskontext in aktiven Antworten oder Richtlinienausdrücken einschließen.Die Ansprüche werden im Sitzungsspeicher im folgenden Formular gespeichert:SMOPENIDCLAIM_CLAIMNAME
- ProxyauthentifizierungAktivieren Sie die Option, wenn Ihr Unternehmen einen HTTP-Proxy-Host für den Internetzugang verwendet. Der OpenID-Anbieter verwendet die Proxy-Informationen, um über den HTTP-Proxy mit dem Richtlinienserver zu kommunizieren.Wichtig!Starten Sie den Richtlinienserver neu, wenn Sie Proxy-Einstellungen ändern.
- NachbearbeitungsketteGibt Aktionen des Richtlinienservers an, die nach einer erfolgreichen Authentifizierung durchgeführt werden.Hinweis:Wenn Sie diese Einstellung ändern, müssen Sie den Richtlinienserver neu starten.Wert:Trennen Sie Mehrfachketten durch ein Semikolon.Gültige Ketten:
- com.ca.sm.openid.command.StoreClaimsToContextSpeichert den Anbieteranspruch in den Authentifizierungskontext des Benutzers.
- com.ca.sm.openid.command.LogClaimsSchreibt den Anbieteranspruch in das Nachverfolgungsprotokoll vonCA Single Sign-on.Wenn Sie Ansprüche in das Nachverfolgungsprotokoll schreiben, dann ist folgende Komponente des Richtlinienserver-Profilers erforderlich:JavaAPICA Single Sign-onunterstützt benutzerdefinierten Code, der als Nachverarbeitungskette implementiert ist.
Dialogfeld "Authentifizierungsschema" - Vorlage für RADIUS CHAP/PAP
Bevor Sie ein RADIUS CHAP/PAP-Authentifizierungsschema zu einem Bereich zuweisen zu können, müssen Sie das Schema im Dialogfeld "Authentifizierungsschema" konfigurieren.
Gruppenfeld "Schema-Setup"
In diesem Gruppenfeld geben Sie das Klartextkennwort für die CHAP/PAP-Authentifizierung an.
- Klartext-Kennwortattribut im VerzeichnisGibt den Namen eines Benutzerverzeichnisattributs an.Die Inhalte dieses Attributs werden als das Klartextkennwort für die Authentifizierung verwendet.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" für ein RADIUS CHAP/PAP-Schema enthält Folgendes:
- BibliothekZeigt den Namen der Bibliothek an, die der Richtlinienserver verwendet, um eine RADIUS CHAP/PAP-Authentifizierung aufzulösen.
- ParameterZeigt den Attributnamen an, den Sie im Gruppenfeld "Schema-Setup" eingegeben haben.
- Diesen Plan fürCA Single Sign-on-Administratoren aktivierenDieses Kontrollkästchen ist standardmäßig für RADIUS CHAP/PAP-Schemen deaktiviert. Sie können RADIUS CHAP/PAP nicht verwenden, um Richtlinienserver-Administratoren zu authentifizieren.
Dialogfeld "Authentifizierungsschema" - Vorlage für RADIUS Server
Bevor Sie ein RADIUS Server-Authentifizierungsschema zu einem Bereich zuweisen zu können, müssen Sie das Schema im Dialogfeld "Authentifizierungsschema" konfigurieren.
CA Single Sign-on
unterstützt das RADIUS-Protokoll, indem der Richtlinienserver als RADIUS-Server und der NAS-Client als RADIUS-Client verwendet wird. Durch RADIUS-Agenten kann der Richtlinienserver mit den NAS-Client-Geräten kommunizieren. Im RADIUS-Server-Authentifizierungsschema agiert der Richtlinienserver als RADIUS-Server, der dem durch CA Single Sign-on
geschützten Netzwerk angehängt ist.Dieses Schema akzeptiert Benutzernamen und Kennwort als Anmeldeinformationen. Mehrere Instanzen dieses Schemas können definiert werden. Dieses Schema interpretiert keine RADIUS-Attribute, die möglicherweise vom RADIUS-Server in der Authentifizierungsantwort zurückgegeben werden.
Gruppenfeld "Schema-Setup"
Hier geben Sie die IP-Adresse und den Port für den RADIUS-Server ein. Außerdem geben Sie hier das geheime Attribut ein, das der RADIUS-Server für die Authentifizierung benötigt.
- IP-AdresseGibt die IP-Adresse des RADIUS-Servers an.
- PortGibt die Portnummer für den Server an.Der Port wird für die Kommunikation mit dem RADIUS-Server verwendet. Wenn Sie keine Portnummer angeben, verwendet der Richtlinienserver den Port "1645" als standardmäßigen UDP-Port.
- Geheimer Schlüssel und geheimen Schlüssel bestätigenGibt die Textzeichenfolge an, die als geheimer Schlüssel verwendet werden soll.Der geheime Schlüssel ist das Benutzerattribut, das vom RADIUS-Server als Klartextkennwort verwendet wird.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" im Dialogfeld "Authentifizierungsschema" für ein RADIUS Server-Schema enthält Folgendes:
- BibliothekZeigt den Namen der Bibliothek an, die der Richtlinienserver verwendet, um eine RADIUS Server-Authentifizierung aufzulösen.
- ParameterZeigt die IP-Adresse und Portnummer von RADIUS Server an, die Sie im Gruppenfeld "Schema-Setup" eingegeben haben.
- Diesen Plan fürCA Single Sign-on-Administratoren aktivierenDieses Kontrollkästchen ist standardmäßig für RADIUS Server-Schemen aktiviert und zeigt an, dass der Richtlinienserver das Schema verwenden kann, um Administratoren zu authentifizieren. Dieses Kontrollkästchen kann nicht deaktiviert werden.
Dialogfeld "Authentifizierungsschema" - Vorlage für SecurID
Bevor Sie ein SecurID-Authentifizierungsschema zu einem Bereich zuweisen zu können, müssen Sie das Schema im Dialogfeld "Authentifizierungsschema" konfigurieren.
Die RSA Ace/SecureID-Authentifizierungsschemen authentifizieren Benutzer, die mit ACE-Anmeldeinformationen, die Benutzernamen, PINs und TOKENCODEs enthalten, angemeldet sind. ACE-Benutzernamen und -Kennwörter befinden sich im ACE-/Server-Benutzerspeicher und können vom ACE-/Server-Administrator geändert werden. Einmalige TOKENCODEs werden von SecureID-Token generiert.
Gruppenfeld "Schema-Setup"
Hier geben Sie das Attribut in das Benutzerverzeichnis der Authentifizierung an, das die Benutzer-ID des ACE-Servers für den Benutzer enthält.
- Attributname der Ace-Benutzer-ID im VerzeichnisGibt einen Attributnamen an.Wenn die Distinguished Names (DNs) des Benutzers von den Benutzer-IDs des ACE-Servers abweichen, dann geben Sie den Namen des Attributs im Benutzerverzeichnis ein, das die Benutzer-ID im ACE-Server enthält. Wenn die ACE-ID des Benutzers beispielsweise "jsmith" ist und ihr DN in einem LDAP-Verzeichnis "cn=Jane Smith", "ou=sales", "o=security.com" ist, dann können Benutzerprofilattribute verwendet werden, um eine Zuordnung zurück zur ACE-Benutzer-ID durchzuführen. Zum Beispiel können Sie ein neues Attribut mit dem Namen "aceid" erstellen, oder Sie können ein vorhandenes, nicht genutztes Attribut verwenden. Der Richtlinienserver ruft den Wert dieses Attributs ab und verwendet diesen als ACE-Benutzer-ID.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" für ein SecurID-Schema enthält Folgendes:
- BibliothekZeigt den Namen der Bibliothek an, die der Richtlinienserver verwendet, um eine SecurID-Authentifizierung aufzulösen.
- ParameterZeigt den Attributnamen an, den Sie im Gruppenfeld "Schema-Setup" eingegeben haben.
- Diesen Plan fürCA Single Sign-on-Administratoren aktivierenDieses Kontrollkästchen ist standardmäßig für SecurID-Schemen aktiviert und zeigt an, dass der Richtlinienserver das SecurID-Schema verwenden kann, um Administratoren zu authentifizieren. Dieses Kontrollkästchen kann nicht deaktiviert werden.
Dialogfeld "Authentifizierungsschema" - Vorlage für SecurID-HTML-Formular
Sie können HTML-Formularauthentifizierung von SecurID mithilfe der Vorlage für SecurID-HTML-Formular im Dialogfeld "Authentifizierungsschema" konfigurieren.
Die RSA Ace/SecureID-Authentifizierungsschemen authentifizieren Benutzer, die mit ACE-Anmeldeinformationen, die Benutzernamen, PINs und TOKENCODEs enthalten, angemeldet sind. ACE-Benutzernamen und -Kennwörter befinden sich im ACE-/Server-Benutzerspeicher und können vom ACE-/Server-Administrator geändert werden. Einmalige TOKENCODEs werden von SecureID-Token generiert.
Gruppenfeld "Schema-Setup"
Das Gruppenfeld "Schema-Setup" für HTML-Formularauthentifizierung von SecurID enthält Folgendes:
- WebservernameGibt den vollständig qualifizierten Domänennamen des Webservers an, auf dem der FCC installiert wurde.Hinweis:IP-Adressen werden nicht unterstützt.Der Server muss nicht der gleiche Server sein, auf dem der Agent installiert ist. Domänennamen müssen mindestens 2 Punkte enthalten. Der Server muss mithilfe der folgenden Syntax eingegeben werden:servername.domainname.comBeispiel:server1.security.com.Hinweis:Wenn Ihr Netzwerk mehrere Cookie-Domänen enthält, konfigurieren Sie ein separates Authentifizierungsschema für HTML-Formulare in jeder Cookie-Domäne, in der Sie Authentifizierung für HTML-Formulare implementieren möchten.
- PortGibt den Port an, den der Webserver überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
- SSL-Verbindung verwendenAktivieren Sie dieses Kontrollkästchen, wennCA Single Sign-oneine SSL-Verbindung verwenden soll, um Authentifizierung für HTML-Formulare zu verarbeiten.
- ZielGibt den Pfad an, denCA Single Sign-onverwendet, um SecurID-Authentifizierung mit Unterstützung für HTML-Formulare zu verarbeiten.Standard: /siteminderagent/forms/smpwservices.fccSie können "/siteminderagent/forms/smpwservices.fcc" als alternativen Zielwert verwenden, um zum Verhalten der vorherigen Version zurückzukehren. Dieser Zielwert nimmt an, dass der Web-Agent, der die Anforderung erhält, die Kennwortservices verarbeitet. Wenn sich die Vorlagen der Kennwortservices auf einem anderen Web-Agenten befinden, dann ist der vollständige Pfad zu dieser Ziel-URL erforderlich.
- Attributname der Ace-Benutzer-ID im VerzeichnisGibt das Attribut an, das ACE-IDs enthält.Wenn die Distinguished Names (DNs) des Benutzers von den Benutzer-IDs des ACE-Servers abweichen, dann geben Sie den Namen des Attributs im Benutzerverzeichnis ein, das die Benutzer-ID im ACE-Server enthält. Wenn die ACE-Benutzer-ID beispielsweise "jsmith" ist und der DN in einem LDAP-Verzeichnis "cn=Jane Smith", "ou=sales", "o=security.com" ist, dann können Sie die Benutzerprofilattribute zurück zur ACE-Benutzer-ID zuordnen. In diesem Beispiel können Sie ein Attribut mit dem Namen "aceid" erstellen, oder Sie können ein vorhandenes, nicht genutztes Attribut verwenden. Der Richtlinienserver ruft den Wert dieses Attributs ab und verwendet diesen als ACE-Benutzer-ID.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" für ein HTML-Formularauthentifizierungsschema von SecureID enthält Folgendes:
- BibliothekEnthält den Namen der freigegebenen Bibliothek, die die Authentifizierung für SecurID- und HTML-Formulare verarbeitet.
- ParameterZeigt den Server und das Ziel an, die Sie in das Gruppenfeld "Schema-Setup" eingegeben haben.
- Diesen Plan fürCA Single Sign-on-Administratoren aktivierenDieses Kontrollkästchen ist deaktiviert. SecurID- und HTML-Formularauthentifizierung kann nicht verwendet werden, um einen Richtlinienserver-Administrator zu authentifizieren.
Dialogfeld "Authentifizierungsschema" - X509-Client-Zertifikatsvorlage
Damit
CA Single Sign-on
Benutzer authentifiziert, die auf X.509-Client-Zertifikate basieren, müssen Sie ein Authentifizierungsschema in der Verwaltungsoberfläche konfigurieren und die Zertifikatszuordnung für das Authentifizierungsschema festlegen.Gruppenfeld "Schema-Setup"
Im Gruppenfeld "Schema-Setup" für X.509-Client-Zertifikatauthentifizierung geben Sie Informationen für den Server und das Ziel ein.
Hinweis:
Benutzer, die versuchen, auf eine Ressource in einem geschützten Bereich zuzugreifen, müssen ein gültiges X.509-Client-Zertifikat haben, das CA Single Sign-on
mithilfe eines Serverzertifikats überprüfen kann. Außerdem muss der Benutzer einen Benutzernamen und ein Kennwort angeben, der bzw. das in einem Benutzerverzeichnis in der Richtliniendomäne überprüft wird.- ServernameGibt den vollständig qualifizierten Domänennamen des SSL-Servers an.Hinweis:IP-Adressen werden nicht unterstützt.Dieser Server ist für das Herstellen einer SSL-Verbindung verantwortlich. Normalerweise ist dieser Server nicht der Server, auf dem der Web-Agent installiert ist.Der Server agiert als Anfang der URL, dieCA Single Sign-onverwendet, um ein X.509-Zertifikat über eine SSL-Verbindung umzuleiten.Domänennamen müssen mindestens zwei Punkte enthalten. Geben Sie den Servernamen in folgendem Format ein:servername.host.comBeispiel:server1.security.com
- PortGibt den Port an, den der SSL-Server überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
- ZielGibt den Pfad und den Namen für den SSL-Anmeldedatensammler (SCC) an.Das Ziel teilt dem Web-Agenten mit, was verwendet werden soll, um den SCC abzurufen. Diese Informationen vervollständigen die URL, dieCA Single Sign-onverwendet, um die Benutzeranmeldeinformationen über eine SSL-Verbindung zu leiten. Das Ziel kann angepasst werden, wenn Proxyserver bestimmte URLs benötigen, um "Basic over SSL"-Authentifizierung zu unterstützen.Die Verwaltungsoberfläche gibt einen Standardpfad an, wenn Sie das Authentifizierungsschema des X.509-Client-Zertifikats auswählen.
- Variable der Authentifizierungssitzung beibehalten(Optional) Legt fest, dass die Daten des Authentifizierungskontextes im Sitzungsspeicher als Sitzungsvariablen gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Variablen, die bei Authentifizierungsentscheidungen verwendet werden können.Wichtig! Wenn Authentifizierungsdaten im Sitzungsspeicher beibehalten werden, wird eine Beeinträchtigung in der Authentifizierungsdauer erstellt. Wählen Sie diese Option nur dann aus, wenn Sie die Variablen zu einem späteren Zeitpunkt für Authentifizierungsentscheidungen verwenden möchten. Anderenfalls führt dies möglicherweise zu negativen Auswirkungen auf die Leistung.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" für ein X.509-Client-Zertifikatsschema enthält Folgendes:
- BibliothekZeigt den Namen der Richtlinienserver-Bibliothek an, die verwendet wird, um das Authentifizierungsschema zu verarbeiten.Der Standardwert der Authentifizierungsbibliothek ist "smauthcert". Dieses Feld enthält den Namen der Bibliothek, die der Richtlinienserver benötigt, um Benutzeranmeldeinformationen über eine SSL-Verbindung umzuleiten und um das Zertifikat des Client zu überprüfen.Hinweis:Normalerweise müssen Sie dieses Feld nicht bearbeiten.
- ParameterZeigt die Zeichenfolge an, die aus Ihren Einträgen im Gruppenfeld "Schema-Setup" erstellt wurden. Dieser Parameter ist die Zeichenfolge, die der Richtlinienserver mithilfe der Authentifizierungsbibliothek, die im Gruppenfeld "Schema-Setup" angegeben ist, verarbeitet. Der Parameter besteht aus dem Server und dem Ziel aus dem Gruppenfeld "Schema-Setup" mit der zusätzlichen ?cert-Zeichenfolge, die die Verwendung der Client-Zertifikatsauthentifizierung anzeigt.
- Diesen Plan fürCA Single Sign-on-Administratoren aktivierenDieses Kontrollkästchen ist standardmäßig für X.509-Client-Zertifikatsschemen deaktiviert. Sie können dieses Schema nicht verwenden, um Richtlinienserver-Administratoren zu authentifizieren.
Hinweis:
Sie müssen eine Zertifikatszuordnung für dieses Authentifizierungsschema festlegen. Eine Zertifikatszuordnung verknüpft Zertifikatsinformationen zu einem Benutzereintrag in einem Verzeichnis.Agenten-IP-Whitelist
Das Gruppenfeld "Agenten-IP-Whitelist" im Dialogfeld "Authentifizierungsschema" für ein Windows-Authentifizierungsschema enthält Folgendes:
- AgentIP-ÜberprüfungAktiviert die Agenten-IP-Validierung.
- HinzufügenFügt eine neue Agenten-IP-Adresse zur Liste der Authentifizierungsschemen hinzu.
- LöschenLöscht die Agenten-IP-Adresse aus der Liste.
Dialogfeld "Authentifizierungsschema" - X509-Client-Zertifikat und einfache Vorlage
Damit
CA Single Sign-on
Benutzer authentifiziert, die auf X.509-Client-Zertifikate basieren, müssen Sie ein Authentifizierungsschema in der Verwaltungsoberfläche konfigurieren und die Zertifikatszuordnung für das Authentifizierungsschema festlegen.Gruppenfeld "Schema-Setup"
Im Gruppenfeld "Schema-Setup" geben Sie Informationen für den Server und das Ziel für Ihr X.509-Client-Zertifikat und Ihr Authentifizierungsschema für HTML-Formulare ein.
Hinweis:
Benutzer, die versuchen, auf eine Ressource in einem geschützten Bereich zuzugreifen, müssen ein gültiges X.509-Client-Zertifikat haben, das CA Single Sign-on
mithilfe eines Serverzertifikats überprüfen kann. Außerdem muss der Benutzer einen Benutzernamen und ein Kennwort angeben, der bzw. das in einem Benutzerverzeichnis in der Richtliniendomäne überprüft wird.- WebservernameGibt den vollständig qualifizierten Domänennamen des SSL-Servers an.Hinweis:IP-Adressen werden nicht unterstützt.Dieser Server ist für das Herstellen einer SSL-Verbindung verantwortlich. Normalerweise ist dieser Server nicht der Server, auf dem der Web-Agent installiert ist.Der Server agiert als Anfang der URL, dieCA Single Sign-onverwendet, um ein X.509-Zertifikat über eine SSL-Verbindung umzuleiten.Domänennamen müssen mindestens zwei Punkte enthalten. Geben Sie den Servernamen in folgendem Format ein:servername.host.comBeispiel:server1.security.com
- PortGibt den Port an, den der SSL-Server überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
- ZielGibt den Pfad und den scc-Dateinamen anDer Standardpfad verweist auf ein virtuelles Verzeichnis auf dem Webserver, das im Feld "Servername" angegeben ist, das während derCA Single Sign-on-Agenteninstallation erstellt wurde. Das Standardziel gibt die Datei "smgetcred.scc" an, die eine Beispieldatei ist, die angepasst werden kann.
- Diesem Schema erlauben, Anmeldeinformationen zu speichernAktivieren Sie dieses Kontrollkästchen, um es Benutzerbrowsern zu ermöglichen, den Benutzernamen und das Kennwort der Anmeldeinformationen zu speichern.
- Zusätzliche Attributliste(Optional) Gibt andere Benutzerattribute als den Benutzernamen an. Wenn Sie Attribute auflisten, beginnen Sie "AL=", und verwenden Sie Kommas, um die Benutzerattributnamen zu trennen.Beispiel:AL=PASSWORD,SSN,age,zipcode"AL=" ist eineCA Single Sign-on-Notation, die die Liste der Attribute anzeigt. Standardmäßig wird die Liste der Attribute als AND-ähnliche Abfrage betrachtet. Der Richtlinienserver vergleicht alle Attributwerte, die vom Benutzer erfasst wurden, mit den entsprechenden Attributwerten im Benutzerverzeichnis. Wenn alle Attributwerte genau übereinstimmen, wird der Benutzer erfolgreich authentifiziert.Hinweis:Sie können Benutzer mit Attributen authentifizieren, die mehrere Werte enthalten. Um anzugeben, dass ein Attribut mehrere Werte hat, stellen Sie dem Attributnamen ein Caret-Zeichen (^) voran.
Beispiel:
Geben Sie "AL=^mail" an, um anzuzeigen, dass "Mail" mehrwertig ist. Ein Benutzer kann einen der gültigen Werte angeben, um eine Authentifizierung durchzuführen.Einschränkung:
Die Werte eines mehrwertigen Attributs können kein Caret-Zeichen enthalten. Ein Wert, der ein Caret-Zeichen enthält, führt möglicherweise dazu, dass Benutzer nicht ordnungsgemäß authentifiziert werden. Wenn ein Wert zum Beispiel 123^456 ist, könnte ein Benutzer zusätzlich zu 123^456 auch mit 123 und 456 authentifiziert werden.Damit
CA Single Sign-on
zusätzliche Attribute erfasst, wird die .fcc-Datei zur Generierung eines Formulars für die HTML-Formularauthentifizierung geändert, um die Attribute einzuschließen.- Variable der Authentifizierungssitzung beibehalten(Optional) Legt fest, dass die Daten des Authentifizierungskontextes im Sitzungsspeicher als Sitzungsvariablen gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Variablen, die bei Authentifizierungsentscheidungen verwendet werden können.Wichtig! Wenn Authentifizierungsdaten im Sitzungsspeicher beibehalten werden, wird eine Beeinträchtigung in der Authentifizierungsdauer erstellt. Wählen Sie diese Option nur dann aus, wenn Sie die Variablen zu einem späteren Zeitpunkt für Authentifizierungsentscheidungen verwenden möchten. Anderenfalls führt dies möglicherweise zu negativen Auswirkungen auf die Leistung.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" des Dialogfelds "Authentifizierungsschema" für ein X.509-Client-Zertifikat und ein Standardschema enthält Folgendes:
- BibliothekZeigt den Namen der Richtlinienserver-Bibliothek an, die verwendet wird, um das Authentifizierungsschema zu verarbeiten.Der Standardwert der Authentifizierungsbibliothek ist "smauthcert". Dieses Feld enthält den Namen der Bibliothek, die der Richtlinienserver benötigt, um Benutzeranmeldeinformationen über eine SSL-Verbindung umzuleiten und um das Zertifikat des Client zu überprüfen.Hinweis:Normalerweise müssen Sie dieses Feld nicht bearbeiten.
- ParameterZeigt die Zeichenfolge an, die aus Ihren Einträgen im Gruppenfeld "Schema-Setup" erstellt wurden. Diese Zeichenfolge ist der Parameter, den der Richtlinienserver mithilfe der Authentifizierungsbibliothek, die im Gruppenfeld "Schema-Setup" angegeben ist, verarbeitet. Der Parameter besteht aus dem Server und dem Ziel aus dem Gruppenfeld "Schema-Setup" mit der zusätzlichen ?cert+basic-Zeichenfolge, die die Verwendung der Client-Zertifikatsauthentifizierung und der Standardauthentifizierung anzeigt.
- Diesen Plan fürCA Single Sign-on-Administratoren aktivierenDieses Kontrollkästchen ist standardmäßig für X.509-Client-Zertifikatsschemen deaktiviert. Sie können dieses Schema nicht verwenden, um Richtlinienserver-Administratoren zu authentifizieren.
Hinweis:
Sie müssen eine Zertifikatszuordnung für dieses Authentifizierungsschema festlegen. Eine Zertifikatszuordnung verknüpft Zertifikatsinformationen zu einem Benutzereintrag in einem Verzeichnis.Dialogfeld "Authentifizierungsschema" - X509-Client-Zertifikat oder einfache Vorlage
Damit
CA Single Sign-on
Benutzer authentifiziert, die auf X.509-Client-Zertifikate basieren, müssen Sie ein Authentifizierungsschema in der Verwaltungsoberfläche konfigurieren und die Zertifikatszuordnung für das Authentifizierungsschema festlegen.Gruppenfeld "Schema-Setup"
Im Gruppenfeld "Schema-Setup" für X.509-Client-Zertifikat oder Standardauthentifizierung geben Sie Informationen für den Server und das Ziel für Ihr Zertifikatsauthentifizierungsschema ein.
Hinweis:
Benutzer, die versuchen, auf eine Ressource in einem geschützten Bereich zuzugreifen, müssen ein gültiges X.509-Client-Zertifikat haben, das CA Single Sign-on
mithilfe eines Serverzertifikats überprüfen kann. Außerdem muss der Benutzer einen Benutzernamen und ein Kennwort angeben, der bzw. das in einem Benutzerverzeichnis in der Richtliniendomäne überprüft wird.- ServernameGibt den vollständig qualifizierten Domänennamen des SSL-Servers an.Hinweis:IP-Adressen werden nicht unterstützt.Dieser Server ist für das Herstellen einer SSL-Verbindung verantwortlich. Normalerweise ist dieser Server nicht der Server, auf dem der Web-Agent installiert ist.Der Server agiert als Anfang der URL, dieCA Single Sign-onverwendet, um ein X.509-Zertifikat über eine SSL-Verbindung umzuleiten.Domänennamen müssen mindestens zwei Punkte enthalten. Geben Sie den Servernamen in folgendem Format ein:servername.host.comBeispiel:server1.security.com
- PortGibt den Port an, den der SSL-Server überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
- ZielGibt den Pfad und den Namen für den SSL-Anmeldedatensammler (SCC) an.Das Ziel teilt demCA Single Sign-on-Web-Agenten mit, was verwendet werden soll, um den SCC abzurufen. Diese Informationen vervollständigen die URL, dieCA Single Sign-onverwendet, um die Benutzeranmeldeinformationen über eine SSL-Verbindung zu leiten und um die Zertifikatauthentifizierung zu verarbeiten. Das Ziel kann angepasst werden, wenn Proxyserver bestimmte URLs benötigen, um "Basic over SSL"-Authentifizierung zu unterstützen.CA Single Sign-ongibt einen Standardpfad an, wenn Sie das Authentifizierungsschema des X.509-Client-Zertifikats auswählen.
- Kontrollkästchen "Grundlegende Anmeldeinformationen über SSL"Aktivieren Sie dieses Kontrollkästchen, wenn der grundlegende Benutzername und das Kennwort der Anmeldeinformationen über eine SSL-Verbindung übermittelt werden.
- Einfacher ServernameGibt den vollständig qualifizierten Namen des SSL-Servers an. Geben Sie einen Wert in dieses Feld ein, wenn das Kontrollkästchen "Grundlegende Anmeldeinformationen über SSL" aktiviert ist.Dieser Server ist für das Herstellen einer SSL-Verbindung für Standardauthentifizierung verantwortlich. Normalerweise ist dieser Server nicht der gleiche Server, auf dem der Web-Agent installiert ist.Der Server agiert als Anfang der URL, dieCA Single Sign-onverwendet, um Anmeldeinformationen über eine SSL-Verbindung zu leiten. Basierend auf dem Typ des Webservers, auf dem der Web-Agent installiert ist, unterscheidet sich die Syntax für den Server leicht. Folgende Definitionen beschreiben die korrekte Syntax für das Serverfeld, das auf dem Typ des Webservers basiert:IIS oder Oracle --servername.domain:portApache-- servername.domain:portDomänennamen benötigen mindestens zwei Punkte. Beispiel:.security.com
- Einfaches ZielGibt den Pfad und den Namen für den SSL-Anmeldedatensammler (SCC) an.Das Ziel teilt demCA Single Sign-on-Web-Agenten mit, was verwendet werden soll, um den SCC abzurufen. Diese Informationen vervollständigen die URL, dieCA Single Sign-onverwendet, um die Benutzeranmeldeinformationen über eine SSL-Verbindung für die Standardauthentifizierung zu leiten. Das Ziel kann angepasst werden, wenn Proxyserver bestimmte URLs benötigen, um "Basic over SSL"-Authentifizierung zu unterstützen.
- Variable der Authentifizierungssitzung beibehalten(Optional) Legt fest, dass die Daten des Authentifizierungskontextes im Sitzungsspeicher als Sitzungsvariablen gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Variablen, die bei Authentifizierungsentscheidungen verwendet werden können.Wichtig! Wenn Authentifizierungsdaten im Sitzungsspeicher beibehalten werden, wird eine Beeinträchtigung in der Authentifizierungsdauer erstellt. Wählen Sie diese Option nur dann aus, wenn Sie die Variablen zu einem späteren Zeitpunkt für Authentifizierungsentscheidungen verwenden möchten. Anderenfalls führt dies möglicherweise zu negativen Auswirkungen auf die Leistung.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" des Dialogfelds "Authentifizierungsschema" für ein X.509-Client-Zertifikat und ein Standardschema enthält Folgendes:
- BibliothekZeigt den Namen der Richtlinienserver-Bibliothek an, die verwendet wird, um das Authentifizierungsschema zu verarbeiten.Der Standardwert der Authentifizierungsbibliothek ist "smauthcert". Dieses Feld enthält den Namen der Bibliothek, die der Richtlinienserver benötigt, um Benutzeranmeldeinformationen über eine SSL-Verbindung umzuleiten und um das Zertifikat des Client zu überprüfen.Hinweis:Normalerweise müssen Sie dieses Feld nicht bearbeiten.
- ParameterZeigt die Zeichenfolge an, die aus Ihren Einträgen im Gruppenfeld "Schema-Setup" erstellt wurden. Diese Zeichenfolge ist der Parameter, den der Richtlinienserver mithilfe der Authentifizierungsbibliothek, die im Gruppenfeld "Schema-Setup" angegeben ist, verarbeitet. Der Parameter besteht aus dem Server und dem Ziel aus dem Gruppenfeld "Schema-Setup" mit der zusätzlichen ?certorbasic-Zeichenfolge, die die Verwendung der Zertifikatsauthentifizierung und der Standardauthentifizierung anzeigt.
- Diesen Plan fürCA Single Sign-on-Administratoren aktivierenDieses Kontrollkästchen ist standardmäßig für X.509-Client-Zertifikatsschemen deaktiviert. Sie können dieses Schema nicht verwenden, um Richtlinienserver-Administratoren zu authentifizieren.
Hinweis:
Sie müssen eine Zertifikatszuordnung für dieses Authentifizierungsschema festlegen. Eine Zertifikatszuordnung verknüpft Zertifikatsinformationen zu einem Benutzereintrag in einem Verzeichnis.Agenten-IP-Whitelist
Das Gruppenfeld "Agenten-IP-Whitelist" im Dialogfeld "Authentifizierungsschema" für ein Windows-Authentifizierungsschema enthält Folgendes:
- AgentIP-ÜberprüfungAktiviert die Agenten-IP-Validierung.
- HinzufügenFügt eine neue Agenten-IP-Adresse zur Liste der Authentifizierungsschemen hinzu.
- LöschenLöscht die Agenten-IP-Adresse aus der Liste.
Dialogfeld "Authentifizierungsschema" - X509-Client-Zertifikat und Formularvorlage
Damit
CA Single Sign-on
Benutzer authentifiziert, die auf X.509-Client-Zertifikate basieren, müssen Sie ein Authentifizierungsschema in der Verwaltungsoberfläche konfigurieren und die Zertifikatszuordnung für das Authentifizierungsschema festlegen.Gruppenfeld "Setup"
Im Gruppenfeld "Schema-Setup" für X.509-Client-Zertifikat oder HTML-Formularauthentifizierung geben Sie Informationen für den Server und das Ziel für Ihr Zertifikatsauthentifizierungsschema ein.
Hinweis:
Benutzer, die versuchen, auf eine Ressource in einem geschützten Bereich zuzugreifen, können mit einem gültigen X.509-Client-Zertifikat oder über die Anmeldeinformationen des Formulars authentifiziert werden. Diese Anmeldeinformationen befinden sich in einem Benutzerverzeichnis, das der Richtliniendomäne zugeordnet ist, und werden dort überprüft.- ServernameGibt den vollständig qualifizierten Domänennamen des SSL-Servers an.Hinweis:IP-Adressen werden nicht unterstützt.Dieser Server ist für das Herstellen einer SSL-Verbindung verantwortlich. Normalerweise ist dieser Server nicht der Server, auf dem der Web-Agent installiert ist.Der Server agiert als Anfang der URL, dieCA Single Sign-onverwendet, um ein X.509-Zertifikat über eine SSL-Verbindung umzuleiten.Domänennamen müssen mindestens zwei Punkte enthalten. Geben Sie den Servernamen in folgendem Format ein:servername.host.comBeispiel:server1.security.com
- PortGibt den Port an, den der SSL-Server überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
- ZielGibt den Pfad und den Namen für den SSL-Anmeldedatensammler (SFCC) an.Das Ziel ist.sfccDas Ziel teilt demCA Single Sign-on-Web-Agenten mit, was verwendet werden soll, um den SFCC abzurufen. Diese Informationen vervollständigen die URL, dieCA Single Sign-onverwendet, um die Benutzeranmeldeinformationen über eine SSL-Verbindung zu leiten und um die Zertifikatauthentifizierung zu verarbeiten.CA Single Sign-ongibt einen Standardpfad an, wenn Sie das X.509-Client-Zertifikat oder das Authentifizierungsschema für HTML-Formulare auswählen.
- Zusätzliche Attributliste(Optional) Gibt andere Benutzerattribute als den Benutzernamen an. Wenn Sie Attribute auflisten, beginnen Sie "AL=", und verwenden Sie Kommas, um die Benutzerattributnamen zu trennen.Beispiel:AL=PASSWORD,SSN,age,zipcode"AL=" ist eineCA Single Sign-on-Notation, die die Liste der betroffenen Attribute anzeigt. Standardmäßig wird die Liste der Attribute als AND-ähnliche Abfrage betrachtet. Der Richtlinienserver vergleicht alle Attributwerte, die vom Benutzer erfasst wurden, mit den entsprechenden Attributwerten im Benutzerverzeichnis. Wenn alle Attributwerte genau übereinstimmen, wird der Benutzer erfolgreich authentifiziert.Hinweis:Sie können Benutzer mit Attributen authentifizieren, die mehrere Werte enthalten. Um anzugeben, dass ein Attribut mehrere Werte hat, stellen Sie dem Attributnamen ein Caret-Zeichen (^) voran.Beispiel:Wenn Sie ein mehrwertiges "mail"-Attribut verwenden, um Benutzer zu authentifizieren, geben Sie "AL=^mail" an. Ein Benutzer kann einen der gültigen Werte angeben, um eine Authentifizierung durchzuführen.Einschränkung:Die Werte eines mehrwertigen Attributs können kein Caret-Zeichen enthalten. Ein Wert, der ein Caret-Zeichen enthält, führt möglicherweise dazu, dass Benutzer nicht ordnungsgemäß authentifiziert werden. Wenn ein Wert zum Beispiel 123^456 ist, könnte ein Benutzer zusätzlich zu 123^456 auch mit 123 und 456 authentifiziert werden.DamitCA Single Sign-onzusätzliche Attribute erfasst, enthält die .fcc-Datei, die ein Formular für die HTML-Formularauthentifizierung generiert, die Attribute.
- Alternativen FCC-Speicherort verwendenAktivieren Sie dieses Kontrollkästchen, wenn Sie ein Ziel angeben möchten, zu dem die Sammlung der Formulare umgeleitet wird. Eine mögliche Verwendung für eine solche Umleitung ist es, mehrere SSL-basierte Challenges zu vermeiden.
- Alternativer ServernameGibt den Namen des Webservers an, auf dem der alternative FCC installiert wurde. Geben Sie einen Wert in dieses Feld ein, wenn "Alternativen FCC-Speicherort verwenden" ausgewählt ist.
- Alternatives ZielGibt den Pfad und die .fcc-Datei an. Geben Sie einen Wert in dieses Feld ein, wenn "Alternativen FCC-Speicherort verwenden" ausgewählt ist.Der Standardpfad verweist auf ein virtuelles Verzeichnis auf dem Webserver, das im Feld "Alternativer Servername" angegeben ist, das während derCA Single Sign-on-Installation erstellt wurde. Das Standardziel gibt die Datei "login.fcc" an, die eine Beispieldatei ist, die angepasst werden kann.
- SSL-Verbindung verwendenAktivieren Sie dieses Kontrollkästchen, wenn Anmeldeinformationen der HTML-Formulare über eine SSL-Verbindung übermittelt werden. Stellen Sie sicher, dass Sie das Kontrollkästchen "Alternativen FCC-Speicherort verwenden" aktivieren, um auf das Kontrollkästchen "SSL-Verbindung verwenden" zuzugreifen.
- Variable der Authentifizierungssitzung beibehalten(Optional) Legt fest, dass die Daten des Authentifizierungskontextes im Sitzungsspeicher als Sitzungsvariablen gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Variablen, die bei Authentifizierungsentscheidungen verwendet werden können.Wichtig! Wenn Authentifizierungsdaten im Sitzungsspeicher beibehalten werden, wird eine Beeinträchtigung in der Authentifizierungsdauer erstellt. Wählen Sie diese Option nur dann aus, wenn Sie die Variablen zu einem späteren Zeitpunkt für Authentifizierungsentscheidungen verwenden möchten. Anderenfalls führt dies möglicherweise zu negativen Auswirkungen auf die Leistung.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" für ein X.509-Client-Zertifikat und das Authentifizierungsschema für HTML-Formulare enthält Folgendes:
- BibliothekZeigt den Namen der Richtlinienserver-Bibliothek an, die verwendet wird, um das Authentifizierungsschema zu verarbeiten.Der Standardwert der Authentifizierungsbibliothek ist "smauthcert". Dieses Feld enthält den Namen der Bibliothek, die der Richtlinienserver verwendet, um das Zertifikat des Client zu überprüfen.Hinweis:Normalerweise müssen Sie dieses Feld nicht bearbeiten.
- ParameterZeigt die Zeichenfolge an, die aus Ihren Einträgen im Gruppenfeld "Schema-Setup" erstellt wurden. Diese Zeichenfolge ist der Parameter, den der Richtlinienserver mithilfe der Authentifizierungsbibliothek, die im Gruppenfeld "Schema-Setup" angegeben ist, verarbeitet. Der Parameter besteht aus dem Server und dem Ziel aus dem Gruppenfeld "Schema-Setup" mit der zusätzlichen ?cert+forms-Zeichenfolge, die die Verwendung des X.509-Client-Zertifikats und das Authentifizierungsschema für HTML-Formulare anzeigt.
- Diesen Plan fürCA Single Sign-on-Administratoren aktivierenDieses Kontrollkästchen ist standardmäßig für X.509-Client-Zertifikatsschemen deaktiviert. Sie können dieses Schema nicht verwenden, um Richtlinienserver-Administratoren zu authentifizieren.
Hinweis:
Sie müssen eine Zertifikatszuordnung für dieses Authentifizierungsschema festlegen. Eine Zertifikatszuordnung verknüpft Zertifikatsinformationen zu einem Benutzereintrag in einem Verzeichnis.Dialogfeld "Authentifizierungsschema" - X509-Client-Zertifikat oder Formularvorlage
Damit
CA Single Sign-on
Benutzer authentifiziert, die auf X.509-Client-Zertifikate basieren, müssen Sie ein Authentifizierungsschema in der Verwaltungsoberfläche konfigurieren und die Zertifikatszuordnung für das Authentifizierungsschema festlegen.Gruppenfeld "Schema-Setup"
In diesem Dialogfeld geben Sie Informationen über den SSL-Server und die scc-Datei für Ihr Authentifizierungsschema des X.509-Client-Zertifikats ein.
- ServernameGibt den vollständig qualifizierten Domänennamen des SSL-Servers an.Hinweis:IP-Adressen werden nicht unterstützt.Dieser Server ist für das Herstellen einer SSL-Verbindung verantwortlich. Normalerweise ist dieser Server nicht der Server, auf dem der Web-Agent installiert ist.Der Server agiert als Anfang der URL, dieCA Single Sign-onverwendet, um ein X.509-Zertifikat über eine SSL-Verbindung umzuleiten.Domänennamen müssen mindestens zwei Punkte enthalten. Geben Sie den Servernamen in folgendem Format ein:servername.host.comBeispiel:server1.security.com
- PortGibt den Port an, den der SSL-Server überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
- ZielGibt den Pfad und den Namen für den SSL-Anmeldedatensammler (SCC) an.Das Ziel teilt dem Web-Agenten mit, was verwendet werden soll, um den SCC abzurufen. Diese Informationen vervollständigen die URL, dieCA Single Sign-onverwendet, um die Anmeldeinformationen über eine SSL-Verbindung zu leiten. Das Ziel kann angepasst werden, wenn Proxyserver bestimmte URLs benötigen, um "Basic over SSL"-Authentifizierung zu unterstützen.CA Single Sign-ongibt einen Standardpfad an, wenn Sie das Authentifizierungsschema des X.509-Client-Zertifikats auswählen.
- Variable der Authentifizierungssitzung beibehalten(Optional) Legt fest, dass die Daten des Authentifizierungskontextes im Sitzungsspeicher als Sitzungsvariablen gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Variablen, die bei Authentifizierungsentscheidungen verwendet werden können.Wichtig! Wenn Authentifizierungsdaten im Sitzungsspeicher beibehalten werden, wird eine Beeinträchtigung in der Authentifizierungsdauer erstellt. Wählen Sie diese Option nur dann aus, wenn Sie die Variablen zu einem späteren Zeitpunkt für Authentifizierungsentscheidungen verwenden möchten. Anderenfalls führt dies möglicherweise zu negativen Auswirkungen auf die Leistung.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" des Dialogfelds "Authentifizierungsschema" für ein X.509-Client-Zertifikat oder ein Authentifizierungsschema für HTML-Formulare enthält Folgendes:
- BibliothekDieses Feld enthält den Namen der Richtlinienserver-Bibliothek, die verwendet wird, um das Authentifizierungsschema zu verarbeiten.Der Standardwert der Authentifizierungsbibliothek ist "smauthcert". Dieses Feld enthält den Namen der Bibliothek, die der Richtlinienserver benötigt, um Benutzeranmeldeinformationen über eine SSL-Verbindung umzuleiten und um das Zertifikat des Client zu überprüfen.Hinweis:Normalerweise müssen Sie dieses Feld nicht bearbeiten.
- ParameterDieses Feld zeigt die Zeichenfolge an, die aus Ihren Einträgen im Gruppenfeld "Schema-Setup" erstellt wurden. Diese Zeichenfolge ist der Parameter, den der Richtlinienserver mithilfe der Authentifizierungsbibliothek, die im Gruppenfeld "Schema-Setup" angegeben ist, verarbeitet. Der Parameter besteht aus dem Server und dem Ziel aus dem Gruppenfeld "Schema-Setup" mit der zusätzlichen ?certorform-Zeichenfolge, die die Verwendung des Zertifikats oder des HTML-Formulars anzeigt.
- Diesen Plan fürCA Single Sign-on-Administratoren aktivierenDieses Kontrollkästchen ist standardmäßig für X.509-Client-Zertifikatsschemen deaktiviert. Sie können dieses Schema nicht verwenden, um Richtlinienserver-Administratoren zu authentifizieren.
Hinweis:
Sie müssen eine Zertifikatszuordnung für dieses Authentifizierungsschema festlegen. Eine Zertifikatszuordnung verknüpft Zertifikatsinformationen zu einem Benutzereintrag in einem Verzeichnis.Agenten-IP-Whitelist
Das Gruppenfeld "Agenten-IP-Whitelist" im Dialogfeld "Authentifizierungsschema" für ein Windows-Authentifizierungsschema enthält Folgendes:
- AgentIP-ÜberprüfungAktiviert die Agenten-IP-Validierung.
- HinzufügenFügt eine neue Agenten-IP-Adresse zur Liste der Authentifizierungsschemen hinzu.
- LöschenLöscht die Agenten-IP-Adresse aus der Liste.
Dialogfeld "Authentifizierungsschema" - Anonyme Vorlage
Bevor Sie ein anonymes Authentifizierungsschema zu einem Bereich zuweisen können, müssen Sie das Schema im Dialogfeld "Authentifizierungsschema" konfigurieren.
Durch ein anonymes Authentifizierungsschema können nicht registrierte Benutzer auf bestimmten Webinhalt zugreifen. Wenn ein Benutzer auf eine Ressource zugreift, die über eine anonyme Authentifizierung verfügt, weist
CA Single Sign-on
dem Benutzer eine "GUID" (Global User Identification - globale Benutzerkennung) zu. CA Single Sign-on
setzt diese GUID in ein dauerhaftes Cookie im Browser des Benutzers ein, sodass der Benutzer auf bestimmte Ressourcen zugreifen kann, ohne dabei zur Authentifizierung aufgefordert zu werden.Gruppenfeld "Schema-Setup"
Hier geben Sie den Distinguished Name (DN) eines Benutzers an. Wenn ein anonymer Benutzer versucht, auf Ressourcen im Netzwerk zuzugreifen, dann verwendet
CA Single Sign-on
den DN, um die Berechtigungen des Benutzers zu ermitteln.- Benutzer-DNGibt den Distinguished Name für Gäste an, den das anonyme Schema verwendet.Dieser DN bestimmt die Berechtigungen eines anonymen Benutzers. Wenn Sie das anonyme Authentifizierungsschema zu einem Bereich zuweisen, dann binden Sie Richtlinien an den Gast-DN. Ein anonymer Benutzer verfügt über Zugriffsberechtigungen, der für den Gast-DN angegeben wurde.Hinweis:Sie müssen einen DN für einen Benutzer angeben, nicht für eine Gruppe. Das anonyme Schema funktioniert nur dann, wenn Sie den DN eines Benutzers angeben.Authentifizierungsschemen sind Bereichen zugeordnet. Bereiche befinden sich unter Richtliniendomänen. Richtliniendomänen ermöglichen Verbindungen zu bestimmten Benutzerverzeichnissen. Wenn Sie einen DN in diesem Feld angeben, sucht der Richtlinienserver den DN in den Benutzerverzeichnissen, die in der Richtliniendomäne des Bereichs angegeben sind. Der Richtlinienserver überprüft die Benutzerverzeichnisse in der Suchreihenfolge, die für die Richtliniendomäne definiert sind.
- SucheKlicken Sie, um das Dialogfeld für die Benutzersuche zu öffnen. Wenn Sie einen DN aus den Suchergebnissen auswählen, wird das Feld "Benutzer-DN" aufgefüllt.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" im Dialogfeld "Authentifizierungsschema" für ein anonymes Schema enthält Folgendes:
- BibliothekZeigt den Namen der Bibliothek an, die der Richtlinienserver verwendet, um eine anonyme Authentifizierung aufzulösen.
- ParameterZeigt den Gast-DN an, den Sie in das DN-Feld im Gruppenfeld "Schema-Setup" eingegeben haben.
- Diesen Plan fürCA Single Sign-on-Administratoren aktivierenDieses Kontrollkästchen ist deaktiviert. Das anonyme Schema benötigt keinen Benutzernamen und kein Kennwort. Daher kann es nicht als Methode für die Authentifizierung von Richtlinienserver-Administratoren aktiviert werden.
Dialogfeld "Authentifizierungsschema" - Benutzerdefinierte Vorlage
Bevor Sie ein benutzerdefiniertes Authentifizierungsschema zu einem Bereich zuweisen zu können, müssen Sie das Schema im Dialogfeld "Authentifizierungsschema" konfigurieren.
Wenn Sie eine Authentifizierungsmethode verwenden möchten, die nicht von
CA Single Sign-on
bereitgestellt wird, können Sie ein benutzerdefiniertes Authentifizierungsschema erstellen. Wenn Sie ein benutzerdefiniertes Schema erstellen, dann konfigurieren Sie das Schema im Dialogfeld "Authentifizierung".Gruppenfeld "Schema-Setup"
In diesem Dialogfeld geben Sie eine Bibliothek an, die Anmeldeinformationen für das benutzerdefinierte Schema verarbeitet, und Sie geben den Parameter an, der an die Bibliothek übergeben wird.
- BibliothekGibt den Namen der Bibliothek an, die der Richtlinienserver verwendet, um das benutzerdefinierte Authentifizierungsschema zu verarbeiten.Die Bibliothek ist die freigegebene Bibliothek, die mithilfe einer API erstellt wird.
- Geheimer Schlüssel und geheimen Schlüssel bestätigenWenn das benutzerdefinierte Authentifizierungsschema einen gemeinsamen geheimen Schlüssel für die Verschlüsselung der Anmeldeinformationen benötigt, wird der gemeinsame geheime Schlüssel angegeben.
- ParameterGibt die Zeichenfolge an, die vom Richtlinienserver an die Bibliothek übergeben wird, um die benutzerdefinierte Authentifizierung zu verarbeiten.
- Kontrollkästchen "Diesen Plan fürCA Single Sign-on-Administratoren aktivieren"Aktivieren Sie dieses Kontrollkästchen, wenn Sie möchten, dass das benutzerdefinierte Schema Richtlinienserver-Administratoren authentifiziert.Wenn dieses Kontrollkästchen aktiviert ist, kann das Schema für die Authentifizierung von Administratoren verwendet werden.
- Variable der Authentifizierungssitzung beibehalten(Optional) Legt fest, dass die Daten des Authentifizierungskontextes im Sitzungsspeicher als Sitzungsvariablen gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Variablen, die bei Authentifizierungsentscheidungen verwendet werden können.Wichtig! Wenn Authentifizierungsdaten im Sitzungsspeicher beibehalten werden, wird eine Beeinträchtigung in der Authentifizierungsdauer erstellt. Wählen Sie diese Option nur dann aus, wenn Sie die Variablen zu einem späteren Zeitpunkt für Authentifizierungsentscheidungen verwenden möchten. Anderenfalls führt dies möglicherweise zu negativen Auswirkungen auf die Leistung.
Agenten-IP-Whitelist
Das Gruppenfeld "Agenten-IP-Whitelist" im Dialogfeld "Authentifizierungsschema" für ein Windows-Authentifizierungsschema enthält Folgendes:
- AgentIP-ÜberprüfungAktiviert die Agenten-IP-Validierung.
- HinzufügenFügt eine neue Agenten-IP-Adresse zur Liste der Authentifizierungsschemen hinzu.
- LöschenLöscht die Agenten-IP-Adresse aus der Liste.
Dialogfeld "Authentifizierungsschema" - Benutzerdefinierte Vorlage für SAML 2.0
Wenn Sie eine Lizenz für
CA Single Sign-on
eTrust SiteMinder FSS
haben, können Sie eine benutzerdefinierte Vorlage für SAML 2.0-Authentifizierung für eine einzelne Bereichskonfiguration konfigurieren. Sie können einen einzelnen Bereich für mehrere Identity Provider erstellen, um die Konfiguration der Bereiche für SAML-Authentifizierungsschemen zu vereinfachen. Um einen einzelnen Zielbereich zu unterstützen, können Sie auch ein einzelnes benutzerdefiniertes Authentifizierungsschema konfigurieren.Hinweis:
Sie müssen ein konfiguriertes SAML 2.0-Authentifizierungsschema für jeden Identity Provider haben, bevor Sie eine benutzerdefinierte Vorlage konfigurieren.Dialogfeld "Authentifizierungsschema" - Benutzerdefinierte Vorlage - Schema-Setup für SAML 2.0
Im Gruppenfeld "Schema-Setup" für eine benutzerdefinierte Vorlage definieren Sie die Bibliothek für das benutzerdefinierte Authentifizierungsschema. Sie können spezielle Parameter für benutzerdefinierte SAML 2.0-Authentifizierungsschemen angeben, die Teil einer einzelnen Konfiguration für den Zielbereich sind.
Die Einstellungen sind folgende:
- BibliothekGibt den Bibliotheksnamen für das benutzerdefinierte einzelne Authentifizierungsschema an. Geben Sie "smauthsinglefed" für den Bibliotheksnamen ein.
- Geheimer Schlüssel und geheimen Schlüssel bestätigenIgnorieren Sie diese Felder.
- ParameterGeben Sie eine der folgenden Optionen an:
- SCHEMESET=LIST; <saml-scheme1>;<saml_scheme2>Gibt die Liste mit den Namen der SAML-Authentifizierungsschemen an, die verwendet werden sollen. Wenn Sie ein Artefaktschema mit dem Namen "artifact_Idp1" und ein POST-Profilschema mit dem Namen "samlpost_IdP2" konfiguriert haben, dann geben Sie diese Schemen ein.
- SCHEMESET=SAML_ALL;Gibt alle Schemen an, die Sie konfiguriert haben. Das benutzerdefinierte Authentifizierungsschema zählt alle SAML-Authentifizierungsschemen auf und sucht das Schema mit der richtigen Anbieter-Quell-ID für die Anforderung.
- SCHEMESET=SAML_POST;Gibt alle SAML-POST-Profilschemen an, die Sie konfiguriert haben. Das benutzerdefinierte Authentifizierungsschema zählt die POST-Profilschemen auf und sucht das Schema mit der richtigen Anbieter-Quell-ID für die Anforderung.
- SCHEMESET=SAML_ART;Gibt alle SAML-Artefaktschemen an, die Sie konfiguriert haben. Das benutzerdefinierte Authentifizierungsschema zählt die Artefaktschemen auf und sucht das Schema mit der richtigen Anbieter-Quell-ID für die Anforderung.
- Diesen Plan fürCA Single Sign-on-Administratoren aktivierenIgnorieren Sie dieses Kontrollkästchen.
Dialogfeld "Authentifizierungsschema" - Vorlage für Annahme von Identitäten
Bevor Sie ein Authentifizierungsschema für die Annahme von Identitäten zu einem Bereich zuweisen können, müssen Sie das Schema im Dialogfeld "Authentifizierungsschema" konfigurieren.
Gruppenfeld "Schema-Setup"
In das Gruppenfeld "Schema-Setup" für die Authentifizierung der Annahme von Identitäten geben Sie den Server, das Ziel und die Attributliste für das Authentifizierungsschema für HTML-Formulare ein.
- WebservernameGibt den vollständig qualifizierten Domänennamen des Webservers an, auf dem der FCC installiert ist.Hinweis:IP-Adressen werden nicht unterstützt.Der Server muss nicht der gleiche Server sein, auf dem der Agent installiert ist.Domänennamen müssen mindestens 2 Punkte enthalten. Der Server muss mithilfe des folgenden Formats eingegeben werden:Beispiel:server1.security.comBei diesem Namen wird Groß- und Kleinschreibung beachtet.Hinweis:Wenn Ihr Netzwerk mehrere Cookie-Domänen enthält, müssen Sie ein separates Authentifizierungsschema für die Annahme von Identitäten in jeder Cookie-Domäne konfigurieren, in der Sie eine Annahme von Identitäten implementieren möchten.
- PortGibt den Port an, den der Webserver überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
- Kontrollkästchen "SSL verwenden"Aktivieren Sie dieses Kontrollkästchen, wennCA Single Sign-oneine SSL-Verbindung verwenden soll, um die Authentifizierung für die Annahme von Identitäten zu verarbeiten.
- ZielGibt den Pfad und die .fcc-Datei an, die vom Schema verwendet wird.Der Standardpfad verweist auf das virtuelle Verzeichnis "siteminderagent" (bzw. ein Unterverzeichnis wird erstellt) auf dem Webserver, der im Feld "Servername" angegeben ist. Das Verzeichnis und die standardmäßige .fcc-Datei werden während der Web-Agent-Installation erstellt. Das Standardziel gibt die Datei "imp.fcc" an, eine Beispieldatei, die angepasst werden kann.
- Zusätzliche Attributliste(Optional) Attribute für den Identitätswechsel, abgesehen vom Benutzernamen, die von einem Identitätswechsel angegeben werden.Wenn Sie Attribute auflisten, beginnen Sie "AL=", und verwenden Sie Kommas, um die Benutzerattributnamen zu trennen.Beispiel:AL=SSN,age,zipcodeAL= ist eineCA Single Sign-on-Notation, die die Liste der Attribute angibt, die berücksichtigt werden soll. Standardmäßig wird die Liste der Attribute als AND-ähnliche Abfrage betrachtet. Der Richtlinienserver vergleicht alle Attributwerte, die vom Benutzer erfasst wurden, mit den entsprechenden Attributwerten im Benutzerverzeichnis. Wenn alle Attributwerte genau übereinstimmen, wird der Benutzer erfolgreich authentifiziert.Hinweis:Sie können Benutzer mit Attributen authentifizieren, die mehrere Werte enthalten. Um anzugeben, dass ein Attribut mehrere Werte hat, stellen Sie dem Attributnamen ein Caret-Zeichen (^) voran.Beispiel:Wenn Sie ein "Mail"-Attribut mit mehreren Werten verwenden, um Benutzer zu authentifizieren, dann würden Sie "AL=^mail" angeben, um anzuzeigen, dass "Mail" mehrere Werte enthält. Ein Benutzer kann einen der gültigen Werte angeben, um eine erfolgreiche Authentifizierung durchzuführen.Einschränkung:Die Werte eines mehrwertigen Attributs sollten keine Caret-Zeichen enthalten. Ein Wert, der ein Caret-Zeichen enthält, führt möglicherweise dazu, dass Benutzer nicht ordnungsgemäß authentifiziert werden. Wenn ein Wert zum Beispiel 123^456 ist, könnte ein Benutzer zusätzlich zu 123^456 auch mit 123 und 456 authentifiziert werden.DamitCA Single Sign-onzusätzliche Attribute erfasst, muss die .fcc-Datei, die vonCA Single Sign-onzur Generierung eines Formulars für die Annahme von Identitäten verwendet wird, geändert werden, um die Attribute einzuschließen.Wenn zusätzliche Attribute in einem Schema für die Annahme von Identitäten verwendet werden, beachten Sie Folgendes:
- Die Attribute werden nur verwendet, um Attributwerte abzugleichen, die dem Benutzer zugeordnet sind, der in einem Verzeichnis über den Benutzernamen gefunden wurde.
- Bei Attributnamen wird auf Groß- und Kleinschreibung geachtet. Sie müssen genau mit den beiden Attributnamen übereinstimmen, die über das Verzeichnis und die Attributnamen implementiert wurden, die im Authentifizierungsschema angegeben sind.
Hinweis:Wenn Sie das "Software Development Kit" installiert haben, können Sie die API derCA Single Sign-on-Authentifizierung verwenden, um zusätzliche Notationen zu definieren.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" für ein Schema für die Annahme von Identitäten enthält Folgendes:
- BibliothekEnthält den Namen der freigegebenen Bibliothek, die die Annahme von Identitäten verarbeitet. Ändern Sie diesen Wert nicht, sofern Sie kein benutzerdefiniertes Authentifizierungsschema haben, das mithilfe der API für dieCA Single Sign-on-Authentifizierung geschrieben wurde.Die standardmäßig freigegebene Bibliothek für die Authentifizierung der Annahme von Identitäten ist "SmAuthImpersonate".
- ParameterZeigt den Server und das Ziel an, die Sie in das Gruppenfeld "Schema-Setup" eingegeben haben. Es werden auch zusätzliche Attribute angezeigt, die Sie für das Authentifizierungsschema eingegeben haben. Der Server und das Ziel bilden den Speicherort der .fcc-Datei auf dem Webserver.
- Diesen Plan fürCA Single Sign-on-Administratoren aktivierenDieses Kontrollkästchen ist deaktiviert. Die Annahme von Identitäten kann nicht verwendet werden, um einen Richtlinienserver-Administrator zu authentifizieren.
Dialogfeld "Authentifizierungsschema" - JSON-Web-Token-Vorlage
Sie können das JSON-Web-Token-Authentifizierungsschema konfigurieren, um Ansprüche zu authentifizieren und sicher zwischen zwei Parteien auszutauschen. Der Abschnitt "Erweitert" des Authentifizierungsdialogfelds für die JWT-Konfiguration enthält folgende Felder:
Erweitert
Enthält folgende Felder, die Informationen anzeigen, die CA SSO verwendet, um die JWT-Authentifizierung zu konfigurieren:
- Benutzersuche:Akzeptiert den benutzerdefinierten Feldnamen und ordnet ihn dem Anspruchsfeld im JWT-Token zu.Standard: Sub
- Zertifikats-Alias-Liste:Ermöglicht es, dass die Zertifikats-Liste der Reihe nach verwendet wird, um das JWT-Token zu validieren.
- Jose Header KID als Zertifikats-Alias verwenden:Ruft KID vom Token auf und validiert das JWT-Token.
- SSL-Verbindung erfordern:Ermöglicht es dem Agenten, das JWT-Token gegenüber der HTTPS-Verbindung anzuordnen, wenn die SSL-Option aktiviert ist.
SAML 1.x - Eigenschaften des Authentifizierungsschemas
Authentifizierungsschema - Vorlage für SAML-Artefakt
Sie können das Authentifizierungsschema des SAML-Artefakts für SAML 1.x konfigurieren. Nachdem das Schema konfiguriert wurde, können Sie es einem Bereich zuweisen.
Der Bereich "Allgemein" und "Allgemeines Schema-Setup" des Dialogfelds "Authentifizierungsschema" enthält die folgenden Felder:
- NameBezeichnet einen Namen für das Authentifizierungsschema.Hinweis:Wenn Active Directory-Anwendungsmodus (ADAM) als Richtlinienspeicher verwendet wird, beträgt die maximale Länge für den Authentifizierungsschemanamen 22 Zeichen.
- BeschreibungGibt eine Beschreibung des Authentifizierungsschemas an.
Das allgemeine Schema-Setup bestimmt das Authentifizierungsschema. Dieser Teil des allgemeinen Bereichs enthält die folgenden Felder:
- Typ des AuthentifizierungsschemasGibt die Vorlage an, die Sie für das Authentifizierungsschema verwenden.
- SchutzebeneErlaubt Single Sign-On für Authentifizierungsschemen mit den gleichen oder niedrigeren Schutzebenen innerhalb der gleichen Richtliniendomäne. Die Schutzebene erfordert auch zusätzliche Authentifizierung, um auf Ressourcen mit höheren Schemen der Schutzebene zuzugreifen.Grenze:1 und 1.000Authentifizierungsschemen haben eine standardmäßige Schutzebene, die Sie ändern können. Verwenden Sie hohe Schutzebenen für kritische Ressourcen, und verwenden Sie Schemen mit niedrigeren Ebenen für allgemein zugreifbare Ressourcen.
- Kennwortrichtlinien, die für dieses Authentifizierungsschema aktiviert sindZeigt an, dass konfigurierte Kennwortrichtlinien dem Authentifizierungsschema zugeordnet sind.
Konfigurieren Sie die Details des Schemas im Abschnitt Schema-Setup des Dialogfelds.
Authentifizierungsschema - Vorlage für SAML-POST
Sie können das SAML-POST-Authentifizierungsschema für das SAML 1.x-POST-Profil konfigurieren. Nachdem Sie das Authentifizierungsschema konfiguriert haben, weisen Sie es einem Bereich zu.
Der Bereich "Allgemein" und "Allgemeines Schema-Setup" des Dialogfelds "Authentifizierungsschema" enthält die folgenden Felder:
- NameBezeichnet einen Namen für das Authentifizierungsschema.Hinweis:Wenn Active Directory-Anwendungsmodus (ADAM) als Richtlinienspeicher verwendet wird, beträgt die maximale Länge für den Authentifizierungsschemanamen 22 Zeichen.
- BeschreibungGibt eine Beschreibung des Authentifizierungsschemas an.
Das allgemeine Schema-Setup bestimmt das Authentifizierungsschema. Dieser Teil des allgemeinen Bereichs enthält die folgenden Felder:
- Typ des AuthentifizierungsschemasGibt die Vorlage an, die Sie für das Authentifizierungsschema verwenden.
- SchutzebeneErlaubt Single Sign-On für Authentifizierungsschemen mit den gleichen oder niedrigeren Schutzebenen innerhalb der gleichen Richtliniendomäne. Die Schutzebene erfordert auch zusätzliche Authentifizierung, um auf Ressourcen mit höheren Schemen der Schutzebene zuzugreifen.Grenze:1 und 1.000Authentifizierungsschemen haben eine standardmäßige Schutzebene, die Sie ändern können. Verwenden Sie hohe Schutzebenen für kritische Ressourcen, und verwenden Sie Schemen mit niedrigeren Ebenen für allgemein zugreifbare Ressourcen.
- Kennwortrichtlinien, die für dieses Authentifizierungsschema aktiviert sindZeigt an, dass konfigurierte Kennwortrichtlinien dem Authentifizierungsschema zugeordnet sind.
Konfigurieren Sie die Details des Schemas im Abschnitt Schema-Setup des Dialogfelds.
Authentifizierungsschema - Vorlage für SAML-Artefakt - Schema-Setup
Im Abschnitt "Schema-Setup" des SAML 1.x-Artefaktauthentifizierungsschemas können Sie Folgendes angeben:
- Wie der Consumer mit dem Producer kommuniziert, um eine Assertion abzurufen.
- Wie ein Benutzer mit einer Assertion authentifiziert wird.
- Wie der Benutzer zur Zielressource geleitet wird.
Die Felder im Abschnitt für das Schema-Setup sind:
- PartnernameBenennt den Consumer. Geben Sie eine Buchstabenfolge ein, zum Beispiel "CompanyA".Der Name, den Sie eingeben, muss mit dem Wert des Namensfelds für das zugeordnete Partnerobjekt beim Producer übereinstimmen.Wichtig!Für das SAML-Artefaktprofil sendet der Producer die Assertion über einen geschützten Backchannel an den Consumer. Schützen Sie den Backchannel mit einer standardmäßigen Zertifikatsauthentifizierung oder mit einer Client-Zertifikatsauthentifizierung.Folgende Konfigurationsrichtlinien beziehen sich auf dieses Feld für Single Sign-On des HTTP-Artefakts:
- KennwortDefiniert das Kennwort, das der Consumer verwendet, um sich beim Producer zu identifizieren.Dieses Kennwort muss mit dem Kennwort übereinstimmen, das für den Consumer auf der Producer-Site eingegeben wird.
- Company Source ID (Quell-ID des Unternehmens)Gibt die Quell-ID des Producer an. Der SAML-Spezifikationsstandard definiert eine Quell-ID als eine 20 Byte binäre, hex-kodierte Zahl, die den Producer identifiziert. Der Consumer verwendet diese ID, um einen Assertionsaussteller zu bestimmen.Geben Sie die ID ein, die der Producer in einer Out-Of-Band-Kommunikation angibt.WennCA Single Sign-onder Producer ist, ist die Quell-ID in der Eigenschaftsdatei des SAML 1.x-Assertionsgenerators, "AMAssertionGenerator.properties", im Verzeichnis "policy_server_home/config/properties".Der Standardwert für "Company Source ID" (Quell-ID des Unternehmens) ist: b818452610a0ea431bff69dd346aeeff83128b6aHinweis:Die Datei "AMAssertionGenerator.properties" wird nur für das SAML 1.x-Profil verwendet.
- URL des AssertionsabrufsDefiniert die URL des Services beim Producer, wo der Consumer die SAML-Assertion abruft. Insbesondere identifiziert diese URL den Speicherort des Assertionsabrufdienstes, der eine URL sein muss, auf die über eine SSL-Verbindung zugegriffen wurde.Wenn der Assertionsabrufdienst beim Producer Teil eines Bereichs ist, der das Authentifizierungsschema "Basic over SSL" verwendet, dann ist die Standard-URL:https://idp_server:port/affwebservices/assertionretrieverWenn der Assertionsabrufdienst beim Producer Teil eines Bereichs ist, der das Authentifizierungsschema des X.509-Client-Zertifikats verwendet, dann ist die Standard-URL:https://idp_server:port/affwebservices/certassertionretrieveridp_server:portIdentifiziert den Webserver und den Port, der das Web-Agent-Optionspaket oder das SPS-Federation-Gateway hostet.
- Zielgruppe(Optional) Definiert die Zielgruppe für die SAML-Assertion.Die Zielgruppe identifiziert den Speicherort eines Dokuments, das die Bedingungen der Geschäftsvereinbarung zwischen dem Producer und dem Consumer beschreibt. Der Administrator bestimmt die Zielgruppe auf der Producer-Site. Der Wert in diesem Feld muss mit der Zielgruppe übereinstimmen, die beim Producer angegeben ist.Der Zielgruppenwert darf 1 K nicht überschreiten.Um die Zielgruppe anzugeben, geben Sie eine URL ein. Bei diesem Element wird Groß- und Kleinschreibung beachtet. Beispiel:http://www.companya.com/SampleAudience
- D-Sig AliasGibt den Alias des Zertifikats im Zertifikatsdatenspeicher an, den der Consumer verwendet, um die digitale Signatur der Assertion zu überprüfen. Dieser Alias entspricht dem Zertifikat. Der Zertifikatstyp, der für die Prüfung verwendet wird, ist ein CertificateEntry- oder ein KeyEntry-Zertifikat.
- AuthentifizierungGibt die Authentifizierungsmethode für den Bereich beim Producer an, der den Assertionsabrufdienst enthält. Der Wert dieses Felds bestimmt den Typ der Anmeldeinformationen, die der SAML-Anmeldedatensammler beim Consumer angeben muss. Diese Anmeldeinformationen ermöglichen es dem Consumer, auf den Assertionsabrufdienst zuzugreifen und die SAML-Assertion abzurufen.Der Assertionsabrufdienst erhält die Assertion vom Richtlinienserver beim Producer, und sendet sie anschließend über einen SSL-Backchannel an den Consumer. Es ist empfehlenswert, den Assertionsabrufdienst zu schützen.Wählen Sie eine der folgenden Optionen aus:
- StandardauthentifizierungFür den Assertionsabrufdienst, der Teil eines Bereichs ist, der durch ein standardmäßiges Authentifizierungsschema oder durch ein "Basic over SSL"-Authentifizierungsschema geschützt wird.Wenn Sie "Standardauthentifizierung" auswählen, ist keine zusätzliche Konfiguration am Producer oder Consumer erforderlich. Die Ausnahme ist, wenn das Zertifikat der Zertifizierungsstelle, das die SSL-Verbindung hergestellt hat, nicht im Zertifikatsdatenspeicher beim Consumer ist. Wenn das entsprechende Zertifikat nicht im Datenspeicher ist, importieren Sie es.
- Client-ZertifikatFür den Assertionsabrufdienst, der Teil eines Bereichs ist, der von einem Authentifizierungsschema des X.509-Client-Zertifikats geschützt wird. Wenn Sie diese Option auswählen, konfigurieren Sie den Zugriff auf den Assertionsabrufdienst mit einem Client-Zertifikat.Wenn Sie "Client-Zertifikat" auswählen, stellen Sie die Konfigurationsschritte am Consumer und am Producer fertig, um mit dem Client-Zertifikat auf den Assertionsabrufdienst zuzugreifen.Sie können Nicht-FIPS-140-verschlüsselte Zertifikate verwenden, um den Backchannel zu sichern, auch wenn der Richtlinienserver im Nur-FIPS-Modus ausgeführt wird. Für Nur-FIPS-Installationen müssen Sie allerdings Zertifikate verwenden, die nur mit FIPS-140-kompatiblen Algorithmen verschlüsselt sind.
- Kennwort bestätigenBestätigt das Kennwort, das Sie im Feld "Kennwort" angegeben haben.
- SAML-VersionGibt die Version der SAML-Spezifikation an, mit der die Assertion generiert wird. Die Optionen sind 1.0 oder 1.1. SAML 1.1 ist der Standardwert.Es muss eine Übereinstimmung zwischen dem SAML-Protokoll und den Assertionsversionen geben, die der Producer oder Consumer verwendet. Wenn ein Producer beispielsweise SAML 1.1 verwendet und eine SAML 1.0-Anforderung erhält, wird ein Fehler zurückgegeben. Wenn ein Consumer SAML 1.1 verwendet und eine SAML 1.0-Assertion erhält, die in einem SAML 1.1-Protokollelement eingebettet ist, dann wird ein Fehler zurückgegeben.
- UmleitungsmodusZeigt die Methode an, die der SAML-Anmeldedatensammler verwendet, um den Benutzer an die Zielressource umzuleiten. Wenn Sie "302 - Keine Daten" oder "302 - Cookie-Daten" auswählen, ist keine weitere Konfiguration erforderlich. Wenn Sie "Server-Umleitung" oder "Dauerhafte Attribute" auswählen, ist eine zusätzliche Konfiguration erforderlich.
- 302 - Keine Daten (Standard)Leitet Benutzer durch eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und ohne andere Daten um.
- 302 - Cookie-DatenLeitet Benutzer durch eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und zusätzlichen Cookie-Daten um, die auf der Site konfiguriert werden, die die Assertion erstellt hat.
- Server-UmleitungErmöglicht, dass Header- und Cookie-Attributinformationen, die als Teil einer SAML-Assertion empfangen wurden, an eine benutzerdefinierte Zielanwendung weitergegeben werden. Der SAML-Anmeldedatensammler überträgt den Benutzer mithilfe der serverseitigen Umleitungstechnologie auf die Zielanwendungs-URL. Serverseitige Umleitungen sind ein Bestandteil der Java Servlet-Spezifikation. Alle standardmäßig kompatiblen Servlet-Container unterstützen serverseitige Umleitungen.Befolgen Sie zum Verwenden des Serverumleitungsmodus folgende Anforderungen:
- Geben Sie eine URL für diesen Modus an, der relativ zum Kontext des Servlets ist, das die Assertion nutzt (normalerweise /affwebservices/public/). Der Stamm des Kontexts ist der Stamm der Federation-Webservices-Anwendung (normalerweise /affwebservices/).Alle Zielanwendungsdateien müssen sich im Stammverzeichnis der Anwendung befinden. Dieses Verzeichnis ist entweder:
- Web-Agent:web_agent_home\webagent\affwebservices
- SPS-Federation-Gateway:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- Definieren Sie Bereiche, Regeln und Richtlinien, um Zielressourcen zu schützen. Definieren Sie die Bereiche mindestens mit dem Wert /affwebservices/ im Ressourcenfilter.
- Installieren Sie eine benutzerdefinierte Java- oder JSP-Anwendung auf dem Server, auf dem die Federation-Webservices-Anwendung ausgeführt wird. Die Anwendung wird zusammen mit dem Web-Agent-Optionspaket oder dem SPS-Federation-Gateway installiert.Die Java-Servlet-Technologie ermöglicht Anwendungen, Informationen zwischen zwei Ressourcenanfragen mithilfe der setAttribute-Methode auf der ServletRequest-Schnittstelle weiterzugeben.Der Service, der Assertionen nutzt, sendet das Benutzerattribut an die Zielanwendung. Unterschiedliche Attributobjekte im Anfrageobjekt werden festgelegt, bevor der Service den Benutzer an die Zielanwendung umleitet.Der Service erstellt zwei java.util.HashMap-Objekte. Das erste dient zum Speichern sämtlicher Header-Attribute, das zweite zum Speichern sämtlicher Cookie-Attribute. Der Service verwendet eindeutige Attributnamen, um jedes Hashzuordnungsobjekt darzustellen:
- Das "Netegrity.HeaderAttributeInfo"-Attribut stellt die Hash-Zuordnung dar, die Header-Attribute enthält.
- Das "Netegrity.CookieAttributeInfo"-Attribut stellt die Hash-Zuordnung dar, die Cookie-Attribute enthält.
Zwei andere Java.lang.String-Attribute werden vom Assertions-Nutzungsservice festgelegt, um die Benutzeridentität an die benutzerdefinierte Anwendung weiterzuleiten:- Das "Netegrity.smSessionID"-Attribut stellt die Sitzungs-ID dar.
- Das "Netegrity.userDN"-Attribut stellt den Benutzer-DN dar.
Die benutzerdefinierte Zielanwendung auf dem Consumer kann diese Objekte vom HTTP-Anforderungsobjekt lesen und verwendet die in den Hashzuordnungsobjekten gefundenen Daten. - Dauerhafte AttributeLeitet den Benutzer über eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und ohne andere Daten um. Zusätzlich weist dieser Modus den Richtlinienserver an, Attribute zu speichern, die aus einer Assertion im Sitzungsspeicher extrahiert werden. Die Attribute können dann als HTTP-Header-Variablen bereitgestellt werden. Zusätzliche Konfigurationen finden Sie in den Anweisungen für die Verwendung von SAML-Attributen als HTTP-Header.HinweisWenn Sie dauerhafte Attribute auswählen und die Assertion über leere Attribute verfügt, wird der Wert NULL in den Sitzungsspeicher geschrieben. Dieser Wert fungiert als ein Platzhalter für das leere Attribut. Der Wert wird an eine beliebige Anwendung mit dem Attribut weitergegeben.
- AusstellerIdentifiziert den Producer, der Assertionen für den Consumer ausstellt. Bei diesem Element wird Groß- und Kleinschreibung beachtet.Der Consumer akzeptiert nur Assertionen von diesem Aussteller. Der Administrator beim Producer bestimmt den Aussteller.Hinweis:Der Wert, den Sie für den Aussteller eingeben, muss mit dem Wert in "AssertionIssuerID" beim Producer übereinstimmen. Dieser Wert wird in der Datei "AMAssertionGenerator.properties" angegeben, die sich hier befindet:siteminder_home/Config/properties/AMAssertionGenerator.properties
- Daten-XPATH suchenDie XPath-Abfrage teilt dem Authentifizierungsschema mit, wo in der Assertion ein bestimmter Eintrag, der dann als Benutzeranmeldungs-ID dient, gesucht werden soll. Der Wert, den die Abfrage erhält, wird ein Teil der Namespace-Spezifikation, um einen Benutzerspeichereintrag zu suchen.XPath-Abfragen dürfen keine Namespace-Präfixe enthalten. Folgendes Beispiel ist eineXPath-Abfrage:ungültige/saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()Die gültige XPath-Abfrage ist://Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()Beispiel:Folgende Abfrage extrahiert den Text des Attributs "Benutzername" aus der Assertion:"/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()""//Username/text()" extrahiert den Text des ersten Elements des Benutzernamens in der SAML-Assertion, indem eine abgekürzte Syntax verwendet wird.Andere Beispiele:"substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMprofile/NVpair[1]/text(),"header:uid=")"Diese Abfragezeichenfolge extrahiert den Text des Header-Attributs mit dem Namen "uid", das als erstes Attribut konfiguriert und auf der Producer-Site aufgelistet ist.Wenn Sie die folgende abgekürzte Syntax verwenden, wird der Text des Header-Attributs mit dem Namen "uid" extrahiert:"substring-after(//SMprofile/NVpair[1]/text(),"header:uid=")"
- Variable der Authentifizierungssitzung beibehalten(Optional) Legt fest, dass die Daten des Authentifizierungskontextes im Sitzungsspeicher als Sitzungsvariablen gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Variablen, die bei Authentifizierungsentscheidungen verwendet werden können. Zum Beispiel können Sie die Variablen im Authentifizierungskontext in aktiven Antworten oder Richtlinienausdrücken einschließen.
- AktivZeigt an, ob die Legacy-Federation-Konfiguration für eine bestimmte Partnerschaft verwendet wird. Wenn der Richtlinienserver die Legacy-Federation-Konfiguration verwendet, bestätigen Sie, dass dieses Kontrollkästchen aktiviert ist. Wenn Sie eine Federation-Partnerschaft mit ähnlichen Werten für die Identitätseinstellungen wiederhergestellt haben, beispielsweise Quell-ID, deaktivieren Sie das Kontrollkästchen, bevor Sie die Federation-Partnerschaft aktivieren.Single Sign-Onkann nicht mit einer vorhandenen und Partnerschaftskonfiguration arbeiten, die die gleichen Identitätswerte verwenden, da sonst ein Namenskonflikt auftritt.
Die anderen Abschnitte für die Schema-Setup-Konfiguration sind:
- Füllen Sie eine Namespace-Spezifikation aus, um es dem Consumer zu ermöglichen, den korrekten Benutzerdatensatz für die Authentifizierung zu finden.
- Geben Sie im Abschnitt für die zusätzliche Konfiguration das Ziel der föderierten Ressource an. Konfigurieren Sie optional das Plug-in für Message Consumer, und leiten Sie URLs um, an die ein Benutzer gesendet wird, wenn die Authentifizierung fehlschlägt.
Authentifizierungsschema - Vorlage für SAML-POST - Schema-Setup
Im Abschnitt "Schema-Setup" geben Sie folgende Informationen an:
- Wie der Consumer mit dem Producer kommuniziert, um eine Assertion abzurufen
- Wie ein Benutzer authentifiziert wird, der auf dieser Assertion basiert.
- Wie der Benutzer zur Zielressource geleitet wird.
Die Felder für die Vorlage der SAML-POST-Authentifizierung sind:
- PartnernameBenennt den Consumer. Geben Sie eine Buchstabenfolge ein, zum Beispiel "CompanyA".Der Name, den Sie eingeben, muss mit einem Namen für einen Consumer in der Partnerdomäne auf der Producer-Site übereinstimmen.
- ZielgruppeDefiniert die Zielgruppe für die SAML-Assertion.Identifiziert den Speicherort eines Dokuments, das die Bedingungen der Geschäftsvereinbarung zwischen dem Producer und dem Consumer beschreibt. Der Administrator bestimmt die Zielgruppe auf der Producer-Site. Der Wert muss auch mit der Zielgruppe für den Consumer auf der Producer-Site übereinstimmen.
- Assertionskonsum-URLGibt die URL des Assertions-Consumer an (Synonym für SAML-Anmeldedatensammler). Unter dieser URL muss der Browser die generierte Assertion ANGEBEN.Der Standard-URL ist:http://consumer_server:port/affwebservices/public/samlccconsumer_server:portIdentifiziert den Webserver und den Port, der das Web-Agent-Optionspaket oder das SPS-Federation-Gateway hostet. Beispiel:http://www.discounts.com:85/affwebservices/public/samlccDer Zielgruppenwert darf 1 K nicht überschreiten.Um die Zielgruppe anzugeben, geben Sie eine URL ein. Bei diesem Element wird Groß- und Kleinschreibung beachtet. Beispiel:http://www.ca.com/SampleAudience
- Dsig-Aussteller-DNGibt den Distinguished Name des Zertifikatsausstellers an, der die SAML-POST-Antwort signiert. Der Producer muss die POST-Antwort signieren. Wenn der Consumer die Antwort erhält, wird die Signatur mithilfe der Daten in diesem Parameter und dem Parameter der Seriennummer überprüft. Diese zwei Parameter zeigen den Aussteller des Zertifikats an, der die Antwort signiert hat.Das Zertifikat, das die Signatur überprüft, muss sich im Zertifikatsdatenspeicher befinden.
- Daten-XPATH suchenDie XPath-Abfrage teilt dem Authentifizierungsschema mit, wo in der Assertion ein bestimmter Eintrag, der dann als Benutzeranmeldungs-ID dient, gesucht werden soll. Der Wert, den die Abfrage erhält, wird ein Teil der Namespace-Spezifikation, um einen Benutzerspeichereintrag zu suchen.XPath-Abfragen dürfen keine Namespace-Präfixe enthalten.Folgendes Beispiel ist eine ungültige XPath-Abfrage:/saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()Die gültige XPath-Abfrage ist://Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()BeispielFolgende Abfrage extrahiert den Text des Attributs "Benutzername" aus der Assertion:"/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()""//Username/text()" extrahiert den Text des ersten Elements des Benutzernamens in der SAML-Assertion, indem eine abgekürzte Syntax verwendet wird.Andere Beispiele:"substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMprofile/NVpair[1]/text(),"header:uid=")"Diese Abfrage extrahiert den Text des Header-Attributs mit dem Namen "uid", das auf der Producer-Site als erstes Attribut für das Partnerobjekt konfiguriert ist.Die Zeichenfolge "substring-after(//SMprofile/NVpair[1]/text(),"header:uid=")" extrahiert den Text des Header-Attributs mit dem Name "uid". Dieses Attribut ist das erste Attribut, das für das Partnerobjekt auf der Producer-Site mithilfe einer abgekürzten Syntax konfiguriert wird.
- SAML-VersionGibt die SAML-Version an (Inaktiv: Der Wert wird standardmäßig auf 1.1 festgelegt. Dadurch wird angegeben, dass POST-Profilassertionen mit SAML-Version 1.1 kompatibel sind).Der SAML-Producer und SAML-Consumer müssen Assertionen und Antworten generieren und verbrauchen, die die gleiche Version haben.
- UmleitungsmodusGibt die Methode an, die das Servlet des SAML-Anmeldedatensammlers verwendet, um den Benutzer an die Zielressource umzuleiten. Wenn Sie "302 - Keine Daten" oder "302 - Cookie-Daten" auswählen, ist keine weitere Konfiguration erforderlich. Wenn Sie "Server-Umleitung" oder "Dauerhafte Attribute" auswählen, ist eine zusätzliche Konfiguration erforderlich.
- 302 - Keine Daten(Standard). Leitet Benutzer durch eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und ohne andere Daten um.
- 302 - Cookie-DatenLeitet Benutzer durch eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und zusätzlichen Cookie-Daten um, die auf der Site konfiguriert werden, die die Assertion erstellt hat.
- Server-UmleitungErmöglicht, dass Header- und Cookie-Attributinformationen, die als Teil einer SAML-Assertion empfangen wurden, an eine benutzerdefinierte Zielanwendung weitergegeben werden. Der SAML-Anmeldedatensammler überträgt den Benutzer mithilfe der serverseitigen Umleitungstechnologie auf die Zielanwendungs-URL. Serverseitige Umleitungen sind ein Bestandteil der Java Servlet-Spezifikation. Alle standardmäßig kompatiblen Servlet-Container unterstützen serverseitige Umleitungen.Befolgen Sie zum Verwenden des Serverumleitungsmodus folgende Anforderungen:
- Geben Sie eine URL für diesen Modus an, der relativ zum Kontext des Servlets ist, das die Assertion nutzt (normalerweise /affwebservices/public/). Der Stamm des Kontexts ist der Stamm der Federation-Webservices-Anwendung (normalerweise /affwebservices/).Alle Zielanwendungsdateien müssen sich im Stammverzeichnis der Anwendung befinden. Dieses Verzeichnis ist entweder:
- Web-Agent:web_agent_home\webagent\affwebservices
- SPS-Federation-Gateway:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- Definieren Sie Bereiche, Regeln und Richtlinien, um Zielressourcen zu schützen. Definieren Sie die Bereiche mindestens mit dem Wert /affwebservices/ im Ressourcenfilter.
- Installieren Sie eine benutzerdefinierte Java- oder JSP-Anwendung auf dem Server, auf dem die Federation-Webservices-Anwendung ausgeführt wird. Die Anwendung wird zusammen mit dem Web-Agent-Optionspaket oder dem SPS-Federation-Gateway installiert.Die Java-Servlet-Technologie ermöglicht Anwendungen, Informationen zwischen zwei Ressourcenanfragen mithilfe der setAttribute-Methode auf der ServletRequest-Schnittstelle weiterzugeben.Der Service, der Assertionen nutzt, sendet das Benutzerattribut an die Zielanwendung. Unterschiedliche Attributobjekte im Anfrageobjekt werden festgelegt, bevor der Service den Benutzer an die Zielanwendung umleitet.Der Service erstellt zwei java.util.HashMap-Objekte. Das erste dient zum Speichern sämtlicher Header-Attribute, das zweite zum Speichern sämtlicher Cookie-Attribute. Der Service verwendet eindeutige Attributnamen, um jedes Hashzuordnungsobjekt darzustellen:
- Das "Netegrity.HeaderAttributeInfo"-Attribut stellt die Hash-Zuordnung dar, die Header-Attribute enthält.
- Das "Netegrity.CookieAttributeInfo"-Attribut stellt die Hash-Zuordnung dar, die Cookie-Attribute enthält.
Zwei andere Java.lang.String-Attribute werden vom Assertions-Nutzungsservice festgelegt, um die Benutzeridentität an die benutzerdefinierte Anwendung weiterzuleiten:- Das "Netegrity.smSessionID"-Attribut stellt die Sitzungs-ID dar.
- Das "Netegrity.userDN"-Attribut stellt den Benutzer-DN dar.
Die benutzerdefinierte Zielanwendung auf dem Consumer kann diese Objekte vom HTTP-Anforderungsobjekt lesen und verwendet die in den Hashzuordnungsobjekten gefundenen Daten. - Dauerhafte AttributeDer Benutzer wird durch eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und ohne andere Daten umgeleitet. Dieser Modus weist auch den Richtlinienserver an, Attribute aus einer Assertion im Sitzungsspeicher zu speichern, sodass sie als HTTP-Header-Variablen bereitgestellt werden können. Zusätzliche Konfigurationen finden Sie in den Anweisungen für die Verwendung von SAML-Attributen als HTTP-Header.HinweisWenn Sie dauerhafte Attribute auswählen und die Assertion über leere Attribute verfügt, wird der Wert NULL in den Sitzungsspeicher geschrieben. Dieser Wert fungiert als ein Platzhalter für das leere Attribut. Der Wert wird an eine beliebige Anwendung mit dem Attribut weitergegeben.
- AusstellerIdentifiziert den Producer, der Assertionen für den Consumer ausstellt. Bei diesem Element wird Groß- und Kleinschreibung beachtet.Der Consumer akzeptiert nur Assertionen von diesem Aussteller. Der Administrator bestimmt den Aussteller beim Producer.Hinweis:Der Wert, den Sie für den Aussteller eingeben, muss mit dem Wert in "AssertionIssuerID" auf der Producer-Site übereinstimmen. Dieser Wert wird in der Datei "AMAssertionGenerator.properties" angegeben, die sich hier befindet:policy_server_home/Config/properties/AMAssertionGenerator.properties
- SeriennummerGibt die Seriennummer (eine hexadezimale Zeichenfolge) des Zertifikats des Consumer im Zertifikatsdatenspeicher an. Dieser Wert wird mit dem Dsig-Aussteller-DN verwendet, um das Zertifikat für die digitale Signierung der SAML-POST-Antwort zu suchen.
- AktivZeigt an, ob die Legacy-Federation-Konfiguration für eine bestimmte Partnerschaft verwendet wird. Wenn der Richtlinienserver die Legacy-Federation-Konfiguration verwendet, bestätigen Sie, dass dieses Kontrollkästchen aktiviert ist. Wenn Sie eine Federation-Partnerschaft mit ähnlichen Werten für die Identitätseinstellungen wiederhergestellt haben, beispielsweise Quell-ID, deaktivieren Sie das Kontrollkästchen, bevor Sie die Federation-Partnerschaft aktivieren.Single Sign-Onkann nicht mit einer vorhandenen und Partnerschaftskonfiguration arbeiten, die die gleichen Identitätswerte verwenden, da sonst ein Namenskonflikt auftritt.
- Variable der Authentifizierungssitzung beibehalten(Optional) Legt fest, dass die Daten des Authentifizierungskontextes im Sitzungsspeicher als Sitzungsvariablen gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Variablen, die bei Authentifizierungsentscheidungen verwendet werden können. Zum Beispiel können Sie die Variablen im Authentifizierungskontext in aktiven Antworten oder Richtlinienausdrücken einschließen.
Die anderen Abschnitte für die Schema-Setup-Konfiguration sind:
- Füllen Sie eine Namespace-Spezifikation aus, um es dem Consumer zu ermöglichen, den korrekten Benutzerdatensatz für die Authentifizierung zu finden.
- Geben Sie im Abschnitt für die zusätzliche Konfiguration das Ziel der föderierten Ressource an. Konfigurieren Sie optional das Plug-in für Message Consumer, und leiten Sie URLs um, an die ein Benutzer gesendet wird, wenn die Authentifizierung fehlschlägt.
Authentifizierungsschema - Namespace-Spezifikation
Der Abschnitt "Namespace-Spezifikation" listet Namespace-Typen und zugeordnete Suchspezifikationen auf.
CA Single Sign-on
verwendet diese Informationen, um einen Benutzer in einem Benutzerspeicher zu suchen.Die Suchspezifikation verwendet Daten, die die XPath-Abfrage aus der Assertion abruft und einem Attribut in einem Benutzerspeichereintrag zuordnet. Die XPath-Abfrage sucht einen bestimmten Eintrag in der Assertion, die als Benutzeranmelde-ID dient. Sie definieren die Abfrage im Feld "Daten-XPATH suchen".
Als Teil der Suchspezifikation können Sie "%s" ersetzen, um den Wert darzustellen, den die XPath-Abfrage von der Assertion erhält. Zum Beispiel ruft die XPath-Abfrage den Wert
user1
aus der SAML-Assertion ab. Wenn Sie die Suchspezifikation uid=%s
in das LDAP-Feld eingeben, dann ergibt sich daraus die Zeichenfolge "uid=user1". Diese Zeichenfolge wird anhand des Benutzerverzeichnisses überprüft, um den korrekten Datensatz für die Authentifizierung zu finden.Sie können auch Filter mit mehreren %s-Variablen angeben. Beispiel:
|(uid=%s)(email=%[email protected])|(abcAliasName=%s)(cn=%s)
Die Ergebnisse wären:
|(uid=user1)([email protected])|(abcAliasName=user1)(cn=user1)
Geben Sie eine Suchspezifikation für jeden der Namespace-Typen in Ihrer Umgebung ein.
Authentifizierungsschema - Zusätzliche Konfiguration (SAML 1.x-Artefakt, POST)
Im Abschnitt "Zusätzliche Konfiguration" des Authentifizierungsschemas können Sie das Plug-in für Message Consumer sowie Weiterleitungs-URLs für Assertionsverarbeitungsfehler bei der Authentifizierung angeben. Zusätzlich geben Sie die Zielressource auf der Consumer-Site an.
Der Bereich "Zusätzliche Konfiguration" enthält folgende Felder:
Plug-in für Message Consumer
Vollständiger Java-Klassenname
(Optional) Gibt den vollqualifizierten Java-Klassennamen einer Klasse an, die eine Plug-in-Schnittstelle für Message Consumer für das Authentifizierungsschema implementiert.
- ParameterGibt eine Zeichenfolge von Parametern an, die die API an das Plug-in übergibt, das im Feld "Vollständiger Java-Klassenname" angegeben ist.
URLs und Modi der Status-Umleitung
Assertionsbasierte Authentifizierung kann auf der Site, die Assertionen nutzt, aus verschiedenen Gründen fehlschlagen. Wenn die Authentifizierung fehlschlägt, stellt
eTrust SiteMinder FSS
Funktionen bereit, um den Benutzer zur weiteren Verarbeitung an verschiedene Anwendungen (URLs) weiterzuleiten. Wenn beispielsweise die Begriffserklärung des Benutzers fehlschlägt, kann CA Single Sign-on
den Benutzer an ein Bereitstellungssystem umleiten. Dieses Bereitstellungssystem kann ein Benutzerkonto erstellen, das auf Informationen basiert, die sich in der SAML-Assertion befinden.Hinweis:
Fehlerumleitung geschieht nur, wenn das System die Anforderung erfolgreich analysieren kann und die Informationen erhält, die notwendig sind, um die gültigen und vertrauenden Partner zu identifizieren.Folgende Optionen leiten den Benutzer an eine konfigurierte URL um, die auf der Bedingung basiert, die den Fehler verursacht hat.
URL-Umleitung für den Status "Benutzer nicht gefunden"
(Optional) Bestimmt die URL, an die
CA Single Sign-on
den Benutzer umleitet, wenn der Benutzer nicht gefunden wurde. Der Status "Benutzer nicht gefunden" tritt auf, wenn die Single Sign-On-Meldung keine Anmelde-ID hat oder wenn das Benutzerverzeichnis die Anmelde-ID nicht enthält.- URL-Umleitung für den Status "Ungültige SSO-Meldung"(Optional) Bestimmt die URL, an dieCA Single Sign-onden Benutzer umleitet, wenn eine der folgenden Bedingungen eintritt:
- Die Single Sign-On-Meldung ist basierend auf Regeln, die von SAML-Schemen angegeben wurden, ungültig.
- Der Consumer erfordert eine verschlüsselte Assertion, die Single Sign-On-Meldung enthält jedoch keine verschlüsselte Assertion.
- URL-Umleitung für den Status "Nicht akzeptierte Benutzeranmeldeinformationen (SSO-Meldung)"(Optional) Identifiziert die URL, an dieCA Single Sign-onden Benutzer bei Fehlerbedingungen umleitet, die nicht aufgrund eines nicht gefundenen Benutzers oder aufgrund einer ungültigen Sing-On-Meldung auftreten. Die Assertion ist gültig, aberCA Single Sign-onakzeptiert die Meldung aus bestimmten Gründen nicht, beispielsweise:
- Fehler bei der Validierung der digitalen XML-Signatur
- Fehler beim XML-Entschlüsselungsvorgang
- Die XML-Validierung von Bedingungen schlägt fehl, wie z. B. eine abgelaufene Meldung oder eine nicht übereinstimmende Zielgruppe.
- Keine Assertion in der SSO-Meldung enthält eine Authentifizierungsanweisung.
- ModusGibt die Methode an, dieCA Single Sign-onverwendet, um den Benutzer zur Umleitungs-URL umzuleiten. Die Optionen sind:
- 302 - Keine Daten (Standard)Leitet Benutzer über eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und ohne andere Daten um.
- HTTP POSTLeitet Benutzer mithilfe eines HTTP POST-Protokolls um.
Konfiguration der Zielseite
In diesem Abschnitt des Dialogfelds können Sie die URL der Zielressource auf der Consumer-Site angeben. Wenn der Abfrageparameter vorhanden ist, legen Sie fest, ob
CA Single Sign-on
die URL durch den Wert des ZIEL-Abfrageparameters in der Antwort-URL der Authentifizierung ersetzen soll.- URL des Standardziels(Optional) Gibt die URL der Zielressource an, die sich beim Consumer befindet. Dieses Ziel ist eine geschützte föderierte Ressource, die Benutzer anfordern können.Der Consumer muss nicht das Standardziel verwenden. Der Link, der Single Sign-On initiiert, kann einen Abfrageparameter enthalten, der das Ziel angibt.
- Das ZIEL des Abfrageparameters überschreibt die URL des Standardziels(Optional) Ersetzt den Wert, der im Feld "URL des Standardziels" angegeben ist, durch den Wert des ZIEL-Abfrageparameters in der Antwort. Mithilfe des Abfrageparameters ZIEL können Sie das Ziel dynamisch definieren. Sie können das Ziel mit jeder Authentifizierungsantwort ändern. Durch die Flexibilität des ZIEL-Abfrageparameters haben Sie eine größere Kontrolle über das Ziel. Vergleichsweise ist der Wert "URL des Standardziels" ein statischer Wert.Standardmäßig ist dieses Kontrollkästchen ausgewählt.