Dialogfeld "Authentifizierungsschemen"

2
casso128figsbrde
HID_authentication-scheme
Inhalt
 
 
2
 
 
Authentifizierungsschemen legen die Anmeldeinformationen und Methoden fest, die der Richtlinienserver benötigt, um die Identität eines Benutzers zu erstellen.
Die Inhalte des Dialogfelds "Authentifizierungsschema" werden geändert, wenn Sie ein Schema aus der Drop-down-Liste "Typ des Authentifizierungsschemas" auswählen. Der Bereich unter dem Abschnitt für das allgemeine Schema-Setups enthält zwei Abschnitte für jeden Schematyp:
  • Schema-Setup
    Enthält Felder für Informationen, die Sie angeben müssen, damit das Schema ordnungsgemäß funktioniert.
  • Erweitert
    Enthält ein oder mehrere schreibgeschützte Felder, die Informationen anzeigen, die 
    CA Single Sign-on
     verwendet, um die Authentifizierung aufzulösen. Das erweiterte Dialogfeld enthält auch ein Kontrollkästchen, das anzeigt, ob ein Authentifizierungsschema verwendet werden kann, um einen Administrator zu authentifizieren. Nachdem Sie ein Schema konfiguriert haben, können Sie es Bereichen zuweisen, indem Sie das Dialogfeld "Bereiche" verwenden.
Hinweis:
 Nur Schemen, die einen Benutzernamen und ein Kennwort benötigen, können verwendet werden, um einen Administrator zu authentifizieren.
Einstellungen für das Authentifizierungsschema
Die Inhalte des Dialogfelds "Authentifizierungsschema" werden je nach Schematyp, den Sie konfigurieren möchten, geändert. Allerdings haben alle Authentifizierungsschemen folgende Felder und Steuerelemente gemeinsam:
  • Name
    Name des Authentifizierungsschemas.
  • Beschreibung
    (Optional) Kurze Beschreibung des Authentifizierungsschemas.
Gruppenfeld "Allgemeines Schema-Setup"
  • Stil des Authentifizierungstyps
    Listet die Vorlagen des Authentifizierungsschemas auf.
    Die Liste enthält alle Vorlagen des Authentifizierungsschemas, die für Verwendung mit den Authentifizierungsbibliotheken des Richtlinienservers vordefiniert sind.
  • Schutzebene
    Definiert eine Ebene von 1 bis 1.000.
    Schutzebenen geben ein zusätzliches Maß an Flexibilität in der Zugriffssicherung an.
    Hinweis:
     Authentifizierungsschemen haben eine standardmäßige Schutzebene, die Sie möglicherweise ändern müssen. Beachten Sie die Schutzebenen beim Definieren Ihrer Schemen, und weisen Sie sie Bereichen zu. Verwenden Sie Schemen mit hohen Schutzebenen für kritische Ressourcen. Verwenden Sie Schemen mit niedrigen Schutzebenen für allgemein zugreifbare Ressourcen.
  • Kennwortrichtlinien, die für dieses Authentifizierungsschema aktiviert sind
    (Optional) Aktivieren Sie dieses Kontrollkästchen, um Kennwortrichtlinien zu aktivieren.
    Hinweis:
     Nicht alle Authentifizierungsschemen unterstützen Kennwortrichtlinien.
  • Schutzüberschreibung zulassen
    (Optional) Aktivieren Sie dieses Kontrollkästchen, um die in der Authentifizierungsbibliothek angegebene Schutzebene zu verwenden, statt der Schutzebene, die in der Verwaltungsoberfläche angegeben wurde.
     
    Hinweis:
     Diese Option gilt nur für das benutzerdefinierte Authentifizierungsschema.
Dialogfeld "Authentifizierungsschema" – Vorlage für die Authentifizierungskette
Eine Authentifizierungskette ist eine Art von Authentifizierungsschema, das einem Administrator ermöglicht, unterschiedliche Authentifizierungsmodule so zu konfigurieren, dass sie sich als eine einzelne Autorität verhalten, die die Angaben zum Authentifizieren eines Benutzers validiert. 
Gruppenfeld "Instanz des Authentifizierungsschemas"
Im Gruppenfeld "Instanz des Authentifizierungsschemas" für die Authentifizierungskette konfigurieren Sie das IWA-Fallback auf formularbasierte Authentifizierungsschemas mit Authentifizierungsketten.
  • Name
    Gibt den vollständig qualifizierten Namen der Authentifizierungskette an.
  • Beschreibung
    Gibt die Beschreibung der Authentifizierungskette an.
  • Standard-Authentifizierungsschema
    Gibt den Typ des Authentifizierungsschemas für das primäre Authentifizierungsschema an.
  • Fallback-Authentifizierungsschema
    Gibt den Typ des Authentifizierungsschemas für das Fallback-Authentifizierungsschema an.
  • Instanz des Authentifizierungsschemas
     
    Gibt die Instanz des Authentifizierungsschemas an, die als primäres Authentifizierungsschema oder als Fallback-Authentifizierungsschema ausgewählt werden soll.
  • Ausdruck
    Zeigt den ausgewählten Authentifizierungsketten-Ausdruck an, den Sie mit der Vorlage für die Authentifizierungskette erlangt haben.
Dialogfeld "Authentifizierungsschema" - Einfache Vorlage
Wenn Sie den Richtlinienserver installieren, wird automatisch ein standardmäßiges Authentifizierungsschema erstellt. Sie können zusätzliche Instanzen von standardmäßigen Authentifizierungsschemen mit unterschiedlichen Schutzebenen erstellen.
Gruppenfeld "Schema-Setup"
Das Gruppenfeld "Schema-Setup" für ein Standardschema ist leer. Außer den Informationen im Gruppenfeld des allgemeinen Schema-Setups ist keine Konfiguration erforderlich.
Gruppenfeld "Erweitert"
  • Bibliothek
    Dieses Feld zeigt die Bibliothek an, die der Richtlinienserver verwendet, um Standardauthentifizierung aufzulösen.
  • Diesen Plan für 
    CA Single Sign-on
    -Administratoren aktivieren
    Dieses Kontrollkästchen ist aktiviert und kann nicht geändert werden. "Standard" ist das standardmäßige Authentifizierungsschema für einen Administrator.
Dialogfeld "Authentifizierungsschema" - Vorlage für "Basic over SSL"
Das Authentifizierungsschema "Basic over SSL" erfasst Anmeldeinformationen für Benutzernamen und Kennwort von einem Benutzer über eine "Secure Sockets Layer"-Verbindung.
Gruppenfeld "Schema-Setup"
Im Gruppenfeld "Schema-Setup" für "Basic over SSL"-Authentifizierung geben Sie Server- und Zielinformationen für ihr "Basic over SSL"-Schema ein.
  • Servername
    Gibt den vollständig qualifizierten Domänennamen des SSL-Servers an.
    Hinweis:
     IP-Adressen werden nicht unterstützt.
    Dies ist der Webserver, der für das Herstellen einer SSL-Verbindung verantwortlich ist. Obwohl es möglich ist, ist dies normalerweise nicht der gleiche Server, auf dem der Web-Agent installiert ist.
    Der Server agiert als Anfang der URL, die der Richtlinienserver verwendet, um die Anmeldeinformationen eines Benutzers über eine SSL-Verbindung umzuleiten.
    Domänennamen müssen mindestens 2 Punkte enthalten. Der Server muss mithilfe des folgenden Formats eingegeben werden:
    servername.domainname.com
    Beispiel:
     server1.security.com.
  • Port
    Gibt den Port an, den der SSL-Server überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
  • Ziel
    Gibt den Pfad und den Namen für den SSL-Anmeldedatensammler (SCC) an.
    Das Ziel teilt dem 
    CA Single Sign-on
    -Web-Agenten mit, was verwendet werden soll, um den SCC abzurufen. Dadurch wird die URL vervollständigt, die der Richtlinienserver verwendet, um die Anmeldeinformationen des Benutzers über eine SSL-Verbindung umzuleiten. Das Ziel kann angepasst werden, wenn Proxyserver bestimmte URLs benötigen, um "Basic over SSL"-Authentifizierung zu unterstützen.
    Der Standardwert für das Feld "Ziel" ist:
    /siteminder/nocert/smgetcred.scc
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" im Dialogfeld "Authentifizierungsschema" für ein "Basic over SSL"-Schema enthält Folgendes:
  • Bibliothek
    Enthält den Namen der Bibliothek, die verwendet wird, um das Authentifizierungsschema zu verarbeiten.
    Der Standardwert der Authentifizierungsbibliothek ist "smauthcert". Dieses Feld enthält den Namen der Bibliothek, die der Richtlinienserver benötigt, um die "Basic over SSL "-Authentifizierung zu verarbeiten.
    Hinweis:
     Normalerweise müssen Sie dieses Feld nicht bearbeiten.
  • Parameter
    Zeigt die Zeichenfolge an, die aus Ihren Einträgen im Gruppenfeld des Schema-Setup erstellt wurde, die von der Authentifizierungsbibliothek bearbeitet wird, die Sie in das Feld "Authentifizierungsbibliothek" eingegeben haben. Der Parameter besteht aus den von Ihnen eingegebenen Server- und Zielwerten, mit dem Hinzufügen der Basiszeichenfolge, die die Verwendung des grundlegenden Benutzernamens und der Kennwortauthentifizierung anzeigt.
  • Diesen Plan für 
    CA Single Sign-on
    -Administratoren aktivieren
    Dieses Kontrollkästchen ist deaktiviert. "Basic over SSL" kann nicht verwendet werden, um einen Administrator des Richtlinienservers zu authentifizieren. Der Richtlinienserver kommuniziert direkt mit einem Benutzerverzeichnis oder dem Richtlinienspeicher, um einen Administrator zu authentifizieren. Deshalb ist SSL-Kommunikation nicht möglich.
Dialogfeld "Authentifizierungsschema" - HTML-Formularvorlage
Authentifizierungsschemen für HTML-Formulare geben eine Methode zur Authentifizierung an, die auf Anmeldeinformationen basieren, die in einem benutzerdefinierten HTML-Formular erfasst wurden.
Gruppenfeld "Schema-Setup"
In das Gruppenfeld "Schema-Setup" geben Sie den Server, das Ziel und die Attributliste für das Authentifizierungsschema für HTML-Formulare ein.
  • Webservername
    Gibt den vollständig qualifizierten Domänennamen des Webservers an, auf dem der FCC installiert wurde.
     
    Hinweis:
     IP-Adressen werden nicht unterstützt.
    Der Server muss nicht der gleiche Server sein, auf dem der Agent installiert ist. Domänennamen müssen mindestens 2 Punkte enthalten. Der Server muss mithilfe des folgenden Formats eingegeben werden:
    Beispiel:
     server1.security.com.
    Bei diesem Namen wird Groß- und Kleinschreibung beachtet.
     
    Hinweis:
     Wenn Ihr Netzwerk mehrere Cookie-Domänen enthält, müssen Sie ein separates Authentifizierungsschema für HTML-Formulare in jeder Cookie-Domäne konfigurieren, in der Sie Authentifizierung für HTML-Formulare implementieren möchten.
  • Port
    Gibt den Port an, den der Webserver überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
  • SSL-Verbindung verwenden
    Wählen Sie diese Option, um eine SSL-Verbindung zur Verarbeitung der HTML-Formularauthentifizierung zu verwenden.
  • Ziel
    Gibt den Pfad und die .fcc-Datei an, die vom Schema verwendet wird.
    Der Standardpfad verweist auf ein virtuelles Verzeichnis auf dem Webserver, das im Feld "Servername" angegeben ist, das während der Installation erstellt wurde. Das Standardziel gibt die Datei "login.fcc" an, eine Beispieldatei, die angepasst werden kann.
  • Diesem Schema erlauben, Anmeldeinformationen zu speichern
    Wählen Sie diese Option aus, um zu erlauben, dass Benutzeranmeldeinformationen gespeichert werden.
    Sie können das spezielle Name-Wert-Paar "Smsavecreds"
     
    in Ihrer .fcc-Datei verwenden, damit ein Benutzer seine Anmeldeinformationen speichern kann. Wenn Sie dieses Kontrollkästchen aktivieren und die .fcc-Datei eine entsprechende Eingabe hat (wie z. B. ein Kontrollkästchen auf Ihrem HTML-Formular), können Benutzer ihre Anmeldeinformationen speichern, um sie bei der nächsten Anmeldung auf der Website automatisch verwenden zu können.
    Wenn ein Benutzer die Anmeldeinformationen speichern möchte, fordert der Richtlinienserver den Web-Agenten dazu auf, ein dauerhaftes Cookie mit den Anmeldeinformationen des Benutzers zu erstellen. Der Cookie bleibt für den Zeitraum unverändert, der im Konfigurationsparameter "SaveCredsTimeout" für den Agenten angegeben wurde. Die Standardeinstellung beträgt 30 Tage. Das Cookie ermöglicht es Web-Agenten, einen Benutzer zu authentifizieren, der auf Anmeldeinformationen basiert, die im Cookie gespeichert sind, statt den Benutzer zur Authentifizierung anzufragen.
  • Nicht-Browser-Clients unterstützen
    Wählen Sie diese Option aus, um Benutzer zu authentifizieren, die Nicht-Browser-HTTP-Clients verwenden. Diese Clients können mithilfe von Perl-Skripten, C++ und Java-Programmen entwickelt werden, die mithilfe des HTTP-Protokolls kommunizieren.
    Benutzerdefinierte Clients müssen die grundlegenden Anmeldeinformationen mit der eigentlichen Anfrage über einen HTTP-Autorisierungs-Header senden. Anderenfalls authentifiziert 
    CA Single Sign-on
     die Benutzer nicht. Wenn die Anmeldeinformationen nicht über einen HTTP-Autorisierungs-Header gesendet werden, wird 
    CA Single Sign-on
     an das HTML-Formular-Schema ohne Unterstützung der Nicht-Browser-Clients umgeleitet.
  • Zusätzliche Attributliste
    (Optional) Gibt andere Attribute an, abgesehen vom Benutzernamen, die vom Benutzer erfasst werden. Wenn Sie Attribute auflisten, beginnen Sie "AL=", und verwenden Sie Kommas, um die Benutzerattributnamen zu trennen.
    Beispiel:
     AL=PASSWORD,SSN,age,zipcode
    AL= ist eine 
    CA Single Sign-on
    -Notation, die die Liste der Attribute angibt, die berücksichtigt werden soll. Standardmäßig wird die Liste der Attribute als AND-ähnliche Abfrage betrachtet. Der Richtlinienserver vergleicht alle Attributwerte, die vom Benutzer erfasst wurden, mit den entsprechenden Attributwerten im Benutzerverzeichnis. Wenn alle Attributwerte genau übereinstimmen, wird der Benutzer erfolgreich authentifiziert.
    Hinweis:
     Sie können Benutzer mit Attributen authentifizieren, die mehrere Werte enthalten. Um anzugeben, dass ein Attribut mehrere Werte hat, stellen Sie dem Attributnamen ein Caret-Zeichen (^) voran.
    Beispiel:
     Wenn Sie ein "Mail"-Attribut mit mehreren Werten verwenden, um Benutzer zu authentifizieren, dann würden Sie "AL=^mail" angeben, um anzuzeigen, dass "Mail" mehrere Werte enthält. Ein Benutzer kann einen der gültigen Werte angeben, um eine erfolgreiche Authentifizierung durchzuführen.
    Einschränkung:
     Die Werte eines mehrwertigen Attributs sollten keine Caret-Zeichen enthalten. Ein Wert, der ein Caret-Zeichen enthält, führt möglicherweise dazu, dass Benutzer nicht ordnungsgemäß authentifiziert werden. Wenn ein Wert zum Beispiel 123^456 ist, könnte ein Benutzer zusätzlich zu 123^456 auch mit 123 und 456 authentifiziert werden.
    Damit 
    CA Single Sign-on
     zusätzliche Attribute erfasst, muss die .fcc-Datei, die von 
    CA Single Sign-on
     zur Generierung eines Formulars für die HTML-Formularauthentifizierung verwendet wird, geändert werden, um die Attribute einzuschließen.
    Wenn zusätzliche Attribute in einem Schema für HTML-Formulare verwendet werden, beachten Sie Folgendes:
    • Der vom Formular angegebene Kennwortwert ist auf 255 Zeichen beschränkt. Durch diese Beschränkung wird festgelegt, dass die durch Und-Zeichen (&) getrennte Liste der Elemente "AttributeName=URLEncodedAttributeValue" weniger als 255 Zeichen lang sein muss.
    • Das Attribut "PASSWORD" muss immer im Formular angegeben sein, das von der .fcc-Datei erstellt wurde.
    • Die Attribute werden nur verwendet, um Attributwerte abzugleichen, die dem Benutzer zugeordnet sind, der in einem Verzeichnis über den Benutzernamen gefunden wurde.
    • Bei Attributnamen wird auf Groß- und Kleinschreibung geachtet. Sie müssen genau mit den beiden Attributnamen übereinstimmen, die über das Verzeichnis und die Attributnamen implementiert wurden, die im Authentifizierungsschema angegeben sind.
    Hinweis: 
    Wenn Sie das "Software Development Kit" installiert haben, können Sie die API der 
    CA Single Sign-on
    -Authentifizierung verwenden, um zusätzliche Notationen zu definieren.
Gruppenfeld "Erweitert"
  • Bibliothek
    Enthält den Namen der freigegebenen Bibliothek, die die Authentifizierung für HTML-Formulare verarbeitet. Ändern Sie diesen Wert nicht, sofern Sie kein benutzerdefiniertes Authentifizierungsschema haben, das mithilfe der API für die 
    CA Single Sign-on
    -Authentifizierung geschrieben wurde.
    Die standardmäßig freigegebene Bibliothek für die HTML-Formularauthentifizierung ist "smauthhtml".
  • Parameter
    Zeigt den Server und das Ziel an, die Sie in das Gruppenfeld "Schema-Setup" eingegeben haben. Es werden auch zusätzliche Attribute angezeigt, die Sie für das Authentifizierungsschema eingegeben haben. Der Server und das Ziel bilden den Speicherort der .fcc-Datei auf dem Webserver.
  • Diesen Plan für 
    CA Single Sign-on
    -Administratoren aktivieren
    Dieses Kontrollkästchen ist deaktiviert. HTML-Formularauthentifizierung kann nicht verwendet werden, um einen Richtlinienserver-Administrator zu authentifizieren.
Dialogfeld "Authentifizierungsschema" - Vorlage für Windows
Integrierte Windows-Authentifizierung (IWA) ist ein urheberrechtlich geschützter Mechanismus, der von Microsoft entwickelt wurde, um Benutzer in reinen Windows-Umgebungen zu validieren. IWA setzt Single Sign-On durch, indem zugelassen wird, dass Windows während dem ersten Anmeldevorgang des interaktiven Desktop Benutzeranmeldeinformationen erfasst und diese Informationen anschließend zur Sicherheitsstufe überträgt. 
CA Single Sign-on
 sichert mithilfe des Windows-Authentifizierungsschemas Ressourcen, indem Benutzeranmeldeinformationen verarbeitet werden, die von der in Microsoft integrierten Infrastruktur der Windows-Authentifizierung bezogen werden.
Vorgängerversionen von 
CA Single Sign-on
 haben Windows-Authentifizierung über das NTLM-Authentifizierungsschema unterstützt. Allerdings war diese Unterstützung auf Umgebungen mit NT-Domänen beschränkt oder auf Umgebungen, bei denen der Active Directory-Service für die Unterstützung der Legacy-NT-Domänen im gemischten Modus konfiguriert ist.
Das Windows-Authentifizierungsschema ermöglicht es 
CA Single Sign-on
, Zugriffssicherung in Bereitstellungen mit "Active Directories" anzugeben, die im systemeigenen Modus ausgeführt werden, ebenso wie "Active Directories", die für die Unterstützung der NTLM-Authentifizierung konfiguriert sind. Das Windows-Authentifizierungsschema ersetzt das frühere NTLM-Authentifizierungsschema von 
CA Single Sign-on
. Vorhandene NTLM-Authentifizierungsschemen werden weiterhin unterstützt und können mithilfe des neuen Windows-Authentifizierungsschemas konfiguriert werden.
Gruppenfeld "Schema-Setup"
Im Gruppenfeld "Schema-Setup" des Windows-Authentifizierungsschemas geben Sie einen Server und ein Ziel für das Schema an.
  • Dieses Schema unterstützt
    Wählen Sie entweder "Active Directory/LDAP" oder "WinNT".
    Ihre Auswahl hängt davon ab, wo Benutzerdaten gespeichert sind, und die Auswahl hängt vom Namespace ab, den Sie ausgewählt haben, als die Verbindung in der Verwaltungsoberfläche konfiguriert wurde. Wenn Sie "Active Directory/LDAP" auswählen, müssen Benutzerdaten in einem Verzeichnis gespeichert werden, das mithilfe eines AD- oder LDAP-Namespace konfiguriert wurde. Wenn Sie "WinNT" auswählen, müssen Benutzerdaten in einem Verzeichnis gespeichert werden, das mithilfe des WinNT-Namespace konfiguriert wurde.
  • Relatives Ziel verwenden
    Aktivieren Sie dieses Kontrollkästchen, wenn Sie einen relativen Pfadnamen für das Ziel oder die Ressource angeben möchten, der durch dieses Windows-Authentifizierungsschema geschützt wird. Wenn dieses Kontrollkästchen aktiviert wird, ist das Feld "Servername" nicht verfügbar.
  • Servername
    Gibt den vollqualifizierten Domänennamen des IIS-Webservers an, der das virtuelle Verzeichnis enthält, zu dem Sie die Windows-Authentifizierung umleiten möchten.
    Hinweis:
     IP-Adressen werden nicht unterstützt.
     
    CA Single Sign-on
     wird zum Server umgeleitet, der in diesem Feld angegeben ist, um Authentifizierung aufzulösen, die auf dem aktuellen Benutzernamen und Kennwort der Windows-Anmeldung des Benutzers basieren.
  • Port
    Gibt den Port an, den der ISS-Webserver überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
  • SSL-Verbindung verwenden
    Wählen Sie diese Option, um eine SSL-Verbindung zur Verarbeitung der Windows-Authentifizierung zu verwenden.
  • Ziel
    Gibt den Namen des virtuellen Verzeichnisses und der .ntc-Datei an, die 
    CA Single Sign-on
     verwendet, um das Authentifizierungsschema aufzurufen.
    Das Feld "Ziel" sollte auf eine .ntc-Datei verweisen, die von 
    CA Single Sign-on
    -Agenten interpretiert wird, um Benutzer basierend auf ihre aktuellen Anmeldebenutzernamen und Kennwörter zu authentifizieren. Standardmäßig verwendet der Richtlinienserver folgenden Wert:
    /siteminderagent/ntlm/creds.ntc
  • Benutzer-DN-Suche
    Wenn Sie das Optionsfeld "Active Directory" oder "LDAP" ausgewählt haben, müssen Sie eine Suchzeichenfolge für den Benutzer-DN in diesem Feld angeben.
Suchformate des Benutzer-DN für Windows-Authentifizierungsschemen
Das Feld "Benutzer-DN-Suche" für ein Windows-Authentifizierungsschema für Active Directory oder LDAP-Namespaces muss eine Zeichenfolge im folgenden Format enthalten:
  • AD-/LDAP-Suche
    Die Syntax der Benutzer-DN-Suche ist in Form eines vollständig qualifizierten DN (Distinguished Name). Wir gehen von einem Benutzer mit dem Namen "John Smith" mit folgenden Attributen im Active Directory aus:
    cn: jsmith
    distinguishedName: CN=jsmith,CN=Users,DC=MYCOMPANY,DC=com
    sAMAccountName: jsmith
    Die Benutzeranmeldeinformationen, die vom Webbrowser weitergegeben werden, sind im Format:
    MYCOMPANY\jsmith
    Um diesen Benutzernamen zu einem LDAP-Suchfilter zuzuordnen, wird das Windows-Authentifizierungsschema mit dem folgenden Benutzer-DN-Filter konfiguriert:
    CN=%{UID},CN=Users,DC=%{DOMAIN},DC=com
    Das Authentifizierungsschema ersetzt "%{UID}" und "%{DOMAIN}" mit den jeweiligen Werten, um den verarbeiteten Suchfilter zu erstellen.
  • AD-/LDAP-Suche
    In diesem Szenario enthält die Siteminder-Domäne zusätzliche Benutzerverzeichnisse, die ihr zugeordnet sind. Ein Benutzerverzeichnis ist das Active Directory, das dem primären Domänencontroller zugeordnet ist, und die zusätzlichen Benutzerverzeichnisse können entweder LDAP- oder AD-Benutzerverzeichnisse sein. Dies kann auftreten, wenn ein Bereich eine Standardauthentifizierung und der andere Bereich eine Windows-Authentifizierung verwendet. Wir gehen vom gleichen Benutzer wie im vorherigen Anwendungsfall aus:
    cn: jsmith
    distinguishedName: CN=jsmith,CN=Users,DC=MYCOMPANY,DC=com
    sAMAccountName: jsmith
    Außerdem ist ein anderer Benutzer vorhanden, der im sekundären Benutzerverzeichnis folgende Attribute enthält:
    cn: jsmith
    distinguishedName: CN=jsmith,CN=Users,DC=NOTMYCOMPANY,DC=com
    sAMAccountName: jsmith
    Der Benutzer-DN-Filter für das Windows-Authentifizierungsschema kann Folgendes sein:
    (sAMAccountName=%{UID})
    CA Single Sign-on
     wird anhand des DN authentifiziert, der die Suchkriterien erfüllt, die auf der Suchreihenfolge des Verzeichnisses basieren. In diesem Fall wird der Wert des Domänennamens ignoriert.
Zusätzlich zu diesen Formaten, können Sie eine Kombination aus den Variablen "UID" und "DOMAIN" ohne unterstützende Attributnamen verwenden. Wenn Sie dieses Format für die Benutzer-DN-Suche verwenden, berücksichtigt 
CA Single Sign-on
 die Konfiguration, die beim Erstellen des Suchfilters für die Werte "Benutzer-DN-Suchbeginn" und "Benutzer-DN-Suchende" angegeben wurden. Die Start- und Endwerte werden im Benutzerverzeichnisobjekt definiert, das dem Active Directory zugeordnet ist. Beispiel:
%{UID}
%{UID}@{DOMAIN}
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" im Dialogfeld "Authentifizierungsschema" für ein Windows-Authentifizierungsschema enthält Folgendes:
  • Bibliothek
    Zeigt die Bibliothek an, die der Richtlinienserver verwendet, um Windows-Authentifizierung aufzulösen. Die Standardbibliothek ist "smauthntlm".
  • Parameter
    Zeigt den Server und das Ziel an, die Sie in das Gruppenfeld "Schema-Setup" eingegeben haben. Es werden auch zusätzliche Attribute angezeigt, die Sie für das Authentifizierungsschema eingegeben haben. Der Server und das Ziel bilden den Speicherort der .ntc-Datei auf dem Webserver.
  • Kontrollkästchen "Diesen Plan für 
    CA Single Sign-on
    -Administratoren aktivieren"
    Deaktiviert und kann nicht geändert werden. Windows-Authentifizierung darf nicht als Authentifizierungsschema für einen Administrator verwendet werden.
Agenten-IP-Whitelist
Das Gruppenfeld "Agenten-IP-Whitelist" im Dialogfeld "Authentifizierungsschema" für ein Windows-Authentifizierungsschema enthält Folgendes:
  • AgentIP-Überprüfung
    Aktiviert die Agenten-IP-Validierung.
  • Hinzufügen
    Fügt eine neue Agenten-IP-Adresse zur Liste der Authentifizierungsschemen hinzu.
  • Löschen
    Löscht die Agenten-IP-Adresse aus der Liste.
Dialogfeld "Authentifizierungsschema" - Vorlage für Kerberos
Kerberos ist ein Authentifizierungsprotokoll für Computernetzwerke, mit dem Einzelanwendern, die über ein nicht sicheres Netzwerk kommunizieren, sich ihre Identität gegenseitig auf eine sichere Weise beweisen können. Kerberos baut auf einer Kryptografie mit symmetrischen Schlüsseln auf und benötigt einen vertrauenswürdigen Drittanbieter. Erweiterungen an Kerberos können während gewisser Phasen der Authentifizierung Kryptografie mit öffentlichen Schlüsseln ermöglichen.
Authentifizierungsschema - Kerberos-Vorlage - Schema-Setup
Der Abschnitt "Schema-Setup" für ein Kerberos-Authentifizierungsschema umfasst die folgenden Felder:
  • Relatives Ziel verwenden
    Aktivieren Sie dieses Kontrollkästchen, wenn Sie einen relativen Pfadnamen für das Ziel oder die Ressource angeben möchten, die durch dieses Kerberos-Authentifizierungsschema geschützt werden. Die Felder "Servername" und "Port" werden verdunkelt. "SSL-Verbindung verwenden" wird ebenfalls abgeblendet, wenn Sie ein relatives Ziel angeben.
  • Servername
    Gibt den vollständig qualifizierten Domänennamen des Webservers an, auf dem die Kerberos-Anmeldeinformationen erfasst werden. Der 
    CA Single Sign-on
    -Web-Agent implementiert eine Kerberos Collector-Seite, die einen Client zur Verhandlung der Kerberos-Authentifizierung auffordert. Als ein Client den Zugriff auf eine Seite anfordert, die von diesem Kerberos-Authentifizierungsschema geschützt ist, dann leitet der Web-Agent den Client an diesen Server um.
    Hinweis:
     IP-Adressen werden nicht unterstützt.
  • Port
    Gibt den Port an, den der Webserver überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
  • SSL-Verbindung verwenden
    Aktivieren Sie diese Option, um eine SSL-Verbindung zur Verarbeitung der Authentifizierung zu verwenden.
  • Ziel
    Gibt den Namen des virtuellen Verzeichnisses und der .kcc-Datei an, die 
    CA Single Sign-on
     verwendet, um das Authentifizierungsschema aufzurufen.
    Das Feld "Ziel" weist auf eine .kcc-Datei, die 
    CA Single Sign-on
    -Agenten verwenden, um Benutzer zu authentifizieren. Standardmäßig verwendet der Richtlinienserver folgenden Wert:
    /siteminderagent/Kerberos/creds.kcc
  • Prinzipalname
    Gibt einen Kerberos-Prinzipal an, der vom Richtlinienserver auf dem KDC (zum Beispiel "Active Directory") zur Verwendung erstellt wurde. Das Format des Namens ist "service/hostname@realm", zum Beispiel "smps/smps.example.com/@EXAMPLE.COM".
    Hinweis:
     Dieser Wert ist anders als der "SmpsPrincipalName", der auf dem Konfigurationsobjekt des Web-Agenten angegeben ist.
  • Benutzer-DN-Suche
    Gibt eine Suchzeichenfolge für den Benutzer an. Diese Zeichenfolge besteht aus einer Kombination der Variablen "UID", "DOMAIN" und "REALM". Dieses Feld unterstützt eine Vielzahl von Formaten, zum Beispiel:
    • %{UID}
    • %{UID}@%{DOMAIN}
    • (cn=%{UID}) — Klammern sind erforderlich
    • (cn=%{DOMAIN}:%{UID}) — Klammern sind erforderlich
Authentifizierungsschema - Zuordnungen Kerberos-Bereich zu Windows-Domäne
Dieser Abschnitt enthält Zeilen, in denen Sie einen Namen eines Kerberos-Bereichs zu einer oder mehreren konfigurierten Windows-Domänen zuordnen können. Diese Zuordnung ähnelt der Zuordnung in der Kerberos-Konfigurationsdatei (krb5.ini).
 
Hinweis:
 Wenn Sie die DOMAIN-Variable im Feld "Benutzer-DN-Suche" angeben, ist diese Zuordnung auch dann erforderlich, wenn Bereich und Domänennamen identisch sind.
Die Felder auf der linken Seite enthalten die Kerberos-Bereichsnamen, und die Felder auf der rechten Seite enthalten eine durch Kommas getrennte Liste von Domänennamen für diesen Bereichsnamen. Beispiel:
Bereichsname
 
Domänenname
EXAMPLE.COM BEISPIEL
Authentifizierungsschema - Vorlage für Kerberos - Erweitert
Der Abschnitt "Erweitert" im Dialogfeld "Authentifizierungsschema" für ein Kerberos-Authentifizierungsschema enthält die folgenden Felder:
  • Bibliothek
    Zeigt die Bibliothek an, die der Richtlinienserver verwendet, um Kerberos-Authentifizierung aufzulösen. Die Standardbibliothek ist "smauthkerberos".
  • Parameter
    Zeigt die Einträge für "Server", "Ziel" und "Benutzer-DN-Suche" an, die Sie im Abschnitt "Schema-Setup" eingegeben haben.
  • Kontrollkästchen "Diesen Plan für 
    CA Single Sign-on
    -Administratoren aktivieren"
    Sie können dieses Feld nicht für ein Kerberos-Authentifizierungsschema auswählen.
Dialogfeld "Authentifizierungsschema" - Vorlage für OpenID
Das OpenID-Authentifizierungsschema ermöglicht es Ihnen, Benutzer mithilfe eines OpenID-Anbieters zu authentifizieren.
Schema-Setup
Der Abschnitt "Schema-Setup" ermöglicht es Ihnen, die erforderlichen Informationen anzugeben, um das Authentifizierungsschema zu implementieren.
 
Hinweis:
 Wenn Ihr Netzwerk mehrere Cookie-Domänen enthält und wenn jede Cookie-Domäne das Authentifizierungsschema benötigt, konfigurieren Sie in jeder Cookie-Domäne ein separates Objekt des Authentifizierungsschemas.
  • Relatives Ziel verwenden
    Wählen Sie diese Option aus, um anzugeben, dass der OpenID-FCC auf dem Webserver installiert ist, von dem die Agentenanfrage ausgegangen ist.
    • Webservername
      Gibt den vollständig qualifizierten Domänennamen des Webservers an, auf dem der OpenID-FCC installiert ist. Der Webserver muss nicht der gleiche Webserver sein, auf dem der Agent installiert ist.
      Einschränkungen:
      • IP-Adressen werden nicht unterstützt.
      • Beim Namen wird zwischen Groß- und Kleinschreibung unterschieden.
    • Port
      Gibt den Port an, den der Webserver überwacht. Ein Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
  • SSL-Verbindung verwenden
    Wählen Sie diese Option, um eine SSL-Verbindung zur Verarbeitung der Authentifizierungsanforderungen zu verwenden.
    • Ziel
      Gibt den Speicherort der Datei "OpenID FCC" an.
      Der Standardpfad verweist auf ein virtuelles Verzeichnis auf dem Webserver, der während der Agenteninstallation erstellt wurde. Das Standardziel gibt den OpenID-FCC an, der in der Agenteninstallation enthalten ist.
      Standardspeicherort:
       
      agent_home
      \samples\forms\openid.fcc
  • Anbieterkonfigurationsdatei
    Gibt den Pfad der Anbieterkonfigurationsdatei von OpenID an. Die Datei listet die Konfigurationsdetails der Anbieter auf, denen 
    CA Single Sign-on
     vertraut. Eine Standarddatei ist in der Installation des Richtlinienservers enthalten.
    Standardspeicherort:
     
    siteminder_home
    \config\properties\Openidproviders.xml
  • ICAM-Compliance
    Wählen Sie diese Option aus, um das Authentifizierungsschema für "ICAM Compliance" (Federal Identity, Credential, and Access Management compliance) zu aktivieren.
    Die standardmäßige OpenID-Anbieterkonfigurationsdatei listet die ICAM-Richtlinien auf, die für die vertrauenswürdigen Anbieter gelten. Der Anbieter muss sich an jede aufgelistete ICAM-Richtlinie richten, oder der Benutzer wird nicht authentifiziert. Folgende Markierung identifiziert die ICAM-Richtlinien:
    <Policies>
    Standardspeicherort:
     
    siteminder_home
    \config\properties\Openidproviders.xml
  • Anonymer Modus
    Wählen Sie diese Option aus, um anonyme Authentifizierung zu aktivieren.
    Standardmäßig verwendet der Richtlinienserver die Anbieterauthentifizierungsantwort von OpenID, um den Wert des ersten erforderlichen Anspruchs festzustellen. Der Richtlinienserver sucht in allen Benutzerverzeichnissen in der Richtliniendomäne nach einem Benutzer, der mit dem Anspruchswert übereinstimmt. Wenn der Richtlinienserver den Anspruchswert zu einem Benutzer zuordnet, dann ist die Authentifizierung erfolgreich.
    Beispiel:
     Der Richtlinienserver stellt fest, dass der Wert des ersten erforderlichen Anspruchs (vollständiger Name) "Sample User" (Beispielbenutzer) ist. Der Richtlinienserver sucht in allen Benutzerverzeichnissen in der Richtliniendomäne nach einem Benutzer, der mit "Sample User" übereinstimmt.
    Wenn anonyme Authentifizierung aktiviert ist, dann verwendet der Richtlinienserver den Anspruchswert nicht, um den Benutzer zu authentifizieren. Stattdessen sucht der Richtlinienserver in allen Benutzerverzeichnissen in der Richtliniendomäne nach einem Benutzer, der mit dem Benutzer übereinstimmt, den Sie angeben.
    • Anonymer Benutzer
      Gibt den anonymen Benutzer an, den der Richtlinienserver authentifizieren soll. Wenn der Richtlinienserver einen anonymen Benutzer authentifiziert, wird der Authentifizierungskontext für den anonymen Benutzer erstellt. Der Richtlinienserver erstellt den Authentifizierungskontext nicht für den tatsächlichen Benutzer, der die Anmeldeinformationen angegeben hat.
      Beispiel:
       Der anonyme Benutzer wird mit folgendem Wert konfiguriert:
      DefaultUser
      Der Richtlinienserver erhält die Anbieterauthentifizierungsantwort von "OpenID", jedoch wird der Wert des ersten erforderlichen Anspruchs ignoriert. Stattdessen sucht der Richtlinienserver in allen Benutzerverzeichnissen in der Richtliniendomäne nach einem Benutzer, der mit folgendem Wert übereinstimmt:
      DefaultUser
       
      Wichtig!
       Stellen Sie sicher, dass der von Ihnen eingegebene Wert mindestens in einem Benutzerverzeichnis in der Richtliniendomäne vorhanden ist. Wenn der anonyme Benutzer in keinem Benutzerverzeichnis vorhanden ist, dann schlägt die Authentifizierung fehl.
  • Variable der Authentifizierungssitzung beibehalten
    Legt fest, dass die OpenID-Ansprüche im Sitzungsspeicher als Sitzungsvariablen gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Variablen, die bei Authentifizierungsentscheidungen verwendet werden können. Zum Beispiel können Sie die Variablen im Authentifizierungskontext in aktiven Antworten oder Richtlinienausdrücken einschließen.
    Die Ansprüche werden im Sitzungsspeicher im folgenden Formular gespeichert:
    SMOPENIDCLAIM_CLAIMNAME
  • Proxyauthentifizierung
    Aktivieren Sie die Option, wenn Ihr Unternehmen einen HTTP-Proxy-Host für den Internetzugang verwendet. Der OpenID-Anbieter verwendet die Proxy-Informationen, um über den HTTP-Proxy mit dem Richtlinienserver zu kommunizieren.
     
    Wichtig!
     Starten Sie den Richtlinienserver neu, wenn Sie Proxy-Einstellungen ändern.
  • Nachbearbeitungskette
    Gibt Aktionen des Richtlinienservers an, die nach einer erfolgreichen Authentifizierung durchgeführt werden.
     
    Hinweis:
     Wenn Sie diese Einstellung ändern, müssen Sie den Richtlinienserver neu starten.
    Wert: 
    Trennen Sie Mehrfachketten durch ein Semikolon.
    Gültige Ketten:
     
    • com.ca.sm.openid.command.StoreClaimsToContext
      Speichert den Anbieteranspruch in den Authentifizierungskontext des Benutzers.
    • com.ca.sm.openid.command.LogClaims
      Schreibt den Anbieteranspruch in das Nachverfolgungsprotokoll von 
      CA Single Sign-on
      .
      Wenn Sie Ansprüche in das Nachverfolgungsprotokoll schreiben, dann ist folgende Komponente des Richtlinienserver-Profilers erforderlich:
      JavaAPI
       
      CA Single Sign-on
       unterstützt benutzerdefinierten Code, der als Nachverarbeitungskette implementiert ist.
Dialogfeld "Authentifizierungsschema" - Vorlage für RADIUS CHAP/PAP
Bevor Sie ein RADIUS CHAP/PAP-Authentifizierungsschema zu einem Bereich zuweisen zu können, müssen Sie das Schema im Dialogfeld "Authentifizierungsschema" konfigurieren.
Gruppenfeld "Schema-Setup"
In diesem Gruppenfeld geben Sie das Klartextkennwort für die CHAP/PAP-Authentifizierung an.
  • Klartext-Kennwortattribut im Verzeichnis
    Gibt den Namen eines Benutzerverzeichnisattributs an.
    Die Inhalte dieses Attributs werden als das Klartextkennwort für die Authentifizierung verwendet.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" für ein RADIUS CHAP/PAP-Schema enthält Folgendes:
  • Bibliothek
    Zeigt den Namen der Bibliothek an, die der Richtlinienserver verwendet, um eine RADIUS CHAP/PAP-Authentifizierung aufzulösen.
  • Parameter
    Zeigt den Attributnamen an, den Sie im Gruppenfeld "Schema-Setup" eingegeben haben.
  • Diesen Plan für 
    CA Single Sign-on
    -Administratoren aktivieren
    Dieses Kontrollkästchen ist standardmäßig für RADIUS CHAP/PAP-Schemen deaktiviert. Sie können RADIUS CHAP/PAP nicht verwenden, um Richtlinienserver-Administratoren zu authentifizieren.
Dialogfeld "Authentifizierungsschema" - Vorlage für RADIUS Server
Bevor Sie ein RADIUS Server-Authentifizierungsschema zu einem Bereich zuweisen zu können, müssen Sie das Schema im Dialogfeld "Authentifizierungsschema" konfigurieren.
 
CA Single Sign-on
 unterstützt das RADIUS-Protokoll, indem der Richtlinienserver als RADIUS-Server und der NAS-Client als RADIUS-Client verwendet wird. Durch RADIUS-Agenten kann der Richtlinienserver mit den NAS-Client-Geräten kommunizieren. Im RADIUS-Server-Authentifizierungsschema agiert der Richtlinienserver als RADIUS-Server, der dem durch 
CA Single Sign-on
 geschützten Netzwerk angehängt ist.
Dieses Schema akzeptiert Benutzernamen und Kennwort als Anmeldeinformationen. Mehrere Instanzen dieses Schemas können definiert werden. Dieses Schema interpretiert keine RADIUS-Attribute, die möglicherweise vom RADIUS-Server in der Authentifizierungsantwort zurückgegeben werden.
Gruppenfeld "Schema-Setup"
Hier geben Sie die IP-Adresse und den Port für den RADIUS-Server ein. Außerdem geben Sie hier das geheime Attribut ein, das der RADIUS-Server für die Authentifizierung benötigt.
  • IP-Adresse
    Gibt die IP-Adresse des RADIUS-Servers an.
  • Port
    Gibt die Portnummer für den Server an.
    Der Port wird für die Kommunikation mit dem RADIUS-Server verwendet. Wenn Sie keine Portnummer angeben, verwendet der Richtlinienserver den Port "1645" als standardmäßigen UDP-Port.
  • Geheimer Schlüssel und geheimen Schlüssel bestätigen
    Gibt die Textzeichenfolge an, die als geheimer Schlüssel verwendet werden soll.
    Der geheime Schlüssel ist das Benutzerattribut, das vom RADIUS-Server als Klartextkennwort verwendet wird.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" im Dialogfeld "Authentifizierungsschema" für ein RADIUS Server-Schema enthält Folgendes:
  • Bibliothek
    Zeigt den Namen der Bibliothek an, die der Richtlinienserver verwendet, um eine RADIUS Server-Authentifizierung aufzulösen.
  • Parameter
    Zeigt die IP-Adresse und Portnummer von RADIUS Server an, die Sie im Gruppenfeld "Schema-Setup" eingegeben haben.
  • Diesen Plan für 
    CA Single Sign-on
    -Administratoren aktivieren
    Dieses Kontrollkästchen ist standardmäßig für RADIUS Server-Schemen aktiviert und zeigt an, dass der Richtlinienserver das Schema verwenden kann, um Administratoren zu authentifizieren. Dieses Kontrollkästchen kann nicht deaktiviert werden.
Dialogfeld "Authentifizierungsschema" - Vorlage für SecurID
Bevor Sie ein SecurID-Authentifizierungsschema zu einem Bereich zuweisen zu können, müssen Sie das Schema im Dialogfeld "Authentifizierungsschema" konfigurieren.
Die RSA Ace/SecureID-Authentifizierungsschemen authentifizieren Benutzer, die mit ACE-Anmeldeinformationen, die Benutzernamen, PINs und TOKENCODEs enthalten, angemeldet sind. ACE-Benutzernamen und -Kennwörter befinden sich im ACE-/Server-Benutzerspeicher und können vom ACE-/Server-Administrator geändert werden. Einmalige TOKENCODEs werden von SecureID-Token generiert.
Gruppenfeld "Schema-Setup"
Hier geben Sie das Attribut in das Benutzerverzeichnis der Authentifizierung an, das die Benutzer-ID des ACE-Servers für den Benutzer enthält.
  • Attributname der Ace-Benutzer-ID im Verzeichnis
    Gibt einen Attributnamen an.
    Wenn die Distinguished Names (DNs) des Benutzers von den Benutzer-IDs des ACE-Servers abweichen, dann geben Sie den Namen des Attributs im Benutzerverzeichnis ein, das die Benutzer-ID im ACE-Server enthält. Wenn die ACE-ID des Benutzers beispielsweise "jsmith" ist und ihr DN in einem LDAP-Verzeichnis "cn=Jane Smith", "ou=sales", "o=security.com" ist, dann können Benutzerprofilattribute verwendet werden, um eine Zuordnung zurück zur ACE-Benutzer-ID durchzuführen. Zum Beispiel können Sie ein neues Attribut mit dem Namen "aceid" erstellen, oder Sie können ein vorhandenes, nicht genutztes Attribut verwenden. Der Richtlinienserver ruft den Wert dieses Attributs ab und verwendet diesen als ACE-Benutzer-ID.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" für ein SecurID-Schema enthält Folgendes:
  • Bibliothek
    Zeigt den Namen der Bibliothek an, die der Richtlinienserver verwendet, um eine SecurID-Authentifizierung aufzulösen.
  • Parameter
    Zeigt den Attributnamen an, den Sie im Gruppenfeld "Schema-Setup" eingegeben haben.
  • Diesen Plan für 
    CA Single Sign-on
    -Administratoren aktivieren
    Dieses Kontrollkästchen ist standardmäßig für SecurID-Schemen aktiviert und zeigt an, dass der Richtlinienserver das SecurID-Schema verwenden kann, um Administratoren zu authentifizieren. Dieses Kontrollkästchen kann nicht deaktiviert werden.
Dialogfeld "Authentifizierungsschema" - Vorlage für SecurID-HTML-Formular
Sie können HTML-Formularauthentifizierung von SecurID mithilfe der Vorlage für SecurID-HTML-Formular im Dialogfeld "Authentifizierungsschema" konfigurieren.
Die RSA Ace/SecureID-Authentifizierungsschemen authentifizieren Benutzer, die mit ACE-Anmeldeinformationen, die Benutzernamen, PINs und TOKENCODEs enthalten, angemeldet sind. ACE-Benutzernamen und -Kennwörter befinden sich im ACE-/Server-Benutzerspeicher und können vom ACE-/Server-Administrator geändert werden. Einmalige TOKENCODEs werden von SecureID-Token generiert.
Gruppenfeld "Schema-Setup"
Das Gruppenfeld "Schema-Setup" für HTML-Formularauthentifizierung von SecurID enthält Folgendes:
  • Webservername
    Gibt den vollständig qualifizierten Domänennamen des Webservers an, auf dem der FCC installiert wurde.
     
    Hinweis:
     IP-Adressen werden nicht unterstützt.
    Der Server muss nicht der gleiche Server sein, auf dem der Agent installiert ist. Domänennamen müssen mindestens 2 Punkte enthalten. Der Server muss mithilfe der folgenden Syntax eingegeben werden:
    servername.domainname.com
    Beispiel:
     server1.security.com.
    Hinweis:
     Wenn Ihr Netzwerk mehrere Cookie-Domänen enthält, konfigurieren Sie ein separates Authentifizierungsschema für HTML-Formulare in jeder Cookie-Domäne, in der Sie Authentifizierung für HTML-Formulare implementieren möchten.
  • Port
    Gibt den Port an, den der Webserver überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
  • SSL-Verbindung verwenden
    Aktivieren Sie dieses Kontrollkästchen, wenn 
    CA Single Sign-on
     eine SSL-Verbindung verwenden soll, um Authentifizierung für HTML-Formulare zu verarbeiten.
  • Ziel
    Gibt den Pfad an, den 
    CA Single Sign-on
     verwendet, um SecurID-Authentifizierung mit Unterstützung für HTML-Formulare zu verarbeiten.
    Standard
    : /siteminderagent/forms/smpwservices.fcc
    Sie können "/siteminderagent/forms/smpwservices.fcc" als alternativen Zielwert verwenden, um zum Verhalten der vorherigen Version zurückzukehren. Dieser Zielwert nimmt an, dass der Web-Agent, der die Anforderung erhält, die Kennwortservices verarbeitet. Wenn sich die Vorlagen der Kennwortservices auf einem anderen Web-Agenten befinden, dann ist der vollständige Pfad zu dieser Ziel-URL erforderlich.
  • Attributname der Ace-Benutzer-ID im Verzeichnis
    Gibt das Attribut an, das ACE-IDs enthält.
    Wenn die Distinguished Names (DNs) des Benutzers von den Benutzer-IDs des ACE-Servers abweichen, dann geben Sie den Namen des Attributs im Benutzerverzeichnis ein, das die Benutzer-ID im ACE-Server enthält. Wenn die ACE-Benutzer-ID beispielsweise "jsmith" ist und der DN in einem LDAP-Verzeichnis "cn=Jane Smith", "ou=sales", "o=security.com" ist, dann können Sie die Benutzerprofilattribute zurück zur ACE-Benutzer-ID zuordnen. In diesem Beispiel können Sie ein Attribut mit dem Namen "aceid" erstellen, oder Sie können ein vorhandenes, nicht genutztes Attribut verwenden. Der Richtlinienserver ruft den Wert dieses Attributs ab und verwendet diesen als ACE-Benutzer-ID.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" für ein HTML-Formularauthentifizierungsschema von SecureID enthält Folgendes:
  • Bibliothek
    Enthält den Namen der freigegebenen Bibliothek, die die Authentifizierung für SecurID- und HTML-Formulare verarbeitet.
  • Parameter
    Zeigt den Server und das Ziel an, die Sie in das Gruppenfeld "Schema-Setup" eingegeben haben.
  • Diesen Plan für 
    CA Single Sign-on
    -Administratoren aktivieren
    Dieses Kontrollkästchen ist deaktiviert. SecurID- und HTML-Formularauthentifizierung kann nicht verwendet werden, um einen Richtlinienserver-Administrator zu authentifizieren.
Dialogfeld "Authentifizierungsschema" - X509-Client-Zertifikatsvorlage
Damit 
CA Single Sign-on
 Benutzer authentifiziert, die auf X.509-Client-Zertifikate basieren, müssen Sie ein Authentifizierungsschema in der Verwaltungsoberfläche konfigurieren und die Zertifikatszuordnung für das Authentifizierungsschema festlegen.
Gruppenfeld "Schema-Setup"
Im Gruppenfeld "Schema-Setup" für X.509-Client-Zertifikatauthentifizierung geben Sie Informationen für den Server und das Ziel ein.
 
Hinweis:
 Benutzer, die versuchen, auf eine Ressource in einem geschützten Bereich zuzugreifen, müssen ein gültiges X.509-Client-Zertifikat haben, das 
CA Single Sign-on
 mithilfe eines Serverzertifikats überprüfen kann. Außerdem muss der Benutzer einen Benutzernamen und ein Kennwort angeben, der bzw. das in einem Benutzerverzeichnis in der Richtliniendomäne überprüft wird.
  • Servername
    Gibt den vollständig qualifizierten Domänennamen des SSL-Servers an.
     
    Hinweis:
     IP-Adressen werden nicht unterstützt.
    Dieser Server ist für das Herstellen einer SSL-Verbindung verantwortlich. Normalerweise ist dieser Server nicht der Server, auf dem der Web-Agent installiert ist.
    Der Server agiert als Anfang der URL, die 
    CA Single Sign-on
     verwendet, um ein X.509-Zertifikat über eine SSL-Verbindung umzuleiten.
    Domänennamen müssen mindestens zwei Punkte enthalten. Geben Sie den Servernamen in folgendem Format ein:
    servername.host.com
     
    Beispiel: 
    server1.security.com
  • Port
    Gibt den Port an, den der SSL-Server überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
  • Ziel
    Gibt den Pfad und den Namen für den SSL-Anmeldedatensammler (SCC) an.
    Das Ziel teilt dem Web-Agenten mit, was verwendet werden soll, um den SCC abzurufen. Diese Informationen vervollständigen die URL, die 
    CA Single Sign-on
     verwendet, um die Benutzeranmeldeinformationen über eine SSL-Verbindung zu leiten. Das Ziel kann angepasst werden, wenn Proxyserver bestimmte URLs benötigen, um "Basic over SSL"-Authentifizierung zu unterstützen.
    Die Verwaltungsoberfläche gibt einen Standardpfad an, wenn Sie das Authentifizierungsschema des X.509-Client-Zertifikats auswählen.
  • Variable der Authentifizierungssitzung beibehalten
    (Optional) Legt fest, dass die Daten des Authentifizierungskontextes im Sitzungsspeicher als Sitzungsvariablen gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Variablen, die bei Authentifizierungsentscheidungen verwendet werden können.
    Wichtig
    ! Wenn Authentifizierungsdaten im Sitzungsspeicher beibehalten werden, wird eine Beeinträchtigung in der Authentifizierungsdauer erstellt. Wählen Sie diese Option nur dann aus, wenn Sie die Variablen zu einem späteren Zeitpunkt für Authentifizierungsentscheidungen verwenden möchten. Anderenfalls führt dies möglicherweise zu negativen Auswirkungen auf die Leistung.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" für ein X.509-Client-Zertifikatsschema enthält Folgendes:
  • Bibliothek
    Zeigt den Namen der Richtlinienserver-Bibliothek an, die verwendet wird, um das Authentifizierungsschema zu verarbeiten.
    Der Standardwert der Authentifizierungsbibliothek ist "smauthcert". Dieses Feld enthält den Namen der Bibliothek, die der Richtlinienserver benötigt, um Benutzeranmeldeinformationen über eine SSL-Verbindung umzuleiten und um das Zertifikat des Client zu überprüfen.
     
    Hinweis:
     Normalerweise müssen Sie dieses Feld nicht bearbeiten.
  • Parameter
    Zeigt die Zeichenfolge an, die aus Ihren Einträgen im Gruppenfeld "Schema-Setup" erstellt wurden. Dieser Parameter ist die Zeichenfolge, die der Richtlinienserver mithilfe der Authentifizierungsbibliothek, die im Gruppenfeld "Schema-Setup" angegeben ist, verarbeitet. Der Parameter besteht aus dem Server und dem Ziel aus dem Gruppenfeld "Schema-Setup" mit der zusätzlichen ?cert-Zeichenfolge, die die Verwendung der Client-Zertifikatsauthentifizierung anzeigt.
  • Diesen Plan für 
    CA Single Sign-on
    -Administratoren aktivieren
    Dieses Kontrollkästchen ist standardmäßig für X.509-Client-Zertifikatsschemen deaktiviert. Sie können dieses Schema nicht verwenden, um Richtlinienserver-Administratoren zu authentifizieren.
 
Hinweis: 
Sie müssen eine Zertifikatszuordnung für dieses Authentifizierungsschema festlegen. Eine Zertifikatszuordnung verknüpft Zertifikatsinformationen zu einem Benutzereintrag in einem Verzeichnis.
Agenten-IP-Whitelist
Das Gruppenfeld "Agenten-IP-Whitelist" im Dialogfeld "Authentifizierungsschema" für ein Windows-Authentifizierungsschema enthält Folgendes:
  • AgentIP-Überprüfung
    Aktiviert die Agenten-IP-Validierung.
  • Hinzufügen
    Fügt eine neue Agenten-IP-Adresse zur Liste der Authentifizierungsschemen hinzu.
  • Löschen
    Löscht die Agenten-IP-Adresse aus der Liste.
Dialogfeld "Authentifizierungsschema" - X509-Client-Zertifikat und einfache Vorlage
Damit 
CA Single Sign-on
 Benutzer authentifiziert, die auf X.509-Client-Zertifikate basieren, müssen Sie ein Authentifizierungsschema in der Verwaltungsoberfläche konfigurieren und die Zertifikatszuordnung für das Authentifizierungsschema festlegen.
Gruppenfeld "Schema-Setup"
Im Gruppenfeld "Schema-Setup" geben Sie Informationen für den Server und das Ziel für Ihr X.509-Client-Zertifikat und Ihr Authentifizierungsschema für HTML-Formulare ein.
 
Hinweis:
 Benutzer, die versuchen, auf eine Ressource in einem geschützten Bereich zuzugreifen, müssen ein gültiges X.509-Client-Zertifikat haben, das 
CA Single Sign-on
 mithilfe eines Serverzertifikats überprüfen kann. Außerdem muss der Benutzer einen Benutzernamen und ein Kennwort angeben, der bzw. das in einem Benutzerverzeichnis in der Richtliniendomäne überprüft wird.
  • Webservername
    Gibt den vollständig qualifizierten Domänennamen des SSL-Servers an.
     
    Hinweis:
     IP-Adressen werden nicht unterstützt.
    Dieser Server ist für das Herstellen einer SSL-Verbindung verantwortlich. Normalerweise ist dieser Server nicht der Server, auf dem der Web-Agent installiert ist.
    Der Server agiert als Anfang der URL, die 
    CA Single Sign-on
     verwendet, um ein X.509-Zertifikat über eine SSL-Verbindung umzuleiten.
    Domänennamen müssen mindestens zwei Punkte enthalten. Geben Sie den Servernamen in folgendem Format ein:
    servername.host.com
     
    Beispiel: 
    server1.security.com
  • Port
    Gibt den Port an, den der SSL-Server überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
  • Ziel
    Gibt den Pfad und den scc-Dateinamen an
    Der Standardpfad verweist auf ein virtuelles Verzeichnis auf dem Webserver, das im Feld "Servername" angegeben ist, das während der 
    CA Single Sign-on
    -Agenteninstallation erstellt wurde. Das Standardziel gibt die Datei "smgetcred.scc" an, die eine Beispieldatei ist, die angepasst werden kann.
  • Diesem Schema erlauben, Anmeldeinformationen zu speichern
    Aktivieren Sie dieses Kontrollkästchen, um es Benutzerbrowsern zu ermöglichen, den Benutzernamen und das Kennwort der Anmeldeinformationen zu speichern.
  • Zusätzliche Attributliste
    (Optional) Gibt andere Benutzerattribute als den Benutzernamen an. Wenn Sie Attribute auflisten, beginnen Sie "AL=", und verwenden Sie Kommas, um die Benutzerattributnamen zu trennen.
    Beispiel:
     AL=PASSWORD,SSN,age,zipcode
    "AL=" ist eine 
    CA Single Sign-on
    -Notation, die die Liste der Attribute anzeigt. Standardmäßig wird die Liste der Attribute als AND-ähnliche Abfrage betrachtet. Der Richtlinienserver vergleicht alle Attributwerte, die vom Benutzer erfasst wurden, mit den entsprechenden Attributwerten im Benutzerverzeichnis. Wenn alle Attributwerte genau übereinstimmen, wird der Benutzer erfolgreich authentifiziert.
     
    Hinweis:
     Sie können Benutzer mit Attributen authentifizieren, die mehrere Werte enthalten. Um anzugeben, dass ein Attribut mehrere Werte hat, stellen Sie dem Attributnamen ein Caret-Zeichen (^) voran.
Beispiel: 
Geben Sie "AL=^mail" an, um anzuzeigen, dass "Mail" mehrwertig ist. Ein Benutzer kann einen der gültigen Werte angeben, um eine Authentifizierung durchzuführen.
Einschränkung:
 Die Werte eines mehrwertigen Attributs können kein Caret-Zeichen enthalten. Ein Wert, der ein Caret-Zeichen enthält, führt möglicherweise dazu, dass Benutzer nicht ordnungsgemäß authentifiziert werden. Wenn ein Wert zum Beispiel 123^456 ist, könnte ein Benutzer zusätzlich zu 123^456 auch mit 123 und 456 authentifiziert werden.
Damit 
CA Single Sign-on
 zusätzliche Attribute erfasst, wird die .fcc-Datei zur Generierung eines Formulars für die HTML-Formularauthentifizierung geändert, um die Attribute einzuschließen.
  • Variable der Authentifizierungssitzung beibehalten
    (Optional) Legt fest, dass die Daten des Authentifizierungskontextes im Sitzungsspeicher als Sitzungsvariablen gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Variablen, die bei Authentifizierungsentscheidungen verwendet werden können.
    Wichtig
    ! Wenn Authentifizierungsdaten im Sitzungsspeicher beibehalten werden, wird eine Beeinträchtigung in der Authentifizierungsdauer erstellt. Wählen Sie diese Option nur dann aus, wenn Sie die Variablen zu einem späteren Zeitpunkt für Authentifizierungsentscheidungen verwenden möchten. Anderenfalls führt dies möglicherweise zu negativen Auswirkungen auf die Leistung.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" des Dialogfelds "Authentifizierungsschema" für ein X.509-Client-Zertifikat und ein Standardschema enthält Folgendes:
  • Bibliothek
    Zeigt den Namen der Richtlinienserver-Bibliothek an, die verwendet wird, um das Authentifizierungsschema zu verarbeiten.
    Der Standardwert der Authentifizierungsbibliothek ist "smauthcert". Dieses Feld enthält den Namen der Bibliothek, die der Richtlinienserver benötigt, um Benutzeranmeldeinformationen über eine SSL-Verbindung umzuleiten und um das Zertifikat des Client zu überprüfen.
     
    Hinweis:
     Normalerweise müssen Sie dieses Feld nicht bearbeiten.
  • Parameter
    Zeigt die Zeichenfolge an, die aus Ihren Einträgen im Gruppenfeld "Schema-Setup" erstellt wurden. Diese Zeichenfolge ist der Parameter, den der Richtlinienserver mithilfe der Authentifizierungsbibliothek, die im Gruppenfeld "Schema-Setup" angegeben ist, verarbeitet. Der Parameter besteht aus dem Server und dem Ziel aus dem Gruppenfeld "Schema-Setup" mit der zusätzlichen ?cert+basic-Zeichenfolge, die die Verwendung der Client-Zertifikatsauthentifizierung und der Standardauthentifizierung anzeigt.
  • Diesen Plan für 
    CA Single Sign-on
    -Administratoren aktivieren
    Dieses Kontrollkästchen ist standardmäßig für X.509-Client-Zertifikatsschemen deaktiviert. Sie können dieses Schema nicht verwenden, um Richtlinienserver-Administratoren zu authentifizieren.
 
Hinweis: 
Sie müssen eine Zertifikatszuordnung für dieses Authentifizierungsschema festlegen. Eine Zertifikatszuordnung verknüpft Zertifikatsinformationen zu einem Benutzereintrag in einem Verzeichnis.
Dialogfeld "Authentifizierungsschema" - X509-Client-Zertifikat oder einfache Vorlage
Damit 
CA Single Sign-on
 Benutzer authentifiziert, die auf X.509-Client-Zertifikate basieren, müssen Sie ein Authentifizierungsschema in der Verwaltungsoberfläche konfigurieren und die Zertifikatszuordnung für das Authentifizierungsschema festlegen.
Gruppenfeld "Schema-Setup"
Im Gruppenfeld "Schema-Setup" für X.509-Client-Zertifikat oder Standardauthentifizierung geben Sie Informationen für den Server und das Ziel für Ihr Zertifikatsauthentifizierungsschema ein.
Hinweis:
 Benutzer, die versuchen, auf eine Ressource in einem geschützten Bereich zuzugreifen, müssen ein gültiges X.509-Client-Zertifikat haben, das 
CA Single Sign-on
 mithilfe eines Serverzertifikats überprüfen kann. Außerdem muss der Benutzer einen Benutzernamen und ein Kennwort angeben, der bzw. das in einem Benutzerverzeichnis in der Richtliniendomäne überprüft wird.
  • Servername
    Gibt den vollständig qualifizierten Domänennamen des SSL-Servers an.
     
    Hinweis:
     IP-Adressen werden nicht unterstützt.
    Dieser Server ist für das Herstellen einer SSL-Verbindung verantwortlich. Normalerweise ist dieser Server nicht der Server, auf dem der Web-Agent installiert ist.
    Der Server agiert als Anfang der URL, die 
    CA Single Sign-on
     verwendet, um ein X.509-Zertifikat über eine SSL-Verbindung umzuleiten.
    Domänennamen müssen mindestens zwei Punkte enthalten. Geben Sie den Servernamen in folgendem Format ein:
    servername.host.com
     
    Beispiel: 
    server1.security.com
  • Port
    Gibt den Port an, den der SSL-Server überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
  • Ziel
    Gibt den Pfad und den Namen für den SSL-Anmeldedatensammler (SCC) an.
    Das Ziel teilt dem 
    CA Single Sign-on
    -Web-Agenten mit, was verwendet werden soll, um den SCC abzurufen. Diese Informationen vervollständigen die URL, die 
    CA Single Sign-on
     verwendet, um die Benutzeranmeldeinformationen über eine SSL-Verbindung zu leiten und um die Zertifikatauthentifizierung zu verarbeiten. Das Ziel kann angepasst werden, wenn Proxyserver bestimmte URLs benötigen, um "Basic over SSL"-Authentifizierung zu unterstützen.
    CA Single Sign-on
     gibt einen Standardpfad an, wenn Sie das Authentifizierungsschema des X.509-Client-Zertifikats auswählen.
  • Kontrollkästchen "Grundlegende Anmeldeinformationen über SSL"
    Aktivieren Sie dieses Kontrollkästchen, wenn der grundlegende Benutzername und das Kennwort der Anmeldeinformationen über eine SSL-Verbindung übermittelt werden.
  • Einfacher Servername
    Gibt den vollständig qualifizierten Namen des SSL-Servers an. Geben Sie einen Wert in dieses Feld ein, wenn das Kontrollkästchen "Grundlegende Anmeldeinformationen über SSL" aktiviert ist.
    Dieser Server ist für das Herstellen einer SSL-Verbindung für Standardauthentifizierung verantwortlich. Normalerweise ist dieser Server nicht der gleiche Server, auf dem der Web-Agent installiert ist.
    Der Server agiert als Anfang der URL, die 
    CA Single Sign-on
     verwendet, um Anmeldeinformationen über eine SSL-Verbindung zu leiten. Basierend auf dem Typ des Webservers, auf dem der Web-Agent installiert ist, unterscheidet sich die Syntax für den Server leicht. Folgende Definitionen beschreiben die korrekte Syntax für das Serverfeld, das auf dem Typ des Webservers basiert:
    IIS oder Oracle -- 
    servername
    .
    domain
    :
    port
    Apache
     -- servername.domain:port
    Domänennamen benötigen mindestens zwei Punkte. Beispiel:
    .security.com
  • Einfaches Ziel
    Gibt den Pfad und den Namen für den SSL-Anmeldedatensammler (SCC) an.
    Das Ziel teilt dem 
    CA Single Sign-on
    -Web-Agenten mit, was verwendet werden soll, um den SCC abzurufen. Diese Informationen vervollständigen die URL, die 
    CA Single Sign-on
     verwendet, um die Benutzeranmeldeinformationen über eine SSL-Verbindung für die Standardauthentifizierung zu leiten. Das Ziel kann angepasst werden, wenn Proxyserver bestimmte URLs benötigen, um "Basic over SSL"-Authentifizierung zu unterstützen.
  • Variable der Authentifizierungssitzung beibehalten
    (Optional) Legt fest, dass die Daten des Authentifizierungskontextes im Sitzungsspeicher als Sitzungsvariablen gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Variablen, die bei Authentifizierungsentscheidungen verwendet werden können.
    Wichtig
    ! Wenn Authentifizierungsdaten im Sitzungsspeicher beibehalten werden, wird eine Beeinträchtigung in der Authentifizierungsdauer erstellt. Wählen Sie diese Option nur dann aus, wenn Sie die Variablen zu einem späteren Zeitpunkt für Authentifizierungsentscheidungen verwenden möchten. Anderenfalls führt dies möglicherweise zu negativen Auswirkungen auf die Leistung.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" des Dialogfelds "Authentifizierungsschema" für ein X.509-Client-Zertifikat und ein Standardschema enthält Folgendes:
  • Bibliothek
    Zeigt den Namen der Richtlinienserver-Bibliothek an, die verwendet wird, um das Authentifizierungsschema zu verarbeiten.
    Der Standardwert der Authentifizierungsbibliothek ist "smauthcert". Dieses Feld enthält den Namen der Bibliothek, die der Richtlinienserver benötigt, um Benutzeranmeldeinformationen über eine SSL-Verbindung umzuleiten und um das Zertifikat des Client zu überprüfen.
     
    Hinweis:
     Normalerweise müssen Sie dieses Feld nicht bearbeiten.
  • Parameter
    Zeigt die Zeichenfolge an, die aus Ihren Einträgen im Gruppenfeld "Schema-Setup" erstellt wurden. Diese Zeichenfolge ist der Parameter, den der Richtlinienserver mithilfe der Authentifizierungsbibliothek, die im Gruppenfeld "Schema-Setup" angegeben ist, verarbeitet. Der Parameter besteht aus dem Server und dem Ziel aus dem Gruppenfeld "Schema-Setup" mit der zusätzlichen ?certorbasic-Zeichenfolge, die die Verwendung der Zertifikatsauthentifizierung und der Standardauthentifizierung anzeigt.
  • Diesen Plan für 
    CA Single Sign-on
    -Administratoren aktivieren
    Dieses Kontrollkästchen ist standardmäßig für X.509-Client-Zertifikatsschemen deaktiviert. Sie können dieses Schema nicht verwenden, um Richtlinienserver-Administratoren zu authentifizieren.
 
Hinweis: 
Sie müssen eine Zertifikatszuordnung für dieses Authentifizierungsschema festlegen. Eine Zertifikatszuordnung verknüpft Zertifikatsinformationen zu einem Benutzereintrag in einem Verzeichnis.
Agenten-IP-Whitelist
Das Gruppenfeld "Agenten-IP-Whitelist" im Dialogfeld "Authentifizierungsschema" für ein Windows-Authentifizierungsschema enthält Folgendes:
  • AgentIP-Überprüfung
    Aktiviert die Agenten-IP-Validierung.
  • Hinzufügen
    Fügt eine neue Agenten-IP-Adresse zur Liste der Authentifizierungsschemen hinzu.
  • Löschen
    Löscht die Agenten-IP-Adresse aus der Liste.
Dialogfeld "Authentifizierungsschema" - X509-Client-Zertifikat und Formularvorlage
Damit 
CA Single Sign-on
 Benutzer authentifiziert, die auf X.509-Client-Zertifikate basieren, müssen Sie ein Authentifizierungsschema in der Verwaltungsoberfläche konfigurieren und die Zertifikatszuordnung für das Authentifizierungsschema festlegen.
Gruppenfeld "Setup"
Im Gruppenfeld "Schema-Setup" für X.509-Client-Zertifikat oder HTML-Formularauthentifizierung geben Sie Informationen für den Server und das Ziel für Ihr Zertifikatsauthentifizierungsschema ein.
Hinweis:
 Benutzer, die versuchen, auf eine Ressource in einem geschützten Bereich zuzugreifen, können mit einem gültigen X.509-Client-Zertifikat oder über die Anmeldeinformationen des Formulars authentifiziert werden. Diese Anmeldeinformationen befinden sich in einem Benutzerverzeichnis, das der Richtliniendomäne zugeordnet ist, und werden dort überprüft.
  • Servername
    Gibt den vollständig qualifizierten Domänennamen des SSL-Servers an.
     
    Hinweis:
     IP-Adressen werden nicht unterstützt.
    Dieser Server ist für das Herstellen einer SSL-Verbindung verantwortlich. Normalerweise ist dieser Server nicht der Server, auf dem der Web-Agent installiert ist.
    Der Server agiert als Anfang der URL, die 
    CA Single Sign-on
     verwendet, um ein X.509-Zertifikat über eine SSL-Verbindung umzuleiten.
    Domänennamen müssen mindestens zwei Punkte enthalten. Geben Sie den Servernamen in folgendem Format ein:
    servername.host.com
     
    Beispiel: 
    server1.security.com
  • Port
    Gibt den Port an, den der SSL-Server überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
  • Ziel
    Gibt den Pfad und den Namen für den SSL-Anmeldedatensammler (SFCC) an.
    Das Ziel ist 
    .sfcc 
    Das Ziel teilt dem 
    CA Single Sign-on
    -Web-Agenten mit, was verwendet werden soll, um den SFCC abzurufen. Diese Informationen vervollständigen die URL, die 
    CA Single Sign-on
     verwendet, um die Benutzeranmeldeinformationen über eine SSL-Verbindung zu leiten und um die Zertifikatauthentifizierung zu verarbeiten.
    CA Single Sign-on
     gibt einen Standardpfad an, wenn Sie das X.509-Client-Zertifikat oder das Authentifizierungsschema für HTML-Formulare auswählen.
  • Zusätzliche Attributliste
    (Optional) Gibt andere Benutzerattribute als den Benutzernamen an. Wenn Sie Attribute auflisten, beginnen Sie "AL=", und verwenden Sie Kommas, um die Benutzerattributnamen zu trennen.
    Beispiel:
     AL=PASSWORD,SSN,age,zipcode
    "AL=" ist eine 
    CA Single Sign-on
    -Notation, die die Liste der betroffenen Attribute anzeigt. Standardmäßig wird die Liste der Attribute als AND-ähnliche Abfrage betrachtet. Der Richtlinienserver vergleicht alle Attributwerte, die vom Benutzer erfasst wurden, mit den entsprechenden Attributwerten im Benutzerverzeichnis. Wenn alle Attributwerte genau übereinstimmen, wird der Benutzer erfolgreich authentifiziert.
     
    Hinweis:
     Sie können Benutzer mit Attributen authentifizieren, die mehrere Werte enthalten. Um anzugeben, dass ein Attribut mehrere Werte hat, stellen Sie dem Attributnamen ein Caret-Zeichen (^) voran.
    Beispiel:
     Wenn Sie ein mehrwertiges "mail"-Attribut verwenden, um Benutzer zu authentifizieren, geben Sie "AL=^mail" an. Ein Benutzer kann einen der gültigen Werte angeben, um eine Authentifizierung durchzuführen.
    Einschränkung:
     Die Werte eines mehrwertigen Attributs können kein Caret-Zeichen enthalten. Ein Wert, der ein Caret-Zeichen enthält, führt möglicherweise dazu, dass Benutzer nicht ordnungsgemäß authentifiziert werden. Wenn ein Wert zum Beispiel 123^456 ist, könnte ein Benutzer zusätzlich zu 123^456 auch mit 123 und 456 authentifiziert werden.
    Damit 
    CA Single Sign-on
     zusätzliche Attribute erfasst, enthält die .fcc-Datei, die ein Formular für die HTML-Formularauthentifizierung generiert, die Attribute.
  • Alternativen FCC-Speicherort verwenden
    Aktivieren Sie dieses Kontrollkästchen, wenn Sie ein Ziel angeben möchten, zu dem die Sammlung der Formulare umgeleitet wird. Eine mögliche Verwendung für eine solche Umleitung ist es, mehrere SSL-basierte Challenges zu vermeiden.
  • Alternativer Servername
    Gibt den Namen des Webservers an, auf dem der alternative FCC installiert wurde. Geben Sie einen Wert in dieses Feld ein, wenn "Alternativen FCC-Speicherort verwenden" ausgewählt ist.
  • Alternatives Ziel
    Gibt den Pfad und die .fcc-Datei an. Geben Sie einen Wert in dieses Feld ein, wenn "Alternativen FCC-Speicherort verwenden" ausgewählt ist.
    Der Standardpfad verweist auf ein virtuelles Verzeichnis auf dem Webserver, das im Feld "Alternativer Servername" angegeben ist, das während der 
    CA Single Sign-on
    -Installation erstellt wurde. Das Standardziel gibt die Datei "login.fcc" an, die eine Beispieldatei ist, die angepasst werden kann.
  • SSL-Verbindung verwenden
    Aktivieren Sie dieses Kontrollkästchen, wenn Anmeldeinformationen der HTML-Formulare über eine SSL-Verbindung übermittelt werden. Stellen Sie sicher, dass Sie das Kontrollkästchen "Alternativen FCC-Speicherort verwenden" aktivieren, um auf das Kontrollkästchen "SSL-Verbindung verwenden" zuzugreifen.
  • Variable der Authentifizierungssitzung beibehalten
    (Optional) Legt fest, dass die Daten des Authentifizierungskontextes im Sitzungsspeicher als Sitzungsvariablen gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Variablen, die bei Authentifizierungsentscheidungen verwendet werden können.
    Wichtig
    ! Wenn Authentifizierungsdaten im Sitzungsspeicher beibehalten werden, wird eine Beeinträchtigung in der Authentifizierungsdauer erstellt. Wählen Sie diese Option nur dann aus, wenn Sie die Variablen zu einem späteren Zeitpunkt für Authentifizierungsentscheidungen verwenden möchten. Anderenfalls führt dies möglicherweise zu negativen Auswirkungen auf die Leistung.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" für ein X.509-Client-Zertifikat und das Authentifizierungsschema für HTML-Formulare enthält Folgendes:
  • Bibliothek
    Zeigt den Namen der Richtlinienserver-Bibliothek an, die verwendet wird, um das Authentifizierungsschema zu verarbeiten.
    Der Standardwert der Authentifizierungsbibliothek ist "smauthcert". Dieses Feld enthält den Namen der Bibliothek, die der Richtlinienserver verwendet, um das Zertifikat des Client zu überprüfen.
     
    Hinweis:
     Normalerweise müssen Sie dieses Feld nicht bearbeiten.
  • Parameter
    Zeigt die Zeichenfolge an, die aus Ihren Einträgen im Gruppenfeld "Schema-Setup" erstellt wurden. Diese Zeichenfolge ist der Parameter, den der Richtlinienserver mithilfe der Authentifizierungsbibliothek, die im Gruppenfeld "Schema-Setup" angegeben ist, verarbeitet. Der Parameter besteht aus dem Server und dem Ziel aus dem Gruppenfeld "Schema-Setup" mit der zusätzlichen ?cert+forms-Zeichenfolge, die die Verwendung des X.509-Client-Zertifikats und das Authentifizierungsschema für HTML-Formulare anzeigt.
  • Diesen Plan für 
    CA Single Sign-on
    -Administratoren aktivieren
    Dieses Kontrollkästchen ist standardmäßig für X.509-Client-Zertifikatsschemen deaktiviert. Sie können dieses Schema nicht verwenden, um Richtlinienserver-Administratoren zu authentifizieren.
 
Hinweis: 
Sie müssen eine Zertifikatszuordnung für dieses Authentifizierungsschema festlegen. Eine Zertifikatszuordnung verknüpft Zertifikatsinformationen zu einem Benutzereintrag in einem Verzeichnis.
Dialogfeld "Authentifizierungsschema" - X509-Client-Zertifikat oder Formularvorlage
Damit 
CA Single Sign-on
 Benutzer authentifiziert, die auf X.509-Client-Zertifikate basieren, müssen Sie ein Authentifizierungsschema in der Verwaltungsoberfläche konfigurieren und die Zertifikatszuordnung für das Authentifizierungsschema festlegen.
Gruppenfeld "Schema-Setup"
In diesem Dialogfeld geben Sie Informationen über den SSL-Server und die scc-Datei für Ihr Authentifizierungsschema des X.509-Client-Zertifikats ein.
  • Servername
    Gibt den vollständig qualifizierten Domänennamen des SSL-Servers an.
     
    Hinweis:
     IP-Adressen werden nicht unterstützt.
    Dieser Server ist für das Herstellen einer SSL-Verbindung verantwortlich. Normalerweise ist dieser Server nicht der Server, auf dem der Web-Agent installiert ist.
    Der Server agiert als Anfang der URL, die 
    CA Single Sign-on
     verwendet, um ein X.509-Zertifikat über eine SSL-Verbindung umzuleiten.
    Domänennamen müssen mindestens zwei Punkte enthalten. Geben Sie den Servernamen in folgendem Format ein:
    servername.host.com
     
    Beispiel: 
    server1.security.com
  • Port
    Gibt den Port an, den der SSL-Server überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
  • Ziel
    Gibt den Pfad und den Namen für den SSL-Anmeldedatensammler (SCC) an.
    Das Ziel teilt dem Web-Agenten mit, was verwendet werden soll, um den SCC abzurufen. Diese Informationen vervollständigen die URL, die 
    CA Single Sign-on
     verwendet, um die Anmeldeinformationen über eine SSL-Verbindung zu leiten. Das Ziel kann angepasst werden, wenn Proxyserver bestimmte URLs benötigen, um "Basic over SSL"-Authentifizierung zu unterstützen.
    CA Single Sign-on
     gibt einen Standardpfad an, wenn Sie das Authentifizierungsschema des X.509-Client-Zertifikats auswählen.
  • Variable der Authentifizierungssitzung beibehalten
    (Optional) Legt fest, dass die Daten des Authentifizierungskontextes im Sitzungsspeicher als Sitzungsvariablen gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Variablen, die bei Authentifizierungsentscheidungen verwendet werden können.
    Wichtig
    ! Wenn Authentifizierungsdaten im Sitzungsspeicher beibehalten werden, wird eine Beeinträchtigung in der Authentifizierungsdauer erstellt. Wählen Sie diese Option nur dann aus, wenn Sie die Variablen zu einem späteren Zeitpunkt für Authentifizierungsentscheidungen verwenden möchten. Anderenfalls führt dies möglicherweise zu negativen Auswirkungen auf die Leistung.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" des Dialogfelds "Authentifizierungsschema" für ein X.509-Client-Zertifikat oder ein Authentifizierungsschema für HTML-Formulare enthält Folgendes:
  • Bibliothek
    Dieses Feld enthält den Namen der Richtlinienserver-Bibliothek, die verwendet wird, um das Authentifizierungsschema zu verarbeiten.
    Der Standardwert der Authentifizierungsbibliothek ist "smauthcert". Dieses Feld enthält den Namen der Bibliothek, die der Richtlinienserver benötigt, um Benutzeranmeldeinformationen über eine SSL-Verbindung umzuleiten und um das Zertifikat des Client zu überprüfen.
     
    Hinweis:
     Normalerweise müssen Sie dieses Feld nicht bearbeiten.
  • Parameter
    Dieses Feld zeigt die Zeichenfolge an, die aus Ihren Einträgen im Gruppenfeld "Schema-Setup" erstellt wurden. Diese Zeichenfolge ist der Parameter, den der Richtlinienserver mithilfe der Authentifizierungsbibliothek, die im Gruppenfeld "Schema-Setup" angegeben ist, verarbeitet. Der Parameter besteht aus dem Server und dem Ziel aus dem Gruppenfeld "Schema-Setup" mit der zusätzlichen ?certorform-Zeichenfolge, die die Verwendung des Zertifikats oder des HTML-Formulars anzeigt.
  • Diesen Plan für 
    CA Single Sign-on
    -Administratoren aktivieren
    Dieses Kontrollkästchen ist standardmäßig für X.509-Client-Zertifikatsschemen deaktiviert. Sie können dieses Schema nicht verwenden, um Richtlinienserver-Administratoren zu authentifizieren.
 
Hinweis: 
Sie müssen eine Zertifikatszuordnung für dieses Authentifizierungsschema festlegen. Eine Zertifikatszuordnung verknüpft Zertifikatsinformationen zu einem Benutzereintrag in einem Verzeichnis.
Agenten-IP-Whitelist
Das Gruppenfeld "Agenten-IP-Whitelist" im Dialogfeld "Authentifizierungsschema" für ein Windows-Authentifizierungsschema enthält Folgendes:
  • AgentIP-Überprüfung
    Aktiviert die Agenten-IP-Validierung.
  • Hinzufügen
    Fügt eine neue Agenten-IP-Adresse zur Liste der Authentifizierungsschemen hinzu.
  • Löschen
    Löscht die Agenten-IP-Adresse aus der Liste.
Dialogfeld "Authentifizierungsschema" - Anonyme Vorlage
Bevor Sie ein anonymes Authentifizierungsschema zu einem Bereich zuweisen können, müssen Sie das Schema im Dialogfeld "Authentifizierungsschema" konfigurieren.
Durch ein anonymes Authentifizierungsschema können nicht registrierte Benutzer auf bestimmten Webinhalt zugreifen. Wenn ein Benutzer auf eine Ressource zugreift, die über eine anonyme Authentifizierung verfügt, weist 
CA Single Sign-on
 dem Benutzer eine "GUID" (Global User Identification - globale Benutzerkennung) zu. 
CA Single Sign-on
 setzt diese GUID in ein dauerhaftes Cookie im Browser des Benutzers ein, sodass der Benutzer auf bestimmte Ressourcen zugreifen kann, ohne dabei zur Authentifizierung aufgefordert zu werden.
Gruppenfeld "Schema-Setup"
Hier geben Sie den Distinguished Name (DN) eines Benutzers an. Wenn ein anonymer Benutzer versucht, auf Ressourcen im Netzwerk zuzugreifen, dann verwendet 
CA Single Sign-on
 den DN, um die Berechtigungen des Benutzers zu ermitteln.
  • Benutzer-DN
    Gibt den Distinguished Name für Gäste an, den das anonyme Schema verwendet.
    Dieser DN bestimmt die Berechtigungen eines anonymen Benutzers. Wenn Sie das anonyme Authentifizierungsschema zu einem Bereich zuweisen, dann binden Sie Richtlinien an den Gast-DN. Ein anonymer Benutzer verfügt über Zugriffsberechtigungen, der für den Gast-DN angegeben wurde.
     
    Hinweis:
     Sie müssen einen DN für einen Benutzer angeben, nicht für eine Gruppe. Das anonyme Schema funktioniert nur dann, wenn Sie den DN eines Benutzers angeben.
    Authentifizierungsschemen sind Bereichen zugeordnet. Bereiche befinden sich unter Richtliniendomänen. Richtliniendomänen ermöglichen Verbindungen zu bestimmten Benutzerverzeichnissen. Wenn Sie einen DN in diesem Feld angeben, sucht der Richtlinienserver den DN in den Benutzerverzeichnissen, die in der Richtliniendomäne des Bereichs angegeben sind. Der Richtlinienserver überprüft die Benutzerverzeichnisse in der Suchreihenfolge, die für die Richtliniendomäne definiert sind.
  • Suche
    Klicken Sie, um das Dialogfeld für die Benutzersuche zu öffnen. Wenn Sie einen DN aus den Suchergebnissen auswählen, wird das Feld "Benutzer-DN" aufgefüllt.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" im Dialogfeld "Authentifizierungsschema" für ein anonymes Schema enthält Folgendes:
  • Bibliothek
    Zeigt den Namen der Bibliothek an, die der Richtlinienserver verwendet, um eine anonyme Authentifizierung aufzulösen.
  • Parameter
    Zeigt den Gast-DN an, den Sie in das DN-Feld im Gruppenfeld "Schema-Setup" eingegeben haben.
  • Diesen Plan für 
    CA Single Sign-on
    -Administratoren aktivieren
    Dieses Kontrollkästchen ist deaktiviert. Das anonyme Schema benötigt keinen Benutzernamen und kein Kennwort. Daher kann es nicht als Methode für die Authentifizierung von Richtlinienserver-Administratoren aktiviert werden.
Dialogfeld "Authentifizierungsschema" - Benutzerdefinierte Vorlage
Bevor Sie ein benutzerdefiniertes Authentifizierungsschema zu einem Bereich zuweisen zu können, müssen Sie das Schema im Dialogfeld "Authentifizierungsschema" konfigurieren.
Wenn Sie eine Authentifizierungsmethode verwenden möchten, die nicht von 
CA Single Sign-on
 bereitgestellt wird, können Sie ein benutzerdefiniertes Authentifizierungsschema erstellen. Wenn Sie ein benutzerdefiniertes Schema erstellen, dann konfigurieren Sie das Schema im Dialogfeld "Authentifizierung".
Gruppenfeld "Schema-Setup"
In diesem Dialogfeld geben Sie eine Bibliothek an, die Anmeldeinformationen für das benutzerdefinierte Schema verarbeitet, und Sie geben den Parameter an, der an die Bibliothek übergeben wird.
  • Bibliothek
    Gibt den Namen der Bibliothek an, die der Richtlinienserver verwendet, um das benutzerdefinierte Authentifizierungsschema zu verarbeiten.
    Die Bibliothek ist die freigegebene Bibliothek, die mithilfe einer API erstellt wird.
  • Geheimer Schlüssel und geheimen Schlüssel bestätigen
    Wenn das benutzerdefinierte Authentifizierungsschema einen gemeinsamen geheimen Schlüssel für die Verschlüsselung der Anmeldeinformationen benötigt, wird der gemeinsame geheime Schlüssel angegeben.
  • Parameter
    Gibt die Zeichenfolge an, die vom Richtlinienserver an die Bibliothek übergeben wird, um die benutzerdefinierte Authentifizierung zu verarbeiten.
  • Kontrollkästchen "Diesen Plan für 
    CA Single Sign-on
    -Administratoren aktivieren"
    Aktivieren Sie dieses Kontrollkästchen, wenn Sie möchten, dass das benutzerdefinierte Schema Richtlinienserver-Administratoren authentifiziert.
    Wenn dieses Kontrollkästchen aktiviert ist, kann das Schema für die Authentifizierung von Administratoren verwendet werden.
  • Variable der Authentifizierungssitzung beibehalten
    (Optional) Legt fest, dass die Daten des Authentifizierungskontextes im Sitzungsspeicher als Sitzungsvariablen gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Variablen, die bei Authentifizierungsentscheidungen verwendet werden können.
    Wichtig
    ! Wenn Authentifizierungsdaten im Sitzungsspeicher beibehalten werden, wird eine Beeinträchtigung in der Authentifizierungsdauer erstellt. Wählen Sie diese Option nur dann aus, wenn Sie die Variablen zu einem späteren Zeitpunkt für Authentifizierungsentscheidungen verwenden möchten. Anderenfalls führt dies möglicherweise zu negativen Auswirkungen auf die Leistung.
Agenten-IP-Whitelist
Das Gruppenfeld "Agenten-IP-Whitelist" im Dialogfeld "Authentifizierungsschema" für ein Windows-Authentifizierungsschema enthält Folgendes:
  • AgentIP-Überprüfung
    Aktiviert die Agenten-IP-Validierung.
  • Hinzufügen
    Fügt eine neue Agenten-IP-Adresse zur Liste der Authentifizierungsschemen hinzu.
  • Löschen
    Löscht die Agenten-IP-Adresse aus der Liste.
Dialogfeld "Authentifizierungsschema" - Benutzerdefinierte Vorlage für SAML 2.0
Wenn Sie eine Lizenz für 
CA Single Sign-on
 
eTrust SiteMinder FSS
 haben, können Sie eine benutzerdefinierte Vorlage für SAML 2.0-Authentifizierung für eine einzelne Bereichskonfiguration konfigurieren. Sie können einen einzelnen Bereich für mehrere Identity Provider erstellen, um die Konfiguration der Bereiche für SAML-Authentifizierungsschemen zu vereinfachen. Um einen einzelnen Zielbereich zu unterstützen, können Sie auch ein einzelnes benutzerdefiniertes Authentifizierungsschema konfigurieren.
 
Hinweis:
 Sie müssen ein konfiguriertes SAML 2.0-Authentifizierungsschema für jeden Identity Provider haben, bevor Sie eine benutzerdefinierte Vorlage konfigurieren.
Dialogfeld "Authentifizierungsschema" - Benutzerdefinierte Vorlage - Schema-Setup für SAML 2.0
Im Gruppenfeld "Schema-Setup" für eine benutzerdefinierte Vorlage definieren Sie die Bibliothek für das benutzerdefinierte Authentifizierungsschema. Sie können spezielle Parameter für benutzerdefinierte SAML 2.0-Authentifizierungsschemen angeben, die Teil einer einzelnen Konfiguration für den Zielbereich sind.
Die Einstellungen sind folgende:
  • Bibliothek
    Gibt den Bibliotheksnamen für das benutzerdefinierte einzelne Authentifizierungsschema an. Geben Sie "smauthsinglefed" für den Bibliotheksnamen ein.
  • Geheimer Schlüssel und geheimen Schlüssel bestätigen
    Ignorieren Sie diese Felder.
  • Parameter
    Geben Sie eine der folgenden Optionen an:
    • SCHEMESET=LIST; <
      saml-scheme1
      >;<
      saml_scheme2
      >
      Gibt die Liste mit den Namen der SAML-Authentifizierungsschemen an, die verwendet werden sollen. Wenn Sie ein Artefaktschema mit dem Namen "artifact_Idp1" und ein POST-Profilschema mit dem Namen "samlpost_IdP2" konfiguriert haben, dann geben Sie diese Schemen ein.
    • SCHEMESET=SAML_ALL;
      Gibt alle Schemen an, die Sie konfiguriert haben. Das benutzerdefinierte Authentifizierungsschema zählt alle SAML-Authentifizierungsschemen auf und sucht das Schema mit der richtigen Anbieter-Quell-ID für die Anforderung.
    • SCHEMESET=SAML_POST;
      Gibt alle SAML-POST-Profilschemen an, die Sie konfiguriert haben. Das benutzerdefinierte Authentifizierungsschema zählt die POST-Profilschemen auf und sucht das Schema mit der richtigen Anbieter-Quell-ID für die Anforderung.
    • SCHEMESET=SAML_ART;
      Gibt alle SAML-Artefaktschemen an, die Sie konfiguriert haben. Das benutzerdefinierte Authentifizierungsschema zählt die Artefaktschemen auf und sucht das Schema mit der richtigen Anbieter-Quell-ID für die Anforderung.
  • Diesen Plan für 
    CA Single Sign-on
    -Administratoren aktivieren
    Ignorieren Sie dieses Kontrollkästchen.
Dialogfeld "Authentifizierungsschema" - Vorlage für Annahme von Identitäten
Bevor Sie ein Authentifizierungsschema für die Annahme von Identitäten zu einem Bereich zuweisen können, müssen Sie das Schema im Dialogfeld "Authentifizierungsschema" konfigurieren.
Gruppenfeld "Schema-Setup"
In das Gruppenfeld "Schema-Setup" für die Authentifizierung der Annahme von Identitäten geben Sie den Server, das Ziel und die Attributliste für das Authentifizierungsschema für HTML-Formulare ein.
  • Webservername
    Gibt den vollständig qualifizierten Domänennamen des Webservers an, auf dem der FCC installiert ist.
     
    Hinweis:
     IP-Adressen werden nicht unterstützt.
    Der Server muss nicht der gleiche Server sein, auf dem der Agent installiert ist.
    Domänennamen müssen mindestens 2 Punkte enthalten. Der Server muss mithilfe des folgenden Formats eingegeben werden:
    Beispiel: 
    server1.security.com
    Bei diesem Namen wird Groß- und Kleinschreibung beachtet.
     
    Hinweis:
     Wenn Ihr Netzwerk mehrere Cookie-Domänen enthält, müssen Sie ein separates Authentifizierungsschema für die Annahme von Identitäten in jeder Cookie-Domäne konfigurieren, in der Sie eine Annahme von Identitäten implementieren möchten.
  • Port
    Gibt den Port an, den der Webserver überwacht. Dieser Wert ist nur für die Kommunikation über einen nicht standardmäßigen Port erforderlich.
  • Kontrollkästchen "SSL verwenden"
    Aktivieren Sie dieses Kontrollkästchen, wenn 
    CA Single Sign-on
     eine SSL-Verbindung verwenden soll, um die Authentifizierung für die Annahme von Identitäten zu verarbeiten.
  • Ziel
    Gibt den Pfad und die .fcc-Datei an, die vom Schema verwendet wird.
    Der Standardpfad verweist auf das virtuelle Verzeichnis "siteminderagent" (bzw. ein Unterverzeichnis wird erstellt) auf dem Webserver, der im Feld "Servername" angegeben ist. Das Verzeichnis und die standardmäßige .fcc-Datei werden während der Web-Agent-Installation erstellt. Das Standardziel gibt die Datei "imp.fcc" an, eine Beispieldatei, die angepasst werden kann.
  • Zusätzliche Attributliste
    (Optional) Attribute für den Identitätswechsel, abgesehen vom Benutzernamen, die von einem Identitätswechsel angegeben werden.
    Wenn Sie Attribute auflisten, beginnen Sie "AL=", und verwenden Sie Kommas, um die Benutzerattributnamen zu trennen.
    Beispiel:
     AL=SSN,age,zipcode
    AL= ist eine 
    CA Single Sign-on
    -Notation, die die Liste der Attribute angibt, die berücksichtigt werden soll. Standardmäßig wird die Liste der Attribute als AND-ähnliche Abfrage betrachtet. Der Richtlinienserver vergleicht alle Attributwerte, die vom Benutzer erfasst wurden, mit den entsprechenden Attributwerten im Benutzerverzeichnis. Wenn alle Attributwerte genau übereinstimmen, wird der Benutzer erfolgreich authentifiziert.
     
    Hinweis:
     Sie können Benutzer mit Attributen authentifizieren, die mehrere Werte enthalten. Um anzugeben, dass ein Attribut mehrere Werte hat, stellen Sie dem Attributnamen ein Caret-Zeichen (^) voran.
    Beispiel:
     Wenn Sie ein "Mail"-Attribut mit mehreren Werten verwenden, um Benutzer zu authentifizieren, dann würden Sie "AL=^mail" angeben, um anzuzeigen, dass "Mail" mehrere Werte enthält. Ein Benutzer kann einen der gültigen Werte angeben, um eine erfolgreiche Authentifizierung durchzuführen.
    Einschränkung:
     Die Werte eines mehrwertigen Attributs sollten keine Caret-Zeichen enthalten. Ein Wert, der ein Caret-Zeichen enthält, führt möglicherweise dazu, dass Benutzer nicht ordnungsgemäß authentifiziert werden. Wenn ein Wert zum Beispiel 123^456 ist, könnte ein Benutzer zusätzlich zu 123^456 auch mit 123 und 456 authentifiziert werden.
    Damit 
    CA Single Sign-on
     zusätzliche Attribute erfasst, muss die .fcc-Datei, die von 
    CA Single Sign-on
     zur Generierung eines Formulars für die Annahme von Identitäten verwendet wird, geändert werden, um die Attribute einzuschließen.
    Wenn zusätzliche Attribute in einem Schema für die Annahme von Identitäten verwendet werden, beachten Sie Folgendes:
    • Die Attribute werden nur verwendet, um Attributwerte abzugleichen, die dem Benutzer zugeordnet sind, der in einem Verzeichnis über den Benutzernamen gefunden wurde.
    • Bei Attributnamen wird auf Groß- und Kleinschreibung geachtet. Sie müssen genau mit den beiden Attributnamen übereinstimmen, die über das Verzeichnis und die Attributnamen implementiert wurden, die im Authentifizierungsschema angegeben sind.
     
    Hinweis: 
    Wenn Sie das "Software Development Kit" installiert haben, können Sie die API der 
    CA Single Sign-on
    -Authentifizierung verwenden, um zusätzliche Notationen zu definieren.
Gruppenfeld "Erweitert"
Das Gruppenfeld "Erweitert" für ein Schema für die Annahme von Identitäten enthält Folgendes:
  • Bibliothek
    Enthält den Namen der freigegebenen Bibliothek, die die Annahme von Identitäten verarbeitet. Ändern Sie diesen Wert nicht, sofern Sie kein benutzerdefiniertes Authentifizierungsschema haben, das mithilfe der API für die 
    CA Single Sign-on
    -Authentifizierung geschrieben wurde.
    Die standardmäßig freigegebene Bibliothek für die Authentifizierung der Annahme von Identitäten ist "SmAuthImpersonate".
  • Parameter
    Zeigt den Server und das Ziel an, die Sie in das Gruppenfeld "Schema-Setup" eingegeben haben. Es werden auch zusätzliche Attribute angezeigt, die Sie für das Authentifizierungsschema eingegeben haben. Der Server und das Ziel bilden den Speicherort der .fcc-Datei auf dem Webserver.
  • Diesen Plan für 
    CA Single Sign-on
    -Administratoren aktivieren
    Dieses Kontrollkästchen ist deaktiviert. Die Annahme von Identitäten kann nicht verwendet werden, um einen Richtlinienserver-Administrator zu authentifizieren.
Dialogfeld "Authentifizierungsschema" - JSON-Web-Token-Vorlage
Sie können das JSON-Web-Token-Authentifizierungsschema konfigurieren, um Ansprüche zu authentifizieren und sicher zwischen zwei Parteien auszutauschen. Der Abschnitt "Erweitert" des Authentifizierungsdialogfelds für die JWT-Konfiguration enthält folgende Felder:
Erweitert
 
Enthält folgende Felder, die Informationen anzeigen, die CA SSO verwendet, um die JWT-Authentifizierung zu konfigurieren:
  • Benutzersuche:
    Akzeptiert den benutzerdefinierten Feldnamen und ordnet ihn dem Anspruchsfeld im JWT-Token zu.
    Standard
    : Sub
  • Zertifikats-Alias-Liste:
    Ermöglicht es, dass die Zertifikats-Liste der Reihe nach verwendet wird, um das JWT-Token zu validieren.
  • Jose Header KID als Zertifikats-Alias verwenden:
    Ruft KID vom Token auf und validiert das JWT-Token.
  • SSL-Verbindung erfordern:
    Ermöglicht es dem Agenten, das JWT-Token gegenüber der HTTPS-Verbindung anzuordnen, wenn die SSL-Option aktiviert ist.
SAML 1.x - Eigenschaften des Authentifizierungsschemas
Authentifizierungsschema - Vorlage für SAML-Artefakt
Sie können das Authentifizierungsschema des SAML-Artefakts für SAML 1.x konfigurieren. Nachdem das Schema konfiguriert wurde, können Sie es einem Bereich zuweisen.
Der Bereich "Allgemein" und "Allgemeines Schema-Setup" des Dialogfelds "Authentifizierungsschema" enthält die folgenden Felder:
  • Name
    Bezeichnet einen Namen für das Authentifizierungsschema.
     
    Hinweis:
     Wenn Active Directory-Anwendungsmodus (ADAM) als Richtlinienspeicher verwendet wird, beträgt die maximale Länge für den Authentifizierungsschemanamen 22 Zeichen.
  • Beschreibung
    Gibt eine Beschreibung des Authentifizierungsschemas an.
Das allgemeine Schema-Setup bestimmt das Authentifizierungsschema. Dieser Teil des allgemeinen Bereichs enthält die folgenden Felder:
  • Typ des Authentifizierungsschemas
    Gibt die Vorlage an, die Sie für das Authentifizierungsschema verwenden.
  • Schutzebene
    Erlaubt Single Sign-On für Authentifizierungsschemen mit den gleichen oder niedrigeren Schutzebenen innerhalb der gleichen Richtliniendomäne. Die Schutzebene erfordert auch zusätzliche Authentifizierung, um auf Ressourcen mit höheren Schemen der Schutzebene zuzugreifen.
    Grenze: 
    1 und 1.000
    Authentifizierungsschemen haben eine standardmäßige Schutzebene, die Sie ändern können. Verwenden Sie hohe Schutzebenen für kritische Ressourcen, und verwenden Sie Schemen mit niedrigeren Ebenen für allgemein zugreifbare Ressourcen.
  • Kennwortrichtlinien, die für dieses Authentifizierungsschema aktiviert sind
    Zeigt an, dass konfigurierte Kennwortrichtlinien dem Authentifizierungsschema zugeordnet sind.
Konfigurieren Sie die Details des Schemas im Abschnitt Schema-Setup des Dialogfelds.
Authentifizierungsschema - Vorlage für SAML-POST
Sie können das SAML-POST-Authentifizierungsschema für das SAML 1.x-POST-Profil konfigurieren. Nachdem Sie das Authentifizierungsschema konfiguriert haben, weisen Sie es einem Bereich zu.
Der Bereich "Allgemein" und "Allgemeines Schema-Setup" des Dialogfelds "Authentifizierungsschema" enthält die folgenden Felder:
  • Name
    Bezeichnet einen Namen für das Authentifizierungsschema.
     
    Hinweis:
     Wenn Active Directory-Anwendungsmodus (ADAM) als Richtlinienspeicher verwendet wird, beträgt die maximale Länge für den Authentifizierungsschemanamen 22 Zeichen.
  • Beschreibung
    Gibt eine Beschreibung des Authentifizierungsschemas an.
Das allgemeine Schema-Setup bestimmt das Authentifizierungsschema. Dieser Teil des allgemeinen Bereichs enthält die folgenden Felder:
  • Typ des Authentifizierungsschemas
    Gibt die Vorlage an, die Sie für das Authentifizierungsschema verwenden.
  • Schutzebene
    Erlaubt Single Sign-On für Authentifizierungsschemen mit den gleichen oder niedrigeren Schutzebenen innerhalb der gleichen Richtliniendomäne. Die Schutzebene erfordert auch zusätzliche Authentifizierung, um auf Ressourcen mit höheren Schemen der Schutzebene zuzugreifen.
    Grenze: 
    1 und 1.000
    Authentifizierungsschemen haben eine standardmäßige Schutzebene, die Sie ändern können. Verwenden Sie hohe Schutzebenen für kritische Ressourcen, und verwenden Sie Schemen mit niedrigeren Ebenen für allgemein zugreifbare Ressourcen.
  • Kennwortrichtlinien, die für dieses Authentifizierungsschema aktiviert sind
    Zeigt an, dass konfigurierte Kennwortrichtlinien dem Authentifizierungsschema zugeordnet sind.
Konfigurieren Sie die Details des Schemas im Abschnitt Schema-Setup des Dialogfelds.
Authentifizierungsschema - Vorlage für SAML-Artefakt - Schema-Setup
Im Abschnitt "Schema-Setup" des SAML 1.x-Artefaktauthentifizierungsschemas können Sie Folgendes angeben:
  • Wie der Consumer mit dem Producer kommuniziert, um eine Assertion abzurufen.
  • Wie ein Benutzer mit einer Assertion authentifiziert wird.
  • Wie der Benutzer zur Zielressource geleitet wird.
Die Felder im Abschnitt für das Schema-Setup sind:
  • Partnername
    Benennt den Consumer. Geben Sie eine Buchstabenfolge ein, zum Beispiel "CompanyA".
    Der Name, den Sie eingeben, muss mit dem Wert des Namensfelds für das zugeordnete Partnerobjekt beim Producer übereinstimmen.
     
    Wichtig!
     Für das SAML-Artefaktprofil sendet der Producer die Assertion über einen geschützten Backchannel an den Consumer. Schützen Sie den Backchannel mit einer standardmäßigen Zertifikatsauthentifizierung oder mit einer Client-Zertifikatsauthentifizierung.
    Folgende Konfigurationsrichtlinien beziehen sich auf dieses Feld für Single Sign-On des HTTP-Artefakts:
  • Kennwort
    Definiert das Kennwort, das der Consumer verwendet, um sich beim Producer zu identifizieren.
    Dieses Kennwort muss mit dem Kennwort übereinstimmen, das für den Consumer auf der Producer-Site eingegeben wird.
  • Company Source ID (Quell-ID des Unternehmens)
    Gibt die Quell-ID des Producer an. Der SAML-Spezifikationsstandard definiert eine Quell-ID als eine 20 Byte binäre, hex-kodierte Zahl, die den Producer identifiziert. Der Consumer verwendet diese ID, um einen Assertionsaussteller zu bestimmen.
    Geben Sie die ID ein, die der Producer in einer Out-Of-Band-Kommunikation angibt.
    Wenn 
    CA Single Sign-on
     der Producer ist, ist die Quell-ID in der Eigenschaftsdatei des SAML 1.x-Assertionsgenerators, "AMAssertionGenerator.properties", im Verzeichnis "
    policy_server_home
    /config/properties".
    Der Standardwert für "Company Source ID" (Quell-ID des Unternehmens) ist: b818452610a0ea431bff69dd346aeeff83128b6a
     
    Hinweis:
     Die Datei "AMAssertionGenerator.properties" wird nur für das SAML 1.x-Profil verwendet.
  • URL des Assertionsabrufs
    Definiert die URL des Services beim Producer, wo der Consumer die SAML-Assertion abruft. Insbesondere identifiziert diese URL den Speicherort des Assertionsabrufdienstes, der eine URL sein muss, auf die über eine SSL-Verbindung zugegriffen wurde.
    Wenn der Assertionsabrufdienst beim Producer Teil eines Bereichs ist, der das Authentifizierungsschema "Basic over SSL" verwendet, dann ist die Standard-URL:
    https://
    idp_server:port
    /affwebservices/assertionretriever
    Wenn der Assertionsabrufdienst beim Producer Teil eines Bereichs ist, der das Authentifizierungsschema des X.509-Client-Zertifikats verwendet, dann ist die Standard-URL:
    https://
    idp_server:port
    /affwebservices/certassertionretriever
    idp_server:port
    Identifiziert den Webserver und den Port, der das Web-Agent-Optionspaket oder das SPS-Federation-Gateway hostet.
  • Zielgruppe
    (Optional) Definiert die Zielgruppe für die SAML-Assertion.
    Die Zielgruppe identifiziert den Speicherort eines Dokuments, das die Bedingungen der Geschäftsvereinbarung zwischen dem Producer und dem Consumer beschreibt. Der Administrator bestimmt die Zielgruppe auf der Producer-Site. Der Wert in diesem Feld muss mit der Zielgruppe übereinstimmen, die beim Producer angegeben ist.
    Der Zielgruppenwert darf 1 K nicht überschreiten.
    Um die Zielgruppe anzugeben, geben Sie eine URL ein. Bei diesem Element wird Groß- und Kleinschreibung beachtet. Beispiel:
    http://www.companya.com/SampleAudience
  • D-Sig Alias
    Gibt den Alias des Zertifikats im Zertifikatsdatenspeicher an, den der Consumer verwendet, um die digitale Signatur der Assertion zu überprüfen. Dieser Alias entspricht dem Zertifikat. Der Zertifikatstyp, der für die Prüfung verwendet wird, ist ein CertificateEntry- oder ein KeyEntry-Zertifikat.
  • Authentifizierung
    Gibt die Authentifizierungsmethode für den Bereich beim Producer an, der den Assertionsabrufdienst enthält. Der Wert dieses Felds bestimmt den Typ der Anmeldeinformationen, die der SAML-Anmeldedatensammler beim Consumer angeben muss. Diese Anmeldeinformationen ermöglichen es dem Consumer, auf den Assertionsabrufdienst zuzugreifen und die SAML-Assertion abzurufen.
    Der Assertionsabrufdienst erhält die Assertion vom Richtlinienserver beim Producer, und sendet sie anschließend über einen SSL-Backchannel an den Consumer. Es ist empfehlenswert, den Assertionsabrufdienst zu schützen.
    Wählen Sie eine der folgenden Optionen aus:
    • Standardauthentifizierung
      Für den Assertionsabrufdienst, der Teil eines Bereichs ist, der durch ein standardmäßiges Authentifizierungsschema oder durch ein "Basic over SSL"-Authentifizierungsschema geschützt wird.
      Wenn Sie "Standardauthentifizierung" auswählen, ist keine zusätzliche Konfiguration am Producer oder Consumer erforderlich. Die Ausnahme ist, wenn das Zertifikat der Zertifizierungsstelle, das die SSL-Verbindung hergestellt hat, nicht im Zertifikatsdatenspeicher beim Consumer ist. Wenn das entsprechende Zertifikat nicht im Datenspeicher ist, importieren Sie es.
    • Client-Zertifikat
      Für den Assertionsabrufdienst, der Teil eines Bereichs ist, der von einem Authentifizierungsschema des X.509-Client-Zertifikats geschützt wird. Wenn Sie diese Option auswählen, konfigurieren Sie den Zugriff auf den Assertionsabrufdienst mit einem Client-Zertifikat.
      Wenn Sie "Client-Zertifikat" auswählen, stellen Sie die Konfigurationsschritte am Consumer und am Producer fertig, um mit dem Client-Zertifikat auf den Assertionsabrufdienst zuzugreifen.
      Sie können Nicht-FIPS-140-verschlüsselte Zertifikate verwenden, um den Backchannel zu sichern, auch wenn der Richtlinienserver im Nur-FIPS-Modus ausgeführt wird. Für Nur-FIPS-Installationen müssen Sie allerdings Zertifikate verwenden, die nur mit FIPS-140-kompatiblen Algorithmen verschlüsselt sind.
  • Kennwort bestätigen
    Bestätigt das Kennwort, das Sie im Feld "Kennwort" angegeben haben.
  • SAML-Version
    Gibt die Version der SAML-Spezifikation an, mit der die Assertion generiert wird. Die Optionen sind 1.0 oder 1.1. SAML 1.1 ist der Standardwert.
    Es muss eine Übereinstimmung zwischen dem SAML-Protokoll und den Assertionsversionen geben, die der Producer oder Consumer verwendet. Wenn ein Producer beispielsweise SAML 1.1 verwendet und eine SAML 1.0-Anforderung erhält, wird ein Fehler zurückgegeben. Wenn ein Consumer SAML 1.1 verwendet und eine SAML 1.0-Assertion erhält, die in einem SAML 1.1-Protokollelement eingebettet ist, dann wird ein Fehler zurückgegeben.
  • Umleitungsmodus
    Zeigt die Methode an, die der SAML-Anmeldedatensammler verwendet, um den Benutzer an die Zielressource umzuleiten. Wenn Sie "302 - Keine Daten" oder "302 - Cookie-Daten" auswählen, ist keine weitere Konfiguration erforderlich. Wenn Sie "Server-Umleitung" oder "Dauerhafte Attribute" auswählen, ist eine zusätzliche Konfiguration erforderlich.
    • 302 - Keine Daten (Standard)
      Leitet Benutzer durch eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und ohne andere Daten um.
    • 302 - Cookie-Daten
      Leitet Benutzer durch eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und zusätzlichen Cookie-Daten um, die auf der Site konfiguriert werden, die die Assertion erstellt hat.
    • Server-Umleitung
       
      Ermöglicht, dass Header- und Cookie-Attributinformationen, die als Teil einer SAML-Assertion empfangen wurden, an eine benutzerdefinierte Zielanwendung weitergegeben werden. Der SAML-Anmeldedatensammler überträgt den Benutzer mithilfe der serverseitigen Umleitungstechnologie auf die Zielanwendungs-URL. Serverseitige Umleitungen sind ein Bestandteil der Java Servlet-Spezifikation. Alle standardmäßig kompatiblen Servlet-Container unterstützen serverseitige Umleitungen.
      Befolgen Sie zum Verwenden des Serverumleitungsmodus folgende Anforderungen:
      • Geben Sie eine URL für diesen Modus an, der relativ zum Kontext des Servlets ist, das die Assertion nutzt (normalerweise /affwebservices/public/). Der Stamm des Kontexts ist der Stamm der Federation-Webservices-Anwendung (normalerweise /affwebservices/).
        Alle Zielanwendungsdateien müssen sich im Stammverzeichnis der Anwendung befinden. Dieses Verzeichnis ist entweder:
        • Web-Agent:
           web_agent_home
          \webagent\affwebservices
        • SPS-Federation-Gateway:
           sps_home
          \secure-proxy\Tomcat\webapps\affwebservices
      • Definieren Sie Bereiche, Regeln und Richtlinien, um Zielressourcen zu schützen. Definieren Sie die Bereiche mindestens mit dem Wert /affwebservices/ im Ressourcenfilter.
      • Installieren Sie eine benutzerdefinierte Java- oder JSP-Anwendung auf dem Server, auf dem die Federation-Webservices-Anwendung ausgeführt wird. Die Anwendung wird zusammen mit dem Web-Agent-Optionspaket oder dem SPS-Federation-Gateway installiert.
        Die Java-Servlet-Technologie ermöglicht Anwendungen, Informationen zwischen zwei Ressourcenanfragen mithilfe der setAttribute-Methode auf der ServletRequest-Schnittstelle weiterzugeben.
        Der Service, der Assertionen nutzt, sendet das Benutzerattribut an die Zielanwendung. Unterschiedliche Attributobjekte im Anfrageobjekt werden festgelegt, bevor der Service den Benutzer an die Zielanwendung umleitet.
        Der Service erstellt zwei java.util.HashMap-Objekte. Das erste dient zum Speichern sämtlicher Header-Attribute, das zweite zum Speichern sämtlicher Cookie-Attribute. Der Service verwendet eindeutige Attributnamen, um jedes Hashzuordnungsobjekt darzustellen:
        • Das "Netegrity.HeaderAttributeInfo"-Attribut stellt die Hash-Zuordnung dar, die Header-Attribute enthält.
        • Das "Netegrity.CookieAttributeInfo"-Attribut stellt die Hash-Zuordnung dar, die Cookie-Attribute enthält.
        Zwei andere Java.lang.String-Attribute werden vom Assertions-Nutzungsservice festgelegt, um die Benutzeridentität an die benutzerdefinierte Anwendung weiterzuleiten:
        • Das "Netegrity.smSessionID"-Attribut stellt die Sitzungs-ID dar.
        • Das "Netegrity.userDN"-Attribut stellt den Benutzer-DN dar.
      Die benutzerdefinierte Zielanwendung auf dem Consumer kann diese Objekte vom HTTP-Anforderungsobjekt lesen und verwendet die in den Hashzuordnungsobjekten gefundenen Daten.
    • Dauerhafte Attribute
      Leitet den Benutzer über eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und ohne andere Daten um. Zusätzlich weist dieser Modus den Richtlinienserver an, Attribute zu speichern, die aus einer Assertion im Sitzungsspeicher extrahiert werden. Die Attribute können dann als HTTP-Header-Variablen bereitgestellt werden. Zusätzliche Konfigurationen finden Sie in den Anweisungen für die Verwendung von SAML-Attributen als HTTP-Header.
       
      Hinweis
       Wenn Sie dauerhafte Attribute auswählen und die Assertion über leere Attribute verfügt, wird der Wert NULL in den Sitzungsspeicher geschrieben. Dieser Wert fungiert als ein Platzhalter für das leere Attribut. Der Wert wird an eine beliebige Anwendung mit dem Attribut weitergegeben.
  • Aussteller
    Identifiziert den Producer, der Assertionen für den Consumer ausstellt. Bei diesem Element wird Groß- und Kleinschreibung beachtet.
    Der Consumer akzeptiert nur Assertionen von diesem Aussteller. Der Administrator beim Producer bestimmt den Aussteller.
     
    Hinweis: 
    Der Wert, den Sie für den Aussteller eingeben, muss mit dem Wert in "AssertionIssuerID" beim Producer übereinstimmen. Dieser Wert wird in der Datei "AMAssertionGenerator.properties" angegeben, die sich hier befindet: 
    siteminder_home
    /Config/properties/AMAssertionGenerator.properties
  • Daten-XPATH suchen
    Die XPath-Abfrage teilt dem Authentifizierungsschema mit, wo in der Assertion ein bestimmter Eintrag, der dann als Benutzeranmeldungs-ID dient, gesucht werden soll. Der Wert, den die Abfrage erhält, wird ein Teil der Namespace-Spezifikation, um einen Benutzerspeichereintrag zu suchen.
    XPath-Abfragen dürfen keine Namespace-Präfixe enthalten. Folgendes Beispiel ist eine 
     
    ungültige
     
     XPath-Abfrage:
    /saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()
    Die gültige XPath-Abfrage ist:
    //Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()
    Beispiel:
    Folgende Abfrage extrahiert den Text des Attributs "Benutzername" aus der Assertion:
    "/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()"
    "//Username/text()" extrahiert den Text des ersten Elements des Benutzernamens in der SAML-Assertion, indem eine abgekürzte Syntax verwendet wird.
    Andere Beispiele:
    "substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/
    SMContent/SMprofile/NVpair[1]/text(),"header:uid=")"
    Diese Abfragezeichenfolge extrahiert den Text des Header-Attributs mit dem Namen "uid", das als erstes Attribut konfiguriert und auf der Producer-Site aufgelistet ist.
    Wenn Sie die folgende abgekürzte Syntax verwenden, wird der Text des Header-Attributs mit dem Namen "uid" extrahiert:
    "substring-after(//SMprofile/NVpair[1]/text(),"header:uid=")"
  • Variable der Authentifizierungssitzung beibehalten
    (Optional) Legt fest, dass die Daten des Authentifizierungskontextes im Sitzungsspeicher als Sitzungsvariablen gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Variablen, die bei Authentifizierungsentscheidungen verwendet werden können. Zum Beispiel können Sie die Variablen im Authentifizierungskontext in aktiven Antworten oder Richtlinienausdrücken einschließen.
  • Aktiv
     
    Zeigt an, ob die Legacy-Federation-Konfiguration für eine bestimmte Partnerschaft verwendet wird. Wenn der Richtlinienserver die Legacy-Federation-Konfiguration verwendet, bestätigen Sie, dass dieses Kontrollkästchen aktiviert ist. Wenn Sie eine Federation-Partnerschaft mit ähnlichen Werten für die Identitätseinstellungen wiederhergestellt haben, beispielsweise Quell-ID, deaktivieren Sie das Kontrollkästchen, bevor Sie die Federation-Partnerschaft aktivieren.
     
    Single Sign-On
     kann nicht mit einer vorhandenen und Partnerschaftskonfiguration arbeiten, die die gleichen Identitätswerte verwenden, da sonst ein Namenskonflikt auftritt.
Die anderen Abschnitte für die Schema-Setup-Konfiguration sind:
  • Füllen Sie eine Namespace-Spezifikation aus, um es dem Consumer zu ermöglichen, den korrekten Benutzerdatensatz für die Authentifizierung zu finden.
  • Geben Sie im Abschnitt für die zusätzliche Konfiguration das Ziel der föderierten Ressource an. Konfigurieren Sie optional das Plug-in für Message Consumer, und leiten Sie URLs um, an die ein Benutzer gesendet wird, wenn die Authentifizierung fehlschlägt.
Authentifizierungsschema - Vorlage für SAML-POST - Schema-Setup
Im Abschnitt "Schema-Setup" geben Sie folgende Informationen an:
  • Wie der Consumer mit dem Producer kommuniziert, um eine Assertion abzurufen
  • Wie ein Benutzer authentifiziert wird, der auf dieser Assertion basiert.
  • Wie der Benutzer zur Zielressource geleitet wird.
Die Felder für die Vorlage der SAML-POST-Authentifizierung sind:
  • Partnername
    Benennt den Consumer. Geben Sie eine Buchstabenfolge ein, zum Beispiel "CompanyA".
    Der Name, den Sie eingeben, muss mit einem Namen für einen Consumer in der Partnerdomäne auf der Producer-Site übereinstimmen.
  • Zielgruppe
    Definiert die Zielgruppe für die SAML-Assertion.
    Identifiziert den Speicherort eines Dokuments, das die Bedingungen der Geschäftsvereinbarung zwischen dem Producer und dem Consumer beschreibt. Der Administrator bestimmt die Zielgruppe auf der Producer-Site. Der Wert muss auch mit der Zielgruppe für den Consumer auf der Producer-Site übereinstimmen.
  • Assertionskonsum-URL
    Gibt die URL des Assertions-Consumer an (Synonym für SAML-Anmeldedatensammler). Unter dieser URL muss der Browser die generierte Assertion ANGEBEN.
    Der Standard-URL ist:
    http://
    consumer_server:port
    /affwebservices/public/samlcc
    consumer_server:port
    Identifiziert den Webserver und den Port, der das Web-Agent-Optionspaket oder das SPS-Federation-Gateway hostet. Beispiel:
    http://www.discounts.com:85/affwebservices/public/samlcc
    Der Zielgruppenwert darf 1 K nicht überschreiten.
    Um die Zielgruppe anzugeben, geben Sie eine URL ein. Bei diesem Element wird Groß- und Kleinschreibung beachtet. Beispiel:
    http://www.ca.com/SampleAudience
  • Dsig-Aussteller-DN
    Gibt den Distinguished Name des Zertifikatsausstellers an, der die SAML-POST-Antwort signiert. Der Producer muss die POST-Antwort signieren. Wenn der Consumer die Antwort erhält, wird die Signatur mithilfe der Daten in diesem Parameter und dem Parameter der Seriennummer überprüft. Diese zwei Parameter zeigen den Aussteller des Zertifikats an, der die Antwort signiert hat.
    Das Zertifikat, das die Signatur überprüft, muss sich im Zertifikatsdatenspeicher befinden.
  • Daten-XPATH suchen
    Die XPath-Abfrage teilt dem Authentifizierungsschema mit, wo in der Assertion ein bestimmter Eintrag, der dann als Benutzeranmeldungs-ID dient, gesucht werden soll. Der Wert, den die Abfrage erhält, wird ein Teil der Namespace-Spezifikation, um einen Benutzerspeichereintrag zu suchen.
    XPath-Abfragen dürfen keine Namespace-Präfixe enthalten.
    Folgendes Beispiel ist eine ungültige XPath-Abfrage:
    /saml:Response/saml:Assertion/saml:AuthenticationStatement/
    saml:Subject/saml:NameIdentifier/text()
    Die gültige XPath-Abfrage ist:
    //Response/Assertion/AuthenticationStatement/Subject/
    NameIdentifier/text()
    Beispiel
    Folgende Abfrage extrahiert den Text des Attributs "Benutzername" aus der Assertion:
    "/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()"
    "//Username/text()" extrahiert den Text des ersten Elements des Benutzernamens in der SAML-Assertion, indem eine abgekürzte Syntax verwendet wird.
    Andere Beispiele:
    "substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMprofile/NVpair[1]/text(),"header:uid=")"
    Diese Abfrage extrahiert den Text des Header-Attributs mit dem Namen "uid", das auf der Producer-Site als erstes Attribut für das Partnerobjekt konfiguriert ist.
    Die Zeichenfolge "substring-after(//SMprofile/NVpair[1]/text(),"header:uid=")" extrahiert den Text des Header-Attributs mit dem Name "uid". Dieses Attribut ist das erste Attribut, das für das Partnerobjekt auf der Producer-Site mithilfe einer abgekürzten Syntax konfiguriert wird.
  • SAML-Version
    Gibt die SAML-Version an (Inaktiv: Der Wert wird standardmäßig auf 1.1 festgelegt. Dadurch wird angegeben, dass POST-Profilassertionen mit SAML-Version 1.1 kompatibel sind).
    Der SAML-Producer und SAML-Consumer müssen Assertionen und Antworten generieren und verbrauchen, die die gleiche Version haben.
  • Umleitungsmodus
    Gibt die Methode an, die das Servlet des SAML-Anmeldedatensammlers verwendet, um den Benutzer an die Zielressource umzuleiten. Wenn Sie "302 - Keine Daten" oder "302 - Cookie-Daten" auswählen, ist keine weitere Konfiguration erforderlich. Wenn Sie "Server-Umleitung" oder "Dauerhafte Attribute" auswählen, ist eine zusätzliche Konfiguration erforderlich.
    • 302 - Keine Daten
      (Standard). Leitet Benutzer durch eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und ohne andere Daten um.
    • 302 - Cookie-Daten 
      Leitet Benutzer durch eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und zusätzlichen Cookie-Daten um, die auf der Site konfiguriert werden, die die Assertion erstellt hat.
    • Server-Umleitung
       
      Ermöglicht, dass Header- und Cookie-Attributinformationen, die als Teil einer SAML-Assertion empfangen wurden, an eine benutzerdefinierte Zielanwendung weitergegeben werden. Der SAML-Anmeldedatensammler überträgt den Benutzer mithilfe der serverseitigen Umleitungstechnologie auf die Zielanwendungs-URL. Serverseitige Umleitungen sind ein Bestandteil der Java Servlet-Spezifikation. Alle standardmäßig kompatiblen Servlet-Container unterstützen serverseitige Umleitungen.
      Befolgen Sie zum Verwenden des Serverumleitungsmodus folgende Anforderungen:
      • Geben Sie eine URL für diesen Modus an, der relativ zum Kontext des Servlets ist, das die Assertion nutzt (normalerweise /affwebservices/public/). Der Stamm des Kontexts ist der Stamm der Federation-Webservices-Anwendung (normalerweise /affwebservices/).
        Alle Zielanwendungsdateien müssen sich im Stammverzeichnis der Anwendung befinden. Dieses Verzeichnis ist entweder:
        • Web-Agent:
           web_agent_home
          \webagent\affwebservices
        • SPS-Federation-Gateway:
           sps_home
          \secure-proxy\Tomcat\webapps\affwebservices
      • Definieren Sie Bereiche, Regeln und Richtlinien, um Zielressourcen zu schützen. Definieren Sie die Bereiche mindestens mit dem Wert /affwebservices/ im Ressourcenfilter.
      • Installieren Sie eine benutzerdefinierte Java- oder JSP-Anwendung auf dem Server, auf dem die Federation-Webservices-Anwendung ausgeführt wird. Die Anwendung wird zusammen mit dem Web-Agent-Optionspaket oder dem SPS-Federation-Gateway installiert.
        Die Java-Servlet-Technologie ermöglicht Anwendungen, Informationen zwischen zwei Ressourcenanfragen mithilfe der setAttribute-Methode auf der ServletRequest-Schnittstelle weiterzugeben.
        Der Service, der Assertionen nutzt, sendet das Benutzerattribut an die Zielanwendung. Unterschiedliche Attributobjekte im Anfrageobjekt werden festgelegt, bevor der Service den Benutzer an die Zielanwendung umleitet.
        Der Service erstellt zwei java.util.HashMap-Objekte. Das erste dient zum Speichern sämtlicher Header-Attribute, das zweite zum Speichern sämtlicher Cookie-Attribute. Der Service verwendet eindeutige Attributnamen, um jedes Hashzuordnungsobjekt darzustellen:
        • Das "Netegrity.HeaderAttributeInfo"-Attribut stellt die Hash-Zuordnung dar, die Header-Attribute enthält.
        • Das "Netegrity.CookieAttributeInfo"-Attribut stellt die Hash-Zuordnung dar, die Cookie-Attribute enthält.
        Zwei andere Java.lang.String-Attribute werden vom Assertions-Nutzungsservice festgelegt, um die Benutzeridentität an die benutzerdefinierte Anwendung weiterzuleiten:
        • Das "Netegrity.smSessionID"-Attribut stellt die Sitzungs-ID dar.
        • Das "Netegrity.userDN"-Attribut stellt den Benutzer-DN dar.
      Die benutzerdefinierte Zielanwendung auf dem Consumer kann diese Objekte vom HTTP-Anforderungsobjekt lesen und verwendet die in den Hashzuordnungsobjekten gefundenen Daten.
    • Dauerhafte Attribute
      Der Benutzer wird durch eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und ohne andere Daten umgeleitet. Dieser Modus weist auch den Richtlinienserver an, Attribute aus einer Assertion im Sitzungsspeicher zu speichern, sodass sie als HTTP-Header-Variablen bereitgestellt werden können. Zusätzliche Konfigurationen finden Sie in den Anweisungen für die Verwendung von SAML-Attributen als HTTP-Header.
       
      Hinweis
       Wenn Sie dauerhafte Attribute auswählen und die Assertion über leere Attribute verfügt, wird der Wert NULL in den Sitzungsspeicher geschrieben. Dieser Wert fungiert als ein Platzhalter für das leere Attribut. Der Wert wird an eine beliebige Anwendung mit dem Attribut weitergegeben.
  • Aussteller
    Identifiziert den Producer, der Assertionen für den Consumer ausstellt. Bei diesem Element wird Groß- und Kleinschreibung beachtet.
    Der Consumer akzeptiert nur Assertionen von diesem Aussteller. Der Administrator bestimmt den Aussteller beim Producer.
     
    Hinweis:
     Der Wert, den Sie für den Aussteller eingeben, muss mit dem Wert in "AssertionIssuerID" auf der Producer-Site übereinstimmen. Dieser Wert wird in der Datei "AMAssertionGenerator.properties" angegeben, die sich hier befindet: 
    policy_server_home
    /Config/properties/AMAssertionGenerator.properties
  • Seriennummer
    Gibt die Seriennummer (eine hexadezimale Zeichenfolge) des Zertifikats des Consumer im Zertifikatsdatenspeicher an. Dieser Wert wird mit dem Dsig-Aussteller-DN verwendet, um das Zertifikat für die digitale Signierung der SAML-POST-Antwort zu suchen.
  • Aktiv
     
    Zeigt an, ob die Legacy-Federation-Konfiguration für eine bestimmte Partnerschaft verwendet wird. Wenn der Richtlinienserver die Legacy-Federation-Konfiguration verwendet, bestätigen Sie, dass dieses Kontrollkästchen aktiviert ist. Wenn Sie eine Federation-Partnerschaft mit ähnlichen Werten für die Identitätseinstellungen wiederhergestellt haben, beispielsweise Quell-ID, deaktivieren Sie das Kontrollkästchen, bevor Sie die Federation-Partnerschaft aktivieren.
     
    Single Sign-On
     kann nicht mit einer vorhandenen und Partnerschaftskonfiguration arbeiten, die die gleichen Identitätswerte verwenden, da sonst ein Namenskonflikt auftritt.
  • Variable der Authentifizierungssitzung beibehalten
    (Optional) Legt fest, dass die Daten des Authentifizierungskontextes im Sitzungsspeicher als Sitzungsvariablen gespeichert werden. Der Richtlinienserver hat Zugriff auf diese Variablen, die bei Authentifizierungsentscheidungen verwendet werden können. Zum Beispiel können Sie die Variablen im Authentifizierungskontext in aktiven Antworten oder Richtlinienausdrücken einschließen.
Die anderen Abschnitte für die Schema-Setup-Konfiguration sind:
  • Füllen Sie eine Namespace-Spezifikation aus, um es dem Consumer zu ermöglichen, den korrekten Benutzerdatensatz für die Authentifizierung zu finden.
  • Geben Sie im Abschnitt für die zusätzliche Konfiguration das Ziel der föderierten Ressource an. Konfigurieren Sie optional das Plug-in für Message Consumer, und leiten Sie URLs um, an die ein Benutzer gesendet wird, wenn die Authentifizierung fehlschlägt.
Authentifizierungsschema - Namespace-Spezifikation
Der Abschnitt "Namespace-Spezifikation" listet Namespace-Typen und zugeordnete Suchspezifikationen auf. 
CA Single Sign-on
 verwendet diese Informationen, um einen Benutzer in einem Benutzerspeicher zu suchen.
Die Suchspezifikation verwendet Daten, die die XPath-Abfrage aus der Assertion abruft und einem Attribut in einem Benutzerspeichereintrag zuordnet. Die XPath-Abfrage sucht einen bestimmten Eintrag in der Assertion, die als Benutzeranmelde-ID dient. Sie definieren die Abfrage im Feld "Daten-XPATH suchen".
Als Teil der Suchspezifikation können Sie "%s" ersetzen, um den Wert darzustellen, den die XPath-Abfrage von der Assertion erhält. Zum Beispiel ruft die XPath-Abfrage den Wert 
user1
 aus der SAML-Assertion ab. Wenn Sie die Suchspezifikation 
uid=%s
 in das LDAP-Feld eingeben, dann ergibt sich daraus die Zeichenfolge "uid=user1". Diese Zeichenfolge wird anhand des Benutzerverzeichnisses überprüft, um den korrekten Datensatz für die Authentifizierung zu finden.
Sie können auch Filter mit mehreren %s-Variablen angeben. Beispiel:
|(uid=%s)(email=%[email protected])
|(abcAliasName=%s)(cn=%s)
Die Ergebnisse wären:
|(uid=user1)([email protected])
|(abcAliasName=user1)(cn=user1)
Geben Sie eine Suchspezifikation für jeden der Namespace-Typen in Ihrer Umgebung ein.
Authentifizierungsschema - Zusätzliche Konfiguration (SAML 1.x-Artefakt, POST)
Im Abschnitt "Zusätzliche Konfiguration" des Authentifizierungsschemas können Sie das Plug-in für Message Consumer sowie Weiterleitungs-URLs für Assertionsverarbeitungsfehler bei der Authentifizierung angeben. Zusätzlich geben Sie die Zielressource auf der Consumer-Site an.
Der Bereich "Zusätzliche Konfiguration" enthält folgende Felder:
Plug-in für Message Consumer
 
Vollständiger Java-Klassenname
(Optional) Gibt den vollqualifizierten Java-Klassennamen einer Klasse an, die eine Plug-in-Schnittstelle für Message Consumer für das Authentifizierungsschema implementiert.
  • Parameter
    Gibt eine Zeichenfolge von Parametern an, die die API an das Plug-in übergibt, das im Feld "Vollständiger Java-Klassenname" angegeben ist.
URLs und Modi der Status-Umleitung
 
Assertionsbasierte Authentifizierung kann auf der Site, die Assertionen nutzt, aus verschiedenen Gründen fehlschlagen. Wenn die Authentifizierung fehlschlägt, stellt 
eTrust SiteMinder FSS
 Funktionen bereit, um den Benutzer zur weiteren Verarbeitung an verschiedene Anwendungen (URLs) weiterzuleiten. Wenn beispielsweise die Begriffserklärung des Benutzers fehlschlägt, kann 
CA Single Sign-on
 den Benutzer an ein Bereitstellungssystem umleiten. Dieses Bereitstellungssystem kann ein Benutzerkonto erstellen, das auf Informationen basiert, die sich in der SAML-Assertion befinden.
Hinweis:
 Fehlerumleitung geschieht nur, wenn das System die Anforderung erfolgreich analysieren kann und die Informationen erhält, die notwendig sind, um die gültigen und vertrauenden Partner zu identifizieren.
Folgende Optionen leiten den Benutzer an eine konfigurierte URL um, die auf der Bedingung basiert, die den Fehler verursacht hat.
URL-Umleitung für den Status "Benutzer nicht gefunden"
(Optional) Bestimmt die URL, an die 
CA Single Sign-on
 den Benutzer umleitet, wenn der Benutzer nicht gefunden wurde. Der Status "Benutzer nicht gefunden" tritt auf, wenn die Single Sign-On-Meldung keine Anmelde-ID hat oder wenn das Benutzerverzeichnis die Anmelde-ID nicht enthält.
  • URL-Umleitung für den Status "Ungültige SSO-Meldung"
    (Optional) Bestimmt die URL, an die 
    CA Single Sign-on
     den Benutzer umleitet, wenn eine der folgenden Bedingungen eintritt:
    • Die Single Sign-On-Meldung ist basierend auf Regeln, die von SAML-Schemen angegeben wurden, ungültig.
    • Der Consumer erfordert eine verschlüsselte Assertion, die Single Sign-On-Meldung enthält jedoch keine verschlüsselte Assertion.
  • URL-Umleitung für den Status "Nicht akzeptierte Benutzeranmeldeinformationen (SSO-Meldung)"
    (Optional) Identifiziert die URL, an die 
    CA Single Sign-on
     den Benutzer bei Fehlerbedingungen umleitet, die nicht aufgrund eines nicht gefundenen Benutzers oder aufgrund einer ungültigen Sing-On-Meldung auftreten. Die Assertion ist gültig, aber 
    CA Single Sign-on
     akzeptiert die Meldung aus bestimmten Gründen nicht, beispielsweise:
    • Fehler bei der Validierung der digitalen XML-Signatur
    • Fehler beim XML-Entschlüsselungsvorgang
    • Die XML-Validierung von Bedingungen schlägt fehl, wie z. B. eine abgelaufene Meldung oder eine nicht übereinstimmende Zielgruppe.
    • Keine Assertion in der SSO-Meldung enthält eine Authentifizierungsanweisung.
  • Modus
    Gibt die Methode an, die 
    CA Single Sign-on
     verwendet, um den Benutzer zur Umleitungs-URL umzuleiten. Die Optionen sind:
  • 302 - Keine Daten (Standard)
    Leitet Benutzer über eine HTTP-302-Umleitung mit einem Sitzungs-Cookie und ohne andere Daten um.
  • HTTP POST
    Leitet Benutzer mithilfe eines HTTP POST-Protokolls um.
Konfiguration der Zielseite
 
In diesem Abschnitt des Dialogfelds können Sie die URL der Zielressource auf der Consumer-Site angeben. Wenn der Abfrageparameter vorhanden ist, legen Sie fest, ob 
CA Single Sign-on
 die URL durch den Wert des ZIEL-Abfrageparameters in der Antwort-URL der Authentifizierung ersetzen soll.
  • URL des Standardziels
    (Optional) Gibt die URL der Zielressource an, die sich beim Consumer befindet. Dieses Ziel ist eine geschützte föderierte Ressource, die Benutzer anfordern können.
    Der Consumer muss nicht das Standardziel verwenden. Der Link, der Single Sign-On initiiert, kann einen Abfrageparameter enthalten, der das Ziel angibt.
  • Das ZIEL des Abfrageparameters überschreibt die URL des Standardziels
    (Optional) Ersetzt den Wert, der im Feld "URL des Standardziels" angegeben ist, durch den Wert des ZIEL-Abfrageparameters in der Antwort. Mithilfe des Abfrageparameters ZIEL können Sie das Ziel dynamisch definieren. Sie können das Ziel mit jeder Authentifizierungsantwort ändern. Durch die Flexibilität des ZIEL-Abfrageparameters haben Sie eine größere Kontrolle über das Ziel. Vergleichsweise ist der Wert "URL des Standardziels" ein statischer Wert.
    Standardmäßig ist dieses Kontrollkästchen ausgewählt.