Dialogfeld "Webservices-Authentifizierungsschemen"

2
casso128figsbrde
HID_soa-authentication-scheme
Inhalt
2
Authentifizierungsschemen legen die Anmeldeinformationen und Methoden fest, die der Richtlinienserver benötigt, um die Identität eines Benutzers zu erstellen.
Die Inhalte des Dialogfelds "Webservices-Authentifizierungsschemen" werden geändert, wenn Sie ein Schema aus der Drop-down-Liste "Typ des Authentifizierungsschemas" auswählen. Der Bereich unter dem Gruppenfeld "Allgemeines Schema-Setup" enthält zwei Abschnitte für die unterschiedlichen Schematypen. Das Gruppenfeld "Schema-Setup" enthält Felder für Informationen, die Sie angeben müssen, damit das Schema richtig funktioniert. Das Gruppenfeld "Erweitert" enthält üblicherweise eines oder mehrere schreibgeschützte Felder, die Informationen anzeigen, die verwendet werden, um die Authentifizierung aufzulösen. Das Gruppenfeld "Erweitert" enthält auch ein Kontrollkästchen, das anzeigt, ob ein Authentifizierungsschema verwendet werden kann, um einen Administrator zu authentifizieren. Nachdem Sie ein Schema konfiguriert haben, können Sie es zu Anwendungen und Bereichen zuweisen.
Einstellungen für das Authentifizierungsschema
Die Inhalte des Dialogfelds "Authentifizierungsschema" werden je nach Schematyp, den Sie konfigurieren möchten, geändert. Allerdings haben alle Authentifizierungsschemen folgende Felder und Steuerelemente gemeinsam:
  • Name
    Name des Authentifizierungsschemas.
  • Beschreibung
    (Optional) Kurze Beschreibung des Authentifizierungsschemas.
Gruppenfeld "Allgemeines Schema-Setup"
  • Stil des Authentifizierungstyps
    Listet die Vorlagen des Authentifizierungsschemas auf.
    Die Liste enthält alle Vorlagen des Authentifizierungsschemas, die für Verwendung mit den Authentifizierungsbibliotheken des Richtlinienservers vordefiniert sind.
  • Schutzebene
    Definiert eine zwischen 1 und 1 000.
    Schutzebenen geben ein zusätzliches Maß an Flexibilität in der Zugriffssicherung an.
    Hinweis:
    Authentifizierungsschemen haben eine standardmäßige Schutzebene, die Sie möglicherweise ändern müssen. Beachten Sie die Schutzebenen beim Definieren Ihrer Schemen, und weisen Sie sie Bereichen zu. Hohe Schutzebenen sollten für kritische Ressourcen verwendet werden, Schemen mit niedriger Ebene für allgemein zugreifbare Ressourcen.
  • Kennwortrichtlinien, die für dieses Authentifizierungsschema aktiviert sind
    (Optional) Aktivieren Sie dieses Kontrollkästchen, um Kennwortrichtlinien zu aktivieren.
    Hinweis:
    Nicht alle Authentifizierungsschemen unterstützen Kennwortrichtlinien.
Dialogfeld "Webservices-Authentifizierungsschemen" - XML-Dokument-Anmeldedatensammler
Damit
CA SiteMinder® Web Services Security
Benutzerinformationen aus eingehenden XML-Dokumenten authentifizieren kann, konfigurieren Sie auf der Verwaltungsoberfläche das Authentifizierungsschema "XML-Dokument-Anmeldedatensammler".
Gruppenfeld "Schema-Setup"
Im Gruppenfeld "Schema-Setup" konfigurieren Sie Feldzuordnungen für das Authentifizierungsschema "XML-Dokument-Anmeldedatensammler".
  • Feldzuordnung
    Diese Tabelle listet die Feldzuordnungen auf, die für das Authentifizierungsschema definiert sind. Die Tabelle ist mit der erforderlichen Eingabe "User" aufgefüllt, die verwendet wird, um das Benutzernamensfeld im Benutzerspeicher zuzuordnen. Verwenden Sie die Schaltfläche "Bearbeiten" links von einer Eingabe, um vorhandene Eingaben zu bearbeiten. Verwenden Sie die Schaltfläche "Löschen" links von einer Eingabe, um vorhandene Eingaben zu löschen.
  • Zuordnung hinzufügen
    Klicken Sie hier, um eine zusätzliche Feldzuordnung hinzuzufügen.
  • Sichere Verbindung ist erforderlich
    Aktivieren Sie dieses Kontrollkästchen, wenn Sie möchten, dass
    CA SiteMinder® Web Services Security
    erfordert, dass Authentifizierungen ausschließlich über eine SSL-Verbindung stattfinden dürfen.
    Wichtig!
    Der Richtlinienserver erwartet, dass die Informationen in XML-Dokument unformatiertem Textformat sind. Um Sicherheit durchzusetzen, empfehlen wir, dass Sie dieses Authentifizierungsschema über eine SSL-Verbindung konfigurieren.
Bereich "Feldzuordnung"
Im Bereich "Feldzuordnung" definieren Sie individuelle Feldzuordnungen für das Authentifizierungsschema "XML-Dokument-Anmeldedatensammler".
  • Name
    Gibt den Namen eines Felds im Benutzerspeicher, z. B. "email", im Namensfeld an. Dies ist das Feld, in dem Sie das XML-Element zuordnen.
  • Erweiterte XPath-Abfrage
    Aktivieren Sie dieses Kontrollkästchen, wenn Sie direkt im Feld "XPath" eine XPath-Abfrage eingeben wollen, um die Zuordnung zu definieren.
  • XPath
    Gibt die XPath-Abfrage an, die die Zuordnung definiert.
  • XSD-Dateiname
    Gibt den Pfadnamen der Schemadatei (.xsd) an, die das Element enthält, das Sie zum Benutzerspeicher zuordnen wollen. Geben Sie den vollen Pfadnamen an, oder klicken Sie auf "Durchsuchen" und navigieren im Dialogfeld "Datei hochladen" zu einer Schemadatei.
  • XSD-Datei hochladen
    Wenn Sie auf diese Schaltfläche klicken, wird das in der XSD-Datei definierte Schema hochgeladen und im Gruppenfeld "Knoten auswählen" angezeigt, das geöffnet wird.
  • Knoten auswählen
    Zeigt das geladene Schema in einer standardmäßigen Hierarchieansicht an. Klicken Sie auf das Pluszeichen (+) neben einem Element, um es einzublenden. Klicken Sie auf das Minuszeichen (-) neben einem eingeblendeten Element, um es auszublenden. Mit einem Sternchen markierte Elemente (*) sind innerhalb des XML-Dokuments wiederholbar (d. h. eingehende XML-Dokumente können mehrere Instanzen dieses Elements enthalten).
    Klicken Sie auf eine Eingabe, um den Knoten zum Feldnamen zuzuordnen, der im Gruppenfeld "Knoten auswählen" angegeben ist. Die XPath-Abfrage, die dem ausgewählten Knoten entspricht, wird im Feld "XPath" angezeigt.
    Hinweis:
    Geladene Schemen sind nicht persistent. Auch wenn Sie mehrere Zuordnungen über dieselbe Schemadatei erstellen, müssen Sie das Schema für jede Zuordnung neu laden.
  • Funktion
    (Optional) Gibt die XPath-Funktion an (count, div, index, mod, sum), die Sie für die Zuordnung anwenden wollen.
    Mit der Option "Funktion" können Sie komplexe Zuordnungen erstellen, indem Sie Funktionen verarbeiten, die das XML-Dokument weiter auswerten. Navigieren Sie für weitere Informationen zu diesen Funktionen zur XPath-Spezifikation unter http://www.w3.org.
  • Zuordnung bezieht sich auf
    Gibt an, ob sich die zugeordneten Informationen auf den relativ zum Nachrichtentext oder den Nachrichten-Header beziehen. Dies definiert den Stamm des XML-Dokuments und weist XPath an, wo nach dazugehörigen Informationen gesucht werden soll. Wenn das Dokument mehrere Header hat, verwendet XPath den Wert des ersten aufgelösten Header.
Dialogfeld "Webservices-Authentifizierungsschemen" - Digitale XML-Signatur
Das Authentifizierungsschema "Digitale XML-Signatur" (XML-DSIG) schützt Webservices, indem XML-Dokumente digital mit gültigen X.509-Zertifikaten signiert werden.
Gruppenfeld "Schema-Setup"
Im Gruppenfeld "Schema-Setup" konfigurieren Sie das Authentifizierungsschema "Digitale XML-Signatur".
  • Einschränkungen der digitalen Signatur
    Gibt an, welcher Anteil des XML-Dokumentinhalts signiert wird. Eine digitale Signatur kann sich nur auf einen Teil eines XML-Dokuments beziehen. Folgende Auswahlmöglichkeiten sind verfügbar:
    Hinweis:
    Wenn das XML-Dokument unformatiertes XML-Format verwendet, wählen Sie "Das gesamte Dokument muss abgedeckt werden" aus, da das ganze Dokument aus Nutzdaten besteht. Bei unformatiertem XML sind keine Umschlag-Header oder Text-Tags enthalten, die Nutzdaten von anderen Inhalten abgrenzen.
  • Sichere Verbindung ist erforderlich
    Aktivieren Sie dieses Kontrollkästchen, wenn Sie möchten, dass
    CA SiteMinder® Web Services Security
    erfordert, dass Authentifizierungen ausschließlich über eine SSL-Verbindung stattfinden dürfen.
Hinweis: Für das Authentifizierungsschema "Digitale XML-Digital-Signatur" müssen Sie Zertifikatszuordnungen konfigurieren.
Dialogfeld "Webservices-Authentifizierungsschemen" - SAML-Sitzungsticket
Das Authentifizierungsschema "SAML-Sitzungsticket" gibt einen Mechanismus für Single Sign-On für Webservices an, die vom gleichen Richtlinienspeicher geschützten werden. Das Schema authentifiziert XML-Meldungen mithilfe von Anmeldeinformationen aus Assertionen von SAML-Sitzungstickets in HTTP-Headern, SOAP-Umschlägen von Dokumenten oder Cookies. Diese sehr sicheren Assertionen werden nach der anfänglichen Autorisierung der Anfrage von einem
CA Single Sign-on
-WSS-Agent für Webserver in der gleichen Richtlinienserverdomäne generiert. Das Authentifizierungsschema "SAML-Sitzungsticket" ist eine ideale Basis, wenn mehrere Webservices für eine einzige Organisation über das mehrstufige Authentifizierungsmodell oder das Kettenauthentifizierungsmodell bereitgestellt werden.
Bei der SAML-Sitzungsticket-Assertion handelt es sich um eine Datenstruktur, die ein
CA Single Sign-on
-Sitzungsticket und einen öffentlichen Schlüssel enthält (beide verschlüsselt). Diese Assertion wird vom Authentifizierungsschema "SAML-Sitzungsticket" für folgende Zwecke verwendet:
  • Überprüfen, dass eine gültige
    CA Single Sign-on
    -Sitzung vorhanden ist.
  • Sichern der Integrität des signierten XML-Dokuments.
Durch Einschließen des Sitzungstickets und des öffentlichen Schlüssels in die Assertion kann ein Webservice-Konsument auf Webservices zugreifen, die von
CA Single Sign-on
-WSS-Agenten in derselben Richtlinienserverdomäne geschützt werden, ohne jedes Mal erneut Anmeldeinformationen angeben zu müssen.
Gruppenfeld "Schema-Setup"
Im Gruppenfeld "Schema-Setup" konfigurieren Sie das Authentifizierungsschema "SAML-Sitzungsticket".
  • SAML-Assertion in
    Gibt an, wo die SAML-Assertion platziert werden soll. Wählen Sie eine der folgenden Optionen:
  • Auf der XML-Meldung ist eine Signatur erforderlich
    Aktivieren Sie dieses Kontrollkästchen, damit die eingehenden Dokumente signiert werden müssen.
  • Sichere Transportschicht ist erforderlich
    Aktivieren Sie dieses Kontrollkästchen, wenn Sie möchten, dass
    CA SiteMinder® Web Services Security
    erfordert, dass Authentifizierungen ausschließlich über eine SSL-Verbindung stattfinden dürfen.
Dialogfeld "Webservices-Authentifizierungsschemen" - WS-Security
Der Standard "WS-Security" definiert einen Satz von SOAP-Header-Erweiterungen, die Mechanismen für die sichere Weitergabe von Authentifizierungsdaten und den Schutz von Meldungsinhalten zwischen Webservices festlegen, insbesondere in föderierten Organisationen. Mit WS-Security können Webservice-Implementierer Folgendes durchführen:
  • Authentifizierungsdaten als Teil einer Meldung unter Verwendung unterstützter Sicherheits-Tokentypen senden
  • Die Integrität von Meldungen mithilfe von digitalen Signaturen sichern
  • Die Vertraulichkeit von Meldungen mithilfe von XML-Verschlüsselung sichern
Diese Mechanismen können unabhängig voneinander (z. B. zum Weitergeben von Authentifizierungsdaten in einem Sicherheitstoken) oder kombiniert (z. B. zum Signieren und Verschlüsseln einer Meldung und Angeben von Authentifizierungsdaten in einem Sicherheitstoken) verwendet werden.
Weitere Informationen zum WS-Security-Standard finden Sie unter OASIS-Standard, Web Services Security: SOAP Message Security 1.0.
Gruppenfeld "Schema-Setup"
Im Gruppenfeld "Schema-Setup" konfigurieren Sie das Authentifizierungsschema "WS-Security".
  • Sicherheits-Tokentyp
    Gibt den erforderlichen Sicherheits-Tokentyp an. Wählen Sie eine der folgenden Optionen aus:
    • Benutzernamen- und Kennwort-Digest (Standard). Auch gültig für Benutzernamens- und Kennworttoken (unformatierter Text).
    • X509v3-Zertifikat
    • SAML-Assertion
    Wenn Sie "Benutzernamen- und Kennwort-Digest" oder "X509v3-Zertifikat" auswählen, wird der Abschnitt "XML-Signatur-Einschränkungen" angezeigt. Wenn Sie "SAML-Assertion auswählen", wird der Abschnitt "Einschränkungen der SAML-Token" angezeigt.
Gruppenfeld "XML-Signatur-Einschränkungen"
Im Gruppenfeld "XML-Signatur-Einschränkungen" konfigurieren Sie XML-Signatureinschränkungen für das Authentifizierungsschema "WS-Security", wenn Benutzernamens- und Kennwort-Digest oder X509v3-Zertifikatstoken erforderlich sind.
  • XML-Signatur-Einschränkungen
    Gibt die erforderliche XML-Signatureinschränkung an. Wählen Sie eine der folgenden Optionen aus:
    • Keine Signatur erforderlich (Standard)
    • Gesamtes Dokument muss abgedeckt werden
    • Nachrichtentext muss abgedeckt werden
    • Muss sich nur auf Header beziehen
  • Über das wsu:Timestamp-Element ist eine Signatur erforderlich
    Aktivieren Sie dieses Kontrollkästchen, damit die Validierung von <wsu:Timestamp>- und <wsu:TimestampTrace>-Elementen in der Meldung erforderlich ist.
  • Sichere Transportschicht ist erforderlich
    Aktivieren Sie dieses Kontrollkästchen, wenn Sie möchten, dass
    CA SiteMinder® Web Services Security
    erfordert, dass Authentifizierungen ausschließlich über eine SSL-Verbindung stattfinden dürfen.
Gruppenfeld "Einschränkungen der SAML-Token"
Im Gruppenfeld "Einschränkungen der SAML-Token" konfigurieren Sie, wie Tokeneinschränkungen bei WS-Security für SAML-Token angewendet werden.
  • Zielgruppe
    (Optional für SAML 1.1; erforderlich für SAML 2.0) Gibt einen erforderlichen Wert für das <saml:Audience>-Element eines SAML-Assertionstoken an. Wenn es leer gelassen wird, wird auf den Inhalt des Audience-Elements keine Einschränkung angewendet.
  • Attributname/XPath
    (Optional) Gibt einen XPath-Ausdruck an, der verwendet werden kann, um einen Benutzeridentitätswert zu erhalten, wenn die Benutzeridentität im Element "saml:NameIdentifier" des Assertionstoken (standardmäßig verwendet) nicht für die Authentifizierung geeignet ist. Für Nicht-LDAP-Benutzerverzeichnisse und von
    CA SiteMinder® Web Services Security
    generierte SAML-Token ist üblicherweise das Standardverhalten ausreichend.
    Geben Sie für LDAP-Benutzerverzeichnisse einen XPath-Ausdruck an, der einen korrekt aufgelösten Benutzeridentitätswert zurückgibt. Beispiel:
    //SMlogin/Username/text()
    Für SAML-Token, bei denen das Element "saml:NameIdentifier" andere Informationen wie z. B. E-Mail-Adressen enthält, geben Sie einen XPath-Ausdruck an, der nur die erforderlichen Informationen extrahiert.
    Wenn Sie sich Standardpräfixe entfernen müssen, um den erforderlichen Attributwert selbst zurückzugeben, lesen Sie die Informationen zum Entfernen standardmäßiger Präfixe von XPath-Abfragen.
  • Zeichenfolge für Attributsuche
    Wenn Sie im vorigen Feld einen Attributnamen/XPath-Ausdruck eingegeben haben, geben Sie im Feld "Zeichenfolge für Attributsuche" eine Suchzeichenfolge an, die auf das Ergebnis des XPath-Ausdrucks angewendet werden soll, um einen Benutzer-DN zu erhalten.
    Für LDAP-Benutzerverzeichnisse hat diese Suchzeichenfolge die folgende Form:
    attribute=LDAP:uid=%s
    (Je nachdem, wie Suchen im spezifischen Verzeichnis ausgeführt werden, müssen Sie unter Umständen die Komponente "uid=%s" ändern.)
  • Methoden für Betreffsbestätigung
    Um anzugeben, welche Methoden für Betreffsbestätigung Sie erlauben, wählen Sie eine oder mehrere der folgenden Optionen aus:
    Um Assertionen zu erlauben, die mit unterschiedlichen Betreffbestätigungsmethoden erstellt werden, aktivieren Sie mehrere Optionen.
    Hinweis:
    Wenn Sie keine Betreffbestätigungsmethode festlegen, lehnt
    CA SiteMinder® Web Services Security
    alle SAML-Assertionen ab.
  • Unterstützende Signaturen validieren
    Konfiguriert
    CA SiteMinder® Web Services Security
    so, dass unterstützende Signaturen validiert werden. Diese Option ist standardmäßig aktiviert.
    Wichtig:
    In früheren Versionen von SOA Security Manager war es nicht erforderlich, eine Betreffbestätigungsmethode anzugeben. In dieser Konfiguration waren eingehende Assertionen des Typs Sender-Vouches und Holder-of-Key ohne unterstützende Signaturen erlaubt. Weil diese Assertionen ohne unterstützende Signaturen weniger sicher sind, müssen diese ab
    CA SiteMinder® Web Services Security
    12.52 SP1 standardmäßig vorhanden sein. Wir empfehlen, dass Sie Ihren Webservice-Client-Partner darum bitten, unterstützende Signaturen einzuschließen und diese Option nur deaktivieren, wenn dies nicht möglich ist.
  • Übereinstimmung des Ausstellerzertifikats ist erforderlich
    Aktivieren Sie dieses Kontrollkästchen, um erforderlich zu machen, dass der Assertionsaussteller und das Zertifikats-DN (im WS-Security-Dokument) die gleiche Identität haben.
  • Über das wsu:Timestamp-Element ist eine Signatur erforderlich
    Aktivieren Sie dieses Kontrollkästchen, damit die Validierung von <wsu:Timestamp>- und <wsu:TimestampTrace>-Elementen in der Meldung erforderlich ist.
  • Sichere Transportschicht ist erforderlich
    Aktivieren Sie dieses Kontrollkästchen, um
    CA SiteMinder® Web Services Security
    so zu konfigurieren, dass Authentifizierung nur über eine SSL-Verbindung stattfinden darf.
  • SSL-Schlüsselspeicher verwenden
    Aktivieren Sie dieses Kontrollkästchen, um
    CA SiteMinder® Web Services Security
    so zu konfigurieren, dass der Webserver-SSL-Schlüsselspeicher anstelle des
    CA Single Sign-on
    -Schlüsselspeichers verwendet wird, um das Assertionszertifikat zu validieren.
    • Vertrauenswürdiges Zertifikat
      Gibt das Zertifikat an, mit dem die Signatur validiert werden soll, von der die Assertion signiert wurde. Dabei handelt es sich um das Zertifikat des IdP, der die Assertion ausgestellt hat.
Gruppenfeld "Erweitert"
Die Gruppe "Erweitert" enthält Steuerelemente für erweiterte Funktionen.
  • SOAP-Rolle
    (Optional) Gibt für Meldungen mit mehrfachen WS-Security-Headers den Wert des SOAP-Akteur-Attributs (Rolle) an, das das Header-Element identifiziert, von dem
    CA SiteMinder® Web Services Security
    Sicherheitstoken abrufen soll. Beispiel:
    http://www.example.com/soap/MySOAPRole
  • Zeitversatz für Zeitstempel
    (Optional) Legt den größtmöglichen zulässigen Uhrzeitversatz (in Sekunden) zwischen Token-Producer- und Consumer-Systemen fest. Um Authentifizierungsfehler zu verhindern, falls der Uhrzeitversatz dazu führt, dass Tokenzeitstempel in der Zukunft erstellt zu sein scheinen, vergrößern Sie diese Einstellung.
    Standard:
    30 Sekunden