Cuadro de diálogo Inicio y cierre de sesión únicos (proveedor de identidad de SAML 2.0)

El paso de inicio y cierre de sesión únicos le permite configurar el funcionamiento del inicio de sesión único y el cierre de sesión único.
casso13es
HID_partnership-sso-asserting
El paso de inicio y cierre de sesión únicos le permite configurar el funcionamiento del inicio de sesión único y el cierre de sesión único.
2
Autenticación (proveedor de identidad de SAML 2.0)
La sección Autenticación le permite especificar cómo se autentican los usuarios durante las transacciones de inicio de sesión único. Designe el método para autenticar un usuario que no tiene una sesión de usuario.
Esta sección muestra los valores de configuración siguientes:
  • Modo de autenticación
    Indica si la sesión de un usuario se establece autenticando un usuario localmente o delegando la autenticación a un sistema de gestión de acceso remoto de terceros.
    Valor predeterminado
    : Local
    Opciones
    : seleccione una de las siguientes opciones y configure los campos adicionales para esa opción:
    • Local: el sistema de federación gestiona la autenticación del usuario. 
      Si se selecciona Local para el campo Modo de autenticación, especifique una dirección URL en el campo Dirección URL de la autenticación. Por lo general, la dirección URL señala a un archivo redirect.jsp; sin embargo, si se selecciona la casilla de verificación
      Utilizar dirección URL segura
      , la dirección URL debe señalar al servicio web de secureredirect.
      Dirección URL de la autenticación
      Especifica una dirección URL protegida que se utiliza para autenticar usuarios y crear una sesión cuando se solicita un recurso protegido. Si el modo de autenticación se establece como Local y un usuario no se ha conectado en la parte asertiva, los usuarios se envían a esta dirección URL. Esta dirección URL debe señalar al archivo redirect.jsp, a menos que se seleccione la casilla de verificación
      Utilizar dirección URL segura
      casso13es
      Utilice una de las rutas siguientes a la carpeta redirectjsp como el filtro de recursos. El Pack de opciones del Agente web de CA y CA Access Gateway utilizan este filtro de recursos.
      • Ruta de acceso directo:
        /affwebservices/redirectjsp/
      • Ruta virtual
        : ruta al servidor donde se encuentra la carpeta redirectjsp. Una ruta virtual común es /siteminderagent/redirectjsp, que se configura cuando se configura el agente web con el Pack de opciones del Agente web o la puerta de enlace de acceso. La ruta virtual señala al directorio virtual siguiente:
        • Agente web:
          web_agent_home
          /affwebservices/redirectjsp
        • CA Access Gateway:
          access_gateway_home
          /secure-proxy/Tomcat/webapps/affwebservices/redirectjsp
      Ejemplos: http://
      myserver.idpA.com
      /affwebservices/redirectjsp/redirect.jsphttp://
      myserver.idpA.com
      /siteminderagent/redirectjsp/redirect.jsp 
      myserver i
      dentifica el servidor web con el Paquete de opciones del Agente web o
      CA Access Gateway
      instalado en la parte que afirma. La aplicación redirectjsp está incluida en estos productos.
      : Proteja la Dirección URL de autenticación con una política de control de acceso. Para la política se debe configurar un esquema de autenticación, un territorio y una regla. Para agregar atributos de almacén de la sesión a la aserción, active la casilla de verificación Mantener variables de sesión de la autenticación, que es el valor establecido en el esquema de autenticación.
      Utilizar dirección de URL segura
      Esta función indica al servicio de inicio de sesión único de que solo cifre el parámetro de la consulta SMPORTALURL. Un parámetro SMPORTALURL cifrado impide que un usuario malintencionado modifique el valor y redirija los usuarios autenticados a un sitio web malicioso. SMPORTALURL se añade a Dirección URL de la autenticación antes de que el explorador redirija al usuario para establecer una sesión. Después de que el usuario se autentique, el explorador redirige al usuario de vuelta al destino especificado en el parámetro de la consulta SMPORTALURL.
      Si selecciona la casilla de verificación Utilizar dirección URL segura, complete los pasos siguientes:
      1. Establezca el campo Dirección URL de la autenticación como la dirección URL siguiente: http(s)://
      idp_server:port
      /affwebservices/secure/secureredirect
      2. Proteja el servicio web de secureredirect con una política.
      Si la parte que afirma ofrece servicio a más de una parte confidente, la parte que afirma probablemente autentica distintos usuarios para estos partners diferentes. Como resultado, para cada dirección URL de la autenticación que utilice el servicio secureredirect, se incluye este servicio web en un territorio diferente para cada partner.
      Para asociar el servicio secureredirect con territorios diferentes, modifique el archivo web.xml para crear distintas asignaciones de recursos. No copie el servicio web secureredirect en ubicaciones diferentes del servidor. Busque el archivo web.xml en el directorio
      web_agent_home
      /affwebservices/WEB-INF, donde
      web_agent_home
      es la ubicación de instalación del agente web.
       
    • Delegada: un sistema de gestión del acceso web (WAM) de terceros gestiona la autenticación del usuario. Complete los campos adicionales. Sepa más acerca de la autenticación delegada.
    • Selector de credenciales: se presenta a los usuarios una página del selector de credenciales que muestra varios proveedores de identidad. Los proveedores de identidad puede ser redes sociales o los partners WS-Federation, SAML y OAuth. Los usuarios seleccionan el proveedor de identidad apropiado y dicho proveedor autentica el usuario. La lista de proveedores de identidad aceptables se define en un grupo de métodos de autenticación. Para todos los partners, el usuario deberá estar ya registrado con estos partners externos.
      Si se selecciona Selector de credenciales, complete los siguientes campos:
      Dirección URL base de autenticación
      : define el nombre del host del servidor de
      CA Access Gateway
      en el que se instala el servicio de gestión de credenciales. Especifique el valor en el siguiente formato: https:
      nombrehost_sps
      o http:
      nombrehost_sps
      Grupos de métodos de autenticación
      : especifica el grupo de métodos de autenticación de proveedores de identidad que debe mostrase a los usuarios para la autenticación cuando se invoca la asociación.
  • casso13es
    Tipo de autenticación Delegada (solo en modo Delegada)
    Especifica si la autenticación de terceros se lleva a cabo transfiriendo una cookie de formato abierto o una cadena de consulta con el ID de inicio de sesión de usuario y demás información. Este campo se muestra solamente si se selecciona Delegada el modo de autenticación.
    Opciones: Cadena de consulta, Cookie de formato abierto
    • Cadena de consulta
      :
      para utilizar una cadena de consulta, el sistema de terceros crea una cadena de redirección y agrega un parámetro de la consulta llamado LoginIDHash a esta cadena. El parámetro LoginIDHash es una combinación del ID de inicio de sesión del usuario y un secreto compartido. Estos dos valores se combinan y, a continuación, se procesan a través de un algoritmo hash.
      No utilice el método de cadena de consulta en un entorno de producción. El método de redirección de la cadena de consulta es solamente para un entorno de pruebas como una prueba de concepto.
      Nota
      La opción de la cadena de consulta no produce una asociación que cumple con el estándar FIPS.
    • Cookie de formato abierto: para utilizar una cookie de formato abierto, el sistema de terceros puede utilizar un SDK de .NET o Java de
      CA SiteMinder® Federation
      para crear la cookie. También puede utilizar un lenguaje de programación para crear una cookie manualmente. El sistema de terceros redirige el explorador a su sistema de federación, que recupera el ID del usuario.
  • Dirección URL de la autenticación delegada (solo en el modo Delegada)
    Especifica la dirección URL del sistema de gestión de acceso web de terceros que gestiona la autenticación del usuario. Si un usuario inicia una solicitud en el sistema local, el usuario se redirige al sistema de gestión de acceso web para la autenticación. Después de que la autenticación se ha realizado correctamente, el usuario se redirige al sistema de local.
    Esta dirección URL no es relevante si un usuario inicia primera una solicitud en el sistema de gestión de acceso web primero.
    Valor
    : una dirección URL válida que empieza con http:// o https://
  • casso13es
    Estado de autenticación delegada de seguimiento
    Realiza un seguimiento de si la autenticación delegada es correcta. Si la autenticación delegada produce un error, esta configuración determina el comportamiento del sistema de federación. De forma predeterminada esta casilla de verificación está seleccionada. Si un usuario no proporciona credenciales al acceder a un recurso protegido configurado para la autenticación delegada, la autenticación delegada produce un error. Si el usuario intenta acceder al recurso otra vez en la misma sesión del explorador, el explorador muestra un error 404. Asimismo, el sistema de federación escribe un mensaje de error a affwebservices.log y a los archivos FWSTrace.log. El mensaje de error informa de la falta de credenciales para la autenticación delegada. El sistema de federación no vuelve a dirigir el usuario a URL de la autenticación delegada para proporcionar las credenciales.
    Para que el sistema de federación vuelva a dirigir al usuario a la dirección URL de la autenticación delegada en la misma sesión de explorador, es necesario desactivar esta casilla de verificación. Si se desativa el seguimiento, un usuario puede volver a acceder al recurso otra vez en la misma sesión de explorador sin recibir un 404 error. El sistema de federación vuelve a dirigir el explorador a la dirección URL de la autenticación delegada Se solicita al usuario que proporcione de nuevo las credenciales.
  • Parámetros de cadena de consulta la autenticación delegada
    Si se selecciona Cadena de consulta, para el campo Tipo de autenticación delegada, complete estos valores de configuración adicionales:
    • Secreto de hash
      Determina el secreto compartido que se añade al ID de inicio de sesión del usuario para crear el parámetro de la consulta de LoginIDHash. Esta configuración es solamente relevante si se selecciona la opción Cadena de consulta como el tipo de autenticación delegada.
    • Confirmar secreto de hash
      Verifica el secreto de hash. Introduzca de nuevo el valor del secreto de hash.
  • Parámetros de cookie de formato abierto para autenticación delegada
    Si se selecciona la cookie de formato abierto, una redirección HTTP 302 redirige al usuario a la aplicación de terceros. El sistema de WAM de terceros autentica al usuario y comparte las credenciales de usuario con CA SSO en la parte asertiva en una cookie de formato abierto.
    Si se selecciona la opción de cookie de formato abierto para la autenticación delegada, se muestran los campos adicionales siguientes:
    Nombre de la cookie de formato abierto
    Especifica el nombre de la cookie.
    Transformación del cifrado
    Indica la transformación del cifrado que se debe utilizar para descifrar la cookie de formato abierto. Utilice el mismo valor que el sistema de WAM de terceros que se utiliza para cifrar la cookie de formato abierto.
    Contraseña de cifrado
    Indica la contraseña que se utiliza para descifrar la cookie. Utilice el mismo valor que el sistema de WAM de terceros que se utiliza para cifrar la cookie de formato abierto.
    Confirmar contraseña
    Confirma la entrada de la contraseña de cifrado.
    Habilitar HMAC
    Indica que el software genera un código de autenticación de mensaje de hash (HMAC) mediante la contraseña de cifrado proporcionada en este cuadro de diálogo.
    Los códigos de autenticación de mensaje (MAC) pueden verificar la integridad de la información que se envía entre dos partes. Las dos partes comparten una clave secreta para el cálculo y la verificación de los valores de autenticación del mensaje. Un código de autenticación de mensaje de hash (HMAC) es un mecanismo de MAC que está basado en funciones de hash de cifrado.
    Si se selecciona la casilla de verificación Habilitar HMAC, el sistema genera un valor de HMAC para su la cookie de formato abierto. El software antecede el valor de HMAC al valor de la cookie de formato abierto, que luego cifra toda la cadena. El sistema coloca la cadena cifrada en la cookie de formato abierto, que, a continuación, se transfiere a la aplicación de destino.
    Tiempo de desviación de la cookie (segundos)
    Especifica el número de segundos restados de la hora del sistema actual para explicar la diferencia en los relojes del sistema. La diferencia está entre su sistema de federación y la aplicación de terceros que gestiona la autenticación delegada. El software aplica el tiempo de desviación para la generación y el consumo de la cookie de formato abierto.
    Valor
    : introduzca un valor en segundos.
    Invalidar la clase de autenticación con el valor de la cookie de formato abierto
    Seleccione esta casilla de verificación para anular el URI de clase de autenticación configurada con el URI enviado por un sistema de gestión de acceso remoto de terceros e incluido en la aserción para el proveedor de servicios.
  • Clase de autenticación
    Especifica el URI proporcionado en el elemento AuthnContextClassRef en la aserción, que describe cómo se autentica un usuario federado. Si el usuario se va a autenticar de forma loca, acepte el URI predeterminado para la contraseña. Si un sistema de gestión de acceso remoto de terceros autentica el usuario, edite este campo para reflejar el método de autenticación.
    Valor predeterminado
    : urn:oasis:names:tc:SAML:2.0:ac:classes:Password
    Valor de modo de autenticación local
    : urn:oasis:names:tc:SAML:2.0:ac:classes:Password
    Valor de modo de autenticación delegada:
    URI válido para el elemento AuthnContextClassRef, que se define en la especificación de SAML.
  • Configurar AuthnContext
    Define el método que el proveedor de identidad utiliza para determinar el contexto de autenticación que coloca en la aserción. Las opciones incluyen:
    • Utilizar clase de autenticación predeterminada
      Le encarga al proveedor de identidad que utilice un URI de clase de autenticación codificado en la aserción. Este URI es el valor especificado en el campo Clase de autenticación. Si selecciona esta opción, configure el siguiente campo:
      Clase de autenticación
      Especifica el URI proporcionado en el elemento AuthnContextClassRef en la aserción, que describe cómo se autentica un usuario federado. Acepte el URI predeterminado para la contraseña.
      Valor predeterminado
      : urn:oasis:names:tc:SAML:2.0:ac:classes:Password
    • Detectar automáticamente la clase de autenticación
      Le encarga al proveedor de identidad que asigne la clase AuthnContext al nivel de protección para la sesión que está basada en una plantilla de contexto de autenticación configurado. Si se selecciona esta opción, configure el campo Plantillas de contexto de autenticación. Esta función identifica la plantilla que el proveedor de identidad utiliza para asignar el contexto de autenticación al nivel de protección asociado para una sesión de usuario determinada.  Seleccione Crear plantilla para crear una plantilla en lugar de elegir una existente. 
  • IgnoreRequestedAuthnContext
    Indica al proveedor de identidad que ignore el elemento <RequestedAuthnContext> en la solicitud de autenticación que recibe del proveedor de servicios. El proveedor de identidad determina el contexto de autenticación utilizando una clase de autenticación definida previamente o una plantilla de contexto de autenticación.
  • Tiempo de espera de la inactividad (Horas:Minutos)
    Determina la cantidad de tiempo que la sesión de un usuario autorizado puede permanecer inactiva antes de que el sistema de federación finalice la sesión. Si le preocupa que los usuarios dejen sus estaciones de trabajo después de haber accedido a un recurso protegido, establezca el tiempo de espera de la inactividad a un período de tiempo más corto. Si la sesión finaliza, los usuarios deben volver a autenticarse antes de acceder de nuevo a los recursos.
    Este ajuste está activado de forma predeterminada. Si no se desea especificar ningún tiempo de espera de la inactividad, desactive la casilla de verificación. El tiempo de espera de la inactividad predeterminado es de una hora.
    Valor predeterminado
    : 1 hora
    • Horas
      Especifica el número de horas para el período de tiempo de espera de la inactividad.
    • Minutos
      Especifica el número de minutos para el período de tiempo de espera de la inactividad.
  • Tiempo de espera máximo (Horas:Minutos)
    Determina la cantidad máxima de tiempo que la sesión de un usuario puede estar activa antes de que el sistema de federación pida al usuario que se vuelva a autenticar.
    Este ajuste está activado de forma predeterminada. Si no se desea especificar ninguna duración máxima de sesión, desactive la casilla de verificación.
    Valor predeterminado
    : 2 horas
    • Horas
      Especifica el número de horas para la duración de sesión máxima.
    • Minutos
      Especifica el número de minutos para la duración de sesión máxima.
  • Actualizar sesión para ForceAuthn
    Seleccione esta casilla de verificación para actualizar la aserción con la hora de inicio actual de la sesión y los tiempos de espera de inactividad y máximo. Esta casilla de verificación es válida cuando el proveedor de servicios solicita las credenciales y la solicitud de autenticación incluye un parámetro de consulta de autenticación forzado.
    Esta opción está desactivada de forma predeterminada. La hora de inicio original de la sesión y los tiempos de espera se utilizan al generar la aserción.
  • Habilitar seguridad de la sesión mejorada
    Seleccione esta casilla de verificación para proteger los recursos que se especifican en el territorio (del modelo de dominio de la política) o en el componente (del modelo de aplicación). También se pueden proteger las solicitudes de autenticación de ciertas asociaciones de la federación. El punto final de seguridad de la sesión recopila DeviceDNA™ del usuario y valida la sesión. Esta función requiere puntos finales de seguridad de la sesión.
Inicio de sesión único (proveedor de identidad de SAML 2.0)
La sección de Inicio de sesión único le permite configurar el inicio de sesión único (SSO). Esta sección muestra los valores de configuración siguientes:
  • Enlace de solicitudes de autenticación
    Especifica los tipos de enlaces que admite el proveedor de identidad cuando recibe una solicitud de autenticación del proveedor de servicios.
    Opciones
    : Redirección HTTP y Método HTTP Post
  • Enlace de inicios de sesión únicos
    Determina qué perfil de inicio de sesión único se utiliza para las solicitudes de procesamiento. Se pueden seleccionar todos los enlaces; la entidad local determina la secuencia en la que los enlaces se prueban.
    Opciones
    : Artefacto HTTP, Método HTTP Post, Perfil del cliente y proxy mejorado
    Directrices para esta configuración:
    • Si se selecciona un enlace de artefacto, seleccione una codificación del artefacto (dirección URL o FORMULARIO). La codificación define cómo el artefacto vuelve a la parte que confía. Si se selecciona la opción de dirección URL, el artefacto se devuelve como un parámetro de la consulta en una dirección URL. Si se selecciona FORMULARIO, el artefacto se publica como datos del formulario. Para el enlace de artefactos, la aserción se envía sobre un canal trasero seguro. Por lo tanto, configure los valores de configuración en la sección Canal trasero.
    • Cuando se selecciona un enlace de inicio de sesión único, configure como mínimo un servicio consumidor de aserciones con un enlace coincidente.
    • Elija el perfil de ECP si las entidades de la asociación se están comunicando indirectamente a través de un cliente mejorado. Un cliente mejorado puede ser un explorador, otro agente de usuario, o un proxy mejorado, como un proxy inalámbrico para un dispositivo inalámbrico.
    Si se seleccionan Perfil del cliente y proxy mejorado, necesita un servicio de servicio consumidor de aserciones con el enlace PAOS.
  • casso13es
    Tipo de protección del artefacto
    Define cómo se protege el canal trasero para el inicio de sesión único de Artefacto HTTP. La opción heredada indica que
    CA Single Sign-on
    protege el canal trasero. La opción de asociación indica que el componente de federación dentro de
    CA Single Sign-on
    protege el canal trasero.
    Si se recrea la configuración de
    eTrust SiteMinder FSS
    en el modelo de federación de asociaciones, se podrá utilizar el método original de protección del canal trasero. La opción heredada permite que la configuración utilice la dirección URL existente para el Servicio recuperación de aserciones (SAML 1.x) o Servicio de resolución de artefactos (SAML 2.0). Al seleccionar la configuración heredada como la opción,
    CA Single Sign-on
    acepta la solicitud. No se tiene que modificar la dirección URL. Si la dirección URL del servicio de artefactos procede de la configuración heredada pero solo se selecciona la opción de asociación para este ajuste,
    CA Single Sign-on
    rechazará la solicitud.
    Con la opción heredada, asegúrese de aplicar la política que protege el servicio de artefactos. Esta política es un componente de los servicios web de la federación.
    CA Single Sign-on
    crea automáticamente políticas para servicios web de la federación, pero es necesario exigir la protección de estas políticas. Se debe indicar qué asociación tiene permitido el acceso al servicio que recupera artefactos.
    Opciones
    : Heredada, Asociación
  • Codificación del artefacto
    Especifica cómo el artefacto se codifica cuando se envía a la parte que confía para el inicio de sesión único de artefacto HTTP.
    Opciones
    : Dirección URL, Formulario
    Si se selecciona Dirección URL, el artefacto se agrega a una cadena de consulta codificada de dirección URL. Si se selecciona Formulario, el artefacto se agrega a un control de formulario oculto en un formulario.
  • Público
    Especifica la dirección URL del público La dirección URL del campo Público identifica la ubicación del documento que describe los términos y las condiciones del acuerdo de negocio entre la parte asertiva y confidente. El administrador en la parte asertiva determina el público. Este valor debe coincidir con el valor del campo Público especificado en la parte confidente.
    Valor
    : una dirección URL.
    El valor del campo Público no puede superar 1024 y distingue entre mayúsculas y minúsculas. 
    Por ejemplo
    : http://www.ca.com/fedserver
  • Aceptación de la URL ACS en el Authnrequest
    Permite aceptar y procesar la dirección URL del servicio consumidor de aserciones en la solicitud de autenticación entrante de la parte confidente. Seleccione esta casilla de verificación para validar que la dirección URL introducida es válida y se encuentra entre los metadatos.
  • Transacciones permitidas
    Indica qué partner puede iniciar un inicio de sesión único. Si controla qué partner inicia el inicio de sesión único, podrá gestionar llamadas de federación. Para un valor Solo se ha iniciado el proveedor de servicios, un SP puede requerir que se devuelva un contexto de autenticación específico en la aserción antes de permitir el acceso a un recurso.
  • Duración de la validez del inicio de sesión único (segundos)
    Especifica el número de segundos durante los cuales una aserción generada es válida. Para el inicio de sesión único, la duración de la validez del inicio de sesión único y el tiempo de desviación indican al Servidor de políticas cómo calcular el tiempo total durante el que la solicitud de inicio de sesión único es válida. En un entorno de prueba, aumente el valor de la duración de la validez a más de 60, el valor predeterminado, si ve el mensaje siguiente en el registro de seguimiento:
    Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237)  - 
    current time (Fri Sep 09 17:28:33 EDT 2005) is after SessionNotOnOrAfter
    time (Fri Sep 09 17:28:20 EDT 2005)
    Valor
    : introduzca un entero positivo.
    Valor predeterminado
    : 60
  • Duración de la sesión del proveedor de servicios recomendada
    Especifica cuánto tiempo está activa la sesión en el SP.
    En <AuthnStatement> de la aserción, el Servidor de políticas calcula el atributo SessionNotOnOrAfter mediante la fórmula tiempo_actual + duración_validez + tiempo_desviación. Cuando un SP intenta establecer el tiempo de espera de sesión a este valor, la sesión es demasiado breve. Se puede resolver este problema utilizando el valor de la duración de la validez del inicio de sesión único o manipulando el valor SessionNotOnOrAfter.
    Opciones:
    • Utilizar la validez de la aserción
      Calcula el valor SessionNotOnOrAfter que está basado en la duración de la validez del inicio de sesión único.
    • Customize Assertion Session Duration (Duración de la sesión de aserción personalizada)
      Seleccione una de las opciones siguientes:
      Omitir
      : Le encarga al IdP que no incluya el parámetro SessionNotOnOrAfter en la aserción.
      Sesión del proveedor de identidad
      : Calcula el valor de SessionNotOnOrAfter que está basado en el tiempo de espera de la sesión del proveedor de identidades. El tiempo de espera se configura en el territorio del IdP la dirección URL de la autenticación. Mediante esta opción se pueden sincronizar los valores de tiempo de espera de sesión del SP y el IdP.
      Personalizado
      : Establece el tiempo de espera como un valor personalizado en horas y minutos.
  • Habilitar la respuesta de autenticación negativa
    Especifica que el proveedor de servicios recibe una notificación cuando una solicitud de autenticación del usuario produce un error.
  • Habilitar consentimiento del usuario
    Para mejorar la privacidad del usuario, se puede necesitar que un usuario indique que esté de acuerdo con que la parte que afirma comparta información de identidad con el SP. Si selecciona la casilla de verificación Habilitar consentimiento del usuario, la parte que afirma pide el consentimiento al usuario. La parte que afirma transfiere su valor en la aserción.
    Si esta casilla de verificación se habilita, los dos campos siguientes se muestran:
    • Dirección URL del servicio consentimiento del usuario
      Especifica la dirección URL para el servicio consentimiento del usuario en la parte que afirma. El valor predeterminado es http://
      idp_site
      :8999/affwebservices/public/saml2userconsent
    • Formulario Post con consentimiento del usuario
      Nombra el formulario HTML POST automático personalizado para el consentimiento del usuario. Introduzca solamente el nombre del formulario, no la ruta al formulario. El usuario puede configurar el formulario HTML que la parte que afirma proporciona al usuario para obtener el consentimiento. Este formulario se puede personalizar para adaptarse a las necesidades empresariales.
      La página física debe residir en el directorio %NETE_WA_ROOT%\customization, donde %NETE_WA_ROOT% es la ubicación del Pack de opciones del Agente web. Si el Agente web y el Pack de opciones del Agente web están instalados en el mismo sistema, se instalan en el mismo directorio, por ejemplo, webagent\customization.
  • Nivel de autenticación mínimo
    Especifica el nivel mínimo en el que el usuario debe haberse autenticado para obtener acceso a un territorio. Si el usuario se ha autenticado en este nivel o en uno superior, el proveedor de identidad genera una aserción para el usuario. Si el usuario no se autentica a este nivel o más a gran altura, se reenvían a la Dirección URL de la autenticación para autenticar a este nivel.
  • Formulario de envío personalizado
    Nombra el formulario HTML POST automático personalizado para el inicio de sesión único de Método HTTP Post. Introduzca solamente el nombre del formulario, no la ruta al formulario. El Servidor de políticas proporciona un formulario llamado defaultpostform.html. Un formulario POST automático personalizado permite al Servidor de políticas enviar información de SAML al consumidor. La página física debe residir en el directorio %NETE_WA_ROOT%\customization, donde %NETE_WA_ROOT% es la ubicación del Pack de opciones del Agente web. Si el Agente web y el Pack de opciones del Agente web están instalados en el mismo sistema, se instalan en el mismo directorio, por ejemplo, webagent\customization.
  • Período de validación
    Para ver esta casilla de verificación, habilite el servidor de sesiones mediante la Consola de gestión del Servidor de políticas.
    El valor especificado determina el período máximo entre llamadas del agente al Servidor de políticas para validar una sesión. Las llamadas de validación de sesión informan al Servidor de políticas de que un usuario está todavía activo y confirman que la sesión del usuario es todavía válida. Para especificar la longitud del período de validación, introduzca valores en los campos Horas, Minutos y Segundos. Si se está configurando el sistema para proporcionar un contexto de seguridad de usuarios de Windows, defina un valor más alto como, por ejemplo, 15-30 minutos. 
    El período de validación de la sesión debe ser inferior al valor del tiempo de espera de inactividad especificado.
  • Establecer condición OneTimeUse
    Indica al SP que utilice la aserción inmediatamente y que no la conserve para un uso futuro. La aserción se destina para un solo uso. La condición OneTimeUse es útil porque la información de una aserción puede cambiar o caducar y el SP utiliza una aserción con información actualizada. En lugar de reutilizar la aserción, el SP debe solicitar una aserción nueva al IdP.
  • Dirección URL del consumidor de aserciones
    Esta sección le permite asignar valores de índice a las direcciones URL del servicio consumidor de aserciones. La asignación de números de índice permite que se puedan utilizar distintas entradas del servicio consumidor de aserciones para enlaces de protocolo diferentes. La parte que confía incluye solo el número de índice para la dirección URL adecuada en la AuthnRequest que envía a la parte que afirma.
    La tabla de esta sección contiene los campos siguientes:
    • Índice
      Especifica el número de índice para la dirección URL de un servicio consumidor de aserciones en la parte que confía.
      Valor predeterminado
      : 0
      Valor
      : entero único entre 0 y 65535
    • Enlace
      Especifica el enlace de inicio de sesión único que se está usando para el servicio consumidor de aserciones.
      Una solicitud sin solicitar puede iniciar un inicio de sesión único en la parte que afirma. Si el enlace que activa la solicitud incluye el parámetro de la consulta ProtocolBinding, el enlace especificado en este parámetro de la consulta anula el valor que de este campo.
      Valor predeterminado
      : HTTP-POST
      Opciones
      : Artefacto HTTP, Método HTTP Post, PAOS
    • URL
      Especifica la dirección URL del servicio consumidor de aserciones en la parte que confía.
      Valor predeterminado (como proveedor de servicios de
      CA Single Sign-on
      )
      : http://
      servidor_sp:puerto
      /affwebservices/public/saml2assertionconsumer
    • Predeterminado
      (Opcional) Indica que la dirección URL seleccionada sirve como entrada predeterminada. Seleccione la casilla de verificación situada junto a la entrada que se desea utilizar como el valor predeterminado.
Cierre de sesión único (proveedor de identidad de SAML 2.0)
La sección Cierre de sesión único le permite configurar el cierre de sesión único (SLO). Esta sección muestra los valores de configuración siguientes:
  • Enlace de cierres de sesión únicos
    Especifica si el perfil de cierre de sesión único está habilitado en la parte asertiva y qué enlace está en uso. El enlace Redirección HTTP envía los mensajes de cierre de sesión único mediante solicitudes GET de HTTP. El enlace SOAP no confía en HTTP después de la solicitud inicial y envía mensajes a través de un canal trasero.
    Opciones
    : Redirección HTTP, Método HTTP Post, SOAP
  • Dirección URL de confirmación del cierre de sesión único
    Especifica la dirección URL a la que se redirige el usuario cuando el proceso de cierre de sesión único se ha completado. Normalmente, la dirección URL de confirmación señala a una ubicación en el sitio que ha iniciado el cierre de sesión único. Si el cierre de sesión único se inicia en el sitio, el sistema utilizará esta dirección URL. El recurso de la dirección URL debe ser un recurso local que sea accesible para su sitio, y no un recurso en un dominio de partner federado. Por ejemplo, si el dominio local es acme.com y su partner es ejemplo.com, la Dirección URL de confirmación del cierre de sesión único debe estar en acme.com.
    Valor
    : dirección URL válida 
  • Duración de la validez del cierre de sesión único (segundos)
    Especifica el número de segundos durante los cuales una solicitud de cierre se sesión único (SLO) es válida.
    Valor predeterminado
    : 60
    segundos
    Valor
    : un entero positivo
  • El estado de la transmisión invalida la dirección URL de confirmación del cierre de sesión único (solo Redirección HTTP)
    Remplaza la dirección URL del campo Dirección URL de confirmación del cierre de sesión único por el valor del parámetro de la consulta Estado de la transmisión incluido en la solicitud de cierre de sesión único. Esta casilla de verificación le ofrece mayor control sobre el destino de confirmación del cierre de sesión único. El parámetro de la consulta Estado de la transmisión permite definir de forma dinámica la dirección URL de confirmación para solicitudes de cierre de sesión único.
  • Reutilizar el índice de sesión
    Indica si
    CA Single Sign-on
    envía el mismo índice de sesión de la aserción al mismo partner en una única sesión del explorador. Un usuario puede federarse varias veces con el mismo partner mediante la misma ventana del explorador. Si se selecciona esta opción se indica al IdP que envíe el mismo índice de sesión en cada aserción. Si se desactiva esta opción,
    CA Single Sign-on
    genera un nuevo índice de sesión cada vez que se produce un inicio de sesión único. 
    Se puede habilitar esta opción para ayudar a garantizar el cierre de sesión único con partners de terceros que no confían en el índice de sesión transferido en las nuevas aserciones.
    Nota
    Esta configuración es relevante solamente si se habilita el cierre de sesión único.
  • Direcciones URL del servicio de cierre de sesión único
    Enumera las direcciones URL del servicio de cierre de sesión único disponibles. La tabla incluye las entradas siguientes:
    • Selección
      Indica que este valor es la entrada para la dirección URL del servicio de cierre de sesión único.
    • Enlace
      Indica el enlace para la conexión de cierre de sesión único.
      Opciones
      : Redirección HTTP, SOAP
    • Dirección URL de la ubicación
      Especifica la dirección URL del servicio de cierre de sesión único en el partner remoto, donde se envía la solicitud de cierre de sesión único.
      Valor
      : dirección URL válida
      Si el sistema de federación está en el SP remoto, utilice las direcciones URL siguientes:
      Enlace de redirección HTTP:
      http://
      host_sp:puerto
      /affwebservices/public/saml2slo
      Enlace HTTP-POST:
      http://host_sp:puerto/affwebservices/public/saml2slo
      Enlace SOAP: 
      http://
      host_sp:puerto
      /affwebservices/public/saml2slosoap
      Si un producto de federación de terceros está en el SP, utilice la dirección URL adecuada para ese producto.
  • Dirección URL de la ubicación de la respuesta
    (Opcional) Especifica la dirección URL del servicio de cierre de sesión único para la entidad. Una Dirección URL de la ubicación de la respuesta se utiliza para una configuración en la que hay un servicio para solicitudes de cierre de sesión único y un servicio para respuestas de cierre de sesión único. De forma predeterminada, si solamente se proporciona la Dirección URL de la ubicación, se utiliza para la solicitud y la respuesta.
    Valor
    : dirección URL válida
Manage Name ID Service (Servicio de gestión del ID de nombre)
Esta sección describe los campos destinados a configurar el Manage Name ID Service (Servicio de gestión del ID de nombre).
  • Enlace de MNI: SOAP
    Habilite el Manage Name ID Service (Servicio de gestión del ID de nombre). SOAP constituye el único enlace compatible. Si se selecciona esta opción, aparecerá la sección Búsqueda de usuario para los servicios de atributos y gestión del ID de nombre. Especifique una especificación de búsqueda del directorio de usuarios en el campo Personalizado. El valor que se especifica permite al Servidor de políticas saber como se debe localizar el registro del usuario en el directorio de usuarios.  Introduzca una cadena de búsqueda adecuada para el tipo de directorio, como:
    LDAP
    : uid=%s
    ODBC
    : name=%s
  • Cifrar ID de nombre
    Cifra el ID de nombre.
  • Requerir ID de nombre cifrado
    Requiere un ID de nombre cifrado en los mensajes recibidos.
  • Firmar la solicitud
    Firma el mensaje de solicitud de ManageNameID.
  • Requerir solicitud firmada
    Requiere un mensaje de solicitud de ManageNameID firmado.
  • Firmar respuesta
    Firma el mensaje de respuesta de ManageNameId.
  • Requerir respuesta firmada
    Requiere un mensaje de respuesta de ManageNameID firmado.
  • Suprimir ID del nombre
    Borra el atributo del directorio de usuarios que incluye NameID de usuario para esta asociación. Tenga en cuenta que se selecciona Suprimir ID del nombre o Permitir notificación para que la función sea funcional.
  • Tiempo de espera de SOAP (segundos)
    Especifica el número de minutos que se debe esperar hasta que se agote el tiempo de la solicitud.
    Valor predeterminado
    : 60
  • Recuento de reintentos
    Especifica el número de veces que se debe reintentar una solicitud.
    Valor predeterminado
    : 3
  • Límite del reintento (minutos)
    Especifica el número de minutos que se debe esperar antes de tratar de realizar un reintento cuando se genera un mensaje de error.
    Valor predeterminado
    : 15
  • (Opcional) Activación de la notificación
    Indica a la entidad de federación de
    Single Sign-On
    que notifique a la aplicación del cliente cuando se termina un usuario. Una notificación indica al servicio de ID de nombre que se encuentra en segundo plano cuando se ejecuta correctamente la terminación del ID de nombre. Active las notificaciones si el cliente propietario de la aplicación solicitada desea controlar la eliminación de un usuario del directorio de usuarios. 
  • Dirección URL de la notificación
    Especifica la dirección URL del proveedor de identidad remoto o proveedor de servicios al que la entidad local federada envía la notificación de que se ha finalizado el ID de nombre de un usuario federado.
  • Tiempo de espera de la notificación (segundos)
    Especifica el número de segundos que se debe esperar hasta que la solicitud de notificación excede el tiempo de espera.
  • Tipo de autenticación de la notificación
    Especifica si el cliente requiere las credenciales al enviar una terminación. Si se selecciona Básica, el servicio de notificación hace una llamada de salida en segundo plano a través de la dirección URL de notificación. La aplicación del cliente puede autenticar que se permite a la federación de
    Single Sign-On
    realizar esta llamada de salida. Si se selecciona Básica, es necesario especificar los valores para los valores de configuración Notificar al nombre de usuario y Notificar contraseña. Estos valores servirán como credenciales cuando se envía una llamada de salida a través del canal de notificación.
    Opciones
    : NoAuth, básica
  • Notificar al nombre de usuario
    Especifica un nombre de usuario para el servicio de notificación. Este nombre forma parte de las credenciales para la aplicación del cliente para comprobar la entidad que se comunica a través de la dirección URL de notificación. 
  • Notificar contraseña
    Especifica una contraseña para el servicio de notificación. Esta contraseña forma parte de las credenciales para la aplicación del cliente para comprobar la entidad que se comunica a través de la dirección URL de notificación. Una aplicación del cliente proporciona este servicio de autenticación para asegurarse de que un cliente válido está enviando la notificación.
  • Notificar la confirmación de la contraseña
    Confirma el valor de notificación de la contraseña.
Canal trasero (proveedor de identidad de SAML 2.0)
casso13es
En la sección Canal trasero se configura el método de autenticación para el canal trasero. El canal trasero tiene finalidades diferentes en función de los criterios siguientes:
  • El inicio de sesión único del artefacto HTTP está configurado.
  • El cierre de sesión único mediante el enlace SOAP está configurado.
  • El sistema de federación es el proveedor de identidad o el proveedor de servicios.
  • La comunicación se establece por un canal entrante o saliente.
La sección Canal trasero muestra los valores de configuración siguientes:
  • Configuración entrante/Configuración saliente
    Configure un canal trasero entrante o saliente según sea necesario para los enlaces seleccionados. El canal trasero solo dispone de una configuración. Si dos servicios utilizan el mismo canal, estos dos servicios utilizan la misma configuración de canal trasero. Por ejemplo, el canal entrante para un proveedor de identidad local es compatible con el inicio y el cierre de sesión únicos del artefacto HTTP sobre SOAP. Estos dos servicios deben utilizar la misma configuración de canal trasero.
  • Método de autenticación
    Especifica el método de autenticación que protege el canal trasero.
    Valor predeterminado:
    Sin autenticación
    Opciones
    : Básico, Certificado de cliente, Sin autenticación
    Básico:
    Indica que un esquema de autenticación Básico está protegiendo la comunicación a través del canal trasero.
    Nota:
    Si se habilita SSL para la conexión del canal trasero, se puede seguir seleccionando la autenticación básica.
    Si selecciona la autenticación Básica, configure los siguientes valores de configuración adicionales:
    • Nombre de usuario del canal trasero
      (Solo autenticación básica, canal saliente). Especifica el nombre de usuario del proveedor de servicios (SP) al utilizar la autenticación Básica a través del canal trasero. Introduzca el nombre de la asociación que se configura en el proveedor de identidad (IdP) remoto. Por ejemplo, en el IdP remoto, una asociación denominada Partners1 se define entre CompañíaA (IdP) y CompañíaB (SP). En CompañíaB (el SP local), el valor que introduce es Partners1, para asociar este nombre de usuario con la asociación correspondiente del IdP.
    • Contraseña
      Especifica la contraseña de usuario para el nombre de usuario del canal trasero. Esta contraseña solo es relevante si utiliza Básica o Credenciales básicas para SSL como método de autenticación a través del canal trasero.
      Los dos partners deben estar de acuerdo con esta contraseña.
    • Confirmar contraseña
      Vuelve a confirmar la entrada de la contraseña.
    • Tiempo de espera del canal trasero (segundos)
      (Solo canal saliente) Especifica la cantidad máxima de tiempo durante el cual el sistema espera una respuesta después de haber enviado una solicitud de canal trasero al servicio resolución de artefactos. Especifique un intervalo en segundos.
      Valor predeterminado
      : 300 segundos
      Valor
      : entero positivo
  • Certificado de cliente
    Indica que un esquema de autenticación de certificado de cliente X.509 protege la comunicación que va al servicio de resolución de artefactos a través del canal trasero.
    La autenticación Certificado de cliente requiere el uso de SSL para todas las direcciones URL de punto final. Las direcciones URL de punto final buscan los distintos servicios de SAML en un servidor, como el servicio de resolución de artefactos. El requisito de SSL significa que las direcciones URL del servicio deben empezar con
    https://
    .
    Para implementar la autenticación Certificado de cliente, el SP envía un certificado a la parte que afirma antes de que se produzca cualquier transacción. La parte que afirma almacena el certificado en su base de datos. Los dos partners deben tener el certificado que permita la conexión SSL en sus respectivas bases de datos, de lo contrario, la autenticación Certificado de cliente no funcionará.
    Durante el proceso de autenticación, la parte confidente envía su certificado a la parte que afirma. Seguidamente, la parte que afirma compara el certificado recibido con el que se encuentra en su base de datos con el objetivo de verificar que coincidan. Si hay una coincidencia, la parte que afirma permite a la parte que confía acceder al servicio resolución de artefactos.
    Si selecciona la autenticación Certificado de cliente, configure la configuración adicional siguiente:
    • Alias de certificado del cliente
      Especifica el alias que se asocia con un certificado de cliente en la base de datos de claves. Seleccione el alias en la lista desplegable.
    • Tiempo de espera del canal trasero (segundos)
      (Solo canal saliente). Especifica la cantidad máxima de tiempo que
      CA Single Sign-on
      espera una respuesta después de haber enviado una solicitud de canal trasero al servicio resolución de artefactos. Especifique un intervalo en segundos.
      Valor predeterminado
      : 300 segundos
      Valor
      : entero positivo
  • Sin autenticación
    Indica que la parte que confía no tiene que proporcionar credenciales. El canal trasero y el servicio resolución de artefactos no son seguros. Se puede seguir habilitando SSL con esta opción. El tráfico del canal trasero se cifra, pero no se intercambia ninguna credencial entre las partes.
    Seleccione Sin autenticación para realizar pruebas, pero no para la producción, salvo si el sistema de federación está configurado para la conmutación por error con SSL habilitado y se encuentra detrás de un servidor proxy. El servidor proxy gestiona la autenticación cuando tiene el certificado del servidor. En este caso, todas las asociaciones Proveedor de identidad a proveedor de servicios utilizan Sin autenticación como tipo de autenticación.
Servicio de atributos en el proveedor de identidad
Se puede configurar un proveedor de identidad para que actúe como una autoridad de atributos. La autoridad puede responder a una consulta de atributo de un solicitante SAML. A continuación, el solicitante puede autorizar a un usuario basándose en los atributos recuperados.
La sección Servicio de atributos contiene los campos siguientes para la consulta de atributo:
  • Activado
    Permite al proveedor de identidad actuar como una autoridad de atributos. Como una autoridad de atributos, el sistema puede responder a un mensaje de consulta de un solicitante SAML. Si se selecciona esta opción, aparecerá la sección Búsqueda de usuario para los servicios de atributos y gestión del ID de nombre. Especifique una especificación de búsqueda del directorio de usuarios en el campo Personalizado. El valor que se especifica permite al Servidor de políticas saber como se debe localizar el registro del usuario en el directorio de usuarios.  Introduzca una cadena de búsqueda adecuada para el tipo de directorio, como:
    LDAP
    : uid=%s
    ODBC
    : name=%s
  • Requerir consulta de atributo firmada
    Indica que la autoridad de atributos necesita una consulta de atributo con firma electrónica del solicitante SAML.
  • casso13es
    Habilitar consulta en proxy
    Indica que un proveedor de identidad de terceros responde a la consulta del atributo. La función de la consulta en proxy es para una implementación en la que un tercero está ejerciendo de proveedor de identidad y de autoridad de atributos. El sistema del Servidor de políticas local que se está configurando tiene dos roles cuando se implementa una consulta en proxy. El sistema ejerce como proveedor de servicios y servicio del solicitante del atributo relativo al proveedor de identidad de terceros. El sistema local también ejerce de proveedor de identidad y de autoridad de atributos relativo al proveedor de servicios que posee la aplicación solicitada.
    Una consulta en proxy ocurre cuando se cumplen las condiciones siguientes:
    • El atributo no se encuentra en el directorio de usuarios o almacén de sesiones del sistema local.
    • El proveedor de identidad de terceros autentica al usuario inicialmente.
    El Servidor de políticas realiza una consulta en el proveedor de identidad de terceros. Si el proveedor de identidad encuentra el atributo, devuelve una respuesta de la consulta. El Servidor de políticas agrega los atributos de la respuesta al almacén de sesiones. A continuación, el sistema devuelve la respuesta con los atributos al proveedor de servicios que posee la aplicación. Este proveedor de servicios es el solicitante original del atributo.
    Nota
    La dirección URL para el servicio de atributos en el proveedor de identidad se configura en la asociación de proveedores de servicios.
  • Duración de la validez en segundos
    Especifica el número de segundos durante los cuales la aserción es válida.
  • Opciones de firmado
    Designa los requisitos de firma para las aserciones y respuestas de atributos.
    • Firmar aserción
      Indica a la autoridad de atributos que firme únicamente la aserción de atributo. La respuesta de SAML no se firma.
    • Firmar respuesta
      Indica a la autoridad de atributos que firme únicamente la respuesta de SAML.
    • Firmar ambos
      Encarga a la autoridad de atributos que firme la aserción de atributo y la respuesta de SAML.
    • No firmar ninguno
      Encarga a la autoridad de atributos que no firme la aserción de atributo ni la respuesta de SAML.
  • Búsqueda de usuario
    Define las especificaciones de búsqueda para los espacios de nombre del directorio de usuarios. La autoridad de atributos usa la especificación de búsqueda para encontrar el usuario localmente. La especificación de búsqueda debe incluir el NameID del asunto de la consulta del atributo para encontrar el usuario.
    Introduzca una especificación de búsqueda en el campo para el tipo de espacio de nombres que está utilizando.
    Nota
    Se necesita como mínimo una especificación de búsqueda.
Detección de proveedores de identidad (proveedor de identidad de SAML 2.0)
La sección Detección de proveedores de identidad le permite configurar el perfil del detector de proveedores de identidad. Este perfil hace que la parte que confía determine qué parte que afirma está utilizando una entidad de seguridad.
Esta sección muestra los valores de configuración siguientes:
  • Habilitar detección de proveedores de identidad
    Habilita o deshabilita el perfil del detector de proveedores de identidad.
  • URL del servicio
    Especifica la dirección URL del servlet del perfil de detector de proveedores de identidad en la entidad local.
  • Dominio común
    Especifica el dominio de la cookie de dominio común donde el servicio detección de proveedores de identidad almacena información acerca de la parte que afirma. Este dominio debe ser un dominio principal del host en la dirección URL del servicio.
    Valor
    : un dominio de cookie válido
  • Habilitar cookie persistente
    Indica que la cookie debe ser persistente.
Dirección URL de redirección de estados (proveedor de identidad SAML 2.0)
La Dirección URL de redirección de estados le permite determinar cómo el explorador redirige a un usuario cuando se producen los errores HTTP 500, 400 y 405.
Seleccione las opciones de redirección que se deseen habilitar y, a continuación, introduzca una dirección URL asociada.
Las opciones disponibles son:
  • Habilitar redirección de errores del servidor
    Dirección URL de redirección del error del servidor
    : especifica la dirección URL a la que se redirige al usuario cuando se produce un error HTTP 500 Server. Un usuario puede encontrar un error 500 porque una condición inesperada impide al servidor web que cumpla la solicitud del cliente. Si este tipo de error ocurre, el usuario se envía a la dirección URL especificada para que continúe el procesamiento.
    Por ejemplo
    : http://www.redirectmachine.com/error_pages/server_error.html
  • Habilitar redirección de solicitudes inválidas
    Dirección de URL de redirección no válida de la solicitud
    : especifica la dirección URL a la que se redirige al usuario cuando se produce un error HTTP 400 Bad Request o 405 Method Not Allowed. Un usuario puede encontrar un error 400 porque una solicitud está mal formada. Un usuario puede encontrarse también con un error 405 porque el servidor web no permite llevar a cabo un método o acción en concreto. Si se producen estos tipos de errores, el usuario se envía a la dirección URL especificada para que continúe con el procesamiento.
    Por ejemplo: http://www.redirectmachine.com/error_pages/invalidreq_error.html
  • Habilitar redirección de accesos no autorizados
    Dirección URL de redirección del acceso no autorizado
    : especifica la dirección URL a la que se redirige el usuario cuando se produce un error HTTP 403 Forbidden. Este error se produce debido a que el usuario no está autorizado para una transacción federada. Un usuario también puede encontrarse con un error 403 porque la dirección URL de una solicitud está señalando el destino incorrecto, como un directorio en lugar de un archivo.
    Por ejemplo
    : http://www.redirectmachine.com/error_pages/unauthorized_error.htm
  • 302 No hay datos (valor predeterminado)
    Redirige el usuario mediante una redirección HTTP 302 con una cookie de sesión, pero no otros datos.
  • Método HTTP Post
    Redirige el usuario mediante el protocolo Método HTTP Post.