Cuadro de diálogo Inicio y cierre de sesión únicos (proveedor de servicios de SAML 2.0)
casso13es
HID_partnerships-SSO-relying
El paso de inicio y cierre de sesión únicos le permite determinar la configuración del inicio de sesión único y el cierre de sesión único.
Nota
Para ver los valores de configuración del cierre de sesión único, habilite el servidor de sesión mediante la Consola de gestión del Servidor de políticas.Inicio de sesión único (SP de SAML 2.0)
La sección de Inicio de sesión único le permite configurar información sobre el inicio de sesión único (SSO). Los valores de configuración incluyen los siguientes:
Enlace de solicitudes de autenticación
Especifica los tipos de enlaces que utiliza el proveedor de servicios cuando envía una solicitud de autenticación al proveedor de identidad.
Opciones
: Redirección HTTP y Método HTTP PostPerfil del inicio de sesión único
Determina qué perfil de inicio de sesión único utiliza el sistema de federación para las solicitudes de procesamiento. Se pueden seleccionar todos los enlaces; la entidad local determina la secuencia en la que los enlaces se prueban.
Opciones
: Artefacto HTTP, Método HTTP Post, Perfil del cliente y proxy mejoradoSeleccione el perfil de ECP si las entidades de la asociación se están comunicando indirectamente a través de un cliente mejorado. Un cliente mejorado puede ser un explorador, otro agente de usuario, o un proxy mejorado, como un proxy inalámbrico para un dispositivo inalámbrico.
Público
Especifica el público de la aserción de SAML.
El público es una dirección URL de un documento que describe los términos y las condiciones del acuerdo de negocio entre dos partners federados. El administrador en la parte asertiva determina el público. El valor que se introduzca debe coincidir con valor del campo Público que se especifica en la parte asertiva.
Valor
: una dirección URL.Por ejemplo:
http://www.ca.com/fedserverTransacciones permitidas
Indica qué partner puede iniciar un inicio de sesión único. Si controla qué partner inicia el inicio de sesión único, podrá gestionar llamadas de federación. Por ejemplo, se puede seleccionar Solo se ha iniciado el proveedor de servicios. En este caso un SP puede iniciar una transacción federada solamente cuándo solicita un contexto de autenticación específico.
Requerir consentimiento del usuario
Indica que el SP necesita que el proveedor de identidad pida permiso al usuario para compartir su información de identidad. Para confirmar el consentimiento, el SP compara el valor de consentimiento del usuario en la aserción recibida con uno de los valores de consentimiento siguientes:
- urn:oasis:names:tc:SAML:2.0:consent:obtainedEl proveedor de identidad recibió el consentimiento del usuario.
- urn:oasis:names:tc:SAML:2.0:consent:priorEl proveedor de identidad recibió el consentimiento del usuario antes de que se produjera la transacción de inicio de sesión único.
- urn:oasis:names:tc:SAML:2.0:consent:current-implicitEl proveedor de identidad recibió el consentimiento implícitamente durante la transacción de inicio de sesión único. Este consentimiento forma parte de una actividad que suele implicar consentimiento. El consentimiento implícito suele estar más cerca en el tiempo a la transacción que el consentimiento previo.
- urn:oasis:names:tc:SAML:2.0:consent:current-explicitEl proveedor de identidad recibió el consentimiento durante la acción que inició la transacción de inicio de sesión único.
Nivel de protección
Permite el inicio de sesión único para esquemas de autenticación de niveles de protección iguales o más bajos dentro del mismo dominio de la política. El nivel de protección también requiere autenticación adicional para acceder a los recursos con esquemas de nivel de protección más altos.
Valor
: 1 a 1000.Los esquemas de autenticación tienen un nivel de protección predeterminado que se puede cambiar. Utilice niveles de protección altos para recursos importantes y esquemas de nivel más bajo para recursos comúnmente accesibles.
Exigir aserción de un solo uso
Impide que las aserciones de SAML 2.0 se reutilicen en un Proveedor de servicios para establecer una segunda sesión.
Habilitar auditoría sincrónica
Indica que
CA Single Sign-on
debe registrar las acciones del Servidor de políticas y del Agente web antes de permitir el acceso a los recursos. CA Single Sign-on
no permite el acceso a los recursos del territorio hasta después de que la actividad se haya registrado en los registros de auditoría.
Utilizar sesión persistente
(Opcional) Especifica que se realice un seguimiento de las sesiones de usuarios y que estas se guarden en el almacén de sesiones y en cookies. El Servidor de políticas tiene acceso a esta información para usarla en las decisiones de autenticación.
Seleccione esta casilla de verificación para habilitar sesiones persistentes. Es necesario seleccionar esta casilla de verificación para las funciones de cierre de sesión único y las políticas de un solo uso.
Importante:
Para ver esta casilla de verificación, habilite el servidor de sesiones mediante la Consola de gestión del Servidor de políticas de CA Single Sign-on
.- Período de validaciónEl valor especificado determina el período máximo entre llamadas del agente al Servidor de políticas para validar una sesión. Las llamadas de validación de sesión informan al Servidor de políticas de que un usuario está todavía activo y confirman que la sesión del usuario es todavía válida.Para especificar la longitud del período de validación, introduzca valores en los campos Horas, Minutos y Segundos. Si se está configurandoCA Single Sign-onpara proporcionar un contexto de seguridad de usuarios de Windows, defina un valor más alto como, por ejemplo, 15-30 minutos. Por otro lado, si las sesiones activas son menores al valor máximo de la memoria caché de sesión de usuario del agente, el agente no tendrá que volver a validar una sesión con el servidor de sesión.Importante: El período de validación de la sesión debe ser inferior al valor del tiempo de espera de inactividad especificado.
Dirección URL del servicio inicio de sesión único remoto
Muestra las direcciones URL de los servicios inicio de sesión único en la parte que afirma. Cada entrada de la tabla especifica la ubicación en la que el servicio AuthnRequest puede redirigir un mensaje AuthnRequest. Haga clic en Agregar fila para agregar más entradas a la tabla. Algunos valores que se definen durante la creación o importación de la parte que confía remota se introducen en esta tabla.
La tabla contiene las columnas siguientes:
- SelecciónIndica qué entrada utilizar.
- EnlaceEspecifica qué enlace admite la parte que afirma.Opciones: Redirección HTTP, Método HTTP Post, SOAP
- URLEspecifica el servicio inicio de sesión único en la parte que afirma.Valor: dirección URL del servicio inicio de sesión único en la parte que afirma remota
- SuprimirSi se selecciona el icono, se suprime la entrada.
Direcciones URL de resolución de artefactos SOAP remota:
Muestra las direcciones URL del servicio resolución de artefactos en la parte que afirma. Este servicio recupera la aserción que está basada en el artefacto que recibe de la parte que confía. Se necesita una entrada de esta tabla para el inicio de sesión único de artefacto. Los valores que se definen durante la creación o importación de la parte que confía remota se introducen en esta tabla.
La tabla contiene las columnas siguientes:
- SelecciónIndica aCA Single Sign-onqué entrada debe utilizar.
- ÍndiceAsocia un valor de índice con la dirección URL específica del servicio resolución de artefactos. Un valor de cero es la entrada predeterminada.Valor predeterminado: 0Valor: 0 a 65535
- URLDirección URL para el servicio resolución de artefactos.Si el proveedor de identidad remoto utilizaCA Single Sign-on, emplee la dirección URL siguiente:http://host_idp:puerto/affwebservices/public/saml2ars
- SuprimirSi se selecciona el icono, se suprime la entrada.
Manage Name ID Service (Servicio de gestión del ID de nombre)
Esta sección describe los campos destinados a configurar el servicio de gestión del ID de nombre.
- Enlace de MNI: SOAPHabilite el servicio de gestión del ID de nombre. SOAP constituye el único enlace compatible.
- Cifrar ID de nombreCifra el ID de nombre.
- Requerir ID de nombre cifradoRequiere un ID de nombre cifrado en los mensajes recibidos.
- Firmar la solicitudFirma el mensaje de solicitud de ManageNameID.
- Requerir solicitud firmadaRequiere un mensaje de solicitud de ManageNameID firmado.
- Firmar respuestaFirma el mensaje de respuesta de ManageNameId.
- Requerir respuesta firmadaRequiere un mensaje de respuesta de ManageNameID firmado.
- Suprimir ID del nombreBorra el atributo del directorio de usuarios que incluye NameID de usuario para esta asociación. Tenga en cuenta que se selecciona Suprimir ID del nombre o Permitir notificación para que la función sea funcional.
- Tiempo de espera de SOAP (segundos)Especifica el número de minutos que se debe esperar hasta que se agote el tiempo de la solicitud.Valor predeterminado: 60
- Recuento de reintentosEspecifica el número de veces que se debe reintentar una solicitud.Valor predeterminado: 3
- Límite del reintento (minutos)Especifica el número de minutos que se debe esperar antes de tratar de realizar un reintento cuando se genera un mensaje de error.Valor predeterminado: 15
- (Opcional) Activación de la notificaciónIndica a la entidad de federación deSingle Sign-Onque notifique a la aplicación del cliente cuando se termina un usuario. Una notificación indica al servicio de ID de nombre que se encuentra en segundo plano cuando se ejecuta correctamente la terminación del ID de nombre. Active las notificaciones si el cliente propietario de la aplicación solicitada desea controlar la eliminación de un usuario del directorio de usuarios.
- Dirección URL de la notificaciónEspecifica la dirección URL del proveedor de identidad remoto o proveedor de servicios al que la entidad local federada envía la notificación de que se ha finalizado el ID de nombre de un usuario federado.
- Tiempo de espera de la notificación (segundos)Especifica el número de segundos que se debe esperar hasta que la solicitud de notificación excede el tiempo de espera.
- Tipo de autenticación de la notificaciónEspecifica si el cliente requiere las credenciales al enviar una terminación. Si se selecciona Básica, el servicio de notificación hace una llamada de salida en segundo plano a través de la dirección URL de notificación. La aplicación del cliente puede autenticar que se permite a la federación deSingle Sign-Onrealizar esta llamada de salida. Si se selecciona Básica, es necesario especificar los valores para los valores de configuración Notificar al nombre de usuario y Notificar contraseña. Estos valores servirán como credenciales cuando se envía una llamada de salida a través del canal de notificación.Opciones: NoAuth, básica
- Notificar al nombre de usuarioEspecifica un nombre de usuario para el servicio de notificación. Este nombre forma parte de las credenciales para la aplicación del cliente para comprobar la entidad que se comunica a través de la dirección URL de notificación.
- Notificar contraseñaEspecifica una contraseña para el servicio de notificación. La contraseña forma parte de las credenciales para la aplicación del cliente para comprobar la entidad que se comunica a través de la dirección URL de notificación. Una aplicación del cliente proporciona este servicio de autenticación para asegurarse de que un cliente válido está enviando la notificación.
- Notificar la confirmación de la contraseñaConfirma el valor de notificación de la contraseña.
Servicio del solicitante del atributo en el proveedor de servicios
En la sección Servicio del solicitante del atributo, configure los atributos que el solicitante del atributo desea recuperar de una autoridad de atributos. Estos atributos se incluyen en la consulta de atributo que se envía a la autoridad de atributos.
Esta sección contiene los siguientes valores de configuración:
- ActivadoHabilita al solicitante para generar consultas de atributo.
- Requerir aserciones firmadasIndica que el solicitante del atributo solamente acepta aserciones de atributo que firma la autoridad de atributos. La aserción se rechaza si no está firmada.
- casso13esHabilitar consulta en proxyIndica que un proveedor de identidad de terceros responde a la consulta del atributo. La función de la consulta en proxy es para una implementación en la que un tercero está ejerciendo de proveedor de identidad y de autoridad de atributos. El sistema del Servidor de políticas local que se está configurando tiene dos roles cuando se implementa una consulta en proxy. El sistema ejerce como proveedor de servicios y servicio del solicitante del atributo relativo al proveedor de identidad de terceros. El sistema local también ejerce de proveedor de identidad y de autoridad de atributos relativo al proveedor de servicios que posee la aplicación solicitada.Una consulta en proxy ocurre cuando se cumplen las condiciones siguientes:
- El atributo no se encuentra en el directorio de usuarios o almacén de sesiones del sistema local.
- El proveedor de identidad de terceros autentica al usuario inicialmente.
El Servidor de políticas realiza una consulta en el proveedor de identidad de terceros. Si el proveedor de identidad encuentra el atributo, devuelve una respuesta de la consulta. El Servidor de políticas agrega los atributos de la respuesta al almacén de sesiones. A continuación, el sistema devuelve la respuesta con los atributos al proveedor de servicios que posee la aplicación. Este proveedor de servicios es el solicitante original del atributo. - Firmar consulta de atributoInstruye al solicitante del atributo para que firme la consulta de atributo antes de enviarla a la autoridad de atributos.
- Requerir respuesta firmadaInstruye al solicitante del atributo para que acepte solamente las respuestas firmadas.
- Servicios de atributosEnumera las direcciones URL del servicio de atributos en cada autoridad de atributos.Para especificar la autoridad de atributos que responde a las consultas del solicitante, seleccione el botón de opción asociado.
Servicio del solicitante del atributo en el proveedor de servicios
Para incluir el valor correcto en la consulta de atributo que el solicitante del atributo envía a la autoridad de atributos, configure la sección ID de nombre.
Nota
Esta sección solamente se puede configurar si se habilita la función Consulta de atributo.Los campos son:
- Formato del ID de nombreEspecifica el formato del ID de nombre. Este valor debe coincidir con el formato del ID de nombre esperado en la autoridad de atributos o la solicitud produce un error.
- Tipo de ID de nombreDefine el tipo de atributo que se utiliza para el ID de nombre.
- EstáticosIndica que el ID de nombre es un valor estático en el campo Valor.
- Atributo de usuarioIndica que el ID de nombre es un atributo de usuario de un almacén de usuarios. El atributo de usuario se especifica en el campo Valor.
- Atributo de sesiónIndica que el ID de nombre es el atributo del almacén de sesiones que se especifica en el campo Valor.
- Atributo del nombre distintivoIndica que el ID de nombre es un atributo que se asocia con un nombre distintivo. Complete los campos Valor y Especificación del nombre distintivo.
- valorEspecifica el valor del ID de nombre. Las entradas válidas en este campo se basan en la selección del tipo ID de nombre.
- Estático: especifique el valor del texto estático.
- Atributo de usuario: especifique el nombre de un atributo de usuario de un almacén de usuarios.
- Atributo de sesión: especifique el nombre de un atributo de sesión del almacén de sesiones del Servidor de políticas.
- Atributo de nombre distintivo: especifique el nombre del atributo de usuario que está asociado con el nombre distintivo de un grupo o unidad organizativa. También especifica la especificación del nombre distintivo.
- Especificación del nombre distintivoEspecifica el nombre distintivo del grupo o unidad organizativa que el sistema utiliza para obtener el atributo de nombre distintivo adecuado.
Cierre de sesión único (SP de SAML 2.0)
La sección Cierre de sesión único le permite configurar el cierre de sesión único (SLO).
Habilite la casilla Utilizar sesión persistente en la sección Inicio de sesión único de este cuadro de diálogo si se desea utilizar el cierre de sesión único.
Esta sección muestra los valores de configuración siguientes:
- Enlace de cierres de sesión únicosEspecifica si el perfil de cierre de sesión único está habilitado en la parte asertiva y qué enlace está en uso. El enlace Redirección HTTP envía el mensaje de cierre de sesión único mediante solicitudes GET de HTTP. El enlace SOAP no confía en HTTP después de la solicitud inicial y envía mensajes a través de un canal trasero.Opciones: Redirección HTTP, Método HTTP Post, SOAP
- Dirección URL de confirmación del cierre de sesión únicoEspecifica la dirección URL a la que se redirige el usuario cuando el proceso de cierre de sesión único se ha completado. Normalmente, este sitio inició el cierre de sesión único. La Dirección URL de confirmación del cierre de sesión único debe ser accesible a su sitio. El sistema de federación utiliza esta dirección URL cuando el cierre de sesión único se inició en su sitio.Este valor es un recurso local y no un recurso en un dominio de partner federado. Por ejemplo, si el dominio local es acme.com y su partner es ejemplo.com, la Dirección URL de confirmación del cierre de sesión único debe estar en acme.com.Introduzca una dirección URL válida.
- Duración de la validez del cierre de sesión único (segundos)Especifica el número de segundos durante los cuales una solicitud de cierre se sesión único (SLO) es válida.Valor predeterminado: 60segundosOpciones: un entero positivo
- El estado de la transmisión invalida la dirección URL de confirmación del cierre de sesión único (solo Redirección HTTP)Remplaza el valor de Dirección URL de confirmación del cierre de sesión único por el valor del parámetro de la consulta Relay State (Estado de la transmisión) incluido en la solicitud de cierre de sesión único.Esta casilla de verificación le ofrece mayor control sobre el destino de confirmación del cierre de sesión único. El parámetro de la consulta Estado de la transmisión permite definir de forma dinámica la dirección URL de confirmación para solicitudes de cierre de sesión único.
- Reutilizar el índice de sesiónIndica siCA Single Sign-onenvía el mismo índice de sesión de la aserción al mismo partner en una única sesión del explorador. Un usuario puede federarse varias veces con el mismo partner mediante la misma ventana del explorador. Si se selecciona esta opción se indica al IdP que envíe el mismo índice de sesión en cada aserción. Si se desactiva esta opción,CA Single Sign-ongenera un nuevo índice de sesión cada vez que se produce un inicio de sesión único.Se puede habilitar esta opción para ayudar a garantizar el cierre de sesión único con partners de terceros que no confían en el índice de sesión transferido en las nuevas aserciones.NotaEsta configuración es relevante solamente si se habilita el cierre de sesión único.
- Direcciones URL del servicio de cierre de sesión únicoEnumera las direcciones URL del servicio de cierre de sesión único disponibles. La tabla incluye las entradas siguientes:
- SelecciónIndica que este valor es la entrada para la dirección URL del servicio de cierre de sesión único.
- EnlaceIndica el enlace para la conexión de cierre de sesión único.Opciones: Redirección HTTP, Método HTTP Post, SOAP
- Dirección URL de la ubicaciónEspecifica la dirección URL del servicio cierre de sesión único en el partner remoto. Esta dirección URL dónde la solicitud de cierre de sesión único se envía.Opciones: una dirección URL válidaSi su sistema de federación se está utilizando en el proveedor de identidad remoto, utilice las direcciones URL siguientes:Enlace de Redirección HTTPhttp://host_idp:puerto/affwebservices/public/saml2sloEnlace HTTP-POST:http://host_idp:puerto/affwebservices/public/saml2sloEnlace SOAPhttp://host_idp:puerto/affwebservices/public/saml2slosoapSi un producto de federación de terceros está en el proveedor de identidad, utilice la dirección URL adecuada para ese producto.
- Dirección URL de la ubicación de la respuesta(Opcional) Especifica la dirección URL del servicio cierre de sesión único para una entidad. Una Dirección URL de la ubicación de la respuesta se utiliza para una configuración en la que hay un servicio para solicitudes de cierre de sesión único y un servicio para respuestas de cierre de sesión único. De forma predeterminada, si solamente se proporciona la Dirección URL de la ubicación, se utiliza para la solicitud y la respuesta.Introduzca una dirección URL válida.
Canal trasero (SP de SAML 2.0)
casso13es
En la sección Canal trasero se configura el método de autenticación para el canal trasero. El canal trasero tiene finalidades diferentes en función de los criterios siguientes:
- El inicio de sesión único del artefacto HTTP está configurado.
- El cierre de sesión único mediante el enlace SOAP está configurado.
- El sistema de federación es el proveedor de identidad o el proveedor de servicios.
- La comunicación se establece por un canal entrante o saliente.
La sección Canal trasero muestra los valores de configuración siguientes:
- Configuración entrante/Configuración salienteConfigure un canal trasero entrante o saliente según sea necesario para los enlaces seleccionados. El canal trasero solo dispone de una configuración. Si dos servicios utilizan el mismo canal, estos dos servicios utilizan la misma configuración de canal trasero. Por ejemplo, el canal entrante para un proveedor de identidad local es compatible con el inicio y el cierre de sesión únicos del artefacto HTTP sobre SOAP. Estos dos servicios deben utilizar la misma configuración de canal trasero.
- Método de autenticaciónEspecifica el método de autenticación que protege el canal trasero.Valor predeterminado:Sin autenticaciónOpciones: Básico, Certificado de cliente, Sin autenticaciónBásico:Indica que un esquema de autenticación Básico está protegiendo la comunicación a través del canal trasero.Nota:Si se habilita SSL para la conexión del canal trasero, se puede seguir seleccionando la autenticación básica.Si selecciona la autenticación Básica, configure los siguientes valores de configuración adicionales:
- Nombre de usuario del canal trasero(Solo autenticación básica, canal saliente). Especifica el nombre de usuario del proveedor de servicios (SP) al utilizar la autenticación Básica a través del canal trasero. Introduzca el nombre de la asociación que se configura en el proveedor de identidad (IdP) remoto. Por ejemplo, en el IdP remoto, una asociación denominada Partners1 se define entre CompañíaA (IdP) y CompañíaB (SP). En CompañíaB (el SP local), el valor que introduce es Partners1, para asociar este nombre de usuario con la asociación correspondiente del IdP.
- ContraseñaEspecifica la contraseña de usuario para el nombre de usuario del canal trasero. Esta contraseña solo es relevante si utiliza Básica o Credenciales básicas para SSL como método de autenticación a través del canal trasero.Los dos partners deben estar de acuerdo con esta contraseña.
- Confirmar contraseñaVuelve a confirmar la entrada de la contraseña.
- Tiempo de espera del canal trasero (segundos)(Solo canal saliente) Especifica la cantidad máxima de tiempo durante el cual el sistema espera una respuesta después de haber enviado una solicitud de canal trasero al servicio resolución de artefactos. Especifique un intervalo en segundos.Valor predeterminado: 300 segundosValor: entero positivo
- Certificado de clienteIndica que un esquema de autenticación de certificado de cliente X.509 protege la comunicación que va al servicio de resolución de artefactos a través del canal trasero.La autenticación Certificado de cliente requiere el uso de SSL para todas las direcciones URL de punto final. Las direcciones URL de punto final buscan los distintos servicios de SAML en un servidor, como el servicio de resolución de artefactos. El requisito de SSL significa que las direcciones URL del servicio deben empezar conhttps://.Para implementar la autenticación Certificado de cliente, el SP envía un certificado a la parte que afirma antes de que se produzca cualquier transacción. La parte que afirma almacena el certificado en su base de datos. Los dos partners deben tener el certificado que permita la conexión SSL en sus respectivas bases de datos, de lo contrario, la autenticación Certificado de cliente no funcionará.Durante el proceso de autenticación, la parte confidente envía su certificado a la parte que afirma. Seguidamente, la parte que afirma compara el certificado recibido con el que se encuentra en su base de datos con el objetivo de verificar que coincidan. Si hay una coincidencia, la parte que afirma permite a la parte que confía acceder al servicio resolución de artefactos.Si selecciona la autenticación Certificado de cliente, configure la configuración adicional siguiente:
- Alias de certificado del clienteEspecifica el alias que se asocia con un certificado de cliente en la base de datos de claves. Seleccione el alias en la lista desplegable.
- Tiempo de espera del canal trasero (segundos)(Solo canal saliente). Especifica la cantidad máxima de tiempo queCA Single Sign-onespera una respuesta después de haber enviado una solicitud de canal trasero al servicio resolución de artefactos. Especifique un intervalo en segundos.Valor predeterminado: 300 segundosValor: entero positivo
- Sin autenticaciónIndica que la parte que confía no tiene que proporcionar credenciales. El canal trasero y el servicio resolución de artefactos no son seguros. Se puede seguir habilitando SSL con esta opción. El tráfico del canal trasero se cifra, pero no se intercambia ninguna credencial entre las partes.Seleccione Sin autenticación para realizar pruebas, pero no para la producción, salvo si el sistema de federación está configurado para la conmutación por error con SSL habilitado y se encuentra detrás de un servidor proxy. El servidor proxy gestiona la autenticación cuando tiene el certificado del servidor. En este caso, todas las asociaciones Proveedor de identidad a proveedor de servicios utilizan Sin autenticación como tipo de autenticación.