Inicio y cierre de sesión únicos (IP de WSFED)
casso13es
HID_sso-signout-wsfed
El paso Inicio y cierre de sesión únicos le permite configurar la operación de cada función.
Autenticación (WSFED)
La sección Autenticación le permite especificar cómo autentica el sistema de federación a los usuarios durante las transacciones de inicio de sesión único. Designe el método para autenticar un usuario que no tiene una sesión.
Puede configurar los siguientes campos:
Modo de autenticación
Indica si una sesión se establece autenticando un usuario localmente o delegando la autenticación a un sistema de gestión de acceso remoto de terceros.
Valor predeterminado
: LocalOpciones
: seleccione una de las siguientes opciones y configure los campos adicionales para esa opción:- Local: el sistema de federación gestiona la autenticación del usuario.Si se selecciona Local para el campo Modo de autenticación, especifique una dirección URL en el campo Dirección URL de la autenticación. Por lo general, la dirección URL señala a un archivo redirect.jsp; sin embargo, si se selecciona la casilla de verificaciónUtilizar dirección URL segura, la dirección URL debe señalar al servicio web de secureredirect.Dirección URL de la autenticaciónEspecifica una dirección URL protegida que se utiliza para autenticar usuarios y crear una sesión cuando se solicita un recurso protegido. Si el modo de autenticación se establece como Local y un usuario no se ha conectado en la parte asertiva, los usuarios se envían a esta dirección URL. Esta dirección URL debe señalar al archivo redirect.jsp, a menos que se seleccione la casilla de verificaciónUtilizar dirección URL segura.Ejemplos: http://casso13esUtilice una de las rutas siguientes a la carpeta redirectjsp como el filtro de recursos. El Pack de opciones del Agente web de CA y CA Access Gateway utilizan este filtro de recursos.
- Ruta de acceso directo:/affwebservices/redirectjsp/
- Ruta virtual: ruta al servidor donde se encuentra la carpeta redirectjsp. Una ruta virtual común es /siteminderagent/redirectjsp, que se configura cuando se configura el agente web con el Pack de opciones del Agente web o la puerta de enlace de acceso. La ruta virtual señala al directorio virtual siguiente:
- Agente web:web_agent_home/affwebservices/redirectjsp
- CA Access Gateway:access_gateway_home/secure-proxy/Tomcat/webapps/affwebservices/redirectjsp
myserver.idpA.com/affwebservices/redirectjsp/redirect.jsphttp://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jspmyserver identifica el servidor web con el Paquete de opciones del Agente web oCA Access Gatewayinstalado en la parte que afirma. La aplicación redirectjsp está incluida en estos productos.: Proteja la Dirección URL de autenticación con una política de control de acceso. Para la política se debe configurar un esquema de autenticación, un territorio y una regla. Para agregar atributos de almacén de la sesión a la aserción, active la casilla de verificación Mantener variables de sesión de la autenticación, que es el valor establecido en el esquema de autenticación.Utilizar dirección de URL seguraEsta función indica al servicio de inicio de sesión único de que solo cifre el parámetro de la consulta SMPORTALURL. Un parámetro SMPORTALURL cifrado impide que un usuario malintencionado modifique el valor y redirija los usuarios autenticados a un sitio web malicioso. SMPORTALURL se añade a Dirección URL de la autenticación antes de que el explorador redirija al usuario para establecer una sesión. Después de que el usuario se autentique, el explorador redirige al usuario de vuelta al destino especificado en el parámetro de la consulta SMPORTALURL.Si selecciona la casilla de verificación Utilizar dirección URL segura, complete los pasos siguientes:1. Establezca el campo Dirección URL de la autenticación como la dirección URL siguiente: http(s)://idp_server:port/affwebservices/secure/secureredirect2. Proteja el servicio web de secureredirect con una política.Si la parte que afirma ofrece servicio a más de una parte confidente, la parte que afirma probablemente autentica distintos usuarios para estos partners diferentes. Como resultado, para cada dirección URL de la autenticación que utilice el servicio secureredirect, se incluye este servicio web en un territorio diferente para cada partner.Para asociar el servicio secureredirect con territorios diferentes, modifique el archivo web.xml para crear distintas asignaciones de recursos. No copie el servicio web secureredirect en ubicaciones diferentes del servidor. Busque el archivo web.xml en el directorioweb_agent_home/affwebservices/WEB-INF, dondeweb_agent_homees la ubicación de instalación del agente web.
- Delegada: un sistema de gestión del acceso web (WAM) de terceros gestiona la autenticación del usuario. Complete los campos adicionales.
- Selector de credenciales: se presenta a los usuarios una página del selector de credenciales que muestra varios proveedores de identidad. Los proveedores de identidad puede ser redes sociales o los partners WS-Federation, SAML y OAuth. Los usuarios seleccionan el proveedor de identidad apropiado y dicho proveedor autentica el usuario. La lista de proveedores de identidad aceptables se define en un grupo de métodos de autenticación. Para todos los partners, el usuario deberá estar ya registrado con estos partners externos.
- Tipo de autenticación Delegada (solo en modo Delegada)Especifica si la autenticación de terceros se lleva a cabo transfiriendo una cookie de formato abierto o una cadena de consulta con el ID de inicio de sesión de usuario y demás información. Este campo se muestra solamente si se selecciona Delegada el modo de autenticación.Opciones: Cadena de consulta, Cookie de formato abierto
- Cadena de consulta: para utilizar una cadena de consulta, el sistema de terceros crea una cadena de redirección y agrega un parámetro de la consulta denominado LoginIDHash a esta cadena. El parámetro LoginIDHash es una combinación del ID de inicio de sesión del usuario y un secreto compartido. Estos dos valores se combinan y, a continuación, se procesan a través de un algoritmo hash.: No utilice el método de cadena de consulta en un entorno de producción. El método de redirección de la cadena de consulta es solamente para un entorno de pruebas como una prueba de concepto. La opción de la cadena de consulta no produce una asociación que cumple con el estándar FIPS.
- Cookie de formato abierto: para utilizar una cookie de formato abierto, el sistema de terceros puede emplear un SDK de .NET o Java de federación a fin de crearla. También puede utilizar un lenguaje de programación para crear una cookie manualmente. El sistema de terceros redirige el explorador a su sistema de federación, que recupera el ID del usuario.
- Dirección URL de la autenticación delegadaEspecifica la dirección URL del sistema de gestión de acceso web de terceros que gestiona la autenticación del usuario. Si un usuario inicia una solicitud en el sistema de federación, el usuario se redirige al sistema de gestión de acceso web para la autenticación. Después de que la autenticación se ha realizado correctamente, el usuario se redirige al sistema de federación.Esta dirección URL no es relevante si un usuario inicia primera una solicitud en el sistema de gestión de acceso web primero.Valor: una dirección URL válida que empieza con http:// o https://
- Seguir estado de autenticación delegada: realiza un seguimiento de si la autenticación delegada es correcta. Si la autenticación delegada produce un error, esta configuración determina el comportamiento del sistema de federación. De forma predeterminada esta casilla de verificación está seleccionada.Si un usuario no proporciona credenciales al acceder a un recurso protegido configurado para la autenticación delegada, la autenticación delegada produce un error. Si el usuario intenta acceder al recurso otra vez en la misma sesión del explorador, el explorador muestra un error 404. Asimismo, el sistema de federación escribe un mensaje de error a affwebservices.log y a los archivos FWSTrace.log. El mensaje de error informa de la falta de credenciales para la autenticación delegada. El sistema de federación no vuelve a dirigir el usuario a URL de la autenticación delegada para proporcionar las credenciales.Para que el sistema de federación vuelva a dirigir al usuario a la dirección URL de la autenticación delegada en la misma sesión de explorador, es necesario desactivar esta casilla de verificación. Si se desativa el seguimiento, un usuario puede volver a acceder al recurso otra vez en la misma sesión de explorador sin recibir un 404 error. El sistema de federación vuelve a dirigir el explorador a la dirección URL de la autenticación delegada Se solicita al usuario que proporcione de nuevo las credenciales.
- Secreto de hash (solo cadena de consulta)Determina el secreto compartido que se añade al ID de inicio de sesión del usuario para crear el parámetro de la consulta de LoginIDHash. Esta configuración es solamente relevante si se selecciona la cadena de consulta como el tipo de autenticación delegada.
- Confirmar secreto de hash (solo cadena de consulta)Verifica el secreto de hash. Introduzca de nuevo el valor del secreto de hash.
- Cookie de formato abierto (solo cookie de formato abierto)El usuario se redirige a la aplicación de destino con una redirección HTTP 302 con una cookie de formato abierto, pero no otros datos. La aplicación del cliente descifra la cookie cifrada para obtener la información del usuario.Si la parte confidente recibe una aserción con distintos valores de atributo, transfiere todos los valores a la aplicación de destino.Si se selecciona la opción de cookie de formato abierto para la autenticación delegada, la interfaz de usuario administrativa muestra los campos adicionales siguientes:
- Nombre de la cookie de formato abiertoEspecifica el nombre de la cookie.Transformación del cifradoIndica el algoritmo de cifrado que se va a utilizar para cifrar la cookie de formato abierto.Si se selecciona uno de los algoritmos compatibles con FIPS (algoritmos de AES), el sistema de destino debe utilizar un SDK de federación para consumir la cookie. El SDK debe estar en el mismo servidor que la aplicación de destino.Si se está utilizando el SDK de .NET de federación para consumir la cookie, use el algoritmo de cifrado de AES128/CBC/PKCS5Padding.Contraseña de cifradoIndica la contraseña que se utiliza para cifrar la cookie. Los campos Contraseña de cifrado y Contraseña de confirmación son obligatorios.Confirmar contraseñaConfirma la entrada de la contraseña de cifrado.Habilitar HMACIndica que se genera un código de autenticación de mensaje de hash (HMAC) mediante la contraseña de cifrado proporcionada en este cuadro de diálogo.Los códigos de autenticación de mensaje (MAC) pueden verificar la integridad de la información que se envía entre dos partes. Las dos partes comparten una clave secreta para el cálculo y la verificación de los valores de autenticación del mensaje. Un código de autenticación de mensaje de hash (HMAC) es un mecanismo de MAC que está basado en funciones de hash de cifrado.Si se selecciona la casilla de verificación Habilitar HMAC, el sistema genera un valor de HMAC para su la cookie de formato abierto. El valor de HMAC precede al valor de la cookie de formato abierto que luego cifra toda la cadena. El sistema de federación coloca la cadena cifrada en la cookie de formato abierto, que, a continuación, se transfiere a la aplicación de destino.Tiempo de desviación de la cookie (segundos)Especifica el número de segundos restados de la hora del sistema actual para explicar la diferencia en los relojes del sistema. La diferencia está entre su sistema de federación y la aplicación de terceros que gestiona la autenticación delegada.El software aplica el tiempo de desviación para la generación y el consumo de la cookie de formato abierto.Valor: introduzca un valor en segundos.
- Tiempo de espera de la inactividadDetermina la cantidad de tiempo de que la sesión de un usuario autorizado puede permanecer inactiva antes de que el agente termine la sesión. Si le preocupa que los usuarios dejen sus estaciones de trabajo después de haber accedido a un recurso protegido, establezca el tiempo de espera de la inactividad a un período de tiempo más corto. Si la sesión finaliza, los usuarios deben volver a autenticarse antes de acceder de nuevo a los recursos.Este ajuste está activado de forma predeterminada. Si no se desea especificar ningún tiempo de espera de la inactividad, desactive la casilla de verificación. El tiempo de espera de la inactividad predeterminado es de una hora.NotaEn realidad, la sesión caduca en un determinado período de tiempo de mantenimiento después del valor de tiempo de espera de la inactividad especificado. El número de segundos especificados en la siguiente clave de registro determina el período de tiempo:HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\siteminder\CurrentVersion\SessionServer\MaintenancePeriodPor ejemplo, se establece que el tiempo de espera de la inactividad es de hasta 10 minutos. También se establece que el registro para MaintenancePeriod al valor predeterminado. El período más largo antes de que una sesión finalice por inactividad es 11 minutos (tiempo de espera + período mantenimiento).Para utilizar esta función con el esquema de autenticación Básica, habrá que configurar el Agente web para que para exija cookies.Hay que tener en cuenta los problemas siguientes:
- Para sesiones persistentes, habilite el tiempo de espera de la inactividad y establecerlo con un valor superior al especificado en el Período de validación.
- Puede anular esta configuración global si usa el atributo de respuesta WebAgent-OnAuthAccept-Session-Idle-Timeout. Un valor de cero indica que la sesión no termina por inactividad.
Valor predeterminado: 60 segundosHorasEspecifica el número de horas para el período de tiempo de espera de la inactividad. - MinutosEspecifica el número de minutos para el período de tiempo de espera de la inactividad.
- Tiempo de espera máximoDetermina la cantidad máxima de tiempo que la sesión de un usuario puede estar activa antes de que el agente pida al usuario que se vuelva a autenticar.Este ajuste está activado de forma predeterminada. Si no se desea especificar ninguna duración máxima de sesión, desactive la casilla de verificación. La duración máxima de sesión predeterminada es de dos horas.
- HorasEspecifica el número de horas para la duración de sesión máxima.
- MinutosEspecifica el número de minutos para la duración de sesión máxima.
Para utilizar esta función con el esquema de autenticación Básico, configure el Agente web para que exija cookies.NotaSe puede anular esta configuración mediante el atributo de respuesta WebAgent-OnAuthAccept-Session-Max-Timeout. - Nivel de autenticaciónmínimoEspecifica el nivel mínimo en el que el usuario debe haberse autenticado para obtener acceso a un territorio. Si el usuario se ha autenticado en este nivel o en uno superior, el proveedor de identidad genera una aserción para el usuario. Si el usuario no se autentica a este nivel o más a gran altura, se reenvían a la Dirección URL de la autenticación para autenticar a este nivel.
Si se selecciona Selector de credenciales como el modo de autenticación, complete los siguientes campos:
- URL base de autenticaciónDefine el nombre del host del servidor deCA Access Gatewayen el que se instala el servicio de gestión de credenciales. Introduzca un valor con este formato:https:nombrehost_sps/chs/login o http:nombrehost_sps/chs/login
- Grupos de métodos de autenticaciónEspecifica el grupo de métodos de autenticación de proveedores de identidades que debe mostrase a los usuarios para la autenticación cuando se invoca la asociación.
Inicio de sesión único (IP de WSFED)
- PúblicoEspecifica la dirección URL del público La dirección URL del campo Público identifica la ubicación del documento que describe los términos y las condiciones del acuerdo de negocio entre la parte asertiva y confidente. El administrador en la parte asertiva determina el público. El valor Público debe coincidir con el mismo valor de la parte confidente y con el ID de la entidad del partner de recursos. Las tres configuraciones deben tener el mismo valor.Valor: una URL válidaEl valor del campo Público no puede superar 1024 y distingue entre mayúsculas y minúsculas.Ejemplo: http://fed.example.com/portal1
- Dirección URL del servicio consumidor de tókenes de seguridadEspecifica la dirección URL del servicio en el partner de recursos que recibe mensajes de respuesta de tókenes de seguridad y extrae la aserción. La ubicación predeterminada del servicio es:https://servidor_rp:puerto/affwebservices/public/wsfeddispatcherservidor_rp:puertoIdentifica el servidor web y el puerto en el partner de recursos que aloja el Pack de opciones del Agente web o la puerta de enlace de la federación del SPS. Estos componentes proporcionan la aplicación de servicios web de la Federación.NotaEl servicio WSFedDispatcher recibe todos los mensajes de WS-Federation entrantes y reenvía el procesamiento de la solicitud al servicio adecuado en función de los datos del parámetro de la consulta. Aunque hay un servicio wsfedsecuritytokenconsumer, se recomienda el servicio wsfeddispatcher como entrada para este campo.
- Duración de la validez del inicio de sesión único (segundos)Especifica el número de segundos durante los cuales una aserción generada es válida.En un entorno de prueba, aumente el valor de la duración de la validez a más de 60, el valor predeterminado, si ve el mensaje siguiente en el registro de seguimiento:Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237) -current time (Fri Sep 09 17:28:33 EDT 2005) is after SessionNotOnOrAftertime (Fri Sep 09 17:28:20 EDT 2005)NotaLa duración de la validez del inicio de sesión único y el tiempo de desviación instruyen al Servidor de políticas sobre cómo calcular el tiempo total durante el que la solicitud de inicio de sesión único es válida.Valor predeterminado: 60Valor: introduzca un entero positivo.
- Formulario de envío personalizadoNombra el formulario HTML POST automático personalizado para el inicio de sesión único de Método HTTP Post. Introduzca solamente el nombre del formulario, no la ruta al formulario. Un formulario llamado defaultpostform.html se instala con el producto.Un formulario HTML POST automático personalizado permite al Servidor de políticas enviar información de SAML al partner de recursos. La página física debe residir en el directorio %NETE_WA_ROOT%\customization, donde %NETE_WA_ROOT% es la ubicación del Pack de opciones del Agente web. Si el Agente web y el Pack de opciones del Agente web están instalados en el mismo sistema, se instalan en el mismo directorio, por ejemplo, webagent\customization.
- Período de validaciónPara ver esta casilla de verificación, habilite el servidor de sesiones mediante la Consola de gestión del Servidor de políticas.El valor especificado determina el período máximo entre llamadas del agente al Servidor de políticas para validar una sesión. Las llamadas de validación de sesión informan al Servidor de políticas de que un usuario está todavía activo y confirman que la sesión del usuario es todavía válida.Para especificar la longitud del período de validación, introduzca valores en los campos Horas, Minutos y Segundos. Si se está configurando el sistema para proporcionar un contexto de seguridad de usuarios de Windows, defina un valor más alto como, por ejemplo, 15-30 minutos. Si las sesiones activas son menos que el valor máximo de la memoria caché de sesión de usuario del agente, el agente no tendrá que volver a validar una sesión.El período de validación de la sesión debe ser inferior al valor del tiempo de espera de inactividad especificado.
Cierre de sesión (IP de WSFED)
La sección Cierre de sesión del cuadro de diálogo solamente se muestra activando el almacén de sesiones. Active el almacén de sesiones mediante la Consola de gestión del Servidor de políticas.
- Habilitar cierre de sesiónHabilita la función de cierre de sesión para la asociación.
- Dirección URL de confirmación del cierre de sesiónEspecifica la dirección URL en el proveedor de identidad que lleva a cabo el cierre de sesión.La dirección URL predeterminada es:http://servidor_ip:puerto/affwebservices/signoutconfirmurl.jspservidor_ip:puertoEspecifica el servidor y el número de puerto del sistema del proveedor de identidad. El sistema aloja el Pack de opciones del Agente web o la puerta de enlace de la federación del SPS, en función de los componentes instalados en la red de federación.signoutconfirmurl.jsp se incluye con el Pack de opciones del Agente web o la puerta de enlace de la federación del SPS. Se puede mover esta página desde el directorio predeterminado a donde el motor del servlet de los servicios web de la federación pueda acceder a la página.Si el partner de recursos inicia el cierre de sesión, la página de confirmación del cierre de sesión debe ser un recurso desprotegido en el partner de recursos. Si el proveedor de identidad inicia el cierre de sesión, la página de confirmación del cierre de sesión debe ser un recurso desprotegido en el sitio del proveedor de identidad.
- Dirección URL de cierre de sesión remotoEspecifica la dirección URL del servicio de cierre de sesión en el partner de recursos. El proveedor de identidad envía la solicitud de signoutcleanup a esta dirección URL.Por ejemplo: Si se utilizaSingle Sign-Oncomo el partner de recursos, la dirección URL es https://servicio_pr:puerto/affwebservices/public/wsfeddispatcher.NotaEl servicio wsfeddispatcher recibe todos los mensajes entrantes de WS-Federation. Este servicio envía la solicitud al servicio adecuado basándose en los datos de los parámetros de la consulta. Aunque hay un servicio wsfedsignout, utilice el la dirección URL de wsfeddispatcher como la dirección URL de cierre de sesión.