Propiedades del esquema de autenticación de SAML 1.x
Contenido
casso126figsbres
Contenido
Esquema de autenticación - Plantilla de artefactos de SAML
Se puede configurar el esquema de autenticación de artefactos de SAML para SAML 1.x. Después de haber configurado el esquema, se puede asignar a un territorio.
casso126figsbres
La sección General and Scheme Common Setup (Configuración común general y del esquema) del cuadro de diálogo Esquema de autenticación incluye los campos siguientes:
- NombreDesigna un nombre para el esquema de autenticación.NotaCuando se utiliza Active Directory Application Mode (ADAM) como un almacén de políticas, la longitud máxima para el nombre de esquema de autenticación es 22 caracteres.
- DescripciónProporciona una descripción del esquema de autenticación.
La configuración común de esquema identifica el esquema de autenticación. Esta parte de la sección general contiene los campos siguientes:
- Tipo de esquema de autenticaciónEspecifica la plantilla que se está utilizando para el esquema de autenticación.
- Nivel de protecciónPermite el inicio de sesión único para esquemas de autenticación de niveles de protección iguales o más bajos dentro del mismo dominio de la política. El nivel de protección también requiere autenticación adicional para acceder a los recursos con esquemas de nivel de protección más altos.Límites: 1 y 1000.Los esquemas de autenticación tienen un nivel de protección predeterminado que se puede cambiar. Utilice niveles de protección altos para recursos importantes y esquemas de nivel más bajo para recursos comúnmente accesibles.
- Políticas de contraseñas habilitadas para este esquema de autenticaciónIndica que las políticas de contraseñas configuradas se asocian con el esquema de autenticación.
Configure los detalles del esquema en la sección de Configuración del esquema del cuadro de diálogo.
Esquema de autenticación - Plantilla SAML POST
Se puede configurar el esquema de autenticación de POST de SAML para el perfil POST de SAML 1.x. Después de haber configurado el esquema de autenticación, asígnelo a un territorio.
casso126figsbres
La sección General and Scheme Common Setup (Configuración común general y del esquema) del cuadro de diálogo Esquema de autenticación incluye los campos siguientes:
- NombreDesigna un nombre para el esquema de autenticación.NotaCuando se utiliza Active Directory Application Mode (ADAM) como un almacén de políticas, la longitud máxima para el nombre de esquema de autenticación es 22 caracteres.
- DescripciónProporciona una descripción del esquema de autenticación.
La configuración común de esquema identifica el esquema de autenticación. Esta parte de la sección general contiene los campos siguientes:
- Tipo de esquema de autenticaciónEspecifica la plantilla que se está utilizando para el esquema de autenticación.
- Nivel de protecciónPermite el inicio de sesión único para esquemas de autenticación de niveles de protección iguales o más bajos dentro del mismo dominio de la política. El nivel de protección también requiere autenticación adicional para acceder a los recursos con esquemas de nivel de protección más altos.Límites: 1 y 1000.Los esquemas de autenticación tienen un nivel de protección predeterminado que se puede cambiar. Utilice niveles de protección altos para recursos importantes y esquemas de nivel más bajo para recursos comúnmente accesibles.
- Políticas de contraseñas habilitadas para este esquema de autenticaciónIndica que las políticas de contraseñas configuradas se asocian con el esquema de autenticación.
Configure los detalles del esquema en la sección de Configuración del esquema del cuadro de diálogo.
Esquema de autenticación - Plantilla de artefactos de SAML - Configuración del esquema
La sección Configuración del esquema del esquema de autenticación de artefacto de SAML 1.x le permite especificar:
- Cómo el consumidor se comunica con el productor para recuperar una aserción.
- Cómo autenticar un usuario con una aserción.
- Cómo dirigir el usuario hacia el recurso de destino.
Los campos de la sección de configuración del esquema son los que se muestran a continuación:
- Nombre de afiliadoNombra al consumidor. Introduzca una cadena de caracteres alfabéticos, por ejemplo, EmpresaA.El nombre que se introduzca debe coincidir con el valor del campo Nombre del objeto afiliado asociado en el productor.Para el perfil de artefacto de SAML, el productor envía la aserción al consumidor a través de un canal trasero protegido. Proteja el canal trasero con autenticación básica o de certificado de cliente.Las siguientes directrices de configuración se aplican a este campo para el inicio de sesión único del artefacto HTTP:
- ContraseñaDefine la contraseña que el consumidor utiliza para identificarse al productor.Esta contraseña debe coincidir con la contraseña que se introdujo para el consumidor en el sitio del productor.
- Company Source ID (ID del origen de la empresa)Especifica el ID del origen del productor. El estándar de especificación de SAML define un ID del origen como un número binario de 20 bytes de codificación hexadecimal que identifica al productor. El consumidor utiliza este ID para identificar a un emisor de aserción.Introduzca el ID que el productor proporciona en una comunicación fuera de banda.SiCA Single Sign-ones el productor, el ID de origen está en el archivo de propiedades del Generador de aserciones SAML 1.x, AMAssertionGenerator.properties, en el directoriodirprincipal_servidor_políticas/config/properties.El valor del ID del origen de la empresa predeterminado es: b818452610a0ea431bff69dd346aeeff83128b6aNotaAMAssertionGenerator.properties se utiliza solamente para el perfil de SAML 1.x.
- Dirección URL de la recuperación de asercionesDefine la dirección URL del servicio en el productor donde el consumidor recupera la aserción de SAML. Específicamente, esta dirección URL identifica la ubicación del servicio recuperación de aserciones, que debe ser una dirección URL a la cual se accede a través de una conexión SSL.Si el servicio recuperación de aserciones en el productor forma parte de un territorio mediante el esquema de autenticación de credenciales básicas sobre SSL, el valor predeterminado para la dirección URL es:https://servidor_idp:puerto/affwebservices/assertionretrieverSi el servicio recuperación de aserciones en el productor forma parte de un territorio mediante el esquema de autenticación de certificado de cliente X.509, el valor predeterminado para la dirección URL es:https://servidor_idp:puerto/affwebservices/certassertionretrieverservidor_idp:puertoIdentifica el servidor web y el puerto que aloja el Pack de opciones del Agente web o la puerta de enlace de la federación del SPS.
- Destinatarios(Opcional) Define el público de la aserción de SAML.El público identifica la ubicación de un documento que describe los términos y las condiciones del acuerdo de negocio entre el productor y el consumidor. El administrador determina el público en el sitio de productor. El valor de este campo debe coincidir con el público que se especificó en el productor. El valor del público no debe superar 1 K.Para especificar el público, introduzca una dirección URL. Este elemento distingue entre mayúsculas y minúsculas. Por ejemplo:http://www.companya.com/SampleAudience
- Alias de D-SigEspecifica el alias del certificado en el almacén de datos de certificados que el consumidor utiliza para verificar la firma electrónica de la aserción. Este alias corresponde al certificado. El tipo de certificado que se usa para la verificación es un certificado CertificateEntry o KeyEntry.
- AutenticaciónEspecifica el método de autenticación para el territorio en el productor que contiene el servicio recuperación de aserciones. El valor de este campo determina el tipo de credenciales que el recopilador de credenciales de SAML en el consumidor debe proporcionar. Estas credenciales permiten al consumidor acceder al servicio recuperación de aserciones y recuperar la aserción de SAML.El servicio recuperación de aserciones obtiene la aserción del Servidor de políticas en el productor y, a continuación, la envía al consumidor a través de un canal trasero de SSL. Recomendamos proteger el servicio recuperación de aserciones.Seleccione una de las opciones siguientes:
- Autenticación básicaPermite que el servicio recuperación de aserciones que forma parte de un territorio esté protegido por un esquema de autenticación básico o de credenciales básicas sobre SSL.Si se selecciona Autenticación básica, no es obligatorio realizar ninguna configuración adicional en el productor o en el consumidor. La excepción es si el certificado de la Autoridad de certificación que estableció la conexión SSL no está en el almacén de datos de certificados en el consumidor. Si el certificado adecuado no está en el almacén de datos, impórtelo.
- Certificado de clientePermite que el servicio recuperación de aserciones que forma parte de un territorio esté protegido por un esquema de autenticación de certificado de cliente X.509. Si se selecciona esta opción, configure el acceso al servicio recuperación de aserciones con un certificado de cliente.Si se selecciona Certificado de cliente, complete los pasos de la configuración en el consumidor y en el productor para acceder al servicio recuperación de aserciones con el certificado de cliente.Se pueden utilizar certificados cifrados que no sean FIPS 140 para proteger el canal trasero, aunque el Servidor de políticas esté funcionando en el modo solo FIPS. Sin embargo, para instalaciones solo FIPS use únicamente certificados cifrados con algoritmos compatibles con FIPS 140.
- Verificar contraseñaConfirma la contraseña introducida en el campo Contraseña.
- Versión de SAMLEspecifica la versión de la especificación de SAML con la cual la aserción se genera. Las opciones son 1.0 o 1.1. SAML 1.1 es el valor predeterminado.Debe haber una coincidencia entre el protocolo de SAML y las versiones de aserción que utilizan el productor o el consumidor. Por ejemplo, si un productor que usa SAML 1.1 recibe una solicitud de SAML 1.0, devuelve un error. Si un consumidor que usa SAML 1.1 recibe una aserción de SAML 1.0 que se incrusta en un elemento de protocolo de SAML 1.1, devuelve un error.
- Modo de redirecciónIndica el método por el cual el recopilador de credenciales de SAML redirige el usuario al recurso de destino. Si se selecciona 302 No hay datos o 302 Cookie Data (Datos de la cookie), no es obligatorio realizar otra configuración. Si selecciona Redirección del servidor o Atributos persistentes, es obligatorio realizar una configuración adicional.
- 302 No hay datos (valor predeterminado)Redirige al usuario a través de una redirección HTTP 302 con una cookie de sesión, pero no otros datos.
- 302 Datos de la cookieRedirige al usuario a través de una redirección HTTP 302 con una cookie de sesión y datos de la cookie adicional que está configurada en el sitio que produjo la aserción.
- casso126figsbresRedirección del servidorHabilita la información de atributos de encabezado y cookies, que se recibe como parte de una aserción de SAML, para transferirla a la aplicación de destino personalizada. El recopilador de credenciales de SAML transfiere el usuario a la dirección URL de la aplicación de destino mediante tecnología de redirección del servidor. Las redirecciones del servidor forman parte de la especificación de Java Servlet. Todos los contenedores de servlet que cumplen los estándares admiten las redirecciones del servidor.Para utilizar el modo de redirección del servidor, siga estos requisitos:
- Especifique una dirección URL para este modo que esté relacionada con el contexto del servlet que consume la aserción, normalmente /affwebservices/public/. La raíz del contexto es la raíz de la aplicación de los servicios web de la federación, normalmente /affwebservices/.Todos los archivos de aplicación de destino deben estar en el directorio raíz de la aplicación. Este directorio puede ser:
- Agente web:directorio_principal_agente_web\webagent\affwebservices
- Puerta de enlace de la federación de SPS:directorio_principal_sps\secure-proxy\Tomcat\webapps\affwebservices
- Defina los territorios, reglas y políticas para proteger los recursos de destino. Defina los territorios con el valor /affwebservices/ como mínimo en el filtro de recursos.
- Instale una aplicación personalizada de Java o JSP en el servidor que está ejecutando la aplicación de los servicios web de la federación. La aplicación se instala con el Pack de opciones del Agente web o la puerta de enlace de la federación del SPS.La tecnología de servlet de Java admite que las aplicaciones transfieran información entre dos solicitudes de recurso mediante el método setAttribute de la interfaz ServletRequest.El servicio que consume las aserciones envía el atributo del usuario a la aplicación de destino. Se establecen diferentes objetos de atributos en el objeto de solicitud antes de que el servicio redirija el usuario a la aplicación de destino.El servicio crea dos objetos java.util.HashMap: uno para almacenar todos los atributos de encabezado y otro para almacenar todos los atributos de cookies. El servicio utiliza nombres del atributo distinguidos para representar cada objeto hashmap:
- El atributo Netegrity.HeaderAttributeInfo representa el valor hashmap que contiene los atributos de encabezado.
- El atributo Netegrity.CookieAttributeInfo representa el valor hashmap que contiene los atributos de las cookies.
La aserción que consume el servicio establece otros dos atributos Java.lang.String para transferir la identidad del usuario a la aplicación personalizada:- El atributo Netegrity.smSessionID representa el ID de la sesión.
- El atributo Netegrity.userDN representa el nombre distintivo del usuario.
La aplicación de destino personalizada en el consumidor puede leer estos objetos del objeto de solicitud HTTP y utiliza los datos encontrados en los objetos hashmap. - Atributos persistentesRedirige el usuario mediante una redirección HTTP 302 con una cookie de sesión, pero no otros datos. Por otro lado, este modo indica al Servidor de políticas que almacene los atributos que extrae de una aserción en el almacén de sesiones. Los atributos se pueden proporcionar entonces como variables de encabezado HTTP. Para obtener información sobre la configuración adicional, consulte las instrucciones sobre cómo utilizar atributos de SAML como encabezados HTTP.casso126figsbresNotaSi selecciona Atributos persistentes y la aserción contiene atributos en blanco, un valor de NULO se escribe al almacén de sesiones. Este valor sirve de marcador de posición para el atributo vacío. El valor se transfiere a cualquier aplicación que utilice el atributo.
- EmisorIdentifica al productor que emite aserciones para el consumidor. Este elemento distingue entre mayúsculas y minúsculas.El consumidor acepta únicamente las aserciones de este emisor. El administrador en el productor determina el emisor.NotaEl valor que se introduce para el emisor debe coincidir con el valor de AssertionIssuerID en el productor. Este valor se especifica en el archivo AMAssertionGenerator.properties ubicado en:dirprincipal_siteminder/Config/properties/AMAssertionGenerator.properties
- Buscar datos XPATHLa consulta XPath le dice el esquema de autenticación en qué lugar de la aserción se puede ubicar una entrada específica, que sirve a continuación como el ID de inicio de sesión del usuario. El valor que la consulta obtiene pase a formar parte de la especificación de espacio de nombres para buscar una entrada del almacén de usuarios.casso126figsbresLas consultas Xpath no deben contener prefijos de espacio de nombres. El ejemplo siguiente es una consulta Xpath:no válida/saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()La consulta Xpath válida es://Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()Ejemplo:La siguiente consulta extrae el texto del atributo de nombre de usuario de la aserción:"/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()""/Username/text()" extrae el texto del primer elemento Username en la aserción de SAML utilizando la sintaxis abreviada.Otros ejemplos:"substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMprofile/NVpair[1]/text(),"header:uid=")"Esta cadena de consulta extrae el texto del atributo de encabezado llamado "uid" que está configurado como el primer atributo que aparece en el sitio del productor.La siguiente sintaxis abreviada extrae el texto del atributo de encabezado llamado uid:"substring-after(//SMprofile/NVpair[1]/text(),"header:uid=")"
- Persistir las variables de la sesión de autenticación(Opcional) Especifica que los datos de contexto de autenticación se guardan en el almacén de sesiones como variables de sesión. El Servidor de políticas tiene acceso a estas variables para usarlas en las decisiones de autenticación. Por ejemplo, se pueden incluir las variables de contexto de autenticación en respuestas activas o expresiones de política.
- casso126figsbresActivoIndica si la configuración de la federación heredada se está utilizando para una asociación específica. Si el Servidor de políticas está utilizando la configuración de la federación heredada, se debe verificar que esta casilla de verificación está seleccionada. Si se ha recreado una asociación federada con valores similares para la configuración de la identidad, como el ID del origen, se debe desactivar esta casilla de verificación antes de activar la asociación federada.Single Sign-Onno funciona con una configuración heredada y de asociación que utilizan los mismos valores de identidad, ya que se produce un conflicto de nombres.
Las otras secciones para la configuración de configuración de esquema son las siguientes:
- Completa una especificación de espacio de nombres para que el consumidor pueda encontrar el registro de usuarios correcto para la autenticación.
- Especifica el recurso federado de destino de la configuración adicional de la página. Existe la opción de poder configurar el complemento Consumidor de mensajes y redirigir a direcciones URL donde se envían a los usuarios si la autenticación produce un error.
Esquema de autenticación - Plantilla de SAML POST - Configuración del esquema
En la sección de configuración del esquema se especifica la información siguiente:
- Cómo el consumidor se comunica con el productor para recuperar la aserción.
- Cómo autenticar un usuario que está basado en esa aserción.
- Cómo dirigir el usuario hacia el recurso de destino.
Los campos de la plantilla de autenticación de POST de SAML son los que se muestran a continuación:
- Nombre de afiliadoNombra al consumidor. Introduzca una cadena de caracteres alfabéticos, por ejemplo, EmpresaA.El nombre que se introduce debe coincidir con el nombre de un consumidor en el dominio Afiliado en el sitio del productor.
- DestinatariosDefine el público de la aserción de SAML.Identifica la ubicación de un documento que describe los términos y las condiciones del acuerdo de negocio entre el productor y el consumidor. El administrador determina el público en el sitio de productor. El valor debe coincidir también con el público del consumidor en el sitio del productor.Para especificar el público, introduzca una dirección URL. Este elemento distingue entre mayúsculas y minúsculas. El valor del público no debe superar 1 K.Por ejemplo: http://www.ca.com/SampleAudience
- Dirección URL del consumidor de asercionesEspecifica la dirección URL del consumidor de la aserción (sinónimo del recopilador de credenciales de SAML). En esta dirección URL el explorador debe llevar a cabo el método POST con la aserción generada. La dirección URL predeterminada es:http://servidor_consumidor:puerto/affwebservices/public/samlccconsumer_server:portIdentifica el servidor web y el puerto que aloja el Pack de opciones del Agente web o la puerta de enlace de la federación del SPS.Por ejemplo: http://www.discounts.com:85/affwebservices/public/samlcchttp://www.discounts.com:85/affwebservices/public/samlcc
- Nombre distintivo del emisor DsigEspecifica el nombre distintivo del emisor del certificado que firma la respuesta POST de SAML. El productor debe firmar la respuesta POST. Cuando el consumidor recibe la respuesta, verifica la firma mediante los datos de este parámetro y el parámetro de número de serie. Estos dos parámetros indican el emisor del certificado que firmó la respuesta.El certificado que verifica la firma debe estar en el almacén de datos de certificados.
- Buscar datos XPATHLa consulta XPath le dice el esquema de autenticación en qué lugar de la aserción se puede ubicar una entrada específica, que sirve a continuación como el ID de inicio de sesión del usuario. El valor que la consulta obtiene pase a formar parte de la especificación de espacio de nombres para buscar una entrada del almacén de usuarios. Las consultas Xpath no deben contener prefijos de espacio de nombres.El ejemplo siguiente es una consulta Xpath no válida:/saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()La consulta Xpath válida es://Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()EjemploLa siguiente consulta extrae el texto del atributo de nombre de usuario de la aserción:"/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()""//Username/text()" extrae el texto del primer elemento Username en la aserción de SAML utilizando la sintaxis abreviada.Otros ejemplos:"substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMprofile/NVpair[1]/text(),"header:uid=")"Esta consulta extrae el texto del atributo de encabezado llamado "uid" que está configurado como el primer atributo del objeto afiliado en el sitio del productor.La cadena "substring-after(//SMprofile/NVpair[1]/text(),"header:uid=")" extrae el texto del atributo de encabezado llamado "uid." Este atributo es el primer atributo que se configura para el objeto afiliado en el sitio del productor con la sintaxis abreviada.
- Versión de SAMLEspecifica la versión SAML (inactiva; el valor 1.1 predeterminado indica que las aserciones de perfil POST cumplen con la versión 1.1 de SAML).El productor y el consumidor de SAML deben estar generando y consumiendo aserciones y respuestas que pertenecen a la misma versión.
- Modo de redirecciónEspecifica el método por el cual el servlet del recopilador de credenciales de SAML redirige el usuario al recurso de destino. Si se selecciona 302 No hay datos o 302 Cookie Data (Datos de la cookie), no es obligatorio realizar otra configuración. Si selecciona Redirección del servidor o Atributos persistentes, se necesita una configuración adicional.
- 302 No hay datos.Valor predeterminado. Redirige al usuario a través de una redirección HTTP 302 con una cookie de sesión, pero no otros datos.
- 302 Datos de la cookieRedirige al usuario a través de una redirección HTTP 302 con una cookie de sesión y datos de la cookie adicional que está configurada en el sitio que produjo la aserción.
- casso126figsbresRedirección del servidorHabilita la información de atributos de encabezado y cookies, que se recibe como parte de una aserción de SAML, para transferirla a la aplicación de destino personalizada. El recopilador de credenciales de SAML transfiere el usuario a la dirección URL de la aplicación de destino mediante tecnología de redirección del servidor. Las redirecciones del servidor forman parte de la especificación de Java Servlet. Todos los contenedores de servlet que cumplen los estándares admiten las redirecciones del servidor.Para utilizar el modo de redirección del servidor, siga estos requisitos:
- Especifique una dirección URL para este modo que esté relacionada con el contexto del servlet que consume la aserción, normalmente /affwebservices/public/. La raíz del contexto es la raíz de la aplicación de los servicios web de la federación, normalmente /affwebservices/.Todos los archivos de aplicación de destino deben estar en el directorio raíz de la aplicación. Este directorio puede ser:
- Agente web:directorio_principal_agente_web\webagent\affwebservices
- Puerta de enlace de la federación de SPS:directorio_principal_sps\secure-proxy\Tomcat\webapps\affwebservices
- Defina los territorios, reglas y políticas para proteger los recursos de destino. Defina los territorios con el valor /affwebservices/ como mínimo en el filtro de recursos.
- Instale una aplicación personalizada de Java o JSP en el servidor que está ejecutando la aplicación de los servicios web de la federación. La aplicación se instala con el Pack de opciones del Agente web o la puerta de enlace de la federación del SPS.La tecnología de servlet de Java admite que las aplicaciones transfieran información entre dos solicitudes de recurso mediante el método setAttribute de la interfaz ServletRequest.El servicio que consume las aserciones envía el atributo del usuario a la aplicación de destino. Se establecen diferentes objetos de atributos en el objeto de solicitud antes de que el servicio redirija el usuario a la aplicación de destino.El servicio crea dos objetos java.util.HashMap: uno para almacenar todos los atributos de encabezado y otro para almacenar todos los atributos de cookies. El servicio utiliza nombres del atributo distinguidos para representar cada objeto hashmap:
- El atributo Netegrity.HeaderAttributeInfo representa el valor hashmap que contiene los atributos de encabezado.
- El atributo Netegrity.CookieAttributeInfo representa el valor hashmap que contiene los atributos de las cookies.
La aserción que consume el servicio establece otros dos atributos Java.lang.String para transferir la identidad del usuario a la aplicación personalizada:- El atributo Netegrity.smSessionID representa el ID de la sesión.
- El atributo Netegrity.userDN representa el nombre distintivo del usuario.
La aplicación de destino personalizada en el consumidor puede leer estos objetos del objeto de solicitud HTTP y utiliza los datos encontrados en los objetos hashmap. - Atributos persistentesSe redirige el usuario mediante una redirección HTTP 302 con una cookie de sesión, pero no otros datos. Este modo también indica al Servidor de políticas que almacene atributos de una aserción en el almacén de sesiones, así se pueden proporcionar como variables de encabezado HTTP. Para obtener información sobre la configuración adicional, consulte las instrucciones sobre cómo utilizar atributos de SAML como encabezados HTTP.casso126figsbresNotaSi selecciona Atributos persistentes y la aserción contiene atributos en blanco, un valor de NULO se escribe al almacén de sesiones. Este valor sirve de marcador de posición para el atributo vacío. El valor se transfiere a cualquier aplicación que utilice el atributo.
- EmisorIdentifica al productor que emite aserciones para el consumidor. Este elemento distingue entre mayúsculas y minúsculas.El consumidor acepta únicamente las aserciones de este emisor. El administrador determina el emisor en el productor.NotaEl valor que se introduce para el emisor debe coincidir con el valor de AssertionIssuerID en el sitio del productor. Este valor se especifica en el archivo AMAssertionGenerator.properties ubicado en:dirprincipal_servidor_políticas/Config/properties/AMAssertionGenerator.properties
- Número de serieEspecifica el número de serie (una cadena hexadecimal) del certificado del consumidor en el almacén de datos de certificados. Este valor se utiliza con el nombre distintivo del emisor de Dsig para encontrar el certificado para firmar digitalmente la respuesta POST de SAML.
- casso126figsbresActivoIndica si la configuración de la federación heredada se está utilizando para una asociación específica. Si el Servidor de políticas está utilizando la configuración de la federación heredada, se debe verificar que esta casilla de verificación está seleccionada. Si se ha recreado una asociación federada con valores similares para la configuración de la identidad, como el ID del origen, se debe desactivar esta casilla de verificación antes de activar la asociación federada.Single Sign-Onno funciona con una configuración heredada y de asociación que utilizan los mismos valores de identidad, ya que se produce un conflicto de nombres.
- Persistir las variables de la sesión de autenticación(Opcional) Especifica que los datos de contexto de autenticación se guardan en el almacén de sesiones como variables de sesión. El Servidor de políticas tiene acceso a estas variables para usarlas en las decisiones de autenticación. Por ejemplo, se pueden incluir las variables de contexto de autenticación en respuestas activas o expresiones de política.
Las otras secciones para la configuración de configuración de esquema son las siguientes:
- Completa una especificación de espacio de nombres para que el consumidor pueda encontrar el registro de usuarios correcto para la autenticación.
- Especifica el recurso federado de destino de la configuración adicional de la página. Existe la opción de poder configurar el complemento Consumidor de mensajes y redirigir a direcciones URL donde se envían a los usuarios si la autenticación produce un error.
Esquema de autenticación - Namespace Specification (Especificación de espacio de nombres)
La sección Namespace Specification (Especificación de espacio de nombres) muestra los tipos de espacio de nombres y especificaciones de búsqueda asociadas.
CA Single Sign-on
utiliza esta información para buscar un usuario en un almacén de usuarios.La especificación de búsqueda utiliza los datos que la consulta XPath recupera de la aserción y los asigna a un atributo en una entrada de almacén de usuarios. La consulta XPath encuentra una entrada específica en la aserción, que sirve como el ID de inicio de sesión del usuario. Define la consulta en el campo Buscar datos XPATH.
Como parte de la especificación de búsqueda, se puede sustituir %s para representar el valor que la consulta XPath obtiene de la aserción. Por ejemplo, la consulta XPATH recupera el valor
user1
de la aserción de SAML. Si se introduce la especificación de búsqueda uid=%s
en el campo LDAP, la cadena que resulta es uid=user1. Esta cadena se verifica con el directorio de usuarios para encontrar el registro correcto para la autenticación.Se pueden especificar también filtros con distintas variables %s. Por ejemplo:
|(uid=%s)(email=%[email protected])|(abcAliasName=%s)(cn=%s)
Los resultados son:
|(uid=user1)([email protected])|(abcAliasName=user1)(cn=user1)
Introduzca una especificación de búsqueda para cada uno de los tipos de espacio de nombres del entorno.
Esquema de autenticación - Configuración adicional (Artefacto SAML 1.x, POST)
La sección Configuración adicional del esquema de autenticación le permite configurar el complemento Consumidor de mensajes y redirigir las direcciones URL para los errores de procesamiento de aserción que se produzcan durante la autenticación. Adicionalmente, se puede especificar el recurso de destino en el sitio del consumidor.
La sección Configuración adicional contiene los campos siguientes:
Complemento Consumidor de mensajesNombre completo de la clase de Java
(Opcional) Especifica el nombre de la clase de Java completamente cualificado de una clase que implementa una interfaz del complemento Consumidor de mensajes para el esquema de autenticación.
Parámetro
Especifica la cadena de parámetros que la API transfiere al complemento especificado en el campo Nombre completo de la clase de Java.
Modos y direcciones URL de redirección de estados
La autenticación basada en la aserción puede producir un error en el sitio que consume aserciones por diversos motivos. Si se produce un error de autenticación, se redirige al usuario a aplicaciones diferentes (direcciones URL) para su reprocesamiento. Por ejemplo, si se produce un error durante la desambiguación del usuario, el Servidor de políticas puede redirigir al usuario a un sistema de aprovisionamiento. El sistema de aprovisionamiento puede crear una cuenta de usuario basada en la información encontrada en la aserción de SAML.
Nota
: El redireccionamiento del error solamente se produce cuando el sistema puede analizar la solicitud correctamente y obtener la información necesaria para identificar los partners confidentes y asertivos.Las opciones siguientes redirigen el usuario a una dirección URL configurada según la condición que causaba el error.
Redirigir dirección URL para el estado No se ha encontrado al usuario
(Opcional) Identifica la dirección URL a la que el Servidor de políticas redirige al usuario cuando no se encuentra. El estado No se ha encontrado al usuario se aplica cuando el mensaje de inicio de sesión único no tiene un ID de inicio de sesión o el directorio de usuarios no contiene el ID de inicio de sesión.
- Redirigir dirección URL para el estado Mensaje de inicio de sesión único no válido(Opcional) Identifica la dirección URL a la que se redirige al usuario cuando se produce una de las condiciones siguientes:
- El mensaje de inicio de sesión único no es válido según las reglas que se especifican en los esquemas de SAML.
- El consumidor requiere una aserción cifrada pero el mensaje de inicio de sesión único no contiene una aserción cifrada.
- Redirigir dirección URL para el estado No se aceptan las credenciales del usuario (mensaje de inicio de sesión único)(Opcional) Identifica la dirección URL a la que se redirige al usuario para las condiciones de error distintas de un usuario no encontrado o un mensaje de inicio de sesión inválido. La aserción es válida, pero el Servidor de políticas no acepta el mensaje por determinados motivos, como:
- Se produce un error en la validación de la firma electrónica XML
- Se produce un error en la operación de descifrado XML
- Se produce un error en la validación XML de condiciones, como un mensaje caducado o un error de coincidencia de público.
- Ninguna de las aserciones del mensaje de inicio de sesión único contiene una declaración de autenticación.
- ModoEspecifica el método por el cual se redirige al usuario a la dirección URL de redirección. Las opciones disponibles son:
- 302 No hay datos (valor predeterminado)Redirige al usuario a través de una redirección HTTP 302 con una cookie de sesión, pero no otros datos.
- Método HTTP PostRedirige el usuario mediante el protocolo Método HTTP Post.
Configuración de página de destino
Esta sección del cuadro de diálogo le permite especificar la dirección URL del recurso de destino en el sitio del consumidor. Si el parámetro de la consulta existe, se debe determinar si el Servidor de políticas reemplazará la dirección URL por el valor del parámetro de la consulta TARGET en la dirección URL de respuesta de la autenticación.
- Dirección URL de destino predeterminada(Opcional) Especifica la dirección URL del recurso de destino que reside en el consumidor. Este destino es un recurso federado protegido que los usuarios pueden solicitar.El consumidor no tiene que utilizar el destino predeterminado. El vínculo que comienza el inicio de sesión único puede contener un parámetro de la consulta que especifica el destino.
- El parámetro de consulta TARGET invalida la dirección URL de destino predeterminada(Opcional) Sustituye el valor especificado en el campo Dirección URL de destino predeterminada por el valor del parámetro de la consulta TARGET en la respuesta. Mediante el parámetro de la consulta TARGET, se puede definir el destino dinámicamente. Se puede cambiar el destino con cada respuesta de autenticación. La flexibilidad del parámetro de la consulta TARGET ofrece más control sobre el destino. En comparación, el valor Dirección URL de destino predeterminada es un valor estático.La casilla de verificación se encuentra seleccionada de forma predeterminada.