Cuadro de diálogo Inicio y cierre de sesión únicos (proveedor de identidad de SAML 2.0)
El paso de inicio y cierre de sesión únicos le permite configurar el funcionamiento del inicio de sesión único y el cierre de sesión único.
casso126figsbres
HID_partnership-sso-asserting
El paso de inicio y cierre de sesión únicos le permite configurar el funcionamiento del inicio de sesión único y el cierre de sesión único.
2
Autenticación (proveedor de identidad de SAML 2.0)
La sección Autenticación le permite especificar cómo se autentican los usuarios durante las transacciones de inicio de sesión único. Designe el método para autenticar un usuario que no tiene una sesión de usuario.
Esta sección muestra los valores de configuración siguientes:
- Modo de autenticaciónIndica si la sesión de un usuario se establece autenticando un usuario localmente o delegando la autenticación a un sistema de gestión de acceso remoto de terceros.Valor predeterminado: LocalOpciones: seleccione una de las siguientes opciones y configure los campos adicionales para esa opción:
- Local: el sistema de federación gestiona la autenticación del usuario.Si se selecciona Local para el campo Modo de autenticación, especifique una dirección URL en el campo Dirección URL de la autenticación. Por lo general, la dirección URL señala a un archivo redirect.jsp; sin embargo, si se selecciona la casilla de verificaciónUtilizar dirección URL segura, la dirección URL debe señalar al servicio web de secureredirect.Dirección URL de la autenticaciónEspecifica una dirección URL protegida que se utiliza para autenticar usuarios y crear una sesión cuando se solicita un recurso protegido. Si el modo de autenticación se establece como Local y un usuario no se ha conectado en la parte asertiva, los usuarios se envían a esta dirección URL. Esta dirección URL debe señalar al archivo redirect.jsp, a menos que se seleccione la casilla de verificaciónUtilizar dirección URL segura. Ejemplos: http://myserver.idpA.com/affwebservices/redirectjsp/redirect.jsphttp://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jspmyserver identifica el servidor web con el Paquete de opciones del Agente web oCA Access Gatewayinstalado en la parte que afirma. La aplicación redirectjsp está incluida en estos productos.: Proteja la Dirección URL de autenticación con una política de control de acceso. Para la política se debe configurar un esquema de autenticación, un territorio y una regla. Para agregar atributos de almacén de la sesión a la aserción, active la casilla de verificación Mantener variables de sesión de la autenticación, que es el valor establecido en el esquema de autenticación.Utilizar dirección de URL seguraEsta función indica al servicio de inicio de sesión único de que solo cifre el parámetro de la consulta SMPORTALURL. Un parámetro SMPORTALURL cifrado impide que un usuario malintencionado modifique el valor y redirija los usuarios autenticados a un sitio web malicioso. SMPORTALURL se añade a Dirección URL de la autenticación antes de que el explorador redirija al usuario para establecer una sesión. Después de que el usuario se autentique, el explorador redirige al usuario de vuelta al destino especificado en el parámetro de la consulta SMPORTALURL.Si selecciona la casilla de verificación Utilizar dirección URL segura, complete los pasos siguientes:1. Establezca el campo Dirección URL de la autenticación como la dirección URL siguiente: http(s)://idp_server:port/affwebservices/secure/secureredirect2. Proteja el servicio web de secureredirect con una política.Si la parte que afirma ofrece servicio a más de una parte confidente, la parte que afirma probablemente autentica distintos usuarios para estos partners diferentes. Como resultado, para cada dirección URL de la autenticación que utilice el servicio secureredirect, se incluye este servicio web en un territorio diferente para cada partner.Para asociar el servicio secureredirect con territorios diferentes, modifique el archivo web.xml para crear distintas asignaciones de recursos. No copie el servicio web secureredirect en ubicaciones diferentes del servidor. Busque el archivo web.xml en el directorioweb_agent_home/affwebservices/WEB-INF, dondeweb_agent_homees la ubicación de instalación del agente web.
- Delegada: un sistema de gestión del acceso web (WAM) de terceros gestiona la autenticación del usuario. Complete los campos adicionales.
- Selector de credenciales: se presenta a los usuarios una página del selector de credenciales que muestra varios proveedores de identidad. Los proveedores de identidad puede ser redes sociales o los partners WS-Federation, SAML y OAuth. Los usuarios seleccionan el proveedor de identidad apropiado y dicho proveedor autentica el usuario. La lista de proveedores de identidad aceptables se define en un grupo de métodos de autenticación. Para todos los partners, el usuario deberá estar ya registrado con estos partners externos.Si se selecciona Selector de credenciales, complete los siguientes campos:Dirección URL base de autenticación: define el nombre del host del servidor deCA Access Gatewayen el que se instala el servicio de gestión de credenciales. Especifique el valor en el siguiente formato: https:nombrehost_spso http:nombrehost_spsGrupos de métodos de autenticación: especifica el grupo de métodos de autenticación de proveedores de identidad que debe mostrase a los usuarios para la autenticación cuando se invoca la asociación.
- Dinámico: un proveedor de identidad vuelve a autenticar un usuario en el nivel de autenticación necesario. Se utilizan direcciones URL de autenticación diferentes para autenticar a los usuarios en diferentes niveles para establecer el nivel de autenticación necesario para una aserción. Una vez se vuelve a autenticar al usuario, el proveedor de identidad genera una aserción.Si se selecciona Dinámico, se debe configurar el parámetro de plantilla AuthnContext. La lista desplegable Plantilla AuthnContext enumera todas las plantillas AuthnContext que se han configurado para admitir la autenticación dinámica. Para obtener más información sobre cómo configurar la autenticación dinámica, consulte la sección sobre el procesamiento del contexto de autenticación dinámica (SAML 2.0).
- casso126figsbresTipo de autenticación Delegada (solo en modo Delegada)Especifica si la autenticación de terceros se lleva a cabo transfiriendo una cookie de formato abierto o una cadena de consulta con el ID de inicio de sesión de usuario y demás información. Este campo se muestra solamente si se selecciona Delegada el modo de autenticación.Opciones: Cadena de consulta, Cookie de formato abierto
- Cadena de consulta:para utilizar una cadena de consulta, el sistema de terceros crea una cadena de redirección y agrega un parámetro de la consulta llamado LoginIDHash a esta cadena. El parámetro LoginIDHash es una combinación del ID de inicio de sesión del usuario y un secreto compartido. Estos dos valores se combinan y, a continuación, se procesan a través de un algoritmo hash.No utilice el método de cadena de consulta en un entorno de producción. El método de redirección de la cadena de consulta es solamente para un entorno de pruebas como una prueba de concepto.NotaLa opción de la cadena de consulta no produce una asociación que cumple con el estándar FIPS.
- Cookie de formato abierto: para utilizar una cookie de formato abierto, el sistema de terceros puede utilizar el SDK de .NET o Java deCA SiteMinder® Federationpara crear la cookie. También puede utilizar un lenguaje de programación para crear una cookie manualmente. El sistema de terceros redirige el explorador a su sistema de federación, que recupera el ID del usuario.
- Dirección URL de la autenticación delegada (solo en el modo Delegada)Especifica la dirección URL del sistema de gestión de acceso web de terceros que gestiona la autenticación del usuario. Si un usuario inicia una solicitud en el sistema local, el usuario se redirige al sistema de gestión de acceso web para la autenticación. Después de que la autenticación se ha realizado correctamente, el usuario se redirige al sistema de local.Esta dirección URL no es relevante si un usuario inicia primera una solicitud en el sistema de gestión de acceso web primero.Valor: una dirección URL válida que empieza con http:// o https://
- casso126figsbresEstado de autenticación delegada de seguimientoRealiza un seguimiento de si la autenticación delegada es correcta. Si la autenticación delegada produce un error, esta configuración determina el comportamiento del sistema de federación. De forma predeterminada esta casilla de verificación está seleccionada. Si un usuario no proporciona credenciales al acceder a un recurso protegido configurado para la autenticación delegada, la autenticación delegada produce un error. Si el usuario intenta acceder al recurso otra vez en la misma sesión del explorador, el explorador muestra un error 404. Asimismo, el sistema de federación escribe un mensaje de error a affwebservices.log y a los archivos FWSTrace.log. El mensaje de error informa de la falta de credenciales para la autenticación delegada. El sistema de federación no vuelve a dirigir el usuario a URL de la autenticación delegada para proporcionar las credenciales.Para que el sistema de federación vuelva a dirigir al usuario a la dirección URL de la autenticación delegada en la misma sesión de explorador, es necesario desactivar esta casilla de verificación. Si se desativa el seguimiento, un usuario puede volver a acceder al recurso otra vez en la misma sesión de explorador sin recibir un 404 error. El sistema de federación vuelve a dirigir el explorador a la dirección URL de la autenticación delegada Se solicita al usuario que proporcione de nuevo las credenciales.
- Parámetros de cadena de consulta la autenticación delegadaSi se selecciona Cadena de consulta, para el campo Tipo de autenticación delegada, complete estos valores de configuración adicionales:
- Secreto de hashDetermina el secreto compartido que se añade al ID de inicio de sesión del usuario para crear el parámetro de la consulta de LoginIDHash. Esta configuración es solamente relevante si se selecciona la opción Cadena de consulta como el tipo de autenticación delegada.
- Confirmar secreto de hashVerifica el secreto de hash. Introduzca de nuevo el valor del secreto de hash.
- Parámetros de cookie de formato abierto para autenticación delegadaSi se selecciona la cookie de formato abierto, una redirección HTTP 302 redirige al usuario a la aplicación de terceros. La redirección contiene la cookie de formato abierto, pero no otros datos. La aplicación del cliente descifra la cookie cifrada para obtener la información del usuario.Si la parte confidente recibe una aserción con distintos valores de atributo, transfiere todos los valores a la aplicación de destino.Si se selecciona la opción de cookie de formato abierto para la autenticación delegada, se muestran los campos adicionales siguientes:Nombre de la cookie de formato abiertoEspecifica el nombre de la cookie.Transformación del cifradoIndica el algoritmo de cifrado que se va a utilizar para cifrar la cookie de formato abierto.Si se selecciona uno de los algoritmos compatibles con FIPS (algoritmos de AES), el sistema de destino debe utilizar un SDK deCA SiteMinder® Federationpara consumir la cookie. El SDK debe estar en el mismo servidor que la aplicación de destino.Si está utilizando el SDK .NET deCA SiteMinder® Federationpara consumir la cookie, utilice el algoritmo de cifrado AES128/CBC/PKCS5Padding.Contraseña de cifradoIndica la contraseña que se utiliza para cifrar la cookie. Los campos Contraseña de cifrado y Contraseña de confirmación son obligatorios.Confirmar contraseñaConfirma la entrada de la contraseña de cifrado.Habilitar HMACIndica que el software genera un código de autenticación de mensaje de hash (HMAC) mediante la contraseña de cifrado proporcionada en este cuadro de diálogo.Los códigos de autenticación de mensaje (MAC) pueden verificar la integridad de la información que se envía entre dos partes. Las dos partes comparten una clave secreta para el cálculo y la verificación de los valores de autenticación del mensaje. Un código de autenticación de mensaje de hash (HMAC) es un mecanismo de MAC que está basado en funciones de hash de cifrado.Si se selecciona la casilla de verificación Habilitar HMAC, el sistema genera un valor de HMAC para su la cookie de formato abierto. El software antecede el valor de HMAC al valor de la cookie de formato abierto, que luego cifra toda la cadena. El sistema coloca la cadena cifrada en la cookie de formato abierto, que, a continuación, se transfiere a la aplicación de destino.Tiempo de desviación de la cookie (segundos)Especifica el número de segundos restados de la hora del sistema actual para explicar la diferencia en los relojes del sistema. La diferencia está entre su sistema de federación y la aplicación de terceros que gestiona la autenticación delegada. El software aplica el tiempo de desviación para la generación y el consumo de la cookie de formato abierto.Valor: introduzca un valor en segundos.Invalidar la clase de autenticación con el valor de la cookie de formato abiertoSeleccione esta casilla de verificación para anular el URI de clase de autenticación configurada con el URI enviado por un sistema de gestión de acceso remoto de terceros e incluido en la aserción para el proveedor de servicios.
- Clase de autenticaciónEspecifica el URI proporcionado en el elemento AuthnContextClassRef en la aserción, que describe cómo se autentica un usuario federado. Si el usuario se va a autenticar de forma loca, acepte el URI predeterminado para la contraseña. Si un sistema de gestión de acceso remoto de terceros autentica el usuario, edite este campo para reflejar el método de autenticación.Valor predeterminado: urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordValor de modo de autenticación local: urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordValor de modo de autenticación delegada:URI válido para el elemento AuthnContextClassRef, que se define en la especificación de SAML.
- Configurar AuthnContextDefine el método que el proveedor de identidad utiliza para determinar el contexto de autenticación que coloca en la aserción. Las opciones incluyen:
- Utilizar clase de autenticación predeterminadaLe encarga al proveedor de identidad que utilice un URI de clase de autenticación codificado en la aserción. Este URI es el valor especificado en el campo Clase de autenticación. Si selecciona esta opción, configure el siguiente campo:Clase de autenticaciónEspecifica el URI proporcionado en el elemento AuthnContextClassRef en la aserción, que describe cómo se autentica un usuario federado. Acepte el URI predeterminado para la contraseña.Valor predeterminado: urn:oasis:names:tc:SAML:2.0:ac:classes:Password
- Detectar automáticamente la clase de autenticaciónLe encarga al proveedor de identidad que asigne la clase AuthnContext al nivel de protección para la sesión que está basada en una plantilla de contexto de autenticación configurado. Si se selecciona esta opción, configure el campo Plantillas de contexto de autenticación. Esta función identifica la plantilla que el proveedor de identidad utiliza para asignar el contexto de autenticación al nivel de protección asociado para una sesión de usuario determinada. Seleccione Crear plantilla para crear una plantilla en lugar de elegir una existente.
- IgnoreRequestedAuthnContextLe encarga al proveedor de identidad que ignore el elemento <RequestedAuthnContext> en la solicitud de autenticación que recibe del Proveedor de servicios. El proveedor de identidad determina el contexto de autenticación utilizando una clase de autenticación definida previamente o una plantilla de contexto de autenticación.
- Tiempo de espera de la inactividad (Horas:Minutos)Determina la cantidad de tiempo que la sesión de un usuario autorizado puede permanecer inactiva antes de que el sistema de federación finalice la sesión. Si le preocupa que los usuarios dejen sus estaciones de trabajo después de haber accedido a un recurso protegido, establezca el tiempo de espera de la inactividad a un período de tiempo más corto. Si la sesión finaliza, los usuarios deben volver a autenticarse antes de acceder de nuevo a los recursos.Este ajuste está activado de forma predeterminada. Si no se desea especificar ningún tiempo de espera de la inactividad, desactive la casilla de verificación. El tiempo de espera de la inactividad predeterminado es de una hora.Valor predeterminado: 1 hora
- HorasEspecifica el número de horas para el período de tiempo de espera de la inactividad.
- MinutosEspecifica el número de minutos para el período de tiempo de espera de la inactividad.
- Tiempo de espera máximo (Horas:Minutos)Determina la cantidad máxima de tiempo que la sesión de un usuario puede estar activa antes de que el sistema de federación pida al usuario que se vuelva a autenticar.Este ajuste está activado de forma predeterminada. Si no se desea especificar ninguna duración máxima de sesión, desactive la casilla de verificación.Valor predeterminado: 2 horas
- HorasEspecifica el número de horas para la duración de sesión máxima.
- MinutosEspecifica el número de minutos para la duración de sesión máxima.
- Actualizar sesión para ForceAuthnSeleccione esta casilla de verificación para actualizar la aserción con la hora de inicio actual de la sesión y los tiempos de espera de inactividad y máximo. Esta casilla de verificación es válida cuando el proveedor de servicios solicita las credenciales y la solicitud de autenticación incluye un parámetro de consulta de autenticación forzado.Esta opción está desactivada de forma predeterminada. La hora de inicio original de la sesión y los tiempos de espera se utilizan al generar la aserción.
- Habilitar seguridad de la sesión mejoradaSeleccione esta casilla de verificación para proteger los recursos que se especifican en el territorio (del modelo de dominio de la política) o en el componente (del modelo de aplicación). También se pueden proteger las solicitudes de autenticación de ciertas asociaciones de la federación. El punto final de seguridad de la sesión recopila DeviceDNA™ del usuario y valida la sesión. Esta función requiere puntos finales de seguridad de la sesión.
Inicio de sesión único (proveedor de identidades de SAML 2.0)
La sección de Inicio de sesión único le permite configurar el inicio de sesión único (SSO). Esta sección muestra los valores de configuración siguientes:
- Enlace de solicitudes de autenticaciónEspecifica los tipos de enlaces que admite el proveedor de identidad cuando recibe una solicitud de autenticación del proveedor de servicios.Opciones: Redirección HTTP y Método HTTP Post
- Enlace de inicios de sesión únicosDetermina qué perfil de inicio de sesión único se utiliza para las solicitudes de procesamiento. Se pueden seleccionar todos los enlaces; la entidad local determina la secuencia en la que los enlaces se prueban.Opciones: Artefacto HTTP, Método HTTP Post, Perfil del cliente y proxy mejoradoDirectrices para esta configuración:
- Si se selecciona un enlace de artefacto, seleccione una codificación del artefacto (dirección URL o FORMULARIO). La codificación define cómo el artefacto vuelve a la parte que confía. Si se selecciona la opción de dirección URL, el artefacto se devuelve como un parámetro de la consulta en una dirección URL. Si se selecciona FORMULARIO, el artefacto se publica como datos del formulario. Para el enlace de artefactos, la aserción se envía sobre un canal trasero seguro. Por lo tanto, configure los valores de configuración en la sección Canal trasero.
- Cuando se selecciona un enlace de inicio de sesión único, configure como mínimo un servicio consumidor de aserciones con un enlace coincidente.
- Elija el perfil de ECP si las entidades de la asociación se están comunicando indirectamente a través de un cliente mejorado. Un cliente mejorado puede ser un explorador, otro agente de usuario, o un proxy mejorado, como un proxy inalámbrico para un dispositivo inalámbrico.
- casso126figsbresTipo de protección del artefactoDefine cómo se protege el canal trasero para el inicio de sesión único de Artefacto HTTP. La opción heredada indica queCA Single Sign-onprotege el canal trasero. La opción de asociación indica que el componente de federación dentro deCA Single Sign-onprotege el canal trasero.Si se recrea la configuración deeTrust SiteMinder FSSen el modelo de federación de asociaciones, se podrá utilizar el método original de protección del canal trasero. La opción heredada permite que la configuración utilice la dirección URL existente para el Servicio recuperación de aserciones (SAML 1.x) o Servicio de resolución de artefactos (SAML 2.0). Al seleccionar la configuración heredada como la opción,CA Single Sign-onacepta la solicitud. No se tiene que modificar la dirección URL. Si la dirección URL del servicio de artefactos procede de la configuración heredada pero solo se selecciona la opción de asociación para este ajuste,CA Single Sign-onrechazará la solicitud.Con la opción heredada, asegúrese de aplicar la política que protege el servicio de artefactos. Esta política es un componente de los servicios web de la federación.CA Single Sign-oncrea políticas automáticamente para los servicios web de la federación, pero es necesario exigir la protección de estas políticas. Se debe indicar qué asociación tiene permitido el acceso al servicio que recupera artefactos.Opciones: Heredada, Asociación
- Codificación del artefactoEspecifica cómo el artefacto se codifica cuando se envía a la parte que confía para el inicio de sesión único de artefacto HTTP.Opciones: Dirección URL, FormularioSi se selecciona Dirección URL, el artefacto se agrega a una cadena de consulta codificada de dirección URL. Si se selecciona Formulario, el artefacto se agrega a un control de formulario oculto en un formulario.
- DestinatariosEspecifica la dirección URL del público La dirección URL del campo Público identifica la ubicación del documento que describe los términos y las condiciones del acuerdo de negocio entre la parte asertiva y confidente. El administrador en la parte asertiva determina el público. Este valor debe coincidir con el valor del campo Público especificado en la parte confidente.Valor: una dirección URL.El valor del campo Público no puede superar 1024 y distingue entre mayúsculas y minúsculas.Por ejemplo: http://www.ca.com/fedserver
- Aceptación de la URL ACS en el AuthnrequestPermite aceptar y procesar la dirección URL del servicio consumidor de aserciones en la solicitud de autenticación entrante de la parte confidente. Seleccione esta casilla de verificación para que el sistema confirme que la dirección URL introducida, es válida y se encuentra entre la metadata.
- Transacciones permitidasIndica qué partner puede iniciar un inicio de sesión único. Si controla qué partner inicia el inicio de sesión único, podrá gestionar llamadas de federación. Para un valor Solo se ha iniciado el proveedor de servicios, un SP puede requerir que se devuelva un contexto de autenticación específico en la aserción antes de permitir el acceso a un recurso.
- Duración de la validez del inicio de sesión único (segundos)Especifica el número de segundos durante los cuales una aserción generada es válida. Para el inicio de sesión único, la duración de la validez del inicio de sesión único y el tiempo de desviación indican al Servidor de políticas cómo calcular el tiempo total durante el que la solicitud de inicio de sesión único es válida. En un entorno de prueba, aumente el valor de la duración de la validez a más de 60, el valor predeterminado, si ve el mensaje siguiente en el registro de seguimiento:Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237) -current time (Fri Sep 09 17:28:33 EDT 2005) is after SessionNotOnOrAftertime (Fri Sep 09 17:28:20 EDT 2005)Valor: introduzca un entero positivo.Valor predeterminado: 60
- Duración de la sesión del proveedor de servicios recomendadaEspecifica cuánto tiempo está activa la sesión en el SP.En <AuthnStatement> de la aserción, el Servidor de políticas calcula el atributo SessionNotOnOrAfter mediante la fórmula tiempo_actual + duración_validez + tiempo_desviación. Cuando un SP intenta establecer el tiempo de espera de sesión a este valor, la sesión es demasiado breve. Se puede resolver este problema utilizando el valor de la duración de la validez del inicio de sesión único o manipulando el valor SessionNotOnOrAfter.Opciones:
- Utilizar la validez de la aserciónCalcula el valor SessionNotOnOrAfter que está basado en la duración de la validez del inicio de sesión único.
- Customize Assertion Session Duration (Duración de la sesión de aserción personalizada)Seleccione una de las opciones siguientes:Omitir: Le encarga al IdP que no incluya el parámetro SessionNotOnOrAfter en la aserción.Sesión del proveedor de identidad: Calcula el valor de SessionNotOnOrAfter que está basado en el tiempo de espera de la sesión del proveedor de identidades. El tiempo de espera se configura en el territorio del IdP la dirección URL de la autenticación. Mediante esta opción se pueden sincronizar los valores de tiempo de espera de sesión del SP y el IdP.Personalizado: Establece el tiempo de espera como un valor personalizado en horas y minutos.
- Habilitar la respuesta de autenticación negativaEspecifica que el proveedor de servicios recibe una notificación cuando una solicitud de autenticación del usuario produce un error.
- Habilitar consentimiento del usuarioPara mejorar la privacidad del usuario, se puede necesitar que un usuario indique que esté de acuerdo con que la parte que afirma comparta información de identidad con el SP. Si selecciona la casilla de verificación Habilitar consentimiento del usuario, la parte que afirma pide el consentimiento al usuario. La parte que afirma transfiere su valor en la aserción.Si esta casilla de verificación se habilita, los dos campos siguientes se muestran:
- Dirección URL del servicio consentimiento del usuarioEspecifica la dirección URL para el servicio consentimiento del usuario en la parte que afirma. El valor predeterminado es http://idp_site:8999/affwebservices/public/saml2userconsent
- Formulario Post con consentimiento del usuarioNombra el formulario HTML POST automático personalizado para el consentimiento del usuario. Introduzca solamente el nombre del formulario, no la ruta al formulario. El usuario puede configurar el formulario HTML que la parte que afirma proporciona al usuario para obtener el consentimiento. Este formulario se puede personalizar para adaptarse a las necesidades empresariales.La página física debe residir en el directorio %NETE_WA_ROOT%\customization, donde %NETE_WA_ROOT% es la ubicación del Pack de opciones del Agente web. Si el Agente web y el Pack de opciones del Agente web están instalados en el mismo sistema, se instalan en el mismo directorio, por ejemplo, webagent\customization.
- Nivel de autenticación mínimoEspecifica el nivel mínimo en el que el usuario debe haberse autenticado para obtener acceso a un territorio. Si el usuario se ha autenticado en este nivel o en uno superior, el proveedor de identidades genera una aserción para el usuario. Si el usuario no se autentica a este nivel o más a gran altura, se reenvían a la Dirección URL de la autenticación para autenticar a este nivel.
- Formulario de envío personalizadoNombra el formulario HTML POST automático personalizado para el inicio de sesión único de Método HTTP Post. Introduzca solamente el nombre del formulario, no la ruta al formulario. El Servidor de políticas proporciona un formulario llamado defaultpostform.html. Un formulario POST automático personalizado permite al Servidor de políticas enviar información de SAML al consumidor. La página física debe residir en el directorio %NETE_WA_ROOT%\customization, donde %NETE_WA_ROOT% es la ubicación del Pack de opciones del Agente web. Si el Agente web y el Pack de opciones del Agente web están instalados en el mismo sistema, se instalan en el mismo directorio, por ejemplo, webagent\customization.
- Período de validaciónPara ver esta casilla de verificación, habilite el servidor de sesión mediante la Consola de gestión del Servidor de políticas.El valor especificado determina el período máximo entre llamadas del agente al Servidor de políticas para validar una sesión. Las llamadas de validación de sesión informan al Servidor de políticas de que un usuario está todavía activo y confirman que la sesión del usuario es todavía válida. Para especificar la longitud del período de validación, introduzca valores en los campos Horas, Minutos y Segundos. Si se está configurando el sistema para proporcionar un contexto de seguridad de usuarios de Windows, defina un valor más alto como, por ejemplo, 15-30 minutos.El período de validación de la sesión debe ser inferior al valor del tiempo de espera de inactividad especificado.
- Establecer condición OneTimeUseIndica al SP que utilice la aserción inmediatamente y que no la conserve para un uso futuro. La aserción se destina para un solo uso. La condición OneTimeUse es útil porque la información de una aserción puede cambiar o caducar y el SP utiliza una aserción con información actualizada. En lugar de reutilizar la aserción, el SP debe solicitar una aserción nueva al IdP.
- Dirección URL del consumidor de asercionesEsta sección le permite asignar valores de índice a las direcciones URL del servicio consumidor de aserciones. La asignación de números de índice permite que se puedan utilizar distintas entradas del servicio consumidor de aserciones para enlaces de protocolo diferentes. La parte que confía incluye solo el número de índice para la dirección URL adecuada en la AuthnRequest que envía a la parte que afirma.La tabla de esta sección contiene los campos siguientes:
- ÍndiceEspecifica el número de índice para la dirección URL de un servicio consumidor de aserciones en la parte que confía.Valor predeterminado: 0Valor: entero único entre 0 y 65535
- EnlaceEspecifica el enlace de inicio de sesión único que se está usando para el servicio consumidor de aserciones.Una solicitud sin solicitar puede iniciar un inicio de sesión único en la parte que afirma. Si el enlace que activa la solicitud incluye el parámetro de la consulta ProtocolBinding, el enlace especificado en este parámetro de la consulta anula el valor que de este campo.Valor predeterminado: HTTP-POSTOpciones: Artefacto HTTP, Método HTTP Post, PAOS
- URLEspecifica la dirección URL del servicio consumidor de aserciones en la parte que confía.Valor predeterminado (como proveedor de servicios de: http://CA Single Sign-on)servidor_sp:puerto/affwebservices/public/saml2assertionconsumer
- Predeterminado(Opcional) Indica que la dirección URL seleccionada sirve como entrada predeterminada. Seleccione la casilla de verificación situada junto a la entrada que se desea utilizar como el valor predeterminado.
Cierre de sesión único (proveedor de identidades de SAML 2.0)
La sección Cierre de sesión único le permite configurar el cierre de sesión único (SLO). Esta sección muestra los valores de configuración siguientes:
- Enlace de cierres de sesión únicosEspecifica si el perfil de cierre de sesión único está habilitado en la parte asertiva y qué enlace está en uso. El enlace Redirección HTTP envía los mensajes de cierre de sesión único mediante solicitudes GET de HTTP. El enlace SOAP no confía en HTTP después de la solicitud inicial y envía mensajes a través de un canal trasero.Opciones: Redirección HTTP, HTTP POST, SOAP. Si se selecciona esta opción, aparecerá la sección Búsqueda de usuario para los servicios de atributos y gestión del ID de nombre. Especifique una especificación de búsqueda del directorio de usuarios en el campo Personalizado. El valor que se especifica permite al Servidor de políticas saber como se debe localizar el registro del usuario en el directorio de usuarios. Introduzca una cadena de búsqueda adecuada para el tipo de directorio, como:LDAP: uid=%sODBC: name=%s
- Dirección URL de confirmación del cierre de sesión únicoEspecifica la dirección URL a la que se redirige el usuario cuando el proceso de cierre de sesión único se ha completado. Normalmente, la dirección URL de confirmación señala a una ubicación en el sitio que ha iniciado el cierre de sesión único. Si el cierre de sesión único se inicia en el sitio, el sistema utilizará esta dirección URL. El recurso de la dirección URL debe ser un recurso local que sea accesible para su sitio, y no un recurso en un dominio de partner federado. Por ejemplo, si el dominio local es acme.com y su partner es ejemplo.com, la Dirección URL de confirmación del cierre de sesión único debe estar en acme.com.Valor: dirección URL válida
- Duración de la validez del cierre de sesión único (segundos)Especifica el número de segundos durante los cuales una solicitud de cierre se sesión único (SLO) es válida.Valor predeterminado: 60segundosValor: un entero positivo
- El estado de la transmisión invalida la dirección URL de confirmación del cierre de sesión único (solo Redirección HTTP)Remplaza la dirección URL del campo Dirección URL de confirmación del cierre de sesión único por el valor del parámetro de la consulta Estado de la transmisión incluido en la solicitud de cierre de sesión único. Esta casilla de verificación le ofrece mayor control sobre el destino de confirmación del cierre de sesión único. El parámetro de la consulta Estado de la transmisión permite definir de forma dinámica la dirección URL de confirmación para solicitudes de cierre de sesión único.
- Reutilizar el índice de sesiónIndica siCA Single Sign-onenvía el mismo índice de sesión de la aserción al mismo partner en una única sesión del explorador. Un usuario puede federarse varias veces con el mismo partner mediante la misma ventana del explorador. Si se selecciona esta opción se indica al IdP que envíe el mismo índice de sesión en cada aserción. Si se desactiva esta opción,CA Single Sign-ongenera un nuevo índice de sesión cada vez que se produce un inicio de sesión único.Se puede habilitar esta opción para ayudar a garantizar el cierre de sesión único con partners de terceros que no confían en el índice de sesión transferido en las nuevas aserciones.NotaEsta configuración es relevante solamente si se habilita el cierre de sesión único.
- Direcciones URL del servicio de cierre de sesión únicoEnumera las direcciones URL del servicio de cierre de sesión único disponibles. La tabla incluye las entradas siguientes:
- SelecciónIndica que este valor es la entrada para la dirección URL del servicio de cierre de sesión único.
- EnlaceIndica el enlace para la conexión de cierre de sesión único.Opciones: Redirección HTTP, SOAP
- Dirección URL de la ubicaciónEspecifica la dirección URL del servicio de cierre de sesión único en el partner remoto, donde se envía la solicitud de cierre de sesión único.Valor: dirección URL válidaSi el sistema de federación está en el SP remoto, utilice las direcciones URL siguientes:Enlace de redirección HTTP:http://host_sp:puerto/affwebservices/public/saml2sloEnlace HTTP-POST:http://host_sp:puerto/affwebservices/public/saml2sloEnlace SOAP:http://host_sp:puerto/affwebservices/public/saml2slosoapSi un producto de federación de terceros está en el SP, utilice la dirección URL adecuada para ese producto.
- Dirección URL de la ubicación de la respuesta(Opcional) Especifica la dirección URL del servicio de cierre de sesión único para la entidad. Una Dirección URL de la ubicación de la respuesta se utiliza para una configuración en la que hay un servicio para solicitudes de cierre de sesión único y un servicio para respuestas de cierre de sesión único. De forma predeterminada, si solamente se proporciona la Dirección URL de la ubicación, se utiliza para la solicitud y la respuesta.Valor: dirección URL válida
Manage Name ID Service (Servicio de gestión del ID de nombre)
Esta sección describe los campos destinados a configurar el Manage Name ID Service (Servicio de gestión del ID de nombre).
- Enlace de MNI: SOAPHabilite el Manage Name ID Service (Servicio de gestión del ID de nombre). SOAP constituye el único enlace compatible.
- Cifrar ID de nombreCifra el ID de nombre.
- Requerir ID de nombre cifradoRequiere un ID de nombre cifrado en los mensajes recibidos.
- Firmar la solicitudFirma el mensaje de solicitud de ManageNameID.
- Requerir solicitud firmadaRequiere un mensaje de solicitud de ManageNameID firmado.
- Firmar respuestaFirma el mensaje de respuesta de ManageNameId.
- Requerir respuesta firmadaRequiere un mensaje de respuesta de ManageNameID firmado.
- Suprimir ID del nombreBorra el atributo del directorio de usuarios que incluye NameID de usuario para esta asociación. Tenga en cuenta que se selecciona Suprimir ID del nombre o Permitir notificación para que la función sea funcional.
- Tiempo de espera de SOAP (segundos)Especifica el número de minutos que se debe esperar hasta que se agote el tiempo de la solicitud.Valor predeterminado: 60
- Recuento de reintentosEspecifica el número de veces que se debe reintentar una solicitud.Valor predeterminado: 3
- Límite del reintento (minutos)Especifica el número de minutos que se debe esperar antes de tratar de realizar un reintento cuando se genera un mensaje de error.Valor predeterminado: 15
- (Opcional) Activación de la notificaciónIndica a la entidad de federación deSingle Sign-Onque notifique a la aplicación del cliente cuando se termina un usuario. Una notificación indica al servicio de ID de nombre que se encuentra en segundo plano cuando se ejecuta correctamente la terminación del ID de nombre. Active las notificaciones si el cliente propietario de la aplicación solicitada desea controlar la eliminación de un usuario del directorio de usuarios.
- Dirección URL de la notificaciónEspecifica la dirección URL del proveedor de identidad remoto o proveedor de servicios al que la entidad local federada envía la notificación de que se ha finalizado el ID de nombre de un usuario federado.
- Tiempo de espera de la notificación (segundos)Especifica el número de segundos que se debe esperar hasta que la solicitud de notificación excede el tiempo de espera.
- Tipo de autenticación de la notificaciónEspecifica si el cliente requiere las credenciales al enviar una terminación. Si se selecciona Básica, el servicio de notificación hace una llamada de salida en segundo plano a través de la dirección URL de notificación. La aplicación del cliente puede autenticar que se permite a la federación deSingle Sign-Onrealizar esta llamada de salida. Si se selecciona Básica, es necesario especificar los valores para los valores de configuración Notificar al nombre de usuario y Notificar contraseña. Estos valores servirán como credenciales cuando se envía una llamada de salida a través del canal de notificación.Opciones: NoAuth, básica
- Notificar al nombre de usuarioEspecifica un nombre de usuario para el servicio de notificación. Este nombre forma parte de las credenciales para la aplicación del cliente para comprobar la entidad que se comunica a través de la dirección URL de notificación.
- Notificar contraseñaEspecifica una contraseña para el servicio de notificación. Esta contraseña forma parte de las credenciales para la aplicación del cliente para comprobar la entidad que se comunica a través de la dirección URL de notificación. Una aplicación del cliente proporciona este servicio de autenticación para asegurarse de que un cliente válido está enviando la notificación.
- Notificar la confirmación de la contraseñaConfirma el valor de notificación de la contraseña.
Canal trasero (proveedor de identidades de SAML 2.0)
casso126figsbres
En la sección Canal trasero se configura el método de autenticación para el canal trasero. El canal trasero tiene finalidades diferentes en función de los criterios siguientes:
- El inicio de sesión único del artefacto HTTP está configurado.
- El cierre de sesión único mediante el enlace SOAP está configurado.
- El sistema de federación es el proveedor de identidad o el proveedor de servicios.
- La comunicación se establece por un canal entrante o saliente.
La sección Canal trasero muestra los valores de configuración siguientes:
- Configuración entrante/Configuración salienteConfigure un canal trasero entrante o saliente según sea necesario para los enlaces seleccionados. El canal trasero solo dispone de una configuración. Si dos servicios utilizan el mismo canal, estos dos servicios utilizan la misma configuración de canal trasero. Por ejemplo, el canal entrante para un proveedor de identidad local es compatible con el inicio y el cierre de sesión únicos del artefacto HTTP sobre SOAP. Estos dos servicios deben utilizar la misma configuración de canal trasero.
- Método de autenticaciónEspecifica el método de autenticación que protege el canal trasero.Valor predeterminado:Sin autenticaciónOpciones: Básico, Certificado de cliente, Sin autenticaciónBásico:Indica que un esquema de autenticación Básico está protegiendo la comunicación a través del canal trasero.Nota:Si se habilita SSL para la conexión del canal trasero, se puede seguir seleccionando la autenticación básica.Si selecciona la autenticación Básica, configure los siguientes valores de configuración adicionales:
- Nombre de usuario del canal trasero(Solo autenticación básica, canal saliente). Especifica el nombre de usuario del proveedor de servicios (SP) al utilizar la autenticación Básica a través del canal trasero. Introduzca el nombre de la asociación que se configura en el proveedor de identidad (IdP) remoto. Por ejemplo, en el IdP remoto, una asociación denominada Partners1 se define entre CompañíaA (IdP) y CompañíaB (SP). En CompañíaB (el SP local), el valor que introduce es Partners1, para asociar este nombre de usuario con la asociación correspondiente del IdP.
- ContraseñaEspecifica la contraseña de usuario para el nombre de usuario del canal trasero. Esta contraseña solo es relevante si utiliza Básica o Credenciales básicas para SSL como método de autenticación a través del canal trasero.Los dos partners deben estar de acuerdo con esta contraseña.
- Confirmar contraseñaVuelve a confirmar la entrada de la contraseña.
- Tiempo de espera del canal trasero (segundos)(Solo canal saliente) Especifica la cantidad máxima de tiempo durante el cual el sistema espera una respuesta después de haber enviado una solicitud de canal trasero al servicio resolución de artefactos. Especifique un intervalo en segundos.Valor predeterminado: 300 segundosValor: entero positivo
- Certificado de clienteIndica que un esquema de autenticación de certificado de cliente X.509 protege la comunicación que va al servicio de resolución de artefactos a través del canal trasero.La autenticación Certificado de cliente requiere el uso de SSL para todas las direcciones URL de punto final. Las direcciones URL de punto final buscan los distintos servicios de SAML en un servidor, como el servicio de resolución de artefactos. El requisito de SSL significa que las direcciones URL del servicio deben empezar conhttps://.Para implementar la autenticación Certificado de cliente, el SP envía un certificado a la parte que afirma antes de que se produzca cualquier transacción. La parte que afirma almacena el certificado en su base de datos. Los dos partners deben tener el certificado que permita la conexión SSL en sus respectivas bases de datos, de lo contrario, la autenticación Certificado de cliente no funcionará.Durante el proceso de autenticación, la parte confidente envía su certificado a la parte que afirma. Seguidamente, la parte que afirma compara el certificado recibido con el que se encuentra en su base de datos con el objetivo de verificar que coincidan. Si hay una coincidencia, la parte que afirma permite a la parte que confía acceder al servicio resolución de artefactos.Si selecciona la autenticación Certificado de cliente, configure la configuración adicional siguiente:
- Alias de certificado del clienteEspecifica el alias que se asocia con un certificado de cliente en la base de datos de claves. Seleccione el alias en la lista desplegable.
- Tiempo de espera del canal trasero (segundos)(Solo canal saliente). Especifica la cantidad máxima de tiempo queCA Single Sign-onespera una respuesta después de haber enviado una solicitud de canal trasero al servicio resolución de artefactos. Especifique un intervalo en segundos.Valor predeterminado: 300 segundosValor: entero positivo
- Sin autenticaciónIndica que la parte que confía no tiene que proporcionar credenciales. El canal trasero y el servicio resolución de artefactos no son seguros. Se puede seguir habilitando SSL con esta opción. El tráfico del canal trasero se cifra, pero no se intercambia ninguna credencial entre las partes.Seleccione Sin autenticación para realizar pruebas, pero no para la producción, salvo si el sistema de federación está configurado para la conmutación por error con SSL habilitado y se encuentra detrás de un servidor proxy. El servidor proxy gestiona la autenticación cuando tiene el certificado del servidor. En este caso, todas las asociaciones Proveedor de identidad a proveedor de servicios utilizan Sin autenticación como tipo de autenticación.
Servicio de atributos en el proveedor de identidad
Se puede configurar un proveedor de identidad para que actúe como una autoridad de atributos. La autoridad puede responder a una consulta de atributo de un solicitante SAML. A continuación, el solicitante puede autorizar a un usuario basándose en los atributos recuperados.
La sección Servicio de atributos contiene los campos siguientes para la consulta de atributo:
- ActivadoPermite al proveedor de identidad actuar como una autoridad de atributos. Como una autoridad de atributos, el sistema puede responder a un mensaje de consulta de un solicitante SAML.
- Requerir consulta de atributo firmadaIndica que la autoridad de atributos necesita una consulta de atributo con firma electrónica del solicitante SAML.
- casso126figsbresHabilitar consulta en proxyIndica que un proveedor de identidad de terceros responde a la consulta del atributo. La función de la consulta en proxy es para una implementación en la que un tercero está ejerciendo de proveedor de identidad y de autoridad de atributos. El sistema del Servidor de políticas local que se está configurando tiene dos roles cuando se implementa una consulta en proxy. El sistema ejerce como proveedor de servicios y servicio del solicitante del atributo relativo al proveedor de identidad de terceros. El sistema local también ejerce de proveedor de identidad y de autoridad de atributos relativo al proveedor de servicios que posee la aplicación solicitada.Una consulta en proxy ocurre cuando se cumplen las condiciones siguientes:
- El atributo no se encuentra en el directorio de usuarios o almacén de sesiones del sistema local.
- El proveedor de identidad de terceros autentica al usuario inicialmente.
El Servidor de políticas realiza una consulta en el proveedor de identidad de terceros. Si el proveedor de identidad encuentra el atributo, devuelve una respuesta de la consulta. El Servidor de políticas agrega los atributos de la respuesta al almacén de sesiones. A continuación, el sistema devuelve la respuesta con los atributos al proveedor de servicios que posee la aplicación. Este proveedor de servicios es el solicitante original del atributo.NotaLa dirección URL para el servicio de atributos en el proveedor de identidad se configura en la asociación de proveedores de servicios. - Duración de la validez en segundosEspecifica el número de segundos durante los cuales la aserción es válida.
- Opciones de firmadoDesigna los requisitos de firma para las aserciones y respuestas de atributos.
- Firmar aserciónIndica a la autoridad de atributos que firme únicamente la aserción de atributo. La respuesta de SAML no se firma.
- Firmar respuestaIndica a la autoridad de atributos que firme únicamente la respuesta de SAML.
- Firmar ambosEncarga a la autoridad de atributos que firme la aserción de atributo y la respuesta de SAML.
- No firmar ningunoEncarga a la autoridad de atributos que no firme la aserción de atributo ni la respuesta de SAML.
- Búsqueda de usuarioDefine las especificaciones de búsqueda para los espacios de nombre del directorio de usuarios. La autoridad de atributos usa la especificación de búsqueda para encontrar el usuario localmente. La especificación de búsqueda debe incluir el NameID del asunto de la consulta del atributo para encontrar el usuario.Introduzca una especificación de búsqueda en el campo para el tipo de espacio de nombres que está utilizando.NotaSe necesita como mínimo una especificación de búsqueda.
Detección de proveedores de identidad (proveedor de identidades de SAML 2.0)
La sección Detección de proveedores de identidad le permite configurar el perfil del detector de proveedores de identidad. Este perfil hace que la parte que confía determine qué parte que afirma está utilizando una entidad de seguridad.
Esta sección muestra los valores de configuración siguientes:
- Habilitar detección de proveedores de identidadHabilita o deshabilita el perfil del detector de proveedores de identidad.
- URL del servicioEspecifica la dirección URL del servlet del perfil de detector de proveedores de identidad en la entidad local.
- Dominio comúnEspecifica el dominio de la cookie de dominio común donde el servicio detección de proveedores de identidad almacena información acerca de la parte que afirma. Este dominio debe ser un dominio principal del host en la dirección URL del servicio.Valor: un dominio de cookie válido
- Habilitar cookie persistenteIndica que la cookie debe ser persistente.
Dirección URL de redirección de estados (proveedor de identidades SAML 2.0)
La Dirección URL de redirección de estados le permite determinar cómo el explorador redirige a un usuario cuando se producen los errores HTTP 500, 400 y 405.
Seleccione las opciones de redirección que se deseen habilitar y, a continuación, introduzca una dirección URL asociada.
Las opciones disponibles son:
- Habilitar redirección de errores del servidorDirección URL de redirección del error del servidor: especifica la dirección URL a la que se redirige al usuario cuando se produce un error HTTP 500 Server. Un usuario puede encontrar un error 500 porque una condición inesperada impide al servidor web que cumpla la solicitud del cliente. Si este tipo de error ocurre, el usuario se envía a la dirección URL especificada para que continúe el procesamiento.Por ejemplo: http://www.redirectmachine.com/error_pages/server_error.html
- Habilitar redirección de solicitudes inválidasDirección de URL de redirección no válida de la solicitud: especifica la dirección URL a la que se redirige al usuario cuando se produce un error HTTP 400 Bad Request o 405 Method Not Allowed. Un usuario puede encontrar un error 400 porque una solicitud está mal formada. Un usuario puede encontrarse también con un error 405 porque el servidor web no permite llevar a cabo un método o acción en concreto. Si se producen estos tipos de errores, el usuario se envía a la dirección URL especificada para que continúe con el procesamiento.Por ejemplo: http://www.redirectmachine.com/error_pages/invalidreq_error.html
- Habilitar redirección de accesos no autorizadosDirección URL de redirección del acceso no autorizado: especifica la dirección URL a la que se redirige el usuario cuando se produce un error HTTP 403 Forbidden. Este error se produce debido a que el usuario no está autorizado para una transacción federada. Un usuario también puede encontrarse con un error 403 porque la dirección URL de una solicitud está señalando el destino incorrecto, como un directorio en lugar de un archivo.Por ejemplo: http://www.redirectmachine.com/error_pages/unauthorized_error.htm
- 302 No hay datos (valor predeterminado)Redirige el usuario mediante una redirección HTTP 302 con una cookie de sesión, pero no otros datos.
- Método HTTP PostRedirige el usuario mediante el protocolo Método HTTP Post.