Cuadro de diálogo Inicio de sesión único (consumidor de SAML 1.1)
casso127figsbres
HID_partnership-sso-saml1-consumer
El paso de Inicio de sesión único le permite configurar el funcionamiento del inicio de sesión único.
Inicio de sesión único (consumidor de SAML 1.1)
Le permite configurar el inicio de sesión único (SSO). Esta sección contiene los siguientes valores de configuración:
- Perfil del inicio de sesión únicoDetermina si está usando el artefacto de SAML o enlace POST para el inicio de sesión único. Seleccione un enlace para la asociación.Opciones: Artefacto HTTP, Método HTTP Post
- DestinatariosEspecifica el público de la aserción de SAML.El público es una dirección URL de un documento que describe los términos y las condiciones del acuerdo de negocio entre dos partners federados. El administrador en el sitio del productor determina el público. Este valor debe coincidir con el del campo Público especificado en el productor.Valor: una dirección URL.El valor del campo Público no puede superar 1024 y distingue entre mayúsculas y minúsculas.Ejemplo: http://www.ca.com/SampleAudience
- ID de origen remoto(Solo Artefacto HTTP de SAML 1.1) Especifica un ID único en el artefacto de SAML que identifica al productor. El consumidor utiliza este ID para identificar a un emisor de aserción.La especificación de SAML define un ID del origen como un número binario de 20 bytes de codificación hexadecimal que identifica al productor. El valor ID del origen que se ha especificado debe ser la representación hexadecimal de 40 bytes.Se recomienda especificar el hash SHA1 del ID de entidad como el valor ID del origen. Si no se introduce un valor para este parámetro,CA Single Sign-onutiliza hash SHA1 de forma predeterminada.Valor predeterminado de la federacion de asociaciones: hash SHA1 del ID de entidad
- Dirección URL del servicio inicio de sesión único remotoEspecifica la dirección URL del servicio inicio de sesión único en el productor.Valor predeterminado si: http://CA Single Sign-ones el productorservidor_productor:puerto/affwebservices/public/intersitetransfer
- Dirección URL del servicio recuperación de aserciones remoto (solo artefacto HTTP)Especifica la dirección URL del servicio recuperación de aserciones en el productor. El servicio recuperación de aserciones recupera la aserción que está basada en el artefacto que recibe del consumidor. Se necesita una entrada para el inicio de sesión único del artefacto.Entrada:Dirección URL del servicio recuperación de asercionesSi el productor remoto utilizaCA Single Sign-on, utilice las siguientes direcciones URL:
- Si no se habilita SSL:http://servidor_productor:puerto/affwebservices/publicsaml1ars
- Si se habilita SSL:https://servidor_productor:puerto_ssl/affwebservices/publicsaml1ars
- Nivel de protecciónPermite el inicio de sesión único para esquemas de autenticación de niveles de protección iguales o más bajos dentro del mismo dominio de la política. El nivel de protección también requiere autenticación adicional para acceder a los recursos con esquemas de nivel de protección más altos.Límites: 1 a 1000.Los esquemas de autenticación tienen un nivel de protección predeterminado que se puede cambiar. Utilice niveles de protección altos para recursos importantes y esquemas de nivel más bajo para recursos comúnmente accesibles.
- Habilitar auditoría sincrónicaIndica queCA Single Sign-ondebe registrar las acciones del Servidor de políticas y del Agente web antes de permitir el acceso a los recursos.CA Single Sign-onno permite el acceso a los recursos del territorio hasta después de que la actividad se haya registrado en los registros de auditoría.
Canal trasero (consumidor de SAML 1.1)
En la sección Canal trasero se selecciona el método de autenticación que protege la comunicación a través del canal trasero para el inicio de sesión único del Artefacto HTTP.
Esta sección muestra los valores de configuración siguientes:
- Método de autenticaciónEspecifica el método de autenticación para las transacciones del canal trasero.Valor predeterminado:Sin autenticaciónOpciones: Básico, Certificado de cliente, Sin autenticación
- Básico:Indica que un esquema de autenticación de credenciales Básica está protegiendo el canal trasero para el acceso al servicio recuperación de aserciones. Por lo tanto, el consumidor debe proporcionar un nombre de usuario y una contraseña acordada.Si selecciona la autenticación de credenciales Básica, configure los siguientes valores de configuración adicionales:
- Nombre de usuario del canal trasero(Autenticación de credenciales Básica solamente) Especifica el nombre de usuario cuando utiliza la autenticación de credenciales Básica.Introduzca el mismo valor que se especifica para este campo en el productor.
- Contraseña(Autenticación de credenciales Básica solamente) Especifica la contraseña de usuario. Esta contraseña solo es relevante si utiliza Básica o Credenciales básicas para SSL como método de autenticación a través del canal trasero.Los dos partners federados deben estar de acuerdo con esta contraseña.
- Confirmar contraseña(Autenticación de credenciales Básica solamente) Confirma la contraseña de usuario para la autenticación Básica a través del canal trasero. Introduzca la contraseña.Nota:Si se habilita SSL para la conexión del canal trasero, se puede seguir seleccionando la autenticación básica.
- Tiempo de espera del canal trasero (segundos)Especifica la cantidad máxima del tiempo durante el cual el sistema de federación espera una respuesta después de haber enviado una solicitud de canal trasero al servicio recuperación de aserciones. Especifique un intervalo en segundos.
- Certificado de clienteIndica que un esquema de autenticación de certificado de cliente X.509 protege el canal trasero para la comunicación con el servicio recuperación de aserciones.La autenticación Certificado de cliente requiere el uso de SSL para todas las direcciones URL de punto final. Las direcciones URL de punto final buscan los distintos servicios de SAML en un servidor, como el servicio recuperación de aserciones. El requisito de SSL significa que las direcciones URL del servicio deben empezar conhttps://.Para implementar la autenticación Certificado de cliente, el consumidor envía un certificado al productor antes de que se produzca cualquier transacción. El productor almacena el certificado en su almacén de datos de certificados. Los dos partners deben tener el certificado que permita la conexión SSL en sus almacenes respectivos, de lo contrario, la autenticación Certificado de cliente no funcionará.Durante el proceso de autenticación, el consumidor envía su certificado al productor. El productor compara el certificado recibido con el certificado de su almacén de datos para verificar que coinciden. Si hay una coincidencia, el productor permite al consumidor acceder al servicio recuperación de aserciones.Si selecciona la autenticación Certificado de cliente, configure la configuración adicional siguiente:
- Alias de certificado del clienteEspecifica el alias que se asocia con un par clave privada/certificado de cliente en el almacén de datos de certificados. Seleccione el alias en la lista desplegable. Si no se tiene un certificado, se puede importar uno seleccionando Importar o se puede generar uno seleccionando Generar.
- Tiempo de espera del canal trasero (segundos)Especifica la cantidad máxima del tiempo durante el cual el sistema de federación espera una respuesta después de haber enviado una solicitud de canal trasero al servicio recuperación de aserciones. Especifique un intervalo en segundos.
- Sin autenticaciónIndica que no se necesitan las credenciales del consumidor. El canal trasero y el servicio recuperación de aserciones no están protegidos.Si un productor único es partner de diferentes consumidores, cada asociación debe tener un valor de ID del origen único.