Entidad del productor remoto de SAML 1.1
casso1283
HID_remote-saml1-producer-entity
Configure SAML 1.1 Remote Producer Entity (Configurar entidad de productor remoto de SAML 1.1)
La sección Configure SAML 1.1 Remote Producer Entity (Configurar entidad de productor de SAML 1.1 remoto) permite identificar la entidad. Los valores de configuración incluyen los siguientes:
- casso1283ID de entidadIdentifica la entidad de federación con un partner. El ID de entidad es un identificador universal como un nombre de dominio. Si el ID de entidad representa a unpartner remoto, este valor debe ser único. Si el ID de entidad representa a unpartner local, se puede reutilizar en el mismo sistema. Por ejemplo, si el ID de entidad representa una parte asertiva local, este mismo ID se puede utilizar en más de una asociación.Un ID de entidad que representa a un partner remoto solo puede pertenecer a una asociación activa única.Valor: URI (se recomienda URL)Tenga en cuenta estas directrices:
- El ID de entidad debe ser un URI, pero se recomienda una dirección URL absoluta.
- Si el ID de entidad es una dirección URL:
- La parte del host de la dirección URL debe ser un nombre raíz en el dominio DNS primario de la organización.
- La dirección URL no debe contener un número de puerto, una cadena de consulta o un identificador de fragmento.
- No utilice el signo et (&) en el ID de entidad porque se reconoce como un parámetro de consulta independiente.
- No especifique un URN.
- El ID de entidad de un partner remoto debe ser exclusivo globalmente para evitar colisiones de nombre dentro y a través de la federación.
Ejemplos de ID de entidad válidosEjemplos de ID de entidad no válidos:- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto(esta dirección URL puede funcionar, pero no se recomienda utilizar esta sintaxis)
Nombre de entidadNombra el objeto de entidad en el almacén de políticas. El Nombre de la entidad debe ser un valor único.SiteMinderutiliza el Nombre de la entidad para distinguir internamente una entidad en un sitio concreto. Este valor no se utiliza externamente y el partner remoto no es consciente de este valor.Nota: El Nombre de la entidad puede ser el mismo valor que el ID de entidad, pero el valor no se comparte con ninguna otra entidad del sitio.Valor: una cadena alfanuméricaEjemplo: Partner1DescripciónEspecifica información adicional para describir la entidad.Valor: una cadena alfanumérica de hasta 1024 caracteresID del origen(Solo Artefacto HTTP de SAML 1.1) Especifica un ID único en el artefacto de SAML que identifica al productor. El consumidor utiliza este ID para identificar a un emisor de aserción.La especificación de SAML define un ID del origen como un número binario de 20 bytes de codificación hexadecimal que identifica al productor. El valor ID del origen que se ha especificado debe ser la representación hexadecimal de 40 bytes de ese valor.Se recomienda especificar el hash SHA1 del ID de entidad como el valor ID del origen. Si no se introduce un valor para este parámetro, el producto utilizará este valor de forma predeterminada.Valor predeterminado: hash SHA1 del ID de entidadDirección URL baseEspecifica la ubicación base del servidor que es visible para los usuarios previstos de la federación. Este servidor es normalmente donde se instalaSiteMinder. El servidor puede ser también la dirección URL del servidor que aloja los servicios de federación. La dirección URL base permite queSiteMindergenere direcciones URL relativas en otras partes de la configuración, lo que hace que la configuración sea más eficaz.Se puede editar la dirección URL base. Por ejemplo, se pueden configurar host virtuales para el sistema deSiteMinder. Un host virtual gestiona la comunicación de la interfaz de usuario administrativa. El otro host virtual gestiona el tráfico de usuarios que procesa el servidor web de Apache incrustado. En este caso, se puede editar la dirección URL base para apuntar solamente al servidor y el puerto HTTP del servidor web de Apache.Valor: dirección URL válidaEjemplo: https://servidorfed.ca.com:5555Tenga en cuenta las siguientes directrices importantes para modificar este campo:- Si modifica la dirección URL base, no ponga una barra diagonal al final de la dirección URL base. Una barra diagonal final provoca la adición de dos barras diagonales en otras direcciones URL que utilicen esta dirección URL base.
- Para la compatibilidad con la conmutación por error, el valor de este campo es el nombre del host y el puerto del sistema que gestiona la conmutación por error para los demás sistemas. Este sistema puede ser un equilibrador de carga o servidor proxy.
- Dirección URL del servicio de recuperación de aserciones(Necesario solo para Artefacto HTTP) Especifica la dirección URL para el servicio de recuperación de aserciones. Si está utilizando el perfil Artefacto HTTP para el inicio de sesión único, el artefacto se envía del consumidor al productor. El productor resuelve el artefacto y redirige la aserción que se asocia con el artefacto a un servicio hacia en el consumidor.En este cuadro de grupo, se identifica el servicio de recuperación de aserciones en el productor. Si se habilita SSL para este servicio, las direcciones URL deben empezar conhttps://.Si el productor remoto utilizaSiteMinder, utilice las siguientes direcciones URL:
- Si no se habilita SSL:http://servidor_productor:puerto/affwebservices/assertionretriever
- Si se habilita SSL:https://servidor_productor:puerto_ssl/affwebservices/assertionretriever
- Dirección URL del servicio de inicio de sesión únicoIdentifica la dirección URL del servicio de inicio de sesión único en el productor.Valor: una dirección URL válida
- Valor predeterminado si: http://SiteMinderes el productorservidor_productor:puerto/affwebservices/public/intersitetransfer
Opciones de firma
Las Opciones de firma definen los comportamientos de la firma para la comunicación federada. Esta sección contiene los siguientes valores de configuración:
- Alias del certificado de verificación(Opcional) Especifica el alias que se asocia con un certificado específico (clave pública) en el almacén de datos de certificados. El alias que se proporciona indica aSiteMinderqué certificado se debe utilizar para verificar las aserciones y solicitudes de cierre de sesión único firmadas.Seleccione un alias de la lista desplegable o haga clic en Importar para importar un certificado si la clave deseada no está disponible.Nota: El certificado se almacena en la base de datos de claves antes de que se especifique el alias asociado en este campo.Valor: selección de la lista desplegable
Formatos de ID y atributos de nombre compatibles
casso1283
La sección Formatos de ID y atributos de nombre compatibles tiene dos funciones:
- Especifica los formatos de ID de nombre que admite la entidad.El identificador de nombre designa a un usuario de una manera única en la aserción y especifica qué atributos se deben incluir en la aserción. El formato del identificador de nombre establece el tipo de contenido que se utiliza para el ID. Por ejemplo, el formato puede ser el nombre distintivo de usuario, con lo que el contenido puede ser un uid.
- Para la parte asertiva, especifica atributos para incluir en una aserción.Los atributos agregados a una aserción pueden identificar con más detalle a un usuario y habilitar una aplicación mediante la aserción que se personaliza para cada usuario.
Formatos de ID y atributos de nombre compatibles
De las opciones siguientes, seleccione todos los formatos que se aplican. Para seleccionar todos los formatos, seleccione Seleccionar formatos de ID de nombre.
Para una descripción de cada formato, consulte la especificación para el perfil de SAML o de WS-Federation.
- Atributos de aserción compatiblesEspecifica los atributos que el productor incluye en la aserción. Haga clic en Agregar para incluir un atributo en la tabla. La tabla contiene las columnas siguientes:
- Atributo de aserciónIndica el atributo específico en la aserción.Valor: nombre de un atributo de aserción válido
- Espacio de nombresDesigna una colección que identifica especialmente nombres.Valor: cualquier nombre de espacio de nombres
- SuprimirHaga clic en el icono y la entrada se elimina de la tabla.