Configuración de entidades del proveedor de identidad remoto de SAML 2.0

Contenido
casso1283
HID_remote-idp-entity-configuration
Contenido
El paso Configurar entidad contiene los detalles de configuración de una entidad de federación.
Configure SAML 2.0 Remote IdP Entity (Configurar una entidad proveedor de identidad remoto de SAML 2.0)
La sección Configure SAML 2.0 Remote IdP Entity (Configurar una entidad del proveedor de identidad remoto de SAML 2.0) permite identificar la entidad. Los siguientes campos no se explican por sí solos:
  • casso1283
    ID de entidad
    Identifica la entidad de federación con un partner. El ID de entidad es un identificador universal como un nombre de dominio. Si el ID de entidad representa a un
    partner remoto
    , este valor debe ser único. Si el ID de entidad representa a un
    partner local
    , se puede reutilizar en el mismo sistema. Por ejemplo, si el ID de entidad representa una parte asertiva local, este mismo ID se puede utilizar en más de una asociación.
    Un ID de entidad que representa a un partner remoto solo puede pertenecer a una asociación activa única.
    Valor
    : URI (se recomienda URL)
    Tenga en cuenta estas directrices:
    • El ID de entidad debe ser un URI, pero se recomienda una dirección URL absoluta.
    • Si el ID de entidad es una dirección URL:
      • La parte del host de la dirección URL debe ser un nombre raíz en el dominio DNS primario de la organización.
      • La dirección URL no debe contener un número de puerto, una cadena de consulta o un identificador de fragmento.
    • No utilice el signo et (&) en el ID de entidad porque se reconoce como un parámetro de consulta independiente.
    • No especifique un URN.
    • El ID de entidad de un partner remoto debe ser exclusivo globalmente para evitar colisiones de nombre dentro y a través de la federación.
    Ejemplos de ID de entidad válidos
    • CompanyA:portal1
    • http://idp_name.forwardinc.com/idp
    • https://idp_name.example.edu/sp
    Ejemplos de ID de entidad no válidos:
    Nombre de entidad
    Nombra el objeto de entidad en el almacén de políticas. El Nombre de la entidad debe ser un valor único. La federación utiliza el Nombre de la entidad para distinguir internamente una entidad en un sitio concreto. Este valor no se utiliza externamente y el partner remoto no es consciente de este valor.
    Nota
    : El Nombre de la entidad puede ser el mismo valor que el ID de entidad, pero el valor nunca se comparte con ninguna otra entidad del sitio.
    Valor
    : una cadena alfanumérica
    Ejemplo
    : Partner1
    Descripción
    Especifica información adicional para describir la entidad.
    Valor
    : cadena alfanumérica de hasta 1024 caracteres.
    Dirección URL base
    Especifica la ubicación base del servidor que es visible para los usuarios previstos de la federación. Este servidor es normalmente el servidor donde se instala
    SiteMinder
    . Sin embargo, el servidor puede ser la dirección URL del servidor que aloja los servicios de federación, como el servicio de inicio de sesión único. La dirección URL base permite que
    SiteMinder
    genere direcciones URL relativas en otras partes de la configuración, lo que hace que la configuración sea más eficaz.
    Se puede editar la dirección URL base. Por ejemplo, se pueden configurar host virtuales para el sistema de
    SiteMinder
    . Un host virtual gestiona la comunicación de la interfaz de usuario. El otro host virtual gestiona el tráfico de usuarios que procesa el servidor web de Apache incrustado. Se puede editar la dirección URL base para apuntar solamente al servidor y el puerto HTTP del servidor web de Apache.
    Valor
    : dirección URL válida
    Ejemplo
    : https://servidorfed.ca.com:5555
    Tenga en cuenta las siguientes directrices importantes para modificar este campo:
    Si modifica la dirección URL base, no ponga una barra diagonal al final de la dirección URL base. Una barra diagonal final provoca la adición de dos barras diagonales en otras direcciones URL que utilicen esta dirección URL base.
    Si está utilizando más de un sistema de
    SiteMinder
    para la compatibilidad con la conmutación por error, defina este campo como el nombre del host y el puerto del sistema que gestiona la conmutación por error para los demás sistemas. Este sistema puede ser un equilibrador de carga o servidor proxy.
  • Nombre de entidad
    Nombra la entidad en el almacén de políticas. El Nombre de la entidad debe ser un valor único. La federación utiliza el Nombre de la entidad para distinguir internamente una entidad en un sitio concreto. Este valor no se utiliza externamente y el partner remoto no es consciente de este valor.
    El Nombre de la entidad puede ser el mismo valor que el ID de entidad, pero el valor nunca se comparte con ninguna otra entidad del sitio.
    Valor
    : una cadena alfanumérica
    Ejemplo
    : Partner1
  • Direcciones URL del servicio de inicio de sesión único remoto
    Identifica el servicio inicio de sesión único en este proveedor de identidad remoto. Haga clic en Agregar fila para agregar una entrada a la tabla.
    Defina como mínimo un servicio de inicio de sesión único.
    La tabla contiene las columnas siguientes:
    • Enlace
      Especifica el enlace que esta entidad usa para el inicio de sesión único.
      Valor predeterminado
      : Redirección HTTP
      Límites
      : Redirección HTTP, SOAP
    • URL
      Identifica la dirección URL para el servicio de inicio de sesión único en el IdP.
      Valor
      : una dirección URL válida
      Ejemplo si
      SiteMinder
      es el productor
      : http://
      servidor_federación
      :8054/affwebservices/public/saml2sso
    • Suprimir
      Elimina la entrada de la tabla.
  • Direcciones URL de resolución de artefactos SOAP remota:
    (Solo obligatorio para Artefacto HTTP) Identifica el servicio de resolución de artefactos del proveedor de identidad remoto.
    Las entradas de la dirección URL incluyen los siguientes parámetros de configuración:
    • Índice
      Especifica un número de índice que identifica la dirección URL del servicio de resolución de artefactos en el IdP. El índice determina el orden en el que se prueban las direcciones URL del servicio de resolución de artefactos cuando se definen más de una.
      Valor predeterminado
      : 0
      Valor
      : un número entero de 0 a 99999.
    • URL
      Especifica la dirección URL del servicio de resolución de artefactos. Si se habilita SSL para este servicio, las direcciones URL deben empezar con
      https://
      .
  • Direcciones URL del servicio de cierre de sesión único remoto
    (Opcional) Identifica el servicio cierre de sesión único en el proveedor de identidad remoto. La tabla contiene las columnas siguientes:
    • Enlace
      Especifica el enlace del cierre de sesión único por esta entidad.
      Valor predeterminado
      : Redirección HTTP
      Opciones
      : Redirección HTTP, SOAP
    • Dirección URL de la ubicación
      Especifica la dirección URL del servicio de cierre de sesión único en el IdP remoto.
      • La dirección URL es: http://
        servidor:puerto
        /affwebservices/public/saml2slo
        servidor:puerto
        es el servidor donde
        SiteMinder
        está instalado.
      • Para distribuidores de terceros, la dirección URL representa las respuestas de cierre de sesión único de tratamiento de servicios.
    • Dirección URL de la ubicación de la respuesta
      (Opcional) Especifica la dirección URL del servicio de cierre de sesión único en el IdP remoto. Una Dirección URL de la ubicación de la respuesta es útil para una configuración en la que hay un servicio para solicitudes de cierre de sesión único y un servicio para respuestas de cierre de sesión único.
      • En el caso de
        SiteMinder
        ,
        este valor siempre es el mismo que la dirección URL de la ubicación del cierre de sesión único:
        http://
        servidor:puerto
        /affwebservices/public/saml2slo
        servidor:puerto
        es el servidor donde
        SiteMinder
        está instalado.
      • Para distribuidores de terceros, la dirección URL representa las respuestas de cierre de sesión único de tratamiento de servicios.
Direcciones URL del servicio de gestión del ID de nombre
(Opcional) Identifica el servicio de gestión del ID de nombre en el ID remoto. Haga clic en Agregar fila para agregar una entrada a la tabla.
La tabla contiene las columnas siguientes:
  • Enlace
    Especifica el enlace que utiliza esta entidad para el servicio de gestión del ID del nombre.
    Valor predeterminado
    : SOAP
    Opciones
    : Redirección HTTP, Método HTTP-POST (de lectura, pero sin utilizar)
  • Dirección URL de la ubicación
    Especifica la dirección URL del servicio de gestión del ID del nombre en el proveedor de identidad remoto.
    Para
    SiteMinder
    ,
    este valor es:
    http://
    servidor_sp:puerto
    /affwebservices/public/saml2nidsoap
    servidor_sp:puerto
    especifica el servidor y el número de puerto en el proveedor de servicios que está alojando a
    SiteMinder
    .
  • Dirección URL de la ubicación de la respuesta
    (Opcional) Especifica una Dirección URL de la ubicación de la respuesta, que resulta útil cuando hay un servicio para solicitudes y otro para respuestas. Esta configuración no se aplica para el enlace SOAP.
    Para
    SiteMinder
    , este valor siempre es igual que la dirección URL de la ubicación:
    http://
    servidor_stmndr:puerto
    /affwebservices/public/saml2nidsoap
    servidor_stmndr:puerto
    es el servidor en el proveedor de servicios donde se instala
    SiteMinder
    .
  • Direcciones URL del servicio de atributos remoto
    (Opcional). Enumera las direcciones URL de varios servicios de atributos en este proveedor de identidad. Introduzca la dirección URL del servicio de atributos que puede ser compatible con las consultas de atributo de un proveedor de servicios. Se pueden agregar varias entradas agregando filas a la tabla.
    Ejemplo:
    http://host.forwardinc.com/affwebservices/public/saml2attrsvc
Opciones de firma y cifrado
La sección Opciones de firma y cifrado permite definir los comportamientos de la firma y el cifrado para las transacciones federadas. La sección contiene los siguientes campos:
  • Alias del certificado de verificación
    (Opcional) Especifica el alias que se asocia con un certificado específico en el almacén de datos de certificados. El alias que se proporciona indica al Servidor de políticas qué certificado se debe utilizar para verificar las aserciones y solicitudes de cierre de sesión único firmadas.
    Seleccione un alias de la lista desplegable. Si el certificado no está en el almacén de datos de certificados, haga clic en Importar para importar un certificado.
    El certificado privado debe estar en el almacén de datos de certificados antes de especificar el alias asociado en este campo.
    Valor
    : selección de la lista desplegable
  • Alias del certificado de verificación secundario
    (Opcional) Especifica un segundo alias del certificado de verificación para un certificado en el almacén de datos de certificados. Si la verificación de la firma de una solicitud o respuesta no utiliza el alias del certificado de verificación configurado, el proveedor de servicios local utiliza este alias de certificado secundario. El proveedor de identidad remoto envía el certificado de verificación al proveedor de servicios antes de que se produzca cualquier transacción, utilizando metadatos o cualquier otro medio.La especificación de un alias secundario es útil si un proveedor de identidad sustituye el certificado de firma. Se puede producir una sustitución por cualquier motivo como, por ejemplo, cuando caduca un certificado, una clave privada se ve comprometida o cambia el tamaño de la clave privada. Si el certificado no está en el almacén de datos de certificados, haga clic en
    Importar
    para importar uno.
    Valor
    : selección de la lista desplegable
  • Solicitudes de autenticación firmadas obligatorias
    Indica que si los mensajes de AuthnRequest no se firman, el IdP no los acepta.
Atributos y formatos de ID de nombre compatibles (SAML 2.0)
casso1283
casso1283
La sección Formatos de ID y atributos de nombre compatibles permite especificar los formatos de ID de nombre que admite la entidad. Adicionalmente, para un proveedor de identidad indica los atributos que se deben agregar a una aserción.
El identificador de nombre designa a un usuario de una manera única en la aserción y especifica qué atributos se deben incluir en la aserción. El formato del identificador de nombre establece el tipo de contenido que se utiliza para el ID. Por ejemplo, el formato puede ser el nombre distintivo de usuario, en cuyo caso el contenido puede ser un uid.
Los atributos agregados a una aserción pueden identificar con más detalle a un usuario y habilitar una aplicación mediante la aserción que se personaliza para cada usuario.
  • Formatos de ID de nombre compatibles
    Enumera todos los formatos de ID de nombre que admite la entidad. Seleccione todos los formatos que se apliquen.
    Para obtener una descripción de cada formato, consulte la especificación
    Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0
    .
  • Atributos de aserción compatibles (proveedor de identidad local y remoto)
    Especifica los atributos que la parte que afirma incluye en la aserción. La tabla contiene las columnas siguientes:
    • Atributo de aserción
      Indica el atributo del directorio de usuarios específico que se incluye en la aserción.
      Valor
      : especifica el nombre de un atributo de directorio de usuarios
    • Formato compatible
      Designa el formato del atributo.
      Opciones
      : Sin especificar, Básica, URI
(Desde la versión 12.8.06) Sección Configuración de etiquetas
La sección Configuración de etiquetas permite agregar información o contexto adicional como etiquetas a una entidad. Las etiquetas ayudan a agrupar objetos similares utilizando metadatos comunes y un contexto adicional específico de la organización persistente, lo que ayuda a realizar de forma más fácil la identificación y recuperación de los objetos. Se pueden asignar varios valores a una etiqueta con un formato de par clave-valor.
Esta sección contiene los siguientes campos:
  • Agregar
    En el primer clic, se muestran las etiquetas asignadas a la categoría de objeto
    Entidad de federación
    utilizando el cuadro de diálogo Etiquetas. En clics adicionales, se agrega otra fila para agregar varias etiquetas y valores de etiqueta.
  • Nombre
    Muestra los nombres de las etiquetas que se asignan a la categoría de objeto
    Entidad de federación
    . El nombre de la etiqueta se muestra con el formato <
    nombre_etiqueta
    >[<
    tipo_datos
    >].
  • valor
    Especifica un valor para la etiqueta seleccionada. No escriba los caracteres *, <, =, > y ! en el valor. Si el tipo de datos de la etiqueta seleccionada es
    Fecha
    , el valor de la etiqueta debe tener el formato
    aaaa-mm-dd
    y debe estar dentro del intervalo del 1 de enero de 1970 al 31 de diciembre de 3000.
Una vez enviados los cambios, la columna
Etiquetas
de la tabla muestra la etiqueta con el formato <
nombre_etiqueta
>=<
valor_etiqueta
>.