Configuración de entidades del proveedor de identidad remoto de SAML 2.0
Contenido
casso1283
HID_remote-idp-entity-configuration
Contenido
El paso Configurar entidad contiene los detalles de configuración de una entidad de federación.
Configure SAML 2.0 Remote IdP Entity (Configurar una entidad proveedor de identidad remoto de SAML 2.0)
La sección Configure SAML 2.0 Remote IdP Entity (Configurar una entidad del proveedor de identidad remoto de SAML 2.0) permite identificar la entidad. Los siguientes campos no se explican por sí solos:
- casso1283ID de entidadIdentifica la entidad de federación con un partner. El ID de entidad es un identificador universal como un nombre de dominio. Si el ID de entidad representa a unpartner remoto, este valor debe ser único. Si el ID de entidad representa a unpartner local, se puede reutilizar en el mismo sistema. Por ejemplo, si el ID de entidad representa una parte asertiva local, este mismo ID se puede utilizar en más de una asociación.Un ID de entidad que representa a un partner remoto solo puede pertenecer a una asociación activa única.Valor: URI (se recomienda URL)Tenga en cuenta estas directrices:
- El ID de entidad debe ser un URI, pero se recomienda una dirección URL absoluta.
- Si el ID de entidad es una dirección URL:
- La parte del host de la dirección URL debe ser un nombre raíz en el dominio DNS primario de la organización.
- La dirección URL no debe contener un número de puerto, una cadena de consulta o un identificador de fragmento.
- No utilice el signo et (&) en el ID de entidad porque se reconoce como un parámetro de consulta independiente.
- No especifique un URN.
- El ID de entidad de un partner remoto debe ser exclusivo globalmente para evitar colisiones de nombre dentro y a través de la federación.
Ejemplos de ID de entidad válidos- CompanyA:portal1
- http://idp_name.forwardinc.com/idp
- https://idp_name.example.edu/sp
Ejemplos de ID de entidad no válidos:- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto&test=1
- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (esta dirección URL puede funcionar, pero no se recomienda utilizar esta sintaxis)
Nombre de entidadNombra el objeto de entidad en el almacén de políticas. El Nombre de la entidad debe ser un valor único. La federación utiliza el Nombre de la entidad para distinguir internamente una entidad en un sitio concreto. Este valor no se utiliza externamente y el partner remoto no es consciente de este valor.Nota: El Nombre de la entidad puede ser el mismo valor que el ID de entidad, pero el valor nunca se comparte con ninguna otra entidad del sitio.Valor: una cadena alfanuméricaEjemplo: Partner1DescripciónEspecifica información adicional para describir la entidad.Valor: cadena alfanumérica de hasta 1024 caracteres.Dirección URL baseEspecifica la ubicación base del servidor que es visible para los usuarios previstos de la federación. Este servidor es normalmente el servidor donde se instalaSiteMinder. Sin embargo, el servidor puede ser la dirección URL del servidor que aloja los servicios de federación, como el servicio de inicio de sesión único. La dirección URL base permite queSiteMindergenere direcciones URL relativas en otras partes de la configuración, lo que hace que la configuración sea más eficaz.Se puede editar la dirección URL base. Por ejemplo, se pueden configurar host virtuales para el sistema deSiteMinder. Un host virtual gestiona la comunicación de la interfaz de usuario. El otro host virtual gestiona el tráfico de usuarios que procesa el servidor web de Apache incrustado. Se puede editar la dirección URL base para apuntar solamente al servidor y el puerto HTTP del servidor web de Apache.Valor: dirección URL válidaEjemplo: https://servidorfed.ca.com:5555Tenga en cuenta las siguientes directrices importantes para modificar este campo:Si modifica la dirección URL base, no ponga una barra diagonal al final de la dirección URL base. Una barra diagonal final provoca la adición de dos barras diagonales en otras direcciones URL que utilicen esta dirección URL base.Si está utilizando más de un sistema deSiteMinderpara la compatibilidad con la conmutación por error, defina este campo como el nombre del host y el puerto del sistema que gestiona la conmutación por error para los demás sistemas. Este sistema puede ser un equilibrador de carga o servidor proxy. - Nombre de entidadNombra la entidad en el almacén de políticas. El Nombre de la entidad debe ser un valor único. La federación utiliza el Nombre de la entidad para distinguir internamente una entidad en un sitio concreto. Este valor no se utiliza externamente y el partner remoto no es consciente de este valor.El Nombre de la entidad puede ser el mismo valor que el ID de entidad, pero el valor nunca se comparte con ninguna otra entidad del sitio.Valor: una cadena alfanuméricaEjemplo: Partner1
- Direcciones URL del servicio de inicio de sesión único remotoIdentifica el servicio inicio de sesión único en este proveedor de identidad remoto. Haga clic en Agregar fila para agregar una entrada a la tabla.Defina como mínimo un servicio de inicio de sesión único.La tabla contiene las columnas siguientes:
- EnlaceEspecifica el enlace que esta entidad usa para el inicio de sesión único.Valor predeterminado: Redirección HTTPLímites: Redirección HTTP, SOAP
- URLIdentifica la dirección URL para el servicio de inicio de sesión único en el IdP.Valor: una dirección URL válidaEjemplo si: http://SiteMinderes el productorservidor_federación:8054/affwebservices/public/saml2sso
- SuprimirElimina la entrada de la tabla.
- Direcciones URL de resolución de artefactos SOAP remota:(Solo obligatorio para Artefacto HTTP) Identifica el servicio de resolución de artefactos del proveedor de identidad remoto.Las entradas de la dirección URL incluyen los siguientes parámetros de configuración:
- ÍndiceEspecifica un número de índice que identifica la dirección URL del servicio de resolución de artefactos en el IdP. El índice determina el orden en el que se prueban las direcciones URL del servicio de resolución de artefactos cuando se definen más de una.Valor predeterminado: 0Valor: un número entero de 0 a 99999.
- URLEspecifica la dirección URL del servicio de resolución de artefactos. Si se habilita SSL para este servicio, las direcciones URL deben empezar conhttps://.
- Direcciones URL del servicio de cierre de sesión único remoto(Opcional) Identifica el servicio cierre de sesión único en el proveedor de identidad remoto. La tabla contiene las columnas siguientes:
- EnlaceEspecifica el enlace del cierre de sesión único por esta entidad.Valor predeterminado: Redirección HTTPOpciones: Redirección HTTP, SOAP
- Dirección URL de la ubicaciónEspecifica la dirección URL del servicio de cierre de sesión único en el IdP remoto.
- La dirección URL es: http://servidor:puerto/affwebservices/public/saml2sloservidor:puertoes el servidor dondeSiteMinderestá instalado.
- Para distribuidores de terceros, la dirección URL representa las respuestas de cierre de sesión único de tratamiento de servicios.
- Dirección URL de la ubicación de la respuesta(Opcional) Especifica la dirección URL del servicio de cierre de sesión único en el IdP remoto. Una Dirección URL de la ubicación de la respuesta es útil para una configuración en la que hay un servicio para solicitudes de cierre de sesión único y un servicio para respuestas de cierre de sesión único.
- En el caso deSiteMinder,este valor siempre es el mismo que la dirección URL de la ubicación del cierre de sesión único:http://servidor:puerto/affwebservices/public/saml2sloservidor:puertoes el servidor dondeSiteMinderestá instalado.
- Para distribuidores de terceros, la dirección URL representa las respuestas de cierre de sesión único de tratamiento de servicios.
Direcciones URL del servicio de gestión del ID de nombre
(Opcional) Identifica el servicio de gestión del ID de nombre en el ID remoto. Haga clic en Agregar fila para agregar una entrada a la tabla.
La tabla contiene las columnas siguientes:
- EnlaceEspecifica el enlace que utiliza esta entidad para el servicio de gestión del ID del nombre.Valor predeterminado: SOAPOpciones: Redirección HTTP, Método HTTP-POST (de lectura, pero sin utilizar)
- Dirección URL de la ubicaciónEspecifica la dirección URL del servicio de gestión del ID del nombre en el proveedor de identidad remoto.ParaSiteMinder,este valor es:http://servidor_sp:puerto/affwebservices/public/saml2nidsoapservidor_sp:puertoespecifica el servidor y el número de puerto en el proveedor de servicios que está alojando aSiteMinder.
- Dirección URL de la ubicación de la respuesta(Opcional) Especifica una Dirección URL de la ubicación de la respuesta, que resulta útil cuando hay un servicio para solicitudes y otro para respuestas. Esta configuración no se aplica para el enlace SOAP.ParaSiteMinder, este valor siempre es igual que la dirección URL de la ubicación:http://servidor_stmndr:puerto/affwebservices/public/saml2nidsoapservidor_stmndr:puertoes el servidor en el proveedor de servicios donde se instala.SiteMinder
- Direcciones URL del servicio de atributos remoto(Opcional). Enumera las direcciones URL de varios servicios de atributos en este proveedor de identidad. Introduzca la dirección URL del servicio de atributos que puede ser compatible con las consultas de atributo de un proveedor de servicios. Se pueden agregar varias entradas agregando filas a la tabla.Ejemplo:http://host.forwardinc.com/affwebservices/public/saml2attrsvc
Opciones de firma y cifrado
La sección Opciones de firma y cifrado permite definir los comportamientos de la firma y el cifrado para las transacciones federadas. La sección contiene los siguientes campos:
- Alias del certificado de verificación(Opcional) Especifica el alias que se asocia con un certificado específico en el almacén de datos de certificados. El alias que se proporciona indica al Servidor de políticas qué certificado se debe utilizar para verificar las aserciones y solicitudes de cierre de sesión único firmadas.Seleccione un alias de la lista desplegable. Si el certificado no está en el almacén de datos de certificados, haga clic en Importar para importar un certificado.El certificado privado debe estar en el almacén de datos de certificados antes de especificar el alias asociado en este campo.Valor: selección de la lista desplegable
- Alias del certificado de verificación secundario(Opcional) Especifica un segundo alias del certificado de verificación para un certificado en el almacén de datos de certificados. Si la verificación de la firma de una solicitud o respuesta no utiliza el alias del certificado de verificación configurado, el proveedor de servicios local utiliza este alias de certificado secundario. El proveedor de identidad remoto envía el certificado de verificación al proveedor de servicios antes de que se produzca cualquier transacción, utilizando metadatos o cualquier otro medio.La especificación de un alias secundario es útil si un proveedor de identidad sustituye el certificado de firma. Se puede producir una sustitución por cualquier motivo como, por ejemplo, cuando caduca un certificado, una clave privada se ve comprometida o cambia el tamaño de la clave privada. Si el certificado no está en el almacén de datos de certificados, haga clic enImportarpara importar uno.Valor: selección de la lista desplegable
- Solicitudes de autenticación firmadas obligatoriasIndica que si los mensajes de AuthnRequest no se firman, el IdP no los acepta.
Atributos y formatos de ID de nombre compatibles (SAML 2.0)
casso1283
casso1283
La sección Formatos de ID y atributos de nombre compatibles permite especificar los formatos de ID de nombre que admite la entidad. Adicionalmente, para un proveedor de identidad indica los atributos que se deben agregar a una aserción.
El identificador de nombre designa a un usuario de una manera única en la aserción y especifica qué atributos se deben incluir en la aserción. El formato del identificador de nombre establece el tipo de contenido que se utiliza para el ID. Por ejemplo, el formato puede ser el nombre distintivo de usuario, en cuyo caso el contenido puede ser un uid.
Los atributos agregados a una aserción pueden identificar con más detalle a un usuario y habilitar una aplicación mediante la aserción que se personaliza para cada usuario.
- Formatos de ID de nombre compatiblesEnumera todos los formatos de ID de nombre que admite la entidad. Seleccione todos los formatos que se apliquen.Para obtener una descripción de cada formato, consulte la especificaciónAssertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0.
- Atributos de aserción compatibles (proveedor de identidad local y remoto)Especifica los atributos que la parte que afirma incluye en la aserción. La tabla contiene las columnas siguientes:
- Atributo de aserciónIndica el atributo del directorio de usuarios específico que se incluye en la aserción.Valor: especifica el nombre de un atributo de directorio de usuarios
- Formato compatibleDesigna el formato del atributo.Opciones: Sin especificar, Básica, URI
(Desde la versión 12.8.06) Sección Configuración de etiquetas
La sección Configuración de etiquetas permite agregar información o contexto adicional como etiquetas a una entidad. Las etiquetas ayudan a agrupar objetos similares utilizando metadatos comunes y un contexto adicional específico de la organización persistente, lo que ayuda a realizar de forma más fácil la identificación y recuperación de los objetos. Se pueden asignar varios valores a una etiqueta con un formato de par clave-valor.
Esta sección contiene los siguientes campos:
- AgregarEn el primer clic, se muestran las etiquetas asignadas a la categoría de objetoEntidad de federaciónutilizando el cuadro de diálogo Etiquetas. En clics adicionales, se agrega otra fila para agregar varias etiquetas y valores de etiqueta.
- NombreMuestra los nombres de las etiquetas que se asignan a la categoría de objetoEntidad de federación. El nombre de la etiqueta se muestra con el formato <nombre_etiqueta>[<tipo_datos>].
- valorEspecifica un valor para la etiqueta seleccionada. No escriba los caracteres *, <, =, > y ! en el valor. Si el tipo de datos de la etiqueta seleccionada esFecha, el valor de la etiqueta debe tener el formatoaaaa-mm-ddy debe estar dentro del intervalo del 1 de enero de 1970 al 31 de diciembre de 3000.
Una vez enviados los cambios, la columna
Etiquetas
de la tabla muestra la etiqueta con el formato <nombre_etiqueta
>=<valor_etiqueta
>.