Configuración de entidades del proveedor de servicios remoto de SAML 2.0
casso1283
HID_remote-sp-entity-config
El paso Configurar entidad contiene los detalles de configuración de una entidad de federación.
Configure SAML 2.0 Remote SP Entity (Configurar una entidad proveedor de servicios de SAML 2.0 remoto)
La sección Configure SAML 2.0 Remote SP Entity (Configurar entidad proveedor de servicios de SAML 2.0 remoto) permite identificar la entidad.
- ID de entidadIdentifica la entidad de federación con un partner. El ID de entidad es un identificador universal como un nombre de dominio. Si el ID de entidad representa a unpartner remoto, este valor debe ser único. Si el ID de entidad representa a unpartner local, se puede reutilizar en el mismo sistema. Por ejemplo, si el ID de entidad representa a un IdP local, este mismo ID se puede utilizar en más de una asociación de IdP a SP.
- Un ID de entidad que representa a un partner remoto solo puede pertenecer a una asociación activa única.Valor: URI (se recomienda URL)Tenga en cuenta estas directrices:
- El ID de entidad debe ser un URI, pero se recomienda una dirección URL absoluta.
- Si el ID de entidad es una dirección URL:
- La parte del host de la dirección URL debe ser un nombre raíz en el dominio DNS primario de la organización.
- La dirección URL no debe contener un número de puerto, una cadena de consulta o un identificador de fragmento.
- No utilice el signo et (&) en el ID de entidad porque se reconoce como un parámetro de consulta independiente.
- No especifique un URN.
- El ID de entidad de un partner remoto debe ser exclusivo globalmente para evitar colisiones de nombre dentro y a través de la federación.
Ejemplos de ID de entidad válidos- CompanyA:portal1
- http://idp_name.forwardinc.com/idp
- https://idp_name.example.edu/sp
Ejemplos de ID de entidad no válidos:- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto&test=1
- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (esta dirección URL puede funcionar, pero no se recomienda utilizar esta sintaxis)
- Nombre de entidadNombra el objeto de la entidad en la base de datos. El Nombre de la entidad debe ser un valor único. El sistema utiliza el Nombre de la entidad para distinguir internamente una entidad en un sitio concreto. Este valor no se utiliza externamente y el partner remoto no es consciente de este valor.El Nombre de la entidad puede ser el mismo valor que el ID de entidad, pero el valor nunca se comparte con ninguna otra entidad del sitio.Valor: una cadena alfanuméricaEjemplo: Partner1
- DescripciónEspecifica información adicional para describir la entidad.Valor: una cadena alfanumérica de hasta 1024 caracteres.
Dirección URL del servicio consumidor de aserciones
La sección Dirección URL del servicio consumidor de aserciones especifica el servicio en este SP remoto que consume aserciones. Haga clic en Agregar fila para agregar una entrada a la tabla.
Se debe definir como mínimo una entrada del servicio consumidor de aserciones.
La tabla contiene las columnas siguientes:
- ÍndiceEspecifica el número de índice que se asocia con la dirección URL de un servicio consumidor de aserciones.Valor predeterminado: 0Valor: un número entero de 0 a 99999.
- EnlaceEspecifica el enlace que este punto final usa para el inicio de sesión único.El IdP puede iniciar un inicio de sesión único con una solicitud sin solicitar. Si la solicitud incluye el parámetro de la consulta ProtocolBinding, el enlace de este parámetro de la consulta anula el valor que se seleccionó para este campo.Opciones: Artefacto HTTP, Método HTTP-POST, SOAP
- URLEspecifica la dirección URL para el servicio consumidor de aserciones. Si se habilita SSL para el servicio, las direcciones URL deben empezar conhttps: //.
- PredeterminadoIndica que la entrada del servicio consumidor de aserciones seleccionada actúa como la URL predeterminada para consumir aserciones. Solo se puede establecer una entrada como el valor predeterminado.
Direcciones URL del servicio de cierre de sesión único
(Opcional) En esta sección, identifique el servicio de cierre de sesión único en este SP remoto. Haga clic en Agregar fila para agregar una entrada a la tabla.
La tabla contiene las columnas siguientes:
- EnlaceEspecifica el enlace que esta entidad usa para el cierre de sesión único.Valor predeterminado: Redirección HTTPOpciones: Redirección HTTP, SOAP
- Dirección URL de la ubicaciónEspecifica la dirección URL del servicio de cierre de sesión único en el SP remoto.
- ParaSiteMinder, este valor es:http://servidor_sp:puerto/affwebservices/public/saml2sloservidor_sp:puertoespecifica el servidor y el número de puerto en el proveedor de servicios que está alojando aSiteMinder.
- Para distribuidores de terceros, la dirección URL representa el servicio de cierre de sesión único.
- Dirección URL de la ubicación de la respuesta(Opcional) Especifica la dirección URL del servicio de cierre de sesión único en el SP remoto. Una Dirección URL de la ubicación de la respuesta resulta útil cuando hay un servicio para solicitudes de cierre de sesión único y un servicio para respuestas de cierre de sesión único.
- En el caso deSiteMinder, este valor siempre es el mismo que la dirección URL de la ubicación del cierre de sesión único:http://servidor_sp:puerto/affwebservices/public/saml2sloservidor_sp:puertoes el servidor en el proveedor de servicios donde se instalaSiteMinder.
- Para distribuidores de terceros, la dirección URL representa las respuestas de cierre de sesión único de tratamiento de servicios.
Direcciones URL del servicio de gestión del ID de nombre
(Opcional) Identifica el servicio de gestión del ID de nombre en el proveedor de servicios remoto. Haga clic en Agregar fila para agregar una entrada a la tabla.
La tabla contiene las columnas siguientes:
- EnlaceEspecifica el enlace que se utiliza esta entidad para el servicio de gestión del ID del nombre.Valor predeterminado: SOAPOpciones: Redirección HTTP, Método HTTP-POST (de lectura, pero sin utilizar)
- Dirección URL de la ubicaciónEspecifica la dirección URL del servicio de gestión de ID del nombre en el proveedor de servicios remoto.
- ParaSiteMinder, este valor es:http://servidor_sp:puerto/affwebservices/public/saml2nidsoapservidor_sp:puertoespecifica el servidor y el número de puerto en el proveedor de servicios que está alojando aSiteMinder.
- Dirección URL de la ubicación de la respuesta(Opcional) Especifica una Dirección URL de la ubicación de la respuesta, que resulta útil cuando hay un servicio para solicitudes y otro para respuestas. No se aplica para el enlace SOAP.
- ParaSiteMinder, este valor siempre es igual que la dirección URL de la ubicación:http://servidor_sp:puerto/affwebservices/public/saml2nidsoapservidor_sp:puertoes el servidor en el proveedor de servicios donde se instalaSiteMinder.
Opciones de firma y cifrado
La sección Opciones de firma y cifrado permite definir los comportamientos de la firma y el cifrado para las transacciones federadas. Esta sección contiene los siguientes valores de configuración:
- Alias del certificado de verificación(Opcional) Especifica el alias que se asocia con un certificado específico en el almacén de datos de certificados. El alias que se proporciona indica al Servidor de políticas qué certificado se debe utilizar para verificar las aserciones y solicitudes de cierre de sesión único firmadas.Seleccione un alias de la lista desplegable. Si el certificado no está disponible, haga clic enImportarpara importarlo.El certificado debe estar en el almacén de datos de certificados antes de especificar el alias asociado en este campo.Valor: selección de la lista desplegable
- Alias del certificado de verificación secundario(opcional) especifica un segundo alias de certificado de verificación en el almacén de datos de certificados. Si la verificación de la firma de las solicitudes o respuestas no utiliza el alias del certificado de verificación, el proveedor de identidad utiliza este alias de verificación secundario para verificar la firma. El proveedor de servicios remoto envía el certificado de verificación al proveedor de identidad antes de que se produzca cualquier transacción, utilizando metadatos o cualquier otro medio. La especificación de un alias secundario es útil si un proveedor de servicios sustituye el certificado de firma. Se puede producir una sustitución por cualquier motivo como, por ejemplo, cuando caduca un certificado, una clave privada se ve comprometida o cambia el tamaño de la clave privada.Si el certificado no está en el almacén de datos de certificados, haga clic enImportarpara importar uno.Valor: selección de la lista desplegable
- Alias del certificado de cifrado(Opcional) Especifica el alias que se asocia con un certificado específico en el almacén de datos de certificados. Al completar este campo, está indicando qué certificado proporciona el SP remoto al IdP para que lo utilice para el cifrado. El SP realiza el descifrado con su clave privada.Seleccione un alias de la lista desplegable o haga clic en Importar para importar un certificado si la clave deseada no está disponible.El certificado debe estar en el almacén de datos de certificados antes de especificar el alias asociado en este campo.Valor: selección de la lista desplegable
- Firmar solicitudes de autenticaciónIndica que los mensajes de AuthnRequest que el SP envía deben estar firmados. Si se firma la solicitud se asegura la confianza entre los dos lados de la asociación.
Formatos de ID de nombre compatibles
casso1283
La sección Formatos de ID de nombre compatibles permite especificar los formatos de ID de nombre que admite la entidad.
El identificador de nombre designa a un usuario de una manera única en la aserción y especifica qué atributos se deben incluir en la aserción. El formato del identificador de nombre establece el tipo de contenido que se utiliza para el ID. Por ejemplo, el formato puede ser el nombre distintivo de usuario, en cuyo caso el contenido puede ser un uid.
- Formatos de ID de nombre compatiblesEnumera todos los formatos de ID de nombre que admite la entidad. Seleccione todos los formatos que se apliquen.Para obtener una descripción de cada formato, consulte la especificaciónAssertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0.
(Desde la versión 12.8.06) Sección Configuración de etiquetas
La sección Configuración de etiquetas permite agregar información o contexto adicional como etiquetas a una entidad. Las etiquetas ayudan a agrupar objetos similares utilizando metadatos comunes y un contexto adicional específico de la organización persistente, lo que ayuda a realizar de forma más fácil la identificación y recuperación de los objetos. Se pueden asignar varios valores a una etiqueta con un formato de par clave-valor.
Esta sección contiene los siguientes campos:
- AgregarEn el primer clic, se muestran las etiquetas asignadas a la categoría de objetoEntidad de federaciónutilizando el cuadro de diálogo Etiquetas. En clics adicionales, se agrega otra fila para agregar varias etiquetas y valores de etiqueta.
- NombreMuestra los nombres de las etiquetas que se asignan a la categoría de objetoEntidad de federación. El nombre de la etiqueta se muestra con el formato <nombre_etiqueta>[<tipo_datos>].
- valorEspecifica un valor para la etiqueta seleccionada. No escriba los caracteres *, <, =, > y ! en el valor. Si el tipo de datos de la etiqueta seleccionada esFecha, el valor de la etiqueta debe tener el formatoaaaa-mm-ddy debe estar dentro del intervalo del 1 de enero de 1970 al 31 de diciembre de 3000.
Una vez enviados los cambios, la columna
Etiquetas
de la tabla muestra la etiqueta con el formato <nombre_etiqueta
>=<valor_etiqueta
>.