Configuración de entidades de WS-Federation
casso1283
HID_wsfed-entity
La mayor parte de los valores de configuración siguientes son comunes tanto a entidades locales como remotas de WS-Federation.
- ID de entidadIdentifica la entidad de federación con un partner. El ID de entidad es un identificador universal como un nombre de dominio. Si el ID de entidad representa a unpartner remoto, este valor debe ser único. Si el ID de entidad representa a unpartner local, se puede reutilizar en el mismo sistema. Por ejemplo, si el ID de entidad representa una parte asertiva local, este mismo ID se puede utilizar en más de una asociación.Un ID de entidad que representa a un partner remoto solo puede pertenecer a una asociación activa única.Valor: URI (se recomienda URL)Tenga en cuenta estas directrices:
- El ID de entidad debe ser un URI, pero se recomienda una dirección URL absoluta.
- Si el ID de entidad es una dirección URL:
- La parte del host de la dirección URL debe ser un nombre raíz en el dominio DNS primario de la organización.
- La dirección URL no debe contener un número de puerto, una cadena de consulta o un identificador de fragmento.
- No utilice el signo et (&) en el ID de entidad porque se reconoce como un parámetro de consulta independiente.
- No especifique un URN.
- El ID de entidad de un partner remoto debe ser exclusivo globalmente para evitar colisiones de nombre dentro y a través de la federación.Ejemplos de ID de entidad válidos
- CompanyA:portal1
- https://idp_name.example.edu/spEjemplos de ID de entidad no válidos:
- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (esta dirección URL puede funcionar, pero no se recomienda utilizar esta sintaxis)
- Nombre de entidad
Nombra el objeto de entidad en el almacén de políticas. El Nombre de entidad debe ser un valor único.
SiteMinder
utiliza el Nombre de entidad internamente para distinguir una entidad en un sitio concreto. Este valor no se utiliza externamente y el partner remoto no es consciente de este valor.El Nombre de la entidad puede ser el mismo valor que el ID de entidad, pero el valor no se comparte con ninguna otra entidad del sitio.
Valor
: una cadena alfanuméricaEjemplo
: Partner1- Descripción
Especifica información adicional para describir la entidad.
Valor
: una cadena alfanumérica de hasta 1024 caracteres- Dirección URL base
Especifica la ubicación base del servidor que es visible para los usuarios previstos de la federación. Este servidor es normalmente donde se instala
SiteMinder
. El servidor puede ser también la dirección URL del servidor que aloja los servicios de federación. La dirección URL base permite que SiteMinder
genere direcciones URL relativas en otras partes de la configuración, lo que hace que la configuración sea más eficaz.Se puede editar la dirección URL base. Por ejemplo, se pueden configurar host virtuales para el sistema de
SiteMinder
. Un host virtual gestiona la comunicación de la interfaz de usuario administrativa. El otro host virtual gestiona el tráfico de usuarios que procesa el servidor web de Apache incrustado. En este caso, se puede editar la dirección URL base para apuntar solamente al servidor y el puerto HTTP del servidor web de Apache.Valor
: dirección URL válidaEjemplo:
https://servidorfed.ca.com:5555Tenga en cuenta las siguientes directrices importantes para modificar este campo:
- Si modifica la dirección URL base, no ponga una barra diagonal al final de la dirección URL base. Una barra diagonal final provoca la adición de dos barras diagonales en otras direcciones URL que utilicen esta dirección URL base.
- Para la compatibilidad con la conmutación por error, el valor de este campo es el nombre del host y el puerto del sistema que gestiona la conmutación por error para los demás sistemas. Este sistema puede ser un equilibrador de carga o servidor proxy.
- ID de desambiguación (entidades locales de IP y RP)Establezca este ID únicamente cuando existan varias asociaciones entre el mismo proveedor de identidad y proveedor de recursos. El ID de desambiguación es útil cuando diversas unidades de negocio de una organización tienen una relación propia con un partner remoto, pero cada unidad confía en una infraestructura de federación compartida.No se pueden tener varias asociaciones con el mismo ID de proveedor de identidad o de proveedor de recursos. Si un partner remoto utiliza un ID único de proveedor de recursos,SiteMinderdebe poder distinguir las solicitudes de inicio de sesión único. El ID de desambiguación permite que el sistema distinga asociaciones con un sufijo de ruta lógico único para las direcciones URL del servicio de federación, como el servicio de inicio de sesión único.Por ejemplo, las divisiones de ventas y contabilidad desean asociaciones con ForwardInc.com. Las dos asociaciones utilizan el mismo ID de proveedor de recursos para ForwardInc.com. Para la entidad local de cada asociación, agregue un ID de desambiguación de "ventas" y "contabilidad" respectivamente.Ejemplo de dirección URL de inicio de sesión único:http://servidor:puerto/affwebservices/public/wsfeddispatcher?RPID=http://forwardinc.comSe convierte en las siguientes direcciones URL en dos asociaciones diferentes:http://server:port/affwebservices/public/wsfeddispatcher/sales?RPID=http://forwardinc.comhttp://server:port/affwebservices/public/wsfeddispatcher/finance?RPID=http://forwardinc.comSolamente existe un servicio de inicio de sesión único, pero el sufijo de la ruta y el proveedor de recursos crean una clave de búsqueda de asociación única.La existencia de dos asociaciones también afecta a Dirección URL del consumidor de aserciones que proporciona el proveedor de recursos. Gestione la configuración de esta dirección URL de una de las siguientes formas:
- Utilice el mismo ID de proveedor de identidades en las dos asociaciones. Se puede enlazar un proveedor de identidades local con varios proveedores de recursos remotos. Para esta configuración, el proveedor de recursos debe proporcionar dos direcciones URL del consumidor de aserciones diferentes, de modo que saben a qué cliente está destinada la aserción. Ejemplo:https://casales.salesforce.com/public/wsfedConsumerhttps://cafinance.salesforce.com/public/wsfedConsumer
- Utiliza diferentes ID de proveedor de identidades para cada asociación. A continuación, el proveedor de recursos puede proporcionar la misma dirección URL del consumidor de aserciones, ya que el ID del proveedor de identidades distingue el remitente de la aserción.
Valor: introduzca una cadena alfanumérica pero no utilice ningún carácter especial.
- Servicio de solicitante pasivo remoto (IP remota)Identifica la dirección URL del servicio de solicitante pasivo en la IP remota. Los solicitantes pasivos son exploradores web o aplicaciones que son compatibles con el protocolo de HTTP. Este servicio proporciona los tókenes de seguridad que verifican que el solicitante reclamado es genuino.
- Dirección URL de confirmación del cierre de sesión (IP local)Especifica la dirección URL en el proveedor de identidad que lleva a cabo el cierre de sesión.Predeterminada: http://servidor_ip:puerto/affwebservices/signoutconfirmurl.jspservidor_ip:puertoEspecifica el servidor y el número de puerto del sistema del proveedor de identidad. El sistema aloja el paquete de opciones del Agente web o la puerta de enlace de la federación, en función de los componentes instalados en la red de la federación.El archivo signoutconfirmurl.jsp se instala con el paquete de opciones del Agente web o la puerta de enlace de la federación. Mueva esta página desde el directorio predeterminado y colóquela donde el motor del servlet de los servicios web de la federación pueda acceder a la página.
- Dirección URL de cierre de sesión remoto (RP remoto)Especifica la dirección URL del servicio de cierre de sesión RP remoto. La dirección URL predeterminada es:https://servicio_rp:puerto/affwebservices/public/wsfeddispatcherEl servicio WSFedDispatcher recibe todos los mensajes entrantes de WS-Federation y reenvía el procesamiento de la solicitud al servicio adecuado en función de los datos del parámetro de la consulta. Aunque hay un servicio wsfedsignout, utilice el la dirección URL de wsfeddispatcher como la URL de cierre de sesión.
- Dirección URL del servicio consumidor de tókenes de seguridad remoto (RP remoto)Especifica la dirección URL del servicio de tókenes en el partner de recursos remoto. Este servicio recibe mensajes de respuesta de tókenes de seguridad y extrae la aserción. La ubicación predeterminada del servicio es:https://servidor_rp:puerto/affwebservices/public/wsfeddispatcherservidor_rp:puertoIdentifica el servidor web y el puerto en el partner de recursos que aloja el paquete de opciones del Agente web o la puerta de enlace de la federación. Estos componentes proporcionan la aplicación de servicios web de la Federación.El servicio WSFedDispatcher recibe todos los mensajes de WS-Federation entrantes y reenvía el procesamiento de la solicitud al servicio adecuado en función de los datos del parámetro de la consulta. Aunque hay un servicio wsfedsecuritytokenconsumer, se recomienda el servicio wsfeddispatcher como entrada para este campo.
Valores de configuración de firmas
Las opciones de firma definen los comportamientos de la firma para el inicio de sesión único. Esta sección contiene los diferentes valores de configuración en función de la entidad.
- Alias de la clave privada de firma (IP local solamente)(Opcional) Especifica el alias que se asocia con una clave privada específica en el almacén de datos de certificados. Al completar este campo, se está indicando qué clave privada utiliza la parte asertiva para firmar aserciones.Si la clave que se desea utilizar no está ya en el almacén de datos de certificados, puede hacer clic en Importar para importarla antes de continuar.Nota: La clave privada ya debe estar en el almacén de datos de certificados antes de especificar el alias asociado en este campo.Valor: seleccionar de la lista desplegable.
- Alias del certificado de verificación (IP y RP remotos)(Opcional) Especifica el alias que se asocia con un certificado específico (clave pública) en el almacén de datos de certificados. El alias que se proporciona indica al Servidor de políticas qué certificado se debe utilizar para verificar las aserciones firmadas.Para importar un certificado si la clave deseada no está disponible, haga clic en Importar o seleccione un alias de la lista desplegable.Nota: El certificado privado debe estar en el almacén de datos de certificados antes de especificar el alias asociado.Valor: seleccionar de la lista desplegable.
Formatos de ID de nombre y atributos compatibles
casso1283
La sección Formatos de ID y atributos de nombre compatibles tiene dos funciones:
- Especifica los formatos de ID de nombre que admite la entidad.El identificador de nombre designa a un usuario de una manera única en la aserción y especifica qué atributos se deben incluir en la aserción. El formato del identificador de nombre establece el tipo de contenido que se utiliza para el ID. Por ejemplo, el formato puede ser el nombre distintivo de usuario, con lo que el contenido puede ser un uid.
- Para la parte asertiva, especifica atributos para incluir en una aserción.Los atributos agregados a una aserción pueden identificar con más detalle a un usuario y habilitar una aplicación mediante la aserción que se personaliza para cada usuario.
Formatos de ID y atributos de nombre compatibles
De las opciones siguientes, seleccione todos los formatos que se aplican. Para seleccionar todos los formatos, seleccione Seleccionar formatos de ID de nombre.
Para una descripción de cada formato, consulte la especificación para el perfil de SAML o de WS-Federation.
- Atributos de aserción compatiblesEspecifica los atributos que el productor incluye en la aserción. Haga clic en Agregar para incluir un atributo en la tabla. La tabla contiene las columnas siguientes:
- Atributo de aserciónIndica el atributo específico en la aserción.Valor: nombre de un atributo de aserción válido
- Espacio de nombresDesigna una colección que identifica especialmente nombres.Valor: cualquier nombre de espacio de nombres
- SuprimirHaga clic en el icono y la entrada se elimina de la tabla.