Esquema de autenticación de SAML 2.0: configuración del inicio de sesión único
Contenido
casso1283
HID_saml2-auth-sso
Contenido
Los valores de configuración de Inicio de sesión único permiten configuran cómo el inicio de sesión único (SSO) se gestiona en el proveedor de servicios.
La sección Inicio de sesión único de la página incluye los valores de configuración siguientes:
- Modo de redirecciónIndica el método por el cual el proveedor de servicios redirige el usuario al recurso de destino. Si se selecciona 302 No hay datos o 302 Cookie Data (Datos de la cookie), no es obligatorio realizar otra configuración. Si selecciona Redirección del servidor o Atributos persistentes, es obligatorio realizar una configuración adicional.
- 302 No hay datos (valor predeterminado)Se redirige el usuario mediante una redirección HTTP 302 con una cookie de sesión, pero no otros datos.
- 302 Datos de la cookieRedirige al usuario a través de una redirección HTTP 302 con una cookie de sesión y datos de la cookie adicional queSiteMinderha configurado para el proveedor de servicios en el proveedor de identidad.
- casso1283Redirección del servidorHabilita la información de atributos de encabezado y cookies recibida en la aserción para transferirla a la aplicación de destino personalizada. El Servicio consumidor de aserciones de SAML 2.0 o Servicio consumidor de tókenes de seguridad de WS-Federation recopila las credenciales de usuario y, a continuación, transfiere el usuario a la dirección URL de la aplicación de destino mediante la redirección del servidor. Las redirecciones del servidor forman parte de la especificación de Java Servlet. Todos los contenedores de servlet que cumplen los estándares admiten redirecciones del servidor.Para utilizar este modo, siga estos requisitos:
- La dirección URL que especifique para este modo debe estar relacionada con el contexto del servlet que consume la aserción, que es normalmente /affwebservices/public/. La raíz del contexto es la raíz de la aplicación de los servicios web de la federación, normalmente /affwebservices/.Todos los archivos de la aplicación de destino deben estar en el directorio raíz de la aplicación. Este directorio puede ser:—Agente web:directorio_principal_agente_web\webagent\affwebservices—Access Gateway:directorio_principal_sps\secure-proxy\Tomcat\webapps\affwebservices
- Defina los territorios, reglas y políticas para proteger los recursos de destino. Defina los territorios con el valor /affwebservices/ como mínimo en el filtro de recursos.
- Instale una aplicación personalizada de Java o JSP en el servidor que está ejecutando la aplicación de los servicios web de la federación. Los servicios web de la federación se instalan con el Pack de opciones del Agente web o conAccess Gateway.La tecnología de servlet de Java admite que las aplicaciones transfieran información entre dos solicitudes de recurso mediante el método setAttribute de la interfaz ServletRequest.El servicio que consume las aserciones envía el atributo de usuario a la aplicación de destino antes de redirigir el usuario al destino. El servicio envía los atributos al crear un objeto java.util.HashMap. El atributo que contiene el HashMap de los atributos de SAML es “Netegrity.AttributeInfo”.El servicio que consume aserciones transfiere los otros dos atributos de Java.lang.String a la aplicación personalizada:—El atributo Netegrity.smSessionID representa el ID de sesión deSiteMinder.—El atributo Netegrity.userDN representa el nombre distintivo del usuario deSiteMinder.La aplicación de destino personalizada lee estos objetos de la solicitud HTTP y utiliza los datos encontrados en los objetos hashmap.
- Atributos persistentesSe redirige el usuario mediante una redirección HTTP 302 con una cookie de sesión, pero no otros datos. Además, este modo indica al Servidor de políticas que almacene atributos extraídos de una aserción en el almacén de sesiones, así se pueden proporcionar como variables de encabezado HTTP. Para obtener información sobre la configuración adicional, consulte las instrucciones sobre cómo utilizar atributos de SAML como encabezados HTTP.Para ver esta opción, habilite el almacén de sesiones mediante la Consola de gestión del Servidor de políticas deSiteMinder.casso1283Si selecciona Atributos persistentes y la aserción contiene atributos en blanco, un valor de NULO se escribe al almacén de sesiones. Este valor sirve de marcador de posición para el atributo vacío. El valor se transfiere a cualquier aplicación que utilice el atributo.
- Servicio inicio de sesión únicoEspecifica el URI del servicio inicio de sesión único en el proveedor de identidades. Este URI es la ubicación donde el servicio AuthnRequest redirige un mensaje authnrequest, que contiene el ID del proveedor de servicios. La dirección URL predeterminada es:http://host_idp:puerto/affwebservices/public/saml2sso
- DestinatariosEspecifica el público de la aserción de SAML. El público es una dirección URL que identifica la ubicación de un documento que describe los términos y las condiciones del acuerdo de negocio entre el proveedor de identidades y el proveedor de servicios. El administrador del sitio del proveedor de identidades determina el público, que coincide con el público para el proveedor de servicios.El valor del público no debe superar 1 K y distingue entre mayúsculas y minúsculas. Por ejemplo:http://www.ca.com/SampleAudience
- Destino(Opcional) Especifica el URI del recurso de destino en el sitio del proveedor de servicios de destino.El proveedor de servicios no tiene que utilizar el destino predeterminado. El vínculo que comienza el inicio de sesión único puede contener un parámetro de la consulta que especifica el destino.
- Permitir que el proveedor de identidad cree el identificador de nuevo usuarioSi el proveedor de servicios envía un mensaje AuthnRequest al proveedor de identidades para obtener una aserción, al activar esta casilla se establece el atributo AllowCreate en el mensaje AuthnRequest como true. El atributo AllowCreate indica al proveedor de identidades que genere un valor nuevo para NameID. La función AllowCreate se habilita en el proveedor de identidades. Este nuevo valor para NameID se incluye en la aserción.
- Perfil del cliente y proxy mejoradoActiva el procesamiento de solicitudes con el perfil de proxy del cliente y proxy mejorado (ECP) de SAML 2.0.
- Firmar solicitudes de autenticaciónIndica al Servidor de políticas en el proveedor de servicios que firme la AuthnRequest después de que se genere. Esta casilla de verificación es obligatoria si el proveedor de identidades necesita la AuthnRequests firmado. El servicio AuthnRequest redirige la AuthnRequest firmada a la dirección URL del servicio inicio de sesión único.
- El estado de transmisión invalida el destino(Opcional) Sustituye el valor especificado en el campo Destino por el valor del parámetro de la consulta Relay State para el inicio de sesión único iniciado por el proveedor de identidades o iniciado por el proveedor de servicios. Esta casilla de verificación le da más control sobre el destino porque gracias al parámetro de la consulta Relay State se puede definir dinámicamente el destino.
Enlaces
Esquema de autenticación de SAML 2.0: enlaces de artefactos
Bindings-Artifact (Artefacto Enlace)
Si el proveedor de servicios es compatible con el enlace de artefactos, configure los valores de configuración en esta sección. Para el inicio de sesión único de artefacto de SAML 2.0, los valores de configuración incluyen los siguientes:
- Artefacto
Define la configuración de perfil del Artefacto HTTP.
Artefacto HTTP
Habilita el enlace de artefactos (cuando está habilitado, los controles asociados siguientes se activan).
- Firmar ArtifactResolveIndica que el mensaje de resolución de artefacto necesita una firma. La solicitud recupera el mensaje de SAML original del proveedor de servicios.Si se selecciona esta casilla de verificación, el proveedor de identidades se configura para que exija un mensaje de resolución de artefacto firmado.El procesamiento de firma electrónica está habilitado para firmar el mensaje de resolución de artefacto.
- Anular ID de origen del proveedor de identidades generado por el sistemaLe permite especificar un ID de origen del proveedor de identidades en el campo asociado. El valor predeterminado es un hash SHA-1 del ID del proveedor de identidad. Los valores deben ser un número hexadecimal de 40 dígitos.
- Requerir ArtifactResponse firmadoIndica que el proveedor de servicios solamente acepta la respuesta del artefacto, que necesita estar firmada.Si se selecciona esta casilla de verificación, el proveedor de identidades se configura para firmar la respuesta del artefacto.El procesamiento de firma electrónica se habilita para procesar la respuesta firmada.
- ÍndiceSe habilita cuando se selecciona la casilla de verificación Artefacto HTTP, este campo asigna un parámetro AssertionConsumerServiceIndex al enlace de artefactos. Si se tienen varios puntos finales en una red federada, asigne un índice al servicio consumidor de aserciones. El valor del índice le dice al proveedor de identidades dónde enviar la respuesta. Introduzca un entero en el intervalo de 0-65535.
- Servicio de resoluciónEspecifica la dirección URL del servicio resolución de artefactos en el proveedor de identidades. La dirección URL predeterminada es:http://host:puerto/affwebservices/saml2artifactresolution
- ID del origenDefine el ID de origen del proveedor de identidades.El estándar de especificación de SAML define un ID del origen como un número binario de 20 bytes de codificación hexadecimal que identifica a la parte que emite la aserción. El proveedor de servicios utiliza este ID para identificar a un emisor de aserción.El valor ID del origen se genera automáticamente en función del valor del ID del proveedor de identidad, que se encuentra en los valores de configuración General del esquema de autenticación. Cuando se selecciona la opción Anular ID de origen del proveedor de identidades generado por el sistema, hay que introducir un valor que el proveedor de identidades proporciona en una comunicación fuera de banda.
SAML 2.0 Auth Scheme (Esquema de autenticación de SAML 2.0): enlaces y POST
Bindings-POST (Enlaces de POST)
Si el proveedor de servicios es compatible con el enlace de POST, configure los valores de configuración en esta sección. Para POST de SAML 2.0, los valores de configuración incluyen los siguientes:
- Enviar
- Método HTTP PostIndica que el enlace POST se habilita para el proveedor de identidades.
- Exigir política de un solo usoExige la política de un solo uso, impidiendo que las aserciones de SAML 2.0 se reutilicen en un proveedor de servicios para establecer una segunda sesión.
- ÍndiceSe habilita cuando se selecciona la casilla de verificación Método HTTP Post, este campo asigna un parámetro AssertionConsumerServiceIndex al enlace de artefactos. Si se tienen varios puntos finales en una red federada, asigne un índice al servicio consumidor de aserciones. El valor del índice le dice al proveedor de identidades dónde enviar la respuesta.Valor: 0 a 65535