Perfiles de SAML del partner de recursos
En el cuadro de diálogo Perfil de SAML puede configurar el cierre de sesión y el inicio de sesión único (SSO) entre el partner de la cuenta y el partner de recursos.
casso1283
HID_wsfed-rp-saml-profiles
En el cuadro de diálogo Perfil de SAML puede configurar el cierre de sesión y el inicio de sesión único (SSO) entre el partner de la cuenta y el partner de recursos.
Los valores de configuración de inicio de sesión único son los siguientes:
- Método de autenticaciónIndica cómo se autenticó el usuario en el partner de la cuenta. Seleccione un método de autenticación de la lista desplegable.El partner de la cuenta incluye el método de autenticación en la aserción en forma de cadena de URI.El valor que se selecciona para este campo debe corresponder al esquema de autenticación que protege la dirección URL de la autenticación. Especifique la dirección URL de la autenticación en los valores de configuración General para este partner de la cuenta. Por ejemplo, si la dirección URL de la autenticación se protege con un esquema de autenticación de certificado X.509, seleccione el certificado SSL/TLS para este campo.El método de autenticación que se selecciona debe ser también adecuado para el nivel de autenticación que se configura en esta página. Por ejemplo, seleccione la plantilla de certificado de cliente X509 o de credenciales básicas para el esquema de autenticación que protege la dirección URL de la autenticación. El nivel de protección predeterminado para esta plantilla es de 15. Sin embargo, el método de autenticación predeterminado para la configuración de inicio de sesión único del partner de recursos es Contraseña. Si se mantiene Contraseña como el método de autenticación, el partner de la cuenta agrega el URI siguiente a la aserción:urn:oasis:names:tc:SAML:1.0:am:classes:password
- Servicio consumidor de tókenes de seguridadEspecifica la dirección URL del servicio en el partner de recursos que recibe mensajes de respuesta de tókenes de seguridad y extrae la aserción. La ubicación predeterminada del servicio deSiteMinderes:https://servidor_rp:puerto/affwebservices/public/wsfeddispatchercasso1283servidor_rp:puertoIdentifica el servidor web y el puerto en el partner de recursos que aloja el Pack de opciones del Agente web oAccess Gateway.Estos componentes proporcionan la aplicación de servicios web de la Federación.El servicio WSFedDispatcher recibe todos los mensajes entrantes de WS-Federation y reenvía el procesamiento de la solicitud al servicio adecuado en función de los datos del parámetro de la consulta. Aunque hay un servicio wsfedsecuritytokenconsumer, se recomienda el servicio wsfeddispatcher como entrada para este campo.
- Duración de la validez en segundosEspecifica un número de segundos (un entero positivo) durante los cuales una aserción es válida. El valor predeterminado es 60 segundos.En un entorno de prueba, si el mensaje siguiente está en el registro de seguimiento del Servidor de políticas, aumenta la duración de la validez por encima de 60.Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237) - current time (Fri Sep 09 17:28:33EDT 2011) is after SessionNotOnOrAfter time (Fri Sep 09 17:28:20 EDT 2006)
- Nivel de autenticación [0-1000]Especifica el nivel mínimo en el que el usuario debe haberse autenticado para obtener acceso a un territorio deSiteMinder.Cuando un usuario solicita un recurso federado, debe tener una sesión deSiteMinder. Si un usuario no tiene una sesión,SiteMinderredirige el usuario a la dirección URL de la autenticación para establecer una sesión. Es posible que el usuario tenga una sesión, pero el nivel de protección es menor que el nivel de autenticación especificado en este cuadro de diálogo. En este caso,SiteMinderredirige el usuario a la dirección URL de la autenticación para restablecer una sesión.El esquema de autenticación que protege la dirección URL de la autenticación se configura con un nivel de protección particular. El nivel de protección debe ser igual o mayor que el nivel del campo Nivel de autenticación de esta página. Si el usuario se ha autenticado en este nivel, el partner de la cuenta genera una aserción para el usuario. Si el nivel de protección para la dirección URL de autenticación es menor que el nivel que figura en el campo Nivel de autenticación,SiteMinderno genera ninguna aserción.
La sección de cierre de sesión le permite habilitar la función de cierre de sesión de WS-Federation. Con el cierre de sesión se terminan todas las sesiones de un usuario concreto en cada partner de recursos donde el usuario tiene una sesión.
Los valores de configuración del cierre de sesión son los siguientes:
- Habilitar cierre de sesiónActiva la función de cierre de sesión de WS-Federation para el partner de recursos.
- Dirección URL de limpieza del cierre de sesiónEspecifica una dirección URL en el partner de recursos a la que el explorador redirige para terminar la sesión del usuario.Después de que la sesión de usuario se elimina en el partner de la cuenta y en todos los sitios del partner de recursos, los servicios web de la federación redirigen el usuario a la dirección URL de limpieza del cierre de sesión. Si el cierre de sesión se inicia en el partner de recursos, la página de confirmación de desconexión debe ser un recurso no protegido en el partner de recursos. Si el cierre de sesión se inicia en el partner de la cuenta, la página de confirmación de desconexión debe ser un recurso no protegido en el sitio del partner de la cuenta.
- Dirección URL de confirmación del cierre de sesiónEspecifica la dirección URL en el proveedor de la cuenta a la queSiteMinderenvía el mensaje de cierre de sesión. Esta dirección URL se utiliza también para enviar las ubicaciones de limpieza del proveedor de recursos como datos de POST a la página SignoutConfirm JSP. La dirección URL predeterminada es:http://servidor_ap:puerto/affwebservices/public/signoutconfirmurl.jspap_server:portEspecifica el servidor y el número de puerto del sistema en el partner de la cuenta. El sistema aloja el paquete de opciones del Agente web o la puerta de enlace de la federación, en función de los componentes instalados en la red de la federación.El archivo signoutconfirmurl.jsp se instala con el paquete de opciones del Agente web o la puerta de enlace de la federación. Se puede mover esta página del directorio predeterminado. En este caso póngala en una ubicación donde el motor del servlet para los servicios web de la federación pueda acceder a la página.