Configuration des entités WS-Federation

casso1283
HID_wsfed-entity
Sommaire
La plupart des paramètres suivants sont communs aux entités WS-Federation locales et distantes.
  • ID de l'entité
    Permet d'identifier l'entité de fédération d'un partenaire. L'ID d'entité est un identificateur universel, tel qu'un nom de domaine. Si l'ID d'entité représente un
    partenaire distant
    , cette valeur doit être unique. S'il représente un
    partenaire local
    , vous pouvez le réutiliser dans le même système. Par exemple, si l'ID d'entité représente une entité générant des assertions locale, vous pouvez utiliser ce même ID dans plusieurs partenariats.
    Un ID d'entité qui représente un partenaire distant peut uniquement appartenir à un partenariat actif unique.
    Valeur :
    URI (URL recommandée)
    Suivez les instructions suivantes :
    • L'ID d'entité doit être un URI, mais une URL absolue est recommandée.
    • Si l'ID d'entité est une URL :
      • La partie hôte de l'URL doit être un nom appartenant au domaine DNS principal de l'organisation.
      • L'URL ne doit pas contenir de numéro de port, de chaîne de requête ou d'identificateur de fragment.
    • N'utilisez pas d'esperluette (&) dans l'ID d'entité, car ce caractère est reconnu comme un paramètre de requête distinct.
    • Ne spécifiez pas un URN.
    • L'ID d'entité pour un partenaire distant doit être unique afin d'éviter les conflits de nom au sein de la fédération.
      Exemples d'ID d'entité valides
Nomme l'objet d'entité dans le référentiel de stratégies. Le nom d'entité doit être une valeur unique. 
SiteMinder
 utilise le nom d'entité en interne pour distinguer une entité à un site spécifique. Cette valeur n'est pas utilisée en externe et le partenaire distant ne tient pas compte de cette valeur.
Le nom de l'entité peut avoir la même valeur que l'ID de l'entité, mais cette valeur ne sera pas partagée avec aucune autre entité sur ce site.
Valeur :
une chaîne alphanumérique
Exemple :
Partner1
  • Description
Permet de spécifier des informations supplémentaires pour décrire l'entité.
Valeur :
chaîne alphanumérique de 1 024 caractères maximum
  • URL de base
Spécifie l'emplacement de base du serveur qui est visible par certains utilisateurs de la fédération. En général, ce serveur contient
SiteMinder
. Il peut également faire office d'URL du serveur hébergeant les services de fédération. L'URL de base permet à
SiteMinder
de générer des URL relatives dans d'autres parties de la configuration, afin de la rendre plus efficace.
Vous pouvez modifier cette adresse de base. Par exemple, vous pouvez configurer des hôtes virtuels pour le système
SiteMinder
. Un hôte virtuel gère les communications de l'interface d'administration. L'autre gère le trafic utilisateur traité par le serveur Web Apache intégré. Dans ce cas, vous pouvez modifier l'adresse de base de sorte à ce qu'elle pointe uniquement vers le serveur et le port HTTP du serveur Web Apache.
Valeur :
URL valide
Pour modifier ce champ, tenez compte des directives importantes suivantes :
    • Si vous modifiez l'adresse de base, aucune barre oblique ne doit être placée à la fin de celle-ci. Cela donnerait lieu à un ajout de deux barres obliques à d'autres URL utilisant cette adresse de base.
    • Lors de l'utilisation de la prise en charge du basculement, la valeur de ce champ correspond au nom d'hôte et au port du système gérant le basculement vers les autres systèmes. Ce système peut être un équilibreur de charge ou un serveur proxy.
  • ID de suppression d'ambiguïté (entités locales de partenaire de ressource et de fournisseur d'identités)
    Définissez cet ID uniquement lorsqu'il existe plusieurs partenariats entre la même adresse IP et le même partenaire de ressources. L'ID de suppression d'ambiguïté est utile lorsque plusieurs unités commerciales dans une organisation disposent de leur propre relation avec un partenaire distant alors que chaque unité compte sur une infrastructure de fédération partagée.
    Vous ne pouvez pas avoir plusieurs partenariats avec la même adresse IP ou le même ID de partenaire de ressources. Si un partenaire distant utilise un ID de fournisseur de ressources unique,
    SiteMinder
    doit pouvoir distinguer les demandes d'authentification unique. L'ID de suppression d'ambiguïté permet au système de différencier les partenariats grâce à un suffixe de chemin d'accès logique unique pour les URL de service de fédération, tels que le service d'authentification unique.
    Par exemple, les services de ventes et des finances recherchent un partenariat avec Salesforce.com. Les deux partenariats utilisent le même ID de fournisseur de ressources pour ForwardInc.com. Pour l'entité locale dans chaque partenariat, ajoutez un ID de suppression d'ambiguïté "ventes" et "finances" respectivement.
    Exemple l'URL SSO :
    http://
    serveur:port
    /affwebservices/public/wsfeddispatcher?RPID=http://forwardinc.com
    est remplacée par les URL suivantes dans deux partenariats différents :
    http://serveur:port/affwebservices/public/wsfeddispatcher/sales?RPID=http://forwardinc.com
    http://serveur:port/affwebservices/public/wsfeddispatcher/finance?RPID=http://forwardinc.com
    Il existe un seul service d'authentification unique, mais le suffixe et l'ID du fournisseur de ressources créent une clé de recherche de partenariat unique.
    L'existence de deux partenariats affecte également l'URL du consommateur d'assertions fournie par le fournisseur de ressources. Gérez la configuration de cette URL de l'une des façons suivantes :
    • Utilisez le même ID de fournisseur d'identités dans les deux partenariats. Un fournisseur d'identités local peut être lié à plusieurs fournisseurs de ressources distants. Pour cette configuration, le fournisseur de ressources doit fournir deux URL de consommateur d'assertions différentes pour permettre d'identifier le client hébergé auquel l'assertion s'adresse. Exemple :
      https://casales.salesforce.com/public/wsfedConsumer
      https://cafinance.salesforce.com/public/wsfedConsumer
    • Utilise des ID de fournisseurs d'identités différents pour chaque partenariat. Le fournisseur de ressources peut alors fournir la même URL de consommateur d'assertions, car l'ID du fournisseur d'identités distingue l'expéditeur de l'assertion.
    Valeur :
    Entrez une chaîne alphanumérique, mais n'utilisez pas de caractères spéciaux.
  • URL du service de demandeur passif distant (fournisseur d'identités distant)
    Identifie l'URL du service de demandeur passif pour le fournisseur d'identités distant. Les demandeurs passifs sont des navigateurs Web ou des applications qui prennent en charge le protocole HTTP. Ce service fournit les jetons de sécurité qui vérifient la légitimité du demandeur revendiqué.
  • URL de confirmation de déconnexion (fournisseur d'identités local)
    Spécifie l'URL du fournisseur d'identités effectuant la déconnexion.
    Par défaut :
    http://
    serveur_ip:port
    /affwebservices/signoutconfirmurl.jsp
    serveur_fournisseur_identités:port
    Spécifie le serveur et le numéro de port du système du fournisseur d'identités. Le système héberge le pack d'options d'agent Web ou la passerelle de fédération, en fonction du composant installé dans votre réseau de fédérations.
    Le fichier signoutconfirmurl.jsp est inclus avec le pack d'options d'agent Web ou la passerelle de fédération. Vous pouvez déplacer cette page du répertoire par défaut à l'emplacement du moteur de servlet pour permettre aux services Web de fédération d'y accéder.
     
  • URL de déconnexion distante (partenaire de ressource distant)
    Spécifie l'URL du service de déconnexion du partenaire de ressource distant. URL par défaut :
    https://
    service_partenaire_ressource:port
    /affwebservices/public/wsfeddispatcher
    Le service WSFedDispatcher reçoit tous les messages WS-Federation entrants et transmet le traitement des demandes au service approprié en fonction des données de paramètre de requête. Même en cas de disponibilité d'un service wsfedsignout, utilisez l'URL de wsfeddispatcher pour l'URL de déconnexion.
  • URL du service de jeton de consommateur de sécurité distant (partenaire de ressource distant)
    Spécifie l'URL du service de jeton pour le partenaire distant. Ce service reçoit les messages de réponse des jetons de sécurité et extrait l'assertion. Emplacement par défaut du service :
    https://
    serveur_partenaire_ressource:port
    /affwebservices/public/wsfeddispatcher
    serveur_partenaire_ressource:port
    Identifie le serveur Web et le port au niveau du partenaire de ressource hébergeant le pack d'options d'agent Web ou la passerelle de fédération. Ces composants fournissent l'application de services Web de fédération.
    Le service WSFedDispatcher reçoit tous les messages WS-Federation entrants et transmet le traitement des demandes au service approprié en fonction des données de paramètre de requête. Bien qu'un service wsfedsecuritytokenconsumer existe, le service wsfeddispatcher est recommandé pour l'entrée dans ce champ.
Paramètres de signature
Les options de signature définissent les modes de signature pour l'authentification unique. Cette section contient les différents paramètres, selon l'entité.
  • Alias de signature de clé privée (fournisseur d'identités local uniquement)
    (Facultatif) Spécifie l'alias associé à une clé privée dans le référentiel de données de certificat. Si vous remplissez ce champ, vous indiquez la clé privée que l'entité générant des assertions utilisera pour signer les assertions.
    Si la clé que vous voulez utiliser ne figure pas déjà dans le référentiel de données de certificat, vous pouvez cliquer sur Importer pour l'importer avant de poursuivre.
    Remarque :
    La clé privée doit déjà figurer dans le référentiel de données de certificat avant de spécifier son alias associé dans ce champ.
    Valeur :
    sélectionnez une valeur dans la liste déroulante.
     
  • Alias de certificat de vérification (fournisseur d'identités et partenaire de ressource distants)
    (Facultatif) Spécifie l'alias associé à un certificat spécifique (clé publique) dans le référentiel de données de certificat. Cet alias indique au serveur de stratégies le certificat à utiliser pour vérifier les assertions signées.
    Pour importer un certificat si la clé recherchée n'est pas disponible, cliquez sur Importer ou sélectionnez un alias dans la liste déroulante.
    Remarque :
    Le certificat doit figurer dans le référentiel de données de certificat avant de spécifier son alias associé.
    Valeur :
    sélectionnez une valeur dans la liste déroulante.
Attributs et formats d'ID de nom pris en charge
casso1283
La section Attributs et formats d'ID de nom pris en charge :
  • Répertorie tous les formats d'ID de nom pris en charge par l'entité.
    L'identificateur de nom donne un nom unique à l'utilisateur dans l'assertion et spécifie les attributs à inclure dans l'assertion. Le format de l'identificateur de nom établit le type de contenu utilisé pour l'ID. Par exemple, le format peut être le nom unique d'utilisateur, auquel cas le contenu peut être un UID.
  • Pour l'entité générant des assertions, spécifiez les attributs à inclure dans une assertion.
    Les attributs ajoutés à une assertion peuvent identifier davantage un utilisateur et activer une application utilisant l'assertion à personnaliser pour chaque utilisateur.
Attributs et formats d'ID de nom pris en charge
Parmi les options suivantes, sélectionnez tous les formats applicables : Pour sélectionner tous les formats, cliquez sur Sélectionner les formats d'ID de nom.
Pour obtenir la description de chaque format, consultez la spécification du profil SAML ou WS-Federation.
  • Attributs d'assertion pris en charge
    Spécifie les attributs que le producteur inclut dans l'assertion. Pour inclure un attribut dans la table, cliquez sur Ajouter. La table inclut les colonnes suivantes :
  • Attribut d'assertion
    Indique l'attribut spécifique dans l'assertion.
    Valeur :
    nom d'un attribut d'assertion valide
  • Espace de noms
    Désigne une collection qui identifie de manière unique des noms.
    Valeur :
    un nom d'espace de noms
  • Supprimer
    Pour supprimer l'entrée de la table, cliquez sur l'icône.