Partenaire de ressource - Paramètres généraux
Cette boîte de dialogue permet de spécifier les informations d'identité pour le partenaire de compte et le partenaire de ressource.
casso1283
HID_wsfed-rp-general
Cette boîte de dialogue permet de spécifier les informations d'identité pour le partenaire de compte et le partenaire de ressource.
Paramètres généraux
La page Général contient les paramètres suivants :
- nomNom du partenaire de ressource Ce nom doit être unique pour tous les domaines affiliés.
- ID de partenaire de ressourceSpécifie un URI qui identifie de façon univoque le partenaire de ressource, comme rp.example.com.
- URL d'authentification: URL protégée utilisée par la fédération pour l'authentification des utilisateurs et pour la création d'une session lorsqu'une ressource protégée est demandée. Si le mode d'authentification est défini sur Local et qu'un utilisateur ne s'est pas connecté au niveau de l'entité générant des assertions, il sera dirigé vers cette URL.Cette adresse URL doit pointer vers le fichier redirect.jsp, sauf si vous sélectionnez la case à cocher Utiliser une URL sécurisée. Exemple : http://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jspmyserverIdentifie le serveur Web contenant le pack d'options d'agent Web ou la passerelle de fédération. Le fichier redirect.jsp est inclus dans le pack d'options d'agent Web ou la passerelle de fédération installés au niveau de l'entité générant des assertions.Protégez l'URL d'authentification à l'aide d'une stratégie de contrôle d'accès. Configurez un schéma d'authentification, un domaine d'authentification et une règle pour la stratégie. Pour ajouter des attributs de référentiel de session à l'assertion, activez la case à cocher Conserver les variables de session d'authentification, qui constitue un paramètre dans le schéma d'authentification.
- casso1283ActifIndique si la configuration de fédération héritée est en cours d'utilisation pour un partenariat spécifique. Si le serveur de stratégies utilise la configuration de fédération héritée, confirmez que vous avez sélectionné cette case à cocher. Si vous avez recréé un partenariat fédéré avec des valeurs similaires pour les paramètres d'identité (ID de source, etc.) désactivez cette case à cocher avant d'activer le partenariat fédéré.SiteMinderne fonctionne pas avec les configurations héritées et les configurations de partenariat qui utilisent les mêmes valeurs d'identité, car cela entraîne un conflit de noms.
- Marge temporelleSpécifie le nombre de secondes à déduire du temps actuel pour tenir compte des horloges des partenaires de ressource qui ne sont pas synchronisées avec le partenaire de compte.Entrez le nombre de secondes sous la forme d'un nombre entier positif.
- Description(Facultatif) Brève description du partenaire de ressource.
- ID de partenaire de compteSpécifie un URI qui identifie de façon univoque le partenaire de compte, comme ap-ca.com. Cet ID devient la valeur du champ Emetteur dans l'assertion SAML.
- URL de l'application(Facultatif) URL protégée pour une application Web personnalisée utilisée pour fournir des attributs d'utilisateur au service d'authentification unique. L'application peut être installée sur n'importe quel hôte de votre réseau.Les attributs de l'application Web spécifiés dans ce champ sont placés dans l'assertion SAML par un module d'extension de générateur d'assertions. Créez le module d'extension, puis intégrez-le avecSiteMinder.L'application de services Web de fédérations fournit des exemples d'applications Web que vous pouvez utiliser comme référence pour votre application Web.Ces applications se trouvent aux emplacements suivants :http://serveur_partenaire_compte:port/affwebservices/public/sample_application.jsphttp://serveur_partenaire_compte:port/affwebservices/public/unsolicited_application.jspserveur_partenaire_compte:portPermet de spécifier le serveur et le numéro de port du système au niveau du partenaire de compte. Le système héberge le pack d'options d'agent Web ou la passerelle de fédération, en fonction du composant installé dans votre réseau de fédérations.
- Utiliser une URL sécuriséeIndique au service d'authentification unique qu'il doit chiffrer uniquement le paramètre de requête SMPORTALURL.Un paramètre SMPORTALURL chiffré empêche un utilisateur malveillant de modifier la valeur et de rediriger des utilisateurs authentifiés vers un site Web malveillant.Le paramètre SMPORTALURL est ajouté à l'URL d'authentification avant la redirection de l'utilisateur par le navigateur dans le cadre de l'ouverture d'une session. Une fois l'utilisateur authentifié, le navigateur dirige à nouveau l'utilisateur vers la destination spécifiée dans le paramètre de requête SMPORTALURL.Si vous sélectionnez la case Utiliser une URL sécurisée, procédez comme suit :1. Définissez le champ URL d'authentification sur l'URL suivante : http(s)://serveur_fournisseur_identités:port/affwebservices/secure/secureredirect.2. Protégez le service Web secureredirect à l'aide d'une stratégie.Si l'entité générant des assertions gère plusieurs partenaires de confiance, elle authentifie probablement des utilisateurs différents pour ces divers partenaires. Par conséquent, pour chaque URL d'authentification utilisant le service secureredirect, vous devez inclure ce service Web dans un domaine d'authentification différent pour chaque partenaire.Pour associer le service secureredirect à différents domaines, modifiez le fichier web.xml et créez des mappages de ressources différents. Ne copiez pas le service Web secureredirect dans différents emplacements de votre serveur. Recherchez le fichier web.xml sousrépertoire_installation_agent_Web/affwebservices/WEB-INF, oùrépertoire_installation_agent_Webest l'emplacement d'installation de l'agent Web.
- Domaine affiliéRépertorie le domaine affilié dans lequel cette entité est incluse.
Les paramètres généraux incluent également les sections suivantes :
- RestrictionsPermet de configurer l'adresse IP et les restrictions liées à l'heure de la stratégie de génération d'assertion pour le partenaire de ressource.
- Heure
- DéfinirOuvre la boîte de dialogue Heure qui vous permet de configurer la disponibilité du partenaire de ressource. Lorsque vous ajoutez une restriction liée à l'heure, le partenaire de ressource fonctionne uniquement pendant la période spécifiée.
- Effacer
- Adresses IP
- AjouterOuvre une boîte de dialogue Add IP Address (Ajouter une adresse IP) qui vous permet de créer une restriction liée à l'adresse IP.
Partenaire de ressource - Informations de vérification de signature numérique
Informations de vérification de la signature numérique
Active la signature numérique.
- Désactiver le traitement des signaturesDésactive tous les traitements de signature pour ce partenaire de ressource (signature et vérification des signatures).Le traitement des signatures est requis dans un environnement de production. Sélectionnez cette option à des fins de débogage uniquement.
- Alias de signature(Facultatif) Spécifie l'alias associé à une clé privée dans le référentiel de données de certificat. En remplissant ce champ, vous spécifiez la clé privée que le partenaire de compte utilise pour signer des assertions ou des réponses d'assertion.Assurez-vous que la clé privée se trouve dans le référentiel de données avant de spécifier son alias associé dans ce champ.Valeur :une chaîne de caractères alphanumériques.
Partenaire de ressource - Paramètres avancés
La section Avancé vous permet de configurer un module d'extension de générateur d'assertions personnalisé. L'API de module d'extension de générateur d'assertions vous permet de développer le module d'extension. Cette tâche est facultative.
Le module d'extension de générateur d'assertions inclut les champs suivants :
- Nom de classe JavaSpécifie le nom de classe Java complet du module d'extension de générateur d'assertions.
- ParamètresPermet de spécifier une chaîne de paramètres queSiteMindertransfère au module d'extension spécifié.