Profiles SAML de partenaire de ressource
La boîte de dialogue profil SAML vous permet de configurer l'authentification unique et la déconnexion groupée entre le partenaire de compte et le partenaire de ressource.
casso1283
HID_wsfed-rp-saml-profiles
La boîte de dialogue profil SAML vous permet de configurer l'authentification unique et la déconnexion groupée entre le partenaire de compte et le partenaire de ressource.
Les paramètres d'authentification unique sont les suivants :
- Méthode d'authentificationIndique la méthode d'authentification de l'utilisateur sur le partenaire de compte. Sélectionnez une méthode d'authentification dans la liste déroulante.Le partenaire de compte inclut la méthode d'authentification dans l'assertion sous la forme d'une chaîne d'URI.La valeur que vous sélectionnez pour ce champ doit correspondre au schéma d'authentification qui protège l'URL d'authentification. Vous spécifiez l'URL d'authentification dans les paramètres généraux pour ce partenaire de compte. Par exemple, si l'URL d'authentification est protégée avec un schéma d'authentification de certificat X.509, sélectionnez un certificat SSL ou TLS pour ce champ.La méthode d'authentification que vous sélectionnez doit également être conforme au niveau d'authentification que vous configurez sur cette page. Par exemple, vous sélectionnez un modèle de base basé sur un certificat de client X.509 comme schéma d'authentification qui protège l'URL d'authentification. Le niveau de protection par défaut pour ce modèle est 15. Toutefois, la méthode d'authentification par défaut pour la configuration d'authentification unique du partenaire de ressource s'effectue par mot de passe. Si vous maintenez le mot de passe comme méthode d'authentification, le partenaire de compte ajoute l'URI suivant à l'assertion :urn:oasis:names:tc:SAML:1.0:am:classes:password
- Service de consommateur de jetons de sécuritéSpécifie l'URL du service du partenaire de ressource qui reçoit les messages de réponse de jeton de sécurité et extrait l'assertion. Emplacement par défaut du serviceSiteMinder:https://serveur_partenaire_ressource:port/affwebservices/public/wsfeddispatchercasso1283serveur_partenaire_ressource:portIdentifie le serveur Web et le port au niveau du partenaire de ressource hébergeant le pack d'options d'agent Web ouAccess Gateway.Ces composants fournissent l'application de services Web de fédération.Le service WSFedDispatcher reçoit tous les messages WS-Federation entrants et transmet le traitement des demandes au service approprié en fonction des données de paramètre de requête. Bien qu'un service wsfedsecuritytokenconsumer existe, le service wsfeddispatcher est recommandé pour l'entrée dans ce champ.
- Durée de validité en secondesSpécifie un nombre de secondes (un nombre entier positif) indiquant la validité d'une assertion. La valeur par défaut est 60 secondes.Dans un environnement de test, si le message suivant se trouve dans le journal de suivi du serveur de stratégies, augmentez la durée de validité au-delà de 60 secondes.Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237) - current time (Fri Sep 09 17:28:33EDT 2011) is after SessionNotOnOrAfter time (Fri Sep 09 17:28:20 EDT 2006)
- Niveau d'authentification (0-1000)Permet de spécifier le niveau minimum auquel l'utilisateur doit être authentifié pour accéder à un domaine d'authentificationSiteMinder.Lorsqu'un utilisateur demande une ressource fédérée, il doit avoir une sessionSiteMinderouverte. Sans quoi,SiteMinderle redirigera vers l'URL d'authentification pour établir une session. L'utilisateur peut avoir une session ouverte, mais avec un niveau de protection inférieur au niveau d'authentification spécifié dans cette boîte de dialogue. Dans ce cas,SiteMinderredirigera l'utilisateur vers l'URL d'authentification pour établir une nouvelle session.Le schéma d'authentification protégeant l'URL d'authentification est configuré avec un niveau de protection spécifique. Le niveau de protection doit être égal ou supérieur à la valeur indiquée dans le champ Niveau d'authentification de cette page. Si l'utilisateur est authentifié à ce niveau, le partenaire de compte lui génère une assertion. Si le niveau de protection de l'URL d'authentification est inférieur à la valeur indiquée dans le champ Niveau d'authentification,SiteMinderne générera aucune assertion.
La section de déconnexion permet d'activer la fonctionnalité de déconnexion WS-Federation. La déconnexion permet de fermer toutes les sessions d'un utilisateur particulier au niveau de chaque partenaire de ressource où l'utilisateur a une session ouverte.
Les paramètres de déconnexion sont les suivants :
- Activer la déconnexionPermet d'activer la fonctionnalité de déconnexion WS-Federation pour le partenaire de ressource.
- URL de nettoyage de déconnexionPermet de spécifier une URL au niveau du partenaire de ressource où le navigateur est redirigé pour fermer la session d'utilisateur.Après la suppression de la session d'utilisateur au niveau du partenaire de compte et de tous les sites de partenaire de ressource, les services Web de fédérations redirigent l'utilisateur vers l'URL de nettoyage de déconnexion. Si la déconnexion est initialisée au niveau du partenaire de ressource, la page de confirmation de déconnexion doit être une ressource non protégée au même niveau. Si la déconnexion est initialisée au niveau d'un site de partenaire de compte, la page de confirmation de déconnexion doit être une ressource non protégée au même niveau.
- URL de confirmation de déconnexionSpécifie l'URL au niveau du fournisseur de comptes vers laquelleSiteMinderenvoie le message de déconnexion. Il s'agit également de l'URL vers laquelle sont envoyés les emplacements de nettoyage de fournisseur de ressource sous forme de données d'envoi dans la page JSP SignoutConfirm. URL par défaut :http://ap_server:port/affwebservices/public/signoutconfirmurl.jspserveur_partenaire_compte:portPermet de spécifier le serveur et le numéro de port du système au niveau du partenaire de compte. Le système héberge le pack d'options d'agent Web ou la passerelle de fédération, en fonction du composant installé dans votre réseau de fédérations.Le fichier signoutconfirmurl.jsp est inclus avec le pack d'options d'agent Web ou la passerelle de fédération. Vous pouvez déplacer cette page à partir du répertoire par défaut. Dans ce cas, placez-le à un emplacement dans lequel le moteur de servlets des services Web de fédérations puisse accéder à la page.