Abilitazione dell'autenticazione SAML per CA SDM

Security Assertion Markup Language (SAML) è uno standard che consente agli utenti l'accesso alle applicazioni in base alle loro sessioni in un altro contesto. SSO SAML opera trasferendo l'identità dell'utente da una posizione (il provider di identità) a un altro (il provider di servizi). Ciò avviene tramite uno scambio di documenti XML con firma digitale.
casm173
Security Assertion Markup Language (SAML) è uno standard che consente agli utenti l'accesso alle applicazioni in base alle loro sessioni in un altro contesto. SSO SAML opera trasferendo l'identità dell'utente da una posizione (il provider di identità) a un altro (il provider di servizi). Ciò avviene tramite uno scambio di documenti XML con firma digitale.
Questo articolo spiega l'abilitazione dell'autenticazione SAML per CA Service Desk Manager per i seguenti server:
Prerequisiti
  1. Se si desidera utilizzare ADFS come provider di identità, è necessario installare ADFS su Windows Server 2012 R2 e versioni successive. Dopo aver completato l'installazione di ADFS e CA Service Desk Manager, è necessario configurare ADF con le seguenti informazioni relative a CA SDM:
    1. Durante la configurazione Add Relying Party Trust su ADFS, specificare quanto segue nella schermata
      Configura URL
      :
      • Selezionare la casella di controllo
        Abilita supporto del protocollo passivo WS-Federation
        .
      • In
        URL del protocollo passivo WS-Federation del componente
        : immettere il seguente valore:
        https://<SDM host name>:<https port>/CAisd/pdmweb.exe
      • Selezionare la casella di controllo
        Abilita supporto del protocollo SAML 2.0 WebSSO
        .
      • Immettere il valore in
        Componente URL del servizio SAML 2.0 SSO:
        come di seguito:
        https://<sdm host>:<https port>/CAisd/pdmweb.exe
    2. Durante l'aggiunta di regole di attestazione, specificare quanto segue nel passaggio di
      configurazione della regola di attestazione
      :
      • Nome regola attestazione
        Specificare un nome per la regola di attestazione. Ad esempio, Regola attestazione SDM.
      • Archivio attributi
        Selezionare l'origine dati dall'elenco a discesa. Ad esempio, Active Directory.
      • Attributo LDAP
        Selezionare
        Nome SAM account
        dall'elenco a discesa.
      • Tipo di attestazione in uscita
        Selezionarne
        Nome
        dall'elenco a discesa.
  2. Se si desidera utilizzare CA Single Sign-On (precedentemente noto come CA Siteminder), come provider di identità, procedere come segue:
    1. Avviare CA Single Sign-on con le credenziali di amministratore.
    2. Accedere a Federation Partnership Partnership Federation (Federazione di partnership Partnership di federazione) e fare clic su Partnership.
      Viene visualizzato l'elenco Federation Partnership (Partnership di federazione).
    3. Fare clic sul nome della partnership di federazione che si desidera utilizzare.
      Viene visualizzata la pagina delle proprietà delle partnership.
    4. Espandere la sezione delle restrizioni IP e verificare le proprietà degli attributi di asserzione.
    5. Il valore del campo Spazio dei nomi deve essere l'URI per la richiesta corrispondente. L'autenticazione SAML non funziona se il valore è Non specificato.
  3. Verificare che il certificato da utilizzare per configurare il provider di identità disponga di firma SHA 256.
  4. Verificare che l'SSL sia abilitato per CA SDM. Per ulteriori informazioni, consultare la sezione Abilitazione dell'autenticazione SSL per CA SM 17.3.
Abilitazione dell'autenticazione SAML per CA SDM su Tomcat
Attenersi alla procedura seguente:
  1. Configurare il file web.xml.
    1. Accedere alla cartella seguente e modificare il file:
      NX_ROOT\bopcfg\www\CATALINA_BASE\webapps\CAisd\WEB-INF\
      web.xml
    2. Copiare e incollare la seguente configurazione nell'istruzione
      <!-- Add filter here -->
      <filter>
      <filter-name>FederationFilter</filter-name>
      <filter-class>com.auth10.federation.WSFederationFilter</filter-class>
      <init-param>
      <param-name>login-page-url</param-name>
      <param-value>main.jsp</param-value>
      </init-param>
      <init-param>
      <param-name>exclude-urls-regex</param-name>
      <param-value>/images/|/js/|/css/</param-value>
      </init-param>
      </filter>
    3. Copiare e incollare la seguente configurazione nell'istruzione
      <!-- Add filter-mapping here -->
      :
      <filter-mapping>
      <filter-name>FederationFilter</filter-name>
      <url-pattern>/*</url-pattern>
      </filter-mapping>
    4. Salvare e chiudere il file.
  2. Configurare il file federation.properties.
    1. Accedere alla cartella seguente e modificare il file
      NX_ROOT\bopcfg\www\CATALINA_BASE\shared\resources\federation.properties
    2. Definire i seguenti dettagli relativi al provider di identità e CA Service Desk Manager
      1. federation.trustedissuers.issuer
        Definizione dell'URL del provider di identità
        Esempio:
        Siteminder
        http://<siteminderURL>/affwebservices/public/wsfeddispatcher
        ADFS
        https://<trusted_issuer_URL>/<identity_provider>/ls/idpinitiatedsignon.aspx
      2. federation.trustedissuers.thumbprint
        Definire il valore di identificazione personale del certificato fornito dal provider di identità. È necessario specificare l'impronta personale dalla sezione
        firma di token
        del certificato.
        Esempio:
        0214c3035d002505b9e5e672a117d9bf5c5d4d02
        Il certificato che si desidera utilizzare per configurare il provider di identità deve disporre di firma SHA-256.
        L'impronta usata dal certificato SHA-256 deve essere l'impronta SHA-1.
      3. federation.trustedissuers.friendlyname
        Definire un nome comune per il provider di identità.
        Esempio:
        ADFS
        TestIP - <trusted_issuer_URL>
        Siteminder
        TestIP
      4. federation.audienceuris
        Definire l'URI dell'applicazione da cui si desidera accettare i token.
        Esempio
        : https://<SDM_HOST>:<SDM_TOM_SSL_PORT>/CAisd/pdmweb.exe|https://<SDM_HOST>:<SDM_TOM_SSL_PORT>/CAisd/pdmweb.exe
      5. federation.realm
        Definire la posizione di invio dei token.
        Esempio:
        https://<SDM_HOST>:<SDM_TOM_SSL_PORT>/CAisd/pdmweb.exe
      6. federation.enableManualRedirect
        Definire se si desidera abilitare il reindirizzamento manuale del token. Impostare il valore True per abilitare il reindirizzamento manuale e impostare il valore False per disabilitare il reindirizzamento manuale.
        Impostazione predefinita:
        False.
      7. federation.reply
        Definire l'URL della posizione ricevente le risposte.
        Esempio:
        https://<SDM_HOST>:<SDM_TOM_SSL_PORT>/CAisd/pdmweb.exe
    3. Salvare e chiudere il file.
  3. Riavviare i servizi di CA Service Desk Manager.
  4. Avviare CA SDM e abilitare l'autenticazione utente esterno dall'interfaccia utente per il ruolo utente a cui si vuole consentire l'accesso SSO basato su SAML.
Abilitazione dell'autenticazione SAML per CA SDM su IIS
Attenersi alla seguente procedura:
  1. Verificare che Microsoft.NET Framework 4 sia installato sul server in cui è installato CA SDM. Per ulteriori informazioni, consultare la sezione Abilitazione dell'autenticazione SSL per CA SM 17.3. Per ulteriori informazioni, consultare la Documentazione di Microsoft sulla Configurazione di SSL su IIS.
  2. Aprire il file web.config in un editor. Il file è generalmente disponibile al percorso NX_ROOT\bopcfg\www\ wwwroot\.
  3. Individuare l'istruzione seguente nel file:
    <!-- To Enable SAML, Comment above code and Uncomment below code. -->
  4. Aggiungere un commento al codice visualizzato sopra l'istruzione nel file, ovvero aggiungere il tag <!-- all'inizio e il tag --> alla fine del codice.
  5. Rimuovere il codice che viene visualizzato sotto l'istruzione nel file, ovvero rimuovere il tag <!-- all'inizio e il tag --> alla fine del codice.
  6. Individuare le righe seguenti e sostituire il testo Definire l'URI dell'applicazione da cui si desidera accettare i token con http://<SDM host name>:<SSL Port>/CAisd/pdmweb.exe:
    <audienceUris>
    <add value="Define the URI of the application from where to accept the tokens" />
    </audienceUris>
    Esempio:
    <audienceUris>
    <add value="http://CAServiceDesk:443/CAisd/pdmweb.exe" />
    </audienceUris>
  7. Individuare le righe seguenti e modificare il valore dei parametri "add thumbprint" e "name". È necessario specificare l'impronta personale dalla sezione
    firma di token
    del certificato.
    <trustedIssuers>
    <add thumbprint="Define the value of the certificate thumbprint provided by the Identity Provider" name="Define a common name for the Identity Provider" />
    </trustedIssuers>
    Esempio:
    <trustedIssuers>
    <add thumbprint="bb89519f06dc7b1ab43871e1a3310eca893b94cb" name="sdmcomputer01.casm.local" />
    </trustedIssuers>
  8. Individuare le righe seguenti e modificare il valore dei parametri "issuer" , "realm", "reply" e "requireHttps":
    <federationConfiguration>
    <cookieHandler requireSsl="false" />
    <wsFederation passiveRedirectEnabled="true" issuer="Define the Identity Provider URL" realm="Define the location from where the tokens are sent" reply="Define the URL of the location that receives responses" requireHttps="true|false" />
    </federationConfiguration>
    1. issuer
      Definire l'URL del provider di identità.
      Esempio:
      ADFS:
      https://hostname.casm.local/adfs/ls/idpinitiatedsignon.aspx
      Siteminder:
      http://hostname:88/affwebservices/public/wsfeddispatcher
    2. realm
      Sostituire il testo
      realm="Define the location from where the tokens are sent"
      con
      realm="https://<SDM host name>:<SSL Port>/CAisd/pdmweb.exe
      "
      Esempio:
      realm="https://CAServiceDesk:443/CAisd/pdmweb.exe"
    3. reply
      Sostituire il testo
      reply="Define the URL of the location that receives responses"
      con reply="https://<
      nome host SDM
      >:<
      SSL Port
      >/CAisd/pdmweb.exe"
      Esempio:
      reply="https://CAServiceDesk:443/CAisd/pdmweb.exe"
    4. requireHttps
      Definire se l'https è true o false.
      True
      Specificare il valore
      true
      se
      l'URL del provider di identità è basato su https.
      Falso
      Specificare il valore
      false
      se
      l'URL del provider di identità è basato su http.
  9. Salvare e chiudere il file.
  10. Riavviare i servizi di CA Service Desk Manager.
  11. Avviare CA SDM e abilitare l'autenticazione utente esterno dall'interfaccia utente per il ruolo utente a cui si vuole consentire l'accesso SSO basato su SAML.
Abilitazione dell'autenticazione SAML per CA SDM su Apache
Attenersi alla procedura seguente:
  1. Assicurarsi che il protocollo HTTPS sia abilitato per
    CA Service Management
    . Per ulteriori informazioni, consultare la sezione Abilitazione dell'autenticazione SSL per CA SM 17.3
  2. Scaricare e installare Shibboleth Service Provider sul server Apache in cui è installato
    CA Service Management
    . È necessario scaricare Shibboleth Service Provider specifico per il sistema operativo in uso. Si consiglia di utilizzare Shibboleth Service Provider 2.6. Shibboleth Service Provider non supporta l'installazione su Solaris. Per ulteriori informazioni sull'installazione di Shibboleth e il download del software, consultare la documentazione di Shibboleth.
  3. Avviare il servizio Shibboleth.
  4. Avviare l'URL dei metadati del provider di identità in un browser e generare il file
    FederationMetadata.xml
    , copiare il percorso
    \etc\shibboleth\
    e rinominare il file come
    partner-metadata.xml
    . Ad esempio, se si utilizza ADFS come provider di identità, l'URL dei metadati è https://<ADFS server>/federationmetadata/2007-06/federationmetadata.xml
  5. Modificare il file Shibboleth2.xml come indicato di seguito. Il file è generalmente disponibile nel percorso: \etc\shibboleth\.
    1. Individuare le righe seguenti nel file e modificare i valori dei parametri "entity ID" (ID entità) e "REMOTE_USER" (Utente remoto).
      <
      ApplicationDefaults entityID="https://<SDM host name>:<SSL Port>" REMOTE_USER="<IdP claim user detail property>" cipherSuites="ECDHE+AESGCM:ECDHE:!aNULL:!eNULL:!LOW:!EXPORT:!RC4:!SHA:!SSLv2"
      >
      Esempio:
      <
      ApplicationDefaults entityID="https://CAServiceDesk:443"
      REMOTE_USER="smuser"
      cipherSuites="ECDHE+AESGCM:ECDHE:!aNULL:!eNULL:!LOW:!EXPORT:!RC4:!SHA:!SSLv2"
      >
    2. Individuare le righe seguenti nel file e modificare i valori dei parametri entity ID (ID entità).
      <SSO entityID="<URL of the Identity Provider> "
      discoveryProtocol="SAMLDS" discoveryURL="https://ds.example.org/DS/WAYF">
      SAML2 SAML1
      </SSO>
      Esempio:
      <SSO entityID="http://adfscomputer/adfs/services/trust"
      discoveryProtocol="SAMLDS" discoveryURL="https://ds.example.org/DS/WAYF">
      SAML2 SAML1
      </SSO>
    3. Aprire il file shibboleth.xml e sostituire il valore dell'ID entità con il valore ID entità disponibile nel file partner-metadata.xml.
    4. Individuare le righe seguenti e inserire un commento, ovvero aggiungere il tag <!-- all'inizio e il tag --> alla fine del codice, se non è già stato aggiunto un commento.
      <!-- Example of remotely supplied batch of signed metadata. -->
      <!--
      <MetadataProvider type="XML" validate="true"
      uri="http://example.org/federation-metadata.xml"
      backingFilePath="federation-metadata.xml" reloadInterval="7200">
      <MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/>
      <MetadataFilter type="Signature" certificate="fedsigner.pem"/>
      <DiscoveryFilter type="Blacklist" matcher="EntityAttributes" trimTags="true"
      attributeName="http://macedir.org/entity-category"
      attributeNameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
      attributeValue="http://refeds.org/category/hide-from-discovery" />
      </MetadataProvider>
      -->
    5. Aggiungere le seguenti righe sotto il codice commentato come spiegato in precedenza.
      <!-- Example of locally maintained metadata. -->
      <MetadataProvider type="XML" validate="false" file="partner-metadata.xml"/>
  6. Aprire il file attribute-map.xml dal percorso: ../etc/shibboleth/ e modificare il file come indicato di seguito:
    Aggiungere le seguenti righe all'inizio del file.
    <Attribute name="<IdP claim to send to the relying party>" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified" id="<IdP claim to send to the relying party>"/>
    Esempio:
    <Attribute name="smuser" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified" id="smuser"/>
    Nota:
    durante la creazione di Relying Party Trust usando ADFS Shibboleth, i metadati necessari per il caricamento su ADFS possono essere reperiti avviando l'URL dei metadati del provider di servizi. Ad esempio, https://<Shibboleth Server Name>/Shibboleth.sso/Metadata.
  7. Aprire il file httpd.conf e modificarlo nel modo seguente. Il file è generalmente disponibile nel percorso:
    etc/httpd/conf/
    . Aggiungere le seguenti righe alla fine del file:
    #Shibboleth configuration
    LoadModule mod_shib /usr/lib64/shibboleth/mod_shib_22.so
    <Location /Shibboleth.sso>
    SetHandler shib
    </Location>
    <Location />
    AuthType shibboleth
    ShibRequestSetting requireSession 1
    Require valid-user
    ShibUseHeaders Off
    </location>
  8. Riavviare il servizio Shibboleth.
  9. Riavviare il server Apache.
  10. Avviare CA SDM e abilitare l'autenticazione utente esterno dall'interfaccia utente per il ruolo utente a cui si vuole consentire l'accesso SSO basato su SAML.