Esportazione dei metadati da un provider di identità locale SAML 2.0

Sommario
casso13it
HID_export-local-asserting-partnership
Sommario
La finestra di dialogo Esporta metadati consente di selezionare una voce di partnership o di entità locale e di esportare i dati in un file di metadati. Il relying party può quindi importare il file e creare partnership.
I metadati dipendono dal livello dell'entità in quanto SAML non prevede il concetto di partnership. Tuttavia, l'obiettivo finale dell'utilizzo dei metadati è creare una partnership.
Nota
: malgrado la presenza di dati a livello di partnership aggiunti al file di metadati, i metadati acquisiscono solo un sottoinsieme di dati obbligatori per una partnership.
La finestra di dialogo visualizza le informazioni seguenti esportate in un file di metadati:
È possibile cambiare i dati modificando la partnership o l'entità prima di eseguire l'esportazione.
Identificazione (esportazione da provider di identità SAML 2.0)
casso13it
La sezione Identificazione permette di assegnare un nome alla partnership da cui eseguire l'esportazione.
Durante l'esportazione di metadati da un'entità,
CA Single Sign-on
crea automaticamente una partnership predefinita per l'esportazione. La partnership predefinita viene generata per i seguenti motivi:
  • Alcuni elementi di metadati non sono inclusi nel modello dell'entità ed esistono solo nella partnership.
  • Dopo l'esportazione, la partnership corrisponde ai metadati esportati, che è possibile utilizzare per completare la configurazione della partnership in un secondo momento.
Nota
se si esporta una partnership e l'entità locale di partnership è l'entità di generazione asserzioni, viene visualizzata la finestra di dialogo Esporta metadati. Tuttavia, i campi relativi al nome e alla descrizione della partnership sono di sola lettura, in quanto già definiti per la partnership.
La sezione comprende le seguenti impostazioni:
  • Nome partnership
    Identifica una nuova partnership con un nome univoco.
    Il nome di partnership è obbligatorio per l'esportazione dei metadati. I dati a livello di partnership sono obbligatori per creare un file di metadati completo. I metadati dipendono dal livello dell'entità in quanto il concetto di partnership è specifico di
    CA Single Sign-on
    . Tuttavia, l'obiettivo finale dell'utilizzo dei metadati è creare una partnership.
    Nota
    sebbene vengano aggiunti dati di livello di partnership al file di metadati, i metadati acquisiscono unicamente un sottoinsieme dei dati obbligatori per la partnership.
    Valore
    : stringa alfanumerica. È inoltre possibile utilizzare trattini, caratteri di sottolineatura e punti.
  • Descrizione
    Descrive la partnership.
    Valore
    : stringa alfanumerica
  • Nome entità locale
    Visualizza il nome dell'entità esistente da cui esportare i metadati. Questo valore di sola lettura è tratto dall'entità selezionata per l'esportazione.
URL di risoluzione artifact (esportazione da provider di identità SAML 2.0)
La sezione URL di risoluzione artifact consente di configurare il servizio sul lato del provider di identità che recupera l'asserzione. Il recupero dell'asserzione si basa sull'artifact che il provider di identità riceve dal service provider.
Le impostazioni comprendono:
  • Posizione
    Specifica l'URL del servizio di risoluzione artifact sul lato del provider di identità. Non è possibile modificare questo valore.
    Valore predefinito
    : http://
    idp_server:port
    /affwebservices/public/saml2ars
  • ARS abilitato
    Abilita e disabilita l'esportazione dell'URL del servizio di risoluzione artifact. Se selezionata, la casella di controllo consente di esportare l'URL. Se deselezionata, indica che il servizio di risoluzione artifact non è in uso per questa partnership.
    Opzioni
    : Sì, No
URL servizio SSO (esportazione da provider di identità SAML 2.0)
La sezione URL servizio SSO specifica il percorso del servizio sul lato dell'entità di generazione asserzioni. Le impostazioni comprendono:
  • Posizione
    Specifica l'URL del servizio di Single Sign-On sul lato dell'entità di generazione asserzioni.
    Valore predefinito
    : http://
    idp_server:port
    /affwebservices/public/saml2sso
    idp_server:port
    Specifica il server e il numero di porta sul lato dell'entità di generazione asserzioni che ospita la federazione.
    Valore
    : l'URL rappresenta solo l'entità locale, in questo caso controllata da
    CA SiteMinder® Federation
    .
    CA Single Sign-on
    calcola l'URL.
  • Binding della richiesta di autenticazione
    Specifica di utilizzare il binding di reindirizzamento HTTP per Single Sign-On. La casella di controllo viene visualizzata solo per scopi informativi. Non è possibile modificare questo valore.
    Valore
    : Reindirizzamento HTTP, HTTP-POST
URL servizio SLO (esportazione da provider di identità SAML 2.0)
La sezione URL servizio SLO visualizza il percorso del servizio sul lato del provider di identità. Le impostazioni comprendono:
  • Percorso di reindirizzamento HTTP
    Specifica l'URL del servizio di single logout sul lato del provider di identità.
    Valore predefinito
    : http://
    idp_server:port
    /affwebservices/public/saml2slo
    idp_server:port
    Specifica il server e il numero di porta sul lato del provider di identità che ospita la federazione.
    Valore
    :
    CA Single Sign-on
    controlla l'entità locale. In questo caso, pertanto calcola l'URL.
  • Posizione SOAP
    Indica l'URL del servizio di single logout sul lato del provider di identità.
    Valore predefinito
    : http://
    idp_server:port
    /affwebservices/public/saml2slosoap
    idp_server:port
    Specifica il server e il numero di porta sul lato del provider di identità che ospita la federazione.
  • Reindirizzamento SLO abilitato
    Specifica se il binding di single logout per questa entità corrisponde al reindirizzamento.
    Opzioni
    : Sì, No
  • SLO-SOAP abilitato
    Specifica se il binding di single logout per questa entità corrisponde a SOAP.
    Opzioni
    : Sì, No
URL del servizio di attributo (esportazione del provider di identità SAML 2.0)
La sezione URL servizio di attributo mostra le informazioni relative al servizio di attributo per il provider di identità. Questo servizio risponde alle query di attributo.
  • Posizione
    Specifica l'URL del servizio di attributo a livello del provider di identità.
    URL predefinito
    : http://
    idp_server:port
    /affwebservices/public/saml2attrsvc
    idp_server:port
    Specifica il server e il numero di porta a livello del provider di identità che ospita la federazione.
    Valore
    : in questo caso, il Policy Server controlla l'entità locale e calcola l'URL.
  • Servizio di attributo abilitato
    Indica se il servizio di attributo è abilitato.
    Impostazione predefinita
    : No
Opzioni di firma e crittografia (esportazione da provider di identità SAML 2.0)
La sezione per le opzioni di firma e crittografia definisce i comportamenti di firma e crittografia. Le impostazioni comprendono:
  • Alias di firma e verifica
    (Facoltativo) Specifica l'alias associato a una coppia specifica di chiave privata/certificato nell'archivio dati di certificato dell'entità locale, utilizzato per le operazioni di firma e verifica. Durante la generazione del file di metadati, viene incluso nel file di metadati solo il certificato di questa coppia. Quando il file di metadati viene importato sul sito remoto per creare un provider di identità, il certificato viene importato nell'archivio dati di certificato. Il service provider remoto utilizza il certificato per verificare la firma utilizzata per le asserzioni e le risposte di single logout in questa partnership.
    Valore
    : stringa alfanumerica
  • Richiedi richieste di autenticazione firmate
    Specifica nel file di metadati che è richiesta la firma dei messaggi AuthnRequest da parte del service provider remoto.
    Opzioni
    : Sì, No
ID nome e attributi supportati (esportazione da provider di identità SAML 2.0)
casso13it
La sezione ID nome e attributi supportati definisce l'attributo utilizzato per l'ID di nome.
  • Formato ID nome supportato
    Indica il formato dell'ID di nome utilizzato dalla partnership.
  • Attributi di asserzione supportati
    Indica gli attributi di directory utenti inclusi nel file di metadati.
    La tabella include le informazioni seguenti:
    • Attributo
      Specifica gli attributi aggiunti all'asserzione.
    • Metodo di recupero
      Specifica l'uso previsto dell'attributo. I valori possibili sono:
      • SSO: indica che l'attributo viene utilizzato per Single Sign-On.
      • Servizio di attributo: indica che l'autorità di attributo utilizza l'attributo per rispondere alle query di attributo.
      • Entrambi: indica che l'attributo viene utilizzato per Single Sign-On e dall'autorità di attributo.
    • Formato
      Definisce il formato dell'attributo di asserzione.
    • Tipo
      Determina il tipo di valore utilizzato per ID nome. I valori possibili sono:
      Statico
      : l'attributo è un valore costante specificato nella colonna Valore.
      Attributo utente
      : viene determinato da una query su una directory utenti specificata nella colonna Valore.
      Attributo DN
      : l'attributo DN specificato nei campi Valore e Specifica DN.
    • Valore
      Specifica il valore di testo statico o il valore di attributo DN/utente.
    • Specifica DN
      Specifica il DN di un gruppo o di un'unità organizzativa utilizzato dal sistema per ottenere l'attributo associato utilizzato come ID di nome.
Opzioni di esportazione dei metadati (SAML 2.0)
casso13it
Le opzioni di esportazione dei metadati specificano caratteristiche del file di metadati. Le impostazioni comprendono:
  • Alias di firma del documento
    Identifica l'alias per la chiave di firma del documento di metadati per la comunicazione protetta con il partner remoto. Selezionare un alias dall'elenco.
    Valore
    : un alias dall'elenco a discesa.
  • Algoritmo di firma del documento
    Indica l'algoritmo utilizzato dal sistema per firmare il documento di metadati.
    Valore predefinito
    : RSAwithSHA1
    Opzioni
    : RSAwithSHA1, RSAwithSHA256
  • Giorni validi
    Indica il numero di giorni di validità del documento di metadati.
    Valore predefinito
    : 0
    Valore
    : numero intero compreso tra 0 e 9999