Finestra di dialogo Single Sign-On (consumatore SAML 1.1)
casso13it
HID_partnership-sso-saml1-consumer
Il passaggio di Single Sign-On consente di configurare il funzionamento di Single Sign-On.
SSO (consumatore SAML 1.1)
Consente di configurare Single Sign-On (SSO). Questa sezione contiene le impostazioni seguenti:
- Profilo SSODetermina se utilizzare il binding SAML Artifact o POST per Single Sign-On. Selezionare un binding per la partnership.Opzioni: HTTP-Artifact, HTTP-POST
- Gruppo di destinatariSpecifica il gruppo di destinatari per l'asserzione SAML.Il gruppo di destinatari è l'URL di un documento che descrive i Termini e condizioni dell'accordo commerciale tra due partner federati. Il gruppo di destinatari viene definito dall'amministratore sul lato del produttore. Questo valore deve essere uguale al valore del gruppo di destinatari specificato a livello del produttore.Valore: URL.Il valore del gruppo di destinatari non può superare 1024 e rispetta la distinzione tra maiuscole e minuscole.Esempio: http://www.ca.com/SampleAudience
- ID origine remota(Solo HTTP-Artifact di SAML 1.1) Specifica un ID univoco nell'artifact SAML che identifica il produttore. Il consumatore utilizza questo ID per identificare un'autorità di certificazione delle asserzioni.La specifica SAML definisce un ID di origine come un numero binario di 20 byte con codifica esadecimale che identifica il produttore. Il valore dell'ID di origine immesso è la rappresentazione esadecimale a 40 byte.Si consiglia di specificare l'hash SHA1 dell'ID di entità come valore dell'ID di origine. Se non si immette un valore per questo parametro,CA Single Sign-onutilizza l'hash SHA1 per impostazione predefinita.Valore predefinito per la federazione: hash SHA1 di ID entità
- URL servizio SSO remotoSpecifica l'URL del servizio di Single Sign-On sul lato del produttore.Valore predefinito:: http://CA Single Sign-onè il produttoreproducer_server:port/affwebservices/public/intersitetransfer
- URL del servizio di recupero asserzioni remoto (solo HTTP-Artifact)Specifica l'URL del servizio di recupero asserzioni sul lato del produttore. Il servizio di recupero asserzioni recupera l'asserzione in base all'artifact ricevuto dal consumatore. È necessaria una voce per Single Sign-On dell'artifact.Voce: URL del servizio di recupero asserzioniSe il produttore remoto utilizzaCA Single Sign-on, utilizzare gli URL seguenti:
- Se SSL non è abilitato:http://producer_server:port/affwebservices/publicsaml1ars
- Se SSL è abilitato:https://producer_server:ssl_port/affwebservices/publicsaml1ars
- Livello di protezioneAbilita Single Sign-on per schemi di autenticazione con livelli di protezione uguali o inferiori nello stesso dominio di policy. Il livello di protezione richiede un'ulteriore autenticazione per l'accesso alle risorse con schemi di livello di protezione superiore.Limiti: da 1 a 1000.Il livello di protezione predefinito degli schemi di autenticazione è modificabile. Utilizzare livelli di protezione elevati per risorse critiche e schemi di livello basso per risorse accessibili comunemente.
- Abilita audit sincronoSpecifica cheCA Single Sign-ondeve registrare le azioni del Policy Server e dell'agente Web prima di consentire l'accesso alle risorse.CA Single Sign-onpermetterà l'accesso alle risorse del realm soltanto dopo che l'attività è stata registrata nei log di audit.
Back channel (consumatore SAML 1.1)
La sezione Back channel consente di configurare il metodo di autenticazione che protegge la comunicazione di back channel per HTTP-Artifact Single Sign-On.
Questa sezione contiene le impostazioni seguenti:
- Metodo di autenticazioneSpecifica il metodo di autenticazione per transazioni su back channel.Valore predefinito: Nessuna autenticazioneOpzioni: Di base, Certificato client, NoAuth
- Di baseIndica che uno schema di autenticazione di base protegge l'accesso su back channel al servizio di recupero asserzioni. Pertanto, è necessario che il consumatore inserisca il nome utente e la password concordata.Se si seleziona Di base, configurare le impostazioni aggiuntive seguenti:
- Nome utente back channel(Solo autenticazione di base) Specifica il nome utente per l'uso dell'autenticazione di base.Immettere lo stesso valore specificato per questo campo sul lato del produttore.
- Password(Solo autenticazione di base) Specifica la password utente. Questa password è pertinente solo il back channel utilizza il metodo di autenticazione di base o il metodo di base su SSL.È necessario che la password sia concordata dai due partner federati.
- Conferma password(Solo autenticazione di base) Conferma la password utente per l'autenticazione di base tramite back channel. Reinserire la password.Nota: se SSL è abilitato per la connessione del back channel, è possibile selezionare l'autenticazione di base.
- Timeout back channel (secondi)Specifica il tempo di attesa massimo del sistema di federazione per una risposta dopo l'invio di una richiesta di back channel al servizio di recupero asserzioni. Specificare un intervallo in secondi.
- Certificato clientIndica che uno schema di autenticazione con certificato client X.509 protegge il back channel per la comunicazione con il servizio di recupero asserzioni.L'autenticazione con certificato client richiede l'uso di SSL per tutti gli URL endpoint. Gli URL di endpoint individuano i vari servizi SAML su un server, ad esempio il servizio di recupero asserzioni. Il requisito SSL indica che gli URL dei servizi devono iniziare conhttps://.Per implementare l'autenticazione con certificato client, il consumatore invia un certificato al produttore prima che si verifichi qualsiasi transazione. Il produttore archivia il certificato nel proprio archivio dati di certificato. Entrambi i partner devono avere il certificato di abilitazione della connessione SSL nei rispettivi archivi, altrimenti l'autenticazione con certificato client non funziona.Durante il processo di autenticazione, il consumatore invia il proprio certificato al produttore. Il produttore confronta il certificato ricevuto con quello disponibile nel proprio archivio dati per verificarne la corrispondenza. In caso di corrispondenza, il produttore consente al consumatore di accedere al servizio di recupero asserzioni.Se si seleziona l'autenticazione con certificato client, configurare l'impostazione aggiuntiva seguente:
- Alias del certificato clientSpecifica l'alias associato a una coppia di certificato/chiave privata nell'archivio dati di certificato. Selezionare l'alias dall'elenco a discesa. Se non si dispone di un certificato, è possibile selezionare di importarlo o di generarlo con i rispettivi comandi.
- Timeout back channel (secondi)Specifica il tempo di attesa massimo del sistema di federazione per una risposta dopo l'invio di una richiesta di back channel al servizio di recupero asserzioni. Specificare un intervallo in secondi.
- NoAuthIndica che non è richiesta alcuna credenziale al consumatore. Il back channel e il servizio di recupero asserzioni non sono protetti.se un produttore è partner di consumatori diversi, ogni partnership deve avere un valore univoco dell'ID di origine.