Single Sign-On e Disconnessione (provider identità WSFED)
casso13it
HID_sso-signout-wsfed
Le fasi di Single Sign-On e Disconnessione consentono di configurare l'operazione per ciascuna funzionalità.
Autenticazione (WSFED)
La sezione Autenticazione consente di specificare le modalità di autenticazione utente applicate dal sistema di federazione durante le transazioni di Single Sign-On. Definire il metodo per l'autenticazione di un utente privo di sessione.
È possibile configurare le impostazioni seguenti:
Modalità di autenticazione
Indica se una sessione viene stabilita con l'autenticazione di un utente in locale o delegando l'autenticazione a un sistema remoto di terze parti per la gestione degli accessi.
Valore predefinito
: LocaleOpzioni
: selezionare una delle seguenti opzioni e configurare tutti i campi aggiuntivi per l'opzione:- Locale - Il sistema di federazione che gestisce l'autenticazione utenti.Se si seleziona Locale per il campo Modalità di autenticazione, immettere un URL nel campo URL di autenticazione. L'URL punta in genere a un file redirect.jsp. Tuttavia, se si seleziona la casella di controlloUsa URL protetto, l'URL deve puntare al servizio Web secureredirect.URL di autenticazioneSpecifica un URL protetto utilizzato dalla federazione per l'autenticazione utente e la creazione di una sessione in cui è richiesta una risorsa protetta. Se la modalità di autenticazione è impostata su Locale e un utente non ha eseguito l'accesso sul lato dell'entità di generazione asserzioni, viene indirizzato a questo URL. Questo URL deve puntare al file redirect.jsp, a meno che non venga selezionata la casella di controlloUsa URL protetto.Esempi: http://casso13itUtilizzare uno dei percorsi seguenti alla cartella redirectjsp come filtro delle risorse. L'Option Pack dell'agente Web CA e CA Access Gateway utilizzano questo filtro delle risorse.
- Percorso diretto: /affwebservices/redirectjsp/
- Percorso virtuale: percorso al server contenente la cartella redirectjsp. Un percorso virtuale comune è /siteminderagent/redirectjsp, il quale viene impostato con la configurazione dell'agente Web assieme all'Option Pack o a Access Gateway. Il percorso virtuale punta alla directory virtuale seguente:
- Agente Web:web_agent_home/affwebservices/redirectjsp
- CA Access Gateway:access_gateway_home/secure-proxy/Tomcat/webapps/affwebservices/redirectjsp
myserver.idpA.com/affwebservices/redirectjsp/redirect.jsphttp://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jspmyserveridentifica il server Web con l'Option Pack dell'agente Web oCA Access Gatewayinstallato nella generazione asserzioni. L'applicazione redirectjsp è inclusa con questi prodotti.: proteggere l'URL di autenticazione con una policy Access Control. La policy richiede la configurazione di uno schema di autenticazione, un realm e una regola. Per aggiungere gli attributi del session store per l'asserzione, abilitare la casella di controllo Mantieni le variabili della sessione di autenticazione, la quale è un'impostazione nello schema di autenticazione.Usa URL protettoQuesta impostazione istruisce il servizio Single Sign-On per eseguire esclusivamente la crittografia del parametro di query SMPORTALURL. La crittografia di SMPORTALURL impedisce la modifica del valore e il reindirizzamento degli utenti autenticati a siti Web dannosi da parte di utenti malintenzionati. SMPORTALURL viene aggiunto all'URL di autenticazione prima che il browser reindirizzi l'utente a stabilire una sessione. Una volta autenticato l'utente, il browser reindirizza l'utente alla destinazione specificata nel parametro di query SMPORTALURL.Se si seleziona la casella di controllo Usa URL protetto, procedere come segue:1. Impostare il campo URL di autenticazione sul seguente URL: http(s)://idp_server:port/affwebservices/secure/secureredirect2. Proteggere il servizio Web secureredirect con una policy.Se l'entità di generazione asserzioni serve più di un relying party, l'entità di generazione asserzioni autentica probabilmente diversi utenti per questi partner diversi. Di conseguenza, per ogni URL di autenticazione che utilizza il servizio secureredirect, includere questo servizio Web in un realm diverso per ciascun partner.Per associare il servizio secureredirect a diversi realm, modificare il file web.xml e creare mapping di risorsa differenti. Non copiare il servizio Web secureredirect in diverse posizioni sul server. Individuare il file web.xml nella directory web_agent_home/affwebservices/WEB-INF, doveweb_agent_homeè la posizione di installazione dell'agente Web.
- Delegata - autenticazione utente gestita da un sistema di terze parti per la gestione degli accessi Web. Completare i campi aggiuntivi.
- Selettore di credenziali: gli utenti visualizzano la pagina di selezione delle credenziali contenente un elenco di più Identity Provider. Gli Identity Provider possono essere social media, partner WS-Federation, SAML, o OAuth. Gli utenti selezionano l'Identity Provider appropriato e il provider esegue l'autenticazione dell'utente. L'elenco degli Identity Provider accettabili è definito in un gruppo del metodo di autenticazione. Per tutti questi partner, l'utente deve già essere stato registrato con i partner esterni.
- Tipo di autenticazione delegata (solo modalità delegata)Specifica se l'autenticazione di terze parti viene eseguita mediante il trasferimento di un cookie open-format o di una stringa di query con l'ID di accesso dell'utente e altre informazioni. Questo campo viene visualizzato solo se si seleziona la modalità di autenticazione delegata.Opzioni: Stringa query, Cookie open-format
- Stringa query: per utilizzare una stringa di query, il sistema di terze parti genera una stringa di reindirizzamento e aggiunge un parametro di query denominato LoginIDHash alla stringa. Il parametro LoginIDHash combina l'ID di accesso utente e un segreto condiviso. I due valori vengono combinati e, quindi, elaborati attraverso un algoritmo hash.: non utilizzare il metodo di stringa di query in un ambiente di produzione. Il metodo di reindirizzamento della stringa di query è valido unicamente per gli ambienti di testing come modello di prova. L'opzione Stringa di query non genera una partnership compatibile con FIPS.
- Cookie open-format: per utilizzare i cookie open-format, il sistema di terze parti può utilizzare l'SDK Java o .NET della federazione per la creazione del cookie. In alternativa, è possibile creare il cookie manualmente utilizzando un linguaggio di programmazione. Il sistema di terze parti reindirizza il browser al sistema di federazione, che recupera l'ID utente.
- URL autenticazione delegataSpecifica l'URL del sistema di terze parti per la gestione accessi Web che si occupa dell'autenticazione utente. Se un utente avvia una richiesta sul sistema di federazione, viene reindirizzato al sistema di gestione accessi Web per l'autenticazione. Una volta autenticato, l'utente viene reindirizzato di nuovo al sistema di federazione.L'URL non è pertinente se un utente avvia una richiesta prima sul sistema di gestione accessi Web.Valore: URL valido che inizia con http:// o https://
- Registra stato autenticazione delegata: registra se l'autenticazione delegata viene eseguita correttamente. In caso di errore dell'autenticazione delegata, questa impostazione determina il comportamento del sistema di federazione. Per impostazione predefinita, questa casella di controllo è selezionata.Se un utente non fornisce le credenziali per l'accesso a una risorsa protetta configurata per l'autenticazione delegata, l'autenticazione delegata non viene completata. Se tale utente tenta di accedere nuovamente alla risorsa nella stessa sessione del browser, il browser mostra l'errore 404. Inoltre, il sistema di federazione registra un messaggio di errore nei file affwebservices.log e FWSTrace.log. I messaggi di errore indicano che le credenziali per l'autenticazione delegata sono mancanti. Il sistema di federazione non esegue il reindirizzamento dell'utente all'URL dell'autenticazione delegata per l'immissione delle credenziali.Per consentire il reindirizzamento dell'utente all'URL dell'autenticazione delegata nella stessa sessione del browser, deselezionare questa casella di controllo. La disabilitazione di questa funzione consente all'utente di ritentare l'accesso alla risorsa nella stessa sessione del browser senza visualizzare l'errore 404. Il sistema di federazione reindirizza quindi il browser all'URL dell'autenticazione delegata. L'utente dovrà immettere nuovamente le credenziali.
- Segreto hash (solo stringa di query)Indica il segreto condiviso aggiunto all'ID di accesso dell'utente per creare il parametro di query LoginIDHash. L'impostazione è pertinente solo se si seleziona la stringa di query come tipo di autenticazione delegata.
- Conferma segreto hash (solo stringa di query)Verifica il segreto hash. Immettere nuovamente il valore del segreto hash.
- Cookie open-format (solo cookie open-format)L'utente viene reindirizzato all'applicazione di destinazione mediante un codice HTTP 302 con un cookie open-format, ma senza altri dati. L'applicazione del cliente esegue la decrittografia del cookie crittografato per ottenere le informazioni utente.Se il relying party riceve un'asserzione con più valori di attributo, tutti i valori vengono trasferiti all'applicazione di destinazione.Se si seleziona l'opzione Cookie open-format per l'autenticazione delegata, l'interfaccia utente di amministrazione visualizza i seguenti campi aggiuntivi:
- Nome cookie open-formatSpecifica il nome del cookie.Trasformazione crittografiaIndica l'algoritmo di crittografia da utilizzare per crittografare il cookie open-format.Se si seleziona uno degli algoritmi compatibili con FIPS (algoritmi AES), è necessario che il sistema di destinazione utilizzi l'SDK della federazione per il cookie. SDK deve trovarsi sullo stesso server dell'applicazione di destinazione.Se si utilizza l'SDK .NET di federazione per generare il cookie, utilizzare l'algoritmo di crittografia AES128/CBC/PKCS5Padding.Password di crittografiaIndica la password utilizzata per crittografare il cookie. I campi Password di crittografia e Conferma password sono obbligatori.Conferma passwordConferma la voce della password di crittografia.Abilita HMACIndica che viene generato un codice di autenticazione messaggi basato su hash (HMAC) mediante la password di crittografia fornita nella finestra di dialogo.I codici di autenticazione messaggi (MAC) consentono di verificare l'integrità delle informazioni inviate tra due parti. Le due parti condividono una chiave segreta per il calcolo e la verifica dei valori di autenticazione dei messaggi. Un codice di autenticazione messaggi basato su hash (HMAC) è un meccanismo MAC basato su funzioni di crittografia hash.Se si seleziona la casella di controllo Abilita HMAC, il sistema genera un valore HMAC per il cookie open-format. Il valore HMAC viene posto all'inizio del valore del cookie open-format e crittografa la stringa intera. Il sistema di federazione inserisce la stringa crittografata nel cookie open-format, che viene quindi trasferito all'applicazione di destinazione.Tolleranza cookie (in secondi)Specifica il numero di secondi sottratti dall'ora di sistema corrente per calcolare la differenza tra gli orologi di sistema. Tale differenza riguarda il sistema della propria federazione e l'applicazione di terze parti che gestisce l'autenticazione delegata.Il software applica la tolleranza alla generazione e all'utilizzo di cookie in formato aperto.Valore: immettere un valore in secondi.
- Timeout di inattivitàIndica il tempo di inattività di una sessione utente autorizzata prima che l'agente termini la sessione. Per evitare eventuali problemi quando gli utenti abbandonano la postazione di lavoro dopo aver eseguito l'accesso a una risorsa protetta, impostare il timeout di inattività su un intervallo breve. Se la sessione scade, gli utenti devono eseguire di nuovo l'autenticazione prima di accedere alle risorse.Questa funzione è attivata per impostazione predefinita. Per non specificare un timeout di inattività di sessione, deselezionare la casella di controllo. Il timeout di inattività di sessione predefinito è di un'ora.Notala sessione scade entro un determinato intervallo di manutenzione dopo il valore di timeout di inattività specificato. Il numero di secondi specificati nella chiave di registro seguente determina il periodo di tempo:HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\siteminder\CurrentVersion\SessionServer\MaintenancePeriodAd esempio, impostare il timeout di inattività su 10 minuti. Impostare inoltre il registro di sistema per MaintenancePeriod sul valore predefinito. L'intervallo più lungo, prima della scadenza di una sessione a causa di inattività, è di 11 minuti (timeout + periodo di manutenzione).Per utilizzare questa funzionalità con lo schema di autenticazione di base, configurare l'agente Web per la richiesta di cookie.Fare attenzione ai punti seguenti:
- Per le sessioni permanenti, abilitare il timeout di inattività e impostarlo su un valore maggiore rispetto a quello del periodo di convalida.
- È possibile sostituire questa impostazione globale con l'attributo di risposta WebAgent-OnAuthAccept-Session-Idle-Timeout. Un valore pari a zero indica che la sessione non scade se inattiva.
Valore predefinito: 60 secondiOreSpecifica il numero di ore per il periodo di timeout di inattività. - MinutiSpecifica il numero di minuti per il periodo di timeout di inattività.
- Timeout massimoIndica il tempo di attività massima di una sessione utente prima che sia richiesto dall'agente di rieseguire l'autenticazione.Questa funzione è attivata per impostazione predefinita. Per non specificare una durata massima di sessione, deselezionare la casella di controllo. La durata massima predefinita per una sessione è pari a due ore.
- OreSpecifica il numero di ore per la durata massima di sessione.
- MinutiSpecifica il numero di minuti per la durata massima di sessione.
Per utilizzare questa funzionalità con lo schema di autenticazione di base, configurare l'agente Web per la richiesta di cookie.Notaè possibile sostituire questa impostazione con l'attributo di risposta WebAgent-OnAuthAccept-Session-Max-Timeout. - Livello diautenticazione minimoSpecifica il livello minimo di autenticazione dell'utente per consentire l'accesso a un realm. Se l'utente ha eseguito l'autenticazione a questo livello o ad uno superiore, il provider di identità genera un'asserzione per l'utente. Se l'utente non viene autenticato a questo livello o a uno superiore, viene reindirizzato all'URL di autenticazione per questo livello.
Se si seleziona Selettore di credenziali come modalità di autenticazione, completare i campi seguenti:
- Authentication Base URL (URL di base autenticazione)Definisce il nome host del serverCA Access Gatewaydi installazione del servizio di gestione delle credenziali. Specificare il valore nel formato seguente:https:sps_hostname/chs/login o http:sps_hostname/chs/login
- Gruppi del metodo di autenticazioneSpecifica il gruppo del metodo di autenticazione dei provider di identità da mostrare agli utenti per l'autenticazione quando la partnership viene richiamata.
Single Sign-on (provider identità WSFED)
- Gruppo di destinatariSpecifica l'URL del gruppo di destinatari. L'URL del gruppo di destinatari identifica il percorso di un documento che descrive i Termini e condizioni dell'accordo commerciale tra l'entità di generazione asserzioni e il relying party. Il gruppo di destinatari viene definito dall'amministratore sul lato dell'entità di generazione asserzioni. Il valore del gruppo di destinatari deve corrispondere al valore del gruppo di destinatari del relying party e all'ID entità del partner risorsa. Queste tre impostazioni devono utilizzare lo stesso valore.Valore: URL valido.Il valore del gruppo di destinatari non può superare 1024 e rispetta la distinzione tra maiuscole e minuscole.Esempio: http://fed.example.com/portal1
- URL del servizio consumer del token di sicurezzaSpecifica l'URL del servizio sul lato del partner della risorsa che riceve i messaggi di risposta del token di protezione ed estrae l'asserzione. Il percorso predefinito del servizio è:https://rp_server:port/affwebservices/public/wsfeddispatcherrp_server:portIdentifica il server Web e la porta sul lato del partner di risorsa che ospita l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway. Questi componenti forniscono l'applicazione Federation Web Services.Notail servizio WSFedDispatcher riceve tutti i messaggi in entrata di Federazione dei servizi Web e inoltra l'elaborazione della richiesta al servizio appropriato in base ai dati di parametro della query. Sebbene il servizio wsfedsecuritytokenconsumer sia disponibile, si consiglia di utilizzare il servizio wsfeddispatcher per la voce di questo campo.
- Durata validità SSO (in secondi)Specifica un numero di secondi di validità per un'asserzione generata.In un ambiente di test, è possibile aumentare il valore della durata di validità oltre 60, l'impostazione predefinita, se nel log di traccia è riportato il seguente messaggio:Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237) -current time (Fri Sep 09 17:28:33 EDT 2005) is after SessionNotOnOrAftertime (Fri Sep 09 17:28:20 EDT 2005)NotaLa durata di validità SSO e la tolleranza forniscono al Policy Server le istruzioni per calcolare il tempo totale di validità della richiesta di autenticazione Single Sign-On.Valore predefinito: 60Valore: immettere un numero intero positivo.
- Modulo di inserimento personalizzatoNome del modulo HTML di inserimento automatico personalizzato per Single Sign-On HTTP POST. Immettere solo il nome del modulo, non il percorso. Il prodotto include l'installazione di un modulo denominato defaultpostform.html.Un modulo di inserimento automatico personalizzato abilita il Policy Server per l'invio delle informazioni SAML al partner della risorsa. La pagina fisica deve trovarsi nella directory %NETE_WA_ROOT%\customization, in cui %NETE_WA_ROOT% è la posizione dell'Option Pack dell'agente Web. Se l'agente Web e l'Option Pack dell'agente Web sono installati sullo stesso sistema, vengono installati nella stessa directory, ad esempio, webagent\customization.
- Periodo di convalidaPer visualizzare questa casella di controllo, abilitare il server di sessione utilizzando la console di gestione del Policy Server.Determina il periodo massimo tra ciascuna chiamata dell'agente al Policy Server per la convalida di una sessione. Le chiamate di convalida della sessione indicano al Policy Server che l'utente è attivo e confermano la validità della sessione utente.Per specificare il periodo di convalida, immettere i valori nei campi Ore, Minuti e Secondi. Se il sistema viene configurato per fornire un contesto di protezione dell'utente di Windows, impostare un valore alto, ad esempio, 15-30 minuti. Se il numero di sessioni attive è inferiore al valore massimo della cache di sessione utente dell'agente, l'agente non deve eseguire nuovamente la convalida della sessione.il valore del periodo di convalida di una sessione deve essere inferiore al valore di timeout di inattività specificato.
Disconnessione (provider identità WSFED)
La sezione Disconnessione della finestra di dialogo viene visualizzata unicamente se il session store è abilitato. Abilitare il session store utilizzando la console di gestione del Policy Server.
- Abilita disconnessioneAbilita la funzionalità di disconnessione per la partnership.
- URL di conferma disconnessione:Specifica l'URL del provider di identità che esegue la disconnessione.URL predefinito:http://ip_server:port/affwebservices/signoutconfirmurl.jspip_server:portSpecifica il server e il numero di porta del sistema del provider di identità. Il sistema ospita l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway, a seconda del componente installato nella rete di federazione.Il file signoutconfirmurl.jsp è incluso con l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway. È possibile spostare questa pagina dalla directory predefinita al percorso del modulo di servlet per consentire l'accesso ai servizi Federation Web Services.Se il processo di disconnessione viene avviato dal partner di risorsa, la pagina di conferma della disconnessione deve essere una risorsa non protetta a livello del partner di risorsa. Se il processo di disconnessione viene avviato dal provider di identità, la pagina di conferma della disconnessione deve essere una risorsa non protetta a livello del partner di risorsa.
- URL di disconnessione remotoSpecifica l'URL del servizio di disconnessione per il partner di risorsa. Il provider di identità invia la richiesta signoutcleanup all'URL.Esempio: seSingle Sign-Onviene utilizzato come partner della risorsa, l'URL sarà https://rp_service:port/affwebservices/public/wsfeddispatcher.NotaIl servizio wsfeddispatcher riceve tutti i messaggi in entrata della Federazione dei servizi Web. Questo servizio inoltra la richiesta al servizio corrispondente in base ai dati di parametro della query. Sebbene esista il servizio wsfedsignout, utilizzare l'URL wsfeddispatcher per URL di disconnessione.