Esportazione dei metadati da un provider di identità locale SAML 2.0
Sommario
casso126figsbrit
HID_export-local-asserting-partnership
Sommario
La finestra di dialogo Esporta metadati consente di selezionare una voce di partnership o di entità locale e di esportare i dati in un file di metadati. Il relying party può quindi importare il file e creare partnership.
I metadati dipendono dal livello dell'entità in quanto SAML non prevede il concetto di partnership. Tuttavia, l'obiettivo finale dell'utilizzo dei metadati è creare una partnership.
Nota
: malgrado la presenza di dati a livello di partnership aggiunti al file di metadati, i metadati acquisiscono solo un sottoinsieme di dati obbligatori per una partnership.La finestra di dialogo visualizza le informazioni seguenti esportate in un file di metadati:
È possibile cambiare i dati modificando la partnership o l'entità prima di eseguire l'esportazione.
Identificazione (esportazione da provider di identità SAML 2.0)
casso126figsbrit
La sezione Identificazione permette di assegnare un nome alla partnership da cui eseguire l'esportazione.
Durante l'esportazione di metadati da un'entità,
CA Single Sign-on
crea automaticamente una partnership predefinita per l'esportazione. La partnership predefinita viene generata per i seguenti motivi:- Alcuni elementi di metadati non sono inclusi nel modello dell'entità ed esistono solo nella partnership.
- Dopo l'esportazione, la partnership corrisponde ai metadati esportati, che è possibile utilizzare per completare la configurazione della partnership in un secondo momento.
Nota
se si esporta una partnership e l'entità locale di partnership è l'entità di generazione asserzioni, viene visualizzata la finestra di dialogo Esporta metadati. Tuttavia, i campi relativi al nome e alla descrizione della partnership sono di sola lettura, in quanto già definiti per la partnership.La sezione comprende le seguenti impostazioni:
- Nome partnershipIdentifica una nuova partnership con un nome univoco.Il nome di partnership è obbligatorio per l'esportazione dei metadati. I dati a livello di partnership sono obbligatori per creare un file di metadati completo. I metadati dipendono dal livello dell'entità in quanto il concetto di partnership è specifico diCA Single Sign-on. Tuttavia, l'obiettivo finale dell'utilizzo dei metadati è creare una partnership.Notasebbene vengano aggiunti dati di livello di partnership al file di metadati, i metadati acquisiscono unicamente un sottoinsieme dei dati obbligatori per la partnership.Valore: stringa alfanumerica. È inoltre possibile utilizzare trattini, caratteri di sottolineatura e punti.
- DescrizioneDescrive la partnership.Valore: stringa alfanumerica
- Nome entità localeVisualizza il nome dell'entità esistente da cui esportare i metadati. Questo valore di sola lettura è tratto dall'entità selezionata per l'esportazione.
URL di risoluzione artifact (esportazione da provider di identità SAML 2.0)
La sezione URL di risoluzione artifact consente di configurare il servizio sul lato del provider di identità che recupera l'asserzione. Il recupero dell'asserzione si basa sull'artifact che il provider di identità riceve dal service provider.
Le impostazioni comprendono:
- PosizioneSpecifica l'URL del servizio di risoluzione artifact sul lato del provider di identità. Non è possibile modificare questo valore.Valore predefinito: http://idp_server:port/affwebservices/public/saml2ars
- ARS abilitatoAbilita e disabilita l'esportazione dell'URL del servizio di risoluzione artifact. Se selezionata, la casella di controllo consente di esportare l'URL. Se deselezionata, indica che il servizio di risoluzione artifact non è in uso per questa partnership.Opzioni: Sì, No
URL servizio SSO (esportazione da provider di identità SAML 2.0)
La sezione URL servizio SSO specifica il percorso del servizio sul lato dell'entità di generazione asserzioni. Le impostazioni comprendono:
- PosizioneSpecifica l'URL del servizio di Single Sign-On sul lato dell'entità di generazione asserzioni.Valore predefinito: http://idp_server:port/affwebservices/public/saml2ssoidp_server:portSpecifica il server e il numero di porta sul lato dell'entità di generazione asserzioni che ospita la federazione.Valore: l'URL rappresenta solo l'entità locale, in questo caso controllata daCA SiteMinder® Federation.CA Single Sign-oncalcola l'URL.
- Binding della richiesta di autenticazioneSpecifica di utilizzare il binding di reindirizzamento HTTP per Single Sign-On. La casella di controllo viene visualizzata solo per scopi informativi. Non è possibile modificare questo valore.Valore: Reindirizzamento HTTP, HTTP-POST
URL servizio SLO (esportazione da provider di identità SAML 2.0)
La sezione URL servizio SLO visualizza il percorso del servizio sul lato del provider di identità. Le impostazioni comprendono:
- Percorso di reindirizzamento HTTPSpecifica l'URL del servizio di single logout sul lato del provider di identità.Valore predefinito: http://idp_server:port/affwebservices/public/saml2sloidp_server:portSpecifica il server e il numero di porta sul lato del provider di identità che ospita la federazione.Valore:CA Single Sign-oncontrolla l'entità locale. In questo caso, pertanto calcola l'URL.
- Posizione SOAPIndica l'URL del servizio di single logout sul lato del provider di identità.Valore predefinito: http://idp_server:port/affwebservices/public/saml2slosoapidp_server:portSpecifica il server e il numero di porta sul lato del provider di identità che ospita la federazione.
- Reindirizzamento SLO abilitatoSpecifica se il binding di single logout per questa entità corrisponde al reindirizzamento.Opzioni: Sì, No
- SLO-SOAP abilitatoSpecifica se il binding di single logout per questa entità corrisponde a SOAP.Opzioni: Sì, No
URL del servizio di attributo (esportazione del provider di identità SAML 2.0)
La sezione URL servizio di attributo mostra le informazioni relative al servizio di attributo per il provider di identità. Questo servizio risponde alle query di attributo.
- PosizioneSpecifica l'URL del servizio di attributo a livello del provider di identità.URL predefinito: http://idp_server:port/affwebservices/public/saml2attrsvcidp_server:portSpecifica il server e il numero di porta a livello del provider di identità che ospita la federazione.Valore: in questo caso, il Policy Server controlla l'entità locale e calcola l'URL.
- Servizio di attributo abilitatoIndica se il servizio di attributo è abilitato.Impostazione predefinita: No
Opzioni di firma e crittografia (esportazione da provider di identità SAML 2.0)
La sezione per le opzioni di firma e crittografia definisce i comportamenti di firma e crittografia. Le impostazioni comprendono:
- Alias di firma e verifica(Facoltativo) Specifica l'alias associato a una coppia specifica di chiave privata/certificato nell'archivio dati di certificato dell'entità locale, utilizzato per le operazioni di firma e verifica. Durante la generazione del file di metadati, viene incluso nel file di metadati solo il certificato di questa coppia. Quando il file di metadati viene importato sul sito remoto per creare un provider di identità, il certificato viene importato nell'archivio dati di certificato. Il service provider remoto utilizza il certificato per verificare la firma utilizzata per le asserzioni e le risposte di single logout in questa partnership.Valore: stringa alfanumerica
- Richiedi richieste di autenticazione firmateSpecifica nel file di metadati che è richiesta la firma dei messaggi AuthnRequest da parte del service provider remoto.Opzioni: Sì, No
ID nome e attributi supportati (esportazione da provider di identità SAML 2.0)
casso126figsbrit
La sezione ID nome e attributi supportati definisce l'attributo utilizzato per l'ID di nome.
- Formato ID nome supportatoIndica il formato dell'ID di nome utilizzato dalla partnership.
- Attributi di asserzione supportatiIndica gli attributi di directory utenti inclusi nel file di metadati.La tabella include le informazioni seguenti:
- AttributoSpecifica gli attributi aggiunti all'asserzione.
- Metodo di recuperoSpecifica l'uso previsto dell'attributo. I valori possibili sono:
- SSO: indica che l'attributo viene utilizzato per Single Sign-On.
- Servizio di attributo: indica che l'autorità di attributo utilizza l'attributo per rispondere alle query di attributo.
- Entrambi: indica che l'attributo viene utilizzato per Single Sign-On e dall'autorità di attributo.
- FormatoDefinisce il formato dell'attributo di asserzione.
- TipoDetermina il tipo di valore utilizzato per ID nome. I valori possibili sono:Statico: l'attributo è un valore costante specificato nella colonna Valore.Attributo utente: viene determinato da una query su una directory utenti specificata nella colonna Valore.Attributo DN: l'attributo DN specificato nei campi Valore e Specifica DN.
- ValoreSpecifica il valore di testo statico o il valore di attributo DN/utente.
- Specifica DNSpecifica il DN di un gruppo o di un'unità organizzativa utilizzato dal sistema per ottenere l'attributo associato utilizzato come ID di nome.
Opzioni di esportazione dei metadati (SAML 2.0)
Le opzioni di esportazione dei metadati specificano caratteristiche del file di metadati. Le impostazioni comprendono:
- Alias di firma del documentoIdentifica l'alias per la chiave di firma del documento di metadati per la comunicazione protetta con il partner remoto. Selezionare un alias dall'elenco.Valore: un alias dall'elenco a discesa.
- Algoritmo di firma del documentoIndica l'algoritmo utilizzato dal sistema per firmare il documento di metadati.Valore predefinito: RSAwithSHA1Opzioni: RSAwithSHA1, RSAwithSHA256
- Giorni validiIndica il numero di giorni di validità del documento di metadati.Valore predefinito: 0Valore: numero intero compreso tra 0 e 9999
- cacheDurationLa quantità di tempo in cui i metadati possono essere memorizzati nella cache sul server locale per l'entità che consuma i metadati. Le entità dovranno ricaricare i metadati dopo la scadenza del tempo prestabilito.