Finestra di dialogo SSO e SLO (provider di identità SAML 2.0)

Il passaggio per SSO e SLO consente di configurare il funzionamento di Single Sign-On e single logout.
casso126figsbrit
HID_partnership-sso-asserting
Il passaggio per SSO e SLO consente di configurare il funzionamento di Single Sign-On e single logout.
2
Autenticazione (provider di identità SAML 2.0)
La sezione Autenticazione consente di specificare la modalità di autenticazione utente durante le transazioni di Single Sign-On. Definire il metodo per l'autenticazione di un utente privo di sessione.
Questa sezione contiene le impostazioni seguenti:
  • Modalità di autenticazione
    Indica se una sessione utente viene stabilita con l'autenticazione di un utente in locale o delegando l'autenticazione a un sistema remoto di terze parti per la gestione degli accessi.
    Valore predefinito
    : Locale
    Opzioni
    : selezionare una delle seguenti opzioni e configurare tutti i campi aggiuntivi per l'opzione:
    • Locale - Il sistema di federazione che gestisce l'autenticazione utenti. 
      Se si seleziona Locale per il campo Modalità di autenticazione, immettere un URL nel campo URL di autenticazione. L'URL punta in genere a un file redirect.jsp. Tuttavia, se si seleziona la casella di controllo
      Usa URL protetto
      , l'URL deve puntare al servizio Web secureredirect.
      URL di autenticazione
      Specifica un URL protetto utilizzato dalla federazione per l'autenticazione utente e la creazione di una sessione in cui è richiesta una risorsa protetta. Se la modalità di autenticazione è impostata su Locale e un utente non ha eseguito l'accesso sul lato dell'entità di generazione asserzioni, viene indirizzato a questo URL. Questo URL deve puntare al file redirect.jsp, a meno che non venga selezionata la casella di controllo
      Usa URL protetto
      . Esempi: http://
      myserver.idpA.com
      /affwebservices/redirectjsp/redirect.jsphttp://
      myserver.idpA.com
      /siteminderagent/redirectjsp/redirect.jsp 
      myserver
      identifica il server Web con l'Option Pack dell'agente Web o
      CA Access Gateway
      installato nella generazione asserzioni. L'applicazione redirectjsp è inclusa con questi prodotti.
      : proteggere l'URL di autenticazione con una policy Access Control. La policy richiede la configurazione di uno schema di autenticazione, un realm e una regola. Per aggiungere gli attributi del session store per l'asserzione, abilitare la casella di controllo Mantieni le variabili della sessione di autenticazione, la quale è un'impostazione nello schema di autenticazione.
      Usa URL protetto
      Questa impostazione istruisce il servizio Single Sign-On per eseguire esclusivamente la crittografia del parametro di query SMPORTALURL. La crittografia di SMPORTALURL impedisce la modifica del valore e il reindirizzamento degli utenti autenticati a siti Web dannosi da parte di utenti malintenzionati. SMPORTALURL viene aggiunto all'URL di autenticazione prima che il browser reindirizzi l'utente a stabilire una sessione. Una volta autenticato l'utente, il browser reindirizza l'utente alla destinazione specificata nel parametro di query SMPORTALURL.
      Se si seleziona la casella di controllo Usa URL protetto, procedere come segue:
      1. Impostare il campo URL di autenticazione sul seguente URL: http(s)://
      idp_server:port
      /affwebservices/secure/secureredirect
      2. Proteggere il servizio Web secureredirect con una policy.
      Se l'entità di generazione asserzioni serve più di un relying party, l'entità di generazione asserzioni autentica probabilmente diversi utenti per questi partner diversi. Di conseguenza, per ogni URL di autenticazione che utilizza il servizio secureredirect, includere questo servizio Web in un realm diverso per ciascun partner.
      Per associare il servizio secureredirect a diversi realm, modificare il file web.xml e creare mapping di risorsa differenti. Non copiare il servizio Web secureredirect in diverse posizioni sul server. Individuare il file web.xml nella directory
      web_agent_home
      /affwebservices/WEB-INF, dove
      web_agent_home
      è la posizione di installazione dell'agente Web.
       
    • Delegata - autenticazione utente gestita da un sistema di terze parti per la gestione degli accessi Web. Completare i campi aggiuntivi.
    • Selettore di credenziali: gli utenti visualizzano la pagina di selezione delle credenziali contenente un elenco di più Identity Provider. Gli Identity Provider possono essere social media, partner WS-Federation, SAML, o OAuth. Gli utenti selezionano l'Identity Provider appropriato e il provider esegue l'autenticazione dell'utente. L'elenco degli Identity Provider accettabili è definito in un gruppo del metodo di autenticazione. Per tutti questi partner, l'utente deve già essere stato registrato con i partner esterni.
      Se si seleziona Selettore di credenziali, completare i campi seguenti:
      URL di base di autenticazione
      : definisce il nome host del server
      CA Access Gateway
      di installazione del servizio di gestione delle credenziali. Immettere il valore nel seguente formato: https:
      sps_hostname
      o http:
      sps_hostname
      Gruppi del metodo di autenticazione
      : specifica il gruppo del metodo di autenticazione dei provider di identità da mostrare agli utenti per l'autenticazione quando la partnership viene richiamata.
    • Dinamico: un provider di identità esegue nuovamente l'autenticazione dell'utente al livello di autenticazione richiesto. Vengono utilizzati URL di autenticazione diversi per eseguire l'autenticazione degli utenti su livelli diversi con il fine di definire il livello di autenticazione necessario per un'asserzione. In seguito alla riautenticazione da parte dell'utente, il provider di identità genera un'asserzione.
      Se si seleziona Dinamico, è necessario configurare il parametro del modello del contesto di autenticazione. L'elenco a discesa Modello del contesto di autenticazione elenca tutti i modelli di autenticazione configurati per il supporto dell'autenticazione dinamica. Per informazioni sulla configurazione dell'autenticazione dinamica, consultare l'elaborazione del contesto di autenticazione dinamica (SAML 2.0).
  • casso126figsbrit
    Tipo di autenticazione delegata (solo modalità delegata)
    Specifica se l'autenticazione di terze parti viene eseguita mediante il trasferimento di un cookie open-format o di una stringa di query con l'ID di accesso dell'utente e altre informazioni. Questo campo viene visualizzato solo se si seleziona la modalità di autenticazione delegata.
    Opzioni: Stringa query, Cookie open-format
    • Stringa di query: per utilizzare una stringa di query, il sistema di terze parti genera una stringa di reindirizzamento e aggiunge un parametro di query denominato LoginIDHash alla stringa. Il parametro LoginIDHash combina l'ID di accesso utente e un segreto condiviso. I due valori vengono combinati e, quindi, elaborati attraverso un algoritmo hash.
      non utilizzare il metodo di stringa di query in un ambiente di produzione. Il metodo di reindirizzamento della stringa di query è valido unicamente per gli ambienti di testing come modello di prova.
      Nota
      l'opzione Stringa di query non genera una partnership compatibile con FIPS.
    • Cookie open-format: per utilizzare i cookie open-format, il sistema di terze parti può utilizzare Java o .NET SDK di
      CA SiteMinder® Federation
      per creare il cookie. In alternativa, è possibile creare il cookie manualmente utilizzando un linguaggio di programmazione. Il sistema di terze parti reindirizza il browser al sistema di federazione, che recupera l'ID utente.
  • URL autenticazione delegata (solo modalità delegata)
    Specifica l'URL del sistema di terze parti per la gestione accessi Web che si occupa dell'autenticazione utente. Se un utente avvia una richiesta sul sistema locale, viene reindirizzato al sistema di gestione accessi Web per l'autenticazione. Una volta autenticato, l'utente viene reindirizzato di nuovo al sistema locale.
    L'URL non è pertinente se un utente avvia una richiesta prima sul sistema di gestione accessi Web.
    Valore
    : URL valido che inizia con http:// o https://
  • casso126figsbrit
    Registra stato autenticazione delegata
    Registra se l'autenticazione delegata viene eseguita correttamente. In caso di errore dell'autenticazione delegata, questa impostazione determina il comportamento del sistema di federazione. Per impostazione predefinita, questa casella di controllo è selezionata. Se un utente non fornisce le credenziali per l'accesso a una risorsa protetta configurata per l'autenticazione delegata, l'autenticazione delegata non viene completata. Se tale utente tenta di accedere nuovamente alla risorsa nella stessa sessione del browser, il browser mostra l'errore 404. Inoltre, il sistema di federazione registra un messaggio di errore nei file affwebservices.log e FWSTrace.log. I messaggi di errore indicano che le credenziali per l'autenticazione delegata sono mancanti. Il sistema di federazione non esegue il reindirizzamento dell'utente all'URL dell'autenticazione delegata per l'immissione delle credenziali.
    Per consentire il reindirizzamento dell'utente all'URL dell'autenticazione delegata nella stessa sessione del browser, deselezionare questa casella di controllo. La disabilitazione di questa funzione consente all'utente di ritentare l'accesso alla risorsa nella stessa sessione del browser senza visualizzare l'errore 404. Il sistema di federazione reindirizza quindi il browser all'URL dell'autenticazione delegata. L'utente dovrà immettere nuovamente le credenziali.
  • Parametri della stringa di query per l'autenticazione delegata
    Se si seleziona Stringa di query per il campo Tipo di autenticazione delegata, completare le seguenti impostazioni:
    • Segreto hash
      Indica il segreto condiviso aggiunto all'ID di accesso dell'utente per creare il parametro di query LoginIDHash. L'impostazione è pertinente solo se si seleziona l'opzione della stringa di query come tipo di autenticazione delegata.
    • Conferma segreto hash
      Verifica il segreto hash. Immettere nuovamente il valore del segreto hash.
  • Parametri del cookie open-format per l'autenticazione delegata
    Se si seleziona il cookie open-format, l'utente viene reindirizzato all'applicazione di terze parti con un codice HTTP 302. Il reindirizzamento comprende il cookie open-format, ma senza altri dati. L'applicazione del cliente esegue la decrittografia del cookie crittografato per ottenere le informazioni utente.
    Se il relying party riceve un'asserzione con più valori di attributo, tutti i valori vengono trasferiti all'applicazione di destinazione.
    Se si seleziona l'opzione Cookie open-format per l'autenticazione delegata, sono visualizzati i seguenti campi aggiuntivi:
    Nome cookie open-format
    Specifica il nome del cookie.
    Trasformazione crittografia
    Indica l'algoritmo di crittografia da utilizzare per crittografare il cookie open-format.
    Se si seleziona uno degli algoritmi compatibili con FIPS (algoritmi AES), è necessario che il sistema di destinazione utilizzi l'SDK di
    CA SiteMinder® Federation
    per il cookie. SDK deve trovarsi sullo stesso server dell'applicazione di destinazione.
    Se si utilizza l'SDK .NET di
    CA SiteMinder® Federation
    per il cookie, utilizzare l'algoritmo di crittografia AES128/CBC/PKCS5Padding.
    Password di crittografia
    Indica la password utilizzata per crittografare il cookie. I campi Password di crittografia e Conferma password sono obbligatori.
    Conferma password
    Conferma la voce della password di crittografia.
    Abilita HMAC
    Indica che l'applicazione software genera un codice di autenticazione messaggi basato su hash (HMAC) mediante la password di crittografia fornita nella finestra di dialogo.
    I codici di autenticazione messaggi (MAC) consentono di verificare l'integrità delle informazioni inviate tra due parti. Le due parti condividono una chiave segreta per il calcolo e la verifica dei valori di autenticazione dei messaggi. Un codice di autenticazione messaggi basato su hash (HMAC) è un meccanismo MAC basato su funzioni di crittografia hash.
    Se si seleziona la casella di controllo Abilita HMAC, il sistema genera un valore HMAC per il cookie open-format. L'applicazione software aggiunge il valore HMAC all'inizio del valore del cookie open-format e crittografa la stringa intera. Il sistema inserisce la stringa crittografata nel cookie open-format, che viene quindi trasferito all'applicazione di destinazione.
    Tolleranza cookie (in secondi)
    Specifica il numero di secondi sottratti dall'ora di sistema corrente per calcolare la differenza tra gli orologi di sistema. Tale differenza riguarda il sistema della propria federazione e l'applicazione di terze parti che gestisce l'autenticazione delegata. Il software applica la tolleranza alla generazione e all'utilizzo di cookie in formato aperto.
    Valore
    : immettere un valore in secondi.
    Sovrascrivi la classe di autenticazione con il valore di cookie open-format
    Selezionare questa casella di controllo per sostituire l'URI della classe di autenticazione configurato con l'URI inviato da un sistema di gestione dell'accesso remoto di terze parti e incluso nell'asserzione per il Service Provider.
  • Classe di autenticazione
    Specifica l'URI fornito nell'elemento AuthnContextClassRef dell'asserzione, che descrive la modalità di autenticazione per un utente federato. Se l'utente esegue l'autenticazione in locale, accettare l'URI predefinito per la password. Se l'utente viene autenticato da un sistema remoto di terze parti per la gestione degli accessi, modificare il campo affinché rifletta il metodo di autenticazione.
    Valore predefinito
    : urn:oasis:names:tc:SAML:2.0:am:classes:password
    Valore per la modalità di autenticazione locale
    : urn:oasis:names:tc:SAML:2.0:ac:classes:Password
    Valore per la modalità di autenticazione delegata:
    URI valido per l'elemento AuthnContextClassRef definito nella specifica SAML.
  • Configurazione AuthnContext
    Definisce il metodo utilizzato dal provider di identità per determinare il contesto di autenticazione inserito nell'asserzione. Le opzioni includono:
    • Usa classe di autenticazione predefinita
      Indica al provider di identità di utilizzare un URI di classe di autenticazione codificato nell'asserzione. L'URI è il valore specificato nel campo Classe di autenticazione. Se si seleziona questa opzione, configurare il campo seguente:
      Classe di autenticazione
      Specifica l'URI fornito nell'elemento AuthnContextClassRef dell'asserzione, che descrive la modalità di autenticazione per un utente federato. Accettare l'URI predefinito per Password.
      Valore predefinito
      : urn:oasis:names:tc:SAML:2.0:am:classes:password
    • Rilevamento automatico della classe di autenticazione
      Indica al provider di identità di eseguire il mapping della classe AuthnContext al livello di protezione per la sessione basata su un modello di contesto di autenticazione configurato. Se si seleziona questa opzione, configurare il campo Modello del contesto di autenticazione. Questa impostazione identifica il modello utilizzato dal provider di identità per eseguire il mapping del contesto di autenticazione al livello di protezione associato per una determinata sessione utente.  Selezionare Crea modello per creare un modello invece di sceglierne uno esistente. 
  • Ignora AuthnContext richiesto
    Indica al provider di identità di ignorare l'elemento <RequestedAuthnContext> nella richiesta di autenticazione ricevuta dal Service Provider. L'Identity Provider consente di determinare il contesto di autenticazione mediante una classe di autenticazione predefinita o un modello del contesto di autenticazione.
  • Timeout di inattività (ore:minuti)
    Indica il tempo di inattività di una sessione utente autorizzata prima che il sistema di federazione termini la sessione. Per evitare eventuali problemi quando gli utenti abbandonano la postazione di lavoro dopo aver eseguito l'accesso a una risorsa protetta, impostare il timeout di inattività su un intervallo breve. Se la sessione scade, gli utenti devono eseguire di nuovo l'autenticazione prima di accedere alle risorse.
    Questa funzione è attivata per impostazione predefinita. Per non specificare un timeout di inattività di sessione, deselezionare la casella di controllo. Il timeout di inattività di sessione predefinito è di un'ora.
    Valore predefinito
    : 1 ora
    • Ore
      Specifica il numero di ore per il periodo di timeout di inattività.
    • Minuti
      Specifica il numero di minuti per il periodo di timeout di inattività.
  • Timeout massimo (ore:minuti)
    Indica il tempo massimo di attività di una sessione utente prima che sia richiesta una nuova autenticazione.
    Questa funzione è attivata per impostazione predefinita. Per non specificare una durata massima di sessione, deselezionare la casella di controllo.
    Valore predefinito
    : 2 ore
    • Ore
      Specifica il numero di ore per la durata massima di sessione.
    • Minuti
      Specifica il numero di minuti per la durata massima di sessione.
  • Aggiorna sessione per ForceAuthn
    Selezionare questa casella di controllo per aggiornare l'asserzione con l'ora di inizio della sessione corrente e i timeout massimi di inattività. Questa casella di controllo è valida quando le credenziali sono richieste dal Service Provider e la richiesta di autenticazione include un parametro di query di autenticazione forzata.
    Questa impostazione è deselezionata per impostazione predefinita. L'ora di inizio e i timeout della sessione originale vengono utilizzati per la generazione dell'asserzione.
  • Abilita controllo di sessione avanzato
    Selezionare questa casella di controllo per proteggere le risorse specificate nel realm (del modello di dominio della policy) oppure nel componente (del modello dell'applicazione). È inoltre possibile proteggere le richieste di autenticazione di determinate partnership di federazione. L'endpoint di controllo della sessione raccoglie il DeviceDNA™ dall'utente e convalida la sessione. Questa funzionalità richiede la presenza di endpoint di controllo della sessione.
SSO (provider di identità SAML 2.0)
La sezione SSO consente di configurare Single Sign-On (SSO). Questa sezione contiene le impostazioni seguenti:
  • Binding della richiesta di autenticazione
    Specifica i tipi di binding consentiti dall'IdP quando riceve una richiesta di autenticazione dall'SP.
    Opzioni
    : HTTP-Redirect, HTTP-POST
  • Binding SSO
    Determina il profilo di Single Sign-On utilizzato per l'elaborazione delle richieste. È possibile selezionare tutti i binding. L'entità locale ne determina la sequenza di applicazione.
    Opzioni
    : HTTP-Artifact, HTTP-POST, Enhanced Client o Proxy
    Linee guida per questa impostazione:
    • Se si seleziona l'artifact binding, selezionare una codifica dell'artifact (URL o MODULO). La codifica definisce la modalità di restituzione dell'artifact al relying party. Se si seleziona l'opzione URL, l'artifact viene restituito come parametro di query in un URL. Se si seleziona MODULO, l'artifact viene inviato come dati di modulo. Per l'artifact binding, l'asserzione viene inviata su un back channel protetto. Pertanto, configurare le impostazioni nella sezione Back channel.
    • Quando si seleziona un binding SSO, configurare almeno un Servizio di interpretazione asserzioni con un binding corrispondente.
    • Scegliere il profilo ECP se le entità nella partnership comunicano in modo indiretto tramite un client avanzato. Un client avanzato può essere un browser o un altro agente utente oppure un proxy avanzato, ad esempio un proxy wireless per una periferica senza fili.
    Se si seleziona Enhanced Client e Proxy Profile, è necessario un Servizio di interpretazione asserzioni con binding PAOS.
  • casso126figsbrit
    Tipo di protezione artifact
    Definisce le modalità di protezione del back channel per Single Sign-on di artifact HTTP. L'opzione di legacy indica che
    CA Single Sign-on
    protegge il back channel. L'opzione di partnership indica che la protezione del back channel in
    CA Single Sign-on
    viene eseguita dal componente della federazione.
    Se si ricrea una configurazione di
    eTrust SiteMinder FSS
    nel modello di federazione delle partnership, è possibile utilizzare il metodo di protezione originale del back channel. L'opzione di legacy consente alla configurazione di utilizzare l'URL esistente per il servizio di recupero asserzioni (SAML 1.x) o il servizio di risoluzione artifact (SAML 2.0). Se si seleziona come opzione la legacy,
    CA Single Sign-on
    accetta la richiesta. Non è necessario modificare l'URL. Se viene utilizzato l'URL della configurazione legacy e solo l'opzione di partnership viene selezionata per questa impostazione,
    CA Single Sign-on
    rifiuta la richiesta.
    l'opzione di legacy richiede di applicare la policy che protegge il servizio artifact. Questa policy è un componente di Federation Web Services.
    CA Single Sign-on
    crea policy per Federation Web Services automaticamente. Tuttavia, è necessario applicare la protezione per tali policy. È necessario specificare la partnership che dispone dell'accesso al servizio di recupero dell'artifact.
    Opzioni
    : Legacy, Partnership
  • Codifica artifact
    Specifica la codifica dell'artifact quando si invia al relying party per HTTP-Artifact Single Sign-On.
    Opzioni
    : URL, Modulo
    Se si seleziona URL, l'artifact viene aggiunto a una stringa di query con codifica URL. Se si seleziona Modulo, l'artifact viene aggiunto a un controllo di modulo nascosto in un modulo.
  • Gruppo di destinatari
    Specifica l'URL del gruppo di destinatari. L'URL del gruppo di destinatari identifica il percorso di un documento che descrive i Termini e condizioni dell'accordo commerciale tra l'entità di generazione asserzioni e il relying party. Il gruppo di destinatari viene definito dall'amministratore sul lato dell'entità di generazione asserzioni. Questo valore viene confrontato con il valore del gruppo di destinatari specificato sul lato del relying party.
    Valore
    : URL.
    Il valore del gruppo di destinatari non può superare 1024 e rispetta la distinzione tra maiuscole e minuscole. 
    Esempio
    : http://www.ca.com/fedserver
  • Accetta l'URL ACS in Authnrequest
    Consente al sistema di accettare ed elaborare l'URL del servizio di interpretazione asserzioni nella richiesta di autenticazione in entrata inviata dal relying party. Selezionare questa casella di controllo per consentire al sistema di confermare la presenza e la validità dell'URL e che la sua inclusione nei metadati.
  • Transazioni consentite
    Indica quale partner può avviare Single Sign-On. Controllando quale partner avvia Single Sign-On consente di gestire le chiamate di federazione. Per un valore avviato solo dal service provider, il service provider può richiedere un contesto di autenticazione specifico restituito nell'asserzione prima di consentire l'accesso a una risorsa.
  • Durata validità SSO (in secondi)
    Specifica un numero di secondi di validità per un'asserzione generata. Per Single Sign-On, la durata della validità SSO e la tolleranza forniscono al Policy Server le istruzioni per calcolare il tempo totale di validità della richiesta di Single Sign-On. In un ambiente di test, è possibile aumentare il valore della durata di validità oltre 60, l'impostazione predefinita, se nel log di traccia è riportato il seguente messaggio:
    Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237)  - 
    current time (Fri Sep 09 17:28:33 EDT 2005) is after SessionNotOnOrAfter
    time (Fri Sep 09 17:28:20 EDT 2005)
    Valore
    : immettere un numero intero positivo.
    Valore predefinito
    : 60
  • Durata consigliata della sessione SP
    Specifica la durata di attività della sessione sul lato del service provider.
    Nell'elemento <AuthnStatement> dell'asserzione, il Policy Server calcola l'attributo SessionNotOnOrAfter mediante la formula tempo_corrente + durata_validità + tempo_tolleranza. Quando un service provider tenta di impostare il timeout di sessione su questo valore, la sessione è troppo breve. È possibile risolvere questo problema utilizzando il valore della durata di validità SSO o modificando il valore SessionNotOnOrAfter.
    Opzioni:
    • Usa validità dell'asserzione
      Calcola il valore SessionNotOnOrAfter in base all'impostazione Durata validità SSO.
    • Customize Assertion Session Duration (Personalizza durata di sessione asserzione)
      Selezionare una delle seguenti opzioni:
      Ometti
      : indica al provider di identità di non includere il parametro SessionNotOnOrAfter nell'asserzione.
      Sessione IDP
      : calcola il valore SessionNotOnOrAfter in base al timeout di sessione del provider di identità. Il timeout viene configurato nel realm del provider di identità per l'URL di autenticazione. Mediante questa opzione è possibile sincronizzare i valori di timeout della sessione per il provider di identità e il service provider.
      Personalizzato
      : imposta il timeout su un valore personalizzato in ore e minuti.
  • Abilita risposta di autenticazione negativa
    Fa sì che il Service Provider riceva la notifica quando una richiesta di autenticazione utente non riesce.
  • Abilita consenso dell'utente
    Per una maggiore privacy dell'utente, è possibile richiedere il consenso dell'utente affinché l'entità di generazione asserzioni condivida le informazioni di identità con il service provider. Se si seleziona la casella di controllo Abilita consenso dell'utente, l'entità di generazione asserzioni richiede il consenso all'utente. L'entità di generazione asserzioni trasferisce il valore nell'asserzione.
    Se la casella di controllo è abilitata, vengono visualizzati i due campi seguenti:
    • URL di servizio del consenso dell'utente
      Specifica l'URL per il servizio di consenso dell'utente sul lato dell'entità di generazione asserzioni. Il valore predefinito è http://
      idp_site
      :8999/affwebservices/public/saml2userconsent
    • Modulo di inserimento del consenso dell'utente
      Nome del modulo HTML di pubblicazione automatica personalizzata per il consenso dell'utente. Immettere solo il nome del modulo, non il percorso. L'utente può configurare il modulo HTML presentato dall'entità di generazione asserzioni all'utente per ottenere il consenso. È possibile personalizzare il modulo per soddisfare le proprie esigenze aziendali.
      La pagina fisica deve trovarsi nella directory %NETE_WA_ROOT%\customization, in cui %NETE_WA_ROOT% è la posizione dell'Option Pack dell'agente Web. Se l'agente Web e l'Option Pack dell'agente Web sono installati sullo stesso sistema, vengono installati nella stessa directory, ad esempio, webagent\customization.
  • Livello di autenticazione minimo
    Specifica il livello minimo di autenticazione dell'utente per consentire l'accesso a un realm. Se l'utente ha eseguito l'autenticazione a questo livello o ad uno superiore, il provider di identità genera un'asserzione per l'utente. Se l'utente non viene autenticato a questo livello o a uno superiore, viene reindirizzato all'URL di autenticazione per questo livello.
  • Modulo di inserimento personalizzato
    Nome del modulo HTML di inserimento automatico personalizzato per Single Sign-On HTTP POST. Immettere solo il nome del modulo, non il percorso. Il Policy Server fornisce un modulo denominato defaultpostform.html. Un modulo personalizzato di pubblicazione automatica permette al Policy Server di inviare le informazioni SAML al consumatore. La pagina fisica deve trovarsi nella directory %NETE_WA_ROOT%\customization, in cui %NETE_WA_ROOT% è la posizione dell'Option Pack dell'agente Web. Se l'agente Web e l'Option Pack dell'agente Web sono installati sullo stesso sistema, vengono installati nella stessa directory, ad esempio, webagent\customization.
  • Periodo di convalida
    Per visualizzare questa casella di controllo, abilitare il server di sessione utilizzando la console di gestione del Policy Server.
    Determina il periodo massimo tra ciascuna chiamata dell'agente al Policy Server per la convalida di una sessione. Le chiamate di convalida della sessione indicano al Policy Server che l'utente è attivo e confermano la validità della sessione utente. Per specificare il periodo di convalida, immettere i valori nei campi Ore, Minuti e Secondi. Se il sistema viene configurato per fornire un contesto di protezione dell'utente di Windows, impostare un valore alto, ad esempio, 15-30 minuti. 
    il valore del periodo di convalida di una sessione deve essere inferiore al valore di timeout di inattività specificato.
  • Impostazione di OneTimeUseCondition
    Indica al service provider di utilizzare subito l'asserzione senza conservarla per l'uso in futuro. L'asserzione è destinata all'uso per una sola volta. La condizione OneTimeUse è utile perché le informazioni in un'asserzione possono cambiare o scadere e il service provider può così utilizzare un'asserzione con informazioni aggiornate. Invece di riutilizzare l'asserzione, il service provider deve richiedere una nuova asserzione dal provider di identità.
  • URL del servizio di interpretazione asserzioni
    Questa sezione consente di assegnare valori indicizzati agli URL del servizio di interpretazione asserzioni. L'assegnazione di numeri indicizzati consente di usare varie voci del Servizio di interpretazione asserzioni per il binding di protocollo differenti. Il relying party include il numero indicizzato per l'URL appropriato nell'elemento AuthnRequest inviato all'entità di generazione asserzioni.
    La tabella in questa sezione contiene i campi seguenti:
    • Indice
      Specifica il numero indicizzato per l'URL di un Servizio di interpretazione asserzioni sul lato del relying party.
      Valore predefinito
      : 0
      Valore
      : numero intero univoco compreso tra 0 e 65535
    • Binding
      Specifica il binding di Single Sign-On utilizzato per il servizio di interpretazione asserzioni.
      Una richiesta indesiderata può avviare Single Sign-On sul lato dell'entità di generazione asserzioni. Se il collegamento che attiva la richiesta include il parametro di query ProtocolBinding, il binding specificato in tale parametro sostituisce il valore per questo campo.
      Impostazione predefinita
      : HTTP-POST
      Opzioni
      : HTTP-Artifact, HTTP-POST, PAOS
    • URL
      Specifica l'URL del Servizio di interpretazione asserzioni sul lato del relying party.
      Valore predefinito: (
      CA Single Sign-on
      come Service Provider)
      : http://
      sp_server:port
      /affwebservices/public/saml2assertionconsumer
    • Predefinito
      (Facoltativo) Indica che l'URL selezionato è la voce predefinita. Selezionare la casella di controllo accanto alla voce da utilizzare come valore predefinito.
SLO (provider di identità SAML 2.0)
La sezione SLO consente di configurare il single logout (SLO). Questa sezione contiene le impostazioni seguenti:
  • Binding SLO
    Specifica se il profilo di single logout è abilitato sul lato dell'entità di generazione asserzioni e quale binding è in uso. Il binding di reindirizzamento HTTP invia messaggi SLO tramite richieste HTTP GET. Il binding SOAP non si basa su HTTP dopo la richiesta iniziale e invia messaggi tramite un back channel.
    Opzioni:
    Reindirizzamento HTTP, HTTP-POST, SOAP. Se si seleziona questa opzione, viene visualizzata la sezione Ricerca utente per i servizi di attributo e ID nome. Specificare una ricerca di directory utenti nel campo Personalizzato. Il valore immesso fornisce al Policy Server le informazioni per la ricerca dell'utente nella directory utenti.  Immettere una stringa di ricerca appropriata per il tipo di directory, ad esempio:
    LDAP:
    uid=%s
    ODBC:
    name=%s
  • URL di conferma SLO
    Specifica l'URL di reindirizzamento utente al completamento del processo di single logout. In genere, l'URL di conferma fa riferimento a un percorso sul sito di avvio del single logout. Se SLO viene avviato sul proprio sito, il sistema utilizza questo URL. La risorsa dell'URL deve essere una risorsa locale accessibile dal proprio sito, non una risorsa in un dominio di partner federato. Ad esempio, se il dominio locale è acme.com e il partner è example.com, l'URL di conferma SLO deve trovarsi in acme.com.
    Valore
    : URL valido 
  • Durata validità SLO (in secondi)
    Specifica il numero di secondi di validità per una richiesta SLO.
    Valore predefinito
    : 60 secondi
    Valore
    : numero intero positivo
  • Lo stato di inoltro sovrascrive l'URL di conferma SLO (solo Reindirizzamento HTTP)
    Sostituisce l'URL nel campo URL di conferma SLO con il valore del parametro di query Stato di inoltro nella richiesta di single logout. La casella di controllo offre un maggiore controllo sulla destinazione di conferma per il single logout. Il parametro di query Stato di inoltro consente di definire in modo dinamico l'URL di conferma per richieste SLO.
  • Riutilizza indice di sessione
    Indica se
    CA Single Sign-on
     invia lo stesso indice di sessione nell'asserzione per lo stesso partner in una singola sessione di browser. Un utente può federarsi più volte con lo stesso partner tramite la stessa finestra del browser. Se selezionata, l'opzione indica al provider di identità di inviare lo stesso indice di sessione in ciascuna asserzione. Se l'opzione è disabilitata, 
    CA Single Sign-on
    genera un nuovo indice di sessione per ciascun Single Sign-On. 
    È possibile abilitare questa opzione per assicurare il single logout con partner di terze parti che non rispettano l'indice di sessione trasferito in asserzioni più nuove.
    Nota
    l'impostazione è pertinente solo se il single logout è abilitato.
  • URL servizio SLO
    Elenca gli URL di servizio SLO disponibili. La tabella include le voci seguenti:
    • Seleziona
      Indica che il valore corrisponde alla voce per l'URL di servizio SLO.
    • Binding
      Indica il binding per la connessione SLO.
      Opzioni
      : Reindirizzamento HTTP, SOAP
    • URL percorso
      Specifica l'URL del servizio di single logout sul lato del partner remoto al quale viene inviata la richiesta di single logout.
      Valore
      : URL valido
      Se il sistema di federazione si trova sul lato del service provider remoto, utilizzare gli URL seguenti:
      Binding di reindirizzamento HTTP: 
      http://
      sp_host:port
      /affwebservices/public/saml2slo
      Binding HTTP-POST:
      http://sp_host:port/affwebservices/public/saml2slo
      Binding SOAP: 
      http://
      sp_host:port
      /affwebservices/public/saml2slosoap
      Se un prodotto di federazione di terze parti si trova sul lato del service provider, utilizzare l'URL appropriato per quel prodotto.
  • URL del percorso di risposta
    (Facoltativo) Specifica l'URL del servizio di single logout per l'entità. L'URL del percorso di risposta viene utilizzato in una configurazione che presenta un servizio per richieste di single logout e un altro per risposte di single logout. Per impostazione predefinita, se si fornisce solo l'URL del percorso, questo viene utilizzato per la richiesta e la risposta.
    Valore
    : URL valido
Servizio di gestione dell'ID nome
Questa sezione descrive i campi per configurare il servizio di gestione ID nome.
  • Binding MNI: SOAP
    Abilita il servizio di gestione dell'ID nome. SOAP è l'unico binding supportato.
  • Crittografa ID nome
    Crittografa l'ID nome
  • Richiedi ID nome crittografato
    Richiede un ID nome crittografato nei messaggi ricevuti
  • Richiesta di firma
    Firma il messaggio di richiesta ManageNameID.
  • Richiedi richiesta firmata
    Richiede un messaggio di richiesta ManageNameID firmato.
  • Firma risposta
    Firma il messaggio di risposta ManageNameId.
  • Richiedi risposta firmata
    Richiede un messaggio di risposta ManageNameID firmato.
  • Elimina ID nome
    Cancella l'attributo della directory utenti che contiene il NameID utente per questa partnership. Nota: selezionare l'opzione Elimina ID nome o Consenti notifica per attivare la funzionalità.
  • Timeout SOAP (in secondi)
    Specifica il numero di minuti di attesa del timeout di richiesta.
    Valore predefinito
    : 60
  • Numero di tentativi
    Specifica il numero di volte in cui una richiesta viene ripetuta.
    Valore predefinito
    : 3
  • Limite di ripetizione (minuti)
    Specifica il numero di minuti di attesa prima di tentare nuovamente l'azione dopo un errore del messaggio.
    Valore predefinito
    : 15
  • (Facoltativo) Abilita notifica
    Indica all'entità federata di
    Single Sign-On
    di notificare l'applicazione del cliente quando avviene la terminazione dell'utente. Una notifica indica al servizio NameID in background quando la terminazione NameID ha esito positivo. Se il cliente in possesso dell'applicazione richiesta desidera controllare la rimozione di un utente dalla directory utenti, abilitare le notifiche. 
  • URL di notifica
    Specifica l'URL del provider di identità remoto o del Service Provider per l'invio da parte dell'entità federata della notifica relativa alla terminazione dell'ID utente per l'utente federato.
  • Timeout notifica (in secondi)
    Specifica il numero di secondi di attesa per la scadenza della richiesta di notifica.
  • Tipo di autenticazione notifica
    Specifica se il cliente richiede le credenziali durante l'invio di una terminazione. Se si seleziona Basic, il servizio di notifica effettua un callout in background verso gli URL di notifica. L'applicazione del cliente può eseguire l'autenticazione della federazione di
    Single Sign-On
    per effettuare il callout. Se si seleziona Basic, specificare i valori per le impostazioni di notifica del nome utente e della password. Questi valori fungono da credenziali durante l'invio di un callout verso il canale di notifica.
    Opzioni
    : NoAuth, Di base
  • Notifica nome utente
    Specifica un nome utente per il servizio di notifica. Questo nome è parte integrante delle credenziali per l'applicazione del cliente verificare l'entità di comunicazione tra l'URL di notifica. 
  • Password di notifica
    Specifica una password per il servizio di notifica. La password è parte integrante delle credenziali per l'applicazione del cliente per la verifica dell'entità di comunicazione con l'URL di notifica.  Un'applicazione del cliente fornisce l'autenticazione per garantire che la notifica venga inviata da un client valido.
  • Password di conferma notifica
    Consente di confermare il valore Password di notifica.
Back channel (provider di identità SAML 2.0)
casso126figsbrit
La sezione Back channel consente di configurare il metodo di autenticazione tramite back channel. Il back channel ha diversi scopi a seconda dei criteri seguenti:
  • HTTP-Artifact Single Sign-On è configurato.
  • Il single logout tramite binding SOAP è configurato.
  • Il sistema di federazione in uso corrisponde al provider di identità o al Service Provider.
  • La comunicazione avviene su un canale in entrata o in uscita.
La sezione Back channel mostra le impostazioni seguenti:
  • Configurazione in ingresso/Configurazione in uscita
    Configurazione di un back channel in ingresso o in uscita in base alle necessità, per i binding selezionati. Il back channel ha solo una configurazione. Se due servizi utilizzano lo stesso canale, utilizzeranno anche la stessa configurazione del back channel. Ad esempio, il canale in entrata per un provider di identità (IdP) locale supporta HTTP-Artifact SSO e SLO mediante SOAP. Questi due servizi devono utilizzare la stessa configurazione del back channel.
  • Metodo di autenticazione
    Specifica il metodo di autenticazione che protegge il back channel.
    Valore predefinito
    : NoAuth
    Opzioni
    : Di base, Certificato client, NoAuth
    Di base
    Indica che uno schema di autenticazione di base sta proteggendo la comunicazione attraverso il back channel.
    Nota
    : se SSL è abilitato per la connessione back channel, è possibile selezionare l'autenticazione di base.
    Se si seleziona l'autenticazione di base, è necessario configurare le seguenti impostazioni aggiuntive:
    • Nome utente back channel
      (Autenticazione di base, solo canale in uscita). Specifica il nome utente dell'SP quando si utilizza l'autenticazione di base nel back channel. Immettere il nome della partnership configurata sul lato IdP remoto. Ad esempio, sul lato IdP remoto, una partnership denominata Partners1 viene definita tra CompanyA (IdP) e CompanyB (SP). In CompanyB, il Service Provider locale, il valore immesso è Partners1, in modo da collegare questo nome utente alla partnership associata all'IdP.
    • Password
      Specifica la password utente per il nome utente del back channel. Questa password è pertinente solo il back channel utilizza il metodo di autenticazione di base o il metodo di base su SSL.
      La password viene definita di comune accordo dai due partner.
    • Conferma password
      Conferma l'immissione della password.
    • Timeout back channel (secondi)
      (Solo canale in uscita) Specifica il tempo di attesa massimo di una risposta da parte del sistema dopo l'invio di una richiesta di back channel al servizio di risoluzione artifact. Specificare un intervallo in secondi.
      Impostazione predefinita
      : 300 secondi
      Valore
      : numero intero positivo
  • Certificato client
    Indica che uno schema di autenticazione con certificato client X.509 protegge la comunicazione con il servizio di risoluzione artifact nel back channel.
    L'autenticazione con certificato client richiede l'uso di SSL per tutti gli URL endpoint. Gli URL endpoint individuano i vari servizi SAML su un server, come il servizio di risoluzione artifact. Il requisito SSL indica che gli URL dei servizi devono iniziare con
    https://
    .
    Per implementare l'autenticazione con certificato client, l'SP invia un certificato all'entità di generazione asserzioni prima che si verifichi qualsiasi transazione. L'entità di generazione asserzioni archivia il certificato nel proprio database. Entrambi i partner devono disporre del certificato di abilitazione della connessione SSL nei rispettivi database, in caso contrario l'autenticazione con certificato client non funziona.
    Durante il processo di autenticazione, il relying party invia il proprio certificato all'entità di generazione asserzioni. L'entità di generazione asserzioni confronta il certificato ricevuto con quello disponibile nel proprio database per verificarne la corrispondenza. In caso di corrispondenza, l'entità di generazione asserzioni consente al relying party di accedere al servizio di risoluzione artifact.
    Se si seleziona l'autenticazione con certificato client, configurare l'impostazione aggiuntiva seguente:
    • Alias del certificato client
      Specifica l'alias associato a un certificato client nel database chiave. Selezionare l'alias dall'elenco a discesa.
    • Timeout back channel (secondi)
      (Solo canale in uscita). Specifica il tempo di attesa massimo di
      CA Single Sign-on
      per una risposta dopo l'invio di una richiesta di back channel al servizio di risoluzione artifact. Specificare un intervallo in secondi.
      Impostazione predefinita
      : 300 secondi
      Valore
      : numero intero positivo
  • NoAuth
    Indica che le credenziali del relying party non sono richieste. Il back channel e il servizio di risoluzione artifact non sono protetti. È ancora possibile abilitare SSL con questa opzione. Il traffico del back channel è crittografato ma tra le parti non vengono scambiate credenziali.
    Selezionare NoAuth per scopi di test, ma non per la produzione, salvo quando il sistema di federazione è configurato per il failover con SSL abilitato e utilizza un server proxy. Il server proxy gestisce l'autenticazione quando dispone del certificato di server. In questo caso, tutte le partnership IdP->SP utilizzano NoAuth come tipo di autenticazione.
Servizio di attributo a livello del provider di identità
È possibile configurare un provider di identità in modo che funga da autorità di attributo. L'autorità può rispondere a una query dell'attributo da un richiedente SAML. Il richiedente può autorizzare un utente in base agli attributi recuperati.
La sezione Servizio di attributo contiene i campi seguenti per il supporto delle query di attributo:
  • Abilita
    Consente al provider di identità di agire da autorità di attributo. In quanto autorità di attributo, il sistema è in grado di rispondere a un messaggio di query da un richiedente SAML.
  • Richiedi query dell'attributo di firma
    Indica che l'autorità di attributo richiede una query dell'attributo con firma digitale da parte del richiedente SAML.
  • casso126figsbrit
    Abilita query proxy
    Indica che un IdP di terze parti risponde alla query di attributo. Questa funzionalità viene utilizzata per le distribuzioni in cui una terza parte funge da IdP e da autorità di attributo. Il sistema del Policy Server locale in fase di configurazione presenta due ruoli durante l'implementazione di una query proxy. Il sistema agisce come service provider e come richiedente di attributi relativo all'IdP di terze parti. Inoltre, il sistema locale funge da IdP e da autorità di attributo relativa al service provider proprietario dell'applicazione richiesta.
    La query proxy viene eseguita quando si verificano le condizioni seguenti:
    • L'attributo non viene trovato nella directory utente o nel session store del sistema locale.
    • L'autenticazione dell'utente viene eseguita inizialmente dall'IdP di terze parti.
    Il Policy Server interroga l'IdP di terze parti. Se l'IdP trova l'attributo, restituisce una risposta di query. Il Policy Server aggiunge gli attributi della risposta al session store. Il sistema restituisce quindi la risposta con gli attributi al Service Provider titolare dell'applicazione. Questo Service Provider corrisponde al richiedente di attributo originale.
    Nota
    gli URL per il servizio di attributo dell'IdP vengono configurati a livello della partnership Service Provider.
  • Durata in secondi della validità
    Specifica il numero di secondi di validità dell'asserzione.
  • Opzioni di firma
    Indica i requisiti di firma per asserzioni di attributo e risposte.
    • Firma asserzione
      Indica all'autorità di attributo di firmare solo l'asserzione di attributo. La risposta SAML non viene firmata.
    • Firma risposta
      Indica all'autorità di attributo di firmare solo la risposta SAML.
    • Firma entrambi
      Indica all'autorità di attributo di firmare l'asserzione di attributo e la risposta SAML.
    • Nessuna firma
      Indica all'autorità di attributo di non firmare né l'asserzione di attributo, né la risposta SAML.
  • Ricerca utente
    Definisce le specifiche di ricerca per gli spazi dei nomi di directory utenti. L'autorità di attributo utilizza la specifica di ricerca per individuare l'utente a livello locale. La specifica di ricerca deve includere NameId dell'oggetto dalla query dell'attributo per individuare l'utente.
    Immettere nel campo una specifica di ricerca per il tipo di spazio dei nomi utilizzato.
    Nota
    è necessario immettere almeno una specifica di ricerca
IDP Discovery (provider di identità SAML 2.0)
La sezione per il rilevamento IDP consente di configurare il profilo di Identity Provider Discovery. Questo profilo consente al relying party di determinare l'entità di generazione asserzioni utilizzata da un principale.
Questa sezione contiene le impostazioni seguenti:
  • Abilita rilevamento IDP
    Abilita o disabilita il profilo di Identity Provider Discovery.
  • URL servizio
    Specifica l'URL del servlet di profilo di Identity Provider Discovery sul lato dell'entità locale.
  • Dominio comune
    Specifica il dominio del cookie di dominio comune in cui il servizio di Identity Provider Discovery archivia le informazioni sull'entità di generazione asserzioni. È necessario che il dominio sia un dominio padre dell'host nell'URL di servizio.
    Valore
    : dominio di cookie valido
  • Abilita cookie permanente
    Indica che il cookie deve essere permanente.
URL di reindirizzamento dello stato (provider di identità SAML 2.0)
La sezione URL di reindirizzamento dello stato consente di determinare la modalità di reindirizzamento utente in caso di errori HTTP 500, 400 e 405.
Selezionare le opzioni di reindirizzamento che si desiderano abilitare, quindi immettere l'URL associato.
Sono disponibili le seguenti opzioni:
  • Abilita reindirizzamento degli errori del server
    URL di reindirizzamento dell'errore del server
    : specifica l'URL di reindirizzamento utente in caso di errore del server HTTP 500. Un utente può riscontrare un errore 500 perché una condizione imprevista impedisce al server Web di eseguire la richiesta del client. Se si verifica questo errore, l'utente viene inviato all'URL specificato per un'ulteriore elaborazione.
    Esempio
    : http://www.redirectmachine.com/error_pages/server_error.html
  • Abilita reindirizzamento delle richieste non valide
    URL di reindirizzamento della richiesta non valida
    : specifica l'URL di reindirizzamento utente da parte del browser in caso di errore HTTP 400 - Richiesta non valida o HTTP 405 - Metodo non consentito. Un utente può riscontrare un errore 400 a causa di una richiesta non valida. Un utente può riscontrare un errore 405 anche quando il server Web non consente l'esecuzione di un metodo o di un'azione particolare. Se si verificano questi errori, l'utente viene inviato all'URL specificato per un'ulteriore elaborazione.
    Esempio: http://www.redirectmachine.com/error_pages/invalidreq_error.html
  • Abilita reindirizzamento degli accessi non autorizzati
    URL di reindirizzamento per l'accesso non autorizzato:
    specifica l'URL di reindirizzamento utente in caso di errore HTTP 403 - Accesso negato. Questo errore si verifica perché l'utente non dispone delle autorizzazioni necessarie per una transazione federata. È possibile riscontrare un errore 403 perché l'URL in una richiesta punta alla destinazione errata, ad esempio a una directory invece che a un file.
    Esempio
    : http://www.redirectmachine.com/error_pages/unauthorized_error.htm
  • 302 Nessun dato (valore predefinito)
    Reindirizza l'utente mediante un codice HTTP 302 con un cookie di sessione, ma senza altri dati.
  • HTTP Post
    Reindirizza l'utente mediante il protocollo HTTP POST.