Finestra di dialogo SSO e SLO (service provider SAML 2.0)
casso126figsbrit
HID_partnerships-SSO-relying
Il passaggio per SSO e SLO consente di definire la configurazione di Single Sign-On e single logout.
Nota
per visualizzare le impostazioni SLO, abilitare il server di sessione mediante la console di gestione del Policy Server.SSO (service provider SAML 2.0)
La sezione SSO consente di configurare le informazioni di Single Sign-On (SSO). Le impostazioni comprendono:
Binding della richiesta di autenticazione
Specifica i tipi di binding che l'SP utilizza quando invia una richiesta di autenticazione all'IdP.
Opzioni
: HTTP-Redirect, HTTP-POSTProfilo SSO
Determina il profilo di Single Sign-On utilizzato dal sistema di federazione per l'elaborazione delle richieste. È possibile selezionare tutti i binding. L'entità locale ne determina la sequenza di applicazione.
Opzioni
: HTTP-Artifact, HTTP-POST, Enhanced Client o ProxySelezionare il profilo ECP se le entità nella partnership comunicano in modo indiretto tramite un client avanzato. Un client avanzato può essere un browser o un altro agente utente oppure un proxy avanzato, ad esempio un proxy wireless per una periferica senza fili.
Gruppo di destinatari
Specifica il gruppo di destinatari per l'asserzione SAML.
Il gruppo di destinatari è l'URL di un documento che descrive i Termini e condizioni dell'accordo commerciale tra due partner federati. Il gruppo di destinatari viene definito dall'amministratore sul lato dell'entità di generazione asserzioni. Il valore immesso deve corrispondere al valore del gruppo di destinatari specificato a livello dell'entità di generazione asserzioni.
Valore
: URL.Esempio
: http://www.ca.com/fedserverTransazioni consentite
Indica quale partner può avviare Single Sign-On. Controllando quale partner avvia Single Sign-On consente di gestire le chiamate di federazione. Ad esempio, è possibile selezionare le transazioni avviate solo dal service provider. In tal caso, un service provider può avviare una transazione federata solo quando richiede un contesto di autenticazione specifico.
Richiedi consenso dell'utente
Indica che il service provider richiede al provider di identità di chiedere l'autorizzazione all'utente per condividere le informazioni di identità. Per la conferma del consenso, il service provider confronta il valore del consenso dell'utente nell'asserzione ricevuta con uno dei seguenti valori di consenso:
- urn:oasis:names:tc:SAML:2.0:consent:obtainedIl provider di identità ha ricevuto il consenso dall'utente.
- urn:oasis:names:tc:SAML:2.0:consent:priorIl provider di identità ha ricevuto il consenso dall'utente prima della transazione di Single Sign-On.
- urn:oasis:names:tc:SAML:2.0:consent:current-implicitIl provider di identità ha ricevuto il consenso implicito durante la transazione di Single Sign-On. Spesso si tratta di una fase compresa in un'attività che implica il consenso. In genere, il consenso implicito si ha in concomitanza della transazione a differenza del consenso richiesto prima.
- urn:oasis:names:tc:SAML:2.0:consent:current-explicitIl provider di identità ha ricevuto il consenso durante l'azione di avvio della transazione di Single Sign-On.
Livello di protezione
Abilita Single Sign-on per schemi di autenticazione con livelli di protezione uguali o inferiori nello stesso dominio di policy. Il livello di protezione richiede un'ulteriore autenticazione per l'accesso alle risorse con schemi di livello di protezione superiore.
Valore
: da 1 a 1000.Il livello di protezione predefinito degli schemi di autenticazione è modificabile. Utilizzare livelli di protezione elevati per risorse critiche e schemi di livello basso per risorse accessibili comunemente.
Applica asserzione singola
Impedisce il riutilizzo delle asserzioni SAML 2.0 sul lato del service provider per stabilire una seconda sessione.
Abilita audit sincrono
Indica che le azioni del Policy Server e dell'agente Web devono essere registrate affinché gli utenti possano accedere alle risorse. Il Policy Server permetterà l'accesso alle risorse del realm soltanto dopo che l'attività è stata registrata nei log di audit
.
Usa sessione permanente
(Facoltativo) Specifica che le sessioni utente vengono registrate e salvate nel session store e nei cookie. Il Policy Server dispone dell'accesso a queste informazioni ai fini delle operazioni di autenticazione. Per visualizzare questa casella di controllo, abilitare il server di sessione utilizzando la console di gestione del Policy Server.
Selezionare la casella di controllo per abilitare le sessioni permanenti. La selezione di questa casella di controllo è obbligatoria per le funzionalità di single logout e di policy singole.
Periodo di convalida
Determina il periodo massimo tra ogni chiamata dell'agente al Policy Server per la convalida di una sessione. Le chiamate di convalida della sessione indicano al Policy Server che un utente è ancora attivo e confermano la validità della sessione utente.
Per specificare il periodo di convalida, immettere i valori nei campi Ore, Minuti e Secondi. Per fornire un contesto di protezione dell'utente di Windows, impostare un valore alto, ad esempio, 15-30 minuti. Inoltre, se il numero di sessioni attive è minore rispetto al valore massimo di cache di sessione utente dell'agente, non è necessario che l'agente esegua una nuova convalida per una sessione con il server di sessione.
Importante
: il valore del periodo di convalida di una sessione deve essere inferiore al valore di timeout di inattività specificato.Inviare l'URL ACS nella richiesta di autenticazione
Selezionare questa casella di controllo per includere l'URL del servizio di interpretazione asserzioni nella richiesta di autenticazione inviata al provider di identità. Questo URL indica al provider di identità dove inviare la risposta di asserzione.
URL servizio SSO remoto
Elenca gli URL dei servizi di Single Sign-On sul lato dell'entità di generazione asserzioni. Ciascuna voce nella tabella specifica il percorso di reindirizzamento di un messaggio AuthnRequest da parte di un servizio AuthnRequest. Fare clic su Aggiungi riga per aggiungere più voci alla tabella. I valori definiti durante la creazione o l'importazione del relying party remoto vengono immessi in questa tabella.
La tabella include le colonne seguenti:
- SelezionaIndica la voce da utilizzare.
- BindingSpecifica il binding supportato sul lato dell'entità di generazione asserzioni.Opzioni: Reindirizzamento HTTP, HTTP-POST, SOAP
- URLSpecifica il servizio di Single Sign-On sul lato dell'entità di generazione asserzioni.Valore: URL del servizio SSO sul lato dell'entità di generazione asserzioni remota
- EliminaL'icona consente di eliminare la voce.
URL di risoluzione dell'artifact SOAP remoto
Elenca gli URL del servizio di risoluzione artifact sul lato dell'entità di generazione asserzioni. Questo servizio recupera l'asserzione basata sull'artifact ricevuto dal relying party. In questa tabella è necessaria una voce per Single Sign-On dell'artifact. I valori definiti durante la creazione o l'importazione del relying party remoto vengono immessi in questa tabella.
La tabella include le colonne seguenti:
- SelezionaIndica aCA Single Sign-onla voce da utilizzare.
- IndiceAssocia un valore indicizzato all'URL specifico del servizio di risoluzione artifact. Il valore pari a zero indica la voce predefinita.Valore predefinito: 0Limiti: da 0 a 65535
- URLURL del servizio di risoluzione artifact.Se il provider di identità remoto utilizzaCA Single Sign-on, utilizzare l'URL seguente:http://idp_host:port/affwebservices/public/saml2ars
- EliminaL'icona consente di eliminare la voce.
Servizio di gestione dell'ID nome
Questa sezione descrive i campi per configurare il servizio di gestione ID nome.
- Binding MNI: SOAPAbilita il servizio di gestione dell'ID nome. SOAP è l'unico binding supportato.
- Crittografa ID nomeCrittografa l'ID nome
- Richiedi ID nome crittografatoRichiede un ID nome crittografato nei messaggi ricevuti
- Richiesta di firmaFirma il messaggio di richiesta ManageNameID.
- Richiedi richiesta firmataRichiede un messaggio di richiesta ManageNameID firmato.
- Firma rispostaFirma il messaggio di risposta ManageNameId.
- Richiedi risposta firmataRichiede un messaggio di risposta ManageNameID firmato.
- Elimina ID nomeCancella l'attributo della directory utenti che contiene il NameID utente per questa partnership. Nota: selezionare l'opzione Elimina ID nome o Consenti notifica per attivare la funzionalità.
- Timeout SOAP (in secondi)Specifica il numero di minuti di attesa del timeout di richiesta.Valore predefinito: 60
- Numero di tentativiSpecifica il numero di volte in cui una richiesta viene ripetuta.Valore predefinito: 3
- Limite di ripetizione (minuti)Specifica il numero di minuti da attendere prima tentare nuovamente l'azione, dopo un errore del messaggio.Valore predefinito: 15
- (Facoltativo) Abilita notificaIndica all'entità federata diSingle Sign-Ondi notificare l'applicazione del cliente quando avviene la terminazione dell'utente. Una notifica indica al servizio NameID in background quando la terminazione NameID ha esito positivo. Se il cliente in possesso dell'applicazione richiesta desidera controllare la rimozione di un utente dalla directory utenti, abilitare le notifiche.
- URL di notificaSpecifica l'URL del provider di identità remoto o del Service Provider per l'invio da parte dell'entità federata della notifica relativa alla terminazione dell'ID utente per l'utente federato.
- Timeout notifica (in secondi)Specifica il numero di secondi di attesa per la scadenza della richiesta di notifica.
- Tipo di autenticazione notificaSpecifica se il cliente richiede le credenziali durante l'invio di una terminazione. Se si seleziona Basic, il servizio di notifica effettua un callout in background verso gli URL di notifica. L'applicazione del cliente può eseguire l'autenticazione della federazione diSingle Sign-Onper effettuare il callout. Se si seleziona Basic, specificare i valori per le impostazioni di notifica del nome utente e della password. Questi valori fungono da credenziali durante l'invio di un callout verso il canale di notifica.Opzioni: NoAuth, Di base
- Notifica nome utenteSpecifica un nome utente per il servizio di notifica. Questo nome è parte integrante delle credenziali per l'applicazione del cliente verificare l'entità di comunicazione tra l'URL di notifica.
- Password di notificaSpecifica una password per il servizio di notifica. La password è parte integrante delle credenziali per l'applicazione del cliente per la verifica dell'entità di comunicazione con l'URL di notifica. Un'applicazione del cliente fornisce l'autenticazione per garantire che la notifica venga inviata da un client valido.
- Password di conferma notificaConsente di confermare il valore Password di notifica.
Attributo del servizio richiedente a livello del Service Provider
Nella sezione Attributo del servizio richiedente, configurare gli attributi che il richiedente di attributo desidera recuperare da un'autorità di attributo. Questi attributi verranno inclusi nella query di attributo inviata all'autorità di attributo.
Questa sezione contiene le impostazioni seguenti:
- AbilitaConsente al richiedente di generare query di attributo.
- Asserzioni firmate obbligatorieIndica che il richiedente di attributo accetta unicamente asserzioni di attributo firmate dall'autorità di attributo. Le asserzioni non firmate vengono rifiutate.
- casso126figsbritAbilita query proxyIndica che un IdP di terze parti risponde alla query di attributo. Questa funzionalità viene utilizzata per le distribuzioni in cui una terza parte funge da IdP e da autorità di attributo. Il sistema del Policy Server locale in fase di configurazione presenta due ruoli durante l'implementazione di una query proxy. Il sistema agisce come service provider e come richiedente di attributi relativo all'IdP di terze parti. Inoltre, il sistema locale funge da IdP e da autorità di attributo relativa al service provider proprietario dell'applicazione richiesta.La query proxy viene eseguita quando si verificano le condizioni seguenti:
- L'attributo non viene trovato nella directory utente o nel session store del sistema locale.
- L'autenticazione dell'utente viene eseguita inizialmente dall'IdP di terze parti.
Il Policy Server interroga l'IdP di terze parti. Se l'IdP trova l'attributo, restituisce una risposta di query. Il Policy Server aggiunge gli attributi della risposta al session store. Il sistema restituisce quindi la risposta con gli attributi al Service Provider titolare dell'applicazione. Questo Service Provider corrisponde al richiedente di attributo originale. - Firma query di attributoRichiede al richiedente di attributo di firmare la query di attributo prima di inviarla all'autorità di attributo.
- Richiedi risposta firmataIndica al richiedente di attributo di accettare unicamente le risposte firmate.
- Servizi di attributoElenca l'URL del servizio di attributo per ciascuna autorità di attributo.Per specificare l'autorità di attributo che risponde alle query del richiedente, selezionare il pulsante di opzione associato.
Attributo del servizio richiedente a livello del Service Provider
Per includere il valore corretto nella query di attributo inviata dal richiedente di attributo all'autorità di attributo, configurare la sezione ID nome.
Nota
la configurazione di questa sezione è consentita unicamente se la funzionalità Query di attributo è abilitata.I campi sono i seguenti:
- Formato ID nomeDefinisce il formato dell'ID di nome. Il valore deve corrispondere al formato dell'ID di nome previsto sul lato dell'autorità di attributo. In caso contrario, la richiesta non viene eseguita.
- Tipo ID nomeDefinisce il tipo di attributo utilizzato per l'ID di nome.
- StaticoIndica che l'ID di nome corrisponde a un valore statico del campo Valore.
- Attributo utenteIndica che l'ID di nome corrisponde a un attributo utente di uno User Store. L'attributo dell'utente viene specificato nel campo Valore.
- Attributo di sessioneIndica che l'ID di nome corrisponde all'attributo session store specificato nel campo Valore.
- Attributo DNIndica che l'ID di nome corrisponde a un attributo associato a un DN. Completare i campi Valore e Specifica DN.
- ValoreSpecifica il valore per l'ID di nome. Le voci valide in questo campo dipendono dalla selezione Tipo ID nome.
- Statico: immettere un valore di testo statico.
- Attributo utente: immettere il nome di un attributo utente di un User Store.
- Attributo di sessione: immettere il nome di un attributo di sessione del session store del Policy Server.
- Attributo DN: immettere il nome dell'attributo utente associato al DN di un gruppo o un'unità organizzativa. Immettere anche la specifica DN.
- Specifica DNSpecifica il DN di un gruppo o un'unità organizzativa utilizzato dal sistema per acquisire l'attributo DN appropriato.
SLO (service provider SAML 2.0)
La sezione SLO consente di configurare il single logout (SLO).
se si desidera utilizzare SLO, abilitare la casella di controllo Usa sessione permanente nella sezione SSO della finestra di dialogo.
Questa sezione contiene le impostazioni seguenti:
- Binding SLOSpecifica se il profilo di single logout è abilitato sul lato dell'entità di generazione asserzioni e quale binding è in uso. Il binding di reindirizzamento HTTP invia messaggi SLO tramite richieste HTTP GET. Il binding SOAP non si basa su HTTP dopo la richiesta iniziale e invia messaggi tramite un back channel.Opzioni: Reindirizzamento HTTP, HTTP-POST, SOAP
- URL di conferma SLOSpecifica l'URL di reindirizzamento utente al completamento del processo di single logout. In genere, single logout viene avviato da questo sito. L'URL di conferma SLO deve essere accessibile sul proprio sito. Il sistema di federazione utilizza questo URL quando SLO viene avviato dal sito dell'utente.Il valore è una risorsa locale e non una risorsa in un dominio di partner federato. Ad esempio, se il dominio locale è acme.com e il partner è example.com, l'URL di conferma SLO deve trovarsi in acme.com.Immettere un URL valido.
- Durata validità SLO (in secondi)Specifica il numero di secondi di validità per una richiesta SLO.Valore predefinito: 60 secondiOpzioni: numero intero positivo
- Lo stato di inoltro sovrascrive l'URL di conferma SLO (solo Reindirizzamento HTTP)Sostituisce il valore dell'URL di conferma SLO con il valore del parametro di query Stato di inoltro nella richiesta di single logout.La casella di controllo offre un maggiore controllo sulla destinazione di conferma per il single logout. Il parametro di query Stato di inoltro consente di definire in modo dinamico l'URL di conferma per richieste SLO.
- Riutilizza indice di sessioneIndica seCA Single Sign-oninvia lo stesso indice di sessione nell'asserzione per lo stesso partner in una singola sessione di browser. Un utente può federarsi più volte con lo stesso partner tramite la stessa finestra del browser. Se selezionata, l'opzione indica al provider di identità di inviare lo stesso indice di sessione in ciascuna asserzione. Se l'opzione è disabilitata,CA Single Sign-ongenera un nuovo indice di sessione per ciascun Single Sign-On.È possibile abilitare questa opzione per assicurare il single logout con partner di terze parti che non rispettano l'indice di sessione trasferito in asserzioni più nuove.Notal'impostazione è pertinente solo se il single logout è abilitato.
- URL servizio SLOElenca gli URL di servizio SLO disponibili. La tabella include le voci seguenti:
- SelezionaIndica che il valore corrisponde alla voce per l'URL di servizio SLO.
- BindingIndica il binding per la connessione SLO.Opzioni: Reindirizzamento HTTP, HTTP-POST, SOAP
- URL percorsoSpecifica l'URL del servizio di single logout sul lato del partner remoto. L'URL corrisponde alla destinazione della richiesta di single logout.Opzioni:URL validoSe il sistema di federazione viene utilizzato sul lato del provider di identità remoto, utilizzare gli URL seguenti:Binding di reindirizzamento HTTP:http://idp_host:port/affwebservices/public/saml2sloBinding HTTP-POST:http://idp_host:port/affwebservices/public/saml2sloBinding SOAP:http://idp_host:port/affwebservices/public/saml2slosoapSe un prodotto di federazione di terze parti si trova sul lato del provider di identità, utilizzare l'URL appropriato per quel prodotto.
- URL del percorso di risposta(Facoltativo) Specifica l'URL del servizio di single logout per l'entità. L'URL del percorso di risposta viene utilizzato in una configurazione che presenta un servizio per richieste di single logout e un altro per risposte di single logout. Per impostazione predefinita, se si fornisce solo l'URL del percorso, questo viene utilizzato per la richiesta e la risposta.Immettere un URL valido.
Back channel (service provider SAML 2.0)
casso126figsbrit
La sezione Back channel consente di configurare il metodo di autenticazione tramite back channel. Il back channel ha diversi scopi a seconda dei criteri seguenti:
- HTTP-Artifact Single Sign-On è configurato.
- Il single logout tramite binding SOAP è configurato.
- Il sistema di federazione in uso corrisponde al provider di identità o al Service Provider.
- La comunicazione avviene su un canale in entrata o in uscita.
La sezione Back channel mostra le impostazioni seguenti:
- Configurazione in ingresso/Configurazione in uscitaConfigurazione di un back channel in ingresso o in uscita in base alle necessità, per i binding selezionati. Il back channel ha solo una configurazione. Se due servizi utilizzano lo stesso canale, utilizzeranno anche la stessa configurazione del back channel. Ad esempio, il canale in entrata per un provider di identità (IdP) locale supporta HTTP-Artifact SSO e SLO mediante SOAP. Questi due servizi devono utilizzare la stessa configurazione del back channel.
- Metodo di autenticazioneSpecifica il metodo di autenticazione che protegge il back channel.Valore predefinito: NoAuthOpzioni: Di base, Certificato client, NoAuthDi baseIndica che uno schema di autenticazione di base sta proteggendo la comunicazione attraverso il back channel.Nota: se SSL è abilitato per la connessione back channel, è possibile selezionare l'autenticazione di base.Se si seleziona l'autenticazione di base, è necessario configurare le seguenti impostazioni aggiuntive:
- Nome utente back channel(Autenticazione di base, solo canale in uscita). Specifica il nome utente dell'SP quando si utilizza l'autenticazione di base nel back channel. Immettere il nome della partnership configurata sul lato IdP remoto. Ad esempio, sul lato IdP remoto, una partnership denominata Partners1 viene definita tra CompanyA (IdP) e CompanyB (SP). In CompanyB, il Service Provider locale, il valore immesso è Partners1, in modo da collegare questo nome utente alla partnership associata all'IdP.
- PasswordSpecifica la password utente per il nome utente del back channel. Questa password è pertinente solo il back channel utilizza il metodo di autenticazione di base o il metodo di base su SSL.La password viene definita di comune accordo dai due partner.
- Conferma passwordConferma l'immissione della password.
- Timeout back channel (secondi)(Solo canale in uscita) Specifica il tempo di attesa massimo di una risposta da parte del sistema dopo l'invio di una richiesta di back channel al servizio di risoluzione artifact. Specificare un intervallo in secondi.Impostazione predefinita: 300 secondiValore: numero intero positivo
- Certificato clientIndica che uno schema di autenticazione con certificato client X.509 protegge la comunicazione con il servizio di risoluzione artifact nel back channel.L'autenticazione con certificato client richiede l'uso di SSL per tutti gli URL endpoint. Gli URL endpoint individuano i vari servizi SAML su un server, come il servizio di risoluzione artifact. Il requisito SSL indica che gli URL dei servizi devono iniziare conhttps://.Per implementare l'autenticazione con certificato client, l'SP invia un certificato all'entità di generazione asserzioni prima che si verifichi qualsiasi transazione. L'entità di generazione asserzioni archivia il certificato nel proprio database. Entrambi i partner devono disporre del certificato di abilitazione della connessione SSL nei rispettivi database, in caso contrario l'autenticazione con certificato client non funziona.Durante il processo di autenticazione, il relying party invia il proprio certificato all'entità di generazione asserzioni. L'entità di generazione asserzioni confronta il certificato ricevuto con quello disponibile nel proprio database per verificarne la corrispondenza. In caso di corrispondenza, l'entità di generazione asserzioni consente al relying party di accedere al servizio di risoluzione artifact.Se si seleziona l'autenticazione con certificato client, configurare l'impostazione aggiuntiva seguente:
- Alias del certificato clientSpecifica l'alias associato a un certificato client nel database chiave. Selezionare l'alias dall'elenco a discesa.
- Timeout back channel (secondi)(Solo canale in uscita). Specifica il tempo di attesa massimo diCA Single Sign-onper una risposta dopo l'invio di una richiesta di back channel al servizio di risoluzione artifact. Specificare un intervallo in secondi.Impostazione predefinita: 300 secondiValore: numero intero positivo
- NoAuthIndica che le credenziali del relying party non sono richieste. Il back channel e il servizio di risoluzione artifact non sono protetti. È ancora possibile abilitare SSL con questa opzione. Il traffico del back channel è crittografato ma tra le parti non vengono scambiate credenziali.Selezionare NoAuth per scopi di test, ma non per la produzione, salvo quando il sistema di federazione è configurato per il failover con SSL abilitato e utilizza un server proxy. Il server proxy gestisce l'autenticazione quando dispone del certificato di server. In questo caso, tutte le partnership IdP->SP utilizzano NoAuth come tipo di autenticazione.