Esportazione dei metadati da un service provider locale SAML 2.0
Sommario
casso127figsbrit
HID_export-local-relying-partnership
Sommario
La finestra di dialogo Esporta metadati consente di selezionare una voce nell'elenco delle partnership di federazione o delle entità federate e di esportare dati relativi alla partnership e all'entità locale in un file di metadati. È possibile quindi importare il file per creare partnership su altri siti.
I metadati dipendono dal livello dell'entità in quanto SAML non prevede il concetto di partnership. Tuttavia, l'obiettivo finale dell'utilizzo dei metadati è creare una partnership.
Nota
: malgrado la presenza di dati a livello di partnership aggiunti al file di metadati, i metadati acquisiscono solo un sottoinsieme di dati obbligatori per una partnership.La finestra di dialogo visualizza le seguenti informazioni incluse nel file di metadati esportato:
È possibile cambiare i dati modificando la partnership o l'entità prima di eseguire l'esportazione.
Identificazione dei metadati
casso127figsbrit
La sezione Identificazione permette di assegnare un nome alla partnership da cui eseguire l'esportazione.
Durante l'esportazione di metadati da un'entità,
CA Single Sign-on
crea automaticamente una partnership predefinita per l'esportazione. La partnership predefinita viene generata per i seguenti motivi:- Alcuni elementi di metadati non sono inclusi nel modello dell'entità ed esistono solo nella partnership.
- Dopo l'esportazione, la partnership corrisponde ai metadati esportati, che è possibile utilizzare per completare la configurazione della partnership in un secondo momento.
Nota
se si esporta una partnership e l'entità locale di partnership è l'entità di generazione asserzioni, viene visualizzata la finestra di dialogo Esporta metadati. Tuttavia, i campi relativi al nome e alla descrizione della partnership sono di sola lettura, in quanto già definiti per la partnership.La sezione comprende le seguenti impostazioni:
- Nome partnershipIdentifica una nuova partnership con un nome univoco.Il nome di partnership è obbligatorio per l'esportazione dei metadati. I dati a livello di partnership sono obbligatori per creare un file di metadati completo. I metadati dipendono dal livello dell'entità in quanto il concetto di partnership è specifico diCA Single Sign-on. Tuttavia, l'obiettivo finale dell'utilizzo dei metadati è creare una partnership.Notasebbene vengano aggiunti dati di livello di partnership al file di metadati, i metadati acquisiscono unicamente un sottoinsieme dei dati obbligatori per la partnership.Valore: stringa alfanumerica. È inoltre possibile utilizzare trattini, caratteri di sottolineatura e punti.
- DescrizioneDescrive la partnership.Valore: stringa alfanumerica
- Nome entità localeVisualizza il nome dell'entità esistente da cui esportare i metadati. Questo valore di sola lettura è tratto dall'entità selezionata per l'esportazione.
Metadati URL del servizio di interpretazione asserzioni
La finestra di dialogo URL del Servizio di interpretazione asserzioni consente di configurare il servizio che utilizza le asserzioni sul lato del service provider.
Le impostazioni comprendono:
- PosizioneIndica l'URL del Servizio di interpretazione asserzioni sul lato del service provider.Valore predefinito: http://sp_host:port/affwebservices/public/saml2assertionconsumerValore: il servizio di federazione calcola l'URL. Non è possibile modificare questo valore.
- Binding abilitatiSpecifica il binding SAML utilizzato per Single Sign-On da questa entità. Selezionare uno dei binding disponibili.Opzioni: HTTP-Artifact, HTTP-POSTL'entità di generazione asserzioni può avviare Single Sign-On con una richiesta indesiderata. Le richieste con il parametro di query ProtocolBinding sostituiscono il valore selezionato per questo campo.
Metadati URL del servizio SLO
La sezione URL servizio SLO visualizza il percorso del servizio sul lato del service provider. Le impostazioni comprendono:
- Percorso di reindirizzamento HTTPSpecifica l'URL del servizio di single logout sul lato del relying party. URL predefinito:http://sp_server:port/affwebservices/public/saml2sloValore: il Service Provider calcola l'URL. Non è possibile modificare questo valore.
- Posizione SOAPIndica l'URL del servizio di single logout sul lato dell'entità di generazione asserzioni.Valore predefinito: http://idp_server:port/affwebservices/public/saml2slosoapidp_server:portSpecifica il server e il numero di porta sul lato dell'entità di generazione asserzioni che ospita la federazione.
- Reindirizzamento SLO abilitatoSpecifica se il binding di single logout per questa entità è di reindirizzamento.Opzioni: Sì, No
- SLO-SOAP abilitatoSpecifica se il binding di single logout per questa entità corrisponde a SOAP.Opzioni: Sì, No
Metadati delle opzioni di firma e crittografia
La sezione per le opzioni di firma e crittografia definisce i comportamenti di firma e crittografia. Le impostazioni comprendono:
- Alias di firma e verifica(Facoltativo) Specifica l'alias associato a una coppia specifica di chiave privata/certificato nell'archivio dati di certificato utilizzato per le operazioni di firma e verifica. Durante la generazione del file di metadati, viene incluso nel file di metadati solo il certificato di questa coppia. Quando il file di metadati viene importato sul sito remoto per creare un nuovo relying party, il certificato viene importato nell'archivio dati. L'entità di generazione asserzioni utilizza il certificato per verificare la firma utilizzata per le richieste di autenticazione e le risposte di single logout dal relying party locale.Valore: stringa alfanumerica
- Alias di crittografia e decrittografia(Facoltativo) Specifica l'alias associato a una coppia specifica di chiave privata/certificato nell'archivio dati di certificato dell'entità locale, utilizzato per le operazioni di crittografia e decrittografia. Durante la generazione del file di metadati, viene incluso nel file di metadati solo il certificato di questa coppia. Dopo aver importato il file di metadati sul sito remoto per creare un nuovo relying party, il certificato viene importato nell'archivio dati di certificato. Il relying party remoto utilizza il certificato per la crittografia dei dati.Valore: stringa alfanumerica
- Firma richieste di autenticazioneSpecifica nel file di metadati che è richiesta la firma dei messaggi AuthnRequest da parte dell'entità locale.
Opzioni di esportazione dei metadati
Le opzioni di esportazione dei metadati specificano caratteristiche del file di metadati. Le impostazioni comprendono:
- Alias di firma del documentoIdentifica l'alias per la chiave di firma del documento di metadati per la comunicazione protetta con il partner remoto. Selezionare un alias dall'elenco.Valore: un alias dall'elenco a discesa.
- Algoritmo di firma del documentoIndica l'algoritmo utilizzato dal sistema per firmare il documento di metadati.Valore predefinito: RSAwithSHA1Opzioni: RSAwithSHA1, RSAwithSHA256
- Giorni validiIndica il numero di giorni di validità del documento di metadati.Valore predefinito: 0Valore: numero intero compreso tra 0 e 9999
- cacheDurationLa quantità di tempo in cui i metadati possono essere memorizzati nella cache sul server locale per l'entità che consuma i metadati. Le entità dovranno ricaricare i metadati dopo la scadenza del tempo prestabilito.