Proprietà dello schema di autenticazione SAML 1.x
Sommario
casso127figsbrit
Sommario
Schema di autenticazione - Modello artifact SAML
È possibile configurare lo schema di autenticazione di artifact SAML per SAML 1.x. Dopo aver configurato lo schema, è possibile assegnarlo a un realm.
casso127figsbrit
La sezione General and Scheme Common Setup (Configurazione comune di schema e generale) della finestra di dialogo per lo schema di autenticazione include i campi seguenti:
- NomeNome dello schema di autenticazione.Notase Active Directory Application Mode (ADAM) è utilizzato come Policy Store, la lunghezza massima consentita per lo schema di autenticazione è 22 caratteri.
- DescrizioneFornisce una descrizione dello schema di autenticazione.
La configurazione comune di schema identifica lo schema di autenticazione. Questa parte della sezione generale contiene i campi seguenti:
- Tipo di schema di autenticazioneSpecifica il modello utilizzato per lo schema di autenticazione.
- Livello di protezioneAbilita Single Sign-on per schemi di autenticazione con livelli di protezione uguali o inferiori nello stesso dominio di policy. Il livello di protezione richiede un'ulteriore autenticazione per l'accesso alle risorse con schemi di livello di protezione superiore.Limiti: da 1 a 1000.Il livello di protezione predefinito degli schemi di autenticazione è modificabile. Utilizzare livelli di protezione elevati per risorse critiche e schemi di livello basso per risorse accessibili comunemente.
- Policy di password abilitate per lo schema di autenticazioneIndica che le policy di password configurate sono associate allo schema di autenticazione.
Configurare i dettagli dello schema nella sezione Impostazioni schema della finestra di dialogo.
Schema di autenticazione - Modello POST SAML
È possibile configurare lo schema di autenticazione SAML POST per il profilo POST di SAML 1.x. Dopo aver configurato lo schema di autenticazione, assegnarlo a un realm.
casso127figsbrit
La sezione General and Scheme Common Setup (Configurazione comune di schema e generale) della finestra di dialogo per lo schema di autenticazione include i campi seguenti:
- NomeNome dello schema di autenticazione.Notase Active Directory Application Mode (ADAM) è utilizzato come Policy Store, la lunghezza massima consentita per lo schema di autenticazione è 22 caratteri.
- DescrizioneFornisce una descrizione dello schema di autenticazione.
La configurazione comune di schema identifica lo schema di autenticazione. Questa parte della sezione generale contiene i campi seguenti:
- Tipo di schema di autenticazioneSpecifica il modello utilizzato per lo schema di autenticazione.
- Livello di protezioneAbilita Single Sign-on per schemi di autenticazione con livelli di protezione uguali o inferiori nello stesso dominio di policy. Il livello di protezione richiede un'ulteriore autenticazione per l'accesso alle risorse con schemi di livello di protezione superiore.Limiti: da 1 a 1000.Il livello di protezione predefinito degli schemi di autenticazione è modificabile. Utilizzare livelli di protezione elevati per risorse critiche e schemi di livello basso per risorse accessibili comunemente.
- Policy di password abilitate per lo schema di autenticazioneIndica che le policy di password configurate sono associate allo schema di autenticazione.
Configurare i dettagli dello schema nella sezione Impostazioni schema della finestra di dialogo.
Schema di autenticazione - Modello artifact SAML - Impostazioni schema
La sezione Impostazioni schema per lo schema di autenticazione dell'artifact SAML 1.x consente di specificare:
- Le modalità di comunicazione del consumatore con il produttore per recuperare un'asserzione.
- Le modalità di autenticazione di un utente con un'asserzione.
- Le modalità di indirizzamento dell'utente alla risorsa di destinazione.
Nella sezione delle impostazioni dello schema sono disponibili i campi seguenti:
- Nome entità affiliataNome del consumatore. Immettere una stringa alfabetica, ad esempio, CompanyA.Il nome immesso deve corrispondere al valore del campo Nome per l'oggetto affiliato associato sul lato del produttore.per il profilo di artifact SAML, il produttore invia l'asserzione su un back channel protetto al consumatore. Proteggere il back channel con l'autenticazione di certificato di base o client.Le seguenti linee guida per la configurazione si applicano a questo campo per HTTP-Artifact Single Sign-On:
- PasswordDefinisce la password utilizzata dal consumatore per l'identificazione sul sito del produttore.La password deve corrispondere alla password immessa per il consumatore sul sito del produttore.
- ID origine aziendaSpecifica l'ID di origine del produttore. Lo standard di specifica SAML definisce un ID di origine come un numero binario di 20 byte con codifica esadecimale che identifica il produttore. Il consumatore utilizza questo ID per identificare un'autorità di certificazione delle asserzioni.Immettere l'ID fornito dal produttore in una comunicazione fuori banda.SeCA Single Sign-onè il produttore, l'ID di origine corrisponde al file delle proprietà del generatore asserzioni SAML 1.x, AMAssertionGenerator.properties, contenuto nella directorypolicy_server_home/config/properties.Il valore predefinito per l'ID di origine dell'azienda è: b818452610a0ea431bff69dd346aeeff83128b6aNotail file AMAssertionGenerator.properties viene utilizzato solo per il profilo SAML 1.x.
- URL di recupero asserzioneDefinisce l'URL del servizio sul sito del produttore con cui il consumatore recupera l'asserzione SAML. Nello specifico, l'URL identifica il percorso del servizio di recupero asserzioni. Tale URL deve essere accessibile con una connessione SSL.Se il servizio di recupero asserzioni del produttore è compreso in un realm che utilizza lo schema di autenticazione di base su SSL, l'URL predefinito è:https://idp_server:port/affwebservices/assertionretrieverSe il servizio di recupero asserzioni del produttore è compreso in un realm che utilizza lo schema di autenticazione con il certificato client X.509, l'URL predefinito è:https://idp_server:port/affwebservices/certassertionretrieveridp_server:portIdentifica il server Web e la porta host per l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway.
- Gruppo di destinatari(Facoltativo) Definisce il gruppo di destinatari per l'asserzione SAML.Il gruppo di destinatari identifica il percorso di un documento che descrive i Termini e condizioni dell'accordo commerciale tra il produttore e il consumatore. Il gruppo di destinatari viene definito dall'amministratore sul lato del produttore. Il valore in questo campo deve corrispondere al gruppo di destinatari specificato sul sito del produttore. Il valore del gruppo di destinatari non deve essere maggiore di 1000.Per specificare il gruppo di destinatari, inserire un URL. Nell'elemento viene rispettata la distinzione tra maiuscole e minuscole. Ad esempio:http://www.companya.com/SampleAudience
- Alias D-sigSpecifica l'alias del certificato nell'archivio dati di certificato utilizzato dal consumatore per verificare la firma digitale dell'asserzione. L'alias corrisponde al certificato. Il tipo di certificato utilizzato per la verifica è un certificato CertificateEntry o KeyEntry.
- AutenticazioneSpecifica il metodo di autenticazione per il realm sul sito del produttore contenente il servizio di recupero asserzioni. Il valore di questo campo determina il tipo di credenziali fornite dal modulo di raccolta credenziali SAML sul lato del consumatore. Le credenziali consentono al consumatore di accedere al servizio di recupero asserzioni e recuperare l'asserzione SAML.Il servizio di recupero asserzioni ottiene l'asserzione dal Policy Server sul lato del produttore, quindi la invia al consumatore attraverso un back channel SSL. Si consiglia di proteggere il servizio di recupero asserzioni.Selezionare una delle seguenti opzioni:
- Autenticazione di basePer il servizio di recupero asserzioni compreso in un realm protetto da uno schema di autenticazione di base o di base su SSL.Se si seleziona Autenticazione di base, non è necessaria alcuna configurazione aggiuntiva sul lato del produttore o del consumatore. È escluso il caso in cui il certificato dell'autorità di certificazione che ha stabilito la connessione SSL non si trova nell'archivio dati di certificato sul lato del consumatore. Se il certificato appropriato non si trova nell'archivio dati, importarlo.
- Certificato clientPer il servizio di recupero asserzioni compreso in un realm protetto da uno schema di autenticazione con certificato client X.509. Se si seleziona questa opzione, configurare l'accesso al servizio di recupero asserzioni con un certificato client.Se si seleziona Certificato client, completare le fasi di configurazione sul lato del consumatore e del produttore per accedere al servizio di recupero asserzioni con il certificato client.È possibile utilizzare i certificati crittografati non FIPS 140 per la protezione del back channel, anche se il Policy Server funziona in modalità solo FIPS. Tuttavia, per le installazioni di tipo solo FIPS, utilizzare esclusivamente certificati crittografati con algoritmi conformi allo standard FIPS 140.
- Verifica password:Consente di confermare la password inserita nel campo Password.
- Versione SAMLIndica la versione di specifica SAML con cui è stata generata l'asserzione. Le opzioni sono 1.0 o 1.1. L'impostazione predefinita è SAML 1.1.È necessario che vi sia corrispondenza tra il protocollo SAML e le versioni di asserzione utilizzate dal produttore o dal consumatore. Ad esempio, se un produttore che utilizza la versione SAML 1.1 riceve una richiesta SAML 1.0, viene restituito un errore. Se un consumatore che utilizza la versione SAML 1.1 riceve un'asserzione SAML 1.0 integrata in un elemento di protocollo SAML 1.1, viene restituito un errore.
- Modalità di reindirizzamentoIndica il metodo di reindirizzamento utente alla risorsa di destinazione utilizzato dal modulo di raccolta credenziali SAML. Se si seleziona 302 Nessun dato o 302 Dati cookie, non sono necessarie ulteriori configurazioni. Se si seleziona Reindirizzamento server o PersistAttributes, è necessaria un'ulteriore configurazione.
- 302 Nessun dato (valore predefinito)Reindirizza l'utente mediante un codice HTTP 302 con un cookie di sessione, ma senza altri dati.
- 302 Dati cookieReindirizza l'utente mediante un codice HTTP 302 con un cookie di sessione e altri dati di cookie configurati sul sito di generazione dell'asserzione.
- casso127figsbritReindirizzamento serverConsente di passare le informazioni degli attributi di intestazione e cookie, ricevute in un'asserzione SAML, all'applicazione di destinazione personalizzata. Il modulo di raccolta credenziali SAML trasferisce l'utente all'URL dell'applicazione di destinazione utilizzando la tecnologia di reindirizzamento lato server. I reindirizzamenti lato server sono inclusi nelle specifiche Java Servlet. Tutti i contenitori servlet conformi allo standard supportano i reindirizzamenti lato server.Per utilizzare la modalità di reindirizzamento server, attenersi ai seguenti requisiti:
- Specificare un URL per questa modalità relativo al contesto del servlet che utilizza l'asserzione, in genere /affwebservices/public/. La radice del contesto è la directory principale dell'applicazione Federation Web Services, in genere /affwebservices/.Tutti i file di applicazione di destinazione devono trovarsi nella directory principale dell'applicazione. Questa directory può essere:
- Agente Web:web_agent_home\webagent\affwebservices
- Secure Proxy Server Federation Gateway:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- Definire realm, regole e policy per proteggere le risorse di destinazione. Nel filtro di risorsa, la definizione dei realm deve contenere almeno il valore /affwebservices/.
- Installare un'applicazione Java o JSP personalizzata sul server che esegue l'applicazione Federation Web Services. L'applicazione è installata con l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway.La tecnologia di servlet Java consente alle applicazioni di passare le informazioni tra due richieste di risorsa con il metodo setAttribute dell'interfaccia ServletRequest.Il servizio che utilizza le asserzioni invia l'attributo utente all'applicazione di destinazione. Prima del reindirizzamento utente all'applicazione di destinazione, vengono impostati diversi oggetti di attributo nell'oggetto di richiesta.Il servizio crea due oggetti java.util.HashMap, uno per archiviare tutti gli attributi di intestazione e l'altro per archiviare tutti gli attributi di cookie. Il servizio utilizza nomi di attributo distinti per rappresentare ciascun oggetto mappa di hash:
- L'attributo Netegrity.HeaderAttributeInfo rappresenta la mappa di hash contenente attributi di intestazione.
- L'attributo Netegrity.CookieAttributeInfo rappresenta la mappa di hash contenente attributi di cookie.
Due altri attributi Java.lang.String vengono impostati dall'asserzione che utilizza il servizio per passare l'identità utente all'applicazione personalizzata:- L'attributo Netegrity.smSessionID rappresenta l'ID di sessione.
- L'attributo Netegrity.userDN rappresenta il DN dell'utente.
L'applicazione di destinazione personalizzata sul lato consumatore è in grado di leggere questi oggetti dall'oggetto di richiesta HTTP e utilizza i dati trovati negli oggetti mappa di hash. - Conserva attributiReindirizza l'utente mediante un codice HTTP 302 con un cookie di sessione, ma senza altri dati. Inoltre, questa modalità indica al Policy Server di archiviare gli attributi estratti da un'asserzione nel session store. È possibile quindi fornire gli attributi come variabili di intestazione HTTP. Per ulteriori configurazioni, consultare le istruzioni per l'utilizzo degli attributi SAML come intestazioni HTTP.casso127figsbritNotase si seleziona Conserva attributi e l'asserzione contiene attributi vuoti, nel session store viene eseguita la scrittura di un valore NULL. Questo valore agisce da segnaposto per l'attributo vuoto. Questo valore viene trasferito a qualsiasi applicazione mediante l'attributo.
- Autorità di certificazioneIdentifica il produttore che emette le asserzioni per il consumatore. Nell'elemento viene rispettata la distinzione tra maiuscole e minuscole.Il consumatore accetta asserzioni solo da questa autorità di certificazione. L'amministratore sul sito del produttore definisce l'autorità di certificazione.Notail valore immesso per l'autorità di certificazione deve corrispondere al valore di AssertionIssuerID sul lato del produttore. Questo valore è specificato nel file AMAssertionGenerator.properties che si trova insiteminder_home/Config/properties/AMAssertionGenerator.properties
- XPATH dati di ricercaLa query XPath indica allo schema di autenticazione la posizione di una voce specifica all'interno dell'asserzione, che servirà come l'ID di accesso utente. Il valore ottenuto dalla query viene compreso nella specifica per lo spazio dei nomi per la ricerca di una voce dell'User Store.casso127figsbritLe query XPath non devono contenere prefissi di spazio dei nomi. L'esempio seguente riporta una query XPath:non valida/saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()La query XPath valida è://Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()Esempio:La query seguente estrae il testo dell'attributo Username dall'asserzione:"/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()""//Username/text()" estrae il testo del primo elemento Username nell'asserzione SAML mediante una sintassi abbreviata.Altri esempi:"substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMprofile/NVpair[1]/text(),"header:uid=")"Questa stringa di query estrae il testo dell'attributo di intestazione denominato uid e configurato come il primo attributo in elenco sul sito del produttore.La seguente sintassi abbreviata consente di estrarre il testo dell'attributo di intestazione denominato uid:"substring-after(//SMprofile/NVpair[1]/text(),"header:uid=")"
- Mantieni le variabili della sessione di autenticazione(Facoltativo) Specifica di salvare i dati del contesto di autenticazione nel session store come variabili di sessione. Il Policy Server ha accesso a queste variabili per l'uso nelle operazioni di autenticazione. Ad esempio, è possibile includere le variabili del contesto di autenticazione in risposte attive o in espressioni di policy.
- casso127figsbritAttivoIndica se la configurazione della federazione legacy è in uso per una partnership particolare. Se il Policy Server utilizza la configurazione di federazione legacy, verificare che questa casella di controllo sia selezionata. Se è stata ricreata una partnership di federazione con valori analoghi per le impostazioni di identità, quali l'ID di origine, deselezionare questa casella di controllo prima di attivare la partnership di federazione.Single Sign-Onnon è grado di utilizzare le configurazioni di legacy e di partnership che presentano gli stessi valori di identità. In caso contrario, si verifica un conflitto di nomi.
Le altre sezioni per la configurazione delle impostazioni dello schema sono le seguenti:
- Completare una specifica di spazio dei nomi per consentire al consumatore di individuare il record utente corretto per l'autenticazione.
- Specificare la risorsa federata di destinazione nella sezione della pagina dedicata alla configurazione aggiuntiva. Eventualmente, configurare il plug-in di utilizzo dei messaggi e gli URL di reindirizzamento utente in caso di errore di autenticazione.
Schema di autenticazione - Modello POST SAML - Impostazioni schema
La sezione delle impostazioni dello schema consente di specificare le informazioni seguenti:
- Le modalità di comunicazione del consumatore con il produttore per recuperare un'asserzione.
- Le modalità di autenticazione utente in base a tale asserzione.
- Le modalità di indirizzamento dell'utente alla risorsa di destinazione.
I campi per il modello di autenticazione SAML POST sono i seguenti:
- Nome entità affiliataNome del consumatore. Immettere una stringa alfabetica, ad esempio, CompanyA.Il nome immesso deve corrispondere al nome per il consumatore nel dominio affiliato sul sito del produttore.
- Gruppo di destinatariDefinisce il gruppo di destinatari per l'asserzione SAML.Identifica il percorso di un documento che descrive i Termini e condizioni dell'accordo commerciale tra il produttore e il consumatore. Il gruppo di destinatari viene definito dall'amministratore sul lato del produttore. Il valore deve corrispondere anche al gruppo di destinatari per il consumatore sul sito del produttore.Per specificare il gruppo di destinatari, inserire un URL. Nell'elemento viene rispettata la distinzione tra maiuscole e minuscole. Il valore del gruppo di destinatari non deve essere maggiore di 1000.Esempio: http://www.ca.com/SampleAudience
- URL del servizio di interpretazione asserzioniSpecifica l'URL del Servizio di interpretazione asserzioni (analogo al modulo di raccolta credenziali SAML). L'URL corrisponde alla posizione di inserimento con il metodo POST dell'asserzione generata, eseguito dal browser. URL predefinito:http://consumer_server:port/affwebservices/public/samlccconsumer_server:portIdentifica il server Web e la porta host per l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway.Esempio: http://www.discounts.com:85/affwebservices/public/samlcchttp://www.discounts.com:85/affwebservices/public/samlcc
- DN autorità di certificazione con firma digitaleSpecifica il nome distinto dell'autorità di certificazione del certificato che firma la risposta SAML POST. Il produttore deve firmare la risposta POST. Quando il consumatore riceve la risposta, verifica la firma con i dati di questo parametro e del parametro del numero di serie. I due parametri indicano l'autorità di certificazione del certificato che ha firmato la risposta.È necessario che il certificato di verifica della firma si trovi nell'archivio dati di certificato.
- XPATH dati di ricercaLa query XPath indica allo schema di autenticazione la posizione di una voce specifica all'interno dell'asserzione, che servirà come l'ID di accesso utente. Il valore ottenuto dalla query viene compreso nella specifica per lo spazio dei nomi per la ricerca di una voce dell'User Store. Le query XPath non devono contenere prefissi di spazio dei nomi.L'esempio seguente riporta una query XPath non valida:/saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()La query XPath valida è://Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()EsempioLa query seguente estrae il testo dell'attributo Username dall'asserzione:"/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()""//Username/text()" estrae il testo del primo elemento Username nell'asserzione SAML mediante una sintassi abbreviata.Altri esempi:"substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMprofile/NVpair[1]/text(),"header:uid=")"Questa query estrae il testo dell'attributo di intestazione denominato uid configurato come il primo attributo per l'oggetto affiliato sul sito del produttore.La stringa "substring-after(//SMprofile/NVpair[1]/text(),"header:uid=")" estrae il testo dell'attributo di intestazione denominato uid. Questo attributo è il primo attributo configurato per l'oggetto affiliato sul sito del produttore tramite sintassi abbreviata.
- Versione SAMLSpecifica la versione SAML (non attiva). Il valore predefinito pari a 1.1 indica che le asserzioni di profilo POST sono compatibili con la versione SAML 1.1.Il produttore e il consumatore SAML devono generare e utilizzare asserzioni e risposte della stessa versione.
- Modalità di reindirizzamentoSpecifica il metodo di reindirizzamento utente alla risorsa di destinazione utilizzato dal servlet del modulo di raccolta credenziali SAML. Se si seleziona 302 Nessun dato o 302 Dati cookie, non sono necessarie ulteriori configurazioni. Se si seleziona Reindirizzamento server o PersistAttributes, è necessaria un'ulteriore configurazione.
- 302 Nessun dato(impostazione predefinita). Reindirizza l'utente mediante un codice HTTP 302 con un cookie di sessione, ma senza altri dati.
- 302 Dati cookieReindirizza l'utente mediante un codice HTTP 302 con un cookie di sessione e altri dati di cookie configurati sul sito di generazione dell'asserzione.
- casso127figsbritReindirizzamento serverConsente di passare le informazioni degli attributi di intestazione e cookie, ricevute in un'asserzione SAML, all'applicazione di destinazione personalizzata. Il modulo di raccolta credenziali SAML trasferisce l'utente all'URL dell'applicazione di destinazione utilizzando la tecnologia di reindirizzamento lato server. I reindirizzamenti lato server sono inclusi nelle specifiche Java Servlet. Tutti i contenitori servlet conformi allo standard supportano i reindirizzamenti lato server.Per utilizzare la modalità di reindirizzamento server, attenersi ai seguenti requisiti:
- Specificare un URL per questa modalità relativo al contesto del servlet che utilizza l'asserzione, in genere /affwebservices/public/. La radice del contesto è la directory principale dell'applicazione Federation Web Services, in genere /affwebservices/.Tutti i file di applicazione di destinazione devono trovarsi nella directory principale dell'applicazione. Questa directory può essere:
- Agente Web:web_agent_home\webagent\affwebservices
- Secure Proxy Server Federation Gateway:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- Definire realm, regole e policy per proteggere le risorse di destinazione. Nel filtro di risorsa, la definizione dei realm deve contenere almeno il valore /affwebservices/.
- Installare un'applicazione Java o JSP personalizzata sul server che esegue l'applicazione Federation Web Services. L'applicazione è installata con l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway.La tecnologia di servlet Java consente alle applicazioni di passare le informazioni tra due richieste di risorsa con il metodo setAttribute dell'interfaccia ServletRequest.Il servizio che utilizza le asserzioni invia l'attributo utente all'applicazione di destinazione. Prima del reindirizzamento utente all'applicazione di destinazione, vengono impostati diversi oggetti di attributo nell'oggetto di richiesta.Il servizio crea due oggetti java.util.HashMap, uno per archiviare tutti gli attributi di intestazione e l'altro per archiviare tutti gli attributi di cookie. Il servizio utilizza nomi di attributo distinti per rappresentare ciascun oggetto mappa di hash:
- L'attributo Netegrity.HeaderAttributeInfo rappresenta la mappa di hash contenente attributi di intestazione.
- L'attributo Netegrity.CookieAttributeInfo rappresenta la mappa di hash contenente attributi di cookie.
Due altri attributi Java.lang.String vengono impostati dall'asserzione che utilizza il servizio per passare l'identità utente all'applicazione personalizzata:- L'attributo Netegrity.smSessionID rappresenta l'ID di sessione.
- L'attributo Netegrity.userDN rappresenta il DN dell'utente.
L'applicazione di destinazione personalizzata sul lato consumatore è in grado di leggere questi oggetti dall'oggetto di richiesta HTTP e utilizza i dati trovati negli oggetti mappa di hash. - Conserva attributiReindirizza l'utente mediante un codice HTTP 302 con un cookie di sessione, ma senza altri dati. Questa modalità indica inoltre al Policy Server di archiviare gli attributi da un'asserzione nel session store in modo da poterli fornire come variabili di intestazione HTTP. Per ulteriori configurazioni, consultare le istruzioni per l'utilizzo degli attributi SAML come intestazioni HTTP.casso127figsbritNotase si seleziona Conserva attributi e l'asserzione contiene attributi vuoti, nel session store viene eseguita la scrittura di un valore NULL. Questo valore agisce da segnaposto per l'attributo vuoto. Questo valore viene trasferito a qualsiasi applicazione mediante l'attributo.
- Autorità di certificazioneIdentifica il produttore che emette le asserzioni per il consumatore. Nell'elemento viene rispettata la distinzione tra maiuscole e minuscole.Il consumatore accetta asserzioni solo da questa autorità di certificazione. L'amministratore definisce l'autorità di certificazione sul sito del produttore.Notail valore immesso per l'autorità di certificazione deve corrispondere al valore di AssertionIssuerID sul sito del produttore. Questo valore è specificato nel file AMAssertionGenerator.properties che si trova inpolicy_server_home/Config/properties/AMAssertionGenerator.properties
- Numero di serieSpecifica il numero di serie (stringa esadecimale) del certificato del consumatore nell'archivio dati di certificato. Questo valore viene utilizzato con il campo DN autorità di certificazione con firma digitale per individuare il certificato per la firma digitale della risposta SAML POST.
- casso127figsbritAttivoIndica se la configurazione della federazione legacy è in uso per una partnership particolare. Se il Policy Server utilizza la configurazione di federazione legacy, verificare che questa casella di controllo sia selezionata. Se è stata ricreata una partnership di federazione con valori analoghi per le impostazioni di identità, quali l'ID di origine, deselezionare questa casella di controllo prima di attivare la partnership di federazione.Single Sign-Onnon è grado di utilizzare le configurazioni di legacy e di partnership che presentano gli stessi valori di identità. In caso contrario, si verifica un conflitto di nomi.
- Mantieni le variabili della sessione di autenticazione(Facoltativo) Specifica di salvare i dati del contesto di autenticazione nel session store come variabili di sessione. Il Policy Server ha accesso a queste variabili per l'uso nelle operazioni di autenticazione. Ad esempio, è possibile includere le variabili del contesto di autenticazione in risposte attive o in espressioni di policy.
Le altre sezioni per la configurazione delle impostazioni dello schema sono le seguenti:
- Completare una specifica di spazio dei nomi per consentire al consumatore di individuare il record utente corretto per l'autenticazione.
- Specificare la risorsa federata di destinazione nella sezione della pagina dedicata alla configurazione aggiuntiva. Eventualmente, configurare il plug-in di utilizzo dei messaggi e gli URL di reindirizzamento utente in caso di errore di autenticazione.
Schema di autenticazione - Specifica spazio dei nomi
La sezione Specifica spazio dei nomi elenca i tipi di spazio dei nomi e le specifiche di ricerca associate.
CA Single Sign-on
utilizza queste informazioni per la ricerca utente in un User Store.La specifica di ricerca utilizza i dati recuperati con una query XPath dall'asserzione e li mappa su un attributo in una voce dell'User Store. La query XPath individua una voce specifica nell'asserzione, che funge da ID di accesso utente. La query viene definita nel campo XPATH dati di ricerca.
Nella specifica di ricerca è possibile sostituire %s per rappresentare il valore ottenuto con la query XPath dall'asserzione. Ad esempio, la query XPATH recupera il valore
user1
dall'asserzione SAML. Se si immette la specifica di ricerca uid=%s
nel campo LDAP, la stringa risultante sarà uid=user1. La stringa viene verificata nella directory utenti per trovare il record corretto per l'autenticazione.È possibile specificare anche filtri con più variabili di %s. Ad esempio:
|(uid=%s)(email=%[email protected])|(abcAliasName=%s)(cn=%s)
I risultati sarebbero:
|(uid=user1)([email protected])|(abcAliasName=user1)(cn=user1)
Immettere una specifica di ricerca per ciascun tipo di spazio dei nomi nell'ambiente.
Schema di autenticazione - Configurazione aggiuntiva (Artifact SAML 1.x, POST)
La sezione Configurazione aggiuntiva dello schema di autenticazione consente di configurare il plug-in di utilizzo messaggi e gli URL di reindirizzamento per errori di elaborazione dell'asserzione durante l'autenticazione. Inoltre, specificare la risorsa di destinazione sul sito del consumatore.
La sezione Configurazione aggiuntiva contiene i campi seguenti:
Plug-in di utilizzo messaggiNome classe Java completo
(Facoltativo) Specifica il nome di classe Java completo di una classe che implementa l'interfaccia del plug-in di utilizzo dei messaggi per lo schema di autenticazione.
Parametro
Specifica una stringa di parametri trasferita dall'API al plug-in specificato nel campo Nome classe Java completo.
URL di reindirizzamento di stato e modalità
Per vari motivi è possibile che l'autenticazione basata sull'asserzione non riesca nel sito che utilizza le asserzioni. In caso di errore dell'autenticazione, l'utente viene reindirizzato verso applicazioni diverse (URL) per un'ulteriore elaborazione. Ad esempio, in caso di errore dell'operazione di rimozione dell'ambiguità utente, il Policy Server reindirizza l'utente verso un sistema di provisioning. Il sistema di provisioning può creare un account utente basato sulle informazioni trovate nell'asserzione SAML.
Nota
: il reindirizzamento dell'errore viene eseguito solamente se il sistema è in grado di analizzare la richiesta correttamente e ottenere le informazioni necessarie per identificare l'entità di generazione asserzioni e il relying party.Le opzioni seguenti reindirizzano l'utente a un URL configurato in base alla condizione causa dell'errore.
Redirect URL for the User Not Found Status (URL di reindirizzamento per lo stato Utente non trovato)
(Facoltativo) Identifica l'URL al quale il Policy Server reindirizza l'utente quando non viene trovato. Lo stato Utente non trovato si applica quando il messaggio di Single Sign-On o la directory utenti non contiene LoginID.
- Redirect URL for the Invalid SSO Message Status (URL di reindirizzamento per lo stato Messaggio SSO non valido)(Facoltativo) Identifica l'URL utilizzato per il reindirizzamento dell'utente in una delle condizioni seguenti:
- Il messaggio di Single Sign-On non è valido in base alle regole specificate dagli schemi SAML.
- Il consumatore richiede un'asserzione crittografata, che non è contenuta nel messaggio di Single Sign-On.
- Redirect URL for the Unaccepted User Credential (SSO Message) Status (URL di reindirizzamento per lo stato Credenziali utente non accettate (messaggio SSO))(Facoltativo) Identifica l'URL al quale viene reindirizzato l'utente per condizioni di errore diverse da Utente non trovato o Messaggio SSO non valido. L'asserzione è valida, ma il Policy Server non accetta il messaggio per determinati motivi, quali:
- Errore di convalida della firma digitale XML
- Errore nell'operazione di decrittografia XML
- Errore di convalida delle condizioni XML, come un messaggio scaduto o una mancata corrispondenza dei destinatari.
- Dichiarazione di autenticazione assente dalle asserzioni nel messaggio SSO.
- ModalitàSpecifica il metodo con cui l'utente viene reindirizzato all'URL di reindirizzamento. Sono disponibili le seguenti opzioni:
- 302 Nessun dato (valore predefinito)Reindirizza l'utente mediante un codice HTTP 302 con un cookie di sessione, ma senza altri dati.
- HTTP PostReindirizza l'utente mediante il protocollo HTTP Post.
Configurazione pagina di destinazione
Questa sezione della finestra di dialogo consente di specificare l'URL della risorsa di destinazione sul sito del consumatore. Se esiste il parametro di query, determinare se il Policy Server sostituisce l'URL con il valore del parametro di query TARGET nell'URL della risposta di autenticazione.
- URL predefinito di destinazione(Facoltativo) Specifica l'URL della risorsa di destinazione presente sul lato del consumatore. La destinazione è una risorsa federata protetta che gli utenti possono richiedere.Il consumatore non deve utilizzare la destinazione predefinita. Il collegamento di avvio di Single Sign-On può contenere un parametro di query che specifica la destinazione.
- Il parametro di query TARGET sovrascrive l'URL predefinito di destinazione(Facoltativo) Sostituisce il valore specificato nel campo URL predefinito di destinazione con il valore del parametro di query TARGET nella risposta. Il parametro di query TARGET consente di definire la destinazione in modo dinamico. È possibile modificare la destinazione con ciascuna risposta di autenticazione. La flessibilità del parametro di query TARGET offre un maggiore controllo sulla destinazione. Invece, il valore dell'URL predefinito di destinazione è un valore statico.La casella di controllo è selezionata per impostazione predefinita.