Configurazione dell'entità IdP remoto SAML 2.0

Sommario
casso1283
HID_remote-idp-entity-configuration
Sommario
Il passaggio Configura entità comprende i dettagli di configurazione relativi a un'entità federata.
Configurazione dell'entità Service Provider remoto SAML 2.0
La sezione Configurazione dell'entità Service Provider remoto SAML 2.0 consente di identificare l'entità. Di seguito si riportano spiegazioni aggiuntive per i seguenti campi:
  • casso1283
    Entity ID
    Identifies the federation entity to a partner. The Entity ID is a universal identifier like a domain name. If the Entity ID represents a
    remote partner,
    this value must be unique. If the Entity ID represents a
    local partner,
    it can be reused on the same system. For example, if the Entity ID represents a local asserting party, this same ID can be used in more than one partnership.
     An Entity ID that represents a remote partner can only belong to a single active partnership.
    Value:
    URI (URL recommended)
    Note the following guidelines:
    • The entity ID must be a URI, but an absolute URL is recommended.
    • If the entity ID is a URL:
      • The host part of the URL must be a name rooted in the organization's primary DNS domain.
      • The URL must not contain a port number, a query string, or a fragment identifier.
    • Do not use the ampersand (&) in the Entity ID because it is recognized as a separate query parameter.
    • Do not specify a URN.
    • The entity ID for a remote partner be globally unique to avoid name collisions within and across the federation.
    Examples of Valid Entity IDs
    • CompanyA:portal1
    • http://idp_name.forwardinc.com/idp
    • https://idp_name.example.edu/sp
    Examples of Invalid Entity IDs:
    • http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto&test=1
    • http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (This URL can work, but we do not advise you use this syntax)
    Entity Name
    Names the entity object in the policy store. The Entity Name must be a unique value. Federation uses the Entity Name internally to distinguish an entity at a particular site. This value is not used externally and the remote partner is not aware of this value.
    Note:
    The Entity Name can be the same value as the Entity ID, but the value is never shared with any other entity at the site.
    Value:
    An alphanumeric string
    Example:
    Partner1
    Description
    Specifies additional information to describe the entity.
    Value:
    Alphanumeric string up to 1024 characters.
    Base URL
    Specifies the base location of the server that is visible to the intended users of the federation. This server is typically the server where
    CA Single Sign-on
    is installed. However, the server can be the URL of the server that hosts federation services, such as the Single Sign-on service. The base URL enables
    CA Single Sign-on
    to generate relative URLs in other parts of the configuration, making configuration more efficient.
    You can edit the Base URL. For example, you can configure virtual hosts for the
    CA Single Sign-on
    system. One virtual host handles the UI communication. The other virtual host handles the user traffic that the embedded Apache Web Server processes. You can edit the Base URL to point only to the server and HTTP port of the Apache Web Server.
    Value:
    valid URL
    Example:
    https://fedserver.ca.com:5555
    Note the following important guidelines for modifying this field:
    If you modify the base URL, do not put a forward slash at the end of the base URL. A final slash results in two slashes being appended to other URLs that use this base URL.
    If you are using more than one
    CA Single Sign-on
    for failover support, set this field to the host name and port of the system managing failover to the other systems. This system can be a load balancer or proxy server.
  • Nome entità
    Nome dell'entità nel Policy Store. Il nome di entità deve avere un valore univoco. La federazione utilizza il nome di entità internamente per distinguere un'entità in un sito particolare. A livello esterno, questo valore non viene utilizzato e non viene comunicato al partner remoto.
    Il nome di entità può avere lo stesso valore dell'ID di entità, tuttavia tale valore non viene mai condiviso con altre entità del sito.
    Valore
    : stringa alfanumerica
    Esempio
    : Partner1
  • URL servizio SSO remoto
    Identifica il servizio di Single Sign-on in questo IdP remoto. Fare clic su Aggiungi riga per inserire una voce nella tabella.
    Definire almeno un servizio SSO.
    La tabella include le colonne seguenti:
    • Binding
      Specifica il binding utilizzato per Single Sign-On da questa entità.
      Impostazione predefinita
      : Reindirizzamento HTTP
      Limiti
      : Reindirizzamento HTTP, SOAP
    • URL
      Identifica l'URL del servizio di Single Sign-On sul lato del provider di identità.
      Valore
      : un URL valido
      Esempio se
      CA Single Sign-on
      è il produttore:
      http://
      federation_server
      :8054/affwebservices/public/saml2sso
    • Elimina
      Rimuove la voce dalla tabella.
  • URL di risoluzione dell'artifact SOAP remoto
    (Obbligatorio solamente per HTTP-Artifact) Identifica il servizio di risoluzione artifact sul lato IdP remoto.
    Le voci dell'URL includono le seguenti impostazioni:
    • Indice
      Specifica un numero indicizzato che identifica l'URL del servizio di risoluzione artifact sul lato del provider di identità. L'indice determina l'ordine di utilizzo degli URL per il servizio di risoluzione artifact, quando ne sono definiti più di uno.
      Valore predefinito
      : 0
      Valore:
      un numero intero compreso tra 0 e 99999.
    • URL
      Specifica l'URL per il servizio di risoluzione artifact. Se SSL è abilitato per questo servizio, gli URL devono iniziare con
      https://
      .
  • URL del servizio SLO remoto
    (Facoltativo) Identifica il servizio di single logout sul lato IdP remoto. La tabella include le colonne seguenti:
    • Binding
      Specifica il binding per SLO usato da questa entità.
      Impostazione predefinita
      : Reindirizzamento HTTP
      Opzioni
      : Reindirizzamento HTTP, SOAP
    • URL percorso
      Specifica l'URL del servizio di single logout sul lato del provider di identità remoto.
      • L'URL è: http:/
        server:port
        /affwebservices/public/saml2slo
        server:port
        è il server su cui è installato
        CA Single Sign-on
        .
      • Per i vendor di terze parti, l'URL rappresenta il servizio di gestione delle risposte di single logout.
    • URL del percorso di risposta
      (Facoltativo) Specifica l'URL del servizio di single logout sul lato del provider di identità remoto. L'URL del percorso di risposta è utile per una configurazione che presenta un servizio per richieste di single logout e un altro per risposte di single logout.
      • Per
        CA Single Sign-on
        ,
        questo valore è sempre uguale all'URL del percorso SLO:
        http://
        server:port
        /affwebservices/public/saml2slo
        server:port
        è il server su cui è installato
        CA Single Sign-on
        .
      • Per i vendor di terze parti, l'URL rappresenta il servizio di gestione delle risposte di single logout.
Gestisci URL servizio ID nome
(Facoltativo) Identifica il servizio di gestione dell'ID nome sul lato IdP remoto. Fare clic su Aggiungi riga per inserire una voce nella tabella.
La tabella include le colonne seguenti:
  • Binding
    Specifica il binding utilizzato per il servizio di gestione dell'ID nome da questa entità.
    Impostazione predefinita
    : SOAP
    Opzioni
    : Reindirizzamento HTTP, HTTP-POST (in lettura, ma inutilizzato)
  • URL percorso
    Specifica l'URL del servizio di gestione dell'ID nome sul lato IdP remoto.
    Per
    CA Single Sign-on
    ,
    questo valore è:
    http://
    sp_server:port
    /affwebservices/public/saml2nidsoap
    sp_server:port
    specifica il server e il numero di porta sul lato del service provider che ospita
    CA Single Sign-on
    .
  • URL del percorso di risposta
    (Facoltativo) Specifica un URL del percorso di risposta, che è utile quando esiste un servizio per le richieste e un servizio per le risposte. Questa impostazione non è supportata per il binding SOAP.
    Per
    CA Single Sign-on
    , questo valore è sempre uguale all'URL di percorso:
    http://
    stmndr_server:port
    /affwebservices/public/saml2nidsoap
    stmndr_server:port
    è il server sul lato del service provider in cui è installato
    CA Single Sign-on
    .
  • URL del servizio di attributo remoto
    (Facoltativo). Elenca gli URL dei diversi servizi di attributo di questo IdP. Immettere l'URL del servizio di attributo in grado di supportare le query di attributo da un Service Provider. È possibile aggiungere più voci aggiungendo righe alla tabella.
    Esempio:
    http://host.forwardinc.com/affwebservices/public/saml2attrsvc
Opzioni di firma e crittografia predefinite
La sezione delle opzioni di firma e crittografia consente di definire i comportamenti di firma e crittografia per le transazioni federate. La sezione comprende i campi seguenti:
  • Alias del certificato di verifica
    (Facoltativo) Specifica l'alias associato a un determinato certificato nell'archivio dati di certificato. L'alias fornito indica al Policy Server il certificato da utilizzare per la verifica delle asserzioni e delle richieste SLO firmate.
    Selezionare un alias dall'elenco a discesa. Se nell'archivio dati di certificato non è presente alcun certificato, fare clic su Importa per importarne uno.
    Il certificato deve trovarsi nell'archivio dati di certificato prima di specificare l'alias associato in questo campo.
    Valore
    : selezione dall'elenco a discesa
  • Alias del certificato di verifica secondario
    (Facoltativo) Consente di specificare un secondo alias del certificato di verifica per un certificato nell'archivio dati di certificato. Se la verifica della firma di una richiesta o di una risposta produce un errore con l'alias del certificato di verifica configurato, il service provider locale utilizza l'alias del certificato secondario. Il provider di identità remoto invia il certificato di verifica al service provider prima che si verifichi qualsiasi transazione tramite l'utilizzo dei metadati o altri metodi.La definizione di un alias secondario è utile se un identity provider esegue il rollover sul certificato di firma. I rollover possono verificarsi per diversi motivi: con la scadenza di un certificato, oppure con il danneggiamento o la modifica delle dimensioni di una chiave privata. Se il certificato non è presente nell'archivio dati di certificato, fare clic su
    Importa
    per importarne uno.
    Valore
    : selezione dall'elenco a discesa.
  • Le richieste di autenticazione firmate sono obbligatorie
    Indica che i messaggi AuthnRequest sono firmati. In caso contrario, non saranno accettati dal provider di identità.
Attributi e formati ID nome supportato (SAML 2.0)
casso1283
casso1283
The Supported Name ID Formats and Attributes section allows you to specify the Name ID formats that the entity support. Additionally, for an Identity Provider it indicates the attributes to add to an assertion.
The Name Identifier names a user in a unique way in the assertion and specifies which attributes to include in the assertion. The format of the Name Identifier establishes the type of content that is used for the ID. For example, the format can be the User DN, in which case the content can be a uid.
Attributes added to an assertion can further identify a user and enable an application using the assertion to be customized for each user.
  • Supported Name ID Formats
    Lists all the Name ID formats that the entity supports. Select all the formats that apply.
    For a description of each format, see the
    Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0
    specification.
  • Supported Assertion Attributes (local and remote IdP)
    Specifies the attributes that the asserting party includes in the assertion. The table includes the following columns:
    • Assertion Attribute
      Indicates the specific user directory attribute that is included in the assertion.
      Value:
      Name of a valid user directory attribute
    • Supported Format
      Designates the format of the attribute.
      Options:
      Unspecified, Basic, URI