Configurazione dell'entità del Service Provider remoto SAML 2.0

casso1283
HID_remote-sp-entity-config
Il passaggio Configura entità comprende i dettagli di configurazione relativi a un'entità federata.
Configurazione dell'entità del Service Provider remoto SAML 2.0
La sezione Configurazione dell'entità del Service Provider remoto SAML 2.0 consente di identificare l'entità.
  • ID entità
    Identifica l'entità federata a un partner. L'ID di entità è un ID universale come il nome di dominio. Se l'ID di entità rappresenta un
    partner remoto
    , questo valore deve essere univoco. Se l'ID di entità rappresenta un
    partner locale
    , è possibile riutilizzarlo sullo stesso sistema. Ad esempio, se l'ID di entità rappresenta un IdP locale, è possibile utilizzare questo stesso ID in più di una partnership da IdP a SP.
  • Un ID di entità che rappresenta un partner remoto può appartenere solo a un'unica partnership attiva.
    Valore:
    URI (URL consigliato)
    Attenersi alle seguenti indicazioni:
    • L'ID di entità deve essere un URI, ma è consigliato un URL assoluto.
    • Se l'ID di entità è un URL:
      • La parte host dell'URL deve essere un nome compreso nel dominio DNS primario dell'organizzazione.
      • L'URL non deve contenere un numero di porta, una stringa di query o un identificatore di frammento.
    • Non utilizzare la E commerciale (&) nell'ID di entità poiché viene considerata come un parametro di query distinto.
    • Non specificare un URN.
    • L'ID di entità per un partner remoto deve essere univoco a livello globale per evitare conflitti di nome all'interno della federazione.
    Esempi di ID di entità validi
    • CompanyA:portal1
    • http://idp_name.forwardinc.com/idp
    • https://idp_name.example.edu/sp
    Esempi di ID di entità non validi:
    • http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto&test=1
    • http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (questo URL può funzionare, ma si sconsiglia di utilizzare questa sintassi)
  • Nome entità
    Denomina l'oggetto di entità nel database. Il nome di entità deve avere un valore univoco. A livello interno, il sistema utilizza il nome di entità per distinguere un'entità in un determinato sito. A livello esterno, questo valore non viene utilizzato e non viene comunicato al partner remoto.Il nome di entità può avere lo stesso valore dell'ID di entità. Tuttavia, tale valore non viene mai condiviso con altre entità del sito.
    Valore
    : stringa alfanumerica
    Esempio
    : Partner1
     
  • Descrizione
    Specifica informazioni aggiuntive per descrivere l'entità.
    Valore
    : stringa alfanumerica di max 1024 caratteri.
URL del servizio di interpretazione asserzioni
La sezione URL del Servizio di interpretazione asserzioni specifica il servizio sul lato del service provider remoto per l'uso delle asserzioni. Fare clic su Aggiungi riga per inserire una voce nella tabella.
Accertarsi di aver definito almeno una voce per il servizio di interpretazione asserzioni.
La tabella include le colonne seguenti:
  • Indice
    Specifica il numero indicizzato associato all'URL del servizio di interpretazione asserzioni.
    Valore predefinito
    : 0
    Valore
    : un numero intero compreso tra 0 e 99999.
  • Binding
    Specifica il binding utilizzato dall'endpoint per Single Sign-On.
    Il provider di identità può avviare Single Sign-On con una richiesta indesiderata. Se la richiesta include il parametro di query di ProtocolBinding, il binding specificato nel parametro di query sostituisce il valore selezionato per questo campo.
    Opzioni
    : HTTP-Artifact, HTTP-POST, SOAP
  • URL
    Specifica l'URL per il servizio di interpretazione asserzioni. Se SSL è abilitato per il servizio, gli URL devono iniziare con
    https://
    .
  • Predefinito
    Indica che la voce selezionata per il Servizio di interpretazione asserzioni vale come URL predefinito per l'uso delle asserzioni. È possibile impostare solo una voce come valore predefinito.
URL servizio SLO
(Facoltativo) In questa sezione, identificare il servizio di single logout sul lato del service provider remoto. Fare clic su Aggiungi riga per aggiungere una voce alla tabella.
La tabella include le colonne seguenti:
  • Binding
    Specifica il binding utilizzato per SLO da questa entità.
    Impostazione predefinita
    : Reindirizzamento HTTP
    Opzioni
    : Reindirizzamento HTTP, SOAP
  • URL percorso
    Specifica l'URL del servizio di single logout sul lato del service provider remoto.
    • Per
      CA Single Sign-on
      , questo valore è:
      http://
      sp_server:port
      /affwebservices/public/saml2slo
      sp_server:port
      specifica il server e il numero di porta sul lato del service provider che ospita
      CA Single Sign-on
      .
       
    • Per i vendor di terze parti, l'URL rappresenta il servizio di single logout.
  • URL del percorso di risposta
    (Facoltativo) Specifica l'URL del servizio di single logout sul lato del service provider remoto. L'URL del percorso di risposta è utile quando presenta un servizio per richieste di single logout e un altro per risposte di single logout.
    • Per
      CA Single Sign-on
      , questo valore è sempre uguale all'URL del percorso SLO:
      http://sp
      _server:port
      /affwebservices/public/saml2slo
      sp_server:port
      è il server sul lato del service provider in cui è installato
      CA Single Sign-on
      .
    • Per i vendor di terze parti, l'URL rappresenta il servizio di gestione delle risposte di single logout.
Gestisci URL servizio ID nome
(Facoltativo) Identifica il servizio Gestione ID nome sul lato del service provider remoto. Fare clic su Aggiungi riga per aggiungere una voce alla tabella.
La tabella include le colonne seguenti:
  • Binding
    Specifica il binding utilizzato per il servizio di gestione dell'ID nome da questa entità.
    Impostazione predefinita
    : SOAP
    Opzioni
    : Reindirizzamento HTTP, HTTP-POST (in lettura, ma inutilizzato)
  • URL percorso
    Specifica l'URL del servizio di gestione dell'ID nome sul lato Service Provider remoto.
    • Per
      CA Single Sign-on
      , questo valore è:
      http://
      sp_server:port
      /affwebservices/public/saml2nidsoap
      sp_server:port
      specifica il server e il numero di porta sul lato del service provider che ospita
      CA Single Sign-on
      .
  • URL del percorso di risposta
    (Facoltativo) Specifica un URL del percorso di risposta, che è utile quando esiste un servizio per le richieste e un servizio per le risposte. Non si applica per il binding SOAP.
    • Per
      CA Single Sign-on
      , questo valore è sempre uguale all'URL di percorso:
      http://
      sp_server:port
      /affwebservices/public/saml2nidsoap
      sp_server:port
      è il server sul lato del service provider in cui è installato
      CA Single Sign-on
      .
Opzioni di firma e crittografia predefinite
La sezione delle opzioni di firma e crittografia consente di definire i comportamenti di firma e crittografia per le transazioni federate. Questa sezione contiene le impostazioni seguenti:
  • Alias del certificato di verifica
    (Facoltativo) Specifica l'alias associato a un determinato certificato nell'archivio dati di certificato. L'alias fornito indica al Policy Server il certificato da utilizzare per la verifica delle asserzioni e delle richieste SLO firmate.
    Selezionare un alias dall'elenco a discesa. Se il certificato non è disponibile, fare clic su
    Importa
    per importarne uno. Il certificato deve trovarsi nell'archivio dati di certificato prima di specificare l'alias associato in questo campo.
    Valore
    : selezione dall'elenco a discesa
  • Alias del certificato di verifica secondaria
    (Facoltativo) Consente di specificare un secondo alias del certificato di verifica nell'archivio dati di certificato. Se la verifica della firma di una richiesta o di una risposta produce un errore con l'alias del certificato di verifica, l'IdP utilizza l'alias del certificato secondario per verificare la firma. Il Service Provider remoto invia il certificato di verifica all'IdP prima che si verifichi qualsiasi transazione tramite l'utilizzo dei metadati o altri metodi. La definizione di un alias secondario è utile se un Service Provider esegue il rollover sul certificato di firma. I rollover possono verificarsi per diversi motivi: con la scadenza di un certificato, oppure con il danneggiamento o la modifica delle dimensioni di una chiave privata.Se il certificato non è presente nell'archivio dati di certificato, fare clic su
    Importa
    per importarne uno.
    Valore
    : selezione dall'elenco a discesa.
  • Alias del certificato di crittografia
    (Facoltativo) Specifica l'alias associato a un determinato certificato nell'archivio dati di certificato. Il campo, una volta compilato, indica il certificato fornito dal service provider remoto al provider di identità, che a sua volta lo utilizza per la crittografia. Il service provider esegue la decrittografia con la chiave privata.
    Selezionare un alias dall'elenco a discesa o fare clic su Importa per importare un certificato se la chiave desiderata non è disponibile. Il certificato deve trovarsi nell'archivio dati di certificato prima di specificare l'alias associato in questo campo.
    Valore
    : selezione dall'elenco a discesa
  • Firma richieste di autenticazione
    Indica che è richiesta la firma per i messaggi AuthnRequest inviati dal service provider. La firma della richiesta garantisce l'attendibilità tra i due lati della partnership.
Formati ID nome supportato
casso1283
The Supported Name ID Formats section allows you to specify the Name ID formats that the entity support.
The Name Identifier names a user in a unique way in the assertion and specifies which attributes to include in the assertion. The format of the Name Identifier establishes the type of content that is used for the ID. For example, the format can be the User DN, in which case the content can be a uid.
  • Supported Name ID Formats
    Lists all the Name ID formats that the entity supports. Select all the formats that apply.
    For a description of each format, see the 
    Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0
    specification.