Configurazione dell'entità di federazione dei servizi Web
casso1283
HID_wsfed-entity
La maggior parte delle impostazioni riportate di seguito sono valide per entrambe le entità locali e remote di federazione dei servizi Web.
- ID entitàIdentifica l'entità federata a un partner. L'ID di entità è un ID universale come il nome di dominio. Se l'ID di entità rappresenta unpartner remoto, questo valore deve essere univoco. Se l'ID di entità rappresenta unpartner locale, è possibile riutilizzarlo sullo stesso sistema. Ad esempio, se l'ID di entità rappresenta un'entità di generazione asserzioni locale, è possibile utilizzare questo stesso ID in più di una partnership.Un ID di entità che rappresenta un partner remoto può appartenere solo a un'unica partnership attiva.Valore:URI (URL consigliato)Attenersi alle seguenti indicazioni:
- L'ID di entità deve essere un URI, ma è consigliato un URL assoluto.
- Se l'ID di entità è un URL:
- La parte host dell'URL deve essere un nome compreso nel dominio DNS primario dell'organizzazione.
- L'URL non deve contenere un numero di porta, una stringa di query o un identificatore di frammento.
- Non utilizzare la E commerciale (&) nell'ID di entità poiché viene considerata come un parametro di query distinto.
- Non specificare un URN.
- L'ID di entità per un partner remoto deve essere univoco a livello globale per evitare conflitti di nome all'interno della federazione.Esempi di ID di entità validi
- CompanyA:portal1
- https://idp_name.example.edu/spEsempi di ID di entità non validi:
- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (questo URL può funzionare, ma si sconsiglia di utilizzare questa sintassi)
- Nome entità
Denomina l'oggetto di entità nel Policy Store. Il nome di entità deve avere un valore univoco.
CA Single Sign-on
utilizza il nome di entità internamente per distinguere un'entità in un sito particolare. A livello esterno, questo valore non viene utilizzato e non viene comunicato al partner remoto.Il nome di entità può avere lo stesso valore dell'ID di entità, tuttavia tale valore non viene condiviso con altre entità nel sito.
Valore:
stringa alfanumericaEsempio:
Partner1- Descrizione
Specifica informazioni aggiuntive per descrivere l'entità.
Valore:
stringa alfanumerica di max 1024 caratteri- URL di base
Specifica la posizione di base del server visibile per utenti specifici della federazione. In genere si tratta del server su cui è installato
CA Single Sign-on
. Il server può corrispondere all'URL del server che ospita i servizi di federazione. L'URL di base consente a CA Single Sign-on
di generare gli URL corrispondenti in altre parti della configurazione, aumentandone l'efficienza.L'URL di base può essere modificato. Ad esempio, è possibile procedere alla configurazione di host virtuali per il sistema
CA Single Sign-on
. Un host virtuale gestisce la comunicazione dell'interfaccia di amministrazione. L'altro invece gestisce il traffico utente elaborato dal server Web integrato di Apache. In questo caso, è possibile modificare l'URL di base per fare riferimento solo al server e alla porta HTTP del server Web di Apache.Valore:
URL validoEsempio:
https://fedserver.ca.com:5555Per modificare questo campo considerare le seguenti linee guida:
- Se si modifica l'URL di base, non aggiungere una barra alla fine dell'URL di base. La barra finale comporta l'aggiunta di due barre agli altri URL che utilizzano questo URL di base.
- Per il supporto del failover, il valore di questo campo corrisponde al nome host e alla porta del sistema che gestisce il failover in altri sistemi. Questo sistema può corrispondere a un'utilità di bilanciamento del carico oppure a un server proxy.
- ID di risoluzione ambiguità (entità locali di partner della risorsa e provider identità)Impostare questo ID sono se sono presenti più partnership per lo stesso Identity Provider o partner risorse. L'ID di risoluzione ambiguità è utile se più unità di business di un'organizzazione dispongono di una relazione specifica con un partner remoto, ma ciascuna unità utilizza un'infrastruttura di federazione condivisa.Non è possibile disporre di più partnership con lo stesso IP o ID di partner di risorsa. Se un partner remoto utilizza un solo ID di partner risorsa,CA Single Sign-ondeve essere in grado di distinguere le richieste Single Sign-On. L'ID di risoluzione ambiguità consente al sistema di distinguere le partnership mediante un suffisso del percorso logico univoco per gli URL del servizio della federazione, ad esempio il servizio SSO.Ad esempio, i reparti vendite e finanza desiderano una partnership con ForwardInc.com. Entrambe le partnership utilizzano lo stesso ID RP per ForwardInc.com. Per l'entità locale di ciascuna partnership, aggiungere un ID di risoluzione ambiguità "vendite" e "finanza", rispettivamente.L'URL SSO di esempio:http://server:port/affwebservices/public/wsfeddispatcher?RPID=http://forwardinc.comviene convertito nei seguenti URL, in due partnership diverse:http://server:port/affwebservices/public/wsfeddispatcher/sales?RPID=http://forwardinc.comhttp://server:port/affwebservices/public/wsfeddispatcher/finance?RPID=http://forwardinc.comEsiste un solo servizio SSO, tuttavia il suffisso di percorso e l'ID del partner risorsa creano una chiave di ricerca della partnership univoca.L'esistenza di due partnership influisce anche sull'URL del servizio di interpretazione asserzioni fornito dal partner risorse. Gestire la configurazione di questo URL in uno dei seguenti modi:
- Utilizzare lo stesso ID di provider identità in entrambe le partnership. Un IP locale può essere associato a più partner risorsa. Per questa configurazione, il partner risorsa deve fornire due URL del servizio di interpretazione asserzioni diversi, in modo tale da poter distinguere il titolare dell'asserzione. Esempio:https://casales.salesforce.com/public/wsfedConsumerhttps://cafinance.salesforce.com/public/wsfedConsumer
- Utilizza ID IP diversi per ciascuna partnership. Il partner risorsa può fornire lo stesso URL del servizio di interpretazione asserzioni in quanto l'ID del provider identità è in grado di distinguere il mittente dell'asserzione.
Valore: utilizzare una stringa alfanumerica ma non caratteri speciali.
- URL del servizio richiedente passivo remoto (provider identità remoto)Identifica l'URL del servizio del richiedente passivo per il provider di identità remoto. I richiedenti passivi corrispondono a browser Web o applicazioni che supportano il protocollo HTTP. Questo servizio fornisce i token di protezione incaricati di verificare la legittimità del richiedente.
- URL di conferma di disconnessione (provider identità locale)Specifica l'URL del provider di identità che esegue la disconnessione.URL predefinito: http://ip_server:port/affwebservices/signoutconfirmurl.jspip_server:portSpecifica il server e il numero di porta del sistema del provider di identità. Il sistema ospita l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway, a seconda del componente installato nella rete di federazione.Il file signoutconfirmurl.jsp è incluso con l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway. Spostare questa pagina dalla directory predefinita alla posizione del modulo di servlet per consentire l'accesso alla pagina da parte dei servizi FWS.
- URL di disconnessione remoto (partner risorsa remoto)Specifica l'URL del servizio di disconnessione del partner di risorsa locale. URL predefinito:https://rp_service:port/affwebservices/public/wsfeddispatcherIl servizio WSFedDispatcher riceve tutti i messaggi in entrata della Federazione dei servizi Web e inoltra l'elaborazione della richiesta al servizio appropriato in base ai dati di parametro della query. Nonostante esista un servizio wsfedsignout, utilizzare l'URL wsfeddispatcher per SignoutURL.
- URL del servizio token del consumatore di protezione remoto (partner risorsa remoto)Specifica l'URL del servizio token per il partner di risorsa remoto. Questo servizio riceve i messaggi di risposta del token di protezione ed estrae l'asserzione. Il percorso predefinito del servizio è:https://rp_server:port/affwebservices/public/wsfeddispatcherrp_server:portIdentifica il server Web e la porta sul lato del partner di risorsa che ospita l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway. Questi componenti forniscono l'applicazione Federation Web Services.Il servizio WSFedDispatcher riceve tutti i messaggi in entrata di Federazione dei servizi Web e inoltra l'elaborazione della richiesta al servizio appropriato in base ai dati di parametro della query. Sebbene il servizio wsfedsecuritytokenconsumer sia disponibile, si consiglia di utilizzare il servizio wsfeddispatcher per la voce di questo campo.
Impostazioni di firma
Le opzioni di firma definiscono le modalità di firma per l'autenticazione Single Sign-On. Questa sezione contiene impostazioni diverse in base all'entità.
- Alias di firma della chiave privata (solo provider identità locale)(Facoltativo) Specifica l'alias associato a una determinata chiave privata nell'archivio dati di certificato. Compilare questo campo per indicare la chiave privata utilizzata dall'entità di generazione asserzioni per la firma delle asserzioni.Se la chiave che si desidera utilizzare non è presente nell'archivio dati di certificato, è possibile fare clic su Importa per importarla prima di procedere.Nota: la chiave privata deve essere già presente nell'archivio dati di certificato prima di specificare l'alias associato in questo campo.Valore: selezionare un valore dall'elenco a discesa
- Alias del certificato di verifica (partner risorsa e provider di identità remoto)(Facoltativo) Specifica l'alias associato a un determinato certificato (chiave pubblica) nell'archivio dati di certificato. L'alias specificato indica al Policy Server il certificato da utilizzare per la verifica delle asserzioni firmate.Se si desidera importare un certificato ma la chiave desiderata non è disponibile, fare clic su Importa oppure selezionare un alias dall'elenco a discesa.Nota: il certificato deve essere presente nell'archivio dati di certificato prima di specificare l'alias associato.Valore: selezionare un valore dall'elenco a discesa
Attributi e formati di ID nome supportati
casso1283
The Supported Name ID Formats and Attributes section has two functions:
- Specifies the Name ID formats that the entity supports.The Name Identifier names a user in a unique way in the assertion and specifies which attributes to include in the assertion. The format of the Name Identifier establishes the type of content that is used for the ID. For example, the format can be the User DN so the content can be a uid.
- For the asserting party, you specify attributes to include in an assertion.Attributes added to an assertion can further identify a user and enable an application using the assertion to be customized for each user.
Supported Name ID Formats and Attributes
From the list of options, select all the formats that apply. To select all formats, select Select Name ID Formats.
For a description of each format, see the specification for the SAML or WS-Federation profile.
- Supported Assertion AttributesSpecifies the attributes that the producer includes in the assertion. Click Add to include an attribute in the table. The table includes the following columns:
- Assertion AttributeIndicates the specific attribute in the assertion.Value:name of a valid assertion attribute
- NamespaceDesignates a collection that uniquely identifies names.Value:Any namespace name
- DeleteClick the icon and the entry is removed from the table.