Impostazioni generali dell'entità affiliata
Le sezioni seguenti sono riportate della pagina generale:
casso1283
HID_affiliate-saml1-general
- NomeDefinisce il nome del consumatore. Il nome essere univoco in tutti i domini affiliati.
- DescrizioneDefinisce una breve descrizione del consumatore.
- PasswordDefinisce la password utilizzata da un consumatore per l'identificazione sul sito del produttore in modo da poter recuperare un'asserzione.
- Conferma passwordConsente di confermare la password inserita nel campo Password.
- casso1283ActiveIndicates whether the legacy federation configuration is in use for a particular partnership. If the Policy Server is using the legacy federation configuration, confirm this check box is selected. If you have recreated a federated partnership with similar values for identity settings, such as source ID, clear this check box before activating the federated partnership.CA Single Sign-oncannot work with a legacy and partnership configuration that use the same identity values or a name collision occurs.
- Usa URL protettoQuesta impostazione istruisce il servizio Single Sign-On per eseguire esclusivamente la crittografia del parametro di query SMPORTALURL.La crittografia di SMPORTALURL impedisce la modifica del valore e il reindirizzamento degli utenti autenticati a siti Web dannosi da parte di utenti malintenzionati.SMPORTALURL viene aggiunto all'URL di autenticazione prima che il browser reindirizzi l'utente a stabilire una sessione. Una volta autenticato l'utente, il browser reindirizza l'utente alla destinazione specificata nel parametro di query SMPORTALURL.Se si seleziona la casella di controllo Usa URL protetto, procedere come segue:1. Impostare il campo URL di autenticazione sul seguente URL: http(s)://idp_server:port/affwebservices/secure/secureredirect2. Proteggere il servizio Web secureredirect con una policy.Se l'entità di generazione asserzioni serve più di un relying party, l'entità di generazione asserzioni autentica probabilmente diversi utenti per questi partner diversi. Di conseguenza, per ogni URL di autenticazione che utilizza il servizio secureredirect, includere questo servizio Web in un realm diverso per ciascun partner.Per associare il servizio secureredirect a diversi realm, modificare il file web.xml e creare mapping di risorsa differenti. Non copiare il servizio Web secureredirect in diverse posizioni sul server. Individuare il file web.xml nella directory web_agent_home/affwebservices/WEB-INF, doveweb_agent_homeè la posizione di installazione dell'agente Web.
- URL di autenticazione: specifica un URL protetto utilizzato dalla federazione per l'autenticazione utente e la creazione di una sessione in cui è richiesta una risorsa protetta. Se la modalità di autenticazione è impostata su Locale e un utente non ha eseguito l'accesso sul lato dell'entità di generazione asserzioni, viene indirizzato a questo URL.Questo URL deve puntare al file redirect.jsp, a meno che non venga selezionata la casella di controllo Usa URL protetto.Esempio: http://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jspmyserveridentifica il server Web con l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway. Il file redirect.jsp viene fornito con l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway installato sul sito dell'entità di generazione asserzioni.Proteggere l'URL di autenticazione con una policy Access Control. La policy richiede la configurazione di uno schema di autenticazione, un realm e una regola. Per aggiungere gli attributi del session store per l'asserzione, abilitare la casella di controllo Mantieni le variabili della sessione di autenticazione, la quale è un'impostazione nello schema di autenticazione.
Le sezioni seguenti sono riportate della pagina generale:
- RestrizioniConsente di configurare le restrizioni orarie e di indirizzo IP sulla policy di generazione asserzioni per il service provider.
- Ora
- ImpostaConsente di aprire la finestra di dialogo Ora in modo da configurare la disponibilità del partner della risorsa. Quando si aggiunge una restrizione oraria, il service provider funziona solo durante il periodo specificato.
- Cancella
- Indirizzi IP
- AggiungiConsente di aprire una finestra di dialogo vuota per l'aggiunta dell'indirizzo IP, in cui è possibile creare una restrizione per l'indirizzo IP.
- AvanzateConsente di configurare un plug-in per personalizzare il contenuto dell'asserzione. Fornisce un'opzione per impostare l'uso di un'asserzione singola.
- Plug-in di personalizzazione delle asserzioniI parametri seguenti consentono di personalizzare il contenuto dell'asserzione:
- Nome classe Java completoDefinisce il nome di classe Java del plug-in richiamato dal generatore asserzioni in fase di runtime.Il generatore asserzioni richiama il plug-in in fase di runtime. La classe del plug-in è in grado di analizzare e modificare l'asserzione, quindi di restituire il risultato al generatore asserzioni per l'elaborazione finale.È consentito un solo plug-in per ogni consumatore. Ad esempio, com.mycompany.assertiongenerator.AssertionSample
- Parametri(Facoltativo) Definisce una stringa di parametri trasferiti al plug-in come parametro in fase di runtime. La stringa può contenere qualsiasi valore e non presenta una sintassi specifica.
- Configurazione di asserzioni aggiuntiveL'impostazione seguente applica una condizione all'uso dell'asserzione sul lato del service provider.
- Imposta condizione DoNotCacheIndica al provider di identità di aggiungere l'elemento <DoNotCacheCondition> nell'elemento <Conditions> di un'asserzione. Questa condizione indica al service provider che riceve l'asserzione di utilizzare subito l'asserzione senza conservarla per l'uso in futuro. L'elemento <DoNotCacheCondition> è utile perché le informazioni in un'asserzione possono cambiare o scadere. Invece di riutilizzare l'asserzione, il service provider deve richiedere una nuova asserzione dal provider di identità.