Impostazioni generali dell'entità affiliata

Le sezioni seguenti sono riportate della pagina generale:
casso1283
HID_affiliate-saml1-general
I campi e i controlli seguenti sono disponibili nella pagina Generale per entità affiliate SAML 1.x:
  • Nome
    Definisce il nome del consumatore. Il nome essere univoco in tutti i domini affiliati.
  • Descrizione
    Definisce una breve descrizione del consumatore.
  • Password
    Definisce la password utilizzata da un consumatore per l'identificazione sul sito del produttore in modo da poter recuperare un'asserzione.
  • Conferma password
    Consente di confermare la password inserita nel campo Password.
  • casso1283
    Active
    Indicates whether the legacy federation configuration is in use for a particular partnership. If the Policy Server is using the legacy federation configuration, confirm this check box is selected. If you have recreated a federated partnership with similar values for identity settings, such as source ID, clear this check box before activating the federated partnership.
    CA Single Sign-on
    cannot work with a legacy and partnership configuration that use the same identity values or a name collision occurs.
  • Usa URL protetto
    Questa impostazione istruisce il servizio Single Sign-On per eseguire esclusivamente la crittografia del parametro di query SMPORTALURL.La crittografia di SMPORTALURL impedisce la modifica del valore e il reindirizzamento degli utenti autenticati a siti Web dannosi da parte di utenti malintenzionati.SMPORTALURL viene aggiunto all'URL di autenticazione prima che il browser reindirizzi l'utente a stabilire una sessione. Una volta autenticato l'utente, il browser reindirizza l'utente alla destinazione specificata nel parametro di query SMPORTALURL.
    Se si seleziona la casella di controllo Usa URL protetto, procedere come segue:
    1. Impostare il campo URL di autenticazione sul seguente URL: http(s)://
    idp_server:port
    /affwebservices/secure/secureredirect
    2. Proteggere il servizio Web secureredirect con una policy.
    Se l'entità di generazione asserzioni serve più di un relying party, l'entità di generazione asserzioni autentica probabilmente diversi utenti per questi partner diversi. Di conseguenza, per ogni URL di autenticazione che utilizza il servizio secureredirect, includere questo servizio Web in un realm diverso per ciascun partner.
    Per associare il servizio secureredirect a diversi realm, modificare il file web.xml e creare mapping di risorsa differenti. Non copiare il servizio Web secureredirect in diverse posizioni sul server. Individuare il file web.xml nella dire
    ctory web_agent_home
    /affwebservices/WEB-INF, dove
    web_agent_home
    è la posizione di installazione dell'agente Web.
  • URL di autenticazione
    : specifica un URL protetto utilizzato dalla federazione per l'autenticazione utente e la creazione di una sessione in cui è richiesta una risorsa protetta. Se la modalità di autenticazione è impostata su Locale e un utente non ha eseguito l'accesso sul lato dell'entità di generazione asserzioni, viene indirizzato a questo URL.Questo URL deve puntare al file redirect.jsp, a meno che non venga selezionata la casella di controllo Usa URL protetto.
    Esempio: http://
    myserver.idpA.com
    /siteminderagent/redirectjsp/redirect.jsp
    myserver
    identifica il server Web con l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway. Il file redirect.jsp viene fornito con l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway installato sul sito dell'entità di generazione asserzioni.
    Proteggere l'URL di autenticazione con una policy Access Control. La policy richiede la configurazione di uno schema di autenticazione, un realm e una regola. Per aggiungere gli attributi del session store per l'asserzione, abilitare la casella di controllo Mantieni le variabili della sessione di autenticazione, la quale è un'impostazione nello schema di autenticazione.
Le sezioni seguenti sono riportate della pagina generale:
  • Restrizioni
    Consente di configurare le restrizioni orarie e di indirizzo IP sulla policy di generazione asserzioni per il service provider.
    • Ora
    • Imposta
      Consente di aprire la finestra di dialogo Ora in modo da configurare la disponibilità del partner della risorsa. Quando si aggiunge una restrizione oraria, il service provider funziona solo durante il periodo specificato.
    • Cancella
    • Indirizzi IP
    Elenca gli indirizzi IP con restrizioni configurati per la policy delle risorse del service provider. È possibile specificare un indirizzo IP, un intervallo di indirizzi IP o una subnet mask del server Web. Ai fini dell'accesso al service provider, è necessario che su questo server sia in esecuzione un browser.
    • Aggiungi
      Consente di aprire una finestra di dialogo vuota per l'aggiunta dell'indirizzo IP, in cui è possibile creare una restrizione per l'indirizzo IP.
  • Avanzate
    Consente di configurare un plug-in per personalizzare il contenuto dell'asserzione. Fornisce un'opzione per impostare l'uso di un'asserzione singola.
    • Plug-in di personalizzazione delle asserzioni
      I parametri seguenti consentono di personalizzare il contenuto dell'asserzione:
      • Nome classe Java completo
        Definisce il nome di classe Java del plug-in richiamato dal generatore asserzioni in fase di runtime.
        Il generatore asserzioni richiama il plug-in in fase di runtime. La classe del plug-in è in grado di analizzare e modificare l'asserzione, quindi di restituire il risultato al generatore asserzioni per l'elaborazione finale.
        È consentito un solo plug-in per ogni consumatore. Ad esempio, com.mycompany.assertiongenerator.AssertionSample
      • Parametri
        (Facoltativo) Definisce una stringa di parametri trasferiti al plug-in come parametro in fase di runtime. La stringa può contenere qualsiasi valore e non presenta una sintassi specifica.
      • Configurazione di asserzioni aggiuntive
        L'impostazione seguente applica una condizione all'uso dell'asserzione sul lato del service provider.
        • Imposta condizione DoNotCache
          Indica al provider di identità di aggiungere l'elemento <DoNotCacheCondition> nell'elemento <Conditions> di un'asserzione. Questa condizione indica al service provider che riceve l'asserzione di utilizzare subito l'asserzione senza conservarla per l'uso in futuro. L'elemento <DoNotCacheCondition> è utile perché le informazioni in un'asserzione possono cambiare o scadere. Invece di riutilizzare l'asserzione, il service provider deve richiedere una nuova asserzione dal provider di identità.