Schema di autenticazione SAML 2.0: Impostazioni SSO
Sommario
casso1283
HID_saml2-auth-sso
Sommario
Le impostazioni SSO consentono di configurare le modalità di gestione di Single Sign-On (SSO) sul lato del service provider.
La sezione SSO della pagina comprende le impostazioni seguenti:
- Modalità di reindirizzamentoSpecifica il metodo di reindirizzamento utente del service provider alla risorsa di destinazione. Se si seleziona 302 Nessun dato o 302 Dati cookie, non sono necessarie ulteriori configurazioni. Se si seleziona Reindirizzamento server o PersistAttributes, è necessaria un'ulteriore configurazione.
- 302 Nessun dato (valore predefinito)Reindirizza l'utente mediante un codice HTTP 302 con un cookie di sessione, ma senza altri dati.
- 302 Dati cookieReindirizza l'utente mediante un codice HTTP 302 con un cookie di sessione e altri dati di cookie configurati daCA Single Sign-onper il service provider sul lato del provider di identità.
- casso1283Server RedirectEnables header and cookie attribute information received in the assertion to be passed to the custom target application. The SAML 2.0 Assertion Consumer Service or WS-Federation Security Token Consumer Service collects the user credentials then transfers the user to the target application URL using server-side redirects. Server-side redirects are part of the Java Servlet specification. All the standard-compliant servlet containers support server-side redirects.To use this mode, follow these requirements:
- The URL you specify for this mode must be relative to the context of the servlet that is consuming the assertion, which is typically /affwebservices/public/. The root of the context is the root of the Federation Web Services application, typically /affwebservices/.All target application files must be in the application root directory. This directory is either:—Web Agent:web_agent_home\webagent\affwebservices—CA Access Gateway:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- Define realms, rules, and policies to protect target resources. You define the realms with at least the value /affwebservices/ in the resource filter.
- Install a custom Java or JSP application on the server that is serving the Federation Web Services application. Federation Web Services is installed with the Web Agent Option Pack orCA Access Gateway.Java servlet technology allows applications to pass information between two resource requests using the setAttribute method of the ServletRequest interface.The service that consumes assertions sends the user attribute to the target application before redirecting the user to the target. The service sends the attributes by creating a java.util.HashMap object. The attribute that contains the HashMap of SAML attributes is “Netegrity.AttributeInfo.”The service that consumes assertions passes two other Java.lang.String attributes to the custom application:—Netegrity.smSessionID attribute represents theCA Single Sign-onsession ID—Netegrity.userDN attribute represents theCA Single Sign-onuser DN.The custom target application reads these objects from the HTTP request and uses the data found in the hashmap objects.
- Conserva attributiReindirizza l'utente mediante un codice HTTP 302 con un cookie di sessione, ma senza altri dati. Questa modalità indica inoltre al Policy Server di archiviare gli attributi estratti da un'asserzione nel session store in modo da poterli fornire come variabili di intestazione HTTP. Per ulteriori configurazioni, consultare le istruzioni per l'utilizzo degli attributi SAML come intestazioni HTTP.Per visualizzare l'opzione, abilitare il session store tramite la console di gestione del Policy Server diCA Single Sign-on.casso1283If you select Persist Attributes and the assertion contains attributes that are left blank, a value of NULL is written to the session store. This value acts as a placeholder for the empty attribute. The value is passed to any application using the attribute.
- Servizio SSOSpecifica l'URI del servizio di Single Sign-On sul lato del provider di identità. L'URI corrisponde al percorso usato dal servizio AuthnRequest per reindirizzare un messaggio authnrequest contenente l'ID del service provider. URL predefinito:http://idp_host:port/affwebservices/public/saml2sso
- Gruppo di destinatariSpecifica il gruppo di destinatari per l'asserzione SAML. Il gruppo di destinatari è un URL che identifica il percorso di un documento contenente i Termini e condizioni dell'accordo commerciale tra il provider di identità e il service provider. L'amministratore sul sito del provider di identità definisce il gruppo di destinatari, che corrisponde al gruppo di destinatari per il service provider.Il valore del gruppo di destinatari non è maggiore di 1000 e rispetta la distinzione tra maiuscole e minuscole. Ad esempio:http://www.ca.com/SampleAudience
- Destinazione(Facoltativo) Specifica l'URI della risorsa di destinazione sul sito del service provider.Il service provider non deve utilizzare la destinazione predefinita. Il collegamento di avvio di Single Sign-On può contenere un parametro di query che specifica la destinazione.
- Consenti a IdP di creare un nuovo identificatore utenteSe il service provider invia un messaggio AuthnRequest al provider di identità per ottenere un'asserzione, questa casella di controllo permette di impostare l'attributo AllowCreate nel messaggio AuthnRequest su true. L'attributo AllowCreate indica al provider di identità di generare un nuovo valore per NameID. La funzionalità AllowCreate è abilitata sul lato del provider di identità. Il nuovo valore per NameID viene incluso nell'asserzione.
- Enhanced Client o Proxy ProfileAbilita l'elaborazione delle richieste mediante il profilo Attiva il supporto del profilo Enhanced Client o Proxy (ECP) di SAML 2.0.
- Firma richieste di autenticazioneIndica al Policy Server sul lato del service provider di firmare AuthnRequest una volta generato. La casella di controllo è necessaria se il provider di identità richiede la firma di AuthnRequest. Il servizio AuthnRequest reindirizza il messaggio AuthnRequest firmato all'URL di servizio di Single Sign-On.
- Lo stato di inoltro sovrascrive la destinazione(Facoltativo) Sostituisce il valore specificato nel campo Destinazione con il valore del parametro di query Stato di inoltro per Single Sign-On avviato dal service provider o dal provider di identità. La casella di controllo offre un maggiore controllo sulla destinazione, in quanto il parametro di query Stato di inoltro consente di definire la destinazione in modo dinamico.
Binding
Schema di autenticazione SAML 2.0: artifact binding
Artifact binding
Se il service provider supporta l'artifact binding, configurare le impostazioni in questa sezione. Per Single Sign-On di artifact SAML 2.0, le impostazioni includono:
- Artifact
Definisce la configurazione del profilo HTTP-Artifact.
HTTP Artifact
Abilita l'artifact binding. Se abilitato, vengono attivati i controlli associati riportati di seguito.
- Firma ArtifactResolveIndica che il messaggio di risoluzione artifact richiede la firma. La richiesta recupera il messaggio SAML originale dal service provider.Se si seleziona questa casella di controllo, il provider di identità viene configurato per richiedere la firma del messaggio di risoluzione artifact.L'elaborazione della firma digitale è abilitata per firmare il messaggio di risoluzione artifact.
- Sovrascrivi ID origine IdP generato dal sistemaConsente di specificare un ID di origine IdP nel campo associato. Il valore predefinito è un hash SHA-1 dell'ID IdP. I valori devono corrispondere a un numero esadecimale di 40 cifre.
- Richiede la firma di ArtifactResponseIndica che il service provider accetta solo la risposta dell'artifact, che richiede la firma.Se si seleziona questa casella di controllo, il provider di identità viene configurato per firmare la risposta dell'artifact.L'elaborazione della firma digitale è abilitata per elaborare la risposta firmata.
- IndiceIl campo, abilitato se si seleziona la casella di controllo HTTP-Artifact, assegna un parametro AssertionConsumerServiceIndex all'artifact binding. Se sono presenti più endpoint in una rete federata, assegnare un indice al servizio di interpretazione asserzioni. Il valore di indice specifica al provider di identità la posizione di invio della risposta. Immettere un numero intero compreso tra 0 e 65535.
- Servizio di risoluzioneSpecifica l'URL del servizio di risoluzione artifact sul lato del provider di identità. URL predefinito:http://host:port/affwebservices/saml2artifactresolution
- ID origineDefinisce l'ID di origine del provider di identità.Lo standard di specifica SAML definisce un ID di origine come un numero binario di 20 byte con codifica esadecimale per identificare la parte che emette l'asserzione. Il service provider utilizza questo ID per identificare un'autorità di certificazione delle asserzioni.Il valore dell'ID di origine viene generato automaticamente in base al valore dell'ID IdP, individuato nelle impostazioni generali dello schema di autenticazione. Quando si seleziona l'opzione Sovrascrivi ID origine IdP generato dal sistema, immettere il valore fornito dal provider di identità in una comunicazione fuori banda.
Schema di autenticazione SAML 2.0: POST binding
POST binding
Se il service provider supporta il POST binding, configurare le impostazioni in questa sezione. Per POST di SAML 2.0, le impostazioni includono:
- Post
- HTTP PostIndica che il POST binding è abilitato per il provider di identità.
- Applica policy singolaApplica la policy singola, impedendo il riutilizzo delle asserzioni SAML 2.0 sul lato del service provider per stabilire una seconda sessione.
- IndiceIl campo, abilitato se si seleziona la casella di controllo HTTP-Post, assegna un parametro AssertionConsumerServiceIndex all'artifact binding. Se sono presenti più endpoint in una rete federata, assegnare un indice al servizio di interpretazione asserzioni. Il valore di indice specifica al provider di identità la posizione di invio della risposta.Valore: da 0 a 65535