Service provider SAML: impostazioni generali
Le impostazioni in questa finestra di dialogo identifica il Service Provider per cui il Provider di identità genera asserzioni.
casso1283
HID_service-provider-general
Le impostazioni in questa finestra di dialogo identifica il Service Provider per cui il Provider di identità genera asserzioni.
Impostazioni generali
Le impostazioni generali consentono di specificare le informazioni generali sul service provider.
Nella scheda sono disponibili le impostazioni seguenti:
- NomeNome del service provider. Il nome è univoco in tutti i domini affiliati.
- ID Service ProviderSpecifica un URI che identifica in modo univoco il service provider, ad esempio, sp.example.com.
- URL di autenticazione: specifica un URL protetto utilizzato dalla federazione per l'autenticazione utente e la creazione di una sessione in cui è richiesta una risorsa protetta. Se la modalità di autenticazione è impostata su Locale e un utente non ha eseguito l'accesso sul lato dell'entità di generazione asserzioni, viene indirizzato a questo URL.Questo URL deve puntare al file redirect.jsp, a meno che non venga selezionata la casella di controllo Usa URL protetto.Esempio: http://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jspmyserveridentifica il server Web con l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway. Il file redirect.jsp viene fornito con l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway installato sul sito dell'entità di generazione asserzioni.Proteggere l'URL di autenticazione con una policy Access Control. La policy richiede la configurazione di uno schema di autenticazione, un realm e una regola. Per aggiungere gli attributi del session store per l'asserzione, abilitare la casella di controllo Mantieni le variabili della sessione di autenticazione, la quale è un'impostazione nello schema di autenticazione.
- casso1283ActiveIndicates whether the legacy federation configuration is in use for a particular partnership. If the Policy Server is using the legacy federation configuration, confirm this check box is selected. If you have recreated a federated partnership with similar values for identity settings, such as source ID, clear this check box before activating the federated partnership.CA Single Sign-oncannot work with a legacy and partnership configuration that use the same identity values or a name collision occurs.
- AbilitatoConsente al Policy Server e ai servizi Web della federazione di supportare l'autenticazione delle risorse del service provider.
- TolleranzaSpecifica il numero di secondi (come numero intero positivo) aggiunto e sottratto all'ora corrente. In questo modo è possibile tener conto dei service provider la cui ora non è sincronizzata con quella del provider di identità. In base alla tolleranza e alla durata di validità, il Policy Server calcola il tempo totale di validità di un'asserzione.Per determinare la validità dell'asserzione, la tolleranza viene sottratta all'ora di generazione dell'asserzione (IssueInstant) per ottenere l'ora NotBefore. La tolleranza viene aggiunta quindi alla durata di validità e a IssueInstant per ottenere l'ora di NotOnOrAfter. Le equazioni seguenti illustrano i casi di utilizzo della tolleranza:
- NotBefore=IssueInstant - Skew Time
- NotOnOrAfter=Validity Duration + Skew Time + IssueInstant
- Versione SAMLSpecifica la versione SAML (disabilitata). Il valore predefinito pari a 2.0 indica che le asserzioni inviate all'ID del service provider devono essere compatibili con la versione SAML 2.0.
- DescrizioneUn'eventuale breve descrizione del service provider.
- ID IdPSpecifica un URI che identifica in modo univoco il provider di identità, ad esempio idp.ca.com. Il valore URI diventa il valore del campo Autorità di certificazione nell'asserzione.
- URL applicazione(Facoltativo) Identifica l'URL protetto per un'applicazione Web personalizzata utilizzata per fornire attributi utente al servizio di Single Sign-On. L'applicazione può trovarsi su qualsiasi host nella rete.Gli attributi tratti dall'applicazione Web specificata in questo campo vengono resi disponibili al generatore asserzioni e quindi inseriti nell'asserzione SAML con il plug-in di generazione asserzioni. Creare il plug-in e integrarlo conCA Single Sign-on.L'applicazione dei servizi Web della federazione fornisce applicazioni Web di esempio utilizzabili come base per la propria applicazione Web. Essi sono:http://idp_server:port/affwebservices/public/sample_application.jsphttp://idp_server:port/affwebservices/public/unsolicited_application.jspidp_server:portIdentifica il server Web e la porta host per l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway.
- Usa URL protettoQuesta impostazione istruisce il servizio Single Sign-On per eseguire esclusivamente la crittografia del parametro di query SMPORTALURL.La crittografia di SMPORTALURL impedisce la modifica del valore e il reindirizzamento degli utenti autenticati a siti Web dannosi da parte di utenti malintenzionati.SMPORTALURL viene aggiunto all'URL di autenticazione prima che il browser reindirizzi l'utente a stabilire una sessione. Una volta autenticato l'utente, il browser reindirizza l'utente alla destinazione specificata nel parametro di query SMPORTALURL.Se si seleziona la casella di controllo Usa URL protetto, procedere come segue:1. Impostare il campo URL di autenticazione sul seguente URL: http(s)://idp_server:port/affwebservices/secure/secureredirect2. Proteggere il servizio Web secureredirect con una policy.Se l'entità di generazione asserzioni serve più di un relying party, l'entità di generazione asserzioni autentica probabilmente diversi utenti per questi partner diversi. Di conseguenza, per ogni URL di autenticazione che utilizza il servizio secureredirect, includere questo servizio Web in un realm diverso per ciascun partner.Per associare il servizio secureredirect a diversi realm, modificare il file web.xml e creare mapping di risorsa differenti. Non copiare il servizio Web secureredirect in diverse posizioni sul server. Individuare il file web.xml nella directoryweb_agent_home/affwebservices/WEB-INF, doveweb_agent_homeè la posizione di installazione dell'agente Web.
- URL di autenticazioneSpecifica un URL protetto utilizzato dalla federazione per l'autenticazione utente e la creazione di una sessione in cui è richiesta una risorsa protetta. Se la modalità di autenticazione è impostata su Locale e un utente non ha eseguito l'accesso sul lato dell'entità di generazione asserzioni, viene indirizzato a questo URL.Questo URL deve puntare al file redirect.jsp, a meno che non venga selezionata la casella di controllo Usa URL protetto.Esempio: http:///siteminderagent/redirectjsp/redirect.jspmyserveridentifica il server Web con l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway. Il file redirect.jsp viene fornito con l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway installato sul sito dell'entità di generazione asserzioni.Proteggere l'URL di autenticazione con una policy Access Control. La policy richiede la configurazione di uno schema di autenticazione, un realm e una regola. Per aggiungere gli attributi del session store per l'asserzione, abilitare la casella di controllo Mantieni le variabili della sessione di autenticazione, la quale è un'impostazione nello schema di autenticazione.
Le impostazioni generali comprendono inoltre le sezioni seguenti:
- RestrizioniConsente di configurare le restrizioni orarie e di indirizzo IP sulla policy di generazione asserzioni per il service provider.
- Ora
- ImpostaConsente di aprire la finestra di dialogo Ora in modo da configurare la disponibilità del partner della risorsa. Quando si aggiunge una restrizione oraria, il service provider funziona solo durante il periodo specificato.
- Cancella
- Indirizzi IP
- AggiungiConsente di aprire una finestra di dialogo vuota per l'aggiunta dell'indirizzo IP, in cui è possibile creare una restrizione per l'indirizzo IP.
- AvanzateLa sezione Avanzate consente di configurare le funzionalità seguenti:
- Plugin di generazione asserzioniIdentifica un plug-in di generazione asserzioni personalizzato, sviluppato con l'API del plug-in di generazione asserzioni. Il plug-in di generazione asserzioni è una funzionalità facoltativa.
- ProxyIdentifica il server proxy tra il client e il sistema su cui sono eseguiti i servizi Web della federazione, se applicabile.
- Configurazione SSO avanzataSpecifica gli URL di reindirizzamento personalizzati per errori di stato HTTP.CA Single Sign-onpuò reindirizzare l'utente a una pagina di errore personalizzata per ulteriori azioni. Gli URL personalizzati sono facoltativi.
Service provider SAML: impostazioni avanzate
Impostazioni del plug-in di generazione asserzioni
L'area Plugin di generazione asserzioni comprende le impostazioni seguenti:
- Nome classe Java completoSpecifica il nome di classe Java completo del plug-in di generazione asserzioni.
- ParametriSe si immette un valore nel campo Nome classe Java completo, specifica una stringa di parametri trasferita daCA Single Sign-onal plug-in specificato.
- Server proxyQuando sulla rete esiste un server proxy tra il client e l'ambiente operativo dieTrust SiteMinder FSS, specificare le parti dell'URL relative allo schema e all'autorità, ad esempioprotocol:authority. Lo schema è http: o https: e l'autorità è // o //host.domain.com:port. Ad esempio, http://example.ca.com.
I servizi Web della federazione sono disponibili sul sistema in cui si trova l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway.
Service provider SAML- Configurazione SSO avanzata
La sezione Configurazione SSO avanzata consente di configurare le funzionalità seguenti:
- Il contesto di autenticazione richiesto.
- L'uso di un'asserzione singola.
- Gli URL di reindirizzamento per la gestione degli errori.
- L'uso dell'attributo SessionNotOnOrOAfter in un'asserzione SAML.
La finestra di dialogo comprende le seguenti impostazioni:
- Ignora AuthnContext richiestoDetermina il funzionamento di una transazione se il service provider include l'elemento <RequestedAuthnContext> in un messaggio AuthnRequest durante la richiesta di un'asserzione.Il terminecontesto di autenticazionedescrive la modalità di autenticazione utente sul lato del provider di identità. Questo elemento è una richiesta da parte del service provider che dichiara i requisiti per l'istruzione AuthnContext che il provider di identità deve restituire nella risposta di asserzione.Se la casella di controllo è selezionata, indica all'IdP di ignorare l'elemento <RequestedAuthnContext> nel messaggio AuthnRequest ricevuto dal service provider. La federazione di legacy non supporta l'utilizzo dell'elemento <RequestedAuthnContext> in un messaggio AuthnRequest. Tuttavia, la selezione di questa casella di controllo impedisce l'esito negativo della transazione.Se la casella di controllo non è selezionata (impostazione predefinita) e il messaggio AuthnRequest in entrata contiene l'elemento <RequestedAuthnContext>, la transazione non riesce.
- Imposta condizione OneTimeUseIndica al service provider di utilizzare subito l'asserzione senza conservarla per l'uso in futuro. L'asserzione è destinata all'uso per una sola volta. La condizione OneTimeUse è utile perché le informazioni in un'asserzione possono cambiare o scadere e il service provider può così utilizzare un'asserzione con informazioni aggiornate. Invece di riutilizzare l'asserzione, il service provider deve richiedere una nuova asserzione dal provider di identità.
- Abilita URL dell'errore del serverAbilita il reindirizzamento per un errore del server
- URL di reindirizzamento dell'errore del server
Esempio: http://www.redirectmachine.com/error_pages/server_error.html - Abilita richiesta URL della richiesta non validoAbilita il reindirizzamento per un errore di richiesta non valida.
- URL di reindirizzamento della richiesta non valido
Esempio: http://www.redirectmachine.com/error_pages/invalidreq_error.html - Abilita URL di accesso non autorizzatoAbilita il reindirizzamento per un errore di accesso non autorizzato.
- URL di reindirizzamento per l'accesso non autorizzato
Esempio: http://www.redirectmachine.com/error_pages/unauthorized_error.html
Campi di modalità
Per ciascun URL, è possibile selezionare una modalità di reindirizzamento utente del browser.
302 Nessun dato
Reindirizza l'utente con un metodo HTTP 302.
CA Single Sign-on
indirizza l'utente con un cookie di sessione. CA Single Sign-on
non aggiunge altre informazioni all'URL di reindirizzamento.- HTTP POSTReindirizza l'utente mediante il protocollo HTTP POST. Quando l'utente viene reindirizzato all'URL della pagina di errore personalizzata, i dati seguenti, se disponibili, vengono aggiunti all'URL di reindirizzamento e quindi inseriti nella pagina di errore personalizzata:
- TARGET
- AUTHREASON
- CONSUMERURL
- SAMLRESPONSE
- IDPID
- SPID
- PROTOCOLBINDING
Durata validità sessione del service provider
Determina l'uso dell'attributo SessionNotOnOrOAfter in un'asserzione. Impostare questo valore per determinare se il provider di identità aggiunge l'attributo SessionNotOnOrOAfter a un'asserzione SAML.
Questa impostazione di configurazione è disponibile solo sul lato del provider di identità di
CA Single Sign-on
. CA Single Sign-on
indica all'Identity Provider il valore da impostare per il parametro SessionNotOnOrAfter nell'asserzione. L'impostazione non configura alcun valore di timeout sul lato del service provider.Se
CA Single Sign-on
funge da service provider, il valore SessionNotOnOrAfter viene ignorato. Invece, un Service Provider di CA Single Sign-on
imposta il timeout di sessione in base al timeout del realm. Il timeout del realm corrisponde allo schema di autenticazione SAML configurato per la protezione della risorsa di destinazione.Opzioni:
Usa validità dell'asserzione
Calcola il valore SessionNotOnOrAfter in base alla durata di validità dell'asserzione.
Ometti
Indica al provider di identità di non includere il parametro SessionNotOnOrAfter nell'asserzione.
Sessione IdP
Calcola il valore SessionNotOnOrAfter in base al timeout di sessione del provider di identità. Il timeout viene configurato nel realm del provider di identità per l'URL di autenticazione. Mediante questa opzione è possibile sincronizzare i valori di timeout della sessione per il provider di identità e il service provider.
Personalizzato
Consente di specificare un valore personalizzato per il parametro SessionNotOnOrAfter nell'asserzione. Se si seleziona questa opzione, immettere un orario nel campo Durata della sessione di asserzione personalizzata.
Durata della sessione di asserzione personalizzata in minuti
Specifica la durata (in minuti) impostata per il parametro SessionNotOnOrAfter nell'asserzione. Se l'attributo è contenuto nell'asserzione, l'impostazione stabilisce la durata della sessione tra l'utente e il provider di identità. Indicare una durata adatta al proprio ambiente.