Service provider SAML: impostazioni generali

Le impostazioni in questa finestra di dialogo identifica il Service Provider per cui il Provider di identità genera asserzioni.
casso1283
HID_service-provider-general
Le impostazioni in questa finestra di dialogo identifica il Service Provider per cui il Provider di identità genera asserzioni.
Impostazioni generali
Le impostazioni generali consentono di specificare le informazioni generali sul service provider.
Nella scheda sono disponibili le impostazioni seguenti:
  • Nome
    Nome del service provider. Il nome è univoco in tutti i domini affiliati.
  • ID Service Provider
    Specifica un URI che identifica in modo univoco il service provider, ad esempio, sp.example.com.
  • URL di autenticazione
    : specifica un URL protetto utilizzato dalla federazione per l'autenticazione utente e la creazione di una sessione in cui è richiesta una risorsa protetta. Se la modalità di autenticazione è impostata su Locale e un utente non ha eseguito l'accesso sul lato dell'entità di generazione asserzioni, viene indirizzato a questo URL.Questo URL deve puntare al file redirect.jsp, a meno che non venga selezionata la casella di controllo Usa URL protetto.
    Esempio: http://
    myserver.idpA.com
    /siteminderagent/redirectjsp/redirect.jsp
    myserver
    identifica il server Web con l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway. Il file redirect.jsp viene fornito con l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway installato sul sito dell'entità di generazione asserzioni.
    Proteggere l'URL di autenticazione con una policy Access Control. La policy richiede la configurazione di uno schema di autenticazione, un realm e una regola. Per aggiungere gli attributi del session store per l'asserzione, abilitare la casella di controllo Mantieni le variabili della sessione di autenticazione, la quale è un'impostazione nello schema di autenticazione.
  • casso1283
    Active
    Indicates whether the legacy federation configuration is in use for a particular partnership. If the Policy Server is using the legacy federation configuration, confirm this check box is selected. If you have recreated a federated partnership with similar values for identity settings, such as source ID, clear this check box before activating the federated partnership.
    CA Single Sign-on
    cannot work with a legacy and partnership configuration that use the same identity values or a name collision occurs.
  • Abilitato
    Consente al Policy Server e ai servizi Web della federazione di supportare l'autenticazione delle risorse del service provider.
  • Tolleranza
    Specifica il numero di secondi (come numero intero positivo) aggiunto e sottratto all'ora corrente. In questo modo è possibile tener conto dei service provider la cui ora non è sincronizzata con quella del provider di identità. In base alla tolleranza e alla durata di validità, il Policy Server calcola il tempo totale di validità di un'asserzione.
    Per determinare la validità dell'asserzione, la tolleranza viene sottratta all'ora di generazione dell'asserzione (IssueInstant) per ottenere l'ora NotBefore. La tolleranza viene aggiunta quindi alla durata di validità e a IssueInstant per ottenere l'ora di NotOnOrAfter. Le equazioni seguenti illustrano i casi di utilizzo della tolleranza:
    • NotBefore=IssueInstant - Skew Time
    • NotOnOrAfter=Validity Duration + Skew Time + IssueInstant
    Le ore fanno riferimento al fuso GMT.
  • Versione SAML
    Specifica la versione SAML (disabilitata). Il valore predefinito pari a 2.0 indica che le asserzioni inviate all'ID del service provider devono essere compatibili con la versione SAML 2.0.
  • Descrizione
    Un'eventuale breve descrizione del service provider.
  • ID IdP
    Specifica un URI che identifica in modo univoco il provider di identità, ad esempio idp.ca.com. Il valore URI diventa il valore del campo Autorità di certificazione nell'asserzione.
  • URL applicazione
    (Facoltativo) Identifica l'URL protetto per un'applicazione Web personalizzata utilizzata per fornire attributi utente al servizio di Single Sign-On. L'applicazione può trovarsi su qualsiasi host nella rete.
    Gli attributi tratti dall'applicazione Web specificata in questo campo vengono resi disponibili al generatore asserzioni e quindi inseriti nell'asserzione SAML con il plug-in di generazione asserzioni. Creare il plug-in e integrarlo con
    CA Single Sign-on
    .
    L'applicazione dei servizi Web della federazione fornisce applicazioni Web di esempio utilizzabili come base per la propria applicazione Web. Essi sono:
    http://
    idp_server:port
    /affwebservices/public/sample_application.jsp
    http://
    idp_server:port
    /affwebservices/public/unsolicited_application.jsp
    idp_server:port
    Identifica il server Web e la porta host per l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway.
  • Usa URL protetto
    Questa impostazione istruisce il servizio Single Sign-On per eseguire esclusivamente la crittografia del parametro di query SMPORTALURL.La crittografia di SMPORTALURL impedisce la modifica del valore e il reindirizzamento degli utenti autenticati a siti Web dannosi da parte di utenti malintenzionati.SMPORTALURL viene aggiunto all'URL di autenticazione prima che il browser reindirizzi l'utente a stabilire una sessione. Una volta autenticato l'utente, il browser reindirizza l'utente alla destinazione specificata nel parametro di query SMPORTALURL.
    Se si seleziona la casella di controllo Usa URL protetto, procedere come segue:
    1. Impostare il campo URL di autenticazione sul seguente URL: http(s)://
    idp_server:port
    /affwebservices/secure/secureredirect
    2. Proteggere il servizio Web secureredirect con una policy.
    Se l'entità di generazione asserzioni serve più di un relying party, l'entità di generazione asserzioni autentica probabilmente diversi utenti per questi partner diversi. Di conseguenza, per ogni URL di autenticazione che utilizza il servizio secureredirect, includere questo servizio Web in un realm diverso per ciascun partner.
    Per associare il servizio secureredirect a diversi realm, modificare il file web.xml e creare mapping di risorsa differenti. Non copiare il servizio Web secureredirect in diverse posizioni sul server. Individuare il file web.xml nella directory
    web_agent_home
    /affwebservices/WEB-INF, dove
    web_agent_home
    è la posizione di installazione dell'agente Web.
  • URL di autenticazione
    Specifica un URL protetto utilizzato dalla federazione per l'autenticazione utente e la creazione di una sessione in cui è richiesta una risorsa protetta. Se la modalità di autenticazione è impostata su Locale e un utente non ha eseguito l'accesso sul lato dell'entità di generazione asserzioni, viene indirizzato a questo URL.Questo URL deve puntare al file redirect.jsp, a meno che non venga selezionata la casella di controllo Usa URL protetto.
    Esempio: http:///siteminderagent/redirectjsp/redirect.jsp
    myserver
    identifica il server Web con l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway. Il file redirect.jsp viene fornito con l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway installato sul sito dell'entità di generazione asserzioni.
    Proteggere l'URL di autenticazione con una policy Access Control. La policy richiede la configurazione di uno schema di autenticazione, un realm e una regola. Per aggiungere gli attributi del session store per l'asserzione, abilitare la casella di controllo Mantieni le variabili della sessione di autenticazione, la quale è un'impostazione nello schema di autenticazione.
Le impostazioni generali comprendono inoltre le sezioni seguenti:
  • Restrizioni
    Consente di configurare le restrizioni orarie e di indirizzo IP sulla policy di generazione asserzioni per il service provider.
    • Ora
    • Imposta
      Consente di aprire la finestra di dialogo Ora in modo da configurare la disponibilità del partner della risorsa. Quando si aggiunge una restrizione oraria, il service provider funziona solo durante il periodo specificato.
    • Cancella
    • Indirizzi IP
    Elenca gli indirizzi IP con restrizioni configurati per la policy delle risorse del service provider. È possibile specificare un indirizzo IP, un intervallo di indirizzi IP o una subnet mask del server Web. Sul server Web è in esecuzione un browser ai fini dell'accesso al service provider.
    • Aggiungi
      Consente di aprire una finestra di dialogo vuota per l'aggiunta dell'indirizzo IP, in cui è possibile creare una restrizione per l'indirizzo IP.
  • Avanzate
    La sezione Avanzate consente di configurare le funzionalità seguenti:
    • Plugin di generazione asserzioni
      Identifica un plug-in di generazione asserzioni personalizzato, sviluppato con l'API del plug-in di generazione asserzioni. Il plug-in di generazione asserzioni è una funzionalità facoltativa.
    • Proxy
      Identifica il server proxy tra il client e il sistema su cui sono eseguiti i servizi Web della federazione, se applicabile.
    • Configurazione SSO avanzata
      Specifica gli URL di reindirizzamento personalizzati per errori di stato HTTP.
      CA Single Sign-on
      può reindirizzare l'utente a una pagina di errore personalizzata per ulteriori azioni. Gli URL personalizzati sono facoltativi.
Service provider SAML: impostazioni avanzate
Impostazioni del plug-in di generazione asserzioni
L'area Plugin di generazione asserzioni comprende le impostazioni seguenti:
  • Nome classe Java completo
    Specifica il nome di classe Java completo del plug-in di generazione asserzioni.
  • Parametri
    Se si immette un valore nel campo Nome classe Java completo, specifica una stringa di parametri trasferita da
    CA Single Sign-on
    al plug-in specificato.
  • Server proxy
    Quando sulla rete esiste un server proxy tra il client e l'ambiente operativo di
    eTrust SiteMinder FSS
    , specificare le parti dell'URL relative allo schema e all'autorità, ad esempio
    protocol
    :
    authority
    . Lo schema è http: o https: e l'autorità è // o //. Ad esempio, http://example.ca.com.
I servizi Web della federazione sono disponibili sul sistema in cui si trova l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway.
Service provider SAML- Configurazione SSO avanzata
La sezione Configurazione SSO avanzata consente di configurare le funzionalità seguenti:
  • Il contesto di autenticazione richiesto.
  • L'uso di un'asserzione singola.
  • Gli URL di reindirizzamento per la gestione degli errori.
  • L'uso dell'attributo SessionNotOnOrOAfter in un'asserzione SAML.
La finestra di dialogo comprende le seguenti impostazioni:
  • Ignora AuthnContext richiesto
    Determina il funzionamento di una transazione se il service provider include l'elemento <RequestedAuthnContext> in un messaggio AuthnRequest durante la richiesta di un'asserzione.
    Il termine
    contesto di autenticazione
    descrive la modalità di autenticazione utente sul lato del provider di identità. Questo elemento è una richiesta da parte del service provider che dichiara i requisiti per l'istruzione AuthnContext che il provider di identità deve restituire nella risposta di asserzione.
    Se la casella di controllo è selezionata, indica all'IdP di ignorare l'elemento <RequestedAuthnContext> nel messaggio AuthnRequest ricevuto dal service provider. La federazione di legacy non supporta l'utilizzo dell'elemento <RequestedAuthnContext> in un messaggio AuthnRequest. Tuttavia, la selezione di questa casella di controllo impedisce l'esito negativo della transazione.
    Se la casella di controllo non è selezionata (impostazione predefinita) e il messaggio AuthnRequest in entrata contiene l'elemento <RequestedAuthnContext>, la transazione non riesce.
  • Imposta condizione OneTimeUse
    Indica al service provider di utilizzare subito l'asserzione senza conservarla per l'uso in futuro. L'asserzione è destinata all'uso per una sola volta. La condizione OneTimeUse è utile perché le informazioni in un'asserzione possono cambiare o scadere e il service provider può così utilizzare un'asserzione con informazioni aggiornate. Invece di riutilizzare l'asserzione, il service provider deve richiedere una nuova asserzione dal provider di identità.
  • Abilita URL dell'errore del server
    Abilita il reindirizzamento per un errore del server
    • URL di reindirizzamento dell'errore del server
    Specifica l'URL di reindirizzamento utente in caso di errore del server HTTP 500. Un utente può riscontrare un errore 500 perché una condizione imprevista impedisce al server Web di eseguire la richiesta del client. Se si verifica questo errore, l'utente viene inviato all'URL specificato per un'ulteriore elaborazione.
    Esempio: http://www.redirectmachine.com/error_pages/server_error.html
  • Abilita richiesta URL della richiesta non valido
    Abilita il reindirizzamento per un errore di richiesta non valida.
    • URL di reindirizzamento della richiesta non valido
    Specifica l'URL di reindirizzamento utente in caso di errore HTTP 400 - Richiesta non valida o HTTP 405 - Metodo non consentito. Un utente può riscontrare un errore 400 a causa di una richiesta non valida. L'utente può riscontrare un errore 405 perché il server Web non consente l'esecuzione di un metodo o di un'azione particolare. Se si verificano questi errori, l'utente viene inviato all'URL specificato per un'ulteriore elaborazione.
    Esempio: http://www.redirectmachine.com/error_pages/invalidreq_error.html
  • Abilita URL di accesso non autorizzato
    Abilita il reindirizzamento per un errore di accesso non autorizzato.
    • URL di reindirizzamento per l'accesso non autorizzato
    Specifica l'URL di reindirizzamento utente in caso di errore HTTP 403 - Accesso negato. Un utente può riscontrare un errore 403 perché l'URL in una richiesta punta alla destinazione errata, ad esempio a una directory invece che a un file. Se si verifica questo errore, l'utente viene inviato all'URL specificato per un'ulteriore elaborazione.
    Esempio: http://www.redirectmachine.com/error_pages/unauthorized_error.html
Campi di modalità
Per ciascun URL, è possibile selezionare una modalità di reindirizzamento utente del browser.
302 Nessun dato
Reindirizza l'utente con un metodo HTTP 302.
CA Single Sign-on
indirizza l'utente con un cookie di sessione.
CA Single Sign-on
non aggiunge altre informazioni all'URL di reindirizzamento.
  • HTTP POST
    Reindirizza l'utente mediante il protocollo HTTP POST. Quando l'utente viene reindirizzato all'URL della pagina di errore personalizzata, i dati seguenti, se disponibili, vengono aggiunti all'URL di reindirizzamento e quindi inseriti nella pagina di errore personalizzata:
    • TARGET
    • AUTHREASON
    • CONSUMERURL
    • SAMLRESPONSE
    • IDPID
    • SPID
    • PROTOCOLBINDING
Durata validità sessione del service provider
Determina l'uso dell'attributo SessionNotOnOrOAfter in un'asserzione. Impostare questo valore per determinare se il provider di identità aggiunge l'attributo SessionNotOnOrOAfter a un'asserzione SAML.
Questa impostazione di configurazione è disponibile solo sul lato del provider di identità di
CA Single Sign-on
.
CA Single Sign-on
indica all'Identity Provider il valore da impostare per il parametro SessionNotOnOrAfter nell'asserzione. L'impostazione non configura alcun valore di timeout sul lato del service provider.
Se
CA Single Sign-on
funge da service provider, il valore SessionNotOnOrAfter viene ignorato. Invece, un Service Provider di
CA Single Sign-on
imposta il timeout di sessione in base al timeout del realm. Il timeout del realm corrisponde allo schema di autenticazione SAML configurato per la protezione della risorsa di destinazione.
Opzioni:
Usa validità dell'asserzione
Calcola il valore SessionNotOnOrAfter in base alla durata di validità dell'asserzione.
Ometti
Indica al provider di identità di non includere il parametro SessionNotOnOrAfter nell'asserzione.
Sessione IdP
Calcola il valore SessionNotOnOrAfter in base al timeout di sessione del provider di identità. Il timeout viene configurato nel realm del provider di identità per l'URL di autenticazione. Mediante questa opzione è possibile sincronizzare i valori di timeout della sessione per il provider di identità e il service provider.
Personalizzato
Consente di specificare un valore personalizzato per il parametro SessionNotOnOrAfter nell'asserzione. Se si seleziona questa opzione, immettere un orario nel campo Durata della sessione di asserzione personalizzata.
Durata della sessione di asserzione personalizzata in minuti
Specifica la durata (in minuti) impostata per il parametro SessionNotOnOrAfter nell'asserzione. Se l'attributo è contenuto nell'asserzione, l'impostazione stabilisce la durata della sessione tra l'utente e il provider di identità. Indicare una durata adatta al proprio ambiente.