Schema di autenticazione Federazione dei servizi Web: Profili SAML
La pagina comprende i campi seguenti:
casso1283
HID_wsfed-auth-scheme-saml-profiles
La pagina comprende i campi seguenti:
- Modalità di reindirizzamentoIndica il metodo di reindirizzamento utente alla risorsa di destinazione applicato dal partner della risorsa. Se si seleziona 302 Nessun dato o 302 Dati cookie, non sono necessarie ulteriori configurazioni. Se si seleziona Reindirizzamento server o PersistAttributes, è necessaria un'ulteriore configurazione.
- 302 Nessun dato(impostazione predefinita). Indica che l'utente viene reindirizzato alla destinazione mediante un codice HTTP 302 con un cookie di sessione, ma senza altri dati.
- 302 Dati cookieIndica che l'utente viene reindirizzato alla destinazione mediante un codice HTTP 302 con un cookie di sessione e altri dati di cookie per il partner della risorsa.
- casso1283Server RedirectEnables header and cookie attribute information received in the assertion to be passed to the custom target application. The SAML 2.0 Assertion Consumer Service or WS-Federation Security Token Consumer Service collects the user credentials then transfers the user to the target application URL using server-side redirects. Server-side redirects are part of the Java Servlet specification. All the standard-compliant servlet containers support server-side redirects.To use this mode, follow these requirements:
- The URL you specify for this mode must be relative to the context of the servlet that is consuming the assertion, which is typically /affwebservices/public/. The root of the context is the root of the Federation Web Services application, typically /affwebservices/.All target application files must be in the application root directory. This directory is either:—Web Agent:web_agent_home\webagent\affwebservices—CA Access Gateway:sps_home\secure-proxy\Tomcat\webapps\affwebservices
- Define realms, rules, and policies to protect target resources. You define the realms with at least the value /affwebservices/ in the resource filter.
- Install a custom Java or JSP application on the server that is serving the Federation Web Services application. Federation Web Services is installed with the Web Agent Option Pack orCA Access Gateway.Java servlet technology allows applications to pass information between two resource requests using the setAttribute method of the ServletRequest interface.The service that consumes assertions sends the user attribute to the target application before redirecting the user to the target. The service sends the attributes by creating a java.util.HashMap object. The attribute that contains the HashMap of SAML attributes is “Netegrity.AttributeInfo.”The service that consumes assertions passes two other Java.lang.String attributes to the custom application:—Netegrity.smSessionID attribute represents theCA Single Sign-onsession ID—Netegrity.userDN attribute represents theCA Single Sign-onuser DN.The custom target application reads these objects from the HTTP request and uses the data found in the hashmap objects.
- PersistAttributesIndica che l'utente viene reindirizzato alla destinazione mediante un codice HTTP 302 con un cookie di sessione, ma senza altri dati. Questa modalità indica inoltre al Policy Server di archiviare gli attributi estratti da un'asserzione nel session store in modo da poterli fornire come variabili di intestazione HTTP. Per ulteriori configurazioni, consultare le istruzioni per l'utilizzo degli attributi SAML come intestazioni HTTP.casso1283If you select Persist Attributes and the assertion contains attributes that are left blank, a value of NULL is written to the session store. This value acts as a placeholder for the empty attribute. The value is passed to any application using the attribute.
- DestinazioneSpecifica l'URI della risorsa di destinazione sul sito di destinazione del service provider.
- Applica policy singolaApplica una policy monouso. Selezionare questa opzione per impedire il riutilizzo delle asserzioni da parte del partner della risorsa per stabilire una seconda sessione.
La sezione Disconnessione consente di configurare le modalità di risposta del partner della risorsa a una richiesta di disconnessione.
Nella sezione sono disponibili le impostazioni seguenti:
- Enable SignoutJava.lang.String attributes (Abilita attributi SignoutJava.lang.String)Abilita la disconnessione di Federazione dei servizi Web.
- SignoutURLSpecifica l'URL del servlet di disconnessione sul lato del partner di account. L'URL predefinito è la voce consigliata di seguito:https://<ap_service:port>/affwebservices/public/wsfeddispatcherIl servizio WSFedDispatcher riceve tutti i messaggi in entrata della Federazione dei servizi Web e inoltra l'elaborazione della richiesta al servizio appropriato in base ai dati di parametro della query. Nonostante esista un servizio wsfedsignout, utilizzare l'URL wsfeddispatcher per SignoutURL.
La sezione Rimozione ambiguità utente definisce le modalità per ottenere le informazioni utente da un'asserzione in un messaggio <RequestSecurityTokenResponse> in entrata.
La scheda comprende i campi e i controlli seguenti:
Rimozione ambiguità utente
- Query XPathSpecifica una query XPath. La query XPath indica allo schema di autenticazione la posizione di una voce specifica all'interno dell'asserzione, che servirà come l'ID di accesso utente. Il valore ottenuto dalla query viene incluso nella specifica di ricerca per la ricerca di una voce dello User Store.Se non configurata, viene utilizzata la seguente query XPath predefinita:/Assertion/Subject/NameID/text()Xpath queries must not contain namespace prefixes. The following is an invalid Xpath query:/saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()The valid Xpath query is://Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()EsempioPer ottenere l'attributo "FirstName" dall'asserzione per l'autenticazione, la query XPath è:/Assertion/AttributeStatement/Attribute[@Name=”FirstName”]/AttributeValue/text()
- Ricerca utenteVisualizza i tipi di spazio dei nomi in cui è possibile immettere una specifica di ricerca per individuare un record utente in una directory utenti. Utilizzare il campo Personalizzato per uno spazio dei nomi non elencato.Immettere una specifica di ricerca per il tipo di User Store utilizzato. La specifica di ricerca combina un attributo di User Store e il valore identificato con la query XPath. Lo schema di autenticazione utilizza la specifica di ricerca per individuare un record utente nello User Store.Utilizzare %s per rappresentare il valore dell'ID di accesso.Ad esempio, l'ID di accesso è user1. Se si specifica Username=%s nel campo della specifica di ricerca, la stringa risultante è Username=user1. Questa stringa viene confrontata con un record nella directory utenti in modo da trovare il record corretto per l'autenticazione.È possibile specificare anche filtri con più variabili di %s. Ad esempio:|(uid=%s)(email=%[email protected])|(abcAliasName=%s)(cn=%s)I risultati sarebbero:|(uid=user1)([email protected])|(abcAliasName=user1)(cn=user1)