Schema di autenticazione Federazione dei servizi Web: Profili SAML

La pagina comprende i campi seguenti:
casso1283
HID_wsfed-auth-scheme-saml-profiles
La finestra di dialogo Profilo SAML consente di definire le modalità di gestione di Single Sign-On e della comunicazione di disconnessione per il partner della risorsa.
La pagina comprende i campi seguenti:
  • Modalità di reindirizzamento
    Indica il metodo di reindirizzamento utente alla risorsa di destinazione applicato dal partner della risorsa. Se si seleziona 302 Nessun dato o 302 Dati cookie, non sono necessarie ulteriori configurazioni. Se si seleziona Reindirizzamento server o PersistAttributes, è necessaria un'ulteriore configurazione.
    • 302 Nessun dato
      (impostazione predefinita). Indica che l'utente viene reindirizzato alla destinazione mediante un codice HTTP 302 con un cookie di sessione, ma senza altri dati.
    • 302 Dati cookie
      Indica che l'utente viene reindirizzato alla destinazione mediante un codice HTTP 302 con un cookie di sessione e altri dati di cookie per il partner della risorsa.
    • casso1283
      Server Redirect
      Enables header and cookie attribute information received in the assertion to be passed to the custom target application. The SAML 2.0 Assertion Consumer Service or WS-Federation Security Token Consumer Service collects the user credentials then transfers the user to the target application URL using server-side redirects. Server-side redirects are part of the Java Servlet specification. All the standard-compliant servlet containers support server-side redirects.
      To use this mode, follow these requirements:
      • The URL you specify for this mode must be relative to the context of the servlet that is consuming the assertion, which is typically /affwebservices/public/. The root of the context is the root of the Federation Web Services application, typically /affwebservices/.
        All target application files must be in the application root directory. This directory is either:
        —Web Agent:
        web_agent_home
        \webagent\affwebservices
        CA Access Gateway
        :
        sps_home
        \secure-proxy\Tomcat\webapps\affwebservices
      • Define realms, rules, and policies to protect target resources. You define the realms with at least the value /affwebservices/ in the resource filter.
      • Install a custom Java or JSP application on the server that is serving the Federation Web Services application. Federation Web Services is installed with the Web Agent Option Pack or
        CA Access Gateway
        .
        Java servlet technology allows applications to pass information between two resource requests using the setAttribute method of the ServletRequest interface.
        The service that consumes assertions sends the user attribute to the target application before redirecting the user to the target. The service sends the attributes by creating a java.util.HashMap object. The attribute that contains the HashMap of SAML attributes is “Netegrity.AttributeInfo.”
        The service that consumes assertions passes two other Java.lang.String attributes to the custom application:
        —Netegrity.smSessionID attribute represents the
        CA Single Sign-on
        session ID
        —Netegrity.userDN attribute represents the
        CA Single Sign-on
        user DN.
        The custom target application reads these objects from the HTTP request and uses the data found in the hashmap objects.
    • PersistAttributes
      Indica che l'utente viene reindirizzato alla destinazione mediante un codice HTTP 302 con un cookie di sessione, ma senza altri dati. Questa modalità indica inoltre al Policy Server di archiviare gli attributi estratti da un'asserzione nel session store in modo da poterli fornire come variabili di intestazione HTTP. Per ulteriori configurazioni, consultare le istruzioni per l'utilizzo degli attributi SAML come intestazioni HTTP.
      casso1283
      If you select Persist Attributes and the assertion contains attributes that are left blank, a value of NULL is written to the session store. This value acts as a placeholder for the empty attribute. The value is passed to any application using the attribute.
  • Destinazione
    Specifica l'URI della risorsa di destinazione sul sito di destinazione del service provider.
  • Applica policy singola
    Applica una policy monouso. Selezionare questa opzione per impedire il riutilizzo delle asserzioni da parte del partner della risorsa per stabilire una seconda sessione.
La sezione Disconnessione consente di configurare le modalità di risposta del partner della risorsa a una richiesta di disconnessione.
Nella sezione sono disponibili le impostazioni seguenti:
  • Enable SignoutJava.lang.String attributes (Abilita attributi SignoutJava.lang.String)
    Abilita la disconnessione di Federazione dei servizi Web.
  • SignoutURL
    Specifica l'URL del servlet di disconnessione sul lato del partner di account. L'URL predefinito è la voce consigliata di seguito:
    https://<ap_service:port>/affwebservices/public/wsfeddispatcher
    Il servizio WSFedDispatcher riceve tutti i messaggi in entrata della Federazione dei servizi Web e inoltra l'elaborazione della richiesta al servizio appropriato in base ai dati di parametro della query. Nonostante esista un servizio wsfedsignout, utilizzare l'URL wsfeddispatcher per SignoutURL.
La sezione Rimozione ambiguità utente definisce le modalità per ottenere le informazioni utente da un'asserzione in un messaggio <RequestSecurityTokenResponse> in entrata.
La scheda comprende i campi e i controlli seguenti:
Rimozione ambiguità utente
  • Query XPath
    Specifica una query XPath. La query XPath indica allo schema di autenticazione la posizione di una voce specifica all'interno dell'asserzione, che servirà come l'ID di accesso utente. Il valore ottenuto dalla query viene incluso nella specifica di ricerca per la ricerca di una voce dello User Store.
    Se non configurata, viene utilizzata la seguente query XPath predefinita:
    /Assertion/Subject/NameID/text()
    Xpath queries must not contain namespace prefixes. The following is an invalid Xpath query:
    /saml:Response/saml:Assertion/saml:AuthenticationStatement/
    saml:Subject/saml:NameIdentifier/text()
    The valid Xpath query is:
    //Response/Assertion/AuthenticationStatement/Subject/
    NameIdentifier/text()
    Esempio
    Per ottenere l'attributo "FirstName" dall'asserzione per l'autenticazione, la query XPath è:
    /Assertion/AttributeStatement/Attribute[@Name=”FirstName”]/AttributeValue/text()
  • Ricerca utente
    Visualizza i tipi di spazio dei nomi in cui è possibile immettere una specifica di ricerca per individuare un record utente in una directory utenti. Utilizzare il campo Personalizzato per uno spazio dei nomi non elencato.
    Immettere una specifica di ricerca per il tipo di User Store utilizzato. La specifica di ricerca combina un attributo di User Store e il valore identificato con la query XPath. Lo schema di autenticazione utilizza la specifica di ricerca per individuare un record utente nello User Store.
    Utilizzare %s per rappresentare il valore dell'ID di accesso.
    Ad esempio, l'ID di accesso è user1. Se si specifica Username=%s nel campo della specifica di ricerca, la stringa risultante è Username=user1. Questa stringa viene confrontata con un record nella directory utenti in modo da trovare il record corretto per l'autenticazione.
    È possibile specificare anche filtri con più variabili di %s. Ad esempio:
    |(uid=%s)(email=%[email protected])
    |(abcAliasName=%s)(cn=%s)
    I risultati sarebbero:
    |(uid=user1)([email protected])
    |(abcAliasName=user1)(cn=user1)