Partner della risorsa: Impostazioni generali
La finestra di dialogo consente di specificare le informazioni di identità relative al partner di account e al partner della risorsa.
casso1283
HID_wsfed-rp-general
La finestra di dialogo consente di specificare le informazioni di identità relative al partner di account e al partner della risorsa.
Impostazioni generali
La pagina Generale comprende le impostazioni seguenti:
- NomeNome del partner della risorsa. Il nome essere univoco in tutti i domini affiliati.
- ID partner risorsaSpecifica un URI che identifica in modo univoco il partner della risorsa, ad esempio, rp.example.com.
- URL di autenticazione: specifica un URL protetto utilizzato dalla federazione per l'autenticazione utente e la creazione di una sessione in cui è richiesta una risorsa protetta. Se la modalità di autenticazione è impostata su Locale e un utente non ha eseguito l'accesso sul lato dell'entità di generazione asserzioni, viene indirizzato a questo URL.Questo URL deve puntare al file redirect.jsp, a meno che non venga selezionata la casella di controllo Usa URL protetto.Esempio: http://myserver.idpA.com/siteminderagent/redirectjsp/redirect.jspmyserveridentifica il server Web con l'Option Pack dell'agente Web o il Federation Gateway di SPS. Il file redirect.jsp viene fornito con l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway installato sul sito dell'entità di generazione asserzioni.Proteggere l'URL di autenticazione con una policy Access Control. La policy richiede la configurazione di uno schema di autenticazione, un realm e una regola. Per aggiungere gli attributi del session store per l'asserzione, abilitare la casella di controllo Mantieni le variabili della sessione di autenticazione, la quale è un'impostazione nello schema di autenticazione.
- casso1283ActiveIndicates whether the legacy federation configuration is in use for a particular partnership. If the Policy Server is using the legacy federation configuration, confirm this check box is selected. If you have recreated a federated partnership with similar values for identity settings, such as source ID, clear this check box before activating the federated partnership.CA Single Sign-oncannot work with a legacy and partnership configuration that use the same identity values or a name collision occurs.
- TolleranzaSpecifica il numero di secondi da sottrarre all'ora corrente per tener conto dei partner della risorsa la cui ora non è sincronizzata con quella del partner di account.Immettere il numero di secondi come numero intero positivo.
- Descrizione(Facoltativo) Breve descrizione del partner della risorsa.
- ID partner accountSpecifica un URI che identifica in modo univoco il partner account, ad esempio ap-ca.com. Questo ID diventa il campo dell'autorità di certificazione nell'asserzione SAML.
- URL applicazione(Facoltativo) URL protetto per un'applicazione Web personalizzata utilizzata per fornire attributi utente al servizio Single Sign-On. L'applicazione può trovarsi su qualsiasi host nella rete.Gli attributi dall'applicazione Web specificata in questo campo vengono inseriti nell'asserzione SAML da un plug-in di generazione asserzioni. Scrivere e integrare il plug-in inCA Single Sign-on.L'applicazione dei servizi Web della federazione fornisce applicazioni Web di esempio utilizzabili come base per la propria applicazione Web.I percorsi di tali applicazioni sono i seguenti:http://ap_server:port/affwebservices/public/sample_application.jsphttp://ap_server:port/affwebservices/public/unsolicited_application.jspap_server:portSpecifica il server e il numero di porta del sistema sul lato del partner di account. Il sistema ospita l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway, a seconda del componente installato nella rete di federazione.
- Usa URL protettoQuesta impostazione istruisce il servizio Single Sign-On per eseguire esclusivamente la crittografia del parametro di query SMPORTALURL.La crittografia di SMPORTALURL impedisce la modifica del valore e il reindirizzamento degli utenti autenticati a siti Web dannosi da parte di utenti malintenzionati.SMPORTALURL viene aggiunto all'URL di autenticazione prima che il browser reindirizzi l'utente a stabilire una sessione. Una volta autenticato l'utente, il browser reindirizza l'utente alla destinazione specificata nel parametro di query SMPORTALURL.Se si seleziona la casella di controllo Usa URL protetto, procedere come segue:1. Impostare il campo URL di autenticazione sul seguente URL: http(s)://idp_server:port/affwebservices/secure/secureredirect2. Proteggere il servizio Web secureredirect con una policy.Se l'entità di generazione asserzioni serve più di un relying party, l'entità di generazione asserzioni autentica probabilmente diversi utenti per questi partner diversi. Di conseguenza, per ogni URL di autenticazione che utilizza il servizio secureredirect, includere questo servizio Web in un realm diverso per ciascun partner.Per associare il servizio secureredirect a diversi realm, modificare il file web.xml e creare mapping di risorsa differenti. Non copiare il servizio Web secureredirect in diverse posizioni sul server. Individuare il file web.xml nella directory web_agent_home/affwebservices/WEB-INF, doveweb_agent_homeè la posizione di installazione dell'agente Web.
- Dominio affiliatoElenca il dominio affiliato in cui si trova l'entità.
Le impostazioni generali comprendono inoltre le sezioni seguenti:
- RestrizioniConsente di configurare le restrizioni orarie e di indirizzo IP sulla policy di generazione asserzioni per il partner della risorsa.
- Ora
- ImpostaConsente di aprire la finestra di dialogo Ora in modo da configurare la disponibilità del partner della risorsa. Quando si aggiunge una restrizione oraria, il partner della risorsa funziona solo durante il periodo specificato.
- Cancella
- Indirizzi IP
- AggiungiConsente di aprire una finestra di dialogo vuota per l'aggiunta dell'indirizzo IP, in cui è possibile creare una restrizione per l'indirizzo IP.
Partner della risorsa: informazioni per la verifica della firma digitale
Informazioni di verifica D-Sig
Abilita la firma digitale.
- Disabilita elaborazione della firmaDisabilita ogni elaborazione della firma per il partner della risorsa (firma e verifica delle firme).L'elaborazione della firma è obbligatoria in un ambiente di produzione. Disabilitare l'elaborazione della firma solo per scopi di debug.
- Alias di firma(Facoltativo) Specifica l'alias associato a una determinata chiave privata nell'archivio dati di certificato. Compilare il campo per indicare la chiave privata utilizzata dal partner di account per firmare le asserzioni e le risposte di asserzione.Verificare che la chiave privata sia presente nell'archivio dati prima di specificare l'alias associato in questo campo.Valore: stringa di caratteri alfanumerici.
Partner della risorsa: impostazioni avanzate
La sezione Avanzate consente di configurare un plug-in di generazione asserzioni personalizzato. L'API del plug-in di generazione asserzioni consente di sviluppare il plug-in. Questa attività è facoltativa.
Il plug-in di generazione asserzioni comprende i campi seguenti:
- Nome classe JavaSpecifica il nome di classe Java completo del plug-in di generazione asserzioni.
- ParametriSpecifica una stringa di parametri trasferiti daCA Single Sign-onal plug-in specificato.