Profili SAML del partner della risorsa

La finestra di dialogo Profilo SAML consente di configurare i servizi di Single Sign-On (SSO) e di disconnessione tra il partner di account e il partner della risorsa.
casso1283
HID_wsfed-rp-saml-profiles
La finestra di dialogo Profilo SAML consente di configurare i servizi di Single Sign-On (SSO) e di disconnessione tra il partner di account e il partner della risorsa.
Le impostazioni di Single Sign-On sono le seguenti:
  • Metodo di autenticazione
    Indica la modalità di autenticazione utente sul lato del partner di account. Selezionare un metodo di autenticazione dall'elenco a discesa.Il partner di account inserisce il metodo di autenticazione nell'asserzione sotto forma di stringa URI.
    Il valore selezionato per questo campo deve corrispondere allo schema di autenticazione che protegge l'URL di autenticazione. L'URL di autenticazione viene specificato nelle impostazioni generali per il partner di account. Ad esempio, se l'URL di autenticazione è protetto con uno schema di autenticazione di certificato X.509, selezionare il certificato SSL/TLS per questo campo.
    Inoltre, è necessario che il metodo di autenticazione selezionato sia adeguato al livello di autenticazione configurato in questa pagina. Ad esempio, selezionare il modello di base e quello di certificato client X509 per lo schema di autenticazione che protegge l'URL di autenticazione. Il livello di protezione predefinito per questo modello è 15. Tuttavia, il metodo di autenticazione predefinito per la configurazione SSO del partner della risorsa è Password. Se Password è il metodo di autenticazione, il partner di account aggiunge l'URI seguente all'asserzione:
    urn:oasis:names:tc:SAML:1.0:am:classes:password
  • Servizio consumer del token di sicurezza
    Specifica l'URL del servizio sul lato del partner della risorsa che riceve i messaggi di risposta del token di protezione ed estrae l'asserzione. Il percorso predefinito del servizio
    CA Single Sign-on
    è:
    https://
    rp_server:port
    /affwebservices/public/wsfeddispatcher
    casso1283
    rp_server:port
    Identifies the web server and port at the Resource Partner hosting the Web Agent Option Pack or
    CA Access Gateway
    .
    Questi componenti forniscono l'applicazione Federation Web Services.
    Il servizio WSFedDispatcher riceve tutti i messaggi in entrata della Federazione dei servizi Web e inoltra l'elaborazione della richiesta al servizio appropriato in base ai dati di parametro della query. Sebbene il servizio wsfedsecuritytokenconsumer sia disponibile, si consiglia di utilizzare il servizio wsfeddispatcher per la voce di questo campo.
  • Durata in secondi della validità
    Specifica il numero di secondi (numero intero positivo) di validità per un'asserzione. Il valore predefinito è 60 secondi.
    In un ambiente di test, aumentare il valore della durata di validità oltre 60, se nel log di traccia del Policy Server è riportato il seguente messaggio.
    Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237)  - current time (Fri Sep 09 17:28:33
    EDT 2011) is after SessionNotOnOrAfter time (Fri Sep 09 17:28:20 EDT 2006)
  • Livello di autenticazione [0-1000]
    Specifica il livello minimo di autenticazione dell'utente per consentire l'accesso a un realm
    CA Single Sign-on
    .
    Quando un utente richiede una risorsa federata, è necessaria una sessione di
    CA Single Sign-on
    . In assenza di una sessione,
    CA Single Sign-on
    reindirizza l'utente all'URL di autenticazione per stabilire una sessione. L'utente può disporre di una sessione, ma il livello di protezione è inferiore al livello di autenticazione specificato in questa finestra di dialogo. In tal caso,
    CA Single Sign-on
    reindirizza l'utente all'URL di autenticazione per ristabilire la sessione.
    Lo schema di autenticazione che protegge l'URL di autenticazione è configurato con un livello di protezione particolare. Il livello di protezione deve essere uguale o superiore al valore definito nel campo Livello di autenticazione in questa pagina. Se l'utente ha eseguito l'autenticazione a questo livello, il partner di account genera un'asserzione per l'utente. Se il livello di protezione per l'URL di autenticazione è inferiore al valore definito nel campo Livello di autenticazione,
    CA Single Sign-on
    non genera un'asserzione.
La sezione Disconnessione consente di abilitare la funzionalità di disconnessione per Federazione dei servizi Web. La disconnessione termina tutte le sessioni di un determinato utente sul lato di ogni partner della risorsa su cui ha una sessione.
Le impostazioni di disconnessione sono le seguenti:
  • Abilita disconnessione
    Abilita la funzionalità di disconnessione di Federazione dei servizi Web per il partner della risorsa.
  • URL di pulitura della disconnessione
    Specifica un URL sul lato del partner della risorsa dove viene reindirizzato il browser per terminare la sessione utente.
    Dopo aver rimosso la sessione utente dal lato del partner di account e da tutti i siti del partner della risorsa, i servizi Web della federazione reindirizzano l'utente all'URL di pulitura della disconnessione. Se la disconnessione viene avviata sul lato del partner della risorsa, è necessario che la pagina di conferma per la disconnessione sia una risorsa non protetta sul lato del partner della risorsa. Se la disconnessione viene avviata su un sito del partner di account, è necessario che la pagina di conferma per la disconnessione sia una risorsa non protetta sul sito del partner di account.
  • URL di conferma disconnessione
    Specifica l'URL sul lato del provider di account al quale
    CA Single Sign-on
    invia il messaggio di disconnessione. A questo URL vengono inviate anche le posizioni di pulitura per il partner della risorsa come dati POST destinati alla pagina SignoutConfirm JSP. URL predefinito:
    http://
    ap_server:port
    /affwebservices/public/signoutconfirmurl.jsp
    ap_server:port
    Specifica il server e il numero di porta del sistema sul lato del partner di account. Il sistema ospita l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway, a seconda del componente installato nella rete di federazione.
    Il file signoutconfirmurl.jsp è incluso con l'Option Pack dell'agente Web o il Secure Proxy Server Federation Gateway. È possibile spostare questa pagina dalla directory predefinita. In tal caso, scegliere una posizione che consenta al modulo di servlet dei Federation Web Services di accedere alla pagina.