Contenido
|
Para crear y administrar un proveedor
Por favor, consulte Conceptos de administración de federación para obtener las definiciones de los temas tratados en esta sección.
- Seleccione la entidad en la que desea crear el proveedor.
- En el panel "Datos", seleccione "Proveedor de identidades" o "Proveedor de servicios".
- Haga clic en "Nuevo proveedor".
- Escriba la información en los campos de atributo comunes del proveedor. Los campos son los siguientes:
Id. de proveedor: El Id. del proveedor debe especificar el identificador de URL del proveedor. Debe ser un valor exclusivo en todos los proveedores remotos y alojados.
Descripción. Introduzca una descripción del proveedor.
El proveedor está alojado o es remoto. Seleccionado si el proveedor es un proveedor alojado (local) o un proveedor remoto.
Válido hasta. Este campo permite el ingreso de una fecha de caducidad para los metadatos correspondientes al proveedor. Utilice el siguiente formato:
aaaa-mm-ddThh:mm:ss.SZ
Por ejemplo, 2004-12-31T12:30:00.0-0800.
Duración de caché. Este campo define la duración para el almacenamiento en caché de los metadatos, y utiliza el formato xs:duración.
Enumeración del soporte del protocolo. Este campo define la versión de protocolo compatible con la entidad. urn:liberty:iff:2003-08 se refiere al Marco de Identidad de Federación (ID-FF) 1.2, mientras que urn:liberty:iff:2002-12 se refiere al Marco de Identidad de Federación (ID-FF) 1.1.
Conexión de asignación de identificador de nombre de servidor. Este campo define la conexión de la autoridad SAML en el proveedor de identidades al cual se envían las solicitudes de asignación de identificadores.
Metaubicaciones adicionales. Este campo especifica la ubicación de otros metadatos relevantes acerca del proveedor.
Alias de clave de firma. Este campo define el alias de clave de certificado de firma que se utiliza para firmar las solicitudes y respuestas para un proveedor alojado (local). En el caso de un proveedor remoto, se trata de una clave pública que el proveedor utiliza para comprobar las firmas.
Alias de clave de cifrado. Este campo define los alias de certificado de seguridad. Los certificados se guardan en el almacén de claves JKS junto con cada alias. Este alias (la clave de seguridad) se utiliza para buscar el certificado requerido.
Tamaño de clave de cifrado. Este campo limita la longitud de las claves utilizadas por los consumidores cuando interactúan con otra entidad.
Método de cifrado. Este campo define el URI de las preferencias de cifrado.
- Haga clic en "Siguiente".
- Escriba la información de la URL de comunicación, el perfil de comunicación, el proveedor de servicio (estos atributos no se mostrarán si el proveedor es un proveedor de identidades) y los atributos de configuración de autenticación del proxy. Los campos son los siguientes:
URL de comunicación
URL de punto final de SOAP. Este campo especifica la ubicación del receptor de las solicitudes SOAP. Se utiliza para comunicarse con el canal posterior (comunicación no efectuada a través de un explorador) mediante SOAP.
URL de servicio de inicio de sesión único. Un proveedor de identidades utiliza la URL de servicio de inicio de sesión único para enviar y recibir solicitudes de inicio de sesión único.
Dirección URL de servicio de cierre de sesión único. Un proveedor de servicios o uno de identidades utiliza la dirección URL de servicio de cierre de sesión único para enviar y recibir solicitudes de cierre de sesión.
Dirección URL de devolución de cierre de sesión único. Este valor especifica la URL a la que se redirigen las solicitudes de cierre de sesión después del procesamiento.
Dirección URL de servicio de terminación de federación. Este campo especifica la URL a la que se envían las solicitudes de terminación de federación.
Dirección URL de devolución de terminación de federación. Este campo especifica la URL a la que se redirigen las solicitudes de terminación de federación después del procesamiento.
Dirección URL de servicio de registro de nombre. Este campo se sirve del protocolo de registro de nombre que utiliza un proveedor de servicios para registrar su propio identificador de nombre durante la comunicación con un proveedor de identidades. El registro se produce después de que se establezca una sesión de federación. Este campo define la URL de servicio que utiliza un proveedor de servicios para registrar un identificador de nombre con un proveedor de identidades.
Dirección URL de devolución de registro de nombre. Este campo se sirve del protocolo de registro de nombre que utiliza un proveedor de servicios para registrar su propio identificador de nombre durante la comunicación con un proveedor de identidades. El registro se produce después de que se establezca una sesión de federación. La URL de devolución de registro de nombre es la URL a la que el proveedor de identidades devuelve el estado del registro.
Perfiles de comunicación
Perfil de terminación de federación. Puede elegir "SOAP" o "HTTP/Redirect". Este campo especifica si el perfil "SOAP" o "HTTP/Redirect" se va a utilizar para notificar una terminación de federación. Es posible modificar este valor en cualquier momento durante la vida del proveedor.
Perfil de cierre de sesión único. Puede elegir "SOAP" o "HTTP Redirect". Este campo especifica si se va a utilizar "SOAP" o "HTTP Redirect" para notificar un evento de cierre de sesión. Es posible modificar este valor en cualquier momento durante la vida del proveedor.
Perfil de registro de nombre. Puede elegir "SOAP" o "HTTP/Redirect". Este campo especifica si el perfil "SOAP" o "HTTP/Redirect" se va a utilizar para el registro de nombres. Es posible modificar este valor en cualquier momento durante la vida del proveedor.
Perfil de notificación de terminación de la relación. Este campo especifica un URI que describe los perfiles que admite la entidad para las terminaciones de las relaciones.
Perfil de inicio de sesión único/federación. Este campo especifica el perfil utilizado por el proveedor alojado para enviar solicitudes de autenticación. Access Manager proporciona los siguientes protocolos:
- Envío de explorador: especifica un protocolo de canal delantero (basado en http POST).
- Artefacto de explorador: protocolo de canal posterior (sin explorador) basado en SOAP.
- LECP: proxy de cliente habilitado para Liberty.
proveedor de servicios
Los siguientes atributos sólo se muestran en el caso de un proveedor de servicio:
Dirección URL de consumidor de aserción. Este campo define el punto final del proveedor al que un proveedor enviará aserciones SAML.
ID de dirección URL de servicio de consumidor de aserción. Este ID se requiere si la enumeración del soporte del protocolo es urn:liberty:iff:2002-12.
Establecer la dirección URL del servicio de consumidor de aserción como predeterminada. Esta opción establece la dirección URL del consumidor de aserción como predeterminada.
Firmar solicitud de autenticación. Si está activada, esta opción especifica que el proveedor envía solicitudes de federación y autenticación firmadas. El proveedor de identidades no procesará solicitudes sin firmar procedentes del proveedor de servicios.
Registro de nombre después de la federación. Si está activada, esta opción permite participar a un proveedor de servicios en el registro de nombres después de que haya sido federado. El registro de nombres es un perfil mediante el que los proveedores de servicios especifican el identificador del nombre de una entidad principal que un proveedor de identidades utilizará cuando se comunique con el proveedor de servicios.
Política del identificador de nombres. Este valor de atributo es parte de la solicitud de autenticación. Determina el formato del identificador del nombre que el proveedor de identidades está generando. Por ejemplo, si el valor de la política de Id. de nombre es federated, el formato del identificador de nombre es urn:liberty:iff:2003:federated.
Habilitar la federación de afiliación. Si está habilitado, este atributo permite que se creen federaciones basándose en los Id. de afiliación.
Configuración de Access Manager
Los siguientes atributos sólo se muestran si se trata de un proveedor alojado (local).
Dirección URL de proveedor. Este campo define la dirección URL del proveedor local.
Alias. Este campo permite ingresar un alias para el proveedor local.
Tipo de autenticación. Remoto/local: este campo especifica si el proveedor alojado debe ponerse en contacto con un proveedor de identidades para la autenticación al recibir una solicitud de autenticación (Remoto) o si la autenticación debe realizarla el proveedor alojado por sí mismo (Local).
Contexto de autenticación predeterminado. Este campo especifica el contexto de autenticación que se va a utilizar si el proveedor de identidades no lo recibe como parte de una solicitud de proveedor de servicios. También especifica el contexto de autenticación que utiliza el proveedor de servicios cuando un usuario desconocido intenta acceder a un recurso protegido. Los valores predeterminados son:
- Sesión anterior
- Time-Sync-Token
- Smartcard
- MobileUnregistered
- Smartcard-PKI
- MobileContract
- Contraseña
- Password-ProtectedTransport
- MobileDigitalID
- Software PKI
Forzar autenticación en el proveedor de identidades. Este campo indica si el proveedor de identidades debe reautenticar (incluso durante una sesión real) cuando se reciba una solicitud de autenticación.
Solicitar al proveedor de identidades que sea pasivo. Si está seleccionada, esta opción especifica que el proveedor de identidades no debe interactuar con la entidad principal pero sí con el usuario.
DN de organización. Este campo especifica la ubicación de almacenamiento del DN de la organización si cada proveedor alojado elige administrar usuarios en diferentes organizaciones dirigidas a un modelo alojado.
URI de versión Liberty. Este campo indica la versión de la especificación Liberty.
Implementación del identificador de nombre. Este campo permite que un proveedor de servicios participe en el registro de nombres. El registro de nombres es un perfil mediante el que los proveedores de servicios especifican el identificador del nombre de una entidad principal que un proveedor de identidades utilizará cuando se comunique con el proveedor de servicios.
Dirección URL de página principal de proveedor. Este campo especifica la página principal del proveedor.
Fallo de inicio de sesión único, redirigir URL. Este campo especifica la página principal del proveedor.
Active el cifrado del identificador. Este atributo acepta una variable para indicar el cifrado del identificador del nombre durante la asignación de Id. de nombre.
Generar oferta de recursos de detección para Bootstrapping. Cuando esta opción está habilitada se generan datos de oferta de recursos de detección para Bootstrapping durante el proceso de inicio de sesión único de ID-FF1.2 para los proveedores de identidades alojados (locales). Sin embargo, los datos de oferta de recursos del servicio de detección para Bootstrapping no se requieren siempre (por ejemplo, una implementación de federación de servicios que no sea mediante web). Si desactiva esta opción, no se generarán los datos y se mejorará el rendimiento de Access Manager. De forma predeterminada, esta opción está activada.
Atributos de SAML
Los siguientes atributos sólo se muestran si se trata de un proveedor alojado (local).
Intervalo de aserción. Este campo especifica el intervalo de validez para la aserción tramitada por un proveedor de identidades. Una entidad principal permanecerá autenticada por el proveedor de identidades hasta que caduque el intervalo de aserción.
Intervalo de limpieza. Este campo especifica el intervalo de tiempo para limpiar aserciones almacenadas en el proveedor de identidades.
Tiempo de espera de artefacto. Este campo especifica el tiempo de espera de un proveedor de identidades para artefactos de aserción.
Límite de aserción. Este campo especifica el número de aserciones que puede tramitar o almacenar un proveedor de identidades.
Configuración de la autenticación del proxy
Los siguientes atributos no se muestran para proveedores de identidades alojados (locales).
Habilitar la autenticación del proxy. Si se selecciona, este atributo permite la autenticación del proxy de un proveedor de servicio.
Lista de los proveedores de identidades del proxy. Este atributo muestra la lista de proveedores de identidades en los que se puede utilizar un proxy para la autenticación.
Número máximo de proxies. Este atributo especifica el número máximo de proxies del proveedor de identidades.
Usar cookie de introducción para el funcionamiento con proxies. Si está habilitado, las introducciones se utilizarán para encontrar el proveedor de identidades que utiliza un proxy.
- Haga clic en "Siguiente".
Introduzca los valores correspondientes a la organización y la persona de contacto. Para obtener más información, consulte Para agregar personas de contacto y organizaciones.
- Haga clic en "Siguiente".
- Seleccione los dominios de autenticación a los que pertenecerá el proveedor.
Utilice las flechas de dirección para acceder a un dominio de autenticación de la lista "Disponible". Haga clic en "Guardar". Esta acción asignará el proveedor al dominio de autenticación. Un proveedor puede pertenecer a uno o varios dominios de autenticación, no obstante, un proveedor sin dominios de autenticación especificados no puede participar en comunicaciones Liberty. Haga clic en "Guardar".
- Haga clic en "Finalizar".
Contenido |