Contenido    

Atributos de servicio SAML

Los atributos del servicio de Security Assertion Markup Language (SAML) son atributos globales. Los valores que adoptan se aplican a la configuración de Sun Java System Access Manager y los hereda toda organización configurada. (No se pueden aplicar directamente a roles u organizaciones, ya que el objetivo de los atributos globales es personalizar la aplicación Access Manager).

Para obtener más información acerca de la arquitectura del servicio SAML, consulte Guía del programador del Access Manager.

Los atributos de SAML son los siguientes:

Id. de sitio y nombre de emisor de sitio

Este atributo contiene una lista de entradas, cada una de las cuales incluye un Id. de instancia, un Id. de sitio y el nombre del emisor de sitio. Un valor predeterminado se asigna durante la instalación. El formato es el siguiente:

instanceID=protocoloservidor://nombreservidor:númeropuerto|Idsitio=id_sitio|is suerName=nombre_emisor_sitio

Tras configurar SSL para este atributo (tanto en el sitio de destino como en el de origen), asegúrese de que el protocolo instanceid es HTTPS//.

Firmar solicitud SAML

Este atributo especifica si se firmarán digitalmente (XML DSIG) todas las solicitudes de SAML antes de su entrega. Al hacer clic en esta opción se activa la función.

Firmar respuesta SAML

Este atributo especifica si se firmarán digitalmente (XML DSIG) todas las respuestas de SAML antes de su entrega. Al hacer clic en esta opción se activa la función.

Todas las respuestas de SAML utilizadas por el perfil POST Web SAML se firmarán digitalmente tanto si esta opción está activada como si está desactivada.

Firmar aserción

Este atributo especifica si se firmarán digitalmente (XML DSIG) todas las aserciones de SAML antes de su entrega. Al hacer clic en esta opción se activa la función.

Nombre de artefacto SAML

Este atributo asigna un nombre de variable a un artefacto SAML definido en la configuración del servicio SAML. Un artefacto SAML es un conjunto de datos de tamaño limitado, que identifica una aserción y un sitio de origen. Se transporta como parte de una cadena de consulta URL y se transmite mediante una redirección al sitio de destino. El valor predeterminado es SAMLart. Por ejemplo, utilizando la configuración del servicio SAMLart predeterminada, la cadena de consulta redireccionada podría ser:

http:/host:puerto/deploy_URI/SamlAwareServlet?TARGET=http://URL/&SAMLart=artifac t123

Especificador de destino

Este atributo asigna un nombre de variable al sitio de destino utilizado en la URL de redirección. El valor predeterminado es Target.

Tiempo de espera de artefacto

Este atributo especifica el tiempo de espera para una aserción creada para un artefacto. El valor predeterminado es 400.

Factor de contracción de aserción para hora notBefore

Este atributo se utiliza para calcular el tiempo "notBefore" de una aserción. Por ejemplo, si "IssueInstant" es 2002-09024T21:39:49Z y el Factor de contracción de aserción para hora "notBefore" se establece en 300 segundos (180 es el valor predeterminado), el atributo "notBefore" del elemento de condiciones para la aserción sería 2002-09-24T21:34:49Z.

Tiempo de espera de aserción

Este atributo especifica el tiempo en segundos que debe transcurrir para que se produzca un tiempo de espera en una aserción. El valor predeterminado es 420.


Nota

La duración válida total de una aserción se define mediante los valores establecidos en Factor de contracción de aserción para hora notBefore y atributos de tiempo de espera de aserción.


Sitios de socio de confianza

Este atributo almacena información sobre socios de manera que un sitio puede establecer una relación de confianza para comunicarse con el sitio de otro socio.

Este atributo contiene una lista de entradas y, a su vez, cada una de ellas contiene pares clave/valor separadas por el carácter "|". Para cada entrada se requiere el Id. de origen. Por ejemplo:

SourceID=siteid|SOAPURL=https://nombreservidor:númeropuerto/amserver/SAMLS OAPReceiver|AuthType=SSL|hostlist=ipaddress (o, nombre DNS del servidor, o alias cert )

Los parámetros son:

Tabla 0-1  Parámetros de s itios de socios de confianza

 

 

SourceID

La secuencia de 20 bytes definida en los campos SiteID y nombre del emisor.

Destino

Este parámetro se define en un dominio específico con o sin un número de puerto. Si desea ponerse en contacto con una página Web alojada en un dominio concreto, target indica la redirección a una URL definida mediante los parámetros SAMLUrl o POSTUrl para continuar con el procesamiento.

Si hay dos entradas (una con número de puerto y otra sin él) que tienen el mismo dominio especificado en el atributo "Sitios de socio de confianza", la entrada que cuente con el número de puerto tendrá una mayor prioridad.

Por ejemplo, si dispone de las siguientes dos definiciones de sitio de socio de confianza:

target=sun.com|SAMLUrl=http://máquina1.sun.com:8080/amserver/SAMLAwareServlet

y

target=sun.com:8080|SAMLUrl=httyp://máquina2.sun.com:80/amserver/SAMLAwareServlet

y está buscando la siguiente página:

http://algunamáquina.sun.com:8080/index.html

se seleccionará la segunda definición como proveedor de servicio SAML porque el dominio coincidente y el puerto coexisten en el parámetro target.

SAMLUrl

Define la URL que proporciona el servicio SAML. El servlet especificado en la URL implementa el perfil Explorador Web SSO con artefacto definido en la especificación "Conexiones OASIS-SAML y perfiles".

POSTUrl

Define la URL que proporciona el servicio SAML. El servlet especificado en la URL implementa el perfil Explorador Web SSO con POST definido en la especificación "Conexiones OASIS-SAML y perfiles".

issuer

Define el creador de una aserción generada en Access Manager. La sintaxis es nombre_de_host:puerto.

SOAPUrl

Especifica la dirección URL del servicio "Receptor de SOAP".

AuthType

Define el tipo de autenticación utilizado en SAML. Debe ser una de las siguientes:

  • NOAUTH
  • BASICAUTH
  • SSL
  • SSLWITHBASICAUTH

Este parámetro es opcional; si no se especifica, el valor predeterminado es NOAUTH.

Si se especifica BASICAUTH o SSLWITHBASICAUTH, se requiere el parámetro de Usuario, y la dirección SOAPUrl debería ser HTTPS.

Usuario

Define el uid del socio utilizado para proteger el Receptor de SOAP del socio.

versión

Define la versión de SAML utilizada para enviar solicitudes SAML. Especifica 1.0 o 1.1 para la versión de SAML. Si no se define este parámetro, se utilizan los siguientes valores predeterminados de AMConfig.properties:

com.example.identity.saml.asertion.version-1.1

com.example.identity.saml.protocol.version=1.1

hostlist

Este atributo enumera las direcciones IP o certAlias para todos los hosts del sitio del socio especificado que pueden enviar solicitudes a este sitio. Esto garantiza que el solicitante es en realidad el receptor del artefacto SAML.

Si el certificado del cliente o el host del solicitante forman parte de esta lista en el sitio del receptor, el servicio continuará. Si el host o el certificado de cliente no coinciden con ninguno de los hosts o certificados incluidos en la lista, el servicio SAML rechazará la solicitud.

AccountMapper

Especifica una clase conectable que define cómo el asunto de una aserción está relacionado con una identidad del sitio de destino. De forma predeterminada, es:

com.sun.identity.saml.plugins.DefaultAccountMa pper

attributeMapper

Especifica la clase con la ruta de acceso al lugar donde está ubicado attributeMapper. Las aplicaciones pueden desarrollar un attributeMapper para obtener un Id. de SSOToken o una aserción que contenga AuthenticationStatement a partir de la consulta. A continuación, se utiliza el asignador para recuperar los atributos para el asunto. Si no se especifica ningún attributeMapper, se utilizará DefaultAttributeMapper.

actionMapper

Especifica la clase con la ruta de acceso al lugar donde está ubicado actionMapper. Las aplicaciones pueden desarrollar un actionMapper para obtener un Id. de SSOToken o una aserción que contenga AuthenticationStatement a partir de la consulta. A continuación, se utiliza el asignador para recuperar las decisiones de autorización para las acciones definidas en la consulta. Si no se especifica ningún actionMapper, se utilizará DefaultActionMapper.

siteAttributeMapper

Especifica la clase con la ruta de acceso al lugar donde está ubicado siteAttributeMapper. Las aplicaciones pueden desarrollar un siteAttributeMapper para obtener atributos para incluir en la aserción durante SSO. Si no se encuentra ningún siteAttributeMapper, no se incluirá ningún atributo en la aserción durante SSO.

certAlias=nombreAlias

Especifica un nombre certAlias utilizado para verificar la firma en una aserción, cuando la aserción es firmada por un socio y el certificado del socio no se puede encontrar en la parte KeyInfo de la aserción firmada.

En la siguiente tabla aparecen ejemplos de configuración para sitios de socios de confianza. No todos los parámetros son necesarios para todos los casos, por lo que los parámetros opcionales se han ubicado entre paréntesis.

 

Remitente

Receptor

 

 

 

artefacto

sourceid

sourceid

 

Destino

SOAPUrl

 

SAMLUrl

[accountMapper]

 

hostlist

[AuthType]

 

[siteAttributeMapper]

[User]

 

 

[certAlias]

 

 

 

Perfil POST

sourceid

sourceid

 

Destino

issuer

 

POSTUrl

[accountMapper]

 

[siteAttributeMapper]

[certAlias]

 

 

 

Solicitud SOAP

 

sourceid

 

 

hostlist

 

 

[attributeMapper]

 

 

[actionMapper]

 

 

[certAlias]

 

 

[issuer]

 

 

 

ENVIAR a direcciones URL de destino

Si en este atributo aparece la URL de destino recibida a través de SSO (bien perfil de artefacto o bien perfil POST) por el sitio, la aserción o aserciones recibidas de SSO se enviarán a la URL de destino mediante http: FORM POST. Evite utilizar direcciones URL de prueba o cualquier otra dirección URL adicional en un POST.


Contenido