目錄
|
提供者設定檔
提供者設定檔可讓您修改任何顯示的屬性,但是有些屬性僅為特定提供者類型顯示。 屬性欄位如下所示:
共用屬性
[有效期至]。此欄位允許您輸入有關提供者之元資料的過期日期。請使用以下格式:
yyyy-mm-dd hh:mm:ss.SZ
例如,2004-12-31 12:30:00.0-0800
[快取持續時間]。此欄位定義要快取之元資料的持續期間,並使用 xs:duration 格式。
[協定支援列舉]。此欄位定義實體支援的協定版本。urn:liberty:iff:2003-08 指身份聯合架構 (ID-FF) 1.2,urn:liberty:iff:2002-12 指聯合身份架構 (ID-FF) 1.1。
[伺服器名稱識別碼對映連結]。此欄位定義 SAML 授權單位,該授權單位連結在識別碼對映查詢傳送至的身份提供者中。
[其他圖元位置]。此欄位指定有關提供者之其他相關元資料的位置。
[簽署密鑰別名]。 此欄位定義為寄存 (本機) 提供者簽署請求與回應時使用的簽署證書密鑰別名。 對於遠端提供者,這是提供者用來驗證簽名的公開密鑰。
[加密密鑰別名]。此欄位定義安全性證書別名。證書依據別名儲存在 JKS 鍵值儲存區中。此別名 (安全密鑰) 用於擷取所需的證書。
[加密密鑰大小]。此欄位限制使用者與其他實體進行互動時所使用的密鑰長度。
[加密方法]。此欄位定義加密個人喜好 URI。
通訊 URL
[SOAP 終點 URL]。此欄位指定 SOAP 請求的接收者位置。用於透過 SOAP 在反向通道上通訊 (非瀏覽器通訊)。
[單次登入服務 URL]。身份提供者使用單次登入服務 URL 傳送與接收單次登入請求。
[單一登出服務 URL]。服務提供者或身份提供者使用單一登出服務 URL 傳送與接收登出請求。
[單一登出傳回 URL]。此欄位指定登出請求經過處理後重新導向至的 URL。
[聯合終止服務 URL]。此欄位指定將聯合終止請求傳送至的 URL。
[聯合終止傳回 URL]。此欄位指定聯合終止請求經過處理後重新導向至的 URL。
[名稱註冊服務 URL]。此欄位使用的名稱註冊協定是服務提供者與身份提供者進行通訊時註冊其名稱識別碼所使用的協定。註冊僅在聯合階段作業建立後才會進行。此欄位定義服務提供者用來向身份提供者註冊名稱識別碼的服務 URL。
[名稱註冊傳回 URL]。此欄位使用的名稱註冊協定是服務提供者與身份提供者進行通訊時註冊其名稱識別碼所使用的協定。註冊僅在聯合階段作業建立後才會進行。名稱註冊傳回 URL 是身份提供者向其傳回註冊狀態的 URL。
通訊設定檔
[聯合終止設定檔]。 您可以選擇 SOAP 或 HTTP/重新導向。此欄位指定是否將 SOAP 或 HTTP/重新導向設定檔用於聯合終止的通知。在提供者作用期間可以隨時變更該欄位。
[單一登出設定檔]。您可以選擇 SOAP 或 HTTP/重新導向。此欄位指定是否將 SOAP 或 HTTP/重新導向設定檔用於登出事件的通知。在提供者作用期間可以隨時變更該欄位。
[名稱註冊設定檔]。您可以選擇 SOAP 或 HTTP/重新導向。此欄位指定是否將 SOAP 或 HTTP/重新導向設定檔用於名稱註冊。在提供者作用期間可以隨時變更該欄位。
[關係終止通知設定檔]。此欄位定義描述實體支援關係終止之設定檔的 URI。
[單次登入/聯合設定檔]。此欄位指定寄存提供者用來傳送認證請求的設定檔。 Access Manager 提供以下協定:
認證網域
使用方向鍵將選取的認證網域移到 [可用] 清單中。按一下 [儲存]。這樣會將此提供者指定給認證網域。提供者可以屬於一個或多個認證網域,但是,沒有指定任何認證網域的提供者無法參加「自由」通訊。按一下 [儲存]。
服務提供者
僅有服務提供者可以檢視下列屬性:
[假設使用者 URL]。此欄位定義提供者將傳送 SAML 假設至的提供者終點。
[假設使用者服務 URL ID]。如果協定支援列舉為 urn:liberty:iff:2002-12,則此 ID 是必需的。
[將假設使用者服務 URL 設定為預設 URL]。此選項將假設使用者 URL 設定為預設 URL。
[簽名認證請求]。如果啟用,此選項將指定提供者傳送帶簽名的認證與聯合請求。身份提供者將不會處理服務提供者發出的無簽名請求。
[聯合後的名稱註冊]。如果啟用了此選項,則服務提供者可以在聯合後參加名稱註冊。 名稱註冊是一種設定檔,服務提供者透過它指定主體的名稱識別碼,身份提供者將使用該名稱識別碼與服務提供者進行通訊。
[名稱 ID 策略]。此屬性值是認證請求的一部份。 此值決定身份提供者所製作的名稱識別碼格式。 例如,如果名稱 ID 策略值是 federated,則名稱識別碼格式為 urn:liberty:iff:2003:federated。
[啟用識別碼加密]。此屬性可以使用一個可於名稱 ID 對映期間標明名稱識別碼加密的變數。
Access Manager 配置
僅有寄存 (本機) 提供者可以檢視下列屬性。
[提供者 URL]。此欄位定義本機提供者的 URL。
[別名]。此欄位允許您輸入本機提供者的別名。
[認證類型]。遠端/本機 - 此欄位指定寄存提供者在收到認證請求時是應該聯絡身份提供者 (遠端) 還是由寄存提供者本身 (本機) 進行認證。
[預設認證環境]。此欄位指定身份提供者未將此認證環境接收為服務提供者請求的一部分時,要使用的認證環境。還指定在未知使用者嘗試存取受保護資源時,服務提供者使用的認證環境。預設值包括:
- Previous-Session
- Time-Sync-Token
- Smartcard
- MobileUnregistered
- Smartcard-PKI
- MobileContract
- Password
- Password-ProtectedTransport
- MobileDigitalID
- Software-PKI
[強制在身份提供者處進行認證]。此選項指示在收到認證請求時,身份提供者是否必須重新認證 (即使在階段作業作用期間)。
[請求身份提供者為被動]。如果選取,此選項將指定身份提供者不得與主體進行互動,而必須與使用者進行互動
[組織 DN]。如果各個寄存提供者選擇在不同組織之間管理使用者 (產生寄存模式),此欄位指定組織 DN 的儲存位置。
[自由版本 URI]。此欄位指定自由規格版本。
[名稱識別碼實現]。此欄位允許服務提供者選擇是否參加名稱註冊。 名稱註冊是一種設定檔,服務提供者透過它指定主體的名稱識別碼,身份提供者將使用該名稱識別碼與服務提供者進行通訊。
[提供者首頁 URL]。此欄位指定提供者的首頁。
[單次登入失敗重新導向 URL]。此欄位指定提供者的首頁。
[產生探索啟動程式資源提供]。若啟用此選項,則在託管 (本機) 身份提供者的 ID-FF1.2 單次登入過程中,將會產生啟動程式探索服務的資源提供資料。然而,並不一定需要啟動程式探索服務的資源提供資料 (例如,非 Web 服務聯合佈署)。停用此選項則不會產生資料,也將提高 Access Manager 的效能。依預設會啟用此選項。
SAML 屬性
僅有寄存 (本機) 提供者可以檢視下列屬性。
[假設間隔時間]。此欄位指定身份提供者發送假設的有效間隔時間。身份提供者將繼續認證主體,直至假設間隔時間到期。
[清除間隔時間]。此欄位指定清除儲存在身份提供者中的假設之時間間隔。
[Artifact 逾時]。此欄位指定身份提供者發送假設 Artifact 的逾時時間。
[假設限制]。此欄位指定可以儲存的假設數,或身份提供者可以發送的假設數。
代理伺服器認證配置
寄存 (本機) 身份提供者不能檢視下列屬性:
[啟用代理伺服器認證]。若選取,此屬性為服務提供者啟用代理伺服器認證。
[代理伺服器身份提供者清單]。此屬性顯示可代理認證的身份提供者的清單。
[最大代理伺服器數目]。此屬性指定身份提供者代理伺服器的最大數目。
[使用簡介 Cookie 執行代理作業]。若啟用,將使用簡介來尋找代理身份提供者。
組織
提供者聯絡人
按一下 [新建] 按鈕以加入聯絡人,並修改以下欄位:
[名字]。聯絡人的名字。
[姓氏]。聯絡人的姓氏。
[類型]。聯絡類型。可為以下類型之一:
目錄 |