Inhalt    

Attribute für den SAML-Dienst

Bei den Attributen für den SAML-Dienst (Security Assertion Markup Language) handelt es sich um globale Attribute. Die ihnen zugewiesenen Werte werden über die gesamte Konfiguration von Sun Java System Access Manager hinweg zugewiesen und an jede konfigurierte Organisation vererbt. (Da die Funktion globaler Attribute in der Anpassung der Access Manager-Anwendung besteht, können sie Rollen oder Organisationen nicht direkt zugewiesen werden.)

Weitere Informationen über die SAML-Dienstarchitektur finden Sie unter Access Manager Developer’s Guide.

Die SAML-Attribute lauten wie folgt:

Site-ID und Name des Site-Herausgebers

Dieses Attribut enthält eine Liste an Einträgen, von denen jeder über eine Objekt-ID, eine Site-ID und den Namen des Site-Herausgebers verfügt. Ein Standardwert wird bei der Installation zugewiesen. Das Format ist folgendermaßen aufgebaut:

instanceid=serverprotocol://servername:anschlussnummer|siteid=site_id|issuerN ame=Site_Herausgeber_Name

Nach Konfiguration dieses Attributs für SSL (an Quell- und Zielsite) prüfen Sie nach, ob HTTPS// als instanceid-Protokoll verwendet wird.

SAML-Anforderung signieren

Über dieses Attribut wird festgelegt, ob alle SAML-Anforderungen digital signiert (XML DSIG) werden, bevor sie zugestellt werden. Diese Option wird durch Anklicken aktiviert.

SAML-Antwort signieren

Über dieses Attribut wird festgelegt, ob alle SAML-Antworten digital signiert (XML DSIG) werden, bevor sie zugestellt werden. Diese Option wird durch Anklicken aktiviert.

Alle SAML-Antworten, die vom SAML-Web-Post-Profil verwendet werden, sind unabhängig von dieser Auswahl immer digital signiert.

Assertion signieren

Über dieses Attribut wird festgelegt, ob alle SAML-Assertionen digital signiert (XML DSIG) werden, bevor sie zugestellt werden. Diese Option wird durch Anklicken aktiviert.

SAML-Produktname

Über dieses Attribut wird ein Variablenname zu einem SAML-Produkt zugeordnet, das in der SAML-Dienstkonfiguration festgelegt wurde. Ein SAML-Produkt besteht aus größenbeschränkten Daten, die eine Assertion und eine Quellsite identifizieren. Es wird als Teil eines URL-Abfrage-Strings betrachtet und über eine Weiterleitung an die Zielsite weitergegeben. Der Standardwert ist SAMLart. Mit der Standard-SAMLart-Dienstkonfiguration könnte der Abfrage-String zur Weiterleitung beispielsweise wie folgt lauten:

http:/host:port/deploy_URI/SamlAwareServlet?TARGET=http://URL/&SAMLart=artifact 123

Zielangabe

Über dieses Attribut wird der Zielsite-URL, der in der Weiterleitung verwendet wird, ein Variablenname zugewiesen. Der Standardwert ist Ziel.

Produktzeitüberschreitung

Über dieses Attribut wird das Timeout für die Assertion festgelegt, die für ein Produkt erstellt wurde. Der Standardanschluss ist 400.

Verzerrungsfaktor der Assertion für notBefore-Zeitangabe

Dieses Attribut wird verwendet, um die notBefore-Zeitangabe einer Assertion zu berechnen. Beispielsweise ergibt sich bei einem IssueInstant von 2002-09024T21:39:49Z und einem "Verzerrungsfaktor der Assertion für notBefore-Zeitangabe" von 300 Sekunden (Standardwert ist 180) ein Wert für das notBefore-Attribut des Konditionselements für die Assertion von 2002-09-24T21:34:49Z.

Assertion-Zeitüberschreitung

Über dieses Attribut wird angegeben, wie lange eine Assertion fortgesetzt wird, bevor sie wegen Überschreitung des Zeitlimits abgebrochen wird. Der Standardanschluss ist 420.


Hinweis

Die zulässige Gesamtdauer einer Assertion ergibt sich aus den Werten der beiden Attribute "Verzerrungsfaktor der Assertion für notBefore-Zeitangabe" und "Assertion-Zeitüberschreitung".


Sites vertrauenswürdiger Partner

Dieses Attribut speichert die Informationen eines Partners, sodass eine Site eine vertrauenswürdige Beziehung zur Kommunikation mit einer anderen Partner-Site aufbauen kann.

Dieses Attribut enthält eine Liste an Einträgen, von denen jeder ein Schlüssel-/Wertepaar (getrennt durch "|") enthält. Die Quell-ID ist für jeden Eintrag erforderlich. Beispielsweise:

SourceID=siteid|SOAPURL=https://servername:anschlussnummer/amserver/SAMLSO APReceiver|AuthType=SSL|hostlist=ipadresse (oder, Server-DNS-Name oder cert alias)

Die Parameter sind:

Tabelle 0-1  Parameter der Sites vertrauenswürdiger Partner

 

 

SourceID

Die 20-Byte-Sequenz, wie in der SiteID und dem Herausgebernamen definiert.

Ziel

Dieser Parameter ist in einer bestimmten Domäne mit oder ohne Anschlussnummer definiert. Falls Sie eine Webseite kontaktieren möchten, die sich auf dieser angegebenen Domäne befindet, wird durch den Parameter Ziel die Weiterleitung zu einem URL angegeben, der durch die Parameter SAMLUrl oder POSTUrl für die weitere Verarbeitung definiert ist.

Falls zwei Einträge (einer, der eine Anschlussnummer enthält und einer, der keine Anschlussnummer enthält) vorhanden sind, für die dieselbe Domäne im Attribut "Sites vertrauenswürdiger Partner" angegeben wurde, hat der Eintrag mit der Anschlussnummer die höhere Priorität.

Sie verfügen beispielsweise über die folgenden zwei Definitionen für Sites vertrauenswürdiger Partner:

target=sun.com|SAMLUrl=http://machine1.sun.com:8080/amserver/SAMLAwareServlet

und

target=sun.com:8080|SAMLUrl=httyp://machine2.sun.com:80/amserver/SAMLAwareServlet

und suchen nach folgender Seite:

http://somemachine.sun.com:8080/index.html.

Die zweite Definition wird als SAML-Dienstanbieter ausgewählt, da die Domäne und der Anschluss, die übereinstimmend sind, beide im Parameter Ziel vorhanden sind.

SAMLUrl

Definiert den URL, der den SAML-Dienst bereitstellt. Das im URL angegebene Servlet implementiert das Profil Webbrowser-SSO mit Produkt, das in der Spezifizierung der OASIS-SAML-Verbindungen und -Profile definiert ist.

POSTUrl

Definiert den URL, der den SAML-Dienst bereitstellt. Das in diesem URL angegebene Servlet implementiert das Profil Webbrowser-SSO mit POST, das in der Spezifizierung der OASIS-SAML-Verbindungen und -Profile definiert ist.

issuer

Definiert den Ersteller einer in Access Manager generierten Assertion. Die Syntax ist hostname:port.

SOAPUrl

Gibt den URL für den SOAP-Empfängerdienst an.

AuthType

Legt den in SAML verwendeten Authentifizierungstyp fest. Es sollte einer der folgenden Werte verwendet werden:

  • NOAUTH
  • BASICAUTH
  • SSL
  • SSLWITHBASICAUTH

Dieser Parameter ist optional; wenn kein Wert angegeben wird, wird NOAUTH verwendet.

Ist BASICAUTH oder SSLWITHBASICAUTH angegeben, ist der Parameter "Benutzer" erforderlich und SOAPUrl sollte HTTPS sein.

Benutzer

Legt die UID des Partners fest, mit der der SOAP-Empfänger des Partners geschützt wird.

Version

Definiert die SAML-Version, mit der SAML-Abfragen gesendet werden. Geben Sie für die SAML-Version entweder 1.0 oder 1.1 an. Wird dieser Parameter nicht definiert, werden folgende Standardwerte von AMConfig.properties verwendet:

com.example.identity.saml.asertion.version-1.1

com.example.identity.saml.protocol.version=1.1

hostlist

Dieses Attribut listet die IP-Adressen bzw. die certAlias für sämtliche Hosts auf der angegebenen Partner-Site auf, die Anforderungen an diese Site senden können. Auf diese Art wird gewährleistet, dass der Anforderer auch tatsächlich der beabsichtigte Empfänger für das SAML-Produkt ist.

Befindet sich das Host- oder Clientzertifikat des Requestors in dieser Liste auf der Site des Empfängers, wird der Dienst fortgesetzt. Stimmt das Host- oder Clientzertifikat mit keinem der Hosts oder Zertifikate in der Hostliste überein, lehnt der SAML-Dienst die Anforderung ab.

AccountMapper

Gibt eine plugfähige Klasse an, die definiert, wie der Betreff einer Assertion mit einer Identität auf der Ziel-Site in Verbindung steht. Der Standardwert ist:

com.sun.identity.saml.plugins.DefaultAccountMa pper

attributeMapper

Gibt die Klasse mit dem Pfad an, in dem sich der attributeMapper befindet. Anwendungen können einen attributeMapper entwickeln, um entweder eine SSO-Token-ID oder eine Assertion, die das Attribut AuthenticationStatement enthält, aus der Abfrage zu erhalten. Der Mapper wird dann verwendet, um das Attribut für das Subjekt zu erlangen. Wenn kein attributeMapper angegeben wird, wird DefaultAttributeMapper verwendet.

actionMapper

Gibt die Klasse mit dem Pfad an, in dem sich der actionMapper befindet. Anwendungen können einen actionMapper entwickeln, um entweder eine SSO-Token-ID oder eine Assertion, die das Attribut AuthenticationStatement enthält, aus der Abfrage zu erhalten. Der Mapper wird dann verwendet, um die Authorisationsentscheidungen für die in der Abfrage enthaltenen Aktionen zu erlangen. Wenn kein actionMapper angegeben wird, wird DefaultActionMapper verwendet.

siteAttributeMapper

Gibt die Klasse mit dem Pfad an, in dem sich der siteAttributeMapper befindet. Anwendungen können einen siteAttributeMapper entwickeln, um Attribute, die in die Assertion während des SSO integriert werden sollen, zu erhalten. Wenn kein siteAttributeMapper gefunden wird, werden keine Attribute in die Assertion während des SSO integriert.

certAlias=aliasName

Gibt einen certAlias-Namen an, der zur Verifizierung der Signatur einer Assertion verwendet wird, wenn die Assertion von einem Partner signiert wurde und das Zertifikat des Partners nicht im Abschnitt KeyInfo der signierten Assertion gefunden werden kann.

Die nachstehende Tabelle enthält eine Beispielkonfiguration für die Sites vertrauenswürdiger Partner. Nicht alle Parameter sind für alle Verwendungsfälle erforderlich. Die optionalen Parameter stehen daher in Klammern.

 

Absender

Empfänger

 

 

 

Produkt

sourceid

sourceid

 

Ziel

SOAPUrl

 

SAMLUrl

[accountMapper]

 

hostlist

[AuthType]

 

[siteAttributeMapper]

[Benutzer]

 

 

[certAlias=]

 

 

 

POST-Profil

sourceid

sourceid

 

Ziel

issuer

 

POSTUrl

[accountMapper]

 

[siteAttributeMapper]

[certAlias=]

 

 

 

SOAP-Anforderung

 

sourceid

 

 

hostlist

 

 

[attributeMapper]

 

 

[actionMapper]

 

 

[certAlias=]

 

 

[issuer]

 

 

 

POST an Ziel-URLs

Wenn der Target-URL über SSO (entweder Produktprofil oder POST-Profil) von der Site erhalten wird und in diesem Attribut aufgeführt ist, wird/werden die Assertion/Assertionen, die von SSO erhalten wird/werden, an den Ziel-URL in der Form http: FORM POST gesendet. Verwenden Sie in einem POST-Profil nach Möglichkeit keine Test-URLs oder andere Zusatz-URLs.


Inhalt