Inhalt    

So erstellen und verwalten Sie einen Anbieter

Definitionen der in diesem Abschnitt behandelten Themen finden Sie unter Konzepte für die Verbindungsverwaltung.

  1. Wählen Sie die Entity, in der der Anbieter erstellt werden soll.
  2. Wählen Sie im Datenausschnitt entweder „Identity-Anbieter“ oder „Dienst-Anbieter“.
  3. Klicken Sie auf „Neuer Anbieter“.
  4. Geben Sie Informationen in die allgemeinen Anbieterattributfelder ein. Folgende Felder sind verfügbar:
  5. Anbieter-ID. Als Anbieter-ID sollte der URL-Bezeichner des Anbieters angegeben werden. Dieser muss auf sämtlichen Remote- und Host-Anbietern eindeutig sein.

    Beschreibung. Geben Sie eine Beschreibung des Anbieters ein.

    Anbieter ist gehostet oder remote. Dieses Feld wird ausgewählt, wenn es sich um einen Host- (lokalen) oder einen Remote-Anbieter handelt.

    Gültig bis. In diesem Feld können Sie das Gültigkeitsdatum für die Metadaten des Anbieters eingeben. Verwenden Sie das folgende Format:

    yyyy-mm-ddThh:mm:ss.SZ

    Beispiel: 2004-12-31T12:30:00.0-0800

    Cache-Dauer. Dieses Feld definiert die Cache-Dauer der Metadaten und verwendet das Format xs:dauer.

    Protokollunterstützungsaufzählung. Dieses Feld definiert die von der Entity unterstützte Protokollversion. urn:liberty:iff:2003-08 bezieht sich auf Identity Federation Framework (ID-FF) 1.2 und urn:liberty:iff:2002-12 auf Federation Identity Framework (ID-FF) 1.1.

    Zuordnungs-Binding Servernamen-ID. Dieses Feld definiert die SAML-Verbindung, an die ID-Zuordnungsabfragen gesendet werden.

    Zusätzliche Metaspeicherorte. Dieses Feld definiert den Speicherort anderer relevanter Metadaten über den Anbieter.

    Signaturschlüsselalias. Dieses Feld definiert den Signaturalias für Zertifikatschlüssel, mit dem Anforderungen und Antworten für einen Host-Anbieter (lokal) signiert werden. Bei einem Remote-Anbieter ist dies ein öffentlicher Schlüssel, mit dem der Anbieter die Signaturen überprüft.

    Verschlüsselungsschlüsselalias. Dieses Feld definiert den Sicherheitszertifikatalias. Die Zertifikate sind im JKS-Schlüsselspeicher für einen Alias gespeichert. Dieser Alias (der Sicherheitsschlüssel) wird verwendet, um das erforderliche Zertifikat zu ermitteln.

    Verschlüsselungsschlüsselgröße. Dieses Feld beschränkt die Länge der Schlüssel, die vom Benutzer bei der Interaktion mit einer anderen Entity verwendet werden.

    Verschlüsselungsmethode. Dieses Feld definiert den URI für Verschlüsselungspräferenzen.

  6. Klicken Sie auf "Weiter".
  7. Geben Sie die Informationen für die Attribute Kommunikations-URL, Kommunikationsprofil, Dienst-Anbieter (diese Attribute werden bei einem Identity-Anbieter nicht angezeigt) und Proxy-Authentifizierungskonfiguration ein. Folgende Felder sind verfügbar:
  8. Kommunikations-URLs

    URL für SOAP-EndpunktIn diesem Feld wird der Pfad für den Empfänger von SOAP-Anforderungen angegeben. Dieser Wert wird für die Kommunikation auf dem Back-Channel (nicht Browser-basiserte Kommunikation) über SOAP verwendet.

    Single Sign-On-Dienst-URL. Der Single Sign-On-Dienst-URL wird von einem Identity-Anbieter zum Senden und Empfangen von Single Sign-On-Anforderungen verwendet.

    URL für Einzelabmelde-DienstDer "URL für Einzelabmelde-Dienst" wird von einem Dienstanbieter oder Identity-Anbieter zum Senden und Empfangen von Abmeldeanforderungen verwendet.

    Rückgabe-URL für Einzelabmeldung. Dieser Wert stellt den URL dar, an den Abmeldeanforderungen nach der Verarbeitung umgeleitet werden.

    URL für Verbindungstrennungsdienst In diesem Feld wird der URL angegeben, an den die Verbindungstrennungsanforderungen gesendet werden.

    Rückgabe-URL für Verbindungstrennung. In diesem Feld wird der URL angegeben, an den Verbindungstrennungsanforderungen nach der Verarbeitung umgeleitet werden.

    Dienst-URL für Namensregistrierung. Dieses Feld verwendet das Namensregistrierungsprotokoll, das von einem Dienstanbieter zur Registrierung des eigenen Namensbezeichners während der Kommunikation mit einem Identity-Anbieter verwendet wird. Die Registrierung erfolgt lediglich, nachdem eine Verbindungssitzung hergestellt wurde. In diesem Feld wird der Dienst-URL definiert, der von einem Dienstanbieter zur Registrierung eines Namensbezeichners mit einem Identity-Anbieter verwendet wird.

    Rückgabe-URL für Namensregistrierung. Dieses Feld verwendet das Namensregistrierungsprotokoll, das von einem Dienstanbieter zur Registrierung des eigenen Namensbezeichners während der Kommunikation mit einem Identity-Anbieter verwendet wird. Die Registrierung erfolgt lediglich, nachdem eine Verbindungssitzung hergestellt wurde. Der Rückgabe-URL für die Namensregistrierung ist der URL, an den der Identity-Anbieter den Status der Registrierung zurücksendet.

    Kommunikationsprofile

    Verbindungstrennungsprofil. Sie können SOAP oder HTTP/Redirect auswählen. Mithilfe dieses Feldes wird angegeben, ob das SOAP oder das HTTP/Redirect-Profil zur Benachrichtigung über die Verbindungstrennung verwendet werden soll. Die Einstellung kann während des Bestehens des Anbieters jederzeit geändert werden.

    Profil für Einzelabmeldung. Sie können SOAP oder HTTP/Redirect auswählen. Mithilfe dieses Feldes wird angegeben, ob SOAP oder HTTP Redirect zur Benachrichtigung über ein Abmeldeereignis verwendet werden. Die Einstellung kann während des Bestehens des Anbieters jederzeit geändert werden.

    Profil für Namensregistrierung.Sie können SOAP oder HTTP/Redirect auswählen. Mithilfe dieses Feldes wird angegeben, ob das SOAP oder das HTTP/Redirect-Profil zur Benachrichtigung über die Namensregistrierung verwendet werden soll. Die Einstellung kann während des Bestehens des Anbieters jederzeit geändert werden.

    Benachrichtigungsprofil für Beziehungsbeendigung.Dieses Feld definiert einen URI, der die Profile beschreibt, die die Entity für die Beziehungsbeendigung unterstützt.

    Profil für Single Sign-On/Verbindung. Dieses Feld gibt das Profil an, das der Host-Anbieter verwendet, um Authentifizierungsanforderungen zu senden. Access Manager bietet folgende Protokolle:

    • Browser-Veröffentlichung - Front-Channel-Protokoll (HTTP POST-basiert).
    • Browser-Produkt - SOAP-basiertes (nicht Browser-basiertes) Back-Channel-Protokoll
    • LECP - Liberty Enabled Client Proxy.
    • Dienstanbieter

      Die folgenden Attribute werden nur für einen Dienst-Anbieter angezeigt:

      Assertion Consumer-URL. In diesem Feld wird der Anbieterendpunkt definiert, an den ein Anbieter SAML-Assertionen sendet.

      Assertion Consumer Service-URL-ID. Diese ID ist erforderlich, wenn die Protokollunterstützungsaufzählung urn:liberty:iff:2002-12 lautet.

      Legen Sie den Assertion Consumer Service-URL als Standardeinstellung fest. Mit dieser Option wird der Assertion Consumer-URL als Standardeinstellung festgelegt.

      Authentifizierungsanforderung signieren. Diese Option, sofern sie ausgewählt wurde, legt fest, dass der Anbieter signierte Authentifizierungs- und Verbindungsanforderungen sendet. Der Identity-Anbieter verarbeitet keine nichtsignierten Anforderungen, die vom Dienstanbieter stammen.

      Namensregistrierung nach Verbindung Wenn diese Option aktiviert ist, wird dem Dienstanbieter die Teilnahme an der Namensregistrierung ermöglicht, nachdem die Verbindung hergestellt wurde. Die Namensregistrierung ist ein Profil, nach dem die Dienstanbieter den Namensbezeichner eines Principals angeben, den ein Identity-Anbieter für die Kommunikation mit dem Dienstanbieter verwendet.

      Namens-ID-Richtlinie. Dieser Attributwert ist Bestandteil der Authentifizierungsanforderung. Er bestimmt das Namens-ID-Format, das vom Identity-Anbieter generiert wird. Lautet die Namens-ID-Richtlinie beispielsweise federated, wird das Namens-ID-Format urn:liberty:iff:2003:federated generiert.

      Zuordnungsföderierung aktivieren. Ist dieses Feld aktiviert, können Verbindungen basierend auf Partner-IDs erstellt werden.

      Access Manager-Konfiguration

      Die folgenden Attribute werden nur angezeigt, wenn es sich um einen Host-Anbieter (lokalen Anbieter) handelt.

      Anbieter-URL. Dieses Feld definiert den URL als lokalen Anbieter.

      Alias. In diesem Feld können Sie einen Aliasnamen für den lokalen Anbieter eingeben.

      Authentifizierungstyp. Remote/Lokal - Dieses Feld gibt an, ob der Host-Anbieter einen Identity-Anbieter zur Authentifizierung kontaktieren sollte, wenn er eine Authentifizierungsanforderung erhält (Remote), oder ob die Authentifizierung durch den Host-Anbieter selbst durchgeführt werden soll (Lokal).

      Standardmäßiger Authentifizierungskontext Gibt den Authentifizierungskontext an, der verwendet werden soll, falls der Identity-Anbieter ihn nicht als Teil einer Dienstanbieteranforderung erhält. Außerdem wird der Authentifizierungskontext angegeben, der vom Dienstanbieter verwendet wird, wenn ein unbekannter Benutzer versucht, auf eine geschützte Ressource zuzugreifen. Die Standardwerte sind:

    • Zurück-Sitzung
    • Time-Sync-Token
    • Smartcard
    • MobileUnregistered
    • Smartcard-PKI
    • MobileContract
    • Passwort
    • Passwort-ProtectedTransport
    • MobileDigitalID
    • Software-PKI
    • Authentifizierung bei Identity-Anbieter erzwingen. Diese Option gibt an, ob der Identity-Anbieter eine erneute Authentifizierung durchführen muss (auch wenn er sich in einer aktiven Sitzung befindet), wenn er eine Authentifizierungsanforderung erhält.

      Anforderung an Identity-Anbieter, passiven Status einzunehmen. Durch Auswahl dieses Feldes ist festgelegt, dass der Identity-Anbieter nicht mit dem Principal interagieren darf und mit dem Benutzer interagieren muss.

      Organisations-DN. Dieses Feld gibt den Speicherort der DN der Organisation an, falls alle Host-Anbieter auswählen, dass die Benutzerverwaltung über verschiedene Organisationen nach einem Host-Modell erfolgt.

      URI der Liberty-Version Dieses Feld gibt die Version der Liberty-Spezifikation an.

      Implementierung des Namensbezeichners Dieses Feld ermöglicht dem Dienstanbieter die Teilnahme an der Namensregistrierung. Die Namensregistrierung ist ein Profil, nach dem die Dienstanbieter den Namensbezeichner eines Principals angeben, den ein Identity-Anbieter für die Kommunikation mit dem Dienstanbieter verwendet.

      URL für Homepage des Anbieters. Dieses Feld gibt die Homepage des Anbieters an.

      Umleitungs-URL bei Fehler bei Single Sign-On. Dieses Feld gibt die Homepage des Anbieters an.

      ID-Verschlüsselung aktivieren. Dieses Attribut akzeptiert eine Variable für die Verschlüsselung der Namens-ID bei der Namens-ID-Zuordnung.

      Ressourcenangebot für Discovery-Bootstrapping generieren. Wenn diese Option aktiviert ist, werden vom Discovery-Bootstrapping-Dienst Ressourcenangebotsdaten generiert, wenn der Single Sign-On-Vorgang von ID-FF1.2 für Host-Identity-Anbieter (also lokale Identity-Anbieter) durchgeführt wird. Diese Art von Daten ist jedoch nicht immer erforderlich (z. B. in einer nicht auf Webdiensten basierenden Verbindungsbereitstellung). Wenn diese Option deaktiviert ist, werden die Daten nicht generiert und die Access Manager-Leistung erhöht sich. Diese Option ist standardmäßig aktiviert.

      SAML-Attribute

      Die folgenden Attribute werden nur angezeigt, wenn es sich um einen Host-Anbieter (lokalen Anbieter) handelt.

      Assertions-Intervall. Dieses Feld gibt das Gültigkeitsintervall für die Assertion an, die vom Identity-Anbieter herausgegeben wird. Ein Principal bleibt vom Identity-Anbieter authentifiziert, bis das Assertionsintervall abläuft.

      Bereinigungsintervall. Dieses Feld gibt das Zeitintervall für das Löschen von Assertionen an, die im Identity-Anbieter gespeichert sind.

      Produktzeitüberschreitung. Dieses Feld gibt die Zeitüberschreitung bei einem Identity-Anbieter für Assertionsprodukte an.

      Assertions-Limit. Dieses Feld gibt die Anzahl an Assertionen an, die ein Identity-Anbieter herausgeben kann bzw. die gespeichert werden können.

      Proxy-Authentifizierungskonfiguration

      Die folgenden Attribute werden nicht für Host-Identity-Anbieter (lokale Anbieter) angezeigt.

      Proxy-Authentifizierung aktivieren. Dieses Attribut aktiviert die Proxy-Authentifizierung für einen Dienst-Anbieter.

      Liste der Proxy-Identity-Anbieter. Dieses Attribut zeigt eine Liste der Identity-Anbieter an, bei denen eine Proxy-Authentifizierung möglich ist.

      Maximale Anzahl an Proxies. Dieses Attribut gibt die maximale Anzahl an Identity-Anbieter-Proxies an.

      Einführungs-Cookie für Proxyvorgang verwenden. Wenn dieses Attribut aktiviert ist, werden Einführungs-Cookies für die Suche nach Proxy-Identity-Anbietern verwendet.

  9. Klicken Sie auf "Weiter".
  10. Geben Sie die Werte für die Organisation und die Kontaktperson ein. Weitere Informationen finden Sie unter So fügen Sie eine Kontaktperson und Organisation hinzu.

  11. Klicken Sie auf "Weiter".
  12. Wählen Sie die Authentifizierungsdomänen, zu denen der Anbieter gehört.
  13. Mithilfe der Richtungspfeile können Sie eine ausgewählte Authentifizierungsdomäne in die Liste "Verfügbar" verschieben. Klicken Sie auf "Speichern". Durch diesen Vorgang wird der Anbieter der Authentifizierungsdomäne zugewiesen. Ein Anbieter kann zu einer oder mehreren Authentifizierungsdomänen gehören, ein Anbieter, für den keine Authentifizierungsdomänen angegeben wurden, kann nicht an den Liberty-Kommunikationen teilnehmen. Klicken Sie auf "Speichern".

  14. Klicken Sie auf "Fertig stellen".

Inhalt