目录    

创建和管理提供者的步骤

有关本节中所涉及主题的定义,请参见联合管理概念

  1. 选择您想在其中创建提供者的实体。
  2. 在“数据”窗格中,选择身份提供者或服务提供者。
  3. 单击“新建提供者”。
  4. 在通用提供者属性字段中输入信息。包括以下字段:
  5. 提供者 ID。“提供者 ID”应指定提供者的 URL 标识符。“提供者 ID”的值在所有远程和支持的提供者范围内必须是唯一的。

    说明。输入对提供者的说明。

    提供者是本机托管或远程。如果已选取,提供者则是托管(本机)或远程提供者。

    有效期至。在此字段中输入有关提供者的元数据的失效日期。请使用以下格式:

    yyyy-mm-ddThh:mm:ss.SZ

    例如,2004-12-31T12:30:00.0-0800

    高速缓存持续时间。此字段定义要高速缓存元数据的持续时间,使用 xs:duration 格式。

    协议支持枚举。。此字段定义实体支持的协议版本。urn:liberty:iff:2003-08 指身份联合框架 (ID-FF) 1.2,urn:liberty:iff:2002-12 指身份联合框架 (ID-FF) 1.1。

    服务器名称标识符映射绑定。此字段用于定义标识符映射查询将被发送到的身份提供者处的 SAML 授权机构绑定。将要把标识符映射查询发送到的身份提供者。

    其他元数据位置。此字段用于指定提供者的其他相关元数据的位置。

    签名密钥别名。此字段定义签名证书密钥别名,托管(即本地)提供者将使用此别名签署请求和响应。 对远程提供者,这是提供者用于检验签名的公用密钥。

    加密密钥别名。 此字段用于定义安全证书别名。证书与别名保存在 JKS 密钥库这个别名(即安全密钥)可用于获取所需的证书。

    加密密钥大小。此字段限定与另一个实体交互时用户所用密钥的长度。

    加密方法。此字段用于定义加密首选 URI。

  6. 单击“下一步”。
  7. 为通信 URL、信息配置文件、服务提供者(如果提供者是身份提供者,将不再显示这些属性)及代理服务器验证配置属性输入信息。包括以下字段:
  8. 通信 URL

    SOAP 端点 URL。该字段用于指定接收 SOAP 请求的接收器的位置。它用于通过 SOAP 在反向信道上通信(非浏览器通信)。

    单点登录服务 URL。身份提供者使用“单点登录服务 URL”来发送和接收单点登录请求。

    单一注销服务 URL。服务提供者或身份提供者使用“单一注销服务 URL”来发送和接收注销请求。

    单一注销返回 URL。该字段指定注销请求在被处理后重定向的 URL。

    联合终止服务 URL。该字段指定接收联合终止请求的 URL。

    联合终止返回 URL。该字段指定联合终止请求在被处理后重定向的 URL。

    名称注册服务 URL。该字段使用的名称注册协议是服务提供者与身份提供者通信时注册其名称标识符所用的协议。注册只在建立联合会话后进行。该字段用于定义服务提供者向身份提供者注册名称标识符时使用的服务 URL。

    名称注册返回 URL。此字段使用的名称注册协议是服务提供者与身份提供者通信时注册其名称标识符时所用的协议。注册只在建立联合会话后进行。名称注册返回 URL 是身份提供者向其发送注册状态的 URL。

    通信概述

    联合终止配置文件 。您可以选择“SOAP”或“HTTP/重定向”。该字段指定是否将使用 SOAP 或 HTTP/重定向配置文件来通知联合的终止。在提供者生效期间可以随时更改该字段。

    单一注销配置文件。您可以选择“SOAP”或“HTTP 重定向”。该字段指定是否将使用 SOAP 或 HTTP/重定向配置文件来通知注销事件。在提供者生效期间可以随时更改该字段。

    名称注册配置文件。您可以选择“SOAP”或“HTTP/重定向”。该字段指定是否将使用 SOAP 或 HTTP/重定向配置文件来注册名称。在提供者生效期间可以随时更改该字段。

    关系终止通知配置文件。此字段定义了 URI,该 URI 用来说明支持关系终止的实体的配置文件。

    单点登录/联合配置文件。此字段指定托管提供者发送验证请求时使用的配置文件。Access Manager 提供了以下协议:

    • 浏览器 Post - 指定基于 http POST 的正向信道协议。
    • 浏览器辅件 - 基于 SOAP 的反向信道(非浏览器)协议。
    • LECP -启用了 Liberty 的客户机代理。
    • 服务提供者

      对服务提供者仅显示下列属性。

      声明用户 URL。此字段定义提供者将 SAML 声明发送到的提供者端点。

      声明用户服务 URL ID。如果协议支持枚举为 urn:liberty:iff:2002-12,此 ID 是必需的。

      将声明用户服务 URL 设置为缺省值。此选项将声明用户 URL 设置为缺省值。

      签署验证请求。如果启用该选项,则指定提供者发送已签名的验证和联合请求。身份提供者将不会处理服务提供者发出的未签署请求。

      联合后的名称注册。如果启用该选项,服务提供者则可以在进行联合之后参与名称注册。名称注册是一个配置文件,服务提供者依据该文件来指定负责人的名称标识符,身份提供者将使用该名称标识与服务提供者通信。

      名称 ID 策略。该属性值为验证请求的一部分。它确定由身份提供者生成的名称标识符的格式。例如,如果名称 ID 策略值是 federated ,则名称标识符格式是 urn:liberty:iff:2003:federated

      启用附属提供者联合。如果启用,该属性允许根据附属提供者 ID 创建联合。

      Access Manager 配置

      对托管(即本地)提供者仅显示下列属性。

      提供者 URL。此字段定义本地提供者的 URL。

      别名。可在此字段中输入本地提供者的别名。

      验证类型。远程/本地 - 此字段指定托管提供者在收到验证请求时是联系身份提供者进行验证(远程)还是由自己进行验证(本地)。

      缺省验证环境。当身份提供者接收到的服务提供者请求中没有要使用的验证环境时,此字段可指定该验证环境。它还指定在未知用户试图访问受保护的资源时服务提供者所用的验证环境。缺省值包括:

    • Previous-Session
    • Time-Sync-Token
    • Smartcard
    • MobileUnregistered
    • Smartcard-PKI
    • MobileContract
    • Password
    • Password-ProtectedTransport
    • MobileDigitalID
    • Software-PKI
    • 强制在身份提供者处进行验证。此选项指明身份提供者在收到验证请求时是否必须进行重新验证(即使在活动的会话期间)。

      请求身份提供者为被动。如果选择此选项,指定身份提供者不要与负责人相互通信,而必须与用户相互通信

      组织 DN。如果各个托管提供者都选择在不同组织之间管理用户(形成支持的模型),则此字段指定组织 DN 的存储位置。

      Liberty 版本 URI。此字段指定“Liberty”规范的版本。

      名称标识符实现。此字段允许服务提供者选择是否参与名称注册。名称注册是一个配置文件,服务提供者依据该文件来指定负责人的名称标识符,身份提供者将使用该名称标识与服务提供者通信。

      提供者主页 URL。该字段指定提供者的主页。

      单点登录失败重定向 URL。此字段指定提供者的主页。

      启用标识符加密。此属性接受一个在名称 ID 映射过程中用来指明名称标识符加密的变量。

      生成引导搜索的资源提供。启用此选项后,在托管(本地)身份提供商的 ID-FF1.2 单点登录过程中,将会生成引导搜索服务的资源提供数据。然而,引导搜索服务的资源提供数据并不总是必需的(如在非 Web 服务联合部署中就不需要)。禁用此选项则不会生成数据,但会改善 Access Manager 的性能。缺省情况下将启用该选项。

      SAML 属性

      对托管(即本地)提供者仅显示下列属性。

      声明时间间隔。此字段指定身份提供者所发布声明的有效时间间隔。在声明时间间隔到期之前,身份提供者始终会验证负责人。

      清除时间间隔。该字段指定清除存储在身份提供者处的声明的时间间隔。

      辅件超时。此字段指定声明辅件的身份提供者的超时时间。

      声明限制。此字段指定身份提供者可以发布或存储的声明数量。

      代理验证配置

      对托管(即本地)身份提供者不会显示下列属性。

      启用代理验证。如果选择此属性,会为服务提供者启用代理验证。

      代理身份提供者列表。此属性显示能被代理进行验证的身份提供者的列表。

      代理的最大数目。此属性指定身份提供者代理的最大数目。

      对代理使用引入 Cookie。如果启用引入 Cookie,它将用于查找代理身份提供者。

  9. 单击“下一步”。
  10. 输入组织和联系人的值。有关详细信息,请参见添加联系人和组织的步骤

  11. 单击“下一步”。
  12. 选择提供者所属的验证域。
  13. 使用方向箭头将选定的验证域移到“可用”列表中。单击“保存”。这样就将提供者指定给该验证域。一个提供者可以属于一个或多个验证域,但是没有指定验证域的提供者不能参与“Liberty”通信。单击“保存”。

  14. 单击“完成”。

目录