Attribute für den SAML-Dienst
Bei den Attributen für den SAML-Dienst (Security Assertion Markup Language) handelt es sich um globale Attribute. Die ihnen zugewiesenen Werte werden über die gesamte Konfiguration von Sun Java System Access Manager hinweg zugewiesen und an jede konfigurierte Organisation vererbt. (Da die Funktion globaler Attribute in der Anpassung der Access Manager-Anwendung besteht, können sie Rollen oder Organisationen nicht direkt zugewiesen werden.)
Weitere Informationen über die SAML-Dienstarchitektur finden Sie unter Access Manager Developer’s Guide.
Die SAML-Attribute lauten wie folgt:
Site-ID und Name des Site-Herausgebers
Dieses Attribut enthält eine Liste an Einträgen, von denen jeder über eine Objekt-ID, eine Site-ID und den Namen des Site-Herausgebers verfügt. Ein Standardwert wird bei der Installation zugewiesen. Das Format ist folgendermaßen aufgebaut:
instanceid=serverprotocol://servername:anschlussnummer|siteid=site_id|issuerN
ame=Site_Herausgeber_Name
Nach Konfiguration dieses Attributs für SSL (an Quell- und Zielsite) prüfen Sie nach, ob HTTPS// als instanceid-Protokoll verwendet wird.
SAML-Anforderung signieren
Über dieses Attribut wird festgelegt, ob alle SAML-Anforderungen digital signiert (XML DSIG) werden, bevor sie zugestellt werden. Diese Option wird durch Anklicken aktiviert.
SAML-Antwort signieren
Über dieses Attribut wird festgelegt, ob alle SAML-Antworten digital signiert (XML DSIG) werden, bevor sie zugestellt werden. Diese Option wird durch Anklicken aktiviert.
Alle SAML-Antworten, die vom SAML-Web-Post-Profil verwendet werden, sind unabhängig von dieser Auswahl immer digital signiert.
Assertion signieren
Über dieses Attribut wird festgelegt, ob alle SAML-Assertionen digital signiert (XML DSIG) werden, bevor sie zugestellt werden. Diese Option wird durch Anklicken aktiviert.
SAML-Produktname
Über dieses Attribut wird ein Variablenname zu einem SAML-Produkt zugeordnet, das in der SAML-Dienstkonfiguration festgelegt wurde. Ein SAML-Produkt besteht aus größenbeschränkten Daten, die eine Assertion und eine Quellsite identifizieren. Es wird als Teil eines URL-Abfrage-Strings betrachtet und über eine Weiterleitung an die Zielsite weitergegeben. Der Standardwert ist SAMLart. Mit der Standard-SAMLart-Dienstkonfiguration könnte der Abfrage-String zur Weiterleitung beispielsweise wie folgt lauten:
http:/host:port/deploy_URI/SamlAwareServlet?TARGET=http://URL/&SAMLart=artifact
123
Zielangabe
Über dieses Attribut wird der Zielsite-URL, der in der Weiterleitung verwendet wird, ein Variablenname zugewiesen. Der Standardwert ist Ziel.
Produktzeitüberschreitung
Über dieses Attribut wird das Timeout für die Assertion festgelegt, die für ein Produkt erstellt wurde. Der Standardanschluss ist 400.
Verzerrungsfaktor der Assertion für notBefore-Zeitangabe
Dieses Attribut wird verwendet, um die notBefore-Zeitangabe einer Assertion zu berechnen. Beispielsweise ergibt sich bei einem IssueInstant von 2002-09024T21:39:49Z und einem "Verzerrungsfaktor der Assertion für notBefore-Zeitangabe" von 300 Sekunden (Standardwert ist 180) ein Wert für das notBefore-Attribut des Konditionselements für die Assertion von 2002-09-24T21:34:49Z.
Assertion-Zeitüberschreitung
Über dieses Attribut wird angegeben, wie lange eine Assertion fortgesetzt wird, bevor sie wegen Überschreitung des Zeitlimits abgebrochen wird. Der Standardanschluss ist 420.
|
Hinweis
|
Die zulässige Gesamtdauer einer Assertion ergibt sich aus den Werten der beiden Attribute "Verzerrungsfaktor der Assertion für notBefore-Zeitangabe" und "Assertion-Zeitüberschreitung".
|
|
Sites vertrauenswürdiger Partner
Dieses Attribut speichert die Informationen eines Partners, sodass eine Site eine vertrauenswürdige Beziehung zur Kommunikation mit einer anderen Partner-Site aufbauen kann.
Dieses Attribut enthält eine Liste an Einträgen, von denen jeder ein Schlüssel-/Wertepaar (getrennt durch "|") enthält. Die Quell-ID ist für jeden Eintrag erforderlich. Beispielsweise:
SourceID=siteid|SOAPURL=https://servername:anschlussnummer/amserver/SAMLSO
APReceiver|AuthType=SSL|hostlist=ipadresse (oder, Server-DNS-Name oder cert alias)
Die Parameter sind:
Tabelle 0-1 Parameter der Sites vertrauenswürdiger Partner
|
|
SourceID
|
Die 20-Byte-Sequenz, wie in der SiteID und dem Herausgebernamen definiert.
|
Ziel
|
Dieser Parameter ist in einer bestimmten Domäne mit oder ohne Anschlussnummer definiert. Falls Sie eine Webseite kontaktieren möchten, die sich auf dieser angegebenen Domäne befindet, wird durch den Parameter Ziel die Weiterleitung zu einem URL angegeben, der durch die Parameter SAMLUrl oder POSTUrl für die weitere Verarbeitung definiert ist.
Falls zwei Einträge (einer, der eine Anschlussnummer enthält und einer, der keine Anschlussnummer enthält) vorhanden sind, für die dieselbe Domäne im Attribut "Sites vertrauenswürdiger Partner" angegeben wurde, hat der Eintrag mit der Anschlussnummer die höhere Priorität.
Sie verfügen beispielsweise über die folgenden zwei Definitionen für Sites vertrauenswürdiger Partner:
target=sun.com|SAMLUrl=http://machine1.sun.com:8080/amserver/SAMLAwareServlet
und
target=sun.com:8080|SAMLUrl=httyp://machine2.sun.com:80/amserver/SAMLAwareServlet
und suchen nach folgender Seite:
http://somemachine.sun.com:8080/index.html.
Die zweite Definition wird als SAML-Dienstanbieter ausgewählt, da die Domäne und der Anschluss, die übereinstimmend sind, beide im Parameter Ziel vorhanden sind.
|
SAMLUrl
|
Definiert den URL, der den SAML-Dienst bereitstellt. Das im URL angegebene Servlet implementiert das Profil Webbrowser-SSO mit Produkt, das in der Spezifizierung der OASIS-SAML-Verbindungen und -Profile definiert ist.
|
POSTUrl
|
Definiert den URL, der den SAML-Dienst bereitstellt. Das in diesem URL angegebene Servlet implementiert das Profil Webbrowser-SSO mit POST, das in der Spezifizierung der OASIS-SAML-Verbindungen und -Profile definiert ist.
|
issuer
|
Definiert den Ersteller einer in Access Manager generierten Assertion. Die Syntax ist hostname:port.
|
SOAPUrl
|
Gibt den URL für den SOAP-Empfängerdienst an.
|
AuthType
|
Legt den in SAML verwendeten Authentifizierungstyp fest. Es sollte einer der folgenden Werte verwendet werden:
- NOAUTH
- BASICAUTH
- SSL
- SSLWITHBASICAUTH
Dieser Parameter ist optional; wenn kein Wert angegeben wird, wird NOAUTH verwendet.
Ist BASICAUTH oder SSLWITHBASICAUTH angegeben, ist der Parameter "Benutzer" erforderlich und SOAPUrl sollte HTTPS sein.
|
Benutzer
|
Legt die UID des Partners fest, mit der der SOAP-Empfänger des Partners geschützt wird.
|
Version
|
Definiert die SAML-Version, mit der SAML-Abfragen gesendet werden. Geben Sie für die SAML-Version entweder 1.0 oder 1.1 an. Wird dieser Parameter nicht definiert, werden folgende Standardwerte von AMConfig.properties verwendet:
com.example.identity.saml.asertion.version-1.1
com.example.identity.saml.protocol.version=1.1
|
hostlist
|
Dieses Attribut listet die IP-Adressen bzw. die certAlias für sämtliche Hosts auf der angegebenen Partner-Site auf, die Anforderungen an diese Site senden können. Auf diese Art wird gewährleistet, dass der Anforderer auch tatsächlich der beabsichtigte Empfänger für das SAML-Produkt ist.
Befindet sich das Host- oder Clientzertifikat des Requestors in dieser Liste auf der Site des Empfängers, wird der Dienst fortgesetzt. Stimmt das Host- oder Clientzertifikat mit keinem der Hosts oder Zertifikate in der Hostliste überein, lehnt der SAML-Dienst die Anforderung ab.
|
AccountMapper
|
Gibt eine plugfähige Klasse an, die definiert, wie der Betreff einer Assertion mit einer Identität auf der Ziel-Site in Verbindung steht. Der Standardwert ist:
com.sun.identity.saml.plugins.DefaultAccountMa
pper
|
attributeMapper
|
Gibt die Klasse mit dem Pfad an, in dem sich der attributeMapper befindet. Anwendungen können einen attributeMapper entwickeln, um entweder eine SSO-Token-ID oder eine Assertion, die das Attribut AuthenticationStatement enthält, aus der Abfrage zu erhalten. Der Mapper wird dann verwendet, um das Attribut für das Subjekt zu erlangen. Wenn kein attributeMapper angegeben wird, wird DefaultAttributeMapper verwendet.
|
actionMapper
|
Gibt die Klasse mit dem Pfad an, in dem sich der actionMapper befindet. Anwendungen können einen actionMapper entwickeln, um entweder eine SSO-Token-ID oder eine Assertion, die das Attribut AuthenticationStatement enthält, aus der Abfrage zu erhalten. Der Mapper wird dann verwendet, um die Authorisationsentscheidungen für die in der Abfrage enthaltenen Aktionen zu erlangen. Wenn kein actionMapper angegeben wird, wird DefaultActionMapper verwendet.
|
siteAttributeMapper
|
Gibt die Klasse mit dem Pfad an, in dem sich der siteAttributeMapper befindet. Anwendungen können einen siteAttributeMapper entwickeln, um Attribute, die in die Assertion während des SSO integriert werden sollen, zu erhalten. Wenn kein siteAttributeMapper gefunden wird, werden keine Attribute in die Assertion während des SSO integriert.
|
certAlias=aliasName
|
Gibt einen certAlias-Namen an, der zur Verifizierung der Signatur einer Assertion verwendet wird, wenn die Assertion von einem Partner signiert wurde und das Zertifikat des Partners nicht im Abschnitt KeyInfo der signierten Assertion gefunden werden kann.
|
Die nachstehende Tabelle enthält eine Beispielkonfiguration für die Sites vertrauenswürdiger Partner. Nicht alle Parameter sind für alle Verwendungsfälle erforderlich. Die optionalen Parameter stehen daher in Klammern.
|
Absender
|
Empfänger
|
|
|
|
Produkt
|
sourceid
|
sourceid
|
|
Ziel
|
SOAPUrl
|
|
SAMLUrl
|
[accountMapper]
|
|
hostlist
|
[AuthType]
|
|
[siteAttributeMapper]
|
[Benutzer]
|
|
|
[certAlias=]
|
|
|
|
POST-Profil
|
sourceid
|
sourceid
|
|
Ziel
|
issuer
|
|
POSTUrl
|
[accountMapper]
|
|
[siteAttributeMapper]
|
[certAlias=]
|
|
|
|
SOAP-Anforderung
|
|
sourceid
|
|
|
hostlist
|
|
|
[attributeMapper]
|
|
|
[actionMapper]
|
|
|
[certAlias=]
|
|
|
[issuer]
|
|
|
|
POST an Ziel-URLs
Wenn der Target-URL über SSO (entweder Produktprofil oder POST-Profil) von der Site erhalten wird und in diesem Attribut aufgeführt ist, wird/werden die Assertion/Assertionen, die von SSO erhalten wird/werden, an den Ziel-URL in der Form http: FORM POST gesendet. Verwenden Sie in einem POST-Profil nach Möglichkeit keine Test-URLs oder andere Zusatz-URLs.