Проверить стс в рса: Проверить автомобиль

Об РСА

Меню раздела

Российский Союз Автостраховщиков является некоммерческой корпоративной организацией, представляющей собой единое общероссийское профессиональное объединение, основанное на принципе обязательного членства страховщиков, осуществляющих обязательное страхование гражданской ответственности владельцев транспортных средств (далее – обязательное страхование), и действующее в целях обеспечения их взаимодействия, формирования и контроля исполнения правил профессиональной деятельности при осуществлении обязательного страхования, а также в целях обеспечения проведения технического осмотра транспортных средств в соответствии с законодательством Российской Федерации.

РСА включен в Реестр объединений субъектов страхового дела под номером – 068 и обладает статусом профессионального объединения страховщиков  в соответствии с Федеральным законом «№ 40-ФЗ.»

РСА — первое профобъединение на страховом рынке, статус которого закреплен законом.

Основной предмет деятельности РСА

Ключевые направления деятельности РСА:

Целями Союза являются:

1) обеспечение взаимодействия членов Союза при осуществлении обязательного страхования, операций в рамках международных систем страхования гражданской ответственности владельцев транспортных средств (далее – международные системы страхования), а также координация их предпринимательской деятельности;

2) формирование правил профессиональной деятельности при осуществлении членами Союза обязательного страхования и операций в рамках международных систем страхования;

3) представление и защита интересов членов Союза, связанных с осуществлением обязательного страхования, а также защита прав потерпевших на возмещение вреда, причиненного их жизни, здоровью или имуществу при использовании транспортных средств иными лицами;

4) обеспечение проведения технического осмотра в соответствии с законодательством Российской Федерации в области технического осмотра транспортных средств;

5) организация информационного взаимодействия и противодействие мошенничеству в страховании в соответствии с законодательством Российской Федерации;

6) реализация иных целей, установленных законодательством Российской Федерации.

Основным предметом деятельности РСА является:

1) обеспечение взаимодействия своих членов при осуществлении ими обязательного страхования и операций в рамках международных систем страхования, разработка и установление обязательных для Союза и его членов правил профессиональной деятельности, а также контроль за их соблюдением;

2) представление и защита в органах государственной власти, органах местного самоуправления, иных органах и организациях интересов членов Союза, связанных с осуществлением ими обязательного страхования и операций в рамках международных систем страхования;

3) осуществление компенсационных выплат и установление размера отчислений страховщиков в резерв гарантий и резерв текущих компенсационных выплат в соответствии с требованиями Федерального закона № 40-ФЗ, а также реализация прав требования, предусмотренных вышеуказанным Федеральным законом;

4)  создание и использование информационных систем, содержащих сведения, представляемые членами Союза об обязательном страховании, о страховании в рамках международных систем страхования, в том числе сведения о договорах обязательного страхования и страховых случаях, персональные данные о страхователях и потерпевших, с обеспечением установленных законодательством Российской Федерации требований о защите информации ограниченного доступа и иные сведения о страховании, предоставляемые страховыми организациями в соответствии с законодательством Российской Федерации;

5) защита в суде интересов членов Союза, связанных с осуществлением ими обязательного страхования и страхования в рамках международных систем страхования;

6) осуществление возложенных на него в соответствии с законодательством Российской Федерации функций по информационному и организационно-техническому обеспечению обязательного страхования, в том числе функций, связанных с деятельностью членов Союза в рамках международных систем страхования;

7) оказание членам Союза консультационных, информационных и иных услуг в области обязательного страхования и в процессе осуществления страховщиками операций по страхованию в рамках международных систем страхования;

8) координация усилий членов Союза, направленных на борьбу с мошенничеством и иными противоправными действиями в области обязательного страхования и страхования в рамках международных систем страхования, а также на противодействие недобросовестной конкуренции;

9) финансирование мероприятий по обеспечению безопасности дорожного движения, уменьшению аварийности транспортных средств и минимизации ущерба при дорожно-транспортных происшествиях;

10) осуществление и финансирование мероприятий по аккредитации участников инфраструктуры рынков обязательного страхования и страхования в рамках международных систем страхования;

11) осуществление взаимодействия с участниками международных систем страхования, а также ведение иной деятельности в соответствии с требованиями этих систем;

12) осуществление международного сотрудничества в интересах членов Союза;

13) осуществление информационно-аналитической деятельности, в том числе подготовка обзоров средств массовой информации по тематике, связанной с деятельностью Союза и осуществлением обязательного страхования;

14) осуществление сбора, обобщения и анализа информации и статистики по интересующим членов Союза вопросам в области обязательного страхования и иных областях, связанных с деятельностью Союза;

15) организация и проведение семинаров, конференций в области обязательного страхования, технического осмотра  и иных областях, связанных с деятельностью Союза;

16) освещение деятельности Союза в средствах массовой информации, проведение пресс-конференций;

17) выпуск информационного бюллетеня и иных периодических изданий в области обязательного страхования и иных областях, связанных с деятельностью Союза;

18) организация обеспечения своих членов бланками страховых полисов обязательного страхования и бланками, используемыми при осуществлении операций по страхованию в рамках международных систем страхования (бланки страховых сертификатов «Зеленая карта»),  осуществление контроля за использованием указанных бланков и размещение на своем официальном сайте в информационно-телекоммуникационной сети «Интернет» полученной от членов Союза информации о количестве бланков страховых полисов, направленных в обособленные подразделения страховщика (филиалы) каждого из субъектов Российской Федерации;

19) осуществление в соответствии с законодательством Российской Федерации в области технического осмотра аккредитации операторов технического осмотра, ведение реестра аккредитованных операторов технического осмотра, контроль за деятельностью операторов технического осмотра на соответствие установленным требованиям аккредитации и правилам проведения технического осмотра;

20) информирование владельцев транспортных средств о порядке оформления документов о дорожно-транспортном происшествии без участия уполномоченных на то сотрудников полиции в соответствии с Федеральным законом № 40-ФЗ;

21) представление по требованиям владельцев транспортных средств, потерпевших, информации о наличии действующего договора обязательного страхования в отношении указанного в требовании лица, номере такого договора и страховщике, с которым он заключен;

22) ведение перечня страховщиков, осуществляющих операции по страхованию в рамках международных систем страхования, и размещение указанного перечня в информационно-телекоммуникационной сети «Интернет»;

23) осуществление иных функций, предусмотренных нормативными правовыми актами Правительства Российской Федерации, нормативными актами Банка России, настоящим Уставом в соответствии с его целями и задачами.

Союз вправе осуществлять в соответствии с законодательством Российской Федерации иную деятельность, отвечающую целям, установленным законодательством Российской Федерации и настоящим Уставом.

Члены РСА

На текущий момент в состав РСА входит 44 страховые компании в статусе действительных членов союза и 2 страховые компании — члены-наблюдатели.

Открытость

РСА является открытым для вступления новых членов. Информацию о правилах вступления в РСА Вы можете узнать в «Правилах вступления в Российский Союз Автостраховщиков новых членов и выхода или исключения членов из него».

Памятка для автовладельцев

ПОДРОБНЕЕ

Банк России

Подробнее

Компенсационные выплаты

Подробнее

Видеоролик «Челюсти» в рамках социальной кампании «Дистанция»

Ошибка при проверке данных в рса

Содержание

1. Зачем в системе нужна проверка?
2. Почему выдается ошибка?
3. Информация введена некорректно
4. В заявлении отсутствуют необходимые документы
5. Модель автомобиля, адрес или прочие параметры написаны не так, как в ПТС
6. Ошибка появилась по вине страховщика
7. Результаты проверки блокируются преднамеренно
8. В системе произошел технический сбой
9. Если в базе РСА неверно указаны данные о водителе или автомобиле
10. Частые проблемы, почему не проходит проверка РСА
11. Причины для проведения проверки РСА
12. Почему не проходит проверка РСА при получении полиса ОСАГО онлайн
13. Проблемы с документами при проверке
14. Водительское удостоверение
15. Что делать, если не проходит по проверке РСА стаж, мощность
16. Не прошел проверку РСА. Что делать?
17. Зачем нужна проверка РСА
18. Когда происходит проверка
19. Что делать, если не прошла проверка РСА
20. Результат ручной проверки в компании
21. Пользователь не прошел проверку в РСА — причины и как их исправить?
22. Как происходит проверка?
23. Почему пользователь не прошёл проверку РСА?
24. Что делать, когда не проходит проверку РСА?
25. Неправильное заполнение формы
26. Неправильно введённый стаж
27. Не удаётся зарегистрироваться
28. Не проходят марка и модель машины
29. Не правильный номер ПТС и СТС

Дистанционное оформление полиса ОСАГО предоставляет много преимуществ автовладельцам. Им не надо тратить на посещение офиса страховой организации свободное время, особенно, если оно и так ограниченно. Во время покупки не навязываются дополнительные услуги, от которых трудно отказаться при личном общении с менеджером.

Но не редко при заполнении электронной формы пользователи сталкиваются с ошибкой системы «информация не прошла проверку в АИС РСА». В некоторых ситуациях проблему можно решить самостоятельно, не обращаясь к страховщику.

Зачем в системе нужна проверка?

Процедура является обязательной, она позволяет страховщикам ознакомиться с историей страхования клиента. Проверка, которая проходит через РСА, нужна, чтобы исключить оформление электронного бланка по поддельным документам.

В базу АИС вносится информация по всем реализованным полисам, в т. ч. о количестве страховых случаев и выплат компенсаций по ним. На основании этих сведений производится точный расчет стоимости полиса ОСАГО по каждому водителю.

Система осуществляет проверку в автоматическом режиме. Сначала пользователь вводит данные из своих документов в форму на сайте страховой организации. После этого они передаются в РСА в зашифрованном виде для сверки с информацией, которую ранее ввели работники страховых компаний.

Если система не обнаруживает никаких расхождений, то пользователю выдается уведомление об окончании процедуры проверки.

В противном случае идентификация водителя не будет завершена, а дальнейшее оформление полиса окажется под запретом.

Почему выдается ошибка?

Пользователи получают ошибки в АИС РСА о не прохождении проверки по одной из следующих причин.

Невнимательные действия, путаница с раскладкой на клавиатуре, указание неправильного наименования документов, автотранспорта и другой информации. Во избежание появления ошибки рекомендуется перепроверить заявление до отправки. Ведь своевременное обнаружение опечаток, пропущенных полей и прочих моментов поможет сократить процесс оформления полиса.

Некоторые страховщики для своих сайтов предусмотрели функцию, которая подсвечивает или выделяет поля с незаполненными участками и ошибками.

В заявлении отсутствуют необходимые документы

Правилами страхования определен перечень документов, которые необходимы для обоих способов оформления полиса ОСАГО. Эти бумаги рассматриваются в страховой компании и проверяются по базе РСА. Автовладельцу надо убедиться, что в форму внесены сведения обо всех документах: результат осмотра ТС, СТС, ПТС, ВУ, диагностическая карта и т.д.

Модель автомобиля, адрес или прочие параметры написаны не так, как в ПТС

Водителю надо проверить данные в паспорте на машину и свидетельстве о его регистрации. Онлайн-оформление страховки доступно только тем, кто уже покупал раньше полис ОСАГО. Поэтому водителю необходимо сверить введенные данные с информацией из предыдущего бланка, т.к. именно ее занесли в базу РСА и по ней проводится проверка.

Ошибка появилась по вине страховщика

Данную проблему может решить только техподдержка. Автовладельцу потребуется связаться с представителем организации и подробно описать возникшую ситуацию. Оператор проведет ручную проверку введенных данных, которая может занять до 1 часа.

По окончании проверки на электронную почту пользователя придет письмо с подробным описанием дальнейших действий и ссылка. Если по ней кликнуть, то автовладелец попадет в личный кабинет на сайте страховщика и сможет продолжить оформление ОСАГО с того места, на котором произошел сбой.

Результаты проверки блокируются преднамеренно

Это случается не часто и только у недобросовестных страховщиков. Подобные методы применяются для отсеивания на этапе подачи заявления невыгодных клиентов. Законодательство запрещает действовать таким образом. Предусматривается взыскание серьезных штрафов и даже отзыв лицензии.

В системе произошел технический сбой

Работа интернета не всегда проходит на должном уровне, в результате чего пропадает связь с базой РСА. Кроме этого, сервис регулярно обновляется и в определенные моменты бывает недоступен. При отсутствии ошибок со стороны пользователя рекомендуется отправить повторный запрос чуть позднее.

Вполне вероятно, связь восстановится и оформление страховки удастся успешно завершить. Чтобы устранить сомнения, автовладелец может связаться с организацией и выяснить, действительно ли в системе произошел сбой и сколько надо подождать до его устранения.

Если в базе РСА неверно указаны данные о водителе или автомобиле

Агенты и менеджеры страховых компаний тоже люди и нередко совершают ошибки при вводе данных по проданным полисам. В таких случаях надо обязательно добиваться исправления информации в базе. Для этого необходимо обратиться в организацию, полис которой еще действует.

На основании поданного заявления сотрудник обязан исправить ошибки в бланке в течение 2-х дней и в базе – за 5 дней.

Если у водителя нет времени на поход в офис, т.к. страховка перестает действовать чуть ли не завтра, то ему придется вводить данные в форму точно так же, как указано в текущем полисе ОСАГО. Но автовладельцу нельзя откладывать посещение страховщика, поскольку за несоответствие информации между бланком и документами полагается штраф.

А в случае попадания в аварию может последовать отказ в возмещении ущерба.

Также ошибка может оказаться не только в данных. Иногда бывают перепутаны поля «ПТС» и «СТС» между собой. То есть сотрудник страховой, вводя информацию в поле для свидетельства указал номер паспорта, и наоборот. Многим пользователям удалось завершить оформление электронного полиса в интернете, поменяв номера этих документов в форме заявления.

Частые проблемы, почему не проходит проверка РСА

Покупка электронного ОСАГО может оказаться под вопросом, если документы на транспорт не проходят проверку в базе Союза автостраховщиков. Причин проблемы может быть множество. Но важно отыскать и исправить ошибку, ведь страховку необходимо оформить вовремя, чтобы не потерять скидку, не стать нарушителем.

О том, почему не проходит проверка РСА, читайте в статье.

Причины для проведения проверки РСА

Для оформления ОСАГО надо вводить данные страхователя, допущенных к управлению водителей, транспортного средства. Точность важна потому, что информация содержится в единой электронной базе. И путаница нежелательна.

Ведь полис покупают ежегодно. А его цена зависит от страховой истории водителя, то есть количества аварий за время действия предыдущего ОСАГО и более ранний период.

Страховку может проверить и сотрудник ГИБДД. В последнее время это делается по электронной базе РСА, так что водителю нет нужды возить с собой бумажный полис. Но если в систему внесена непроверенная информация, документ не найдут, и водителя заставят платить штраф.

А при попадании автомобилиста в тех же обстоятельствах в ДТП материальная ответственность за последствия целиком ляжет на него.

Почему не проходит проверка РСА при получении полиса ОСАГО онлайн

Многие автомобилисты пользуются удобной возможностью приобрести электронный полис автострахования. Но после оплаты и получения документа может обнаружиться, что он не отражается в личном кабинете и отсутствует в базе. Фактически ОСАГО не проходит проверку в РСА. Что служит причиной:

• данные еще не отображены в системе, так как прошло мало времени с момента оформления документа;
• в базе есть технические проблемы.

Иногда полис не проходит проверку РСА после того, как был оформлен непосредственно в страховой компании при личном обращении автовладельца. Здесь виною могут быть:

• ошибка во внесении в базу данных клиента или ТС страховым агентом;
• сведения о полисе еще не успели отправить;
• страховая фирма намеренно не вносит информацию в базу.

Последнее возможно по вине нечестного сотрудника.

Иногда ОСАГО онлайн не проходит проверку РСА потому, что клиент выбрал компанию без лицензии. По существу это фальшивый полис. Исправить ситуацию можно только обращением в суд, а потом покупкой ОСАГО в другой фирме.

Проблемы с документами при проверке

Иногда приобретение ОСАГО онлайн затрудняется на стадии оформления. Автовладелец обнаруживает, что его данные не проходят проверку РСА при попытке зарегистрироваться на сайте страховщика. Здесь тоже может быть несколько причин:

Он сам неправильно вводит информацию, в том числе логии и пароль. Ошибка в одном знаке может привести к тому, что система не воспримет документ. И выдает результатом отказ во входе или регистрации.

Сведения были введены с неточностью при оформлении предыдущего договора. Теперь они так и существуют в базе РСА. А верная информация, которую клиент пытается вбить, воспринимается как ошибочная.

Документы не проходят проверку в РСА потому, что проблема заключается в них самих. Подобное может быть, если машина куплена с дубликатом ПТС, а он фальшивый. Или паспорт, другие бумаги содержат погрешности.

Сайт компании блокирует прохождение проверки нежелательным клиентом (из убыточного региона или с плохой страховой историей). Технически подобное возможно.

Если речь о многократных не пройденных проверках РСА, что делать, зависит от причины проблемы. Собственные ошибки при введении номеров и серий документов автовладелец может исправить сам. Но если они есть в базе, придется обращаться к страховщику, только он сможет их устранить.

Когда дело в погрешностях бумаг на авто, решать ее нужно там, где их выдали.

Смотрите в этом видео о том, как проверить полис ОСАГО на подлинность РСА:

Водительское удостоверение

Права на управление ТС – один из главных документов, сведения о которых нужны при покупке полиса. И если водительское удостоверение не проходит проверку в РСА, оформить страховку невозможно. Подобное бывает при неверном введении номера документа. Но проблема также возникает, если:

• Права менялись в период действия прежнего договора, а владелец не уведомил об этом страховщика. Хотя он должен был это сделать. В подобном случае приходится заново регистрироваться в системе, но скидка на ОСАГО обнулится. Лучше попробовать оформить новый договор по старым правам. А после этого следует написать заявление в страховую о том, что документ был заменен, и сведения о нем надо уточнить.
• Сайт компании плохо работает, или на нем намеренно блокируется функция отслеживания ВУ по базе. Соответственно, оформление ОСАГО не проходит проверку РСА. Но когда клиент лично приезжает в офис, все разрешается. Только его вынуждают к обязательному полису покупать дополнительные услуги.

Паспорт машины – еще один обязательный документ, и при введении информации о нем тоже могут возникнуть проблемы. ПТС не проходит проверку в РСА по следующим причинам:

неверно вбит его номер;

вместо кода паспорта автовладелец набрал цифры из СТС;

в течение периода действия прошлого договора документ заменили дубликатом, а страховщику об этом неизвестно;

есть проблема с самим ПТС.

В третьем случае автомобилисту придется обращаться в страховую. А в последнем – в ГИБДД или к иной инстанции, оформлявшей паспорт машины.

Что делать, если не проходит по проверке РСА стаж, мощность

Попытка купить электронный ОСАГО может завершиться тем, что у автовладельца окажется не пройдена проверка в РСА по мощности двигателя. Причина бывает в особенностях сайта страховщика, когда он не принимает точное обозначение показателя, и число надо округлять. Например, в документах стоит 74,1 л.с., а в поле нужно вводить 74.

Не прошел проверку РСА. Что делать?

Электронное ОСАГО 22.05.2017 79437

Зачем нужна проверка РСА

Проверка РСА в электронных полисах ОСАГО — обязательная процедура. Вы вводите информацию о своем автомобиле, себе (паспортные данные) и водителях, которые будут допущены к управлению. Страховая компания в зашифрованном виде отправляет эти сведения в базу данных РСА.

Проверка по базе РСА проходит в автоматическом режиме. Ее основная цель — проверить были ли у вас раньше полисы, какая по ним страховая история (количество аварий) и корректно рассчитать стоимость полиса.

Когда происходит проверка

Проверка по базе РСА запускается после того, как вы заполнили заявление на страхование для электронного полиса ОСАГО в личном кабинете на сайте страховой компании.

Без положительного прохождения проверки, вы не сможете перейти к оплате полиса.

Что делать, если не прошла проверка РСА

При оформлении электронного полиса ОСАГО на сайте страховой компании вам могут сообщить, что автоматическая проверка РСА не прошла.

Например, в Росгосстрахе это выглядит так:

Чтобы исправить ситуацию, вам предложат загрузить на сайт электронные копии следующих документов:

• паспорт страхователя — основная страница и страница с пропиской;
• паспорт транспортного средства — обе стороны;
• диагностическая карта;
• водительское удостоверение — обе стороны.

Безопасно ли это? Вполне. Доступ в личный кабинет для оформления Е-ОСАГО происходит по защищенному протоколу https (на всякий случай проверьте это в адресной строке браузера). Информация по документам попадет только в страховую компанию, которая не имеет права передавать ее третьим лицам.

Специалисты страховщика вручную проверят в базе данных РСА ваши данные по документам. И в течение 30 минут минут пришлют на электронную почту дальнейшие инструкции. От компании к компании время варьируется, но в среднем ждать дольше получаса не придется.

Результат ручной проверки в компании

Результатом ручной проверки документов сотрудниками страховой компании станет письмо.

К примеру, от Росгосстраха, приходит письмо следующего содержания.

В письме вам сообщат, что по документам у вас все в порядке, и вы всё правильно заполнили в заявлении на Е-ОСАГО.

Здесь же будет ссылка для входа в личный кабинет и продолжения оформления электронного полиса.

Для удобства клиентов, все данные, введенные в личном кабинете, сохраняются. Включая информацию по страхователю, автомобилю и водителям.

Останется только перейти в раздел оплаты и оплатить полис банковской картой.

Пользователь не прошел проверку в РСА — причины и как их исправить?

Наиболее распространённой проблемой, с которой могут столкнуться автолюбители, желающие оформить ОСАГО в онлайн режиме на специализированном сайте страховой компании.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Именно по этой причине, достаточно удобная функция вызывает весьма серьёзные осложнения для водителей с ограниченным временем.

Что делать, если в процессе оформления сервис выдал ошибку «не прошёл проверку РСА», мы поговорим в этой статье.

Как происходит проверка?

Сделать проверку РСА в режиме онлайн возможно следующим способом:

1. Сайт Российского Союза Автостраховщиков находится в полном свободном доступе, поэтому осуществить проверку не представляет проблем.
2. Для проверки действительности полиса достаточно ввести все необходимые данные в соответствующую форму. Так, например, если проверяется готовый полис ОСАГО, то потребуется его номер, а если о водителе, то необходимо будет указание личных данных.

Почему пользователь не прошёл проверку РСА?

Причин, по которой пользователь мог не пройти проверку всего три:

1. Банальная ошибка в ведённых данных. Проверьте всё ещё раз на наличие опечаток. Для удобства сайты некоторых страховых компаний подсвечивают проблемные места или же в открытую перечисляют ошибочные поля.
2. В теории могут быть расхождения в написании модели, адреса или каких либо ещё данных в ПТС и в реальности. Следовательно, следует обязательно производить сверку данных в Паспорте Технического Средства и в Свидетельстве о Регистрации. Более эффективной будет сверка данных согласно старого полиса, т.к. именно эта информация находится в базе данных.
3. Бывает так, что ошибка допущена не вами, а сотрудниками страховой компании. Тут самостоятельно справиться не получится, следует обращаться в техническую поддержку страховой компании, в которой планируется оформлять полис и искать источник проблемы. В качестве хитрости автовладельцы иногда обращаются в сразу несколько страховых компаний, вполне возможно, что таким образом выявить проблему получится быстрее.

Что делать, когда не проходит проверку РСА?

Естественно, что это вполне логичный вопрос, который возникает у любого автолюбителя, столкнувшегося с этой проблемой.

Стоит знать следующее:

1. В случае обнаружения фактической ошибки, можно ввести данные по новой. При этом повторив опечатку из базы данных.
2. В том случае, если ошибка выявлена при ещё действительном страховом полисе, то нужно как можно быстрее обратиться к страховщикам и потребоваться навести порядок.
3. Стоит отметить, что у водителя есть полное право присутствовать непосредственно при внесении данных в базу, а это значит, что есть возможность полностью осуществить контроль за процедурой исправления. При этом обновлённые данные появляются в базе только через несколько дней, именно тогда и можно пробовать проходить проверку по новой.

Неправильное заполнение формы

Если по каким-либо причинам система выдаёт предупреждение, что форма заполнена неправильно, стоит сделать следующее:

1. Во-первых. Потребуется обратить своё пристальное внимание на вписанные данные, велика вероятность, что ошибка допущена именно вами. Внимательно изучите паспорт транспортного средства и свидетельство о регистрации. В случае, если ошибка обнаружена, её следует исправить при повторном заполнении формы
2. Так же, не стоит забывать, что в страховой компании работают живые люди, которым свойственно ошибаться, а следовательно в базу были занесены заведомо не верные сведения. В таком случае стоит обратиться в техническую поддержку страховой компании и установить источник проблемы.
3. В теории, когда проблема будет установлена, можно просто заполнить бланк с необходимыми данными, но также нужно помнить, что хоть и страховка будет действительна, с точки зрения закона такое действие не является верным.

Неправильно введённый стаж

Ещё одной достаточно распространённой ошибкой в работе РСА является неверное указание стажа водителя. По большому счёту это является наиболее простой ошибкой.

И при её возникновении делать нужно следующее:

1. Не редко помогает указание не реального стажа вождения, а срок с даты выдачи последнего водительского удостоверения. Достаточно часто это действительно помогает.
2. Если же такой подход не дал результатов, то потребуется методом подбора осуществлять поиск «начала» вашего стажа, указывая всего года с момента получения первого удостоверения. Примечательно, что месяц при этом не играет никакой роли.

Не удаётся зарегистрироваться

Несостоявшаяся регистрация – так же одна из причин, по которой не удаётся пройти проверку в РСА.

Обратите внимание на следующие нюансы:

1. Внимательно проверьте правильность введения логина и пароля, повторно повторите попытку входа с главной страницы.
2. Воспользуйтесь формной «Восстановить пароль», быть может, вы просто что-то напутали.
3. В случае, если ошибок и опечаток нет, это говорит о том, что вам банально закрыт доступ на сайт. Для решения проблемы потребуется обратиться в офис страховой компании или в службу технической поддержки.

Не проходят марка и модель машины

Возможно, что информация о марке и модели вашего автомобиля отсутствует в базе данных, следовательно, нужно сделать следующее:

1. Стоит сверить данные с прошлогодним страховым полисом, как правило, в нём содержится максимально достоверная информация, которая совпадает с базой данных.
2. Стоит так же изучить внимательно паспорт транспортного средства и свидетельства о регистрации, вполне вероятно, что допущена банальная ошибка в индексе модели.

Не правильный номер ПТС и СТС

Наиболее частой причиной ошибки в номерах ПТС и СТС является то, что при вводе в форму, автовладельцы просто меняют их местами. Происходит это неосознанно и исправляется банально, верным заполнением. Даже если вы уверены в своей правоте, всё же стоит попробовать поменять местами номера Паспорта транспортного средства и свидетельства о регистрации.

Страхование автомобиля – обязательно и не подлежит обсуждению, ведь фактически, никто не знает о том, что может произойти завтра. К тому же уровень культуры вождения на наших дорогах всё ещё достаточно низок и от попадания в ДТП действительно никто не застрахован.

При этом, даже если дорожно-транспортное происшествие произошло не по вашей вине, отсутствие страховки создаст большие проблемы. К слову, при проверке через РСА так же можно выявить и фальшивый полис, который нередко продают мошенники невнимательным автолюбителям.

Это быстро и бесплатно !

проверка водителя через сайт РСА

РСА (Российский союз автостраховщиков) — это автоматизированная информационная система операций, которые проводятся между участниками автострахования. Организация существует с 2002 года и предоставляет необходимые сведения на каждого участника дорожного движения. Основная задача союза — защита клиентов любой страховой компании, а также совершенствование и механизация процесса автострахования. С помощью базы РСА каждый может рассчитать КБМ (коэффициент бонус-малус) и получить скидку за езду без аварий от страховой компании на оформление полиса ОСАГО.

Содержание статьи

• Сайт РСА, его структура, функции
• Что такое база РСА
• Какие данные можно проверить по базе РСА
• Влияние данных РСА на стоимость ОСАГО
• Что делать в случае отсутствия информации в базе РСА
• Заключение

Сайт РСА, его структура, функции

На официальном сайте РСА каждый автовладелец может получить данные, позволяющие рассчитать КБМ в разделе «Помощь страхователю». Показатели напрямую влияют на окончательную цену полиса ОСАГО. Стоимость полиса обязательного страхования автогражданской ответственности определяется водительским стажем и количеством аварийных ситуаций, произошедших за этот срок.

База РСА предоставляет информацию по:

• транспортным средствам;
• собственникам автомобилей;
• страховым случаям;
• статистическим данным;
• договорам, заключённым с 01. 01.2011.

Данные с единого портала РСА доступны всем по ссылке autoins.ru. Для получения сведений не требуется регистрация, процедура осуществляется быстро и бесплатно.

Что такое база РСА

Российский союз автостраховщиков — некоммерческая организация, объединяющая всех участников рынка автострахования. РСА создаёт и реализует правила, которые позволяют автоматизировать, упорядочивать и облегчать страхование ТС в рамках ОСАГО. Организация насчитывает более 115 действующих членов и около 10 наблюдателей.

Основываясь на законе об ОСАГО союз автостраховщиков возлагает на себя обязанности возмещения убытка при ДТП пострадавшему участнику дорожного движения в тех случаях, когда:

• страховая компания обанкротилась или лишилась лицензии;
• виновник происшествия скрылся с места ДТП и уклоняется от ответственности;
• один из участников дорожно-транспортного происшествия не был застрахован.

РСА вводит и контролирует исполнение общих правил автострахования, выступает на стороне потерпевших в вышестоящих органах, а также компенсирует материальный ущерб пострадавшей стороне.

Состоять в союзе выгодно как страховым организациям, так и владельцам транспортного средства.

Какие данные можно проверить по базе РСА

Бесплатная информационная библиотека РСА предоставляет страховщикам и автовладельцам сведения о:

• собственниках ТС;
• основных характеристиках автомобиля;
• оформлении полюсов ОСАГО и страховок;
• выплатах по страховым случаям;
• сроках страхования.

Чтобы проверить КБМ по базе РСА необходимо открыть официальный сайт и выбрать раздел «Сведения для страхователей и потерпевших» из вкладки ОСАГО. Затем открываем вкладку «Сведения для страхователей, необходимые для определения КБМ». Физическим лицам открыт доступ к проверке с ограничением количества водителей и без. Выбираем нужное значение и заполняем представленную на сайте форму.

Внимание! Определить КБМ возможно только для водителей – граждан РФ.

Влияние данных РСА на стоимость ОСАГО

Окончательную стоимость полиса ОСАГО определяет водительский стаж владельца автомобиля и количество страховых случаев. Чтобы узнать примерную цену необходимо зайти на официальный сайт и воспользоваться калькулятором. Для получения необходимой информации нужно ввести данные о владельце ТС, автомобиле, мощности двигателя, сроках договора страхования и эксплуатации транспортного средства, указать водительскую категорию и регион регистрации.

После заполнения всех запрашиваемых полей можно увидеть предварительную стоимость страхового полиса.

[expert_bq id=835]Скидка в рамках бонуса КБМ достигает в отдельных случаях 50-ти процентов, в зависимости от класса аварийности, который присваивается водителю из года в год. Безаварийная езда в течение года поможет существенно сэкономить на получении полиса ОСАГО.[/expert_bq]

В некоторых случаях сведения страхователей в базе РСА могут отсутствовать. Такая ситуация может сложиться из-за технических сбоев в программе (что случается крайне редко), либо по невнимательности сотрудника страховой организации. Поэтому любая страховая компания должна своевременно подавать информацию о своих клиентах.

Если данные автовладельца не удалось найти в базе необходимо обратиться непосредственно в РСА или к действующему страховому агенту.

Чтобы восстановить бонусные накопления и другие утерянные данные при обращении в РСА в заявлении указываются:

• серия и номер паспорта собственника;
• данные транспортного средства;
• дата заключения договора об обязательном страховании;
• наименование страховой компании, с которой был заключён договор.

Обращаясь к страховому агенту при себе нужно иметь паспорт, договор автострахования и водительское удостоверение.

Как в первом, так и во втором случае заявление граждан рассматривается не более 5 рабочих дней. По истечении указанного времени в базу вносят новые данные автовладельца. Если информация не была отредактирована в положенные сроки владелец ТС может составить официальную жалобу на едином портале РСА.

Потеря информации может произойти по причине ошибок при заполнении личных данных водителя или некорректно введённых сведений о транспортном средстве. При смене паспорта или водительского удостоверения необходимо в кратчайшие сроки сообщить об этом в свою страховую фирму.

Заключение

Российский союз автостраховщиков — полезный и надёжный инструмент как для страховых компаний, так и для автовладельцев. В случае дорожно-транспортных происшествий любой застрахованный водитель может гарантированно рассчитывать на возмещение материального ущерба. В свою очередь, страховые организации в случае банкротства или иных форс-мажорных обстоятельств могут не переживать за свою репутацию и своих клиентов.

Благодаря удобному интернет-порталу пользоваться базой РСА могут как физические, так и юридические лица, не выходя из дома.

Какие неприятности с ОСАГО поджидают законопослушного автовладельца — Общество

• Общество
• Страхование и налоги

Российский союз автостраховщиков (РСА) уверяет, будто автовладельцы довольны ОСАГО. Если это так, то зачем же страховщики выпускают для граждан «методички» по борьбе с проблемами в сфере обязательного автострахования?

Максим Строкер

СТРАХОВАЯ КОМПАНИЯ НЕ ПРОДАЕТ ЭЛЕКТРОННЫЙ ПОЛИС

К системе электронных полисов ОСАГО (е-полис) подключены 27 страховых компаний. Фактически же  электронную торговлю ведут лишь двенадцать из них. Что делать, если выбранная тобой страховая компания предпочитает продажи «по-старинке»? По версии РСА, действующее законодательство не обязывает его членов продавать е-полисы. То есть это всего лишь дополнительная опция, еще один канал продаж страховщика, а не его обязанность. Поэтому если нельзя оформить электронный полис на одном сайте, обращайтесь к другому, меланхолически советует РСА .

 

СОТРУДНИК ГИБДД НЕ ВЕРИТ, ЧТО ОФОРМЛЕН E-ПОЛИС

В ПДД сказано, что автовладелец обязан иметь при себе полис ОСАГО. Однако его форма не оговаривается: на бланке государственного образца или в виде распечатки е-полиса. В принципе, все подразделения ГИБДД осведомлены о том, что такое  электронный полис и что при его оформлении не выдается типографский бланк. Но если какой-то сотрудник полиции все же оказывается не в курсе, то просто показывайте ему распечатку. Дело в том, что проверить наличие ОСАГО страж порядка всегда может, связавшись с базой данных АИС РСА – в ней содержится информация обо всех проданных страховщиками полисах.

 

• Общество
• Страхование и налоги

РСА закрывает глаза на обман дисциплинированных водителей

91072

• Общество
• Страхование и налоги

РСА закрывает глаза на обман дисциплинированных водителей

91072

 

ДЕНЕГ, НАЧИСЛЕННЫХ СТРАХОВОЙ, НЕ ХВАТАЕТ НА РЕМОНТ

РСА отвечает на подобную жалобу так: суммы компенсации и не должна покрывать весь ремонт целиком! Страхователи часто забывают о том, что в урегулировании убытка по ОСАГО заложен износ в случае, если происходит замена детали.

 

АГЕНТ НАВЯЗЫВАЕТ ДОПОЛНИТЕЛЬНЫЕ СТРАХОВКИ ПРИ ПОКУПКЕ ОСАГО

Если продажа допстраховки является условием заключения договор ОСАГО, это явное нарушение Правил страховой деятельности, и продавец полисов хорошо об этом осведомлен. Сообщите ему об этом, и если не помогает, доставайте диктофон и записывайте беседу: на это вы тоже имеете полное право. Наличие записи поможет при подаче претензии в эту страховую компанию. На этой стадии даже у самого настырного страхового агента обычно пропадет желание что-либо навязывать. Но если оппонент все же не думает сдаваться – обращайтесь с жалобой в Российский союз автостраховщиков. Это поможет точно.

• Общество
• Страхование и налоги

Сборы по ОСАГО выросли вдвое больше, чем выплаты

15426

• Общество
• Страхование и налоги

Сборы по ОСАГО выросли вдвое больше, чем выплаты

15426

 

НЕ ДАЮТ СКИДКУ ЗА БЕЗАВАРИЙНУЮ ЕЗДУ

Бывает, что человек ездил на протяжении нескольких лет аккуратно, в ДТП не попадал. А платить за новый полис ОСАГО ему вдруг предлагают по максимальной ставке из-за высокого коэффициента бонус-малус (КБМ). Такое бывает в нескольких случаях. Например, когда один и тот же водитель допущен к управлению сразу в нескольких полисах ОСАГО.

Если вы аккуратно ездите на своей машине, а другое авто, в полис ОСАГО которой вы тоже вписаны, не вылезает из аварий (о которых можете даже не подозревать»), ваш КБМ будет велик. Скидки при покупке следующего полиса вам не видать.

Другая причина отказа в скидке может возникнуть потому, что заработанный годами безаварийной езды КБМ теряется если человек хотя бы один год не страховался по автогражданке.

Еще одна совершенно законная возможность для страховщика обнулить КБМ автовладельца возникает, если последний решит застраховать ОСАГО не как водитель, а как владелец машины. Или наоборот, решит из страхователя-владельца превратиться в страхователя-водителя. Например, человек несколько лет страховал машину по ОСАГО «с любым числом допущенных к управлению машиной» (то есть «как владелец»), а потом решил, чт ее будут водить только он и супруга (то есть хочет застраховать «как водитель»). В этом случае весь заработанный КБМ испарится, хоть ты 10 лет ездил на своей машине, ни разу не попав в аварию. Парадокс в том, что закон об ОСАГО, с одной стороны, однозначно требует считать КБМ нового полиса, учитывая данные полиса предыдущего. Но база данных РСА не позволяет сделать это в вышеописанном случае. Такова жульническая природа нынешнего закона об ОСАГО: все на благо страховщика.

• Общество
• Страхование и налоги

Миф об «убыточности» ОСАГО развеяли только после увеличения стоимости полисов

20399

• Общество
• Страхование и налоги

Миф об «убыточности» ОСАГО развеяли только после увеличения стоимости полисов

20399

Подпишитесь на канал «Автовзгляд»:

• Telegram
• Яндекс.Дзен

страхование, ОСАГО, страховые выплаты, РСА — Российский Союз Автостраховщиков, полис страхования

Частые вопросы об оформлении ОСАГО

Скорее всего ваш ответ содержится в этой статье. Она отвечает на распространенные вопросы о процессе покупки полиса через Pampadu.ru. Скорее всего, ответ на ваш вопрос есть тут.

Мы собрали список часто задаваемых вопросов, связанных с процессом покупки и получения полиса, которые поступают в техническую поддержку. Прочитав эту статью, вы с высокой вероятностью найдете ответ на нужный вам вопрос

Вот их список:
— Какие документы нужны для оформления полиса Е-ОСАГО?
— Какие регионы доступны по ОСАГО?
— Сколько водителей можно вписать в полис ОСАГО?
— Когда и как после оплаты я получу полис?
— Как рассчитать полис без диагностической карты?
— Когда нужно указывать данные диагностической карты?
— Как оформить полис по договору купли-продажи?
— Как проверить КБМ водителей в полисе?
— Как проверить полис перед оплатой?
— Как проверить купленный полис?

Если возникнут дополнительные вопросы, вы всегда можете написать в чат поддержки.

Какие документы нужны для оформления полиса Е-ОСАГО?

• Паспорт собственника и страхователя 
• СТС (свидетельство о регистрации транспортного средства) или ПТС (паспорт транспортного средства)
• Водительские удостоверения (тех, кто будет допущен к управлению)
• Диагностическая карт (если машина 2017 года и старше)

Какие регионы доступны по ОСАГО?
У каждой страховой компании свой список регионов, в которых они готовы взять на страхование транспортные средства. У нас доступна к страхованию большая часть регионов РФ, но есть те, которые закрыты для продаж в связи с высокой убыточностью.
Ознакомиться со списком доступных регионов по каждой страховой компании вы можете по ссылке в разделе «Моя комиссия».

Сколько водителей можно вписать в полис ОСАГО?

При оформлении договора возможно внести 5 водителей в полис.
Выбор количества водителей возможен в блоке «Водители». Если у Вас больше 5 водителей, то остальных водителей вы сможете вписать в офисе страховой компании

Когда и как после оплаты я получу полис?

После оплаты договора электронный полис ОСАГО будет доступен для скачивания на странице 3-го этапа оформления. Вместо ссылки на оплату появятся печатные формы для скачивания. Так же полис будет отправлен на емейл-почту, которую вы указывали на первом этапе «Расчёт и оформление».
Как правило, это происходит в течение 3–15 минут, но бывают случаи, когда полис приходит через 50–60 минут или позже. Если вы ждете полис больше 20 минут, напишите в чат технической поддержки.

Как рассчитать полис без диагностической карты?

Если нет диагностической карты, вы можете ввести любой номер диагностической карты. Но из-за этого не все компании согласуют полис на втором этапе (выбор СК).

После того как вы произвели расчёт и озвучили клиенту стоимость полиса, не забудьте вернуться и внести данные настоящей диагностической карты. На решение о согласовании договора также может повлиять отсутствие диагностической карты на автомобиль.

Мы Вам рекомендуем при оформлении полиса всегда вводить верную диагностическую карту.

! Отсутствие диагностической карты может привести к отказу в выплате или аннулированию полиса со стороны страховой компании.

Когда указывать данные диагностической карты?

При оформлении полиса до 22 августа 2021 года необходимо указывать диагностическую карту на автомобили, которые старше 4 лет. Без диагностической карты полис оформлять ЗАПРЕЩЕНО. Если вы введёте не действующий номер ДК, полис будет аннулирован страховой компанией.

После 22 августа 2021 года при покупке полиса ОСАГО проверять диагностические карты не будут. 

Как оформить полис по договору купли-продажи?

Если автомобиль при регистрации в ГИБДД меняет госномера, то в блоке «Транспортное средство» поставьте галочку «Без номера» (в левом верхнем углу блока). В качестве документа на автомобиль указываете серию и номер ПТС (паспорт транспортного средства), так как СТС при постановке на учёт будет выдан новый.

В блоке «Собственник» указываете собственника, который указан в договоре купли-продажи.

После поставки машины на учёт страхователю необходимо обратиться в офис страховой компании и внести новый номер автомобиля в полис Е-ОСАГО, но это не обязательно.

Как проверить КБМ водителей в полисе?

На первом этапе оформления полиса ОСАГО заполните данные по водителю. После этого, нажмите на лупу в поле КБМ. Мы подтягиваем данные о КБМ из базы РСА, чтобы вы могли видеть значения коэффициентов по каждому водителю до запуска расчетов.

Но помните, каждая страховая компания делает запросы в РСА по КБМ самостоятельно и учитывает в расчетах только свои данные. И хоть в редких случаях, но сведения о КБМ могут не совпадать у разных страховых с теми значениями, что мы отображаем на первом этапе оформления.

Чтобы на втором этапе увидеть, какой КБМ в расчете ОСАГО учитывают страховые компании, нажмите на ссылку «Коэффициенты расчета» под стоимостью успешно согласованного договора.

Как проверить полис перед оплатой?

После заполнения всех данных в самом низу страницы найдите надпись «Проверить правильность введенных данных». Нажимайте на нее и еще раз внимательно все просмотрите. Иногда приходится менять данные в уже выпущенном полисе из-за того что недоглядели при оформлении.

Как проверить купленный полис?

Чтобы убедиться в легальности полиса, его всегда можно проверить:

1.  На сайте РСА (Российский Союз Автостраховщиков): https://dkbm-web. autoins.ru/dkbm-web-1.0/policyInfo.htm
2. По телефону горячей линии страховой компании, в которой был куплен полис (назовите серию и номер полиса и попросите проверить его легальность).

как проверить наличие страхового полиса?

Содержание статьи

• Проверка ОСАГО по VIN-номеру автомобиля
• Как по VIN-коду узнать, где застрахован автомобиль?
• Можно ли узнать VIN-код по номеру полиса ОСАГО?

Перед тем как приобрести автотранспортное средство с рук, к примеру, его нужно проверить на наличие действующей страховки. В противном случае мошенники воспользуются юридической неопытностью граждан и укажут информацию о другом авто.

Приобретая машину с пробегом, покупатель рискует не получить достоверные сведения об участии машины в авариях, занятиях прошлого владельца пассажирскими перевозками, скрученном пробеге и ограничениях на регистрацию. Поэтому чтобы обезопасить себя от недобросовестного продавца и дальнейших проблем с правоохранительными органами, следует воспользоваться проверкой ОСАГО по идентификационному номеру.

Проверка ОСАГО по VIN-номеру автомобиля

Данные об автомобиле могут понадобиться не только при покупке, но и после дорожно-транспортного происшествия. Наш сайт подскажет, как проверить наличие страхового полиса ОСАГО по VIN-коду, а также:

• найти номер ОСАГО при помощи государственного номера транспортного средства;
• страховщика, предоставившего услуги владельцу машины;
• посмотреть сведения об ОСАГО, а именно, наличие страховки и сроки.

VIN-код является уникальным идентификационным номером автотранспортного средства. По VIN-коду можно получить необходимую информацию о ТС. Он имеет в общей сумме 17 символов, определяющих страну производителя, период выпуска, характеристику, серию и т. д. Самостоятельная замена деталей, содержащихся в VIN-коде, запрещена. Чтобы совершить какие-либо манипуляции понадобится предварительное разрешение ГИБДД. Поэтому следует проверять информацию СТС, ПТС и оригинальный VIN-код машины. 

Используя данные автомобиля, гражданин может быстро проверить место страхования, узнать номер и вид полиса (имеющий ограничения или без них). Если пробить ОСАГО по VIN-номеру, сведения будут более детальными и быстрыми. К примеру, чтобы получить информацию по государственному номеру нужна передача этих данных страховой компанией, что не всегда возможно. Для получения полной информации по авто на сайте берется дополнительная плата.

Бесплатный отчет выдаст такие данные:

• марку авто;
• год выпуска;
• тип с мощностью двигателя;
• категорию;
• расположение руля.

 

Платная услуга позволит не только узнать номер полиса ОСАГО по VIN-коду, но и получить следующие сведения: сводные данные, информацию по ПТС, регистрационные действия, периоды владения, участие в ДТП, ремонтные работы, пробеги, контрольный символ ВИН, ограничения ГИБДД, угон, история такси, лизинг, утилизация, залоги, ОСАГО, штрафы, технический осмотр, таможня.

Если в полис ОСАГО только недавно были добавлены новые водители или прочие изменения о содержании полиса, нужно учесть, что для обновления базы данных РСА страховщику требуется 5 дней по нормативам. Поэтому спустя 3 дня, к примеру, гражданин может не увидеть новых данных о полисе ОСАГО в базе АИС РСА.

Как по VIN-коду узнать, где застрахован автомобиль?

Можно проверить машину по базе РСА. Для этого следует зайти на официальный сайт РСА, найти вкладку «ОСАГО» и выбрать пункт «Сведения для потерпевших и других участников ДТП о наличии действующего договора ОСАГО в отношении определенного лица или транспортного средства». Далее откроется страница с полями для заполнения, куда потребуется ввести VIN-код проверяемого транспортного средства, а также заполнить другие необходимые поля.

Далее следует пройти проверку на «реальность» человека и нажать кнопку «Поиск». Обратившемуся будут выданы все данные о полисе, т. е. регистрация, серия и номер ОСАГО, страховая компания, где предоставлялась страховка, лица, допущенные к управлению авто согласно договору.

Когда будет произведен поиск полиса ОСАГО по VIN-номеру автомобиля, владелец машины или будущий владелец сможет удостовериться в подлинности и сроках действия официальных документов. Это обязательное условие, так как мошенниками часто создается поддельная документация.

Чтобы проверить этот факт, нужно перейти в соответствующий раздел на сайте РСА, ввести полученную информацию в соответствующие поля, нажать «Поиск». Если данные, выданные сайтом, отвечают указанным в полисе, — договор подлинный. Но следует учесть один момент: статус ОСАГО должен иметь предписание «Находится у страхователя».

Можно ли узнать VIN-код по номеру полиса ОСАГО?

Чтобы узнать VIN-код автотранспортного средства при наличии полиса ОСАГО, следует воспользоваться сайтом РСА. Выбираем вкладку ОСАГО, далее нажимаем «Сведения для страхователей и потерпевших» и вводим необходимые данные в поля для заполнения 

Сервисом выдается информация о страховом полисе, который позволяет узнать VIN-номер по номеру ОСАГО. Но данный способ проверки перечит ФЗ № 152 «О персональных данных», запрещающему размещение в публичном доступе личной информации физических лиц и с получением информации могут возникнуть трудности. Поэтому были внесены изменения, которые разрешают получить информацию о VIN-коде еще несколькими способами:

• на специальных сервисах помимо введения номеров регистрационных знаков вводятся серия и номер водительских прав лица, вписанного в страховой договор по данному транспортному средству;
• на этих же сайтах прописываются серия и номер полиса;
• свидетельство о регистрации транспортного средства или технический паспорт имеет интересующие сведения по ВИН-коду;
• идентификационный номер находится в самой машине.

Получить код можно абсолютно бесплатно. Но неточность и проблемы могут быть с автомобилями, которым более 20 лет, так как возможны частые путаницы. Если обратиться в современный сервис, доля вероятности того, что выведется точная информация, увеличится.

Конечные точки и квоты службы токенов безопасности AWS

Ниже приведены конечные точки службы и квоты для этой службы. Для программного подключения к сервису AWS используется конечная точка. В дополнение к стандарту Конечные точки AWS, некоторые сервисы AWS предлагают конечные точки FIPS в выбранных регионах. Для дополнительной информации, см. конечные точки сервиса AWS. Сервисные квоты, также называемые лимиты — это максимальное количество сервисных ресурсов или операций для вашей учетной записи AWS. Дополнительные сведения см. в разделе Квоты сервисов AWS.

Конечные точки службы

По умолчанию служба токенов безопасности AWS (AWS STS) доступна как глобальная служба, и все запросы STS направляются к одной конечной точке по адресу https://sts.amazonaws.com . AWS рекомендует использовать региональные конечные точки STS, чтобы уменьшить задержку, обеспечить избыточность и увеличить количество сеансов. валидность токена. Большинство региональных конечных точек активны по умолчанию, но вы должны вручную включить конечные точки для некоторых регионов, таких как Азиатско-Тихоокеанский регион (Гонконг). Вы можете деактивировать конечные точки STS для любых регионов, которые включены по умолчанию, если вы не собираетесь использовать эти регионы.

Дополнительные сведения см. в разделе Активация и деактивация AWS STS в AWS Регион в руководстве пользователя IAM .

Название региона	Регион	Конечная точка	Протокол
Восток США (Огайо)	сша-восток-2	sts.us-восток-2.amazonaws.com sts-fips.us-восток-2.amazonaws.com	HTTPS HTTPS
Восток США (Северная Вирджиния)	сша-восток-1	sts.us-восток-1.amazonaws.com sts-fips.us-восток-1. amazonaws.com	HTTPS HTTPS
Запад США (Северная Калифорния)	сша-запад-1	sts.us-west-1.amazonaws.com sts-fips.us-west-1.amazonaws.com	HTTPS HTTPS
Запад США (Орегон)	сша-запад-2	sts.us-west-2.amazonaws.com sts-fips.us-west-2.amazonaws.com	HTTPS HTTPS
Африка (Кейптаун)	аф-юг-1	sts. af-юг-1.amazonaws.com	HTTPS
Азиатско-Тихоокеанский регион (Гонконг)	ап-восток-1	sts.ap-восток-1.amazonaws.com	HTTPS
Азиатско-Тихоокеанский регион (Хайдарабад)	ап-юг-2	sts.ap-юг-2.amazonaws.com	HTTPS
Азиатско-Тихоокеанский регион (Джакарта)	ап-юго-восток-3	sts.ap-southeast-3.amazonaws.com	HTTPS
Азиатско-Тихоокеанский регион (Мельбурн)	ап-юго-восток-4	sts.ap-southeast-4.amazonaws.com	HTTPS
Азиатско-Тихоокеанский регион (Мумбаи)	ап-юг-1	sts. ap-юг-1.amazonaws.com	HTTPS
Азиатско-Тихоокеанский регион (Осака)	ап-северо-восток-3	sts.ap-северо-восток-3.amazonaws.com	HTTPS
Азиатско-Тихоокеанский регион (Сеул)	ап-северо-восток-2	sts.ap-северо-восток-2.amazonaws.com	HTTPS
Азиатско-Тихоокеанский регион (Сингапур)	ап-юго-восток-1	sts.ap-юго-восток-1.amazonaws.com	HTTPS
Азиатско-Тихоокеанский регион (Сидней)	ап-юго-восток-2	sts.ap-юго-восток-2.amazonaws.com	HTTPS
Азиатско-Тихоокеанский регион (Токио)	ап-северо-восток-1	sts. ap-северо-восток-1.amazonaws.com	HTTPS
Канада (Центральная часть)	ca-центральный-1	sts.ca-central-1.amazonaws.com	HTTPS
Европа (Франкфурт)	ес-центр-1	sts.eu-central-1.amazonaws.com	HTTPS
Европа (Ирландия)	ес-запад-1	sts.eu-west-1.amazonaws.com	HTTPS
Европа (Лондон)	ес-запад-2	sts.eu-west-2.amazonaws.com	HTTPS
Европа (Милан)	ес-юг-1	sts. eu-юг-1.amazonaws.com	HTTPS
Европа (Париж)	ес-запад-3	sts.eu-west-3.amazonaws.com	HTTPS
Европа (Испания)	ес-юг-2	sts.eu-юг-2.amazonaws.com	HTTPS
Европа (Стокгольм)	ес-север-1	sts.eu-север-1.amazonaws.com	HTTPS
Европа (Цюрих)	ес-централь-2	sts.eu-central-2.amazonaws.com	HTTPS
Ближний Восток (Бахрейн)	я-юг-1	sts. me-юг-1.amazonaws.com	HTTPS
Ближний Восток (ОАЭ)	ме-центральный-1	sts.me-central-1.amazonaws.com	HTTPS
Южная Америка (Сан-Паулу)	са-восток-1	sts.sa-east-1.amazonaws.com	HTTPS
AWS GovCloud (Восток США)	us-gov-east-1	sts.us-gov-восток-1.amazonaws.com	HTTPS
AWS GovCloud (Запад США)	us-gov-west-1	sts.us-gov-west-1.amazonaws.com	HTTPS

Квоты службы

У этой службы нет квот.

Javascript отключен или недоступен в вашем браузере.

Чтобы использовать документацию Amazon Web Services, должен быть включен Javascript. Инструкции см. на страницах справки вашего браузера.

Условные обозначения документов

Security Hub

AWS SMS

ForgeRock Access Management 6.5 > Руководство по сервису токенов безопасности

Руководство по работе с Security Token Service. ForgeRock® Access Management предоставляет программное обеспечение для аутентификации, авторизации, прав и объединения.

Предисловие

В этом руководстве рассматриваются концепции, настройки и процедуры использования для работы со службой токенов безопасности, предоставляемой ForgeRock Access Management.

Это руководство предназначено для всех, кто использует Security Token Service в AM для управления обменом токенами.

О программном обеспечении ForgeRock Identity Platform™

Платформа ForgeRock Identity Platform™ служит основой для нашего простого и всеобъемлющего решения для управления идентификацией и доступом. Мы помогаем нашим клиентам углублять отношения со своими клиентами, а также повышать производительность и взаимодействие их сотрудников и партнеров. Для получения дополнительной информации о ForgeRock и платформе посетите https://www.forgerock.com.

Глава 1. Знакомство со службой токенов безопасности

Служба токенов безопасности (STS) AM позволяет AM соединять удостоверения через веб-системы и системы управления доступом к корпоративным удостоверениям посредством процесса преобразования токенов.

Веб-службы и запрашивающие стороны (то есть потребители или клиенты) обычно развертываются в разных доменах безопасности и топологиях. Каждому домену может потребоваться определенный тип маркера безопасности для утверждения аутентифицированных удостоверений. STS предоставляет средства для обмена маркерами между этими разными доменами без повторной аутентификации или повторного установления доверительных отношений, в то же время предоставляя запрашивающей стороне доступ к защищенным ресурсам веб-службы.

Служба маркеров безопасности (STS) проверяет, выдает и отменяет маркеры безопасности.

AM предоставляет две службы маркеров безопасности:

• REST STS . AM предоставляет службы маркеров безопасности на основе REST. Обратите внимание, что REST STS не соответствует спецификации WS-Trust, но обеспечивает более простую альтернативу развертывания, чем SOAP STS для преобразования маркеров.

• МЫЛО СТС . AM поддерживает службу маркеров безопасности, полностью совместимую с WS-Trust 1.4.

Спецификация WS-Trust вводит концепцию централизованного компонента среды выполнения, называемого службой маркеров безопасности (STS), которая выдает, отменяет и проверяет маркеры безопасности в сетях на основе SOAP. Модель WS-Trust включает связь между компонентами: запросчиком, веб-службой и STS. В этой главе используются следующие термины:

• Запросчик — это веб-клиент или программный агент, который хочет использовать службу, предлагаемую веб-службой.

• Веб-служба позволяет аутентифицированным и авторизованным клиентам получать доступ к ресурсам или приложениям.

• Поставщик удостоверений хранит утверждения о субъектах и ​​работает с STS для выдачи маркеров безопасности.

• STS действует как доверенная сторонняя веб-служба, которая подтверждает личность запрашивающей стороны в различных доменах безопасности посредством обмена маркерами безопасности и устанавливает доверительные отношения между запрашивающей стороной и поставщиком веб-службы. STS выдает токены на основе своих конфигураций, моделирующих удостоверение данного поставщика удостоверений, и выдает токены конкретной проверяющей стороне.

• Маркер безопасности — это структура данных SOAP STS, представляющая набор утверждений, подтверждающих личность субъекта. Одна претензия представляет собой идентификационную информацию, такую ​​как имя субъекта, возраст, пол и адрес электронной почты.

• Политика безопасности , определенная в WS-SecurityPolicy, определяет необходимые элементы, маркеры, привязки безопасности, поддерживающие маркеры и утверждения протокола, которые являются требованиями для веб-службы для предоставления субъекту доступа к своей службе. Политика безопасности определена в Документ WSDL , представляющий собой XML-файл, в котором указано, что необходимо защищать, какие токены разрешены для доступа, а также требования к передаче для SOAP STS.

1.1. Основные характеристики STS

AM STS выдает, проверяет и отменяет маркеры для установления доверительных отношений между различными доменами безопасности. AM STS предоставляет следующие ключевые функции:

• REST STS . AM предоставляет компонент REST STS, который принимает вызовы REST API к AM для преобразования маркеров безопасности. AM REST STS позволяет клиентам на основе браузера использовать методы протокола HTTP (GET и POST), файлы cookie и перенаправление для аутентификации клиента с помощью STS. Обратите внимание, что REST STS не соответствует спецификации WS-Trust, но предоставляет более простую альтернативу развертывания SOAP STS для преобразования маркеров.

• МЫЛО СТС . AM предоставляет SOAP STS, совместимую с WS-Trust 1.4, которая позволяет администраторам AM публиковать или настраивать службы токенов безопасности. SOAP STS позволяет приложениям с поддержкой SOAP отправлять и получать сообщения SOAP без необходимости перенаправления HTTP для проверки подлинности.

• STS REST и SOAP: преобразования маркеров . AM STS выпускает токены OpenID Connect V1.0 (OIDC) и SAML V2.0 (на предъявителя, владельца ключа, ваучеры отправителя).

  REST STS обеспечивает следующие преобразования маркеров для одного поставщика. (Обратите внимание, что токены типа ввода REST STS не соответствуют спецификации WS-Trust):

  • Токен имени пользователя → OIDC

  • OIDC → OIDC [1]

  6 9. 5028 9.5028 токен → OIDC

  • Токен сеанса AM → OIDC

  • Токен имени пользователя → SAML v2.0

  • Токен X.509 → SAML v2.0

  • Токен OIDC → SAML v2.0

  • Токен сеанса AM → SAML v2.0

  SOAP STS обеспечивает следующие преобразования в SOAP STS: Одиночный поставщик:

  . • x.509 → OIDC. • x.509 → OIDC16.192.192.192.192.
  99999999999999999999999999999999999

  8. или проверьте промежуточный сеанс AM, который был создан во время аутентификации типа входного токена после создания выходного токена.

  REST и SOAP STS: служба публикации . Экземпляры REST или SOAP STS можно настроить с помощью консоли AM или программно. AM предоставляет службу публикации REST STS, которая позволяет публиковать эти экземпляры с помощью POST на конечных точках. Обратите внимание, что опубликованный экземпляр может иметь только один ключ шифрования. Поэтому вам нужен один опубликованный экземпляр для каждого поставщика услуг, к которому намеревается обратиться веб-служба, вызывающая STS. Дополнительные сведения см. в разделе «Служба публикации».

  REST и SOAP STS: пользовательские подключаемые модули утверждения SAML . AM поддерживает настраиваемые операторы утверждений SAML. Вы можете создавать собственные подключаемые модули для операторов Conditions , Subject , AuthenticationStatements , AttributeStatements и AuthorizationDecisionStatements .

  REST STS: пользовательские средства проверки и поставщики токенов . AM REST STS предоставляет возможность настраивать токены, которые по умолчанию не поддерживаются службой STS. Например, вы можете настроить STS для преобразования токена типа CUSTOM в токен SAML V2.0.

  SOAP STS: клиентский SDK . AM предоставляет модуль SDK клиента SOAP STS, позволяющий разработчикам использовать классы Apache CXF-STS. Дополнительные сведения см. в разделе «Использование экземпляров SOAP STS с помощью SDK клиента SOAP STS».

  SOAP STS: элементы ActAs и OnBehalfOf . AM STS поддерживает отношения делегированных и прокси-токенов, как определено элементами ActAs и OnBehalfOf в WS-Trust, которые доступны для токенов имени пользователя и сеанса AM.

  SOAP STS: утверждения привязки безопасности . AM SOAP STS поддерживает утверждения привязки WS-SecurityPolicy, которые защищают обмен данными с STS: транспортный, асимметричный, симметричный.

  SOAP STS: Пользовательский WSDL . AM SOAP STS поставляется с предварительно настроенным файлом WSDL. Вы можете настроить привязки политики, управляющие входными и выходными сообщениями в STS или из нее. Конкретную информацию см. в разделе «Настройка файла WSDL».

  SOAP STS: служба регистрации . AM STS позволяет настраивать записи журнала SOAP-STS с помощью java.util.logging , что позволяет настраивать ведение журнала с помощью файла logging.properties в каталоге Tomcat conf .

  1.2. Отличия STS REST и SOAP

  Основные различия между реализациями REST и SOAP STS в AM приведены в таблице ниже:

  REST STS и SOAP STS

  • USERNAMETOKEN → OIDC
  • OIDC → OIDC
  • x.509 → OIDC
  . .192.		.	.	.		.0025
  • USERNAMETOKEN → SAML V2.0
  • x.509 → SAML v2.0
  • SessionToken → SAML V2.0

  com/xslt/ext/com.nwalsh.saxon.Table» xmlns:xtbl=»xalan://com.nwalsh.xalan.Table» xmlns:lxslt=»http://xml.apache.org/xslt» xmlns:ptbl=»http://nwalsh.com/xslt/ext/xsltproc/python/Table» summary=»REST STS and SOAP STS» border=»0″> Пользовательский тип

  Features	REST STS	SOAP STS
  Endpoints used by consumers	REST	SOAP
  WS-Trust 1.4 compliant?	Нет	Да
  Поддерживаемые типы маркеров ввода	Имя пользователя, X.509, сеанс AM, OpenID Connect	Имя пользователя, сеанс X.509, сеанс AM
  16 Маркер поддержки	Yes	No
  Apache CXF-based client SDK	No	Yes
  ActAs/OnBehalfOf Support	No	Yes
  Deployment	REST endpoints exposed upon instance creation	AM . war и файлы SOAP STS .war должны быть развернуты в отдельных веб-контейнерах для предоставления конечных точек SOAP

  
  

  1.3. Потоки процессов службы токенов безопасности

  «Базовая модель REST STS» иллюстрирует простую топологию REST STS между запрашивающей стороной, веб-службой и STS. Экземпляр STS настраивается с поставщиком удостоверений, который имеет существующие доверительные отношения с веб-службой. Разница между REST STS и SOAP STS заключается в том, что REST STS не строго следует спецификации WS-Trust для форматов входных и выходных маркеров. Однако REST STS предоставляет более простые средства для развертывания экземпляра STS по сравнению с SOAP STS.

  Базовая модель REST STS

  Простой процесс REST STS выглядит следующим образом:

  1. Инициатор запроса делает запрос на доступ к веб-ресурсу.

  2. Веб-служба перенаправляет запросчика на STS.

  3. Инициатор запроса отправляет HTTP(S) POST конечной точке STS. Запрос включает учетные данные, тип ввода токена и желаемый тип вывода токена. Пример запроса curl показан ниже:

      $   curl \
     --запрос POST \
     --header "Тип контента: приложение/json" \
     --данные '{
         "input_token_state": {
             "token_type": "ИМЯ ПОЛЬЗОВАТЕЛЯ",
             "имя пользователя": "демо",
             "пароль": "изменить"
         },
         "output_token_state": {
             "тип_токена": "SAML2",
             "subject_confirmation": "НОСИТЕЛЬ"
         }
     }' \
     https://openam.example.com:8443/openam/rest-sts/username-transformer?_action=translate   

     Или вы можете запустить команду для токена OIDC:

      $   curl \
     --запрос POST \
     --header "Тип контента: приложение/json" \
     --данные '{
         "input_token_state": {
             "token_type": "ИМЯ ПОЛЬЗОВАТЕЛЯ",
             "имя пользователя": "демо",
             "пароль": "изменить"
         },
         "output_token_state": {
             "token_type": "OPENIDCONNECT",
             "одноразовый номер": "12345678",
             «разрешить_доступ»: правда
         }
     }' \
     https://openam. example.com:8443/openam/rest-sts/username-transformer?_action=translate   

  4. STS проверяет подпись, декодирует полезную нагрузку и проверяет, что инициатор запроса выполнил транзакцию. STS проверяет учетные данные запрашивающей стороны, создает промежуточный сеанс AM и, при необходимости, создает маркер CTS для сеанса. Затем STS выдает токен запрашивающей стороне. Если служба STS настроена на аннулирование промежуточного сеанса AM, она делает это. Запросчик перенаправляется на веб-службу.

  5. Запрашивающая сторона предоставляет токен веб-службе. Веб-служба проверяет подпись, декодирует полезные данные и проверяет, что инициатор выдал запрос. Затем он извлекает и проверяет токен и обрабатывает запрос.

  6. Если для сеанса был создан токен CTS, веб-служба может вызвать REST STS для аннулирования токена и соответствующего сеанса AM по запросу.

  «Базовая модель STS SOAP» иллюстрирует базовую топологию SOAP STS между запрашивающей стороной, веб-службой и STS. Экземпляр STS настраивается с поставщиком удостоверений, который имеет существующие доверительные отношения с веб-службой.

  Базовая модель SOAP STS

  Базовая последовательность операций SOAP STS выглядит следующим образом:

  1. Запрашивающая сторона сначала получает доступ к защищенному ресурсу веб-службы. Запрашивающая сторона получает WSDL-файл веб-службы, в котором указаны требования политики для доступа к ее службам.

  2. Запрашивающая сторона создает и настраивает объект STSClient , основной задачей которого является обращение к STS.

  3. STSClient обращается к STS, чтобы получить свой файл WSDL. Каждый опубликованный экземпляр STS предоставляет API, определенный в его файле WSDL. В файле WSDL указаны привязки политики безопасности, которые определяют тип маркера, который они должны предоставить API, и способ защиты этого маркера во время передачи.

  4. STSClient создает и отправляет запрос токена безопасности (RST) в STS. RST указывает, какой тип токена требуется. UsernameToken запрашивающей стороны встроен в конверт SOAP, который содержит RST и используется для проверки подлинности.

     SDK клиента SOAP STS предоставляет классы, шаблоны и документацию, позволяющие разработчикам устанавливать состояние, необходимое для того, чтобы среда выполнения Apache CXF могла генерировать пакет SOAP, содержащий RST, который удовлетворяет привязкам политики безопасности целевой STS.

  5. Служба STS проверяет usernameToken запрашивающей стороны , создает промежуточный сеанс AM и дополнительно создает маркер CTS для сеанса. После успешной аутентификации служба STS формирует ответ на запрос токена безопасности (RSTR), подписывает токен SAML v2.0 и встраивает токен в RSTR. Если служба STS настроена на аннулирование временного маркера, она делает это. Служба STS отправляет ответ на запрос маркера безопасности (RSTR) на STSClient .

  6. STSClient извлекает токен безопасности и отправляет его в заголовке сообщения запроса. STSClient отправляет сообщение веб-службе.

  7. Веб-служба извлекает токен SAML и проверяет подпись, чтобы убедиться, что она получена от STS. Веб-сервис позволяет пользователю, чей идентификатор указан в токене SAML, получить доступ к своему защищенному ресурсу.

  8. Если для сеанса был создан токен CTS, веб-служба может вызвать SOAP STS для аннулирования токена и соответствующего сеанса AM по запросу.

  1.4. О STS

  AM поддерживает собственную REST STS и SOAP STS, совместимую с WS-Trust 1.4, которая преобразует токены из одного типа в токены SAML v2.0 или OIDC. STS можно развернуть в существующих федеративных системах для установления междоменных доверительных отношений с использованием преобразования маркеров.

  AM предоставляет администраторам AM возможность публиковать или настраивать экземпляры STS, каждый со своей собственной конфигурацией политик, программно или через консоль AM.

  AM SOAP STS построен на основе Apache CXF STS, открытой реализации JAX-WS и JAX-RS, а также Apache WSS4j, Java-реализации спецификации WS-Security с открытым исходным кодом.

  1.4.1. О службе REST STS

  AM Служба REST STS обеспечивает более простую альтернативу развертывания SOAP STS для выдачи токенов OpenID Connect 1.0 или SAML v2.0 для одного поставщика услуг. Каждый экземпляр REST STS настроен со следующими элементами:

  • Эмитент . Эмитент соответствует IdP EntityID .

  • SP EntityID . SP EntityID используется в элементе AudienceRestriction оператора Conditions выданного подтверждения.

  • URL-адрес службы поддержки потребителей SP . URL-адрес службы потребителя утверждения SP используется в качестве атрибута Recipient для subjectConfirmation 9.0008 в операторе Subject , который требуется для утверждений носителя в соответствии с профилем Web SSO.

  Для поддержки подписи и шифрования каждый экземпляр REST STS имеет состояние конфигурации, в котором указывается расположение хранилища ключей, содержащее ключи подписи и шифрования:

  • указанный, а также псевдоним и пароль, соответствующие PrivateKey , используемый для подписи утверждения.

  • Если настроено шифрование утверждения , необходимо указать путь к хранилищу ключей и пароль, а также псевдоним, соответствующий X509Certificate поставщика услуг, инкапсулирующий PublicKey , используемый для шифрования симметричного ключа, используемого для шифрования сгенерированного утверждения.

    Обратите внимание, что местоположение хранилища ключей можно указать через абсолютный путь в локальной файловой системе или путь относительно пути к классам AM. Либо все утверждение может быть зашифровано, либо NameID и/или AttributeStatement Атрибуты.

  Все утверждения, составляющие утверждение SAML v2.0, можно настроить. Для каждого экземпляра REST STS можно предоставить настраиваемые подключаемые модули для Conditions , Subject , AuthenticationStatements , AttributeStatements и AuthorizationDecisionStatements . Если вы укажете пользовательские подключаемые модули в состоянии конфигурации опубликованного экземпляра REST STS, пользовательские классы будут использоваться для предоставления конкретных операторов. См. интерфейсы в 9Пакет 0007 org.forgerock.openam.sts.tokengeneration.saml2.statements для получения подробной информации.

  Каждый экземпляр REST STS должен указать контекст аутентификации (то есть AuthnContext ), который будет включен в AuthenticationStatements сгенерированного утверждения. Этот AuthnContext позволяет сгенерированному утверждению SAML v2.0 указывать способ аутентификации субъекта утверждения. Для преобразования токена этот AuthnContext является функцией типа входного токена. По умолчанию следующие Строки AuthnContext будут включены в утверждение SAML v2.0, сгенерированное как часть преобразования следующих типов токенов ввода:

  • AM: urn:oasis:names:tc:SAML:2.0:ac:classes: PreviousSession

  • Токен имени пользователя и токен OpenID Connect: urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

  • X. 509 Token:socs:n SAML:2.0:ac:классы:X509

  Обратите внимание, что эти сопоставления по умолчанию можно переопределить, внедрив интерфейс org.forgerock.openam.sts.token.provider.AuthnContextMapper и указав имя этой реализации в конфигурации опубликованного экземпляра REST STS.

  Если вы заинтересованы в REST STS, вам следует ознакомиться со следующими спецификациями перед настройкой развертывания:

  • SAML V2.0

  • SAML V2.0 Составной список исправлений

  • Профили для языка разметки утверждений безопасности OASIS (SAML) версии 2.0

  • OpenID Connect Core 1.0 с набором исправлений 1

  1.4.2. О SOAP STS

  AM позволяет администраторам AM публиковать экземпляры STS, совместимые с WS-Trust 1.4, каждый с отдельной конфигурацией политики безопасности, и каждый выдает токены OpenID Connect (OIDC) v1.0 или SAML v2.0 (носитель, держатель ключа, и отправитель ручается) утверждений.

  SOAP STS развертывается удаленно из AM в контейнере Tomcat или Jetty. Развертывание AM .war и SOAP STS .war в одном контейнере не поддерживается. Удаленно развернутый файл SOAP STS .war выполняет аутентификацию в AM с учетными данными агента SOAP STS и извлекает состояние конфигурации для всех экземпляров SOAP, опубликованных в своей области, предоставляя веб-службы SOAP, совместимые с WS-Trust, на основе этого состояния конфигурации. Дополнительные сведения см. в разделе «Реализация SOAP STS с помощью консоли AM».

  AM — это центр проверки подлинности для экземпляров STS и его настроенных хранилищ данных, в которых хранятся атрибуты, включенные в токены OIDC, и сгенерированные утверждения SAML v2.0.

  Вы можете опубликовать любое количество экземпляров SOAP STS программно или с помощью консоли AM. Каждый экземпляр публикуется с определенной привязкой WS-SecurityPolicy, которая указывает:

  • Тип поддерживающего токена, подтверждающего личность вызывающего.

  • Способ защиты поддерживающего маркера (симметричный, асимметричный или транспортная привязка).

  Каждый опубликованный экземпляр SOAP STS защищен привязкой политики безопасности, которая указывает, какой тип маркера должен быть представлен для подтверждения личности вызывающего абонента (также известный как маркер поддержки ) и как этот маркер поддержки защищен. Существует три схемы защиты: транспортная, симметричная и асимметричная:

  • Утверждение привязки транспорта . Транспортная привязка используется, когда сообщение защищено на транспортном уровне, например HTTPS, и поэтому не требует явного применения на уровне применения привязки политики безопасности. Конфигурация хранилища ключей SOAP позволяет публиковать экземпляр SOAP STS со ссылкой на состояние хранилища ключей, необходимое для принудительного применения симметричных и асимметричных привязок.

  • Утверждение симметричного связывания . Симметричная привязка используется, когда только одной стороне необходимо создать токены безопасности. При симметричной привязке клиент создает состояние симметричного ключа, используемое для подписи и шифрования сообщений, и шифрует это состояние симметричного ключа с помощью открытого ключа STS и включает зашифрованный симметричный ключ в запрос. Таким образом, конфигурация хранилища ключей SOAP опубликованного экземпляра STS, защищенного симметричной привязкой, должна ссылаться на хранилище ключей с PrivateKeyEntry , чтобы он мог расшифровать симметричный ключ, сгенерированный клиентом.

  • Утверждение асимметричного связывания . Асимметричная привязка используется, когда и клиент, и служба имеют маркеры безопасности. При асимметричной привязке клиентские запросы подписываются с помощью секретного ключа клиента и шифруются с помощью открытого ключа STS. Ответы STS подписываются закрытым ключом STS и шифруются открытым ключом клиента. Сертификат клиента X.509 включается в запрос, поэтому служба STS может проверять подпись клиента и шифровать ответы клиенту, не требуя наличия сертификата X.509 клиента.сертификат в хранилище ключей STS. Однако конфигурация хранилища ключей SOAP опубликованного экземпляра STS, защищенного асимметричной привязкой, должна ссылаться на хранилище ключей с PrivateKeyEntry STS, что позволяет STS как: 1) подписывать сообщения от STS к клиенту, так и 2) расшифровывать сообщения от STS. клиент.

  Доступны следующие привязки:

  • UsernameToken по транспортной, симметричной и асимметричной привязкам

  • Токен сеанса AM по транспортной и незащищенной привязке

  • Примеры сертификатов X.509 в примерах WS-SecurityPolicy версии 1.0

  Утверждение SAML v2.0, определенное в SAML V2.0, содержит элемент Subject , который идентифицирует принципала, который является субъектом утверждений в утверждении. Элемент Subject содержит идентификатор и ноль или более элементов SubjectConfirmation , что позволяет проверяющей стороне проверить предмет утверждения с объектом, с которым взаимодействует проверяющая сторона.

  Элемент SubjectConfirmation содержит обязательный атрибут Method , который указывает URI, идентифицирующий протокол, используемый для подтверждения субъекта. AM STS поддерживает следующие методы подтверждения субъекта:

  • Владелец ключа . Метод подтверждения обладателя ключевого предмета предполагает доказательство связи между предметом и притязаниями. Это достигается путем подписания части сообщения SOAP ключом подтверждения, отправленным в утверждении SAML. Ключ дополнительного доказательства защищает от любых попыток атаки «человек посередине», гарантируя, что утверждение SAML исходит от субъекта, утверждающего, что он запрашивающий.

    URI: urn:oasis:names:tc:SAML:2. 0:cm:holder-of-key

  • Ваучеры отправителя . Метод подтверждения субъекта-отправителя используется в тех случаях, когда у вас есть прокси-шлюз, который распространяет удостоверение клиента через сообщения SOAP от имени клиента. Прокси-шлюз должен защищать сообщение SOAP, содержащее утверждение SAML, чтобы веб-служба могла убедиться, что оно не было подделано.

    URI: urn:oasis:names:tc:SAML:2.0:cm:sender-vouches

  • Предъявитель . Метод подтверждения субъекта-носителя предполагает, что между субъектом и утверждениями существует доверительное отношение, и, таким образом, при использовании токена-носителя не требуются ключи. Никаких дополнительных действий для подтверждения или установления родства не требуется.

    Поскольку клиенты на основе браузера используют токены-носители, а ключи не требуются, вы должны защищать сообщение SOAP с помощью механизма транспортного уровня, такого как SSL, так как это единственное средство защиты от атак «человек посередине». .

    URI: urn:oasis:names:tc:SAML:2.0:cm:bearer

  Если вы заинтересованы в SOAP STS, вы должны быть знакомы со спецификациями SOAP STS:

  • SAML V2 .0

  • SAML v2.0 Errata Composite

  • Профили для языка маркировки на основе безопасности OASIS (SAML) v2.0

  • OpenD Connect CORE 1,0.0003

  • WS-Trust

  • WS-SecurityPolicy

  • WS-SecurityPolicy Examples Version 1.0

  • WS-Metadata Exchange

  • UserNameToken

  • X509Token

  • SAMLTokenProfile

  1.4.2.1. Поддержка делегированных отношений в SOAP STS

  SOAP STS поддерживает возможность выдачи утверждений SAML с помощью метода подтверждения субъекта, подтверждающего отправителя. Ваучеры отправителя используются в развертываниях прокси-сервера, таких как прокси-шлюз, где шлюз запрашивает утверждение SAML с подтверждением подтверждения отправителем от STS.

  В этом случае учетные данные запрашивающего устанавливаются в элементах OnBehalfOf и ActAs в запросе токена безопасности (RST), включенном в вызов Issue . Шлюз вызывает STS, и учетные данные шлюза удовлетворяют привязкам политики безопасности, защищающим STS. Наличие элементов OnBehalfOf и ActAs вместе с типом токена SAML v2.0 и типом ключа PublicKey инициирует выдачу утверждения отправителя vouches SAML v2.0.

  Ваучеры отправителя STS

  
  

  Служба STS запускает средства проверки маркеров, которые подтверждают подлинность маркера ActAs или On BehalfOf .

  Конфигурация SOAP STS указывает, поддерживаются ли в STS отношения делегирования маркеров в элементах ActAs и OnBehalfOf . Если делегирование токенов поддерживается, в конфигурации также указываются типы токенов, которые валидаторы токенов используют для проверки ActAs и OnBehalfOf элементов токена.

  При вызове запроса маркера безопасности (RST) Имя пользователя и маркеры AM поддерживаются для элемента OnBehalfOf . Кроме того, вы можете указать, что экземпляр SOAP STS должен быть развернут с указанной пользователем реализацией интерфейса обработчика делегирования маркера, org.apache.cxf.sts.token.delegation.TokenDelegationHandler .

  Обработчик делегирования маркеров по умолчанию используется, если не настроен пользовательский обработчик делегирования маркеров. Обработчик делегирования токенов по умолчанию отклоняет отношение делегирования, если для принципала токенов задано значение null в параметрах делегирования токенов (то есть TokenDelegationParameters), как в случае, когда ни один валидатор токенов не проверил ActAs и Токен OnBehalfOf . Таким образом, если вы хотите, чтобы экземпляр STS поддерживал элементы ActAs и OnBehalfOf , необходимо указать одно из двух следующих свойств конфигурации:

  • Свойство Delegation Relationships Supported.

  • Один или несколько типов делегированных токенов. Например, AM или Имя пользователя , для которого развернуты валидаторы токенов для проверки ActAs или OnBehalfOf токенов и/или пользовательский обработчик делегирования токенов.

  1.4.2.2. Пример развертывания прокси-шлюза STS

  Предположим, вы хотите развернуть SOAP STS для получения запросов от прокси-шлюза и выдачи утверждений SAML v2.0 с методом подтверждения отправителем. Шлюз отправляет утверждение SAML v2.0, подтверждающее подлинность клиента шлюза и подтверждающее его подлинность.

  Предположим, что развертывание SOAP STS имеет привязку политики безопасности, требующую представления X.509сертификат. Эта привязка политики безопасности может быть выполнена путем предоставления сертификата X.509 шлюза. Однако утверждение SAML v2.0, выданное SOAP STS, должно подтверждать идентичность клиента шлюза, который представляет свою идентичность шлюзу либо в виде комбинации <имя пользователя, пароль>, либо в виде сеанса AM.

  В этом случае в опубликованной STS SOAP будет указана политика безопасности на основе X.509, поддерживаемые отношения делегирования, а также будут ли и AM, и Имя пользователя 9Должны поддерживаться типы токенов 0008. Нет необходимости указывать пользовательский обработчик делегирования токена.

  Кроме того, экземпляр SOAP STS должен быть опубликован с сопоставлениями целей аутентификации, которые определяют, как имя пользователя должен быть представлен в контексте аутентификации RESTful AM. Затем код шлюза создает запрос на вызов токена безопасности (RST) с использованием классов в модуле openam-sts/openam-soap-sts/openam-soap-sts-client и включает <имя пользователя, пароль клиента шлюза. > или состояние сеанса AM как Элемент OnBehalfOf . Этот параметр позволяет шлюзу использовать SOAP STS для выдачи утверждений SAML v2.0 с помощью метода подтверждения отправителя, который подтверждает личность клиента шлюза, соответствующего представленному <имя пользователя, пароль> или состоянию сеанса AM.

  Если позднее вы захотите исключить или внести в черный список некоторых пользователей от получения утверждений SAML v2.0, независимо от наличия у них действительного <имя пользователя, пароль> или состояния сеанса AM, вы можете обновить STS SOAP с помощью класса имя реализации обработчика делегирования токенов, которая будет реализовывать эту функциональность черного списка. МЫЛО СТС .war файл необходимо будет создать заново с этим файлом в пути к классам. Обработчик делегирования токена может отклонить вызов для пользователей или принципалов из черного списка.

  1.5. Проверка входных маркеров

  Преобразования маркеров STS проверяют входные маркеры перед созданием выходных маркеров. STS использует модули и цепочки аутентификации AM для проверки токена. При развертывании службы STS необходимо настроить проверку подлинности AM, чтобы она могла проверять входные токены.

  В этом разделе описываются требования к конфигурации аутентификации для имени пользователя, X. 509 и токенов OpenID Connect Connect. При использовании токенов сеанса AM в качестве входных токенов в преобразованиях токенов специальной конфигурации аутентификации не требуется.

  Поскольку экземпляры REST STS не являются частью защищенной среды, такой как WS-Trust 1.4, в этом разделе также упоминаются вопросы безопасности, которые следует учитывать при отправке маркеров по сети в экземпляр REST STS.

  В дополнение к настройке проверки подлинности AM для поддержки проверки входного токена необходимо указать модуль или цепочку аутентификации, которые будут использоваться для проверки каждого типа входного токена. Для этого настройте свойство Authentication Target Mappings в конфигурации экземпляра STS. Дополнительные сведения об этом свойстве см. в разделе «Справочник».

  1.5.1. Проверка токенов имени пользователя

  Токены имени пользователя, переданные экземпляру REST STS, содержат комбинацию имени пользователя и пароля в открытом виде. Токены можно проверять с помощью модуля любого типа, поддерживающего аутентификацию по имени пользователя и паролю, включая хранилище данных, LDAP и т. д.

  Если имена пользователей и пароли указаны в открытом виде, обязательно настройте развертывание с соответствующим уровнем безопасности. Разверните экземпляры REST STS, которые поддерживают преобразование входных токенов имени пользователя в TLS.

  1.5.2. Проверка маркеров сертификата X.509

  Экземпляры REST STS могут получать сертификаты X.509, используемые в качестве входных маркеров, двумя способами:

  • Из ключа заголовка, определенного в свойстве ключа заголовка сертификата клиента экземпляра REST STS. В этом случае служба STS также подтверждает, что запрос пришел с хоста, указанного в свойстве Trusted Remote Hosts.

  • Из атрибута javax.servlet.request.X509Certificate в ServletRequest. Экземпляр REST STS получает X.509сертификат из ServletRequest, если ключ заголовка не настроен в свойстве ключа заголовка сертификата клиента.

  Модуль сертификата AM аутентифицирует входной токен сертификата X. 509. Модуль дополнительно выполняет проверку списка отзыва сертификатов (CRL) или онлайн-протокола статуса сертификата (OCSP), а также может дополнительно проверять, находится ли указанный сертификат в хранилище данных LDAP.

  Если сертификаты передаются в REST STS с помощью заголовков HTTP, необходимо настроить свойства Trusted Remote Hosts и Http Header Name для сертификата клиента в модуле Certificate, чтобы они соответствовали конфигурации экземпляра REST STS.

  1.5.3. Проверка токенов OpenID Connect

  Для проверки входных токенов OpenID Connect экземпляр REST STS должен ссылаться на модуль аутентификации носителя id_token OpenID Connect в свойстве Authentication Target Mappings.

  Настройте модуль проверки подлинности следующим образом:

  • Укажите заголовок в поле Имя заголовка, ссылающийся на свойство ID Token. Свойство Target Authentication Mapping экземпляра REST STS должно ссылаться на тот же заголовок.

  • Укажите имя издателя в свойстве Имя издателя токена идентификатора OpenID Connect и настройте URL-адрес обнаружения издателя токена, URL-адрес JWK или секрет клиента в свойстве значения конфигурации проверки OpenID Connect.

  • Если входящие токены OpenID Connect содержат утверждений azp , укажите действительные утверждения в свойстве «Список разрешенных авторизованных сторон».

  • Если входящие токены OpenID Connect содержат утверждения и , укажите допустимое утверждение в свойстве Аудитория.

  • Настройте сопоставления атрибутов, чтобы утверждения JWK сопоставлялись с атрибутами в пользовательском хранилище AM.

  Дополнительные сведения о свойствах модуля аутентификации носителя id_token OpenID Connect см. в разделе «Модуль носителя OpenID Connect id_token» в Руководстве по аутентификации и единому входу .

  
  

  ---

  ^[1] Например, вы можете преобразовать OIDC, выпущенный Google, в OIDC, выпущенный AM STS.

  Глава 2. Внедрение службы токенов безопасности

  В этой главе рассматривается реализация компонентов AM REST и SOAP STS.

  2.1. Реализация STS с помощью консоли AM

  В этом разделе рассматриваются следующие задачи:

  • «Реализация STS REST с помощью консоли AM»

  • «Реализация SOAP STS с использованием консоли AM»

    88 Реализация REST STS с помощью консоли AM

    Чтобы реализовать REST STS с помощью консоли AM, добавьте один или несколько экземпляров REST STS в свое развертывание AM.

    Чтобы настроить экземпляр REST STS с помощью консоли AM, перейдите к Realms > Имя области > STS > Экземпляры REST STS и нажмите кнопку Добавить.

    Дополнительные сведения о свойствах конфигурации STS см. в разделе «Свойства конфигурации REST STS».

    Экземпляр REST STS также можно настроить программно. Дополнительные сведения см. в разделе «Публикация экземпляров REST STS».

    2.1.2. Внедрение SOAP STS с помощью консоли AM

    SOAP STS развертывается удаленно из AM в контейнере Tomcat или Jetty.

    Удаленно развернутый файл SOAP STS .war выполняет аутентификацию в AM с учетными данными агента SOAP STS и извлекает состояние конфигурации для всех экземпляров SOAP, опубликованных в своей области, предоставляя веб-службы SOAP, совместимые с WS-Trust, на основе этого состояния конфигурации.

    В этом разделе описывается процесс развертывания экземпляров SOAP STS. Чтобы развернуть экземпляр SOAP STS, вы создаете агент, который развертывание SOAP STS использует для аутентификации в AM, затем настраиваете экземпляр, подготавливаете каталог развертывания, запускаете мастер для упаковки экземпляра в . war и разверните файл .war в веб-контейнере.

    Если в одной области настроено несколько экземпляров службы маркеров безопасности SOAP, развертывание службы службы маркеров безопасности SOAP, созданное мастером, поддерживает все экземпляры службы службы маркеров безопасности SOAP области. Их конфигурации упакованы вместе в один файл .war , и они используют один и тот же агент для аутентификации в AM.

    2.1.2.1. Создание агента SOAP STS

    Развертывание SOAP STS должно выполняться в отдельном от AM веб-контейнере. Они получают доступ к AM для выполнения следующих задач:

    • Для получения конфигурации экземпляров SOAP STS, опубликованных в области развертывания SOAP STS

    • для аутентификации вспомогательных токенов, указанных в Политике безопасности

    • для запроса Token Creation

    9667019670101796701017967010101796701017967.

    Чтобы получить доступ к AM для выполнения этих задач, развертываниям SOAP STS требуется удостоверение, которое они могут использовать для аутентификации в AM, прежде чем они смогут запрашивать услуги AM.

    Развертывания SOAP STS используют идентификатор агента для аутентификации в AM. Обратите внимание, что даже если в развертывании имеется несколько экземпляров службы маркеров безопасности SOAP, вам потребуется только один идентификатор агента для всего развертывания, а не один идентификатор агента для каждого экземпляра службы маркеров безопасности SOAP.

    Чтобы создать идентификатор агента для развертывания SOAP STS

    1. Перейдите к Realms > Realm Name > Applications > Agents > SOAP STS Agent.

    2. Щелкните Добавить агент STS SOAP, чтобы создать новый агент.

    3. Укажите идентификатор агента и пароль.

    4. Укажите интервал опроса.

       Свойство Poll Interval указывает, как часто развертывание службы маркеров безопасности SOAP связывается с AM для получения изменений в конфигурации экземпляров службы маркеров безопасности SOAP, опубликованных в развертывании службы маркеров безопасности SOAP. Опрос AM позволяет развертыванию SOAP STS обнаруживать изменения конфигурации экземпляров SOAP STS, удаление экземпляров SOAP STS в развертывании и добавление новых экземпляров SOAP STS в развертывание.

    5. Нажмите «Создать».

    На следующем этапе процесса развертывания вы запускаете мастер создания развертывания Soap STS. Мастер предлагает указать имя и пароль агента службы маркеров безопасности SOAP, а затем настраивает развертывание службы службы маркеров безопасности SOAP для использования удостоверения агента для проверки подлинности в AM.

    2.1.2.2. Настройка экземпляра SOAP STS

    Чтобы настроить новый экземпляр SOAP STS с помощью консоли AM, перейдите к Realms > Realm Name > STS > Экземпляры SOAP STS и нажмите кнопку Добавить.

    Дополнительные сведения о свойствах конфигурации STS см. в разделе «Свойства конфигурации SOAP STS».

    Вы также можете настроить экземпляр SOAP STS программно. Дополнительные сведения см. в разделе «Публикация экземпляров SOAP STS».

    2.1.2.3. Подготовка каталога развертывания

    Перед запуском мастера развертывания SOAP STS, который создает файл .war для экземпляра SOAP STS, необходимо подготовить каталог с содержимым, которое мастер использует в качестве входных данных.

    To Prepare the Deployment Directory

    Prepare the deployment directory as follows:

    1. Create a subdirectory in the AM installation directory named soapstsdeployment :

        $     cd   /path/to/openam     
       $   mkdir soapstsdeployment   

    2. Создайте файл сервера SOAP STS .war и скопируйте его в каталог развертывания:

       1. Если вы еще этого не сделали, загрузите репозиторий git, содержащий исходный код AM.

          Информацию о загрузке и компиляции исходного кода AM можно найти на веб-сайте forgerock. org. На веб-сайте также перечислены предварительные условия для компиляции исходного кода. Прежде чем продолжить, убедитесь, что ваша система соответствует этим требованиям.

       2. Проверьте тег в репозитории исходного кода для этого выпуска AM.

       3. Создание сервера SOAP STS .war файл:

           $   cd  /path/to/openam-source   
          $   cd openam-sts/openam-soap-sts/openam-soap-sts-server  
          $   mvn install   

       4. Скопируйте файл сервера SOAP STS .war в каталог развертывания:

           $   cd target  
          $   cp openam-soap-sts-server-6.5.5.war  /path/to/openam  /soapstsdeployment   

    3. Скопируйте все хранилища ключей, указанные во всех конфигурациях экземпляров SOAP STS в области, в каталог /path/to/openam /soapstsdeployment . Хранилища ключей настраиваются в следующих полях: Realms > Имя области > STS > SOAP STS Instances > Имя экземпляра :

       • Расположение хранилища ключей Soap (в разделе Конфигурация хранилища ключей Soap) раздел конфигурации токена SAML2)

       • KeystoreLocation (в разделе конфигурации маркера OpenIdConnect)

    4. Если вы указали пользовательские файлы WSDL в конфигурации экземпляра SOAP STS для одного или нескольких экземпляров SOAP STS в области, скопируйте все настраиваемые файлы WSDL в каталог /path/to/openam /soapstsdeployment . Пользовательские файлы WSDL указаны в разделе Пользовательский файл wsdl.

       Дополнительные сведения о настраиваемых файлах WDSL в развертывании SOAP STS см. в разделе «Настройка файла WSDL».

    2.1.2.4. Запуск мастера для создания развертывания

    После подготовки каталога развертывания можно запустить мастер, создающий файл SOAP STS развертывания . war .

    Запуск мастера для создания файла .war развертывания SOAP STS

    Запустите мастер следующим образом:

    1. В консоли AM перейдите к Realms > Realm Name > Dashboard, где Realm Name — это область, в которой вы настроили один или несколько экземпляров SOAP STS.

    2. Щелкните Создать развертывание Soap STS.

       Появится страница Общие задачи > Создать развертывание Soap STS.

    3. Еще раз щелкните Создать развертывание Soap STS.

       Появится страница «Настройка развертывания Soap STS».

    4. Укажите значения на странице «Настройка развертывания STS Soap» следующим образом:

       Область развертывания STS Soap

       Область, в которой вы настроили один или несколько экземпляров SOAP STS.

       URL-адрес OpenAM

       URL-адрес развертывания AM. Например, https://openam.example.com:8443/openam .

       Имя агента STS SOAP, Пароль агента STS SOAP

       Имя и пароль агента, которые вы определили при создании агента STS SOAP. Создание агента службы маркеров безопасности SOAP описано в разделе «Создание агента службы маркеров безопасности SOAP».

       Имена настраиваемых файлов wsdl

       Имена всех настраиваемых файлов WSDL, определенных в конфигурациях экземпляра SOAP STS в области. Все файлы, которые вы укажете в этом поле, должны были быть скопированы на /path/to/openam /soapstsdeployment при подготовке каталога развертывания.

       Имена файлов хранилища ключей

       Имена файлов всех хранилищ ключей, которые определены в конфигурациях экземпляров SOAP STS в области. Все файлы, указанные в этом поле, должны были быть скопированы в каталог /path/to/openam /soapstsdeployment при подготовке каталога развертывания.

    5. Нажмите «Создать».

       Если мастер работает успешно, появляется сообщение о том, что AM успешно создала файл развертывания SOAP STS .war с именем deployable-soap-sts-server_ timestamp . war . в каталоге /path/to/openam /soapstsdeployment .

       Если мастер не запускается успешно, исправьте ошибку и перезапустите мастер.

    2.1.2.5. Добавление настраиваемых классов в развертывание SOAP STS

    Можно расширить стандартные возможности развертывания SOAP STS с помощью следующих типов настраиваемых классов:

    • Обработчики делегирования маркеров, которые проверяют учетные данные, установленные в элементах ActAs и OnBehalfOf маркеров безопасности запроса.

      Настраиваемые обработчики делегирования токенов настраиваются в разделе Области > Имя области > STS > Экземпляры STS SOAP > Имя экземпляра > Развертывание > Пользовательские обработчики делегирования.

    • Классы, которые переопределяют строки AuthnContext по умолчанию, включенные в сгенерированные утверждения SAML v2.0.

      Эти классы настраиваются в разделе Области > Имя области > STS > Экземпляры SOAP STS > Имя экземпляра > Выданная конфигурация токена SAML2 > Имя класса пользовательского контекста аутентификации.

    • Классы, предоставляющие утверждения acr в сгенерированных токенах OpenID Connect.

      Эти классы настраиваются в Realms > Имя области > STS > Экземпляры SOAP STS > Имя экземпляра > Конфигурация токена OpenIdConnect > Пользовательский класс сопоставления контекста аутентификации.

    • Классы, предоставляющие утверждения amr в сгенерированных токенах OpenID Connect.

      Эти классы настраиваются в разделе Realms > Имя области > STS > SOAP STS Instances > Имя экземпляра > Конфигурация токена OpenIdConnect > Пользовательские методы аутентификации ссылаются на класс сопоставления.

    Чтобы включить любую из предыдущих настроек в развертывание SOAP STS, объедините настраиваемые классы в файл развертывания SOAP STS .war в разделе контекст развертывания /WEB-INF/classes .

    2.1.2.6. Развертывание экземпляра SOAP STS в веб-контейнере

    После запуска мастера создания развертывания SOAP STS вы развертываете файл SOAP STS . war , созданный мастером, в веб-контейнере.

    Для развертывания файла SOAP STS .war в веб-контейнере

    Разверните файл .war следующим образом:

    1. AM поддерживает следующие веб-контейнеры для развертывания SOAP STS: контейнеры для развертывания SOAP STS, убедившись, что номера портов, которые вы указываете в конфигурации веб-контейнера, не конфликтуют ни с какими активными портами на узле, на котором вы будете запускать веб-контейнер.

    2. Скопируйте файл развертывания SOAP STS .war из каталога /path/to/openam /soapstsdeployment в каталог /path/to/soap-sts-web-container /webapps , переименовав файл для удаления двоеточий в имени файла. Например:

        $   cd  /path/to/openam  /soapstsdeployment  
       $   cp deployable-soap-sts-server_  метка времени  .war mySOAPSTSDeployment.war  
       $   cp mySOAPSTSDeployment. war  /path/to/soap-sts-web-container  /webapps   

       Упрощение имени файла .war устраняет ошибки запуска веб-контейнера, возникающие, когда имя файла содержит определенные символы.

    3. Запустите веб-контейнер развертывания SOAP STS.

    4. Проверьте файл журнала веб-контейнера на наличие ошибок. Если обнаружены ошибки, исправьте ошибки и перезапустите веб-контейнер.

    5. Если вы хотите убедиться, что агент SOAP STS успешно подключается к AM, включите ведение журнала отладки на уровне сообщений в AM, а затем перезапустите веб-контейнер развертывания SOAP STS. Дополнительные сведения о том, как включить ведение журнала отладки на уровне сообщений, см. в разделе «Журнал отладки» в Руководстве по установке и обслуживанию .

       Просмотрите журнал отладки сеанса . Вы должны увидеть записи в журнале, демонстрирующие, что агент SOAP STS успешно прошел проверку подлинности в AM и что у агента есть сеанс с AM.

       По завершении проверки не забудьте отключить отладку на уровне сообщений.

    2.1.2.7. Настройка файла WSDL

    Вы можете публиковать экземпляры SOAP STS, которые ссылаются на пользовательский файл WSDL. Пользовательский WSDL также может содержать введенный пользователем порт и службу QNames (полные имена), которые ссылаются на подлежащий предоставлению порт и службу, определенные в файле WSDL. Вы можете настроить файлы WSDL, которые должны отличаться от существующих файлов WSDL, определенных в разделе 9.0007 openam-sts/openam-soap-sts/openam-soap-sts-server/src/main/resources .

    Поддерживаются следующие две настройки:

    • Элемент Binding из спецификации одного файла WSDL можно скопировать в другой, чтобы экземпляр SOAP STS можно было опубликовать и защитить с помощью двух привязок политик. Другими словами, элемент ExactlyOne данной политики может иметь два определения привязки, так что выполнение любого из них позволит получить доступ к SOAP STS.

    • Можно настроить привязки политики , управляющие входными и выходными сообщениями в экземпляр SOAP STS или из него.

    Предположим, что у вас есть следующее определение WSDL:

    Затем вы можете внести следующие изменения:

    2.

    1.2.8. Настройка регистратора SOAP STS Logger

    AM SOAP STS регистрирует в интерфейсе Simple Logging Facade for Java (SLF4J) API. Поскольку среда Apache CXF по умолчанию регистрирует объект java.util.logging , AM SOAP STS построен с зависимостью maven от slf4j-jdk14 , что позволяет настраивать записи журнала AM SOAP STS через . java.util.logging . В результате вы можете реализовать как AM SOAP STS, так и ведение журнала Apache CXF, которые будут настроены через файл logging.properties в каталоге Tomcat conf .

    Вы можете настроить и настроить ведение журнала, связанное с Apache CXF, в соответствии с инструкциями, приведенными на следующем веб-сайте: http://cxf.apache.org/docs/debugging-and-logging.html

    2.2. Реализация STS с помощью REST API

    В этом разделе рассматриваются следующие задачи:

    • «Публикация экземпляров STS»

    • «Использование экземпляров STS»

    • «Запрос, проверка и отмена маркеров»

    В этом разделе приведены примеры кода STS.

    Информацию о загрузке и сборке примера исходного кода AM см. в разделе Как получить доступ и собрать образец кода, предоставленный для OpenAM 12.x, 13.x и AM (все версии)? в базе знаний .

    Примеры кода STS можно найти по адресу /path/to/openam-samples-external/sts-example-code .

    2.2.1. Публикация экземпляров STS

    Вы настраиваете экземпляры STS для выполнения одного или нескольких преобразований маркеров. Каждый экземпляр предоставляет сведения о конфигурации о том, как выходные токены SAML v2.0 и/или OpenID Connect шифруются или подписываются. Для развертываний, поддерживающих несколько поставщиков услуг SAML v2.0 и/или OpenID Connect, требуется несколько экземпляров STS.

    Публикация экземпляра STS означает создание экземпляра STS с заданной конфигурацией.

    AM поддерживает два типа экземпляров STS: экземпляры REST STS и экземпляры SOAP STS. Экземпляры REST STS обеспечивают преобразование токенов, позволяя пользователям вызывать конечные точки REST API, а экземпляры SOAP STS обеспечивают преобразования токенов, позволяя пользователям вызывать конечные точки SOAP, совместимые с WS-Trust 1. 4.

    AM предоставляет два метода публикации экземпляров STS:

    «Реализация STS с помощью консоли AM» описывает, как создавать и настраивать экземпляры STS с помощью консоли AM. В этом разделе описывается, как программно публиковать экземпляры STS.

    Когда вы публикуете экземпляр REST STS, AM предоставляет конечную точку REST для доступа к экземпляру, и экземпляр немедленно доступен для использования вызывающими сторонами.

    Для экземпляров SOAP STS существует дополнительный этап развертывания. Чтобы конечная точка SOAP была доступна, развертывание SOAP STS должно существовать для области, в которой был создан экземпляр SOAP STS. Развертывание SOAP STS — это работающее веб-приложение, отдельное от AM. Сведения о создании развертываний SOAP STS см. в разделе «Реализация SOAP STS с помощью консоли AM».

    2.2.1.1. Служба публикации

    Чтобы опубликовать экземпляр STS, выполните HTTP POST на одной из конечных точек sts-publish :

    • /sts-publish/rest , для экземпляров REST STS

    0sts

    6 -publish/soap , для экземпляров SOAP STS

    Укажите параметр _action=create в URL-адресе.

    Например, вы можете опубликовать экземпляр REST STS с именем username-transformer в сфере верхнего уровня следующим образом:

     $   завиток \
    --запрос POST \
    --header "iPlanetDirectoryPro: AQIC5..." \
    --header "Тип контента: приложение/json" \
    --данные '{
        "invocation_context": "invocation_context_client_sdk",
        "состояние_экземпляра":
        {
            "saml2-config":
            {
                "имя-эмитента":"saml2-эмитент",
                ...
            },
            "конфигурация развертывания":
            {
                "deployment-url-element":"имя пользователя-трансформер",
                "область развертывания": "/",
                ...
            },
            «сохранение выпущенных токенов в cts»: «ложь»,
            "поддерживаемые-токены-преобразования":[{
                "inputTokenType":"ИМЯ ПОЛЬЗОВАТЕЛЯ",
                "outputTokenType":"OPENIDCONNECT",
                "invalidateInterimOpenAMSession": ложь
            }],
            "oidc-id-token-config":{
                "oidc-эмитент": "тест",
                . ..
            }
        }
    }' \
    https://openam.example.com:8443/openam/sts-publish/rest?_action=create  
      {
      "_id":"имя пользователя-трансформер",
      "_rev":"219",
      "результат":"успех",
      "url_element":"имя пользователя-трансформер"}
    }  

    Объект instance_state в полезной нагрузке JSON представляет конфигурацию экземпляра STS. Полный пример объекта instance_state см. в примере кода для класса RestSTSInstancePublisher в разделе «Публикация экземпляров REST STS».

    Для доступа к конечной точке sts-publish требуются права администратора. Выполните аутентификацию в качестве администратора AM, например amadmin , прежде чем пытаться опубликовать экземпляр STS.

    В дополнение к публикации экземпляров конечная точка sts-publish также может возвращать конфигурацию экземпляра STS при выполнении запроса HTTP GET на конечной точке sts-publish для экземпляра. Конечная точка, к которой вы обращаетесь, различается для экземпляров REST и SOAP STS:

    • Для экземпляров REST STS доступ /sts-publish/rest/ realm / deploy-URL-element

    • для экземпляров SOAP STS, Access / STS-Publish / SOAP / Realm / Развертывание-URL-элемент

    В предыдущих примерах, . значение элемента URL-адреса развертывания экземпляра STS — одно из свойств конфигурации экземпляра. область — это область, в которой настроен экземпляр SOAP STS.

    Например, вы можете получить конфигурацию экземпляра REST STS, настроенного в области верхнего уровня, с элементом URL-адреса развертывания 9.0007 username-transformer следующим образом:

    $   curl\
    --запрос ПОЛУЧИТЬ \
    --header "iPlanetDirectoryPro: AQIC5..." \
    https://openam.example.com:8443/openam/sts-publish/rest/username-transformer  
      {
       "_id":"имя пользователя-трансформер",
       "_rev":"-659999943",
       "имя пользователя-трансформер":{
          "saml2-config":{
             "имя-эмитента":"saml2-эмитент",
             . ..
          },
          "конфигурация развертывания":{
             "deployment-url-element":"имя пользователя-трансформер",
             ...
          },
          «сохранение выпущенных токенов в cts»: «ложь»,
          «поддерживаемые токены-преобразования»: [
             {
                "inputTokenType":"ИМЯ ПОЛЬЗОВАТЕЛЯ",
                "outputTokenType":"OPENIDCONNECT",
                "invalidateInterimOpenAMSession": ложь
             }
          ],
          "oidc-id-token-config":{
             "oidc-эмитент": "тест",
             ...
          }
       }
    }  

    Экземпляры STS можно удалить, выполнив HTTP DELETE на конечной точке sts-publish . Конечная точка, к которой вы обращаетесь, различается для экземпляров REST и SOAP STS:

    • Для экземпляров REST STS выполните HTTP DELETE для /sts-publish/rest/ realm / Для экземпляров SOAP STS выполните HTTP DELETE для /sts-publish/soap/ realm / deploy-URL-element

    2.2.1.2. Публикация экземпляров REST STS

    Образец кода, указанный в этом разделе, представляет собой пример программной публикации экземпляра REST STS. Код не предназначен для использования в качестве рабочего примера. Скорее, это отправная точка — код, который вы можете изменить, чтобы удовлетворить специфические требования вашей организации. Чтобы получить доступ к примеру кода, см. Доступ к примеру кода STS.

    После публикации экземпляра REST STS программными средствами можно просмотреть конфигурацию экземпляра в консоли AM. Экземпляр готов к использованию.

    Пример кода доступен для следующих классов:

    RestSTSInstancePublisher

    Класс RestSTSInstancePublisher предоставляет API для публикации, удаления и обновления экземпляров REST STS путем вызова методов, которые выполняют операцию HTTP POST на мыле . конечная точка sts/publish .

    RestSTSInstanceConfigFactory

    Класс RestSTSInstancePublisher вызывает RestSTSInstanceConfigFactory для создания экземпляра RestSTSInstanceConfig . Объекты RestSTSInsConfigtance инкапсулируют всю информацию о конфигурации экземпляра REST STS и выдают значения JSON, которые можно отправить в конечную точку sts-publish/rest для публикации экземпляра REST STS.

    STSPublishContext

    Образец класса STSPublishContext определяет конфигурацию, необходимую для публикации экземпляров REST и SOAP STS. Класс предоставляет программный метод для установки свойств конфигурации — те же свойства конфигурации доступны через консоль AM в разделе Realms > 9.0011 Имя области > СС.

    CustomTokenOperationContext

    Образец класса CustomTokenOperationContext указывает настраиваемые средства проверки, типы токенов и преобразования, которые может поддерживать экземпляр REST STS.

    Важно

    Пример кода, указанный в этом разделе, не компилируется , так как он использует классы, недоступные для общего доступа. Код предоставляет шаблоны разработчикам, знакомым с проблемной областью, и предназначен только для помощи разработчикам, которые хотят программно публиковать экземпляры REST STS.

    Пример кода импортирует ряд классов, вводя зависимости. Классы, импортированные из AM API, могут остаться в вашем коде, но другие импортированные классы должны быть удалены и заменены кодом, обеспечивающим аналогичные функции в вашей среде. Например, класс RestSTSInstanceConfigFactory использует константу с именем CommonConstants.DEFAULT_CERT_MODULE_NAME из импортированного com.forgerock.openam.functionaltest.sts.frmwk.common.CommonConstants класс полезности. Этот служебный класс не является общедоступным. Следовательно, вам нужно заменить эту константу другой конструкцией.

    Важнейшей частью примера кода являются идиомы, которые программно устанавливают все состояния, необходимые для публикации экземпляра REST STS.

    2.2.1.3. Публикация экземпляров SOAP STS

    Образец кода, указанный в этом разделе, представляет собой пример программной публикации экземпляра SOAP STS. Код не предназначен для использования в качестве рабочего примера. Скорее, это начальный код, который вы можете изменить, чтобы удовлетворить специфические требования вашей организации. Чтобы получить доступ к примеру кода, см. Доступ к примеру кода STS.

    После публикации экземпляра SOAP STS программными средствами можно просмотреть конфигурацию экземпляра в консоли AM. Однако экземпляр не готов к использованию до тех пор, пока вы не создадите и не развернете файл SOAP STS .war . Сведения о том, как создать и развернуть файл SOAP STS .war , см. в разделе «Реализация SOAP STS с помощью консоли AM».1602

    Пример класса SoapSTSInstancePublisher предоставляет API для публикации, удаления и обновления экземпляров SOAP STS путем вызова методов, выполняющих операцию HTTP POST в конечной точке soap-sts-publish/publish .

    SoapSTSInstanceConfigFactory

    Образец класса SoapSTSInstancePublisher вызывает класс SoapSTSInstanceConfigFactory для создания экземпляра SoapSTSInstanceConfig . SoapSTSInstanceConfig 9Объекты 0008 инкапсулируют всю информацию о конфигурации экземпляра SOAP STS и выдают значения JSON, которые можно отправить в конечную точку soap-sts-publish/publish для публикации экземпляра REST STS.

    SoapSTSServerCryptoState

    Пример класса SoapSTSServerCryptoState определяет конфигурацию хранилища ключей, используемого экземпляром SOAP STS. Класс предоставляет программный метод для установки свойств конфигурации — те же свойства конфигурации доступны через консоль AM в разделе Realms > 9.0011 Имя области > STS > Конфигурация хранилища ключей Soap.

    STSPublishContext

    Образец класса STSPublishContext определяет конфигурацию, необходимую для публикации экземпляров REST и SOAP STS. Класс предоставляет программный метод для установки свойств конфигурации — те же свойства конфигурации доступны через консоль AM в разделе Realms > Realm Name > STS.

    Важно

    Пример кода, на который ссылаются в этом разделе, не компилируется , так как он использует классы, недоступные публично. Код предоставляет шаблоны разработчикам, знакомым с проблемной областью, и предназначен только для помощи разработчикам, которые хотят программно публиковать экземпляры SOAP STS.

    Пример кода импортирует ряд классов, вводя зависимости. Классы, импортированные из AM API и SDK клиента SOAP STS, могут оставаться в вашем коде, но другие импортированные классы необходимо удалить и заменить кодом, который обеспечивает аналогичные функции в вашей среде. Например, Класс SoapSTSInsConfigFactory использует константу с именем CommonConstants.DEFAULT_CERT_MODULE_NAME из импортированного служебного класса com.forgerock.openam.functionaltest.sts.frmwk.common.CommonConstants . Этот служебный класс не является общедоступным. Следовательно, вам нужно заменить эту константу другой конструкцией.

    Важнейшей частью примера кода являются идиомы, которые программно устанавливают все состояния, необходимые для публикации экземпляра SOAP STS.

    2.2.2. Использование экземпляров STS

    После раскрытия конечных точек экземпляров REST и SOAP STS они доступны для использования потребителями следующим образом:

    • Разработчики получают доступ к экземплярам REST STS, выполняя вызовы REST API, которые поддерживают преобразование маркеров.

    • Разработчики получают доступ к экземплярам SOAP STS, отправляя сообщения SOAP или используя SDK клиента SOAP STS. SOAP STS от AM совместим с WS-Trust 1.4.

    2.2.2.1. Использование экземпляров REST STS

    Вы используете экземпляр REST STS, отправляя вызовы REST API на конечную точку экземпляра.

    2.2.2.1.1. Конечная точка экземпляра REST STS

    Конечные точки экземпляров REST STS состоят из следующих частей:

    Например, экземпляр REST STS, настроенный в области myRealm с элементом URL-адреса развертывания username-transformer предоставляет конечную точку /rest-sts /myRealm/имя пользователя-трансформер .

    2.2.2.1.2. Представление преобразований токенов в формате JSON

    Преобразования токенов представлены в формате JSON следующим образом:

     {
      "input_token_state": {
        "token_type": " INPUT_TOKEN_TYPE "
        ...  INPUT_TOKEN_TYPE_PROPERTIES  . ..
      },
      "output_token_state": {
        "token_type": " OUTPUT_TOKEN_TYPE "
        ...  OUTPUT_TOKEN_TYPE_PROPERTIES  ...
      }
    } 

    REST STS поддерживает следующие типы токенов и свойства:

    Ниже приведены примеры полезных данных JSON, которые определяют преобразования маркеров REST STS:

    1. Преобразование маркера имени пользователя в маркер SAML v2.0 с помощью метода подтверждения субъекта-носителя:

        {
         "input_token_state": {
           "token_type": "ИМЯ ПОЛЬЗОВАТЕЛЯ",
           "имя пользователя": "демо",
           "пароль": "изменить"
         },
         "output_token_state": {
           "тип_токена": "SAML2",
           "subject_confirmation": "НОСИТЕЛЬ"
         }
       } 

    2. Преобразование токена X.509 в токен SAML v2.0 с помощью метода подтверждения субъекта, подтверждающего отправителя:

        {
         "input_token_state": {
           "токен_тип": "X509"
         },
         "output_token_state": {
           "тип_токена": "SAML2",
           "subject_confirmation": "SENDER_VOUCHES"
         }
       } 

    3. Преобразование токена OpenID Connect в токен SAML v2. 0 с помощью метода подтверждения владельца ключа:

        {
         "input_token_state": {
           "token_type": "OPENIDCONNECT",
           "oidc_id_token": "eyAiYWxQ.euTNnNDExNTkyMjEyIH0.kuNlKwyvZJqaC8EYpDyPJMiEcII"
         },
         "output_token_state": {
           "тип_токена": "SAML2",
           "subject_confirmation": "HOLDER_OF_KEY",
           "proof_token_state": {
             "base64EncodedCertificate": "MIMBFAAOBjQAwgYkCgYEArSQ...c/U75GB2AtKhbGS5pimrW0Y0Q=="
            }
         }
       } 

    4. Преобразование токена AM SSO в токен OpenID Connect:

        {
         "input_token_state": {
           "token_type": "OPENAM",
           "session_id": "AQIC5wM2...TMQAA*"
         },
         "output_token_state": {
           "token_type": "OPENIDCONNECT",
           "нонс": "471564333",
           "разрешить_доступ": правда
         }
       } 

    Дополнительные примеры полезных данных JSON, которые можно отправлять в экземпляры REST STS, см. в комментариях к примеру кода в разделе «Пример Java».

    2.2.2.1.3. Пример командной строки

    Вы можете использовать команду curl , чтобы быстро убедиться, что опубликованный экземпляр REST STS работает должным образом.

    Например, если вы публикуете экземпляр REST с элементом URL-адреса развертывания username-transformer , который поддерживает преобразование имени пользователя в токен подтверждения носителя SAML v2.0, вы можете выполнить HTTP POST для /rest-sts/username- Конечная точка трансформатора , установив для параметра _action значение , перевести следующим образом:

     $   завиток \
    --запрос POST \
    --header "Тип контента: приложение/json" \
    --данные '{
        "input_token_state": {
            "token_type": "ИМЯ ПОЛЬЗОВАТЕЛЯ",
            "имя пользователя": "демо",
            "пароль": "изменить"
        },
        "output_token_state": {
            "тип_токена": "SAML2",
            "subject_confirmation": "НОСИТЕЛЬ"
        }
    }' \
    https://openam.example.com:8443/openam/rest-sts/username-transformer?_action=translate  
      {
      "выпущенный_токен":
         " 0\"
           ID=\"s2c51ebd0ad10aae44fb76e4b400164497c63b4ce6\"
           IssueInstant=\"2016-03-02T00:14:47Z\">\n
           saml2-эмитент
           <самл:Тема>\n
            demo
            
            \n
             
             
            \n
           
           \n
            \n
             saml2-issuer-entity\n
            \n\n
            
             
              
               urn:oasis:names:tc:SAML:2. 0:ac:classes:PasswordProtectedTransport
              
             
            
           \n"
    }  

    Заголовок iPlanetDirectoryPro является обязательным и должен содержать токен SSO администратора, например amAdmin , у которого есть доступ для выполнения операции.

    2.2.2.1.4. Пример Java

    Образец кода RestSTSConsumer.java представляет собой пример программного использования опубликованного экземпляра REST STS. Адаптируйте этот пример, чтобы обеспечить программное использование ваших собственных экземпляров REST STS. Чтобы получить доступ к примеру кода, см. Доступ к примеру кода STS.

    Важно

    Пример кода, указанный в этом разделе, не компилируется , так как он использует классы, недоступные публично. Код предоставляет шаблоны разработчикам, знакомым с проблемной областью, и предназначен только для помощи разработчикам, которые хотят программно использовать экземпляры REST STS.

    2.2.2.2. Использование экземпляров SOAP STS

    Вы используете экземпляр SOAP STS, отправляя ему сообщения SOAP в конечную точку экземпляра или вызывая его с помощью SDK клиента AM SOAP STS.

    2.2.2.2.1. SOAP STS Instance URL

    SOAP STS instances' URLs comprise the following parts:

    • The SOAP STS deployment context

    • The string sts

    • The realm in which the REST STS instance is configured

    • Элемент URL-адреса развертывания, который является одним из свойств конфигурации экземпляра STS

    Контекст развертывания STS SOAP содержит базовый URL-адрес веб-контейнера, к которому STS SOAP .war развернут файл и имя веб-приложения для развертывания. Дополнительные сведения о развертывании SOAP STS см. в разделе «Реализация SOAP STS с помощью консоли AM».

    Например, экземпляр SOAP STS, настроенный в области myRealm с элементом URL-адреса развертывания soap-username-transformer и именем веб-приложения развертывания openam-soap-sts , будет предоставлять URL-адрес, аналогичный https ://soap-sts-host. com:8443/openam-soap-sts/sts/myRealm/soap-username-transformer .

    WSDL для службы будет доступен по адресу https://soap-sts-host.com:8443/openam-soap-sts/sts/myRealm/soap-username-transformer?wsdl .

    2.2.2.2.2. Использование экземпляров SOAP STS с помощью сообщений SOAP

    Поскольку экземпляр AM SOAP STS является службой маркеров безопасности, совместимой с WS-Trust 1.4, пользователи могут использовать экземпляр, отправляя ему стандартные сообщения платформы WS-Trust 1.4 SOAP STS, такие как RequestSecurityToken сообщения, передаваемые в качестве полезной нагрузки на порты WSDL, реализованные службами маркеров безопасности.

    Дополнительные сведения о службах маркеров безопасности WS-Trust 1.4 см. в спецификации WS-Trust 1.4.

    2.2.2.2.3. Использование экземпляров SOAP STS с помощью SDK клиента SOAP STS

    Вы можете использовать экземпляр AM SOAP STS, вызвав его с помощью SDK клиента AM SOAP STS.

    Клиентский SDK SOAP STS основан на классах Apache CXF, инфраструктуре служб с открытым исходным кодом. Apache CXF предоставляет класс org.apache.cxf.ws.security.trust.STSClient , который инкапсулирует использование службы SOAP STS. Однако использование этого класса требует значительного опыта.

    SDK клиента SOAP STS упрощает использование экземпляров AM SOAP STS по сравнению с Apache CXF по следующим причинам: SDK является оболочкой класса Apache CXF org.apache.cxf.ws.security.trust.STSClient , обеспечивая более высокий уровень абстракции, который упрощает использование экземпляров SOAP STS.

  • SoapSTSConsumer 9Методы класса 0008 issueToken , validateToken и cancelToken предоставляют три основные операции, предоставляемые экземплярами SOAP STS. Вспомогательные классы облегчают создание состояния, необходимого для вызова этих методов.

  • Классы в SDK предоставляют логику, позволяющую представлять маркеры сеанса AM для удовлетворения привязок политики безопасности, которые определяют сеансы AM как поддерживающие маркеры. Клиент STS получает секретное состояние пароля — пароли и псевдонимы записей хранилища ключей, учетные данные токена имени пользователя и т. д. — от обработчика обратного вызова. Класс SoapSTSConsumerCallbackHandler предоставляет средства для создания обработчика обратного вызова, инициализированного состоянием, которое будет встречаться при использовании экземпляров SOAP STS. Экземпляр SoapSTSConsumerCallbackHandler можно передать клиенту STS. Класс TokenSpecification предоставляет способ создания изменяющегося состояния маркера, необходимого для получения определенных маркеров, и создания любого необходимого поддерживающего состояния.

  Вы можете использовать классы в SDK клиента SOAP STS как есть или адаптировать их под свои нужды. Дополнительные сведения о классах SDK клиента SOAP STS см. в исходном коде и в документе Javadoc.

  SDK клиента SOAP STS не является частью SDK клиента AM. [2] Чтобы использовать SDK клиента SOAP STS, необходимо скомпилировать исходный код для SDK клиента SOAP STS и создать файл . jar .

  Для сборки SDK клиента SOAP STS

  1. Загрузите исходный код AM.

  2. Перейдите в каталог openam-sts/openam-soap-sts .

  3. Запустите команду mvn install .

  4. Найдите файл openam-soap-sts-client-6.5.jar в каталоге openam-sts/openam-soap-sts/openam-soap-sts-client/target .

  2.2.3. Запрос, проверка и отмена маркеров

  Экземпляры STS REST и SOAP поддерживают сохранение токена , то есть возможность хранить маркеры, выданные для экземпляра STS, в Core Token Service (CTS). Вы включаете сохранение токена для конфигурации экземпляров REST и SOAP STS в Realms > 9.0011 Имя области > STS > Имя экземпляра STS > Общая конфигурация > Сохранение выпущенных токенов в основном хранилище токенов. Токены сохраняются в CTS в течение срока действия токена, который является свойством конфигурации для токенов SAML v2. 0 и OpenID Connect, выпущенных STS. Токены с истекшим сроком действия периодически удаляются из CTS.

  Если для экземпляра STS включено сохранение токена, AM предоставляет возможность запрашивать, проверять и отменять токены, выданные для экземпляра:

  • Запрос токенов означает перечисление токенов, выданных для экземпляра STS или для пользователя.

  • Проверка маркера означает проверку того, что маркер все еще присутствует в CTS.

  • Отмена токена означает удаление токена из CTS.

  2.2.3.1. Вызов конечной точки sts-tokengen

  Конечная точка sts-tokengen предоставляет администраторам возможность запрашивать и отменять выпущенные токены для экземпляров REST и SOAP STS с использованием вызовов REST API.

  При использовании конечной точки sts-tokengen обязательно укажите идентификатор маркера для администратора AM, например amadmin , в качестве значения заголовка, имя которого является именем файла cookie маркера единого входа, по умолчанию iPlanetDirectoryPro .

  2.2.3.1.1. Querying Tokens

  Список токенов, выданных для экземпляра STS, с помощью действия queryFilter в вызове HTTP GET для конечная точка sts-tokengen с аргументом /sts-id .

  В следующем примере перечислены все маркеры, выпущенные для экземпляра преобразователя имени пользователя STS. Результаты показывают, что AM выпустил два токена OpenID Connect для пользователя demo для экземпляра username-transformer STS:

   $   curl\
  --запрос ПОЛУЧИТЬ \
  --header "iPlanetDirectoryPro: AQIC5..." \
  https://openam.example.com:8443/openam/sts-tokengen?_queryFilter=\/sts_id+eq+\'username-transformer\'  
    {
      "результат":[
          {
              "_id":"B663D248CE4C3B63A7422000B03B8F5E0F8E443B",
              "_рев":"",
              "token_id": "B663D248CE4C3B63A7422000B03B8F5E0F8E443B",
              "sts_id":"имя пользователя-трансформер",
              "principal_name":"демо",
              "token_type":"OPENIDCONNECT",
              "expiration_time":145
  96
          },
          {
              "_id": "7CB70009970D1AAFF177AC2A08D58405EDC35DF5",
              "_рев":"",
              "token_id":"7CB70009970D1AAFF177AC2A08D58405EDC35DF5",
              "sts_id":"имя пользователя-трансформер",
              "principal_name":"демо",
              "token_type":"OPENIDCONNECT",
              "expiration_time":145
  98
          }
      ],
      "результатКоличество":2,
      "pagedResultsCookie": ноль,
      "totalPagedResultsPolicy": "НЕТ",
      "totalPagedResults":-1,
      «оставшиеся страницы результатов»: – 1
  }  

  Список токенов, выданных для конкретного пользователя с действием queryFilter в вызове HTTP GET для конечная точка sts-tokengen с аргументом /token-principal .

  В следующем примере перечислены все маркеры, выпущенные для пользователя demo . Результаты показывают, что AM выпустил два токена OpenID Connect:

  $   curl\
  --запрос ПОЛУЧИТЬ \
  --header "iPlanetDirectoryPro: AQIC5..." \
  https://openam.example.com:8443/openam/sts-tokengen?_queryFilter=\/token_principal+eq+\'demo\'  
    {
      "результат":[
          {
              "_id":"B663D248CE4C3B63A7422000B03B8F5E0F8E443B",
              "_рев":"",
              "token_id": "B663D248CE4C3B63A7422000B03B8F5E0F8E443B",
              "sts_id":"имя пользователя-трансформер",
              "principal_name":"демо",
              "token_type":"OPENIDCONNECT",
              "expiration_time":145
  96
          },
          {
              "_id": "7CB70009970D1AAFF177AC2A08D58405EDC35DF5",
              "_рев":"",
              "token_id": "7CB70009970D1AAFF177AC2A08D58405EDC35DF5",
              "sts_id":"имя пользователя-трансформер",
              "principal_name":"демо",
              "token_type":"OPENIDCONNECT",
              "expiration_time":145
  98
          }
      ],
      "результатКоличество":2,
      "pagedResultsCookie": ноль,
      "totalPagedResultsPolicy": "НЕТ",
      "totalPagedResults":-1,
      «оставшиеся страницы результатов»: – 1
  }  

  2.

  2.3.1.2. Отмена токенов

  Отмените токены, выполнив вызов HTTP DELETE для конечной точки sts-tokengen / token_id :

   $   curl \
  --запрос УДАЛИТЬ \
  --header "iPlanetDirectoryPro: AQIC5..." \
  https://openam.example.com:8443/openam/sts-tokengen/B663D248CE4C3B63A7422000B03B8F5E0F8E443B  
    {
      "_id":"B663D248CE4C3B63A7422000B03B8F5E0F8E443B",
      "_rev":"B663D248CE4C3B63A7422000B03B8F5E0F8E443B",
      "result": "токен с идентификатором B663D248CE4C3B63A7422000B03B8F5E0F8E443B успешно удален."
  }  

  2.2.3.2. Проверка и отмена токенов путем вызова экземпляра REST STS

  Пользователи REST STS могут проверять и отменять токены, выполняя вызов HTTP POST к конечной точке экземпляра REST STS.

  Чтобы проверить токен, используйте действие validate . В следующем примере проверяется токен OpenID Connect, ранее выпущенный экземпляром REST STS username-transformer :

   $   curl \
  --запрос POST \
  --header "iPlanetDirectoryPro: AQIC5. .." \
  --header "Тип контента: приложение/json" \
  --данные '{
      "validated_token_state": {
          "token_type": "OPENIDCONNECT",
          "oidc_id_token": "eyAidHlwIjogIkpXVCIsIC..."
      }
  }' \
  https://openam.example.com:8443/openam/rest-sts/username-transformer?_action=validate  
    {
      «токен_валид»: правда
  }  

  Чтобы отменить токен, используйте действие cancel . В следующем примере отменяется токен OpenID Connect, ранее выпущенный экземпляром REST STS username-transformer :

   $   curl \
  --запрос POST \
  --header "iPlanetDirectoryPro: AQIC5..." \
  --header "Тип контента: приложение/json" \
  --данные '{
      "cancelled_token_state": {
          "token_type": "OPENIDCONNECT",
          "oidc_id_token": "eyAidHlwIjogIkpXVCIsIC..."
      }
  }' \
   https://openam.example.com:8443/openam/rest-sts/username-transformer?_action=cancel  
    {
      "result": "Токен OPENIDCONNECT успешно отменен."
  }  

  2.

  2.3.3. Проверка и отмена токенов путем вызова экземпляра SOAP STS

  Исходный код методов validateToken и cancelToken в классе org.forgerock.openam.sts.soap.SoapSTSConsumer предоставляет информацию, необходимую для создания WS-Trust 1.4. -совместимые вызовы для проверки и отмены токенов.

  Найдите org.forgerock.openam.sts.soap.SoapSTSConsumer класс под openam-sts/openam-soap-sts/openam-soap-sts-client в исходном коде AM.

  
  

  ---

  ^[2] SDK клиента SOAP STS зависит от классов Apache CXF, которых нет в AM API.

  Глава 3. Настройка службы маркеров безопасности

  В этой главе описывается настройка поддержки AM для службы маркеров безопасности.

  В этой главе рассматриваются следующие возможности настройки:

  • «Расширение STS для поддержки пользовательских типов токенов»

  Несколько разделов этой главы ссылаются на примеры кода STS. Чтобы получить доступ к примеру кода, см. Доступ к примеру кода STS.

  3.1. Расширение STS для поддержки настраиваемых типов токенов

  AM поддерживает преобразование токенов в различные типы токенов, включая имя пользователя, SAML v2.0, OpenID Connect и X.509. В дополнение к этим поддерживаемым типам токенов, экземпляры REST STS могут использовать настраиваемые типы токенов в качестве входного или выходного токена или и того, и другого при преобразовании токена. Когда вы настраиваете экземпляр REST STS для поддержки преобразования токена, который принимает пользовательский тип токена, вы также можете настроить пользовательский класс проверки и поставщика для пользовательского типа токена. AM использует настраиваемые классы валидаторов для проверки пользовательских токенов и настраиваемых классов поставщиков для создания настраиваемых токенов. 9.

  Пользовательский класс валидатора можно использовать в преобразованиях, которые создают стандартные выходные токены STS, такие как токены SAML v2. 0 или токены OpenID Connect, а также в преобразованиях, которые создают пользовательские типы выходных токенов.

  Пользовательский класс поставщика можно использовать в преобразованиях токенов, которые принимают стандартные входные токены STS, такие как токены имени пользователя или токены AM SSO, а также в преобразованиях, которые принимают настраиваемые типы входных токенов.

  Прежде чем экземпляр REST STS сможет использовать валидатор пользовательского типа токена или класс поставщика, вы должны включить этот класс в файл AM .war и перезапустить AM.

  AM вызывает один экземпляр класса валидатора или поставщика для запуска всех одновременно отправляемых преобразований маркеров, использующих настраиваемый тип маркера. Поскольку существует только один экземпляр класса, вы должны кодировать настраиваемые классы проверки и поставщика, чтобы они были потокобезопасными.

  3.1.1. Разработка пользовательских классов валидаторов типов токенов

  Чтобы создать собственный класс валидатора типа токена, реализуйте класс org. forgerock.openam.sts.rest.token.validator.RestTokenTransformValidator .

  Классы проверки подлинности пользовательского типа токена реализуют метод validateToken . Этот метод принимает в качестве входных данных объект RestTokenValidatorParameters . Обратите внимание, что общий тип RestTokenValidatorParameters — org.forgerock.json.fluent.JsonValue . В результате использования этого типа пользовательские классы валидаторов могут получить доступ к JSON-представлению входного токена, переданного экземпляру REST STS в input_token_state Ключ JSON.

  Метод validateToken возвращает объект org.forgerock.openam.sts.rest.token.validator.RestTokenTransformValidatorResult . Как минимум, этот объект содержит токен AM SSO, соответствующий проверенному принципалу. Он также может содержать дополнительную информацию, указанную в виде значения JSON, что позволяет пользовательскому средству проверки передавать дополнительное состояние пользовательскому поставщику при преобразовании токена.

  3.1.2. Разработка классов провайдеров пользовательских типов токенов

  Чтобы создать класс провайдера пользовательского типа токена, реализуйте класс org.forgerock.openam.sts.rest.token.provider.RestTokenProvider .

  Классы поставщика пользовательских типов токенов реализуют метод createToken . Этот метод принимает в качестве входных данных объект org.forgerock.openam.sts.rest.token.provider.CustomRestTokenProviderParameters . Этот объект предоставляет пользовательскому поставщику доступ к следующей информации:

  • Субъект, возвращенный Resttokentransformvalidator

  • Токен AM SSO, соответствующий подтвержденной принципиально

  • Любое дополнительное состояние, возвращаемое в resttokenvalorresult objectdelt.

  • JsonValue , соответствующий этому подтвержденному токену, как указано в input_token_state объект в запросе на преобразование

  • JsonValue , соответствующий объекту token_output_state , указанному в запросе на преобразование токена (который может предоставить дополнительную информацию, относящуюся к созданию выходного токена)

  create

  Метод возвращает строковое представление пользовательского токена в формате, который можно передавать по HTTP в формате JSON. Он должен быть закодирован в base64, если он двоичный.

  3.1.3. Использование валидаторов и поставщиков настраиваемых типов токенов

  В этом разделе приведен пример использования валидаторов и поставщиков настраиваемых типов токенов.

  В примере предполагается, что вы уже настроили преобразование токена, выполнив следующие задачи:

  • Реализация интерфейса RestTokenTransformValidator для создания пользовательского средства проверки типа токена

  • Реализация RestTokenProvider0008 Интерфейс для создания пользовательского поставщика типа токена

  • , объединяющий два класса в файл AM . WAR

  • Перезагрузку AM

  • Опубликовать экземпляр STS RETS с типисом Topled Topken. указание настраиваемых классов валидатора и поставщика в конфигурации экземпляра

  Чтобы преобразовать токен CUSTOM в токен OpenID Connect, вы можете указать полезные данные JSON, подобные следующим:

  {
      "input_token_state":
          {
              "token_type": "ПОЛЬЗОВАТЕЛЬСКИЙ",
              "extra_stuff": "очень_полезное_состояние"
          },
      "output_token_state":
          {
              "token_type": "OPENIDCONNECT",
              «одноразовый номер»: «1234»,
              "разрешить_доступ": правда
          }
  } 

  С предыдущей полезной нагрузкой JSON AM передает экземпляр JsonValue методу validateToken класса валидатора пользовательского типа токена следующим образом:

  {
      "token_type": "ПОЛЬЗОВАТЕЛЬСКИЙ",
      "extra_stuff": "очень_полезное_состояние"
  } 

  Чтобы преобразовать токен имени пользователя в токен CUSTOM , вы можете указать полезные данные JSON, подобные следующим:

  {
      "input_token_state":
          {
              "token_type": "ИМЯ ПОЛЬЗОВАТЕЛЯ",
              "имя пользователя": "unt_user17458687",
              "пароль": "пароль"
          },
      "output_token_state":
          {
              "token_type": "ПОЛЬЗОВАТЕЛЬСКИЙ",
              "extra_stuff_for_custom": "некоторая_полезная_информация"
          }
  } 

  С предыдущей полезной нагрузкой JSON AM передает следующую информацию в createToken метод поставщика пользовательского типа токена:

  • Субъект, возвращенный проверкой токена USERNAME : unt_user17458687 .

  • Маркер SSO AM, соответствующий этому аутентифицированному участнику.

  • Дополнительное состояние, возвращаемое валидатором токена, если таковое имеется. Поскольку средство проверки токена USERNAME не возвращает никакого дополнительного состояния, дополнительное состояние для этого примера будет нулевым.

  • Тип токена ввода: CUSTOM

  • A JsonValue представление следующего:

    {
        "token_type": "ИМЯ ПОЛЬЗОВАТЕЛЯ",
        "имя пользователя": "unt_user17458687",
        "пароль": "пароль"
    } 

  • A JsonValue представление следующего:

    {
        "token_type": "ПОЛЬЗОВАТЕЛЬСКИЙ",
        "extra_stuff_for_custom": "некоторая_полезная_информация"
    } 

  Чтобы преобразовать CUSTOM token CUSTOM , вы можете указать полезные данные JSON, подобные следующим:

  {
      "input_token_state":
          {
              "token_type": "ПОЛЬЗОВАТЕЛЬСКИЙ",
              "extra_stuff": "очень_полезное_состояние"
          },
      "output_token_state":
          {
              "token_type": "ПОЛЬЗОВАТЕЛЬСКИЙ",
              "extra_stuff_for_custom": "некоторая_полезная_информация"
          }
  } 

  Входные данные для пользовательского валидатора и поставщика будут аналогичны предыдущим примерам с возможным добавлением любого дополнительного состояния, которое пользовательский валидатор возвратил из метод validateToken .

  Глава 4. Справочник

  В этом справочном разделе рассматриваются параметры конфигурации для службы токенов безопасности AM.

  Этот раздел охватывает следующие настройки:

  • «Свойства конфигурации REST STS»

  • «Свойства конфигурации SOAP STS»

  • "Свойства конфигурации SHED STS"

    0408777777777777777777777777777777777788788788878788878787888788878787888788888888888.

    . " Свойства конфигурации REST STS

    Элемент URL-адреса развертывания

    Указывает строку, идентифицирующую этот экземпляр REST STS.

    Элемент Deployment Url является компонентом конечной точки экземпляра REST STS. Например, если вы указали myRESTSTSInstance в качестве элемента URL-адреса развертывания, конечной точкой REST STS будет rest-sts/myRealm/myRESTSTSInstance .

    Общие свойства конфигурации

    Ниже приведены общие свойства конфигурации для экземпляров REST STS:

    Сохранять выпущенные токены в Core Token Store

    Указывает, следует ли включить сохранение маркеров в Core Token Service (CTS).

    AM сохраняет все маркеры, выпущенные службой STS, в CTS, если включено сохранение маркеров. Время жизни маркера в CTS имеет ту же длину, что и свойство Token Lifetime, указанное для выпущенных маркеров.

    Возможности проверки и отмены токена STS требуют, чтобы токены присутствовали в CTS. Поэтому, если ваше развертывание требует проверки и отмены токена, вы должны включить сохранение токена.

    Поддерживаемые преобразования маркеров

    Указывает одно или несколько преобразований маркеров, поддерживаемых этим экземпляром REST STS. Преобразования токенов перечислены в консоли AM с использованием нотации input_token_type -> output_token_type .

    Для каждого поддерживаемого преобразования токена AM предоставляет возможность аннулировать промежуточный сеанс AM. При преобразовании маркера STS создает сеанс AM. При желании вы можете аннулировать сеанс AM после завершения преобразования токена.

    Пользовательские средства проверки маркеров

    Указывает класс средства проверки для пользовательского типа маркера.

    Используйте формат CUSTOM_TOKEN_TYPE | custom_validator_class для указания каждого класса валидатора. Например, CUSTOM|org.mycompany.tokens.myCustomTokenValidator .

    Дополнительные сведения о настраиваемых средствах проверки токенов см. в разделе «Расширение STS для поддержки настраиваемых типов токенов».

    Поставщики пользовательских токенов

    Указывает класс поставщика для пользовательского типа токена.

    Используйте формат CUSTOM_TOKEN_TYPE | custom_provider_class . Чтобы указать каждый класс провайдера. Например, CUSTOM|org.mycompany.tokens.myCustomTokenProvider .

    Дополнительные сведения о пользовательских поставщиках токенов см. в разделе «Расширение STS для поддержки настраиваемых типов токенов».

    Преобразования пользовательских токенов

    Задает одно или несколько преобразований токенов, которые используют настраиваемый тип токенов в качестве входного или выходного токена. Если вы укажете настраиваемый валидатор или поставщик токенов, вы также должны указать настраиваемое преобразование токенов.

    Укажите пользовательское преобразование, используя три значения, разделенные вертикальной чертой | следующим образом:

    1. Тип входного токена

    2. Выходной тип токена

    3. Следует ли признать недействительным сеанс AM, созданный во время преобразования токена. Укажите TRUE , чтобы сделать сеанс недействительным, или FALSE , чтобы сеанс оставался действительным.

    Например, значение CUSTOM|SAML2|TRUE настраивает преобразование маркера, которое преобразует маркер CUSTOM в утверждение SAML v2.0, а затем делает недействительным созданный сеанс AM.

    Свойства конфигурации развертывания

    Ниже приведены свойства конфигурации развертывания для экземпляров REST STS.

    Каждое сопоставление представляет собой набор аргументов, разделенных вертикальной чертой | следующим образом:

    1. (обязательно) Тип токена ввода: USERNAME , OPENAM , X509 , OPENIDCONNECT или пользовательский тип токена.

    2. (Обязательно) Значение сервис или модуль . Если третий аргумент — цепочка аутентификации, укажите service . Если третий аргумент — модуль аутентификации, укажите модуль .

    3. (Обязательно) Имя цепочки аутентификации AM или модуля, для которого аутентифицируется входной токен.

    4. (Необязательно) Имя заголовка для размещения токена при аутентификации в AM. Укажите этот параметр для входных токенов X509 и OPENIDCONNECT следующим образом:

       • Для входных токенов X509 формат следующий:

       • Для входных токенов OPENIDCONNECT формат oidc_id_token_auth_target_header_key= Имя заголовка .

       Обязательно укажите имена заголовков, настроенные в свойствах модуля аутентификации носителя id_token сертификата или OpenID Connect в качестве аргумента Имя заголовка .

       Этот аргумент также можно использовать с пользовательскими типами токенов, чтобы указать имя заголовка или файла cookie, из которого можно получить токен. При использовании этого аргумента с настраиваемым типом токена его формат определяется настраиваемым классом средства проверки, который проверяет настраиваемый тип токена.

    Ниже приведены примеры сопоставлений:

    • USERNAME|service|myLDAPChain настраивает STS для аутентификации входных токенов USERNAME в цепочку аутентификации myLDAPChain .

    • X509|module|CertModule|x509_token_auth_target_header_key=ClientCert настраивает STS для получения сертификата X.509 из заголовка ClientCert , использования его в качестве входного токена и аутентификации с помощью Модуль аутентификации CertModule .

    Ключ заголовка сертификата клиента

    Указывает имя заголовка, который должен использовать разгрузчик TLS для передачи клиентских сертификатов.

    Преобразования маркеров, использующие сертификат X.509 в качестве входного маркера, требуют, чтобы сертификат был представлен с использованием двустороннего TLS, чтобы рукопожатие TLS могло подтвердить право собственности на клиентский сертификат. Обычный способ получения клиентского сертификата с двусторонним TLS — использование Атрибут javax.servlet.request.X509Certificate в запросе сервлета.

    Однако в развертываниях с разгрузкой TLS разгрузчик должен использовать заголовок HTTP для передачи сертификата получателю. Это свойство конфигурации является именем заголовка HTTP, значение которого содержит сертификат.

    Доверенные удаленные узлы

    Указывает один или несколько IP-адресов узлов, доверенных для передачи клиентских сертификатов X.509 в развертываниях с разгрузкой TLS.

    Чтобы разрешить передачу сертификата любому хосту, укажите любой в качестве значения этого свойства.

    Как и в случае со свойством ключа заголовка сертификата клиента, настройте это свойство для развертываний с разгрузкой TLS.

    4.2. Свойства конфигурации SOAP STS

    Элемент URL-адреса развертывания

    Указывает строку, идентифицирующую этот экземпляр SOAP STS.

    Элемент Deployment Url является компонентом конечной точки экземпляра SOAP STS. Например, если вы указали mySOAPSTSInstance в качестве элемента URL-адреса развертывания, конечной точкой SOAP STS будет / SOAP STS .war Имя файла myRealm/mySOAPSTSInstance .

    Общие свойства конфигурации

    Ниже приведены общие свойства конфигурации для экземпляров SOAP STS:

    Сохранять выпущенные маркеры в основном хранилище маркеров

    Указывает, следует ли включить сохранение маркеров в базовой службе маркеров (CTS).

    AM сохраняет все маркеры, выпущенные службой STS, в CTS, если включено сохранение маркеров. Время жизни маркера в CTS имеет ту же длину, что и свойство Token Lifetime, указанное для выпущенных маркеров.

    Для проверки и отмены маркеров STS необходимо, чтобы маркеры присутствовали в CTS. Поэтому, если ваше развертывание требует проверки и отмены токена, вы должны включить сохранение токена.

    Выпущенные маркеры

    Указывает типы маркеров, которые этот экземпляр STS SOAP выдает в качестве выходных маркеров для преобразования маркеров.

    Security Policy Validated Token

    Указывает тип SupportingToken в привязках WS-SecurityPolicy в WSDL развертывания SOAP STS, а также должен ли сеанс AM, созданный во время преобразования токена, быть признан недействительным после выдачи токена.

    Свойства конфигурации развертывания

    Ниже приведены свойства конфигурации развертывания для экземпляров SOAP STS:

    Целевые сопоставления аутентификации

    Указывает одно или несколько сопоставлений, которые определяют, как экземпляр SOAP STS должен аутентифицировать входные токены.

    Каждое сопоставление представляет собой набор аргументов, разделенных символом | символов следующим образом:

    1. (обязательно) Тип токена ввода: USERNAME , OPENAM или X509 .

    2. (Обязательно) Значение сервис или модуль . Если третий аргумент — цепочка аутентификации, укажите service . Если третий аргумент — модуль аутентификации, укажите модуль .

    3. (Обязательно) Имя цепочки аутентификации AM или модуля, для которого аутентифицируется входной токен.

    4. (Необязательно) Имя заголовка, в который следует поместить токен при аутентификации в AM. Для X509 входных токенов, формат x509_token_auth_target_header_key= Имя заголовка .

       Обязательно укажите имя заголовка, настроенное в свойствах модуля проверки подлинности сертификата, в качестве аргумента Имя заголовка .

    Ниже приведены примеры сопоставлений:

    • USERNAME|service|myLDAPChain настраивает STS для аутентификации входных токенов USERNAME для myLDAPChain 9Цепочка аутентификации 0008.

    • X509|module|CertModule|x509_token_auth_target_header_key=ClientCert настраивает STS для получения сертификата X.509 из заголовка ClientCert , использования его в качестве входного маркера и аутентификации с помощью модуля аутентификации

    • CertMod00.

    URL-адрес OpenAM

    Указывает URL-адрес AM. Например, https://openam.example.com:8443/openam .

    Файл Wsdl, ссылающийся на выбор привязки политики безопасности

    Указывает поддерживающий тип маркера и привязку политики безопасности для защиты экземпляра SOAP STS. Этот выбор определит привязки SecurityPolicy в файле wsdl, определяющем API WS-Trust.

    При выборе параметра Пользовательский файл wsdl необходимо указать путь к пользовательскому файлу WSDL в свойстве Пользовательский файл wsdl.

    Пользовательский файл wsdl

    Указывает путь к пользовательскому файлу WSDL, определяющему API WS-Trust.

    Custom Service QName

    Указывает атрибут name элемента wsdl:service . Настройте это свойство при использовании пользовательского файла WSDL.

    Пользовательский порт QName

    Указывает атрибут name элемента wsdl:port . Настройте это свойство при использовании пользовательского файла WSDL.

    Поддерживаемые отношения делегирования

    Включите этот параметр, если сообщения маркера безопасности запроса могут включать wst14:ActAs или wst:OnBehalfOf параметров. Обратите внимание, что вы должны включить этот параметр, если экземпляр SOAP STS выдает утверждения SAML v2.0 с SenderVouches подтверждениями субъекта.

    Типы делегированных токенов

    Указывает типы поддержки проверки, которые следует включить в экземпляре SOAP STS для токенов USERNAME и OPENAM в wst14:ActAs или в параметрах безопасности запроса к запросу to9BehalfO00: .

    Если экземпляр SOAP STS поддерживает отношения делегирования, настройте либо свойство Типы делегированных маркеров, либо свойство Пользовательские обработчики делегирования, но не оба свойства.

    Пользовательские обработчики делегирования

    Указывает пользовательские обработчики, реализующие интерфейс org.apache.cxf.sts.token.delegation.TokenDelegationHandler . Обработчики обеспечивают поддержку проверки токенов в wst14:ActAs или wst:OnBehalfOf 9.0008 параметры, указанные в сообщениях токена безопасности запроса. Пользовательские обработчики делегирования обычно используются, когда маркеры являются пользовательскими маркерами.

    Если экземпляр SOAP STS поддерживает отношения делегирования, настройте либо свойство Типы делегированных маркеров, либо свойство Пользовательские обработчики делегирования, но не оба свойства.

    Свойства конфигурации хранилища ключей SOAP

    Ниже приведены свойства конфигурации хранилища ключей SOAP для экземпляров SOAP STS:

    Расположение хранилища ключей Soap

    Указывает путь к хранилищу ключей JKS, содержащему ключи для подписи и шифрования при использовании симметричных и асимметричных привязок с обменом сообщениями SOAP. Укажите абсолютный путь или местоположение в пути к классам AM.

    Обратите внимание, что свойство Выбор привязки политики безопасности, ссылающееся на файл Wsdl, определяет привязку для экземпляра SOAP STS.

    AM предоставляет хранилище ключей JKS с демонстрационными ключами, /path/to/openam/openam/keystore.jks . Дополнительные сведения о хранилищах ключей AM см. в разделе «Настройка секретов, сертификатов и ключей» в Руководстве по установке и обслуживанию .

    Пароль хранилища ключей

    Указывает пароль, используемый для расшифровки хранилища ключей.

    Псевдоним ключа подписи

    Указывает псевдоним ключа в хранилище ключей, используемом для подписи сообщений из этого экземпляра SOAP STS. Это свойство необходимо настроить при использовании асимметричной привязки.

    Ключ подписи Пароль

    Задает пароль для ключа подписи.

    Псевдоним ключа расшифровки

    Указывает псевдоним ключа в хранилище ключей, используемом этим экземпляром STS SOAP для расшифровки клиентских сообщений для асимметричной привязки и для расшифровки сгенерированного клиентом симметричного ключа для симметричной привязки.

    Пароль ключа расшифровки

    Задает пароль для ключа расшифровки.

    4.3. Общие свойства конфигурации STS

    Эти свойства доступны как на страницах конфигурации REST, так и на страницах конфигурации STS.

    Свойства конфигурации выданного токена SAML v2.0

    В этом разделе перечислены свойства конфигурации, связанные с выданными STS утверждениями SAML v2.0 как для REST, так и для экземпляров SOAP STS. Свойства делятся на две категории:

    1. Свойства, определяющие содержимое в утверждении SAML v2.0, выданном STS. Сведения об утверждениях SAML версии 2.0 см. в разделе Утверждения и протоколы для языка разметки утверждений безопасности OASIS (SAML) версии 2.0.

    2. Свойства, определяющие, как выданное утверждение SAML v2.0 подписывается или шифруется.

    Идентификатор издателя SAML2

    Указывает идентификатор объекта IdP. Заполняет элемент Issuer утверждения SAML v2. 0.

    Идентификатор объекта поставщика услуг

    Задает значение атрибута аудитории. Заполняет подэлемент AudienceRestriction элемента Conditions утверждения SAML v2.0.

    Это значение требуется при выдаче утверждений Bearer.

    URL-адрес службы подтверждения поставщика услуг

    Задает значение атрибута получателя. Заполняет подэлемент Recipient элемента SubjectConfirmation утверждения SAML v2.0.

    Настроенная схема, полное доменное имя и порт должны в точности совпадать с данными поставщика услуг, указанными в его метаданных.

    Это значение требуется при выдаче утверждений Bearer.

    NameIdFormat

    Задает формат идентификатора имени для утверждения SAML v2.0.

    Время жизни маркера

    Задает время жизни утверждения в секундах. По умолчанию 600 секунд.

    Имя класса поставщика настраиваемых условий

    Указывает имя настраиваемого класса, который создает элемент Conditions в утверждении SAML v2. 0. Это свойство является необязательным: используйте пользовательский класс, когда Условия Элемент, созданный поставщиком по умолчанию, не соответствует вашим потребностям.

    Класс должен реализовывать интерфейс org.forgerock.openam.sts.tokengeneration.saml2.statements.ConditionsProvider и должен быть включен в файл AM .war .

    Имя класса поставщика таможенного субъекта

    Указывает имя пользовательского класса, который создает элемент Subject в утверждении SAML v2.0. Это свойство является необязательным: используйте пользовательский класс, когда Элемент Subject , созданный провайдером по умолчанию, не соответствует вашим потребностям.

    Класс должен реализовывать интерфейс org.forgerock.openam.sts.tokengeneration.saml2.statements.SubjectProvider и должен быть включен в файл AM .war .

    Имя класса Custom AuthenticationStatements

    Указывает имя пользовательского класса, который создает элемент AuthnStatement в утверждении SAML v2. 0. Это свойство является необязательным: используйте пользовательский класс, когда Элемент AuthnStatement , созданный поставщиком по умолчанию, не соответствует вашим потребностям.

    Класс должен реализовывать интерфейс org.forgerock.openam.sts.tokengeneration.saml2.statements.AuthenticationStatementsProvider и должен быть включен в файл AM .war .

    Имя класса Custom AttributeStatements

    Задает имя пользовательского класса, который создает элемент AttributeStatement в утверждении SAML v2.0. Это свойство является необязательным: используйте пользовательский класс, когда Элемент AttributeStatement , созданный поставщиком по умолчанию, не соответствует вашим потребностям.

    Класс должен реализовывать интерфейс org.forgerock.openam.sts.tokengeneration.saml2.statements.AttributeStatementsProvider и должен быть включен в файл AM .war .

    Пользовательские заявления о принятии решения об авторизации Имя класса

    Указывает имя пользовательского класса, который создает элемент AuthzDecisionStatement в утверждении SAML v2. 0. Это свойство является необязательным: используйте пользовательский класс, когда Элемент AuthzDecisionStatement , созданный поставщиком по умолчанию, не соответствует вашим потребностям.

    Класс должен реализовывать интерфейс org.forgerock.openam.sts.tokengeneration.saml2.statements.AuthzDecisionStatementsProvider и должен быть включен в файл AM .war .

    Имя класса пользовательского преобразователя атрибутов

    Указывает имя класса пользовательского преобразователя атрибутов. Преобразователь атрибутов генерирует элементов атрибута для включения в утверждение SAML v2.0.

    Класс должен реализовывать интерфейс org.forgerock.openam.sts.tokengeneration.saml2.statements.AttributeMapper и должен быть включен в файл AM .war .

    Имя класса пользовательского контекста аутентификации

    Указывает имя пользовательского класса, который создает элемент AuthnContext в утверждении SAML v2. 0. Это свойство является необязательным: используйте пользовательский класс, если элемент AuthnContext , созданный поставщиком по умолчанию, не соответствует вашим потребностям.

    Класс должен реализовывать интерфейс org.forgerock.openam.sts.tokengeneration.saml2.statements.AuthnContextMapper и должен быть включен в файл AM .war .

    По умолчанию AM создает элемент AuthnContext на основе типа входного маркера следующим образом:

    • Для входных маркеров AM: urn:oasis:names:tc:SAML:2.0:ac:classes:PreviousSession

      8

    • Для входных токенов имени пользователя и токенов OpenID Connect ID: urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

    • Для входных токенов X.509: urn:oasis:names:tc:SAML:2.0:ac:classes:X509

      2

    Сопоставления атрибутов

    Настраивает сопоставления между именами атрибутов SAML v2. 0 — ключи сопоставления — и атрибутами профиля пользователя AM или свойствами сеанса для создания элементов атрибута в утверждении SAML v2.0.

    Преобразователь атрибутов AM по умолчанию генерирует Элементы атрибута следующим образом:

    При указании ключей сопоставления в свойстве сопоставления атрибутов используйте следующий формат: [NameFormatURI]|SAML_ATTRIBUTE_NAME .

    Значения сопоставления, заключенные в кавычки, включаются в атрибут без сопоставления. Укажите ';binary' в конце значения карты для атрибутов, которые имеют двоичные значения.

    Ниже приведены примеры сопоставлений атрибутов:

    • EmailAddress=mail

    • Адрес = pestaladdress

    • Урн: Оазис: Имена: TC: SAML: 2,0: Атримат-формат: URI | Урн: MACE: DIR: ATRIBUTE-DEF: CN = CN 903

    • .

      PartnerId = "staticPartnerIdValue"

    • Урн: Оазис: Имена: TC: SAML: 2. 0: ATTRNAME-Format: URI | nameid = "StaticNameIdvalue"

    • ;

    • urn:oasis:names:tc:SAML:2.0:attrname-format:uri|photo=photo;binary

    Подписать утверждение

    Указывает, следует ли подписывать утверждение SAML v2.0.

    При включении подписи утверждения необходимо также указать свойства KeystorePath, Пароль хранилища ключей, Псевдоним ключа подписи и Пароль ключа подписи.

    Зашифровать утверждение

    Указывает, следует ли шифровать все утверждение SAML v2.0. При включении шифрования с подтверждением:

    • Необходимо также указать свойства KeystorePath, Пароль хранилища ключей и Псевдоним ключа шифрования.

    • Не следует указывать параметры шифрования атрибутов или шифрования имени.

    Псевдоним ключа шифрования соответствует открытому ключу поставщика услуг, который является целевой аудиторией утверждения. Шифрование утверждения SAML v2.0 работает следующим образом:

    1. AM создает симметричный ключ.

    2. AM шифрует симметричный ключ открытым ключом получателя.

    3. AM включает зашифрованный ключ в ту часть утверждения, которая не зашифрована с помощью симметричного ключа.

    4. Поставщик услуг — владелец соответствующего закрытого ключа — использует закрытый ключ для расшифровки симметричного ключа, включенного в утверждение.

    5. Затем поставщик услуг может использовать расшифрованный симметричный ключ для расшифровки утверждения.

    Зашифровать атрибуты

    Указывает, следует ли шифровать только атрибуты подтверждения. При указании этой опции не указывайте опцию Encrypt Assertion.

    При шифровании атрибутов необходимо также указать свойства KeystorePath, Пароль хранилища ключей и Псевдоним ключа шифрования.

    Зашифровать NameID

    Указывает, следует ли шифровать только NameID утверждения. При указании этой опции не указывайте опцию Encrypt Assertion.

    При шифровании NameID необходимо также указать свойства KeystorePath, Keystore Password и Encryption Key Alias.

    Алгоритм шифрования

    Указывает алгоритм шифрования, который следует использовать при шифровании всего утверждения, атрибутов утверждения или NameID.

    Алгоритм передачи ключей

    Указывает алгоритм, используемый для шифрования ключа симметричного шифрования, когда включено шифрование токена SAML v2.0. Возможные значения:

    • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.

    • http://www.w3.org/2009/xmlenc11#rsa-oaep.

      Если этот алгоритм сконфигурирован, AM будет использовать свойство алгоритма функции создания маски (Конфигурация > Глобальные службы > Конфигурация общей федерации) для шифрования транспортного ключа.

      Список поддерживаемых алгоритмов функции генерации маски см. в разделе «Алгоритмы» в справочнике Reference .

    • Указывает путь к хранилищу ключей JKS, содержащему псевдонимы ключей SAML для шифрования и подписания. Укажите абсолютный путь или местоположение в пути к классам AM.

      AM предоставляет хранилище ключей JKS с демонстрационными ключами, /path/to/openam/openam/keystore.jks . Дополнительные сведения о хранилищах ключей AM см. в разделе «Настройка секретов, сертификатов и ключей» в Руководстве по установке и обслуживанию .

    Пароль хранилища ключей

    Указывает пароль, используемый для расшифровки хранилища ключей.

    Псевдоним ключа шифрования

    Указывает псевдоним ключа в хранилище ключей, которое содержит сертификат X.509 поставщика услуг для этого экземпляра STS. Этот псевдоним ключа используется для шифрования утверждений.

    Token Lifetime

    Задает время жизни утверждения в секундах. По умолчанию 600 секунд.

    Имя класса поставщика настраиваемых условий

    Указывает имя настраиваемого класса, который создает элемент Conditions в утверждении SAML v2. 0. Это свойство является необязательным: используйте пользовательский класс, если элемент Conditions , созданный поставщиком по умолчанию, не соответствует вашим потребностям.

    Класс должен реализовать org.forgerock.openam.sts.tokengeneration.saml2.statements.ConditionsProvider и должен быть включен в файл AM .war .

    Имя класса поставщика таможенного субъекта

    Указывает имя пользовательского класса, который создает элемент Subject в утверждении SAML v2.0. Это свойство является необязательным: используйте пользовательский класс, если элемент Subject , созданный поставщиком по умолчанию, не соответствует вашим потребностям.

    Класс должен реализовать org.forgerock.openam.sts.tokengeneration.saml2.statements.SubjectProvider и должен быть включен в файл AM .war .

    Имя класса Custom AuthenticationStatements

    Указывает имя пользовательского класса, который создает элемент AuthnStatement в утверждении SAML v2. 0. Это свойство является необязательным: используйте пользовательский класс, если элемент AuthnStatement , созданный поставщиком по умолчанию, не соответствует вашим потребностям.

    Класс должен реализовывать интерфейс org.forgerock.openam.sts.tokengeneration.saml2.statements.AuthenticationStatementsProvider и должен быть включен в файл AM .war .

    Имя класса Custom AttributeStatements

    Задает имя пользовательского класса, который создает элемент AttributeStatement в утверждении SAML v2.0. Это свойство является необязательным: используйте пользовательский класс, если элемент AttributeStatement , созданный поставщиком по умолчанию, не соответствует вашим потребностям.

    Класс должен реализовывать интерфейс org.forgerock.openam.sts.tokengeneration.saml2.statements.AttributeStatementsProvider и должен быть включен в файл AM .war .

    Пользовательские заявления о принятии решения об авторизации Имя класса

    Указывает имя пользовательского класса, который создает элемент AuthzDecisionStatement в утверждении SAML v2. 0. Это свойство является необязательным: используйте пользовательский класс, когда AuthzDecisionStatement 9Элемент 0008, созданный поставщиком по умолчанию, не соответствует вашим потребностям.

    Класс должен реализовывать интерфейс org.forgerock.openam.sts.tokengeneration.saml2.statements.AuthzDecisionStatementsProvider и должен быть включен в файл AM .war .

    Имя класса пользовательского преобразователя атрибутов

    Указывает имя класса пользовательского преобразователя атрибутов. Преобразователь атрибутов генерирует элементов атрибута для включения в утверждение SAML v2.0.

    Класс должен реализовывать интерфейс org.forgerock.openam.sts.tokengeneration.saml2.statements.AttributeMapper и должен быть включен в файл AM .war .

    Имя класса пользовательского контекста аутентификации

    Указывает имя пользовательского класса, который создает элемент AuthnContext в утверждении SAML v2. 0. Это свойство является необязательным: используйте пользовательский класс, если элемент AuthnContext , созданный поставщиком по умолчанию, не соответствует вашим потребностям.

    Класс должен реализовывать интерфейс org.forgerock.openam.sts.tokengeneration.saml2.statements.AuthnContextMapper и должен быть включен в файл AM .war .

    По умолчанию AM создает элемент AuthnContext на основе типа входного маркера следующим образом:

    • Для входных маркеров AM: urn:oasis:names:tc:SAML:2.0:ac:classes:PreviousSession

      8

    • Для входных токенов имени пользователя и токенов OpenID Connect ID: urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

    • Для входных токенов X.509: urn:oasis:names:tc:SAML:2.0:ac:classes:X509

      2

    Сопоставления атрибутов

    Настраивает сопоставления между именами атрибутов SAML v2. 0 — ключи сопоставления — и атрибутами профиля пользователя AM или свойствами сеанса для создания элементов атрибута в утверждении SAML v2.0.

    Преобразователь атрибутов AM по умолчанию генерирует Элементы атрибута следующим образом:

    При указании ключей сопоставления в свойстве сопоставления атрибутов используйте следующий формат: [NameFormatURI]|SAML_ATTRIBUTE_NAME .

    Значения сопоставления, заключенные в кавычки, включаются в атрибут без сопоставления. Укажите ';binary' в конце значения карты для атрибутов, которые имеют двоичные значения.

    Ниже приведены примеры сопоставлений атрибутов:

    • EmailAddress=mail

    • Адрес = pestaladdress

    • Урн: Оазис: Имена: TC: SAML: 2,0: Атримат-формат: URI | Урн: MACE: DIR: ATRIBUTE-DEF: CN = CN 903

    • .

      PartnerId = "staticPartnerIdValue"

    • Урн: Оазис: Имена: TC: SAML: 2. 0: ATTRNAME-Format: URI | nameid = "StaticNameIdvalue"

    • ;

    • urn:oasis:names:tc:SAML:2.0:attrname-format:uri|photo=photo;binary

    Подписать утверждение

    Указывает, следует ли подписывать утверждение SAML v2.0.

    При включении подписи утверждения необходимо также указать свойства KeystorePath, Пароль хранилища ключей, Псевдоним ключа подписи и Пароль ключа подписи.

    Зашифровать утверждение

    Указывает, следует ли шифровать все утверждение SAML v2.0. При включении шифрования с подтверждением:

    • Необходимо также указать свойства KeystorePath, Пароль хранилища ключей и Псевдоним ключа шифрования.

    • Не следует указывать параметры шифрования атрибутов или шифрования имени.

    Псевдоним ключа шифрования соответствует открытому ключу поставщика услуг, который является целевой аудиторией утверждения. Шифрование утверждения SAML v2.0 работает следующим образом:

    1. AM создает симметричный ключ.

    2. AM шифрует симметричный ключ открытым ключом получателя.

    3. AM включает зашифрованный ключ в ту часть утверждения, которая не зашифрована с помощью симметричного ключа.

    4. Поставщик услуг — владелец соответствующего закрытого ключа — использует закрытый ключ для расшифровки симметричного ключа, включенного в утверждение.

    5. Затем поставщик услуг может использовать расшифрованный симметричный ключ для расшифровки утверждения.

    Зашифровать атрибуты

    Указывает, следует ли шифровать только атрибуты подтверждения. При указании этой опции не указывайте опцию Encrypt Assertion.

    При шифровании атрибутов необходимо также указать свойства KeystorePath, Пароль хранилища ключей и Псевдоним ключа шифрования.

    Зашифровать NameID

    Указывает, следует ли шифровать только NameID утверждения. При указании этой опции не указывайте опцию Encrypt Assertion.

    При шифровании NameID необходимо также указать свойства KeystorePath, Keystore Password и Encryption Key Alias.

    Алгоритм шифрования

    Указывает алгоритм шифрования, который следует использовать при шифровании всего утверждения, атрибутов утверждения или NameID.

    KeystorePath

    Указывает путь к хранилищу ключей JKS, содержащему псевдонимы ключей для шифрования и подписания утверждений SAML. Укажите абсолютный путь или местоположение в пути к классам AM.

    AM предоставляет хранилище ключей JKS с демонстрационными ключами, /path/to/openam/openam/keystore.jks . Дополнительные сведения о хранилищах ключей AM см. в разделе «Настройка секретов, сертификатов и ключей» в главе 9.0011 Руководство по установке и обслуживанию .

    Пароль хранилища ключей

    Указывает пароль, используемый для расшифровки хранилища ключей.

    Псевдоним ключа шифрования

    Указывает псевдоним ключа в хранилище ключей, которое содержит сертификат X.509 поставщика услуг для этого экземпляра STS. Этот псевдоним ключа используется для шифрования утверждений.

    Псевдоним ключа подписи

    Указывает псевдоним закрытого ключа в хранилище ключей, используемый для подписи утверждений.

    Пароль ключа подписи

    Указывает пароль закрытого ключа, используемого для подписи утверждения.

    Свойства конфигурации выданного токена OpenID Connect

    В этом разделе перечислены свойства конфигурации, связанные с выданными STS маркерами OpenID Connect для экземпляров REST и SOAP STS. Свойства делятся на две категории:

    1. Свойства, определяющие содержимое выданного токена OpenID Connect ID. Сведения о токенах OpenID Connect ID см. в спецификации OpenID Connect Core 1.0.

    2. Свойства, определяющие способ подписи выпущенного токена.

    Экземпляр STS, настроенный для выпуска токенов OpenID Connect, моделирует отношения между поставщиком токенов OpenID Connect и проверяющей стороной. Другими словами, экземпляр STS выдает токены для конкретного клиента OAuth 2.0. Маркеры содержат утверждения aud и azp для клиента OAuth 2.0, а также состояние ключа подписи, соответствующее поставщику маркера.

    В этой модели, когда пользователи вызывают экземпляр STS для создания токена OpenID Connect ID, процесс аналогичен обмену между сервером авторизации OAuth 2.0 и владельцем ресурса после первоначального перенаправления от клиента OAuth 2.0, инициирующего неявный поток. Экземпляр STS возвращает токен OpenID Connect ID, который соответствует аутентификации владельца ресурса на сервере авторизации. AM аутентифицирует одно из следующих:

    • Для REST STS маркер, указанный как input_token_state для преобразования маркера моделью является представление о том, что токен OpenID Connect ID имеет значение вне потока OAuth 2. 0 и что клиент OAuth 2.0 как проверяющая сторона может быть обобщен как поставщик услуг SAML v2.0. Идентификационный токен — это не просто предоставляемый объектом проверяемый авторизованный доступ к определенному ресурсу, а скорее универсальный поставщик услуг, который использует токен OpenID Connect ID для аутентификации и авторизации субъекта, подтвержденного токеном.

      Таким образом, конфигурация экземпляра STS, выдающего маркеры OpenID Connect ID, содержит информацию, определяющую поставщика маркера и проверяющую сторону.

      Обратите внимание, что утверждение nonce в маркере ID не является свойством конфигурации экземпляра STS. Потребители STS, запрашивающие выходной токен OpenID Connect, предоставляют значение nonce при выполнении запросов на преобразование токена.

      Идентификатор поставщика токенов OpenID Connect

      Указывает идентификатор поставщика токенов OpenID Connect. Заполняет iss утверждение токена ID.

      Время жизни токена

      Указывает в секундах срок действия токена идентификатора. Заполняет утверждение exp маркера идентификатора.

      Алгоритм подписи токена

      Указывает алгоритм HMAC или RSA, используемый для подписи токенов ID.

      Тип ссылки на открытый ключ

      Указывает, как следует ссылаться на открытые ключи в выпущенных токенах ID, подписанных с помощью RSA. Токены OpenID Connect ID выпускаются как веб-токены JSON (JWT). Токены могут ссылаться на открытые ключи RSA как на веб-ключи JSON (JWK) или вообще не ссылаться.

      Используется с подписью RSA.

      Расположение хранилища ключей

      Указывает путь к хранилищу ключей JKS, содержащему псевдоним ключа для подписи токена идентификатора. Укажите абсолютный путь или местоположение в пути к классам AM.

      Используется с подписью RSA.

      AM предоставляет хранилище ключей JKS с демонстрационными ключами, /path/to/openam/openam/keystore. jks . Дополнительные сведения о хранилищах ключей AM см. в разделе «Настройка секретов, сертификатов и ключей» в Руководстве по установке и обслуживанию . .

      Пароль хранилища ключей

      Указывает пароль, используемый для расшифровки хранилища ключей.

      Используется с подписью RSA.

      KeyStore Псевдоним ключа подписи

      Задает псевдоним закрытого ключа в хранилище ключей, используемый для подписи токена ID.

      Используется с подписью RSA.

      Пароль ключа подписи

      Указывает пароль псевдонима закрытого ключа, используемого для подписи токена идентификатора.

      Используется с подписью RSA.

      Секрет клиента

      Указывает секрет, совместно используемый клиентом и генератором идентификатора маркера, который используется для подписания идентификатора маркера.

      Используется с подписью HMAC.

      Выпущенные токены Аудитория

      Указывает предполагаемую аудиторию для токена ID. Заполняет утверждение и маркера идентификатора.

      Авторизованная сторона

      Указывает сторону, которой выдается маркер идентификации. Заполняет azp утверждение токена идентификатора.

      Карта утверждений

      Указывает дополнительные записи утверждений, которые должны быть вставлены в токен идентификатора.

      Указывает записи в формате имя_заявки = атрибут_профиля_пользователя . При выдаче маркера идентификатора AM заполняет значение утверждения значением атрибута в профиле аутентифицированного пользователя.

      Например, предположим, что свойство карты претензии имеет запись со значением электронная почта=почта . Сгенерированный токен OpenID Connect ID для пользователя Sam Carter будет содержать утверждение "email":"[email protected]" , если атрибут mail в профиле пользователя Sam Carter имеет значение scarter@example. com .

      Класс пользовательского сопоставления утверждений

      Указывает имя класса пользовательского сопоставления утверждений. Сопоставитель утверждений создает дополнительные утверждения для включения в токен OpenID Connect ID.

      Класс должен реализовать org.forgerock.openam.sts.tokengeneration.oidc.OpenIdConntectTokenClaimMapper и должен быть включен в файл AM .war .

      Класс пользовательского сопоставления контекста аутентификации

      Указывает имя пользовательского класса, который создает утверждение acr в маркере OpenID Connect ID. Утверждение acr указывает, какой класс контекста проверки подлинности был удовлетворен проверкой подлинности принципала, утвержденной в маркере OpenID Connect ID. 9Утверждение 0007 acr является необязательным и по умолчанию не включается в сгенерированный токен идентификатора.

      Для экземпляров REST STS класс должен реализовывать интерфейс org. forgerock.openam.sts.rest.token.provider.oidc.OpenIdConnectTokenAuthnContextMapper и должен быть включен в файл AM .war .

      Для экземпляров SOAP STS класс должен реализовывать интерфейс org.forgerock.openam.sts.soap.token.provider.oidc.SoapOpenIdConnectTokenAuthnContextMapper и должен быть включен в развертывание SOAP STS .war файл.

      Пользовательские методы аутентификации ссылаются на класс преобразователя

      Указывает имя пользовательского класса, который генерирует утверждение amr в маркере OpenID Connect ID. Утверждение amr указывает, какие методы проверки подлинности использовались для проверки подлинности принципала, заявленного в маркере OpenID Connect ID. Утверждение amr является необязательным и по умолчанию не включается в сгенерированный токен идентификатора.

      Для экземпляров REST STS класс должен реализовывать org.forgerock.openam.sts. rest.token.provider.oidc.OpenIdConnectTokenAuthMethodReferencesMapper и должен быть включен в файл AM .war .

      Для экземпляров SOAP STS класс должен реализовывать интерфейс org.forgerock.openam.sts.soap.token.provider.oidc.SoapOpenIdConnectTokenAuthnMethodReferencesMapper и должен быть включен в файл развертывания SOAP STS .war .

      Приложение A. Получение поддержки

      ForgeRock предоставляет услуги поддержки, профессиональные услуги, обучение в Университете ForgeRock и партнерские услуги, чтобы помочь вам в настройке и обслуживании ваших развертываний. Общий обзор этих услуг см. на странице https://www.forgerock.com.

      У ForgeRock есть сотрудники по всему миру, которые поддерживают наших международных клиентов и партнеров. Для получения подробной информации о предложении поддержки ForgeRock, включая планы поддержки и соглашения об уровне обслуживания (SLA), посетите https://www.forgerock.com/support.

      ForgeRock публикует исчерпывающую документацию в Интернете:

      • База знаний ForgeRock предлагает большое и постоянно растущее количество актуальных практических статей, которые помогут вам развертывать программное обеспечение ForgeRock и управлять им.

        Хотя многие статьи видны членам сообщества, клиенты ForgeRock имеют доступ к гораздо большему, включая расширенную информацию для клиентов, использующих программное обеспечение ForgeRock в критически важных целях.

      • Документация по продукту ForgeRock, такая как этот документ, должна быть технически точной и полной в отношении документированного программного обеспечения. Он виден всем и охватывает все функции продукта и примеры их использования.

      Глоссарий

      Управление доступом

      Управление предоставлением или отказом в доступе к ресурсу.

      Блокировка учетной записи

      Действия по временной или постоянной неактивности учетной записи после нескольких неудачных попыток аутентификации.

      Действия

      Определенные как часть политик, эти команды указывают, что авторизованные удостоверения могут делать с ресурсами.

      Совет

      В контексте решения о политике, запрещающего доступ, подсказка для точки применения политики о мерах по исправлению положения, которые могут привести к разрешению доступа.

      Администратор агента

      Пользователь, имеющий права только на чтение и запись информации о конфигурации профиля агента, обычно создаваемой для делегирования создания профиля агента пользователю, устанавливающему веб-агент или агент Java.

      Аутентификатор агента

      Объект с доступом только для чтения к нескольким профилям агентов, определенным в одной области; позволяет агенту читать профили веб-сервисов.

      Приложение

      В общих чертах, служба, раскрывающая защищенные ресурсы.

      В контексте политик AM приложение представляет собой шаблон, ограничивающий политики, управляющие доступом к защищенным ресурсам. Приложение может иметь ноль или более политик.

      Тип приложения

      Типы приложений действуют как шаблоны для создания приложений политики.

      Типы приложений определяют предустановленный список действий и функциональную логику, такую ​​как поиск политик и логика сравнения ресурсов.

      Типы приложений также определяют внутреннюю нормализацию, логику индексирования и логику сравнения для приложений.

      Контроль доступа на основе атрибутов (ABAC)

      Контроль доступа, основанный на атрибутах пользователя, таких как возраст пользователя или является ли пользователь платным клиентом.

      Аутентификация

      Акт подтверждения личности доверителя.

      Цепочка аутентификации

      Ряд модулей аутентификации, настроенных вместе, которые принципал должен согласовать в соответствии с настройками для успешной аутентификации.

      Уровень аутентификации

      Положительное целое число, связанное с модулем аутентификации, обычно используемое для требования успеха с более строгими мерами аутентификации при запросе ресурсов, требующих специальной защиты.

      Модуль аутентификации

      Модуль аутентификации AM, который обрабатывает один из способов получения и проверки учетных данных.

      Авторизация

      Действия по определению того, следует ли предоставить или отказать принципалу в доступе к ресурсу.

      Сервер авторизации

      В OAuth 2.0 выдает маркеры доступа клиенту после аутентификации владельца ресурса и подтверждения того, что владелец разрешает клиенту доступ к защищенному ресурсу. AM может играть эту роль в структуре авторизации OAuth 2.0.

      Автоматическая федерация

      Механизм автоматической федерации удостоверений принципала на основе общего значения атрибута, совместно используемого в профилях принципала у разных поставщиков.

      Массовое объединение

      Пакетное задание постоянного объединения профилей пользователей между поставщиком услуг и поставщиком удостоверений на основе списка совпадающих идентификаторов пользователей, существующих у обоих поставщиков.

      Круг доверия

      Группа провайдеров, включая как минимум одного провайдера идентификации, которые согласились доверять друг другу участие в федерации провайдеров SAML v2.0.

      Клиент

      В OAuth 2.0 запрашивает защищенные веб-ресурсы от имени владельца ресурса с авторизацией владельца. AM может играть эту роль в структуре авторизации OAuth 2.0.

      Клиентские токены OAuth 2.0

      После успешного потока предоставления OAuth 2.0 AM возвращает токен клиенту. Это отличается от токенов OAuth 2.0 на основе CTS, где AM возвращает клиенту ссылку на токен.

      Сеансы на основе клиента

      Сеансы AM, для которых AM возвращает состояние сеанса клиенту после каждого запроса и требует его передачи с последующим запросом. Для клиентов на основе браузера AM устанавливает файл cookie в браузере, который содержит информацию о сеансе.

      Для клиентов на основе браузера AM устанавливает файл cookie в браузере, который содержит состояние сеанса. Когда браузер передает файл cookie обратно в AM, AM декодирует состояние сеанса из файла cookie.

      Условия

      Определенные как часть политики, они определяют обстоятельства, при которых применяется политика.

      Условия окружающей среды отражают такие обстоятельства, как IP-адрес клиента, время суток, способ аутентификации субъекта или достигнутый уровень аутентификации.

      Условия субъекта отражают характеристики субъекта, такие как проверка подлинности субъекта, личность субъекта или утверждения в JWT субъекта.

      Хранилище данных конфигурации

      Служба каталогов LDAP, содержащая данные конфигурации AM.

      Единый междоменный вход (CDSSO)

      Возможность AM, обеспечивающая единый вход в разных доменах DNS.

      Токены OAuth 2.0 на основе CTS

      После успешного потока предоставления OAuth 2.0 AM возвращает ссылка на токен для клиента, а не на сам токен. Это отличается от клиентских токенов OAuth 2. 0, где AM возвращает весь токен клиенту.

      Сеансы на основе CTS

      Сеансы AM, находящиеся в хранилище маркеров Core Token Service. Сеансы на основе CTS также могут кэшироваться в памяти на одном или нескольких серверах AM. AM отслеживает эти сеансы, чтобы обрабатывать такие события, как выход из системы и тайм-аут, разрешать ограничения сеанса и уведомлять приложения, участвующие в SSO, о завершении сеанса.

      Делегирование

      Предоставление пользователям прав администратора с помощью AM.

      Права

      Решение, которое определяет, к каким именам ресурсов можно и нельзя обращаться для данного идентификатора в контексте конкретного приложения, какие действия разрешены, а какие запрещены, а также любые связанные рекомендации и атрибуты.

      Расширенные метаданные

      Информация о конфигурации федерации, специфичная для AM.

      Расширяемый язык разметки управления доступом (XACML)

      Стандартный язык политик управления доступом на основе XML, включая модель обработки для принятия решений об авторизации на основе политик.

      Федерация

      Стандартизированные средства для агрегирования удостоверений, совместного использования данных аутентификации и авторизации между доверенными поставщиками и предоставления принципалам доступа к услугам разных поставщиков без повторной аутентификации.

      Fedlet

      Приложение поставщика услуг, способное участвовать в доверительном круге и разрешать федерацию без установки всего AM на стороне поставщика услуг; AM позволяет создавать Java Fedlets.

      Горячая замена

      Относится к свойствам конфигурации, изменения которых могут вступить в силу без перезапуска контейнера, в котором работает AM.

      Идентификация

      Набор данных, однозначно описывающих человека или вещь, например устройство или приложение.

      Объединение удостоверений

      Связывание удостоверений принципала между несколькими поставщиками.

      Поставщик удостоверений (IdP)

      Объект, который создает утверждения о принципале (например, как и когда аутентификация принципала или что профиль принципала имеет указанное значение атрибута).

      Хранилище удостоверений

      Хранилище данных, содержащее профили пользователей и информацию о группах; разные репозитории удостоверений могут быть определены для разных областей.

      Агент Java

      Веб-приложение Java, установленное в веб-контейнере, которое действует как точка применения политики, фильтруя запросы к другим приложениям в контейнере с помощью политик на основе URL-адресов ресурсов приложений.

      Метаданные

      Информация о конфигурации федерации для поставщика.

      Политика

      Набор правил, определяющих, кому предоставляется доступ к защищенному ресурсу, когда, как и при каких условиях.

      Агент политики

      Агент Java, веб-сайт или пользовательский агент, который перехватывает запросы на ресурсы, направляет принципалов в AM для проверки подлинности и обеспечивает выполнение решений политики от AM.

      Точка администрирования политик (PAP)

      Объект, который управляет и хранит определения политик.

      Точка принятия решений по политике (PDP)

      Объект, который оценивает права доступа и затем выдает решения об авторизации.

      Пункт обеспечения соблюдения политик (PEP)

      Объект, который перехватывает запрос на ресурс и затем применяет решения политики от PDP.

      Точка информации о политике (PIP)

      Объект, предоставляющий дополнительную информацию, такую ​​как атрибуты профиля пользователя, необходимые PDP для принятия решения.

      Принципал

      Представляет сущность, прошедшую проверку подлинности (например, пользователя, устройство или приложение), которая отличается от других сущностей.

      Когда Субъект успешно проходит аутентификацию, AM связывает Субъект с Принципалом.

      Привилегия

      В контексте делегированного администрирования - набор административных задач, которые могут выполняться определенными удостоверениями в данной области.

      Федерация провайдеров

      Соглашение между провайдерами об участии в круге доверия.

      Realm

      Модуль AM для организации информации о конфигурации и идентификации.

      Realms можно использовать, например, когда разные части организации имеют разные приложения и хранилища удостоверений, а также когда разные организации используют одно и то же развертывание AM.

      Администраторы могут делегировать управление областью. Администратор назначает пользователям административные привилегии, позволяя им выполнять административные задачи в пределах области.

      Ресурс

      Что-то, к чему пользователь может получить доступ по сети, например веб-страница.

      Определенные как часть политик, они могут включать подстановочные знаки для соответствия нескольким фактическим ресурсам.

      Владелец ресурса

      В OAuth 2.0 — лицо, которое может разрешить доступ к защищенным веб-ресурсам, например конечный пользователь.

      Сервер ресурсов

      В OAuth 2.0 — сервер, на котором размещаются защищенные веб-ресурсы, способный обрабатывать токены доступа для ответа на запросы таких ресурсов.

      Атрибуты ответа

      Определенные как часть политик, они позволяют AM возвращать дополнительную информацию в форме «атрибутов» с ответом на решение политики.

      Управление доступом на основе ролей (RBAC)

      Управление доступом, основанное на том, предоставлен ли пользователю набор разрешений (роль).

      Язык разметки подтверждения безопасности (SAML)

      Стандартный язык на основе XML для обмена данными аутентификации и авторизации между поставщиками удостоверений и поставщиками услуг.

      Поставщик услуг (SP)

      Объект, который использует утверждения о субъекте (и предоставляет службу, к которой субъект пытается получить доступ).

      Сеанс аутентификации

      Интервал, в течение которого пользователь или объект аутентифицируется в AM.

      Сеанс

      Интервал, который начинается после аутентификации пользователя и заканчивается, когда пользователь выходит из системы или когда его сеанс завершается. Для клиентов на основе браузера AM управляет сеансами пользователей в одном или нескольких приложениях, устанавливая файл cookie сеанса. См. также сеансы на основе CTS и сеансы на основе клиента.

      Высокая доступность сеанса

      Возможность, позволяющая любому серверу AM в кластерном развертывании получать доступ к общей постоянной информации о сеансах пользователей из хранилища токенов CTS. Пользователю не нужно снова входить в систему, если только все развертывание не выйдет из строя.

      Токен сеанса

      Уникальный идентификатор, выдаваемый AM после успешной аутентификации. Для сеансов на основе CTS маркер сеанса используется для отслеживания сеанса принципала.

      Единый выход из системы (SLO)

      Возможность, позволяющая принципалу завершить сеанс один раз, тем самым завершив сеанс в нескольких приложениях.

      Единый вход (SSO)

      Возможность, позволяющая принципалу пройти аутентификацию один раз и получить доступ к нескольким приложениям без повторной аутентификации.

      Сайт

      Группа серверов AM, настроенных одинаково, доступ к которым осуществляется через уровень балансировки нагрузки. Балансировщик нагрузки обрабатывает отказоустойчивость, чтобы обеспечить доступность на уровне обслуживания.

      Балансировщик нагрузки также можно использовать для защиты служб AM.

      Стандартные метаданные

      Стандартная информация о конфигурации федерации, которой можно поделиться с другим программным обеспечением управления доступом.

      Служба без отслеживания состояния

      Службы без сохранения состояния не хранят никаких данных локально в службе. Когда службе требуются данные для выполнения какого-либо действия, она запрашивает их из хранилища данных. Например, служба проверки подлинности без сохранения состояния сохраняет состояние сеанса для вошедших в систему пользователей в базе данных. Таким образом, любой сервер в развертывании может восстановить сеанс из базы данных и служебных запросов для любого пользователя.

      Все службы AM не имеют состояния, если не указано иное. См. также Сеансы на основе клиента и Сеансы на основе CTS.

      Субъект

      Объект, который запрашивает доступ к ресурсу

      Когда удостоверение успешно проходит аутентификацию, AM связывает удостоверение с Принципалом, который отличает его от других удостоверений. Идентификатор может быть связан с несколькими принципалами.

      Хранилище удостоверений

      Служба хранения данных, содержащая профили принципалов; базовым хранилищем может быть служба каталогов LDAP или пользовательское Реализация IdRepo .

      Веб-агент

      Собственная библиотека, установленная на веб-сервере, которая действует как точка применения политик с политиками, основанными на URL-адресах веб-страниц.

      Замена сертификата STS для SharePoint Server — SharePoint Server

      • Статья
      • 21. 02.2023
      • 3 минуты на чтение

      ПРИМЕНЯЕТСЯ К: 2013 2016 2019 Подписка SharePoint в Microsoft 365

      В этом разделе содержится информация о замене сертификата службы токенов безопасности SharePoint (STS) в ферме SharePoint.

      Требования к сертификату

      Приобретите сертификат в доверенном центре сертификации, создайте новый сертификат из собственной инфраструктуры PKI (например, службы сертификации Active Directory) или создайте самозаверяющий сертификат (созданный с помощью certreq.exe или New-SelfSignedCertificate ). Сертификат должен использовать шифрование 2048 бит или выше.

      Чтобы заменить сертификат STS, вам потребуется открытый сертификат (CER) и открытый сертификат с закрытым ключом (PFX) и понятное имя сертификата.

      Сертификат следует заменить во время периода обслуживания, поскольку необходимо перезапустить службу таймера SharePoint (SPTimerV4).

      Срок действия общедоступных сертификатов и частных сертификатов по умолчанию истекает в течение 1–3 лет в зависимости от указанного срока действия. Эту процедуру следует выполнять, когда сертификат требует обновления.

      Примечание

      Сертификат STS по умолчанию не требует обновления. Продление применяется только после замены сертификата STS.

      Чтобы создать самозаверяющий сертификат, выберите метод создания и выполните следующие действия.

      Совет

      Общее имя и DNS-имя могут быть установлены на любое значение.

      Примечание

      Закрытые ключи и пароли сертификатов являются конфиденциальными. Используйте надежный пароль и надежно сохраните файл PFX.

      Новый самоподписанный сертификат

       New-SelfSignedCertificate -DnsName 'sts.contoso.com' -KeyLength 2048 -FriendlyName 'Сертификат SharePoint STS' -CertStoreLocation 'cert:\LocalMachine\My' -KeySpec KeyExchange
      $password = ConvertTo-SecureString "P@ssw0rd1!" -Force -AsPlainText
      $cert = Get-ChildItem "cert:\localmachine\my" | ?{$_.Subject -eq "CN=sts.contoso.com"}
      Export-PfxCertificate -Cert $cert -Password $password -FilePath C:\sts. pfx
      Export-Certificate -Cert $cert -Type CERT -FilePath C:\sts.cer
       

      В этом примере создается новый сертификат с DNS-именем «sts.contoso.com» и общим именем «CN=sts.contoso.com». Общее имя автоматически устанавливается Командлет New-SelfSignedCertificate . Затем, используя безопасный пароль, мы экспортируем PFX (sts.pfx) и общедоступный сертификат (sts.cer).

      Certreq

      Создайте новый файл request.inf для сертификата. При необходимости отрегулируйте тему из приведенного ниже примера.

       [Версия]
      Подпись="$Windows NT$
      [Новый запрос]
      FriendlyName = "Сертификат SharePoint STS"
      Тема = "CN=sts.contoso.com"
      длина ключа = 2048
      Ключалгоритм = RSA
      KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE | CERT_DIGITAL_SIGNATURE_KEY_USAGE"
      KeySpec = "AT_KEYEXCHANGE"
      МашинКейСет = Истина
      Рекесттипе = сертификат
      Экспортаблеэнкриптед = истина
      [Строки]
      szOID_ENHANCED_KEY_USAGE = "2.5.290,37 дюйма
      szOID_PKIX_KP_SERVER_AUTH = "1.3.6.1.5.5.7.3.1"
      szOID_PKIX_KP_CLIENT_AUTH = "1. 3.6.1.5.5.7.3.2"
      [Расширения]
      %szOID_ENHANCED_KEY_USAGE%="{текст}%szOID_PKIX_KP_SERVER_AUTH%,"
      _continue_ = "%szOID_PKIX_KP_CLIENT_AUTH%"
       

      В командной строке с повышенными привилегиями выполните следующую команду, чтобы создать и установить сертификат в хранилище локального компьютера. После установки сертификата появится диалоговое окно сохранения. Измените тип Сохранить как на Файлы сертификатов и сохраните файл как 9.0007 C:\sts.cer .

       certreq-новый запрос.inf
      certutil -store Мой "sts.contoso.com"
       

      скопируйте вывод SerialNumber из второй команды и используйте его в следующей команде. Замените фактическим значением.

       certutil -exportPFX -p "P@ssw0rd1!" CA <серийный номер> C:\sts.pfx
       

      На первом этапе создается сертификат на основе приведенного выше запроса. Второй шаг позволяет нам найти серийный номер нашего нового сертификата. Наконец, последний шаг экспортирует сертификат в PFX, защищенный паролем.

      Замена сертификата STS

      Эту процедуру необходимо выполнить на каждом сервере фермы. Первым шагом является импорт PFX в контейнер Trusted Root Certification Authorities в хранилище Local Machine.

      Import-PfxCertificate

      Чтобы импортировать PFX с помощью Import-PfxCertificate , следуйте примеру.

       $password = Get-Credential -UserName "certificate" -Message "Введите пароль"
      Import-PfxCertificate -FilePath C:\sts.pfx -CertStoreLocation Cert:\LocalMachine\Root -Password $password.Password
       

      В этом примере мы сначала создаем учетные данные. Имя пользователя не используется в этом примере, но должно быть задано. Пароль будет значением экспортированного пароля PFX; в нашем примере «P@ssw0rd1!».

      Certutil

       certutil -f -p "P@ssw0rd1!" -importpfx Корень C:\sts.pfx
       

      В этом примере мы импортируем PFX-файл, используя certutil , указав пароль, который мы использовали при экспорте PFX и импорте в контейнер Trusted Root Certification Authorities в хранилище Local Machine.

      Замена сертификата STS в SharePoint

      После импорта PFX на все серверы SharePoint в ферме необходимо заменить сертификат, используемый службой STS. Для выполнения этой операции вы должны быть администратором оболочки SharePoint (дополнительные сведения о том, как добавить администратора оболочки SharePoint, см. в разделе Add-SPShellAdmin).

      Используя командную консоль SharePoint, мы укажем путь к PFX-файлу, установим пароль, настроим STS на использование нового сертификата, перезапустим IIS и, наконец, перезапустим службу таймера SharePoint (SPTimerV4).

       $path = 'C:\sts.pfx'
      $pass = 'P@ssw0rd1!'
      $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path, $pass, 20)
      Set-SPSecurityTokenServiceConfig -ImportSigningCertificate $cert
      iisreset
      Служба перезапуска SPTimerV4
       

      Выполните предыдущие шаги на всех серверах SharePoint в ферме. На этом процесс замены сертификата STS завершен. Если вы используете гибридную ферму, см. статью Использование сайта Microsoft 365 SharePoint для авторизации размещенных у поставщика надстроек на локальном сайте SharePoint, чтобы узнать о дополнительных шагах, необходимых для загрузки сертификата STS в Azure.

      См. также

      Гибрид для SharePoint Server

      Certreq

      Certutil

      Запрос STS с проверкой подлинности сертификата в SoapUI

      Мне нужно выполнить запрос RequestSecurityToken с подписью сертификата и меткой времени с помощью SoapUI, чтобы получить маркер безопасности в других запросах на его использование. , но у меня проблема с его правильной реализацией.

      Вот правильный запрос, с другим приложением, но с тем же сертификатом:

       
          
              2016-10-24T14:35:54.851Z
              2016-10-24T14:40:54.851Z
          
           oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3" EncodingType="http://docs. oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary">...MIIFgTCCBGmgAwIBAgIKOePZb(сокращенно)...
          <Подпись xmlns="http://www.w3.org/2000/09/xmldsig#">
              <Информация о подписи>
                  <Алгоритм метода канонизации="http://www.w3.org/2001/10/xml-exc-c14n#"/>
                  <Алгоритм метода подписи="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
                  <Ссылочный URI="#_0">
                      <Преобразует>
                          <Алгоритм преобразования="http://www.w3.org/2001/10/xml-exc-c14n#"/>
                      
                      <Алгоритм DigestMethod="http://www.w3.org/2000/09/xmldsig#sha1"/>
                      tsLKDNU0lJ5SB1p75WGVjd7LMHc=
                  
                  <Ссылочный URI="#_1">
                      <Преобразует>
                          <Алгоритм преобразования="http://www.w3.org/2001/10/xml-exc-c14n#"/>
                      
                      <Алгоритм DigestMethod="http://www. w3.org/2000/09/xmldsig#sha1"/>
                      4QwJS9rCbZb1B3DcR37qnuJgSl4=
                  
              
              ...gmAXzaf8hhj44/M0Q(сокращенно)...
              <информация о ключе>
                  
                      
                  
              
          
      
       

      В SoapUI, в конфигурации WSS я добавляю в качестве хранилища ключей свой сертификат и делаю исходящую конфигурацию, где делаю временную карту и подпись. В Signature я настраиваю его как бинарный токен безопасности, выбираю свое хранилище ключей, псевдоним и пароль. Я экспериментировал с методами, но наиболее близким к правильному результату был следующий:

       
          
              2016-10-26T09:18:22. 423Z
              2016-10-26T09:23:22.423Z
          
          ...CCBGmgAwIBAgIKOeP(сокращенно)..." xmlns :ds="http://www.w3.org/2000/09/xmldsig#">
              <дс:сигнединфо>
                  
                  Алгоритм 
                  
                      
                          
                      
                      
                      ylZ7mgRanKsz3pYpbSXtE3FoVcc=
                  
              
              . ..PwHLpHxINEYUGoCM+Tsz9ucg(сокращенно)...
              
                  
                      
                  
              
          
      
       

      На этот запрос у меня есть ответ с сообщением об ошибке

      Произошла ошибка при проверке безопасности сообщения.

      Одно из отличий, которое я вижу, это то, что в правильном запросе есть две ссылки с разными URI, чем в запросе SoapUI, но я не могу понять, как смоделировать правильный запрос в SoapUI. Буду рад получить рекомендацию, может у кого была похожая проблема.

      [РЕШЕНО] Отсутствует политика MTA-STS V0.50: STSFetchResult.NONE - № 20 от ravenstar68 - Обслуживание

      ravenstar68 28 сентября 2020 г. , 1:38

      №15

      Я также нашел следующее.

      1. Запись DNS для _mta-sts. присутствовал в зоне, но по какой-то причине изначально не распространялся на рекурсивные преобразователи.
      2. Сертификат на мат-ст. пришлось настроить вручную с помощью консоли администратора.
      3. Не было _smtp._tls. ТХТ запись. Пришлось вводить это вручную.

      Сначала я запустил сценарий updatens.py, а затем перезагрузился после подготовки сертификата mta-sts, и это, похоже, решило проблему.

      ОДНАКО

      Отмечу, что при тестировании на hardenize - https://www.hardenize.com/ я получил ряд предупреждений

      1. Отсутствует \r\n на концах некоторых строк mta -sts.txt файл
      2. Postfix по-прежнему принимал соединения TLS 1.0 и 1.1, а также не мог применять предпочтительный порядок шифрования.

      Мне удалось исправить последнее, отредактировав файл main. cf, изменив следующие строки:

       smtpd_tls_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
      tls_preempt_cipherlist=да
      smtp_tls_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
       

      Очевидно, недостаточно просто исключить несуществующий тип TLS в строках smtpd_tls_mandatory_protocols и smtp_tls_mandatory_protocols.

      Тим

      БОРИККЕН21 28 сентября 2020 г., 1:58

      №16

      Могу подтвердить, просто перезапустив команды обновления, ошибки исчезли.

      БОРИККЕН21 28 сентября 2020 г., 2:00

      # 17

      почему мы должны настраивать это вручную? не безопаснее ли быть полностью автоматическим от miab?

      Датчанин 28 сентября 2020 г. , 2:57

      # 18

      Тот же опыт. Предоставьте сертификаты от Lets Encrypt, а затем снова запустите обновление.

      ондрей 28 сентября 2020 г., 5:07

      # 19

      @BORIKKEN21, потому что вы хотите, чтобы это работало? Это обходной путь, пока он не будет исправлен. MIAB — это не продукт, который вы покупаете и ожидаете, что все будет работать на 100%. Это проект разработки…

      @DANE @BORIKKEN21 @ravenstar68 @pwmxx Если из лога исчезли ошибки, это не значит, что все работает. Вы должны проверить конфигурацию mta-sts с помощью внешнего оценщика.

      @ravenstar68 вам также необходимо упорядочить шифры в main.cf от самого сильного к самому слабому и отключить слабые шифры. Вы можете использовать шифры, рекомендованные Mozilla Foundation, и проверить их с помощью Hardenize или Internet. nl

      . 2 лайка

      ravenstar68 28 сентября 2020 г., 7:14

      #20

      @ondrej - Спасибо за это. Кажется, что самые надежные шифры уже перечислены первыми, хотя слабые шифры по-прежнему включены в список дальше, Hardenize был намного доволен результатом, когда я изменил tls_preempt_cipherlist на yes.

      @BORIKKEN21 - В идеальном мире все должно работать идеально с первого раза. MIAB — это любимая работа @JoshData, она хороша, но не обязательно идеальна по всем стандартам. Джош проделал хорошую работу. Однако, если вы используете почтовый сервер, всегда полезно попытаться понять, что происходит под капотом.

      Тим

      1 Нравится

      ондрей 28 сентября 2020 г. , 7:52

      # 21

      @ravenstar68 my main.cf config giving me 100% rating

      smtpd_tls_dh2024_param_file=/home/user-data/ssl/dh5096.pem
      smtpd_tls_protocols = TLSv1.3 TLSv1.2
      smtp_tls_protocols = TLSv1.3 TLSv1.2
      smtpd_tls_mandatory_protocols = TLSv1.3 TLSv1.2
      smtp_tls_mandatory_protocols = TLSv1.3 TLSv1.2
      tls_ssl_options=NO_RENEGOTIATION
      tls_ssl_options=NO_COMPRESSION

      tls_high_cipherlist=ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE- ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256- GCM-SHA384
      smtpd_tls_mandatory_exclude_ciphers=aNULL,DES,3DES,MD5,DES+MD5,RC4

      tls_medium_cipherlist=ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-6CMDSA-45GAES2:ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA- CHACHA20-POLY1305:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256- SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256: AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA

      tls_ssl_options = 0x40000000
      smtpd_tls_eecdh_grade = ultra

      tls_preempt_cipherlist = yes
      smtpd_tls_mandatory_ciphers = high
      smtpd_tls_ciphers = medium

      smtp_tls_mandatory_ciphers = $smtpd_tls_mandatory_ciphers
      smtp_tls_ciphers = $smtpd_tls_ciphers
      lmtp_tls_mandatory_ciphers = $smtpd_tls_mandatory_ciphers
      lmtp_tls_ciphers = $smtpd_tls_ciphers

      Don't foget to сгенерировать 4096 DH в /home/user-data/ssl/dh5096. пэм

      1 Нравится

      розово-лиловый 29 сентября 2020 г., 8:07

      # 22

      Можно ли внести эти изменения? Я сделал TLSv1.0 и TLSv1.1, но слишком новичок в MIAB, чтобы знать, будут ли это критические изменения.

      Похоже, что они тоже есть в PMIAB @davness, хотя я не получил никаких ошибок при обновлении моего PMIAB

      johnfl68 29 сентября, 2020, 19:22

      # 23

      Привет:

      Я разобрался с большей частью этого, но осталась еще одна проблема.

      Часть проблемы заключается в том, что я использую DNS Made Easy для всех своих DNS, а мой основной домен находится на отдельном сервере, отличном от сервера MIAB. Я уже давно нормально езжу по этому пути.

      Мне удалось добавить текстовые файлы _mta-sts и _smtp._tls.

      Затем, используя информацию из этой темы:
      

      Я удивлен, что здесь больше не упоминается MTA-STS, особенно когда он так хорошо сочетается с (очень приветствуется!) реализацией TLS 1.2 и изменением только 1.3 в MIAB 0.44. Здесь есть небольшое руководство по настройке MTA-STS вместе с TLS-RPT. Я хочу сделать это для MIAB. К сожалению, mta-sts не является одним из сайтов, настроенных по умолчанию (он выполняет только домен, автонастройку и автообнаружение), поэтому его необходимо добавить, а также необходимо добавить в список (под)доменов…

      
      Я добавил псевдоним [email protected] (используя свое доменное имя).
      Это сработало, как говорится.

      Но тогда для сертификата TLS для этого поддомена в графическом интерфейсе не было опции «Предоставление», только опция установки?

      Как заставить Let’s Encrypt добавить сертификат TLS для нового поддомена на сервере MIAB?
      Также похоже, что субдомен mta-sts. mydomain.com не создавался, каталог /home/user-data/www/ имеет только каталог «по умолчанию» и ничего больше. Файл где-то еще? В нем не говорилось о создании этого каталога, это подразумевало, что это будет сделано, когда я добавлю псевдоним почтовой учетной записи.

      Let’s Encrypt отлично справился с основным сертификатом домена MIAB, когда я впервые установил его, и отлично с этим справлялся.

      Если кто-то может помочь, буду признателен.

      Спасибо!

      1 Нравится

      ондрей 29 сентября 2020 г., 19:41

      # 24

      @johnfl68 Какой у вас домен?

      ДжошДата 29 сентября 2020 г., 19:54

      # 25

      розово-лиловый:

      Можно ли включить эти изменения?

      Поскольку все еще существуют SMTP-серверы, которые отправляют почту, не поддерживающую TLS 1. 2, и внесение этого изменения не позволит людям получать почту с этих серверов, я не буду включать эти изменения. На самом деле, мы сделали это, а затем пользователь сообщил, что не может получать почту от отправителя, поэтому мы отменили это.

      2 лайка

      розово-лиловый 30 сентября 2020 г., 8:33

      # 26

      Я так и предполагал с таким очевидным упущением.

      Опоздал к столу, но я думаю, что предпочел бы отклонять такие письма в наше время

      Richard5 2 октября 2020 г., 5:21

      # 27

      У меня была такая же проблема с отсутствующими записями после обновления до 0. 5, но я обнаружил, что она разрешилась сама собой через несколько дней ожидания. Каждый день будет добавляться несколько DNS-записей, поэтому не требуется никаких ручных исправлений или повторного запуска установки. Просто немного терпения.

      стальd00d 2 октября 2020 г., 8:02

      # 28

      У меня возникла проблема с внешними почтовыми серверами, не указанными в mta-sts.txt, которые обслуживаются через https. Похоже, что @/var/lib/mailinabox/mta-sts.txt используется по умолчанию. Могу ли я настроить это в конфигурации nginx для домена не по умолчанию, чтобы он указывал на файл где-то еще, возможно, в пользовательских данных, или это будет считаться неподдерживаемой настройкой? (=

      тдахбура 3 октября 2020 г. , 22:57

      # 29

      Мой сервер DNS для MIAB является внешним поставщиком DNS. Что мне нужно добавить в эти записи, чтобы исправить эту ошибку в консоли?
      Есть два домена, размещенных на ящике, и его имя хоста находится в одном из доменов. Например,
      содержит домены domain1.com и domain2.net, а имя хоста блока MIAB — box.domain2.net.

      Просто не уверен, какие записи идут в каком наборе записей dns?

      цифра 7 октября 2020 г., 9:47

      #30

      Только для хоста MIAB (домен1), так как записи MX для домена2 должны указывать на домен 1

      alento 7 октября 2020 г. , 13:27

      #31

      тдахбура:

      Просто не уверен, какие записи входят в какой набор записей dns?

      Он должен быть четко указан на странице «Внешний DNS» в административной области.

      коробка 9 октября 2020 г., 4:07

      #32

      То же самое у меня, ошибка исчезла после распространения DNS.

      Моисей-с 17 октября 2020 г., 13:46

      #33

      Я могу подтвердить, что никаких действий не требуется, просто подождите от 24 до 48 часов, и записи DNS будут автоматически распространяться по DNS-серверам, и ошибки исчезнут. Не нужно выпускать сертификаты Let’s Encrypt или что-то в этом роде.

      БОРИККЕН21 18 октября 2020 г., 9:49

      #34

      @ravenstar68 извините за поздний ответ и извините, если это покажется дерзким или глупым, я полностью поддерживаю foss, и я и мы сами должны выразить огромную благодарность @JoshData, я хочу внести свой вклад в всеми возможными способами и на будущее этого проекта, еще раз извините, я не являюсь носителем английского языка, так что, возможно, плохо сочетается с спешкой…

      1 Нравится

      следующая страница →

      Как настроить домен единого входа vSphere 7 — 4sysops

      vCenter Server 7 имеет внутреннюю базу данных пользователей, которая позволяет очень легко добавлять пользователей и управлять ими. Управление пользователями и единый вход обеспечиваются встроенным контроллером служб платформы (PSC). PSC запускает другие службы, такие как лицензирование, службы сертификации, структура аутентификации или управление устройством.

      Содержимое

      1. Single Sign-on uses several services
      2. SSO Configuration: Identity providers and sources
      3. Users and groups
      4. vCenter Server object hierarchy
      5. Final thoughts
      • Author
      • Recent Posts

      Vladan Seget

      Vladan Seget — независимый консультант, профессиональный блогер, vExpert 2009-2021, VCAP-DCA/DCD и MCSA. Более 20 лет работает системным инженером.

      Последние сообщения Владана Сегета (посмотреть все)

      Вы также можете настроить vCenter Server 7 для проверки подлинности соединения через Microsoft Active Directory (AD), поэтому всем пользователям, которым вы предоставите доступ к части вашей инфраструктуры vSphere, не нужно будет запоминать новую комбинацию логина/пароля, но они будут используйте учетные данные сеанса Windows.

      Единый вход позволяет различным компонентам vSphere взаимодействовать друг с другом с помощью механизма безопасных токенов (SAML).

      Домен единого входа, который вы создаете при первой установке vCenter Server, является источником удостоверений по умолчанию для среды vSphere. Вы можете настроить интеграцию с Microsoft AD позже. VMware SSO допускает не только аутентификацию Active Directory, но и любой другой источник аутентификации на основе языка разметки утверждений безопасности (SAML) 2.0.

      Новое в vSphere 7.0, vCenter Server поддерживает федеративную аутентификацию для входа в vCenter Server.

      Единый вход использует несколько служб

      • Проверка подлинности пользователей s — проверка подлинности пользователей осуществляется либо через федерацию внешних поставщиков удостоверений, либо через встроенный поставщик удостоверений vCenter Server. Встроенный поставщик удостоверений поддерживает локальные учетные записи, Active Directory или OpenLDAP, встроенную проверку подлинности Windows (IWA) и другие системы проверки подлинности, такие как смарт-карта, RSA SecurID и проверка подлинности сеанса Windows.
      • Аутентификация пользователей решения с помощью сертификатов.
      • Служба маркеров безопасности (STS) — Эта служба выдает маркеры SAM, представляющие личность пользователя.
      • SSL для безопасного трафика.

      Конфигурация единого входа: поставщики и источники удостоверений

      Откройте веб-клиент vSphere и подключитесь к vCenter Server 7, затем перейдите к Ярлыки > Администрирование.

      Доступ к VMware SSO через администрирование

      Щелкните раздел Single Sign-On и Configuration . На вкладке поставщика удостоверений щелкните Домен Active Directory > Присоединиться к AD .

      Присоединиться к Microsoft AD

      Введите свой домен Microsoft и подразделение (необязательно). После ввода учетных данных Microsoft AD вам необходимо перезагрузиться.

      Я думал, что VMware лучше, чем Microsoft, но продукты обоих производителей требуют перезагрузки при изменении спецификаций Microsoft AD, смене домена, переходе из рабочей группы в домен и т. д.

      Присоединитесь к Microsoft AD и перезагрузите устройство

      Если вы не присоедините VCSA к Microsoft AD, вы получите следующее сообщение, когда захотите изменить источник идентификации:

      Вы не можете продолжить, поскольку vCenter Single Сервер входа в настоящее время не присоединен ни к какому домену.

      Изменить тип источника идентификации

      После перезагрузки вернитесь к источникам идентификации. Теперь вы сможете выбрать Microsoft AD.

      Я обнаружил, что при работе на рабочей станции Windows, подключенной к домену Microsoft, очень удобно просто установить флажок «использовать аутентификацию сеанса Windows» при подключении к vCenter Server.

      Если флажок неактивен, вам необходимо установить Enhanced Authentication Plug-in .

      Использовать аутентификацию сеанса Windows неактивно

      Подключаемый модуль расширенной аутентификации позволяет:

      • Доступ к консоли виртуальной машины
      • Развертывание шаблонов OVF или OVA
      • Перенос файлов с помощью браузера хранилища данных Примечание . Если вы настраиваете vCenter Server для использования федеративной аутентификации со службами федерации Active Directory, подключаемый модуль расширенной аутентификации применяется только к конфигурациям, в которых vCenter Server является поставщиком удостоверений (Active Directory через LDAP, встроенная аутентификация Windows и конфигурации OpenLDAP). .

        Вернемся к нашей конфигурации поставщика удостоверений единого входа, где вы можете увидеть, как я добавляю Microsoft AD в качестве типа источника удостоверений.

        Добавить Microsoft AD в качестве типа источника удостоверений

        Пользователи и группы

        Пользователи и группы также находится в том же разделе. Мы можем взглянуть на вкладку «Локальные учетные записи». На вкладке «Локальные учетные записи» вы увидите различные параметры, в которых вы можете изменить политику паролей или срок действия пароля.

        По умолчанию пользователи блокируются после пяти последовательных неудачных попыток в течение трех минут, а заблокированная учетная запись автоматически разблокируется через пять минут. Эти значения по умолчанию можно изменить с помощью политики блокировки единого входа vCenter.

        Вы должны знать, что многие из этих групп являются внутренними для домена vsphere.local или предоставляют пользователям административные привилегии высокого уровня. Добавлять пользователей в эти группы следует только после тщательного анализа рисков.

        Вы никогда не должны удалять предопределенных пользователей или группы.

        Возможность изменения локальной политики паролей

        Иерархия объектов vCenter Server

        Все объекты в иерархии vCenter Server могут иметь назначенные вами разрешения. Вы можете связать пользователя и роль с объектом. Например, вы можете выбрать пул ресурсов и предоставить группе пользователей права на чтение этого объекта пула ресурсов, назначив им определенную роль.

        Однако для некоторых служб, которые не управляются vCenter Server напрямую, вам необходимо быть членом определенных групп SSO, которые определяют привилегии. Например, пользователь, являющийся членом группы администраторов, может управлять системой единого входа vCenter.

        No related posts.