IBM Tivoli Federated Identity Manager Versión 6.2.2 · 2016-05-14 · Recibir un certificado...

IBM® Tivoli® Federated Identity ManagerVersión 6.2.2.7

Guía de configuración

GC11-8430-02

��

AvisoAntes de utilizar esta información y el producto al que da soporte, lea la información que figura en el apartado “Avisos” enla página 851.

Nota de edición

Nota: Esta edición se aplica a la versión 6, release 2, modificación 2.7 de IBM Tivoli Federated Identity Manager(número de producto 5724-L73) y a todos los releases y modificaciones subsiguientes hasta que se indique locontrario en nuevas ediciones.

© Copyright IBM Corporation 2006, 2013.

Contenido

Figuras . . . . . . . . . . . . . . . xi

Tablas . . . . . . . . . . . . . . . xiii

Acerca de esta publicación . . . . . xviiDestinatarios . . . . . . . . . . . . . xviiAcceso a publicaciones y terminología . . . . . xviiAccesibilidad . . . . . . . . . . . . . xviiiFormación técnica de Tivoli . . . . . . . . xviiiInformación de soporte . . . . . . . . . . xixDeclaración de buenas prácticas de seguridad . . xixConvenios utilizados en este manual. . . . . . xix

Convenios de tipo de letra . . . . . . . . xixVariables y vías de acceso que dependen delsistema operativo . . . . . . . . . . . xx

Parte 1. Configuración y uso de laherramienta Primeros pasos defederación . . . . . . . . . . . . . 1

Capítulo 1. Personalizar plantillas defederación. . . . . . . . . . . . . . 3Personalizar una plantilla de federación . . . . . 3

Modificar la plantilla de federación en eldirectorio fedfirststeps . . . . . . . . . . 3Modificar la plantilla de federación en otrodirectorio . . . . . . . . . . . . . . 3

Utilizar la plantilla de federación personalizada . . 4

Capítulo 2. Herramienta Primeros pasosde federación . . . . . . . . . . . . 5Iniciar la herramienta Federation First Steps . . . . 5Configuración del lado del proveedor de identidades 6

Crear una federación SAML 2.0 genérica con undominio nuevo o existente . . . . . . . . . 6Configurar el acceso basado en riesgo con laherramienta Federation First Steps . . . . . . 6Añadir un proveedor de servicios con laherramienta Federation First Steps . . . . . . 8

Configuración del lado del proveedor de servicios . . 9Plug-in Primeros pasos de Google Apps . . . . 9Plug-in Primeros pasos de Microsoft Office 365 12Plug-in Primeros pasos de Salesforce . . . . . 18Plug-in Primeros pasos de Workday . . . . . 19

Parte 2. Configuración de undominio . . . . . . . . . . . . . . 23

Capítulo 3. Configuración del dominio 25Hoja de trabajo para la configuración de dominio . 28Creación y despliegue de un dominio nuevo . . . 29

Correlacionar el entorno de ejecución con unservidor web . . . . . . . . . . . . . . 32Habilitar la réplica en un clúster de WebSphere . . 33

Parte 3. Configuración de unafederación de inicio de sesiónúnico . . . . . . . . . . . . . . . 35

Capítulo 4. Descripción general de lastareas de configuración para el iniciode sesión único federado. . . . . . . 37

Capítulo 5. Roles de proveedor deidentidades y proveedor de servicios . 39

Capítulo 6. Utilizar claves y certificadospara proteger las comunicaciones . . . 41Seguridad de nivel de mensajes . . . . . . . 41Seguridad de nivel de transporte . . . . . . . 42Almacenamiento y gestión de claves y certificados 45Crear almacenes de claves, claves y certificados . . 47Criterios de selección de claves . . . . . . . . 47

Capítulo 7. Configurar LTPA y susclaves . . . . . . . . . . . . . . . 49

Capítulo 8. Configurar la seguridad demensajes. . . . . . . . . . . . . . 51Preparar los almacenes de claves . . . . . . . 51

Cambiar una contraseña de almacén de claves. . 52Crear un almacén de claves . . . . . . . . 53Importar un almacén de claves . . . . . . . 53

Planificar la seguridad a nivel de mensaje . . . . 54Obtener las claves y certificados . . . . . . . 57

Utilizar la clave predeterminada como clave defirma y descifrado . . . . . . . . . . . 58Crear certificados autofirmados. . . . . . . 58Solicitar certificados firmados por CA . . . . 59

Añadir sus certificados al almacén de claves . . . 60Importar un certificado . . . . . . . . . 60Recibir un certificado firmado de una CA . . . 62

Obtener un certificado del socio . . . . . . . 62Importar certificados del archivo de metadatosdel socio . . . . . . . . . . . . . . 63Importar un certificado del socio . . . . . . 64

Suministrar certificados al socio . . . . . . . 65Exportar certificados a un archivo de metadatos 66Exportar un certificado . . . . . . . . . 66

Actualizar la política de criptografía . . . . . . 67Eliminar los almacenes de claves predeterminados 68Habilitar la comprobación de revocación decertificados . . . . . . . . . . . . . . 68

© Copyright IBM Corp. 2006, 2013 iii

Habilitar WebSphere para la comprobación derevocación de certificados . . . . . . . . 69Habilitar el gestor de confianza IbmPKIX para laconexión SSL . . . . . . . . . . . . . 70

Capítulo 9. Configurar la seguridad deltransporte . . . . . . . . . . . . . 73Habilitar SSL en WebSphere Application Server . . 73

Crear una solicitud de certificado . . . . . . 74Recibir un certificado firmado emitido por unaentidad emisora de certificados . . . . . . . 75Asociar un certificado con su configuración SSL 76Suprimir el certificado predeterminado . . . . 77Extraer un certificado para compartirlo con elsocio. . . . . . . . . . . . . . . . 78

Configurar los requisitos de autenticación de cliente 78Configurar acceso sin autenticación . . . . . 79Configurar el acceso de autenticación básica . . 79Configurar acceso con autenticación decertificado de cliente . . . . . . . . . . 81

Configurar sus certificados de cliente . . . . . . 83Recuperar el certificado de servidor del socio . . 83Obtener el certificado de cliente . . . . . . 83

Capítulo 10. Seleccionar un servidor depunto de contacto . . . . . . . . . . 87

Capítulo 11. Configurar WebSpherecomo servidor de punto de contacto . . 91Utilizar IBM HTTP Server con WebSphere comopunto de contacto . . . . . . . . . . . . 91Confirmar propiedades de seguridad de WebSphereApplication Server . . . . . . . . . . . . 92Habilitar la codificación en varios lenguajes enWebSphere Application Server . . . . . . . . 93Correlacionar roles de aplicación con usuarios . . . 94Configurar IHS para la hoja de trabajo de cliente . . 95Configurar un servidor proxy HTTP de salida . . . 96WebSphere como punto de contacto paraproveedores de identidades . . . . . . . . . 97

Configurar autenticación basada en formulario 100Configurar la autenticación SPNEGO . . . . 103

Servidor de punto de contacto WebSphere para unproveedor de servicios . . . . . . . . . . 114

Configurar un servidor de punto de contacto(proveedor de servicios) de WebSphereApplication Server. . . . . . . . . . . 117

Capítulo 12. Configurar un plug-in deservidor web. . . . . . . . . . . . 123Configurar los componentes del proveedor deservicios . . . . . . . . . . . . . . . 125Configurar su servidor web . . . . . . . . 125

Seleccionar e instalar un registro de usuarios 126Configurar el registro de usuarios para laaplicación de destino . . . . . . . . . . 127Configurar una conexión SSL para el registro deusuarios . . . . . . . . . . . . . . 127

Configurar un WebSphere Application Serveraparte para alojar aplicaciones. . . . . . . 127Configurar un servidor IIS, IHS o Apache paraalbergar la aplicación . . . . . . . . . . 130

Configurar la aplicación de destino . . . . . . 134Configurar el inicio de sesión para su aplicación 135Enseñar a los usuarios a habilitar las cookies 135

Capítulo 13. Configurar la base dedatos del servicio de alias . . . . . . 137Configurar la base de datos del servicio de alias deJBDC . . . . . . . . . . . . . . . . 138

Modificar valores de servicio de alias . . . . 140Configurar una base de datos del servicio de aliasde LDAP . . . . . . . . . . . . . . . 140

Utilizar tfimcfg para configurar LDAP para elservicio de alias . . . . . . . . . . . 141Crear un sufijo LDAP . . . . . . . . . 144Planificar la configuración de las propiedadesdel servicio de alias . . . . . . . . . . 145Modificar valores de servicio de alias paraLDAP . . . . . . . . . . . . . . . 148

Configurar la base de datos del servicio de alias deOracle . . . . . . . . . . . . . . . . 148

Capítulo 14. Planificar la correlaciónde identidades de usuario . . . . . . 151Descripción general de la correlación de identidad 152Uso del lenguaje XSL para crear archivos de reglasde correlación . . . . . . . . . . . . . 157Módulo de correlación de identidades de TivoliDirectory Integrator . . . . . . . . . . . 160

Configurar el módulo de confianza de TivoliDirectory Integrator . . . . . . . . . . 160Configurar Tivoli Directory Integrator Server 163Configurar SSL para el módulo de confianza deTivoli Directory Integrator . . . . . . . . 164

Crear un módulo de correlación personalizada . . 172Añadir un módulo de correlación personalizada 173Añadir una instancia de un módulo decorrelación personalizado . . . . . . . . 173

Capítulo 15. Descripción general delas federaciones de SAML . . . . . . 175SAML 1.x . . . . . . . . . . . . . . 175SAML 2.0. . . . . . . . . . . . . . . 177

Capítulo 16. URL y puntos finales deSAML. . . . . . . . . . . . . . . 185Puntos finales y URL de SAML 1.x . . . . . . 186Puntos finales y URL de SAML 2.0 . . . . . . 189

Capítulo 17. Reglas de correlación deidentidades de ejemplo parafederaciones SAML . . . . . . . . . 195Correlacionar una identidad de usuario local a unaseñal SAML 1.x. . . . . . . . . . . . . 195Correlacionar una señal SAML 1.x a una identidadde usuario local . . . . . . . . . . . . 196

iv IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de configuración

Correlacionar una identidad local a una señalSAML 2.0 utilizando un alias . . . . . . . . 197Correlacionar una señal SAML 2.0 a una identidadlocal . . . . . . . . . . . . . . . . 199

Capítulo 18. Consulta de AtributoSAML 2.0 . . . . . . . . . . . . . 201Configurar la consulta de atributo . . . . . . 204Crear una federación como una autoridad deatributo . . . . . . . . . . . . . . . 204

Utilizar la consola de administración para crearuna federación como autoridad de atributos . . 205Utilizar la interfaz de línea de mandatos paracrear una federación como autoridad deatributos . . . . . . . . . . . . . . 206

Crear un socio proveedor de identidades o unsocio proveedor de servicios para una federaciónde autoridad de atributo . . . . . . . . . 206

Utilizar la consola de administración para crearun socio proveedor de servicios o proveedor deidentidades . . . . . . . . . . . . . 207Utilizar una interfaz de línea de mandatos paracrear un socio proveedor de servicios oproveedor de identidades . . . . . . . . 208

Crear un socio de solicitud de consulta de atributos 209parámetros del archivo de respuestas de federaciónde consulta de atributo de SAML 2.0 . . . . . 210parámetros del archivo de respuestas de socio deconsulta de atributo de SAML 2.0 . . . . . . 211

Capítulo 19. Establecer unafederación de SAML . . . . . . . . 213Recopilar la información de configuración de lafederación . . . . . . . . . . . . . . 213

Hoja de trabajo del proveedor de servicios deSAML 1.x . . . . . . . . . . . . . 213Hoja de trabajo del proveedor de identidades deSAML 1.x . . . . . . . . . . . . . 215Hoja de trabajo del proveedor de servicios deSAML 2.0. . . . . . . . . . . . . . 218Hoja de trabajo del proveedor de identidades deSAML 2.0. . . . . . . . . . . . . . 224

Crear su rol en la federación . . . . . . . . 229Configurar un servidor de punto de contacto deWebSEAL para la federación SAML . . . . . . 230Configurar WebSphere como servidor de punto decontacto . . . . . . . . . . . . . . . 231Proporcionar orientación a su socio . . . . . . 232Obtener datos de configuración de federación deun socio . . . . . . . . . . . . . . . 234

Hoja de trabajo del socio del proveedor deservicios de SAML 1.x . . . . . . . . . 235Hoja de trabajo del socio del proveedor deidentidades de SAML 1.x . . . . . . . . 241Hoja de trabajo del socio del proveedor deservicios de SAML 2.0 . . . . . . . . . 248Hoja de trabajo del socio del proveedor deidentidades de SAML 2.0 . . . . . . . . 256

Añadir su socio . . . . . . . . . . . . 266Proporcionar propiedades de federación a su socio 268

Exportar propiedades de federación . . . . . 268Visualizar propiedades de federación . . . . 269

Sincronizar los relojes del sistema de la federación 269

Capítulo 20. Configurar unafederación SAML utilizando CLI . . . 271Configurar una federación de proveedor deidentidades de SAML 1.x utilizando CLI . . . . 271Configurar una federación de Proveedor deservicios de SAML 1.x utilizando CLI . . . . . 275Importar un Proveedor de servicios de SAML 1.xen la federación de Proveedor de identidades deSAML . . . . . . . . . . . . . . . . 277Importar un Proveedor de identidades de SAML1.x en la federación de Proveedor de servicios deSAML . . . . . . . . . . . . . . . . 280Configurar una federación de proveedor deidentidades de SAML 2.0 utilizando CLI . . . . 283Configurar una federación de proveedor deservicios de SAML 2.0 utilizando CLI . . . . . 287Importar un Proveedor de servicios de SAML 2.0en la federación de Proveedor de identidades deSAML . . . . . . . . . . . . . . . . 290Importar un Proveedor de identidades de SAML2.0 en la federación de Proveedor de servicios deSAML . . . . . . . . . . . . . . . . 292

Capítulo 21. Planificar una federaciónde Tarjeta de información . . . . . . 297Descripción general del proveedor de identidadesde la Tarjeta de información . . . . . . . . 298

Emisión de tarjetas gestionadas . . . . . . 299Federaciones de proveedor de identidades . . 301Reclamaciones de Tarjeta de información . . . 303Páginas de errores de Tarjeta de información 304

Descripción general de la parte dependiente de laTarjeta de información . . . . . . . . . . 304

Acceso de usuario a una parte dependiente . . 305Federaciones de partes dependientes . . . . 307

Habilitación de sitio web para Tarjeta deinformación . . . . . . . . . . . . . . 308Requisitos de configuración para la Tarjeta deinformación . . . . . . . . . . . . . . 313

Requisito para WebSphere Versión 6.1 . . . . 314Actualizar la política de criptografía para laTarjeta de información . . . . . . . . . 314Requisito de Tarjeta de información para elservicio de alias . . . . . . . . . . . 315Clave de descifrado del servidor de punto decontacto . . . . . . . . . . . . . . 315Requisitos de sincronización de hora de Tarjetade información . . . . . . . . . . . . 315

Correlación de identidades para Tarjeta deinformación . . . . . . . . . . . . . . 316Hoja de trabajo de configuración del proveedor deidentidades . . . . . . . . . . . . . . 317Hoja de trabajo de configuración de partesdependientes . . . . . . . . . . . . . 320Hoja de trabajo de socio gestionado . . . . . . 322

Contenido v

Capítulo 22. Configurar unafederación de tarjeta de información . 325Verificar las dependencias de tarjeta deinformación . . . . . . . . . . . . . . 325Configurar una federación Infocard . . . . . . 325Configurar WebSEAL como un servidor de puntode contacto para una federación de Tarjeta deinformación . . . . . . . . . . . . . . 326Configurar WebSphere como un servidor de puntode contacto . . . . . . . . . . . . . . 327Especificar un índice de personalidades . . . . 327

Capítulo 23. Referencia de Tarjeta deinformación . . . . . . . . . . . . 329Macros de sustitución en el archivo XMLinfocard_template . . . . . . . . . . . . 329Reclamaciones de Tarjeta de información . . . . 330Propiedades de federación para proveedores deidentidades . . . . . . . . . . . . . . 332Propiedades de federación para partesdependientes . . . . . . . . . . . . . 336Propiedades para socios de proveedor deidentidades para federaciones de partesdependientes . . . . . . . . . . . . . 337Propiedades para socios de partes dependientespara federaciones de proveedores de identidades . 339

Capítulo 24. Visión general de laplanificación de OpenID . . . . . . . 343URL de ID de OpenID . . . . . . . . . . 343Federaciones de proveedor de identidades . . . 348Cadenas de confianza de proveedor de identidades 351Descubrimiento de parte dependiente . . . . . 353Modalidades de autenticación . . . . . . . . 353Federaciones de consumidor . . . . . . . . 354Inicio de sesión de OpenID. . . . . . . . . 356Cadenas de confianza de consumidor . . . . . 359Política de agente de usuario . . . . . . . . 362Extensiones de OpenID . . . . . . . . . . 365

OpenID Simple Registration Extension . . . . 365Extensión de intercambio de atributos deOpenID . . . . . . . . . . . . . . 366Extensión de política de autenticación deproveedor de OpenID . . . . . . . . . 368

Hoja de trabajo de configuración del proveedor deidentidades . . . . . . . . . . . . . . 370Hoja de trabajo de configuración de consumidor 376

Capítulo 25. Configurar OpenID . . . 383Verificar las dependencias de OpenID . . . . . 383Configurar una federación OpenID . . . . . . 383Configurar mejora de rendimiento para OpenID 384Configurar un servidor de punto de contactoWebSEAL para una federación Open ID . . . . 385Configurar WebSphere como servidor de punto decontacto . . . . . . . . . . . . . . . 386Configurar páginas de inicio de sesión . . . . . 387

Capítulo 26. Referencia de OpenID 389Algoritmos y transportes soportados . . . . . 389Página de plantilla para anunciar un servidor deOpenID . . . . . . . . . . . . . . . 389Página de plantilla para el consentimiento paraautenticar . . . . . . . . . . . . . . 390Página HTML de plantilla para la gestión de sitiosde confianza. . . . . . . . . . . . . . 396Página de plantilla para errores de OpenID . . . 398Página de plantilla para envío indirecto de OpenID2.0 . . . . . . . . . . . . . . . . . 400Página de plantilla devuelta paracheckid_immediate . . . . . . . . . . . 401Página de plantilla devuelta para error de servidor 402

Capítulo 27. Visión general de laplanificación de OAuth . . . . . . . 405Conceptos de OAuth . . . . . . . . . . . 405Puntos finales de OAuth . . . . . . . . . 406Flujo de trabajo de OAuth 1.0 . . . . . . . . 408

Acerca de OAuth de dos pasos . . . . . . 410Interfaz de Servicio de señal de seguridad parael flujo de OAuth de dos pasos . . . . . . 410

Flujo de trabajo de OAuth 2.0 . . . . . . . . 411Consideraciones sobre la autenticación decliente en el punto final de señal OAuth 2.0 . . 416Configurar los valores de autenticación depunto final de SOAP . . . . . . . . . . 418

Registro del cliente . . . . . . . . . . . 419Gestión de estado . . . . . . . . . . . . 419Gestión de clientes de confianza . . . . . . . 424Visión general de OAuth EAS . . . . . . . . 424

Datos de OAuth . . . . . . . . . . . 425Respuestas de error . . . . . . . . . . 426

Información de configuración de socio y federación 427Hoja de trabajo del proveedor de serviciosOAuth 1.0 . . . . . . . . . . . . . 427Hoja de trabajo del socio del proveedor deservicios OAuth 1.0 . . . . . . . . . . 430Hoja de trabajo del proveedor de serviciosOAuth 2.0 . . . . . . . . . . . . . 432Hoja de trabajo del socio del proveedor deservicios OAuth 2.0 . . . . . . . . . . 436

Capítulo 28. Configurar unafederación de OAuth . . . . . . . . 439Configurar la federación del proveedor de serviciosOAuth. . . . . . . . . . . . . . . . 439Habilitar la validación OAuth en dos pasos . . . 440Configurar un servidor de punto de contacto deWebSEAL para la federación OAuth . . . . . . 440Configurar WebSphere como servidor de punto decontacto . . . . . . . . . . . . . . . 442Añadir un socio a una federación OAuth . . . . 442Configurar el interceptor de asociación deconfianza de OAuth de WebSphere . . . . . . 443Configurar el filtro de servlet de OAuth deWebSphere . . . . . . . . . . . . . . 444Configuración de EAS OAuth de WebSEAL . . . 447

vi IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de configuración

Configurar el EAS de OAuth de WebSEALmanualmente . . . . . . . . . . . . 448Configurar OAuth EAS de WebSEAL con laherramienta tfimcfg . . . . . . . . . . 450

Capítulo 29. Referencia de OAuth. . . 453Interfaz de STS de OAuth para los puntos deobligatoriedad de autorización . . . . . . . 453Propiedades personalizadas del filtro de servlet yel interceptor de asociación de confianza de OAuth 465Referencia de la stanza de OAuth EAS . . . . . 468

Stanza [aznapi-external-authzn-services] . . . 468Stanza [azn-decision-info] . . . . . . . . 469Stanza [aznapi-configuration] . . . . . . . 470Stanza [oauth-eas] . . . . . . . . . . . 471

Páginas de plantilla de OAuth 1.0 y OAuth 2.0para la gestión de clientes de confianza . . . . 480Página de plantilla de OAuth 1.0 para elconsentimiento para autorizar . . . . . . . . 481Página de plantilla de OAuth 1.0 para respuesta 484Página de plantilla de OAuth 1.0 paraconsentimiento denegado . . . . . . . . . 484Página de plantilla de OAuth 1.0 para errores . . 485Página de plantilla de OAuth 2.0 para elconsentimiento para autorizar . . . . . . . . 485Página de plantilla de OAuth 2.0 para respuesta 489Página de plantilla de OAuth 2.0 para errores . . 489

Capítulo 30. Planificar una federaciónLiberty . . . . . . . . . . . . . . 491Roles de proveedor de identidades y proveedor deservicios . . . . . . . . . . . . . . . 491Perfiles de inicio de sesión único de Liberty . . . 492Identificador de nombre de registro de Liberty . . 493Notificación de terminación de federación deLiberty . . . . . . . . . . . . . . . 494Cierre de sesión único de Liberty. . . . . . . 494Introducción al proveedor de identidades deLiberty . . . . . . . . . . . . . . . 495Seguridad de mensajes de Liberty . . . . . . 496Propiedades de comunicación de Liberty . . . . 497Módulos de señal de Liberty . . . . . . . . 498Correlación de identidades de Liberty . . . . . 499

Correlacionar una credencial de Tivoli AccessManager a una señal Liberty o SAML 2 . . . 499Correlacionar una señal Liberty o SAML 2 a unacredencial Tivoli Access Manager . . . . . . 502

Servicio de alias Liberty . . . . . . . . . . 504

Capítulo 31. Configurar unafederación Liberty . . . . . . . . . 507Crear un proveedor de identidades de Liberty . . 507Crear un proveedor de servicios de Liberty . . . 510Configurar un servidor de punto de contacto deWebSEAL para la federación Liberty. . . . . . 512Configurar WebSphere como un servidor de puntode contacto . . . . . . . . . . . . . . 513Exportar propiedades de federación de Liberty . . 514Exportar información de autenticación de puntofinal SOAP a un socio de federación Liberty . . . 514

Obtener metadatos de un socio de federaciónLiberty . . . . . . . . . . . . . . . 515Importar información de autenticación de puntofinal SOAP de un socio de federación Liberty . . 516Añadir un socio a una federación Liberty . . . . 518Configurar el servicio de alias para Liberty . . . 521

Crear un sufijo LDAP para el servicio de alias 522Configurar valores de servidor LDAP . . . . 522

Capítulo 32. Planificar una federaciónde inicio de sesión únicoWS-Federation . . . . . . . . . . . 525Roles de proveedor de identidades y proveedor deservicios . . . . . . . . . . . . . . . 525Perfiles de inicio de sesión único de WS-Federation 526Propiedades del inicio de sesión único deWS-Federation . . . . . . . . . . . . . 526Propiedades de señal de WS-Federation . . . . 527Correlación de identidades de WS-Federation . . 527

Correlacionar una credencial de Tivoli AccessManager a una señal SAML 1 . . . . . . . 528Correlacionar una señal SAML 1 a unacredencial de Tivoli Access Manager. . . . . 531

Capítulo 33. Configurar unafederación de inicio de sesión únicode WS-Federation . . . . . . . . . 533Crear una federación de inicio de sesión único deWS-Federation . . . . . . . . . . . . . 533Configurar WebSEAL como el servidor de puntode contacto . . . . . . . . . . . . . . 534Configurar WebSphere como un servidor de puntode contacto . . . . . . . . . . . . . . 536Exportar las propiedades de WS-Federation . . . 536Obtener información de configuración de un sociode WS-Federation . . . . . . . . . . . . 536Propiedades de WS-Federation para el intercambiocon el socio . . . . . . . . . . . . . . 537Añadir un socio a una federación de inicio desesión único WS-Federation . . . . . . . . 539

Parte 4. Configuración de lagestión de seguridad de serviciosweb . . . . . . . . . . . . . . . 541

Capítulo 34. Configuración de lagestión de seguridad de serviciosweb . . . . . . . . . . . . . . . 543

Parte 5. Configuración del serviciode señal de seguridad . . . . . . 545

Capítulo 35. Descripción general de ladelegación restringida de Kerberos . . 547Descripción general de la delegación restringida deKerberos con uniones WebSEAL . . . . . . . 548Visión general del despliegue . . . . . . . . 549

Contenido vii

Capítulo 36. Habilitación de laautenticación integrada de Windows . 551

Capítulo 37. Configurar ActiveDirectory y WebSphere para ladelegación restringida . . . . . . . 555

Capítulo 38. Configuración de TivoliFederated Identity Manager para unescenario de unión de Kerberos . . . 561Planificar la configuración de la cadena deconfianza . . . . . . . . . . . . . . . 561Hoja de trabajo para la configuración de la cadenade confianza. . . . . . . . . . . . . . 565Crear una instancia de módulo de delegaciónrestringida a Kerberos . . . . . . . . . . 567Crear una cadena de confianza para delegaciónrestringida de Kerberos . . . . . . . . . . 568Notas de configuración de Tivoli FederatedIdentity Manager . . . . . . . . . . . . 570

Capítulo 39. Configuración deWebSEAL . . . . . . . . . . . . . 571Verificar una instalación de WebSEAL . . . . . 571Planificar la configuración de unión KerberosWebSEAL . . . . . . . . . . . . . . 572Hoja de trabajo de configuración de unión deKerberos . . . . . . . . . . . . . . . 576Configurar una unión Kerberos de WebSEAL. . . 577Notas de configuración de WebSEAL . . . . . 579

Capítulo 40. Tarea de configuraciónde SSL para un despliegue deuniones de Kerberos . . . . . . . . 581

Parte 6. Configurar Autogestión deusuario . . . . . . . . . . . . . 583

Capítulo 41. Entender la Autogestiónde usuario. . . . . . . . . . . . . 585Personalizar Autogestión de usuario de formaefectiva . . . . . . . . . . . . . . . 587Entender las operaciones de Autogestión deusuario . . . . . . . . . . . . . . . 588

Operación de comprobación de existencia de IDde usuario . . . . . . . . . . . . . 590Operación de inscripción . . . . . . . . 590Operaciones de gestión de contraseña . . . . 591Operaciones de gestión de perfiles . . . . . 592Operación ID de usuario olvidado . . . . . 592Operación Contraseña olvidada . . . . . . 593Operación de supresión de cuenta . . . . . 594Operación Captcha . . . . . . . . . . 594Operaciones de atributos de registro. . . . . 594Operación de pregunta secreta . . . . . . 595

URL de Autogestión de usuario . . . . . . . 596Solicitudes HTTP de autogestión de usuario . . 596

Respuestas HTTP de autogestión de usuario . . 598Demostración de Captcha . . . . . . . . . 599

Capítulo 42. Despliegue de laAutogestión de usuario . . . . . . . 603Configurar un dominio de Tivoli FederatedIdentity Manager . . . . . . . . . . . . 604Configuración del dominio . . . . . . . . . 604Configurar un registro de usuarios . . . . . . 607

Configurar un Tivoli Directory Server . . . . 607Configurar un adaptador de Tivoli AccessManager para WebSphere Federated Repository . 608Configurar un servidor Active Directory . . . 614

Configurar un archivo de respuestas . . . . . 615Configurar la Autogestión de usuario . . . . . 616

Mostrar cadenas de confianza . . . . . . . 617Configurar la demostración de Captcha . . . 617Utilizar un archivo de respuestas paraconfigurar la Autogestión de usuario . . . . 618Configurar un servidor de punto de contacto 619Modificar las comprobaciones de ID de usuarioy contraseña. . . . . . . . . . . . . 620Habilitar varias preguntas secretas . . . . . 628Definición de atributo personalizado . . . . 646Crear un atributo para un nuevo campopersonalizado en Autogestión de usuario . . . 650Almacenamiento de información de sesión deAutogestión de usuario . . . . . . . . . 652Personalizar las páginas HTML de Autogestiónde usuario . . . . . . . . . . . . . 654

Integración de Autogestión de usuario conWebSEAL . . . . . . . . . . . . . . 663

Permitir el acceso no autenticado al formulariode cambio de contraseña de Autogestión deusuario . . . . . . . . . . . . . . 665Modificar el formulario de cambio decontraseña de WebSEAL de la autogestión deusuario . . . . . . . . . . . . . . 665Modificar un formulario de contraseñacaducada de WebSEAL . . . . . . . . . 666Soporte de redirección a WebSEAL . . . . . 667

Modificar una federación de Autogestión deusuario . . . . . . . . . . . . . . . 668Desconfigurar la Autogestión de usuario . . . . 668

Capítulo 43. Ajuste de Autogestión deusuario . . . . . . . . . . . . . . 669Memoria caché de Crear cuenta . . . . . . . 670Memoria caché de contraseña olvidada . . . . . 671Memoria caché de error de pregunta secreta . . . 671Notas acerca del ajuste de memorias caché . . . 671

Capítulo 44. Parámetros del archivode respuestas . . . . . . . . . . . 673

Parte 7. Configurar la contraseñaúnica . . . . . . . . . . . . . . 681

viii IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de configuración

Capítulo 45. Contraseña única . . . . 683Descripción general de la contraseña única . . . 683Descripción general de la configuración decontraseña única . . . . . . . . . . . . 684

Capítulo 46. Despliegue de contraseñaúnica . . . . . . . . . . . . . . . 687Configurar una federación de contraseña única . . 687Activar el punto de contacto de contraseña única 688Configurar la contraseña única en un flujo deinicio de sesión único federado . . . . . . . 688Verificar la configuración de inicio de sesión únicofederado de contraseña única . . . . . . . . 689Configurar la autenticación ampliada de contraseñaúnica con WebSEAL como punto de contacto . . . 689Verificar la configuración de la autenticaciónampliada de contraseña única . . . . . . . . 693Crear su propio punto de contacto de contraseñaúnica . . . . . . . . . . . . . . . . 694

Reclamaciones de solicitud HTTP para callbackde política de autenticación. . . . . . . . 697

Soporte de reenvío de contraseña única . . . . 702Configurar un flujo de contraseña única sinautenticar . . . . . . . . . . . . . . 702Migrar archivos de contraseña única a un entornoexistente . . . . . . . . . . . . . . . 703Personalizar la contraseña única . . . . . . . 704

Personalizar las reglas de correlación decontraseña única . . . . . . . . . . . 704Personalizar las páginas de plantilla decontraseña única . . . . . . . . . . . 709Personalizar regla de correlación de política deautenticación . . . . . . . . . . . . 717Crear macros definidas por el usuario . . . . 717manageItfimOneTimePassword . . . . . . 718Archivo de respuestas de contraseña única . . 722manageItfimPointOfContact . . . . . . . 730Archivo de respuestas de punto de contacto . . 734Referencia de plugin de proveedor decontraseña única . . . . . . . . . . . 738Referencia de plugin de suministro decontraseña única . . . . . . . . . . . 744Referencia del plugin de proveedor deinformación de usuario de contraseña única . . 747

Capítulo 47. Ajustes de la contraseñaúnica . . . . . . . . . . . . . . . 753

Parte 8. Personalización . . . . . 755

Capítulo 48. Personalizar propiedadesde tiempo de ejecución . . . . . . . 757Crear una propiedad personalizada . . . . . . 757Suprimir una propiedad personalizada . . . . . 757Referencia de propiedades personalizadas . . . . 758

Propiedades generales . . . . . . . . . 758Propiedades personalizadas para el servicio deprotocolo de inicio de sesión único . . . . . 759

Propiedades personalizadas para el servicio deconfianza . . . . . . . . . . . . . . 761Propiedades personalizadas para OAuth 2.0 . . 763Propiedades personalizadas para SAML 1.0 . . 764Propiedades personalizadas para SAML 1.1 . . 764Propiedades personalizadas para el servicio declaves . . . . . . . . . . . . . . . 764Propiedades personalizadas para un cliente deSOAP . . . . . . . . . . . . . . . 766Propiedades personalizadas para SAML 2.0 . . 767Propiedades personalizadas para la consola . . 769Propiedad personalizada para OpenID . . . . 770Propiedad personalizada para el protocolo deseguridad de transporte . . . . . . . . . 770Propiedades personalizadas para señales LTPA 771

Capítulo 49. Personalizar unformulario de inicio de sesión deautenticación para un inicio de sesiónúnico . . . . . . . . . . . . . . . 773Macros soportadas para personalizar un formulariode inicio de sesión de autenticación . . . . . . 774Configurar un servidor de punto de contacto paradar soporte a la personalización de páginas deinicio de sesión . . . . . . . . . . . . . 777Pasar el elemento de solicitud SAML al servidor depunto de contacto . . . . . . . . . . . . 778

Capítulo 50. Personalizar páginas desucesos de inicio de sesión único . . 781Generación de páginas de sucesos . . . . . . 781Identificadores de páginas y archivos de plantilla 782Página de plantilla para la página WAYF . . . . 791Modificar o crear los archivos de plantilla . . . . 793Publicar actualizaciones . . . . . . . . . . 794Crear un entorno local de página . . . . . . . 795Suprimir un entorno local de página . . . . . 796Personalizar plantillas de página física de variosusos . . . . . . . . . . . . . . . . 796Personalizar la página Consentimiento para federarpara SAML 2.0 . . . . . . . . . . . . . 797

Capítulo 51. Desarrollar un servidorde punto de contacto personalizado . 801Publicar plug-ins de devolución de llamada . . . 802Crear un nuevo servidor de punto de contacto . . 802Crear un servidor de punto de contacto como unservidor existente . . . . . . . . . . . . 805Activar un servidor de punto de contacto . . . . 806

Capítulo 52. Personalizar valores decertificado X.509 de firma . . . . . . 809

Capítulo 53. Ejecutar WebSphereApplication Server con Java 2 . . . . 811

Parte 9. Apéndices . . . . . . . . 813

Contenido ix

Apéndice A. Referencia de tfimcfg 815Configurar WebSEAL o Web Gateway Appliancecomo punto de contacto con le herramienta tfimcfg 816

Ejecutar la herramienta tfimcfg . . . . . . 818Configurar el tráfico SOAP con la herramientatfimcfg . . . . . . . . . . . . . . 821Configurar un grupo soapusers y un certificado 823

Limitación de tfimcfg en Sun Java 1.4.2.4 . . . . 823Referencia de propiedades LDAP de tfimcfg . . . 824Archivo ldapconfig.properties predeterminado . . 827Salida de ejemplo para la configuración de LDAP 828

Apéndice B. URLs para iniciaracciones de inicio de sesión únicoSAML. . . . . . . . . . . . . . . 831URL inicial de SAML 1.x . . . . . . . . . 831URL iniciales del perfil SAML 2.0 . . . . . . 833

URL inicial del servicio del consumidor deaserciones (proveedor de servicios) . . . . . 833URL inicial del servicio de inicio de sesiónúnico (proveedor de identidades). . . . . . 837

URL inicial de servicio de cierre de sesión único 839URL inicial del servicio de gestión delidentificador de nombres . . . . . . . . 840

Apéndice C. Utilización de la interfazde línea de mandatos para configurarel soporte SHA256 de Tivoli FederatedIdentity Manager . . . . . . . . . . 843

Apéndice D. Inhabilitar el registropara mejorar el rendimiento . . . . . 849

Avisos . . . . . . . . . . . . . . 851

Glosario . . . . . . . . . . . . . 855

Índice. . . . . . . . . . . . . . . 859

x IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de configuración

Figuras

1. Ejemplo de WebSphere Application Server conautenticación basada en formularios . . . . 98

2. Ejemplo de WebSphere Application Server conautenticación de SPNEGO TAI . . . . . . 99

3. Ejemplo del mandato ktpass . . . . . . 1064. Archivo tai.properties.template. . . . . . 1125. Ejemplo de Tivoli Federated Identity Manager

y un servidor de aplicaciones web . . . . 1156. Ejemplo de correlación de atributo LTPA a

cabecera HTTP . . . . . . . . . . . 1247. Ejemplo de correlación de identidad . . . . 1538. Esquema de documento de Usuario universal

de STS . . . . . . . . . . . . . . 1559. Proceso de señales . . . . . . . . . . 157

10. Ejemplo de código XSL que muestra lacorrelación de una identidad de usuario locala un nombre Principal para una señal SAML . 196

11. Ejemplo de código XSL que muestra laasignación de método de autenticación comoun Atributo para una señal SAML . . . . 196

12. Ejemplo de código XSL que muestra laasignación de un valor para el nombrePrincipal para una señal SAML. . . . . . 197

13. Ejemplo de código XSL que muestra laverificación de un valor para elAuthenticationMethod . . . . . . . . 197

14. Ejemplo de código XSL que muestra lacorrelación de una identidad de usuario locala una señal SAML, utilizando un alias . . . 198

15. Ejemplo de código XSL que muestra laasignación de un valor para el nombrePrincipal para una señal SAML 2.0. . . . . 199

16. Ejemplo de código XSL que muestraAttributeList para una señal SAML 2.0. . . . 200

17. Reclamaciones de ejemplo de un agente deidentidad de Tarjeta de información . . . . 304

18. Formato de inicio de sesión de ejemplo parasu uso por la Parte dependiente . . . . . 306

19. Ejemplo de sintaxis OBJECT . . . . . . 31020. Ejemplo de sintaxis XHTML de Tarjeta de

información . . . . . . . . . . . . 31121. Ejemplo de página de inicio de sesión

WebSEAL con códigos OBJECT . . . . . 31322. Código de ejemplo para devolver un puntero

al servidor OpenID desde el URL deidentidad utilizando descubrimiento deHTML . . . . . . . . . . . . . . 344

23. Reclamaciones de ejemplo durante lainvocación del servicio de confianza por partedel proveedor de identidades . . . . . . 352

24. Formulario de inicio de sesión de OpenIDsimple . . . . . . . . . . . . . . 357

25. Formulario de inicio de sesión de OpenIDcon parámetros de extensión de registro . . 358

26. Reclamaciones de OpenID durante unallamada WS-Trust de consumidor . . . . . 360

27. Ejemplo de STSUU durante la solicitud deservicio de confianza en el consumidor deOpenID . . . . . . . . . . . . . 361

28. Expresiones regulares de nombre de hostdenegado de forma predeterminada . . . . 363

29. Máscaras de red de dirección IP denegadasde forma predeterminada . . . . . . . 363

30. Extensión de registro simple de ejemplo 36631. Extensión de intercambio de atributos de

ejemplo . . . . . . . . . . . . . 36732. Archivo de plantilla openid_server.html 39033. Manejar el consentimiento de atributos

opcionales individuales . . . . . . . . 39234. Archivo HTML de plantilla sitemanager.html 39835. Archivo HTML de plantilla error.html 39936. Archivo de plantilla indirect_post.html 40137. Página de plantilla immediate.html . . . . 40238. Archivo de plantilla server_error.html 40339. Código de ejemplo XSL OAuth 1.0 con

gestión de estado . . . . . . . . . . 42140. Código de ejemplo XSL OAuth 2.0 con

gestión de estado . . . . . . . . . . 42341. Código JavaScript de ejemplo para OAuth 1.0 44642. Código JavaScript de ejemplo para OAuth 2.0 44743. Flujo de trabajo de la cadena de confianza de

STS de OAuth . . . . . . . . . . . 45444. Flujo de trabajo de punto de obligatoriedad

de autorización de OAuth . . . . . . . 46545. Plantilla para clients_manager.html . . . . 48146. Plantilla para user_consent.html . . . . . 48347. Plantilla para user_response.html . . . . . 48448. Plantilla para user_consent_denied.html 48549. Plantilla para user_error.html . . . . . . 48550. Plantilla para user_consent.html . . . . . 48851. Plantilla para user_response.html . . . . . 48952. Plantilla HTML para user_error . . . . . 49053. Ejemplo de código XSL que muestra la

correlación de un valor de una credencial deTivoli Access Manager a un nombre Principalpara una señal Liberty . . . . . . . . 501

54. Ejemplo de código XSL que muestra laasignación de método de autenticación comoun Atributo para una señal Liberty. . . . . 501

55. Ejemplo de código XSL que muestra laasignación de atributos opcionales para unaseñal Liberty . . . . . . . . . . . . 502

56. Ejemplo de código XSL que muestra laasignación opcional del valor GroupList a unatributo para una señal Liberty . . . . . 502

57. Ejemplo de código XSL que muestra laasignación de un valor para el nombrePrincipal para una señal Liberty. . . . . . 503

58. Ejemplo de código XSL que muestra laasignación de atributos para una señalLiberty. . . . . . . . . . . . . . 504

© Copyright IBM Corp. 2006, 2013 xi

59. Ejemplo de código XSL que muestra lacorrelación de un valor de una credencial deTivoli Access Manager a un nombre Principalpara una señal SAML . . . . . . . . . 529

60. Ejemplo de código XSL que muestra laasignación de método de autenticación comoun Atributo para una señal SAML . . . . 530

61. Ejemplo de código XSL que muestra laasignación de atributos opcionales para unaseñal SAML . . . . . . . . . . . . 530

62. Ejemplo de código XSL que muestra laasignación opcional del valor GroupList a unatributo para una señal SAML . . . . . . 531

63. Ejemplo de código XSL que muestra laasignación de un valor para el nombrePrincipal para una señal SAML. . . . . . 532

64. Ejemplo de código XSL que muestra laasignación de atributos para una señal SAML. 532

65. Delegación restringida de Kerberos con unaunión WebSEAL . . . . . . . . . . 548

66. Solución Autogestión de usuario . . . . . 58667. Ejemplo de Captcha . . . . . . . . . 60068. Valores de ejemplo de wimconfig.xml 61369. Atributos de gestión de perfil en el archivo

de respuestas . . . . . . . . . . . 67870. Plantilla para allerror.html . . . . . . 71171. Plantilla para error_generating_otp.html 71272. Plantilla para

error_get_delivery_options.html . . . . 71373. Plantilla para error_otp_delivery.html 71374. Plantilla para error_sts_invoke_failed.html 71475. Plantilla para

error_could_not_validate_otp.html . . . . 71576. Página de plantilla para sms_message.xml 71677. Plantilla para email_message.xml . . . . . 71678. Página de plantilla wayf-html.html . . . . 79379. Valores predeterminados para

ldapconfig.properties . . . . . . . . . 82880. Salida de ejemplo de tfimcfg.jar . . . . . 829

xii IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de configuración

Tablas

1. Propiedades de configuración de dominio 282. Propiedades del entorno de Tivoli Access

Manager . . . . . . . . . . . . . 283. Requisitos de certificado de autenticación de

servidor SSL . . . . . . . . . . . . 444. Requisitos de certificado de autenticación de

cliente SSL . . . . . . . . . . . . . 455. Sus claves . . . . . . . . . . . . . 556. Claves que necesita de su socio . . . . . . 567. Claves que debe proporcionar a su socio 568. Lista de todos los nombres y valores posibles

para un servidor proxy HTTP de salida . . . 969. Parámetros a utilizar con el mandato ktpass

de Microsoft Windows . . . . . . . . 10510. Detalles del certificado de firmante en el

entorno SPNEGO . . . . . . . . . . 10811. Parámetros para el directorio LDAP en el

entorno SPNEGO . . . . . . . . . . 10912. Macros utilizadas en el archivo

tai.properties.template. . . . . . . . . 11213. Propiedades de LDAP que deben modificarse

para tfimcfg . . . . . . . . . . . . 14414. Propiedad de búsqueda de LDAP. . . . . 14615. Propiedades de entorno de LDAP. . . . . 14616. Propiedades del servidor LDAP . . . . . 14717. Reglas de correlación de ejemplo . . . . . 15818. Archivos de reglas de correlación de ejemplo

para la aplicación de demostración . . . . 15919. Hoja de trabajo de propiedades de

configuración de Tivoli Directory IntegratorModule . . . . . . . . . . . . . 162

20. Entradas de STSUUSER utilizadas paragenerar una señal SAML. . . . . . . . 195

21. Información de señal SAML que se conviertea un documento de usuario universal STS . . 196

22. Entradas de STSUUSER utilizadas paragenerar una señal SAML, utilizando un alias . 198


24. Parámetros de consulta de atributo para elarchivo de respuestas de federación . . . . 210

25. Parámetros de consulta de atributo para elarchivo de respuestas de socio . . . . . . 211

26. Información general del proveedor deservicios en la federación de SAML 1.x . . . 213

27. Información de contacto del proveedor deservicios en la federación de SAML 1.x . . . 213

28. Protocolo de federación del proveedor deservicios en la federación de SAML 1.x . . . 214

29. Información de servidor de punto de contactodel proveedor de servicios en la federación deSAML 1.x . . . . . . . . . . . . . 214

30. Información de firma del proveedor deservicios en la federación de SAML 1.x . . . 214

31. Información de correlación de identidades delproveedor de servicios en la federación deSAML 1.x . . . . . . . . . . . . . 215

32. Información general del proveedor deidentidades en la federación de SAML 1.x . . 215

33. Información de contacto del proveedor deidentidades en la federación de SAML 1.x . . 215

34. Información de protocolo de federación delproveedor de identidades en la federación deSAML 1.x . . . . . . . . . . . . . 216

35. Servidor de punto de contacto para elproveedor de identidades en la federación deSAML 1.x . . . . . . . . . . . . . 216

36. Información de firma del proveedor deidentidades en la federación de SAML 1.x . . 216

37. Información de valores del mensaje SAML delproveedor de identidades en la federación deSAML 1.x . . . . . . . . . . . . . 217

38. Información de valores de señal para elproveedor de identidades en la federación deSAML 1.x . . . . . . . . . . . . . 217

39. Información de correlación de identidades delproveedor de identidades en la federación deSAML 1.x . . . . . . . . . . . . . 218

40. Información general del proveedor deservicios en la federación de SAML 2.0 . . . 218

41. Información de contacto del proveedor deservicios en la federación de SAML 2.0 . . . 218

42. Protocolo de federación del proveedor deservicios en la federación de SAML 2.0 . . . 219

43. Información de servidor de punto de contactodel proveedor de servicios en la federación deSAML 2.0 . . . . . . . . . . . . . 219

44. Información de selección y configuración deperfiles del proveedor de servicios en lafederación de SAML 2.0 . . . . . . . . 219

45. Información de firma del proveedor deservicios en la federación de SAML 2.0 . . . 220

46. Información de cifrado del proveedor deservicios en la federación de SAML 2.0 . . . 221

47. Valores de mensajes SAML para el proveedorde servicios en la federación de SAML 2.0 . . 221

48. Información de consulta de atributos para elproveedor de servicios . . . . . . . . 222

49. Información de correlación de consulta deatributos del proveedor de servicios en lafederación de SAML 2.0 . . . . . . . . 223

50. Información de correlación de identidades delproveedor de servicios en la federación deSAML 2.0 . . . . . . . . . . . . . 223

51. Información general del proveedor deidentidades en la federación de SAML 2.0 . . 224

52. Información de contacto del proveedor deidentidades en la federación de SAML 2.0 . . 224

53. Protocolo de federación del proveedor deidentidades en la federación de SAML 2.0 . . 224

© Copyright IBM Corp. 2006, 2013 xiii

54. Información de servidor de punto de contactodel proveedor de identidades en la federaciónde SAML 2.0 . . . . . . . . . . . . 224

55. Información de selección y configuración deperfiles del proveedor de identidades en lafederación de SAML 2.0 . . . . . . . . 224

56. Información de firma del proveedor deidentidades en la federación de SAML 2.0 . . 225

57. Información de cifrado del proveedor deidentidades en la federación de SAML 2.0 . . 226

58. Valores de mensajes SAML para el proveedorde identidades en la federación de SAML 2.0 . 227

59. Información de valores de señal delproveedor de identidades en la federación deSAML 2.0 . . . . . . . . . . . . . 227

60. Información de consulta de atributos para elproveedor de identidades . . . . . . . 228

61. Información de correlación de consulta deatributos para el proveedor de identidades. . 228

62. Información de correlación de identidades delproveedor de identidades en la federación deSAML 2.0 . . . . . . . . . . . . . 229

63. Opciones de metadatos para añadir un sociodel proveedor de servicios en la federaciónSAML 1.x . . . . . . . . . . . . . 235

64. Información de contacto del socio delproveedor de servicios en la federación deSAML 1.x . . . . . . . . . . . . . 235

65. Valores del mensaje SAML para el socio delproveedor de servicios en la federación deSAML 1.x . . . . . . . . . . . . . 235

66. Información de validación de firma del sociodel proveedor de servicios en la federación deSAML 1.x . . . . . . . . . . . . . 236

67. Información de los valores de la señal deseguridad del socio del proveedor deservicios en la federación de SAML 1.x . . . 237

68. Información de correlación de identidades delsocio del proveedor de servicios en lafederación de SAML 1.x . . . . . . . . 241

69. Opciones de metadatos para añadir un sociodel proveedor de identidades en la federaciónSAML 1.x . . . . . . . . . . . . . 242

70. Información de contacto del socio delproveedor de identidades en la federación deSAML 1.x . . . . . . . . . . . . . 242

71. Valores del mensaje SAML para el socio delproveedor de identidades en la federación deSAML 1.x . . . . . . . . . . . . . 242

72. Información de validación de firma del sociodel proveedor de identidades en la federaciónde SAML 1.x . . . . . . . . . . . . 243

73. Validación del certificado de servidor de susocio del proveedor de identidades en unafederación SAML 1.x . . . . . . . . . 245

74. Autenticación de cliente para SOAP para susocio del proveedor de identidades en unafederación SAML 1.x . . . . . . . . . 245

75. Información de los valores de la señal deseguridad del socio del proveedor deidentidades en la federación de SAML 1.x . . 246

76. Información de correlación de identidades delsocio del proveedor de identidades en lafederación de SAML 1.x . . . . . . . . 248

77. Federación a la que va a añadir un socio delproveedor de servicios en una federaciónSAML 2.0 . . . . . . . . . . . . . 249

78. Archivo de metadatos de su socio delproveedor de servicios en una federaciónSAML 2.0 . . . . . . . . . . . . . 249

79. Validación de firmas de su socio delproveedor de servicios en una federaciónSAML 2.0 . . . . . . . . . . . . . 249

80. Almacén de claves para almacenar la clave decifrado de su socio del proveedor de serviciosen una federación SAML 2.0 . . . . . . 250

81. Validación del certificado de servidor de susocio del proveedor de servicios en unafederación SAML 2.0 . . . . . . . . . 250

82. Autenticación de cliente para su socio delproveedor de servicios en una federaciónSAML 2.0 . . . . . . . . . . . . . 251

83. Valores de socio para su socio del proveedorde servicios en una federación SAML 2.0 . . 251

84. Valores de aserción SAML para su socio delproveedor de servicios en una federaciónSAML 2.0 . . . . . . . . . . . . . 254

85. Información de correlación de consulta deatributos para su socio de proveedor deservicios . . . . . . . . . . . . . 255

86. Opciones de correlación de identidades parasu socio del proveedor de servicios en unafederación SAML 2.0 . . . . . . . . . 256

87. Federación a la que va a añadir un socio delproveedor de identidades en una federaciónSAML 2.0 . . . . . . . . . . . . . 257

88. Archivo de metadatos de su socio delproveedor de identidades en una federaciónSAML 2.0 . . . . . . . . . . . . . 257

89. Validación de firmas de su socio delproveedor de identidades en una federaciónSAML 2.0 . . . . . . . . . . . . . 257

90. Almacén de claves para almacenar la clave decifrado de su socio del proveedor deidentidades en una federación SAML 2.0 . . 258

91. Validación del certificado de servidor de susocio del proveedor de identidades en unafederación SAML 2.0 . . . . . . . . . 258

92. Autenticación de cliente para su socio delproveedor de identidades en una federaciónSAML 2.0 . . . . . . . . . . . . . 259

93. Valores de socio para su socio del proveedorde identidades en una federación SAML 2.0 . 259

94. Valores de aserción SAML para su socio delproveedor de identidades en una federaciónSAML 2.0 . . . . . . . . . . . . . 262

95. Información de consulta de atributos para elsocio del proveedor de identidades . . . . 264

96. Información de correlación de consulta deatributos para el socio del proveedor deidentidades . . . . . . . . . . . . 265

xiv IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de configuración

97. Opciones de correlación de identidades parasu socio del proveedor de identidades en unafederación SAML 2.0 . . . . . . . . . 266

98. Valores del archivo de respuestas para elproveedor de identidades en la federaciónSAML 1.x . . . . . . . . . . . . . 272

99. Valores del archivo de respuestas para elproveedor de servicios en la federaciónSAML . . . . . . . . . . . . . . 275

100. Valores del archivo de respuestas del socioProveedor de servicios en una federaciónSAML 1.x . . . . . . . . . . . . . 278

101. Valores del archivo de respuestas del socioProveedor de identidades en una federaciónSAML 1.x . . . . . . . . . . . . . 280

102. Valores del archivo de respuestas para elproveedor de identidades en la federación deSAML 2.0 . . . . . . . . . . . . . 284

103. Valores del archivo de respuestas para elproveedor de servicios en la federación deSAML 2.0 . . . . . . . . . . . . . 287

104. Valores del archivo de respuestas del socioProveedor de servicios en una federaciónSAML 2.0 . . . . . . . . . . . . . 290

105. Valores del archivo de respuestas del socioProveedor de identidades en una federaciónSAML 2.0 . . . . . . . . . . . . . 292

106. Hoja de trabajo para propiedades defederación de proveedor de identidades. . . 319

107. Hoja de trabajo para propiedades defederación de parte dependiente . . . . . 321

108. Hoja de trabajo para propiedades deconfiguración de socios gestionados . . . . 323

109. Hoja de trabajo para propiedades deidentificación de federación . . . . . . . 375

110. Propiedades de configuración para elconsumidor de OpenID . . . . . . . . 380

111. Definiciones de puntos finales y URL deOAuth 1.0 . . . . . . . . . . . . 407

112. Definiciones de puntos finales y URL deOAuth 2.0 . . . . . . . . . . . . 408

113. Configuraciones soportadas . . . . . . . 417114. Hoja de trabajo para propiedades de

configuración de federación OAuth 1.0 . . . 427115. Hoja de trabajo para propiedades de

configuración de socio OAuth 1.0 . . . . . 430116. Hoja de trabajo para propiedades de

configuración de federación OAuth 2.0 . . . 432117. Hoja de trabajo para propiedades de

configuración de socio OAuth 2.0 . . . . . 436118. Propiedades del filtro de servlet y el

interceptor de asociación de confianza . . . 466119. Entradas de Out-STSUUSER utilizadas para

generar una señal Liberty o SAML 2 . . . . 500120. Información de señal que se convierte a un

documento de usuario universal STS. . . . 503121. Propiedad de búsqueda LDAP . . . . . . 523122. Propiedades del entorno LDAP . . . . . 523123. Propiedades del servidor LDAP . . . . . 523124. Entradas de In-STSUUSER generadas desde

la credencial de a Tivoli Access Manager . . 528

125. Entradas de Out-STSUUSER utilizadas paragenerar una señal SAML. . . . . . . . 529


127. Propiedades de WS-Federation. . . . . . 537128. Datos de WS-Federation . . . . . . . . 538129. Propiedades del módulo de señales SAML 538130. Nombres de host de servidor de ejemplo

utilizados en esta documentación . . . . . 550131. Propiedades de los paneles de identificación

de módulo . . . . . . . . . . . . 565132. Propiedad del panel de Configuración del

módulo de delegación Kerberos . . . . . 565133. Propiedades de la identificación de

correlación de cadenas . . . . . . . . 565134. Propiedades de Búsqueda de correlación de

cadenas . . . . . . . . . . . . . 566135. Panel de identificación de cadena . . . . . 566136. Panel de ensamblaje de cadenas . . . . . 566137. Propiedad de Configuración del módulo de

credencial de Access Manager . . . . . . 566138. Propiedad de Configuración del módulo de

delegación Kerberos (modalidad Emisión) . . 567139. Propiedades de stanza tfimsso y tfim-cluster 576140. Solicitudes HTTP . . . . . . . . . . 596141. Respuestas HTTP . . . . . . . . . . 598142. Utilizar el programa de utilidad

com.tivoli.pd.rgy.util.RgyConfig . . . . . 610143. Parámetros del archivo de respuestas de la

Autogestión de usuario . . . . . . . . 615144. Se han encontrado condiciones en la función

de validación de HTML . . . . . . . . 622145. Páginas HTML . . . . . . . . . . . 633146. Páginas HTML . . . . . . . . . . . 635147. Archivos HTML . . . . . . . . . . 647148. Lista de atributos que se almacenan durante

un flujo de inscripción de usuario. . . . . 653149. Lista de atributos que se almacenan durante

un flujo de contraseña olvidada . . . . . 653150. Lista de atributos que se almacenan durante

un flujo de ID de usuario olvidado . . . . 653151. Parámetros de memoria caché de Crear

cuenta . . . . . . . . . . . . . . 670152. Parámetros de memoria caché de contraseña

olvidada . . . . . . . . . . . . . 671153. Parámetros de memoria caché de error de

pregunta secreta . . . . . . . . . . 671154. Valores del parámetro -operation. . . . . 719155. Valores del parámetro

manageItfimPointOfContact -operation. . . 731156. Parámetros utilizados en los archivos de

respuestas de punto de contacto . . . . . 735157. Macros independientes del protocolo

soportadas . . . . . . . . . . . . 774158. Macros del protocolo SAML soportadas 775159. Macros del protocolo OpenID soportadas 776160. Macros del protocolo OAuth soportadas 776161. Identificadores de páginas generales y sus

archivos de plantilla . . . . . . . . . 782162. Identificadores de páginas SAML 1.x y sus

archivos de plantilla . . . . . . . . . 783

Tablas xv

163. Identificadores de páginas de SAML 2.0 y susarchivos de plantilla . . . . . . . . . 784

164. Identificadores de páginas Liberty . . . . 786165. Identificador de páginas de WS-Federation 787166. Identificadores de páginas independientes 788167. Macros utilizadas en los archivos de plantilla 789168. Valores de consentimiento soportados para la

respuesta SAML 2.0 . . . . . . . . . 797

169. Matriz de configuración de parámetros deSAH256 de SAML 2.0 . . . . . . . . . 843

170. Parámetros del archivo de respuestas de socioy de federación de SHA256 del proveedor deservicios y el proveedor de identidades . . . 845

xvi IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de configuración

Acerca de esta publicación

IBM® Tivoli Federated Identity Manager Versión 6.2.2 implementa soluciones parael inicio de sesión único federado, la gestión de la seguridad de servicios Web y elsuministro basadas en estándares abiertos. IBM Tivoli Federated Identity Manageramplía las soluciones de autenticación y autorización proporcionadas por IBMTivoli Access Manager para simplificar la integración de varias soluciones webexistentes.

Esta guía describe cómo configurar IBM Tivoli Federated Identity Manager.

DestinatariosLos destinatarios de esta publicación incluyen arquitectos de seguridad de red,administradores del sistema, administradores de red e integradores de sistemas.Los lectores de esta publicación deben tener conocimiento de trabajo sobrecuestiones de seguridad de red, tecnología de cifrado, claves y certificados.También deben estar familiarizados con la implementación de políticas deautenticación y autorización en un entorno distribuido.

Esta publicación describe una implementación de una solución de servicios Webque da soporte a varios estándares de servicios Web. Los lectores deben tenerconocimientos de estándares de servicios Web específicos, que pueden obtenerse apartir de la documentación generada por el cuerpo de estándares de cada estándaren cuestión.

Los lectores deben estar familiarizados con el desarrollo y despliegue deaplicaciones para utilizarlas en un entorno de servicios Web. Esto incluyeexperiencia en el despliegue de aplicaciones en un entorno de IBM WebSphereApplication Server.

Acceso a publicaciones y terminologíaEsta sección proporciona:v Una lista de las publicaciones de la biblioteca de IBM Tivoli Federated Identity

Manager.v Enlaces a “Publicaciones en línea” en la página xviii.v Un enlace al “Sitio web de terminología de IBM” en la página xviii.

Biblioteca de IBM Tivoli Federated Identity Manager

Los documentos siguientes están disponibles en la biblioteca de IBM TivoliFederated Identity Manager:v IBM Tivoli Federated Identity Manager - Guía de inicio rápidov IBM Tivoli Federated Identity Manager Installation Guide, GC27-2718-01v IBM Tivoli Federated Identity Manager - Guía de configuración, GC11-8430-02

(GC27-2719-02)v IBM Tivoli Federated Identity Manager - Instalación, configuración y administración de

accesos basados en riesgos, SC11-8429-02 (SC27-4445-02)v IBM Tivoli Federated Identity Manager Configuring web services security,

GC32-0169-04

© Copyright IBM Corp. 2006, 2013 xvii

v IBM Tivoli Federated Identity Manager Administration Guide, SC23-6191-02v IBM Tivoli Federated Identity Manager - Guía de auditoría, GC11-8431-05

(GC32-2287-05)v IBM Tivoli Federated Identity Manager - Guía de resolución de problemas,

GC11-8432-01 (GC27-2715-01)v IBM Tivoli Federated Identity Manager Error Message Reference, GC32-2289-04

Publicaciones en línea

IBM anuncia publicaciones del producto cuando se presenta el producto y cuandolas publicaciones se actualizan en las siguientes ubicaciones:

Information Center de IBM Tivoli Federated Identity ManagerEl sitio http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tspm.doc_7.1/welcome.html visualiza la página de bienvenida delInformation Center de este producto.

IBM Security Systems Documentation Central y página de bienvenidaIBM Security Systems Documentation Central proporciona una listaalfabética de toda la documentación de producto de IBM Security Systemsy enlaces al centro de información del producto para las versionesespecíficas de cada producto.

Bienvenido a los centros de información de IBM Security Systemsproporciona una introducción a los centros de información de IBM SecuritySystems, así como enlaces e información general sobre ellos.

Centro de publicaciones de IBMEl sitio http://www-05.ibm.com/e-business/linkweb/publications/servlet/pbi.wss ofrece funciones de búsqueda personalizadas paraayudarle a encontrar todas las publicaciones de IBM que necesite.

Sitio web de terminología de IBM

El sitio web de terminología de IBM agrupa la terminología de varias bibliotecasde productos en un solo sitio. Puede acceder al sitio web de terminología enhttp://www.ibm.com/software/globalization/terminology.

AccesibilidadLas características de accesibilidad ayudan a un usuario que tenga unadiscapacidad física (como una movilidad restringida o una visión limitada) autilizar satisfactoriamente los productos de software. Con este producto, puedeutilizar tecnologías de asistencia para escuchar y desplazarse por la interfaz.También puede utilizar el teclado en lugar del ratón para utilizar todas lascaracterísticas de la interfaz gráfica de usuario.

Para obtener más información, consulte el tema relativo a la accesibilidad delcentro de información, en http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tivoli.fim.doc_6.2.2/ic/ic-homepage.html.

Formación técnica de TivoliPara obtener información acerca de la formación técnica de Tivoli, consulte elsiguiente sitio web de formación de IBM Tivoli en el sitio webhttp://www.ibm.com/software/tivoli/education.

xviii IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de configuración

http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tivoli.fim.doc_6226/ic/ic-homepage.htmlhttp://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tivoli.fim.doc_6226/ic/ic-homepage.htmlhttps://www.ibm.com/developerworks/mydeveloperworks/wikis/home?lang=en#/wiki/IBM%20Security%20Systems%20Documentation%20Central/page/Welcomehttp://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/index.jsphttp://www-05.ibm.com/e-business/linkweb/publications/servlet/pbi.wsshttp://www-05.ibm.com/e-business/linkweb/publications/servlet/pbi.wsshttp://www.ibm.com/software/globalization/terminologyhttp://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tivoli.fim.doc_6.2.2/ic/ic-homepage.htmlhttp://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tivoli.fim.doc_6.2.2/ic/ic-homepage.htmlhttp://www.ibm.com/software/tivoli/education

Información de soporteSi tiene algún problema con el software de IBM, deseará resolverlo rápidamente.IBM le ofrece las formas siguientes de obtener el soporte necesario:

En líneaAcceda al sitio web de soporte de IBM en http://www.ibm.com/software/support/probsub.html y siga las instrucciones.

IBM Support AssistantIBM Support Assistant (ISA) es un entorno de trabajo de servicios desoftware locales gratuito que ayuda a resolver cuestiones y problemassurgidos con productos de software IBM. ISA ofrece un acceso rápido ainformación relativa a soporte y a herramientas de servicio para ladeterminación de problemas. Para instalar el software de ISA, consulte elmanual IBM Tivoli Federated Identity Manager Guía de instalación (manual eninglés). Consulte también: http://www.ibm.com/software/support/isa.

Guía de resolución de problemasPara obtener más información sobre la resolución de problemas, consulteIBM Tivoli Federated Identity Manager Guía de resolución de problemas.

Declaración de buenas prácticas de seguridadLa seguridad de los sistemas de tecnologías de la información implica proteger lossistemas y la información mediante la prevención, detección y respuesta al accesoinadecuado desde adentro y fuera de la empresa. El acceso inadecuado puederesultar en la alteración, destrucción apropiación indebida o empleo erróneo de lainformación, pero también puede resultar daño o utilización indebida de sussistemas, incluyendo su utilización para atacar a otros. Ningún producto o sistemade las tecnologías de la información debería considerarse completamente seguro yningún producto, servicio o medida de seguridad puede ser completamenteefectivo al prevenir la utilización o acceso impropio. Los sistemas, productos yservicios de IBM están diseñados para formar parte de un método de seguridadcompleto, el que necesitará incluir procedimientos operativos adicionales y puederequerir otros sistemas, productos o servicios para contar con el máximo deefectividad. IBM NO GARANTIZA QUE NINGÚN SISTEMA, PRODUCTO OSERVICIO SEA INMUNE, O HAGAN A SU EMPRESA INMUNE, A LACONDUCTA MALINTENCIONADA O ILEGAL DE CUALQUIERA DE LASPARTES.

Convenios utilizados en este manualEsta publicación utiliza varios convenios para términos y acciones especiales y paramandatos y vías de acceso que dependen del sistema operativo.

Convenios de tipo de letraEn esta publicación se utilizan los convenios de tipo de letra siguientes:

Negrita

v Mandatos en minúsculas y mandatos en mayúsculas y minúsculas quesean difíciles de distinguir del texto circundante

v Controles de la interfaz (recuadros de selección, pulsadores, selectorescíclicos, campos, carpetas, iconos, recuadros de lista, elementos dentro derecuadros de lista, listas de varias columnas, elecciones de menú,nombres de menú, fichas, hojas de propiedades) y etiquetas (tales comoConsejo: y Consideraciones sobre el sistema operativo:).

Acerca de esta publicación xix

http://www.ibm.com/software/support/probsub.htmlhttp://www.ibm.com/software/support/probsub.htmlhttp://www.ibm.com/software/support/isa

v Palabras clave y parámetros en el texto.Cursiva

v Citas (ejemplos: títulos de publicaciones, disquetes y CD).v Palabras definidas en el texto (ejemplo: una línea no conmutada se

denomina línea punto a punto).v Palabras y letras enfatizadas (ejemplo con palabras: "Utilice la palabra

that para introducir una cláusula restrictiva."; ejemplo con letras: "Ladirección LUN debe comenzar con la letra L.")

v Nuevos términos en el texto (excepto en una lista de definiciones): unavista es un marco de un espacio de trabajo que contiene datos.

v Variables y valores que el usuario debe proporcionar: ... donde minombrerepresenta...

Monoespaciado

v Ejemplos y ejemplos de código.v Nombres de archivo, palabras clave de programación y otros elementos

que son difíciles de distinguir del texto que los rodeav Texto de los mensajes y solicitudes dirigidos al usuariov Texto que debe escribir el usuario.v Valores para los argumentos o las opciones de mandatos.

Variables y vías de acceso que dependen del sistemaoperativo

Esta publicación utiliza el convenio de UNIX para especificar variables de entornoy para la notación de directorios.

Cuando utilice la línea de mandatos de Windows, sustituya $variable por%variable% para las variables de entorno y sustituya cada barra inclinada (/) poruna barra inclinada invertida (\) en las vías de acceso de directorio. Los nombresde variables de entorno no son siempre los mismos en los entornos Windows yUNIX. Por ejemplo, %TEMP% en entornos Windows equivale a $TMPDIR enentornos UNIX.

Nota: Si utiliza la shell Bash en un sistema Windows, puede utilizar los conveniosde UNIX.

xx IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de configuración

Parte 1. Configuración y uso de la herramienta Primerospasos de federación

Los temas de la sección Configuración proporcionan una guía paso a paso paraconfigurar la característica de Primeros pasos de federación. La consola de gestiónproporciona asistentes para guiarle por muchas de las tareas de configuración.

Puede utilizar la herramienta Primeros pasos de federación para crear unafederación SAML 2.0 basada en una plantilla y su rol preferido.

Empiece con el tema Capítulo 1, “Personalizar plantillas de federación”, en lapágina 3.

© Copyright IBM Corp. 2006, 2013 1

2 IBM® Tivoli® Federated Identity Manager Versión 6.2.2.7: Guía de configuración

Capítulo 1. Personalizar plantillas de federación

La herramienta Federation First Steps contiene plantillas de federación que puedenutilizarse para crear federaciones SAML 2.0. Las plantillas de federación sonarchivos de respuestas que contienen macros que se expanden en tiempo deejecución. Puede editar las plantillas de federación para personalizar algunaspropiedades.

Acerca de esta tarea

Antes de utilizar la herramienta Federation First Steps para crear una federación,puede personalizar las plantillas de federación. Las secciones siguientes le guiaránen este proceso.v Personalizar la plantilla de federaciónv Utilizar la plantilla de federación personalizada

Personalizar una plantilla de federaciónAcerca de esta tarea

Puede personalizar una plantilla de federación de dos maneras:v Modificando la plantilla de federación en el directorio fedfirststepsv Modificando la plantilla de federación en otro directorio

Modificar la plantilla de federación en el directoriofedfirststeps

Procedimiento1. Vaya a /firststeps/fedfirststeps/

templates y localice la plantilla que debe personalizar.2. Utilice un editor de texto para editar la plantilla que debe personalizar.3. Edite las variables que debe modificar. Puede especificar su valor preferido

para el nombre de empresa, la regla de correlación, etc.4. Pulse Guardar.

Modificar la plantilla de federación en otro directorioProcedimiento1. Vaya a /firststeps/fedfirststeps/

templates y localice la plantilla que debe personalizar.2. Si debe colocar la carpeta templates en otra ubicación, cópiela desde /firststeps/fedfirststeps/templates. Muévala a otrodirectorio y renómbrela.

3. Utilice una aplicación de editor de texto para personalizar la plantilla.4. Edite las variables que debe modificar. Puede especificar su valor preferido

para el nombre de empresa, la regla de correlación, etc.5. Pulse Guardar.


Utilizar la plantilla de federación personalizadaAcerca de esta tarea

Existen dos maneras de utilizar la carpeta de federación personalizada en laherramienta Federation First Steps: modificando el archivo fedfirststep.ini outilizando la interfaz de línea de mandatos. Por ejemplo, si las plantillaspersonalizadas se encuentra en c:\custom_tfim_fed_templates\, siga estosprocedimientos:

Procedimientov Modifique el archivo fedfirststep.ini y, a continuación, ejecute la herramienta

Federation First Steps.1. Vaya a instalación_FIM/tools/fedfirststeps/fedfirststeps.ini y abra el

archivo fedfirststep.ini en un editor de texto.2. Añada -custom-template-dir.3. Pulse Guardar.4. Inicie la herramienta Federation First Steps.

v Utilice la interfaz de línea de mandatos1. Abra la interfaz de línea de mandatos.2. En la interfaz de línea de mandatos, especifique:

– fedfirststeps.exe -custom-template-dir– c:\custom_tfim_fed_templates


Capítulo 2. Herramienta Primeros pasos de federación

Utilice la herramienta Primeros pasos de federación para crear una federaciónSAML genérica, configurar el acceso basado en riesgo o añadir proveedores deservicios como socios.

La herramienta Primeros pasos de federación tiene las siguientes limitaciones:v La interfaz de usuario de la herramienta Primeros pasos de federación no da

soporte a la derivación de la etiqueta del recuadro de selección. El texto no sevisualiza en la siguiente línea y queda truncado debido a un problema conocidode Standard Widget Toolkit.

v El uso de la herramienta Primeros pasos de federación en los entornos de clústerno está soportado.

Iniciar la herramienta Federation First StepsInicie la herramienta Federation First Steps para crear federaciones.

Antes de empezarv Para usuarios de Linux y Solaris, asegúrese de estar ejecutando GIMP Toolkit

(GTK) versión 2.12.0 o posterior.v Para usuarios de AIX, asegúrese de tener la versión más reciente de motif

instalada.

Procedimiento

Utilice cualquiera de las opciones siguientes para iniciar la herramienta FederationFirst Steps.v En el asistente de instalación, el recuadro de selección de la opción Iniciar la

consola de First Steps está seleccionado de forma predeterminada. PulseFinalizar.

Nota: Sólo está disponible en una instalación nueva de Tivoli Federated IdentityManager.

v En el directorio fedfirststeps, inicie fedfirststeps.exe o fedfirststeps.v Ejecute los mandatos siguientes en la interfaz de línea de mandatos:

– Microsoft Windows$DIR_INSTALACIÓN_FIM\firststeps\fedfirststeps\fedfirststeps.exe

– UNIX$DIR_INSTALACIÓN_FIM/firststeps/fedfirststeps/fedfirststeps

Nota: Si está utilizando un sistema operativo de 64 bits y la herramientaFederation First Steps no se inicia, asegúrese de que el contenido del archivo$DIR_INSTALACIÓN_FIM/firststeps/fedfirststeps.ini es-vm$DIR_INSTALACIÓN_FIM/_uninst/_jvm/bin-nlen_US


Configuración del lado del proveedor de identidadesConfigure los valores de federación del proveedor de identidades utilizando laherramienta Primeros pasos de federación.

Crear una federación SAML 2.0 genérica con un dominionuevo o existente

El asistente Federation First Steps crea una federación genérica para que losusuarios de Tivoli Federated Identity Manager puedan acceder a las aplicacionesdel proveedor de servicios.

Antes de empezar

Debe conocer la información siguiente para completar el asistente:v La opción de clave de firma. Consulte Almacenamiento y gestión de claves y

certificados.v El nombre de dominio. Consulte Configuración del dominio.v El servidor de punto de contacto. Consulte Gestionar servidores de punto de

contacto.

Procedimiento1. Inicie la herramienta Federation First Steps.2. Seleccione Asistente de SAML 2.0.3. Pulse Iniciar. La herramienta explorará los valores de configuración existentes.4. Especifique la información solicitada por el asistente.5. Pulse Finalizar para iniciar el proceso de la tarea. Pulse Atrás si desea cambiar

algo.6. Opcional: Active el dominio local.

a. Inicie la sesión en Integrated Solutions Console.b. Pulse Tivoli Federated Identity Manager > Dominios. Se visualizará una

solicitud para el dominio local detectado.c. Pulse Aceptar para activar el dominio local.

7. Opcional: Compruebe los detalles de la federación que ha creado.a. Inicie la sesión en Integrated Solutions Console.b. Pulse Tivoli Federated Identity Manager > Configurar inicio de sesión

único federado > Federaciones.c. El panel Federaciones muestra una lista de federaciones configuradas.

Seleccione la nueva federación que ha creado.d. Pulse Propiedades.e. Seleccione las propiedades que desea modificar. Las propiedades de

federación se describen en la ayuda en línea.f. Pulse Aceptar para cerrar el panel Propiedades de federación.

Configurar el acceso basado en riesgo con la herramientaFederation First Steps

Utilice la herramienta Federation First Steps de IBM Tivoli Federated IdentityManager para configurar y habilitar el acceso basado en riesgo. El acceso basadoen riesgo es un componente de IBM Tivoli Federated Identity Manager. El acceso


http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tivoli.fim.doc_6.2/installconfig/concept/managementofcertsSAML.htmlhttp://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tivoli.fim.doc_6.2/installconfig/concept/managementofcertsSAML.htmlhttp://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tivoli.fim.doc_6.2/installconfig/concept/PlanningDomainConfiguration.htmlhttp://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tivoli.fim.doc_6.2.1/task/config/console/managingcustomPOC.htmlhttp://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.tivoli.fim.doc_6.2.1/task/config/console/managingcustomPOC.html

basado en riesgo proporciona aplicación y decisión de acceso en función de unaevaluación dinámica del riesgo o el nivel de confidencialidad de una transacción.

Antes de empezar

Antes de iniciar la herramienta Federation First Steps, siga estos pasos:1. Si tiene un entorno en clúster de WebSphere Application Server, debe crear y

configurar un contexto JNDI denominado jdbc/rba en WebSphere ApplicationServer y crear el esquema para el acceso basado en riesgo. Consulte Configurarmanualmente la base de datos.

2. Instale el acceso basado en riesgo. Consulte Instalar el acceso basado en riesgo.3. Configure el servidor de punto de contacto WebSEAL para IBM Tivoli

Federated Identity Manager. Consulte la sección Configurar un servidor depunto de contacto WebSEAL para una federación SAML.

Debe conocer la información siguiente para completar el asistente:v URL del servidor de punto de contacto para IBM Tivoli Federated Identity

Managerv URI del recurso protegido de IBM Tivoli Access Manager que desea proteger con

el acceso basado en riesgov Nombre de instancia de WebSEAL

Procedimiento1. Inicie la herramienta Federation First Steps.2. Seleccione Asistente de configuración de acceso basado en riesgo.3. Pulse Iniciar. La herramienta explorará los valores de configuración existentes.4. Especifique la información solicitada por el asistente.5. Opcional: En la página Valores de configuración general, seleccione Configurar

Tivoli Access Manager, si desea configurar el entorno de IBM Tivoli AccessManager de modo que delegue las decisiones de autorización a acceso basadoen riesgo para los recursos protegidos.

Nota: Si selecciona esta opción, debe asegurarse de que IBM Tivoli AccessManager esté instalado y configurado localmente en el mismo sistema que IBMTivoli Federated Identity Manager.

6. Especifique el URL del servidor de punto de contacto para IBM TivoliFederated Identity Manager, que se utiliza para recopilar los atributos.http://nombre_host/nombre_unión_webseal

Por ejemplo:http://mywebsealhost.company.com/FIM

Una vez que el proceso de configuración se ha completado, la página Resumende configuración de acceso basado en riesgo describe si la configuración hafallado o ha sido satisfactoria.v Si la configuración se ha completado satisfactoriamente, los próximos pasos

para completar la configuración de acceso basado en riesgo se visualizan enla página Resumen de configuración de acceso basado en riesgo. Siga lasinstrucciones de la página de resumen para completar la configuración deIBM Tivoli Access Manager y del servicio de autorización externo (EAS) parael entorno.

Capítulo 2. Herramienta Primeros pasos de federación 7

http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.rba.doc/rbaConfiguringDB.htmlhttp://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.rba.doc/rbaConfiguringDB.htmlhttp://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.rba.doc/rbaInstallingRisk-basedAccess.htmlhttp://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/index.jsp?topic=%2Fcom.ibm.tivoli.fim.doc_6.2.1%2Ftask%2FConfiguringSAML2POC.htmlhttp://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/index.jsp?topic=%2Fcom.ibm.tivoli.fim.doc_6.2.1%2Ftask%2FConfiguringSAML2POC.html

v Si la configuración falla, se visualizan mensajes de registro y error en lapágina Resumen de configuración de acceso basado en riesgo. Utilice losdetalles que se proporcionan en los mensajes de registro y error paracomprobar que el proceso de configuración ha fallado y las causas probablesde la anomalía. Resuelva los problemas de configuración y ejecute de nuevola herramienta Primeros pasos de federación para configurar el accesobasado en riesgo.

7. Pulse Finalizar.

Qué hacer a continuación

Después de completar todos los pasos siguientes que se especifican en la página deresumen, compruebe que el acceso basado en riesgo está configuradocorrectamente en el sistema. Consulte la sección Verificar la configuración.

Añadir un proveedor de servicios con la herramientaFederation First Steps

El asistente Federation First Steps añade un proveedor de servicios como sociopara que los usuarios de Tivoli Federated Identity Manager puedan acceder a lasaplicaciones del proveedor de servicios. Los proveedores de servicios soportadosincluyen Salesforce, Google Apps, Microsoft Office 365 y Workday.

Antes de empezar

Debe conocer la información siguiente para completar el asistente:v Nombres de socio y dominio del proveedor de servicios que desea añadir como

socio.v Nombre de la federaciónv Nombres de usuarios federadosv Si tiene varios nombres de dominio en Google Apps, el emisor de la solicitud

SAML debe establecerse como google.com/a/example.com en lugar degoogle.com. Esta opción debe coincidir con la opción de inicio de sesión únicoen Google Apps.

v Opción de clave de firmav Servidor de punto de contacto

Acerca de esta tarea

El asistente Federation First Steps añade un proveedor de servicios como socio enlas situaciones siguientes:v A un dominio y una federación existentesv A un dominio existente y una federación nuevav A un dominio nuevo y una federación nueva

Procedimiento1. Inicie la herramienta Federation First Steps.2. Seleccione el plug-in específico del proveedor de servicios que desea utilizar.3. Pulse Iniciar. La herramienta explorará los valores de configuración existentes.4. Especifique la información solicitada por el asistente.5. Pulse Finalizar si desea iniciar el proceso de la tarea. Pulse Atrás si desea

cambiar algo.


http://pic.dhe.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.rba.doc/rbaConfigVerifying.html

6. Opcional: Compruebe los detalles de la federación que ha creado.a. Inicie la sesión en Integrated Solutions Console.b. Pulse Tivoli Federated Identity Manager > Configurar inicio de sesión

único federado > Federaciones.c. El panel Federaciones muestra una lista de federaciones configuradas.

Seleccione la nueva federación que ha creado.d. Pulse Propiedades.e. Seleccione las propiedades que desea modificar. Las propiedades de

federación se describen en la ayuda en línea.f. Pulse Aceptar para cerrar el panel Propiedades de federación.

7. Opcional: Compruebe los detalles del socio que se ha creado.a. Inicie la sesión en Integrated Solutions Console.b. Pulse Tivoli Federated Identity Manager > Configurar inicio de sesión

único federado > Socios.c. El panel Socios muestra una lista de los socios configurados. Seleccione el

nuevo socio que ha creado.d. Pulse Propiedades.e. Seleccione las propiedades que desea modificar. Las propiedades de socio se

describen en la ayuda en línea.f. Pulse Aceptar para cerrar el panel Propiedades de socio.

8. Opcional: Active el dominio local.a. Inicie la sesión en Integrated Solutions Console.b. Pulse Tivoli Federated Identity Manager > Dominios. Se visualizará una

solicitud para el dominio local detectado.c. Pulse Aceptar para activar el dominio local.

Conceptos relacionados:“Descripción general de la estrategia de UPN e immutableID para Microsoft Office365” en la página 12Debe elegir una estrategia para ImmutableID antes de configurar los valores deinicio de sesión único para Microsoft Office 365. Los usuarios de Microsoft Office365 se identifican mediante el nombre principal de usuario (UPN) e ImmutableID.

Configuración del lado del proveedor de serviciosConfigure los valores de federación del proveedor de servicios utilizando laherramienta Primeros paso

IBM Tivoli Federated Identity Manager Versión 6.2.2 · 2016-05-14 · Recibir un certificado...

Documents

Transcript of IBM Tivoli Federated Identity Manager Versión 6.2.2 · 2016-05-14 · Recibir un certificado...