Handbuch für Sicherheit > SAML-Authentifizierung für Informatica-Webanwendungen > Aktivieren von SAML-Authentifizierung in einer Domäne

Aktivieren von SAML-Authentifizierung in einer Domäne

Konfigurieren Sie den Identitäts-Provider, die Informatica-Domäne und die Knoten innerhalb der Domäne zur Verwendung der SAML-Authentifizierung.

Zum Konfigurieren von SAML-Authentifizierung für unterstützte Informatica-Webanwendungen, die in einer Domäne ausgeführt werden, führen Sie folgende Aufgaben durch:

1Erstellen Sie eine LDAP-Konfiguration zum Herstellen einer Verbindung zum LDAP-Identitätsspeicher, der Benutzerkonten der Informatica-Webanwendung enthält. Sie erstellen auch eine LDAP-Sicherheitsdomäne und importieren die Benutzerkonten dann in die Sicherheitsdomäne.
2Exportieren Sie das Assertionssignierzertifikat aus dem Identitäts-Provider.
3Importieren Sie das Assertionssignierzertifikat in eine Truststore-Datei auf allen Gateway-Knoten in der Domäne. Sie können das Zertifikat in die Truststore-Standarddatei von Informatica oder in eine benutzerdefinierte Truststore-Datei kopieren.
4Fügen Sie eine oder mehrere Vertrauensstellungen der vertrauenden Seite oder Dienstanbieter im Identitäts-Provider hinzu.
5Fügen Sie die URL für jede Informatica-Webanwendung zum Identitäts-Provider hinzu.
6Aktivieren Sie SAML-Authentifizierung in der Domäne.
7Aktivieren Sie die SAML-Authentifizierung auf jedem Knoten in der Domäne.

HINWEIS: Für einige der von Informatica unterstützten SAML-Identitätsanbieter können Sie detaillierte Integrationsschritte in einem H2L-Artikel (How-To Library) ausführen. Links zu den Artikeln finden Sie unter Unterstützte Identitätsanbieter.

Erstellen einer LDAP-Konfiguration für den Identitäts-Provider oder LDAP-Speicher

Erstellen Sie mithilfe des Administrator Tools eine LDAP-Konfiguration für den Identitäts-Provider oder LDAP-Speicher, der die Benutzerkonten der Webanwendung enthält, die SAML-Authentifizierung verwenden.

Beim Erstellen einer LDAP-Konfiguration wird eine Sicherheitsdomäne für die Benutzerkonten angelegt. Anschließend werden die Konten in die Sicherheitsdomäne importiert. Weisen Sie nach dem Importieren der Konten in die Sicherheitsdomäne die entsprechenden Rollen, Rechte und Berechtigungen der Informatica-Domäne zu den Konten in der Sicherheitsdomäne zu.

Weitere Informationen zum Erstellen einer LDAP-Konfiguration finden Sie unter Erstellen einer LDAP-Konfiguration.

Exportieren des Assertionssignierzertifikats

Der Identitätsanbieter sendet Authentifizierungsassertionen in Form eines Assertionssignaturzertifikats an Dienstanbieter.

Eine signierte Assertion enthält eine Signatur, die der Identitätsanbieter mithilfe eines vom Identitätsanbieteradministrator ausgewählten Algorithmus erstellt. Informatica überprüft dann die Signatur anhand des entsprechenden öffentlichen Zertifikats, das der Domänenadministrator in den SAML-Truststore importiert hat.

Informatica empfiehlt, dass Sie die signierte Assertion aktivieren.

Exportieren Sie das Assertionssignaturzertifikat vom Identitätsanbieter, um die signierte Assertion zu aktivieren.

Importieren des Zertifikats in den für SAML-Authentifizierung verwendeten Truststore

Importieren Sie das vom Identitäts-Provider verwendete Assertionssignierzertifikat in die Truststore-Datei, die für SAML-Authentifizierung auf jedem Gateway-Knoten innerhalb der Informatica-Domäne eingesetzt wird.

Sie können das Zertifikat in die standardmäßige Truststore-Datei von Informatica oder in eine benutzerdefinierte Truststore-Datei importieren.

Konfigurieren des Identitäts-Providers

Konfigurieren Sie den Identitäts-Provider zur Ausgabe von SAML-Token an Informatica-Webanwendungen.

Führen Sie die folgenden Aufgaben durch, um den Identitäts-Provider zu konfigurieren:

•Fügen Sie eine Vertrauensstellung der vertrauenden Seite für die Domäne im Identitäts-Provider hinzu. Durch die Definition als Vertrauensstellung der vertrauenden Seite kann der Identitäts-Provider Authentifizierungsanfragen von Informatica-Webanwendungen annehmen, die in der Domäne ausgeführt werden.
•Bearbeiten Sie die Regel „LDAP-Attribute als Ansprüche senden“, um LDAP-Attribute in Ihrem Identitätsspeicher zu den jeweiligen Typen zuzuordnen, die in vom Identitäts-Provider ausgegebenen SAML-Token verwendet werden.

Sie geben den Namen für die Vertrauensstellung der vertrauenswürdigen Partei ein, wenn Sie die SAML-Authentifizierung in einer Domäne aktivieren. Abhängig von den Sicherheitsanforderungen können Sie im Identitäts-Provider mehrere Vertrauensstellungen der vertrauenden Seite erstellen, um Domänen, die von verschiedenen Organisationen im Unternehmen verwendet werden, die Nutzung von SAML-Authentifizierung zu ermöglichen.

Informatica erkennt „Informatica“ als standardmäßigen Vertrauensstellungsnamen der vertrauenswürdigen Partei an. Wenn Sie eine einzelne Vertrauensstellung der vertrauenswürdigen Partei mit „Informatica“ als Vertrauensstellungsnamen erstellen, müssen Sie den Vertrauensstellungsnamen der vertrauenswürdigen Partei nicht angeben, wenn Sie die SAML-Authentifizierung in einer Domäne aktivieren.

HINWEIS: Alle Zeichenfolgen im Identitäts-Provider unterliegen der Groß-/Kleinschreibung, einschließlich URLs.

Hinzufügen von Informatica-Webanwendungs-URLs zum Identitäts-Provider

Fügen Sie die URL für jede Informatica-Webanwendung, die SAML-Authentifizierung verwendet, zum Identitäts-Provider hinzu.

Stellen Sie die URL für eine Informatica-Webanwendung bereit, damit der Identitäts-Provider von der Anwendung gesendete Authentifizierungsanfragen annehmen kann. Durch Bereitstellung der URL kann der Identitäts-Provider darüber hinaus den SAML-Token an die Anwendung senden, nachdem der Benutzer authentifiziert wurde.

Einrichten der SAML-Authentifizierung in der Domäne

Sie können die SAML-Authentifizierung in einer vorhandenen Informatica-Domäne oder beim Erstellen einer Domäne aktivieren.

Wenn Sie eine Domäne zur Verwendung der SAML-Authentifizierung aktivieren, verwenden alle in der Domäne ausgeführten Webanwendungen standardmäßig den Identitätsanbieter, den Sie beim Aktivieren der SAML-Authentifizierung in der Domäne angegeben haben.

Wählen Sie eine der folgenden Optionen aus:

Aktivieren Sie SAML-Authentifizierung, wenn Sie das Informatica-Installationsprogramm ausführen.: Sie können SAML-Authentifizierung aktivieren und die URL des Identitäts-Providers angeben, wenn Sie die Domäne als Teil der Installation konfigurieren.
Aktivieren Sie SAML-Authentifizierung in einer vorhandenen Domäne.
Aktivieren Sie SAML-Authentifizierung beim Erstellen einer Domäne.

In der Informatica-Befehlsreferenz erhalten Sie Anweisungen zur Verwendung dieser Befehle.

Aktivieren der SAML-Authentifizierung auf den Knoten

Sie müssen die SAML-Authentifizierung auf jedem Gateway- und Worker-Knoten in der Informatica-Domäne konfigurieren.

Wählen Sie eine der folgenden Optionen aus, um SAML-Authentifizierung auf einem Gateway-Knoten zu konfigurieren:

Aktivieren Sie SAML-Authentifizierung, wenn Sie einen Gateway-Knoten auf einem Computer definieren.: Verwenden Sie den Befehl „infasetup DefineGatewayNode“, um SAML-Authentifizierung auf dem Gateway-Knoten zu aktivieren.
Aktivieren Sie SAML-Authentifizierung, wenn Sie einen Gateway-Knoten für den Beitritt zu einer Domäne konfigurieren, die SAML-Authentifizierung verwendet.
Aktivieren Sie SAML-Authentifizierung, wenn Sie einen Worker-Knoten in einen Gateway-Knoten umwandeln.

Wählen Sie eine der folgenden Optionen aus, um die SAML-Authentifizierung auf einem Worker-Knoten zu konfigurieren:

Aktivieren Sie die SAML-Authentifizierung, wenn Sie einen Worker-Knoten auf einem Computer definieren.: Verwenden Sie den Befehl „infasetup DefineWorkerNode“, um die SAML-Authentifizierung auf dem Worker-Knoten zu aktivieren.
Aktivieren Sie die SAML-Authentifizierung, wenn Sie einen Worker-Knoten für den Beitritt zu einer Domäne konfigurieren, die die SAML-Authentifizierung verwendet.

In der Informatica-Befehlsreferenz erhalten Sie Anweisungen zur Verwendung dieser Befehle.