Identity Server Guide Access Manager Appliance 4.0 June 2014 www.netiq.com/documentation Legal Notice THIS DOCUMENT AND THE SOFTWARE DESCRIBED IN THIS DOCUMENT ARE FURNISHED UNDER AND ARE SUBJECT TO THE TERMS OF A LICENSE AGREEMENT OR A NON-DISCLOSURE AGREEMENT. EXCEPT AS EXPRESSLY SET FORTH IN SUCH LICENSE AGREEMENT OR NON-DISCLOSURE AGREEMENT, NETIQ CORPORATION PROVIDES THIS DOCUMENT AND THE SOFTWARE DESCRIBED IN THIS DOCUMENT "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESS OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. SOME STATES DO NOT ALLOW DISCLAIMERS OF EXPRESS OR IMPLIED WARRANTIES IN CERTAIN TRANSACTIONS; THEREFORE, THIS STATEMENT MAY NOT APPLY TO YOU. For purposes of clarity, any module, adapter or other similar material ("Module") is licensed under the terms and conditions of the End User License Agreement for the applicable version of the NetIQ product or software to which it relates or interoperates with, and by accessing, copying or using a Module you agree to be bound by such terms. If you do not agree to the terms of the End User License Agreement you are not authorized to use, access or copy a Module and you must destroy all copies of the Module and contact NetIQ for further instructions. This document and the software described in this document may not be lent, sold, or given away without the prior written permission of NetIQ Corporation, except as otherwise permitted by law. Except as expressly set forth in such license agreement or non-disclosure agreement, no part of this document or the software described in this document may be reproduced, stored in a retrieval system, or transmitted in any form or by any means, electronic, mechanical, or otherwise, without the prior written consent of NetIQ Corporation. Some companies, names, and data in this document are used for illustration purposes and may not represent real companies, individuals, or data. This document could include technical inaccuracies or typographical errors. Changes are periodically made to the information herein. These changes may be incorporated in new editions of this document. NetIQ Corporation may make improvements in or changes to the software described in this document at any time. U.S. Government Restricted Rights: If the software and documentation are being acquired by or on behalf of the U.S. Government or by a U.S. Government prime contractor or subcontractor (at any tier), in accordance with 48 C.F.R. 227.7202- 4 (for Department of Defense (DOD) acquisitions) and 48 C.F.R. 2.101 and 12.212 (for non-DOD acquisitions), the government’s rights in the software and documentation, including its rights to use, modify, reproduce, release, perform, display or disclose the software or documentation, will be subject in all respects to the commercial license rights and restrictions provided in the license agreement. © 2014 NetIQ Corporation. All Rights Reserved. For information about NetIQ trademarks, see https://www.netiq.com/company/legal/. Contents About NetIQ Corporation 13 About this Book and the Library 15 1 Configuring an Identity Server 17 1.1 Managing a Cluster Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17 1.1.1 Editing a Cluster Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 1.1.2 Configuring a Cluster with Multiple Identity Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20 1.1.3 Configuring Session Failover. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20 1.1.4 Editing Cluster Details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21 1.1.5 Enabling and Disabling Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23 1.2 Enabling Role-Based Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23 1.3 Enabling External Attributes Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24 1.4 Configuring Secure Communication on the Identity Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24 1.4.1 Viewing the Services That Use the Signing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24 1.4.2 Viewing Services That Use the Encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26 2 Customizing Login Pages, Logout Pages, and Messages 27 2.1 Customizing the Identity Server Login Page . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27 2.1.1 Selecting the Login Page and Modifying It . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28 2.1.2 Configuring the Identity Server to Use Custom Login Pages . . . . . . . . . . . . . . . . . . . . . . .36 2.1.3 Troubleshooting Tips for Custom Login Pages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41 2.2 Customizing the Identity Server Logout. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42 2.2.1 Rebranding the Logout Page. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42 2.2.2 Replacing the Logout Page with a Custom Page . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42 2.2.3 Configuring for Local Rather Than Global Logout. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43 2.3 Customizing Identity Server Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44 2.3.1 Customizing Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44 2.3.2 Customizing the Branding of the Error Page. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46 2.3.3 Customizing Tooltip Text for Authentication Contracts. . . . . . . . . . . . . . . . . . . . . . . . . . . . .47 2.4 Sample Custom Login Pages. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48 2.4.1 Modified login.jsp File for Credential Prompts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48 2.4.2 Custom nidp.jsp File with Custom Credentials . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50 2.5 Preventing Cross-site Scripting Attacks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57 2.5.1 Option 1: HTML Escaping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57 2.5.2 Option 2: Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58 3 Configuring Local Authentication 59 3.1 Configuring Identity User Stores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60 3.1.1 Using More Than One LDAP User Store. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60 3.1.2 Configuring the User Store . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61 3.1.3 Configuring an Admin User for the User Store . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .64 3.1.4 Configuring a User Store for Secrets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65 3.2 Creating Authentication Classes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73 3.2.1 Creating Basic or Form-Based Authentication Classes. . . . . . . . . . . . . . . . . . . . . . . . . . . .75 3.2.2 Specifying Common Class Properties. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .76 3.3 Configuring Authentication Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .78 3.4 Configuring Authentication Contracts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .81 3.4.1 Using a Password Expiration Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .85 Contents 3 3.4.2 Using Login Redirect URL Parameters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88 3.4.3 Admin can configure some more parameters that wiUsing Activity Realms . . . . . . . . . . . .88 3.5 Specifying Authentication Defaults. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .90 3.5.1 Specifying Authentication Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .91 3.5.2 Creating a Contract for a Specific Authentication Type. . . . . . . . . . . . . . . . . . . . . . . . . . . .91 3.6 Managing Direct Access to the Identity Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .92 3.6.1 Logging In to User Portal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .92 3.6.2 Specifying a Target . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .93 3.6.3 Blocking Access to the User Portal Page . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .93 3.6.4 Blocking Access to the WSDL Services Page. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95 4 Configuring Advanced Local Authentication Procedures 99 4.1 Configuring Social Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99 4.1.1 Use Case. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99 4.1.2 Prerequisite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100 4.1.3 Configuring SocialAuthClass. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100 4.1.4 Adding Images for Social Authentication Providers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102 4.1.5 Changing the Social Authentication Icons. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103 4.1.6 Configuring the Supported Social Authentication Providers for API Keys and API Secrets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103 4.2 Configuring for Two-Factor Authentication Using Time-Based One-Time Password (TOTP) . . . . .104 4.2.1 Why Two-Factor Authentication?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .104 4.2.2 Prerequisite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .104 4.2.3 Configuring TOTP Class, Method, and Contract. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .104 4.2.4 Registering with Google Authenticator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106 4.2.5 Verifying TOTP Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106 4.3 Configuring Persistent Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107 4.3.1 Frequent Re-authentication Using Password . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107 4.3.2 PersistentAuthClass Properties. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107 4.3.3 Configuring Persistent Authenticator Class. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .108 4.3.4 Logging Out of the Persistent Sessions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .108 4.3.5 Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109 4.4 Configuring for RADIUS Authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109 4.5 Configuring Client Integrity Check . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .110 4.6 Configuring Mutual SSL (X.509) Authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 4.6.1 Configuring Attribute Mappings. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .113 4.6.2 Setting Up Mutual SSL Authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115 4.6.3 Configuring X.509 Authentication to Provide Access Manager Error Message. . . . . . . . .116 4.7 Creating an ORed Credential Class. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .117 4.8 Configuring for OpenID Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119 4.9 Configuring Password Retrieval. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .120 4.10 Configuring Access Manager for NESCM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123 4.10.1 Prerequisites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123 4.10.2 Creating a User Store . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123 4.10.3 Creating a Contract for the Smart Card. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125 4.10.4 Assigning the NESCM Contract to a Protected Resource. . . . . . . . . . . . . . . . . . . . . . . . .129 4.10.5 Verifying the User’s Experience. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129 4.10.6 Troubleshooting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .130 5 Configuring for Kerberos Authentication 131 5.1 Prerequisites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132 5.2 Configuring Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132 5.2.1 Installing the spn and the ktpass Utilities for Windows Server 2003 . . . . . . . . . . . . . . . . .133 5.2.2 Creating and Configuring the User Account for the Identity Server. . . . . . . . . . . . . . . . . .133 5.2.3 Configuring the Keytab File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .134 5.2.4 Adding the Identity Server to the Forward Lookup Zone. . . . . . . . . . . . . . . . . . . . . . . . . .134 4 NetIQ Access Manager Appliance 4.0 Identity Server Guide 5.3 Configuring the Identity Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135 5.3.1 Enabling Logging for Kerberos Transactions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135 5.3.2 Configuring the Identity Server for Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135 5.3.3 Creating the Authentication Class, Method, and Contract. . . . . . . . . . . . . . . . . . . . . . . . .136 5.3.4 Creating the bcsLogin Configuration File. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .139 5.3.5 Verifying the Kerberos Configuration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .140 5.3.6 (Optional) Using the Name/Password Form Authentication . . . . . . . . . . . . . . . . . . . . . . .140 5.3.7 (Optional) Configuring the Fall Back Authentication Class . . . . . . . . . . . . . . . . . . . . . . . .141 5.4 Configuring the Clients. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .142 5.5 Configuring the Access Gateway for Kerberos Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . .143 6 Defining Shared Settings 145 6.1 Configuring Attribute Sets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .145 6.2 Editing Attribute Sets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148 6.3 Configuring User Matching Expressions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148 6.4 Adding Custom Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .150 6.4.1 Creating Shared Secret Names. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .150 6.4.2 Creating LDAP Attribute Names . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151 6.5 Adding Authentication Card Images. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153 6.6 Creating an Image Set. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153 6.7 Metadata Repositories. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .154 6.7.1 Creating Metadata Repositories . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .154 6.7.2 Reimporting Metadata Repositories. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155 7 Configuring SAML and Liberty Trusted Providers 157 7.1 Understanding the Trust Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .158 7.1.1 Identity Providers and Consumers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .158 7.1.2 Embedded Service Providers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159 7.1.3 Configuration Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159 7.2 Configuring General Provider Options. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .160 7.2.1 Configuring the General Identity Provider Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .160 7.2.2 Configuring the General Identity Consumer Options. . . . . . . . . . . . . . . . . . . . . . . . . . . . .161 7.2.3 Configuring the Introductions Class . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .161 7.2.4 Configuring the Trust Levels Class . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .162 7.3 Managing Trusted Providers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .162 7.3.1 Creating a Trusted Service Provider for SAML 2.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .163 7.3.2 Creating a Trusted Service Provider for SAML 1.1 and Liberty . . . . . . . . . . . . . . . . . . . .165 7.3.3 Creating a Trusted Identity Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .166 7.3.4 Creating Identity Providers and Service Providers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .168 7.4 Modifying a Trusted Provider. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169 7.5 Executing Authorization Based Roles Policy During SAML 2.0 Service Provider Initiated Request . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .170 7.6 Contracts Assigned to SAML 2.0 Service Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .171 7.7 Configuring Communication Security. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .172 7.7.1 Configuring Communication Security for Liberty and SAML 1.1 . . . . . . . . . . . . . . . . . . . .173 7.7.2 Configuring Communication Security for a SAML 2.0 Identity Provider . . . . . . . . . . . . . .174 7.7.3 Configuring Communication Security for a SAML 2.0 Service Provider . . . . . . . . . . . . . .175 7.8 Selecting Attributes for a Trusted Provider. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .176 7.8.1 Configuring the Attributes Obtained at Authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . .176 7.8.2 Configuring the Attributes Sent with Authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .177 7.8.3 Sending Attributes to the Embedded Service Provider . . . . . . . . . . . . . . . . . . . . . . . . . . .178 7.9 Managing Metadata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .178 7.9.1 Viewing and Reimporting a Trusted Provider’s Metadata . . . . . . . . . . . . . . . . . . . . . . . . .179 7.9.2 Viewing Trusted Provider Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .179 7.9.3 Editing a SAML 1.1 Identity Provider’s Metadata. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .180 Contents 5 7.9.4 Editing a SAML 1.1 Service Provider’s Metadata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .181 7.9.5 Editing a SAML 2.0 Service Provider’s Metadata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .183 7.10 Configuring an Authentication Request for an Identity Provider . . . . . . . . . . . . . . . . . . . . . . . . . . .184 7.10.1 Configuring a Liberty Authentication Request. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184 7.10.2 Configuring a SAML 2.0 Authentication Request . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .186 7.11 Configuring an Authentication Response for a Service Provider. . . . . . . . . . . . . . . . . . . . . . . . . . .189 7.11.1 Configuring the Liberty Authentication Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .189 7.11.2 Configuring the SAML 2.0 Authentication Response. . . . . . . . . . . . . . . . . . . . . . . . . . . . .191 7.11.3 Configuring the SAML 1.1 Authentication Response. . . . . . . . . . . . . . . . . . . . . . . . . . . . .192 7.12 Routing to an External Identity Provider Automatically . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .193 7.13 Configuring Options for Trusted Service Providers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .194 7.14 Defining Options for Liberty or SAML 2.0. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .195 7.14.1 Defining Options for SAML 2.0 Identity Provider. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .195 7.14.2 Defining Options for Liberty or SAML 2.0 Service Provider. . . . . . . . . . . . . . . . . . . . . . . .195 7.14.3 Defining Options for Liberty Identity Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197 7.15 Defining Options for SAML 1.1 Service Provider. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197 7.16 Defining Session Synchronization for the A-Select SAML 2.0 Identity Provider . . . . . . . . . . . . . . .198 7.17 Configuring the Liberty or SAML 2.0 Session Timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .199 7.17.1 Session Termination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .199 7.18 Managing the Authentication Card of an Identity Provider. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .199 7.18.1 Modifying the Authentication Card for Liberty or SAML 2.0. . . . . . . . . . . . . . . . . . . . . . . .200 7.18.2 Modifying the Authentication Card for SAML 1.1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .200 7.19 Using the Intersite Transfer Service. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201 7.19.1 Understanding the Intersite Transfer Service URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201 7.19.2 Specifying the Intersite Transfer Service URL for the Login URL Option . . . . . . . . . . . . .203 7.19.3 Using Intersite Transfer Service Links on Web Pages . . . . . . . . . . . . . . . . . . . . . . . . . . .205 7.19.4 Configuring an Intersite Transfer Service Target for a Service Provider . . . . . . . . . . . . . .206 7.19.5 Configuring Whitelist of Target URLs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207 7.19.6 Federation Entries Management. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207 7.19.7 Step up Authentication Example for an Identity Provider Initiated Single Sign-On Request. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .208 7.20 Enabling or Disabling SAML Tags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .209 7.21 Sample Configurations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .212 7.21.1 Setting Up Google Applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .212 7.21.2 Setting Up Office 365 Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .213 7.21.3 Integrating Salesforce With Access Manager By Using SAML 2.0 . . . . . . . . . . . . . . . . . .213 7.21.4 Integrating Shibboleth Identity Provider With Access Manager. . . . . . . . . . . . . . . . . . . . .216 7.22 Configuring Multiple SAML 2.0 Service Providers on the Same Host for a Single SAML Identity Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .216 8 Configuring WS Federation 219 8.1 Using the Identity Server as an Identity Provider for ADFS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .219 8.1.1 Configuring the Identity Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .220 8.1.2 Configuring the ADFS Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .225 8.1.3 Logging In . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .227 8.1.4 Troubleshooting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .228 8.2 Using the ADFS Server as an Identity Provider for an Access Manager Protected Resource . . . .229 8.2.1 Configuring the Identity Server as a Service Provider. . . . . . . . . . . . . . . . . . . . . . . . . . . .230 8.2.2 Configuring the ADFS Server to Be an Identity Provider. . . . . . . . . . . . . . . . . . . . . . . . . .233 8.2.3 Logging In . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .234 8.2.4 Additional WS Federation Configuration Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .234 8.3 Managing WS Federation Providers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .235 8.3.1 Creating an Identity Provider for WS Federation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .235 8.3.2 Creating a Service Provider for WS Federation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .236 8.4 Modifying a WS Federation Identity Provider. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .236 8.4.1 Renaming the Trusted Provider. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .236 6 NetIQ Access Manager Appliance 4.0 Identity Server Guide 8.4.2 Configuring the Attributes Obtained at Authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . .237 8.4.3 Modifying the User Identification Method. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .237 8.4.4 Viewing the WS Identity Provider Metadata. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .238 8.4.5 Editing the WS Identity Provider Metadata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .239 8.4.6 Modifying the Authentication Card. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .239 8.4.7 Assertion Validity Window . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .240 8.5 Modifying a WS Federation Service Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .240 8.5.1 Renaming the Service Provider. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .240 8.5.2 Configuring the Attributes Sent with Authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .240 8.5.3 Modifying the Authentication Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .241 8.5.4 Viewing the WS Service Provider Metadata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .242 8.5.5 Editing the WS Service Provider Metadata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .242 8.6 Configuring STS Attribute Sets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .243 8.7 Configuring STS Authentication Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .243 8.8 Configuring STS Authentication Request. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .244 9 WS-Trust Security Token Service 245 9.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .245 9.2 Benefits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247 9.3 Scenarios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247 9.3.1 Scenario 1: Web Service Client Communicating with Token Protected Web Service Provider. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247 9.3.2 Scenario 2: Web Single Sign-On and STS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248 9.3.3 Scenario 3: Identity Delegation and Impersonation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249 9.3.4 Renewing a Token. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .251 9.3.5 Authentication Using SAML Tokens. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .252 9.4 Configuring WS-Trust STS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .254 9.4.1 Enabling WS-Trust. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .254 9.4.2 Configuring Access Manager for WS-Trust STS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .254 9.4.3 Viewing STS Service Details. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .255 9.5 Configuring Service Providers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .256 9.5.1 Adding a Domain and Assigning WS-Trust Operations. . . . . . . . . . . . . . . . . . . . . . . . . . .256 9.5.2 Adding Web Service Providers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .257 9.5.3 Managing Service Provider Domains . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .258 9.5.4 Managing Service Providers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .259 9.5.5 Modifying Service Providers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .259 9.5.6 A Sample WS-Policy for Web Service Providers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .260 9.6 Configuring Web Service Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .261 9.6.1 Configuring Apache CXF-based Web Service Clients. . . . . . . . . . . . . . . . . . . . . . . . . . . .261 9.6.2 Configuring Metro-based Web Service Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .262 9.7 Renew Token - Sample Request and Response. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .263 9.7.1 Renew Token - Sample Request. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .263 9.7.2 Renew Token - Sample Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .265 10 Configuring Active Directory Federation Services with SAML 2.0 269 10.1 Prerequisites and Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .269 10.1.1 Environment. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .270 10.1.2 IP Connectivity. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .270 10.1.3 Name Resolution. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .270 10.1.4 Clock Synchronization. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .270 10.2 Configuring Access Manager as a Claims or Identity Provider and AD FS 2.0 as Relying Party or Service Provider. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271 10.2.1 Configuring Access Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271 10.2.2 Configuring AD FS 2.0. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .273 10.2.3 Example Scenario: Access Manager as the Claims Provider and AD FS 2.0 as the Relying Party. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .277 Contents 7 10.3 Configuring AD FS 2.0 as the Claims or Identity Provider and Access Manager as the Relying Party or Service Provider. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .278 10.3.1 Configuring Access Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .279 10.3.2 Configuring AD FS 2.0. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .280 10.4 AD FS 2.0 Basics. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .282 10.4.1 Configuring the Token-Decrypting Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .282 10.4.2 Adding CA Certificates to AD FS 2.0. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .283 10.4.3 Debugging AD FS 2.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .283 10.5 Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .283 11 Configuring Single Sign-On for Office 365 Services 285 11.1 Passive and Active Authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .285 11.2 Configuring Active and Passive Authentication By Using WS-Trust and WS-Federation Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .286 11.2.1 Prerequisite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .286 11.2.2 Configuring an Office 365 Domain By Using WS-Trust Protocol. . . . . . . . . . . . . . . . . . . .286 11.2.3 Configuring an Office 365 Domain to Federate with Access Manager . . . . . . . . . . . . . . .287 11.3 Configuring an Office 365 Domain That Supports Passive Federation Using SAML 2.0 Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .289 11.3.1 Prerequisite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .289 11.3.2 Configuring an Office 365 Domain to Federate with Access Manager . . . . . . . . . . . . . . .289 11.4 Useful Resources. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .293 11.5 Troubleshooting Scenarios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .294 11.5.1 WS-Trust and WS-Federation Scenarios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .294 11.5.2 SAML 2.0 Scenarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .295 11.5.3 Office 365 Domain Scenarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .295 11.6 Sample Tokens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .297 11.6.1 Sample SAML Token . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .297 11.6.2 Sample WS-Trust Token . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .299 11.6.3 Sample WS-Federation Token. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .301 12 SP Brokering 303 12.1 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .303 12.2 Functionalities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .303 12.3 Brokering Flow. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .304 12.4 Deployment Scenarios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .307 12.4.1 Configuring Trusted Providers at One Broker Identity Server . . . . . . . . . . . . . . . . . . . . . .308 12.4.2 Brokering Across Group is not Allowed. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .309 12.4.3 Brokering Within Group is Allowed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .309 12.4.4 Brokering Within a Group Based On Groups and Members . . . . . . . . . . . . . . . . . . . . . . .309 12.5 Configuring a Brokering for Authorization of Service Providers. . . . . . . . . . . . . . . . . . . . . . . . . . . .309 12.6 Creating and Viewing Brokering Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .310 12.6.1 Creating a Brokering Group. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .311 12.6.2 Configuring Trusted Identity Providers and Service Providers . . . . . . . . . . . . . . . . . . . . .312 12.6.3 Configuring Brokering Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .313 12.6.4 Constructing Brokering URLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .316 12.6.5 Validating Brokering Rules. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .317 12.7 Generating the Brokering URLs by Using an ID and Target in the Intersite Transfer Service . . . . .319 12.8 Transient Federation within SAML 2.0. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .319 12.9 Assigning the Roles for the Origin IDP users in SP Broker Using the Transient Federation Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .320 12.10 Assigning The Local Roles Based On Remote Roles And Attributes . . . . . . . . . . . . . . . . . . . . . . .322 12.11 SP Brokering Example. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .323 8 NetIQ Access Manager Appliance 4.0 Identity Server Guide 13 Configuring User Identification Methods for Federation 327 13.1 Defining User Identification for Liberty and SAML 2.0. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .327 13.1.1 Selecting a User Identification Method for Liberty or SAML 2.0 . . . . . . . . . . . . . . . . . . . .327 13.1.2 Configuring the Attribute Matching Method for Liberty or SAML 2.0. . . . . . . . . . . . . . . . .330 13.2 Defining User Identification for SAML 1.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .331 13.2.1 Selecting a User Identification Method for SAML 1.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . .331 13.2.2 Configuring the Attribute Matching Method for SAML 1.1. . . . . . . . . . . . . . . . . . . . . . . . .332 13.3 Defining the User Provisioning Method . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .333 13.4 User Provisioning Error Messages. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .337 14 Configuring Communication Profiles 339 14.1 Configuring a Liberty Profile. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .339 14.2 Configuring a SAML 1.1 Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .340 14.3 Configuring a SAML 2.0 Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .340 15 Configuring Liberty Web Services 343 15.1 Configuring the Web Services Framework. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .343 15.2 Managing Web Services and Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .344 15.2.1 Modifying Service and Profile Details for Employee, Custom, and Personal Profiles . . . .345 15.2.2 Modifying Details for Authentication, Discovery, LDAP, and User Interaction Profiles. . . .347 15.2.3 Editing Web Service Descriptions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .348 15.2.4 Editing Web Service Policies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .349 15.2.5 Create Web Service Type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .351 15.3 Configuring Credential Profile Security and Display Settings. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .352 15.4 Customizing Attribute Names. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .354 15.5 Configuring the Web Service Consumer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .354 15.6 Mapping LDAP and Liberty Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .355 15.6.1 Configuring One-to-One Attribute Maps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .356 15.6.2 Configuring Employee Type Attribute Maps. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .359 15.6.3 Configuring Employee Status Attribute Maps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .360 15.6.4 Configuring Postal Address Attribute Maps. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .362 15.6.5 Configuring Contact Method Attribute Maps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .363 15.6.6 Configuring Gender Attribute Maps. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .365 15.6.7 Configuring Marital Status Attribute Maps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .366 16 Maintaining an Identity Server 369 16.1 Managing an Identity Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .369 16.1.1 Updating an Identity Server Configuration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .370 16.1.2 Restarting the Identity Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .371 16.2 Editing Server Details. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .371 16.3 Configuring Component Logging. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .371 16.3.1 Enabling Component Logging. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .372 16.3.2 Managing Log File Size. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .373 16.4 Configuring Session-Based Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .374 16.4.1 Creating the Administrator Class, Method, and Contract . . . . . . . . . . . . . . . . . . . . . . . . .375 16.4.2 Creating the Logging Session Class, Method, and Contract. . . . . . . . . . . . . . . . . . . . . . .376 16.4.3 Enabling Basic Logging. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .377 16.4.4 Responding to an Incident. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .377 16.5 Monitoring the Health of an Identity Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .380 16.5.1 Health States. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .380 16.5.2 Viewing the Health Details of an Identity Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .380 16.5.3 Viewing the Health Details of a Cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .382 16.6 Monitoring Identity Server Statistics. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .383 Contents 9 16.6.1 Application. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .385 16.6.2 Authentications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .385 16.6.3 Incoming HTTP Requests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .386 16.6.4 Outgoing HTTP Requests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .386 16.6.5 Liberty . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .387 16.6.6 SAML 1.1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .387 16.6.7 SAML 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .388 16.6.8 WSF (Web Services Framework) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .388 16.6.9 Clustering. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .390 16.6.10 LDAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .391 16.6.11 SP Brokering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .391 16.7 Monitoring API for the Identity Server Statistics. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .392 16.7.1 Endpoints of the REST API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .392 16.7.2 Supported Commands and Their Outputs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .393 16.8 Enabling Identity Server Audit Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .406 16.9 Monitoring Identity Server Alerts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .409 16.10 Viewing the Command Status of the Identity Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .409 16.10.1 Viewing the Status of Current Commands. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .409 16.10.2 Viewing Detailed Command Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .410 17 Troubleshooting Identity Server and Authentication 411 17.1 Useful Networking Tools for Linux Identity Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .412 17.2 Troubleshooting 100101043 and 100101044 Liberty Metadata Load Errors. . . . . . . . . . . . . . . . . .412 17.2.1 The Metadata. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .413 17.2.2 DNS Name Resolution. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .414 17.2.3 Certificates in the Required Trust Stores. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .415 17.2.4 Enabling Debug Logging. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .416 17.2.5 Testing Whether the Provider Can Access the Metadata . . . . . . . . . . . . . . . . . . . . . . . . .418 17.2.6 Manually Creating Any Auto-Generated Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . .419 17.3 Authentication Issues. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .419 17.3.1 Authentication Classes and Duplicate Common Names. . . . . . . . . . . . . . . . . . . . . . . . . .419 17.3.2 General Authentication Troubleshooting Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .419 17.3.3 Slow Authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .420 17.3.4 Federation Errors. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .420 17.3.5 Mutual Authentication Troubleshooting Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .420 17.3.6 Browser Hangs in an Authentication Redirect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .421 17.4 After Setting Up the User Store to Use SecretStore, Users Report 500 Errors . . . . . . . . . . . . . . . .421 17.5 When Multiple Browser Logout Option Is Enabled User Is Not Getting Logged Out From Different Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .422 17.6 302 Redirect to 'RelayState' URL after consuming a SAML Response is being sent to an incorrect URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .422 17.7 Configuring SAML 1.1 Identity Provider Without Specifying Port in the Login URL Field . . . . . . . .422 17.8 Attributes are Not Available Through Form Fill When OIOSAML Is Enabled. . . . . . . . . . . . . . . . . .423 17.9 Issue in Importing Metadata While Configuring Identity Provider or Service Provider Using Metadata URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .423 17.10 Metadata Mentions Triple Des As Encryption Method . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .423 17.11 Issue in Accessing Protected Resources with External Identity Provider When Both Providers Use Same Cookie Domain. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .423 17.12 SAML Intersite Transfer URL Setup Does Not Work for Non-brokered Setups After Enabling SP Brokering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .423 17.13 Orphaned Identity Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .424 17.14 Users cannot Log In to Identity Provider When They Access Protected Resources With Any Contract Assigned . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .425 17.15 Attribute Query from OIOSAML.SP Java Service Provider Fails with Null Pointer . . . . . . . . . . . . .425 17.16 Disabling the Certificate Revocation List Checking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .425 10 NetIQ Access Manager Appliance 4.0 Identity Server Guide
Description: