Exportation de métadonnées à partir d'un fournisseur d'identités local SAML 2.0

Sommaire
casso126figsbrfr
HID_export-local-asserting-partnership
Sommaire
La boîte de dialogue Exporter des métadonnées permet de sélectionner un partenariat ou une entité locale et d'exporter les données dans un fichier de métadonnées. L'entité de confiance peut ensuite importer ce fichier et créer des partenariats.
Les métadonnées sont basées au niveau de l'entité, car SAML ne contient aucun concept de partenariat. Toutefois, l'utilisation des métadonnées a pour objectif final de créer un partenariat.
Remarque :
Bien que des données de niveau de partenariat soient ajoutées au fichier de métadonnées, celles-ci capturent uniquement un sous-ensemble de données requises pour un partenariat.
La boîte de dialogue affiche les informations suivantes exportées dans un fichier de métadonnées :
Pour modifier les données, avant de les exporter, modifiez le partenariat ou l'entité.
Identification (exportation du fournisseur d'identités SAML 2.0)
casso126figsbrfr
La section Identification nomme le partenariat à partir de laquelle effectuer l'exportation.
Lors de l'exportation des métadonnées à partir d'une entité,
CA Single Sign-on
crée automatiquement un partenariat par défaut Ce partenariat par défaut est généré pour les raisons suivantes :
  • Certains éléments de métadonnées ne font pas partie du modèle d'entité et existent uniquement dans le partenariat.
  • A l'issue de l'exportation, un partenariat correspond aux métadonnées exportées, qui peuvent compléter ultérieurement sa configuration.
Remarque :
Si vous exportez un partenariat et que son entité locale est l'entité générant des assertions, la boîte de dialogue Exporter des métadonnées s'affiche. Toutefois, le nom du partenariat et les champs de description sont en lecture seule, car ils sont déjà définis pour le partenariat.
Cette section contient les paramètres suivants :
  • Nom du partenariat
    Identifie un nouveau partenariat par un nom unique.
    Un nom de partenariat est requis lors de l'exportation des métadonnées. Les données de niveau de partenariat sont requises pour la création d'un fichier de métadonnées complet. Les métadonnées dépendent du niveau de l'entité, car le concept de partenariat dépend de
    CA Single Sign-on
    . Toutefois, l'utilisation des métadonnées a pour objectif final de créer un partenariat.
    Remarque :
    Bien que des données de niveau de partenariat soient ajoutées au fichier de métadonnées, celles-ci capturent uniquement un sous-ensemble de données requises pour un partenariat.
    Valeur :
    chaîne alphanumérique Vous pouvez également utiliser des traits d'union, des traits de soulignement et des points.
  • Description
    Décrit le partenariat.
    Valeur :
    chaîne alphanumérique
  • Nom de l'entité locale
    Affiche le nom de l'entité existante à partir de laquelle les métadonnées seront exportées. Il s'agit de texte en lecture seule, provenant de l'entité sélectionnée pour l'exportation.
URL de résolution d'artefact (exportation du fournisseur d'identités SAML 2.0)
La section URL de résolution d'artefact permet de configurer le service au niveau du fournisseur d'identités qui récupère l'assertion. L'extraction d'assertion est basée sur l'artefact que le fournisseur d'identités reçoit du fournisseur de services.
Les paramètres sont les suivants :
  • Emplacement
    Spécifie l'URL du service de résolution d'artefacts au niveau du fournisseur d'identités. Cette valeur ne peut pas être modifiée.
    Valeur par défaut :
    http://
    serveur_fournisseur_identités:port
    /affwebservices/public/saml2ars
  • Service de résolution d'artefacts activé
    Active et désactive l'exportation de l'URL du service de résolution d'artefacts. Pour exporter l'URL, sélectionnez cette case à cocher. Pour indiquer que le service de résolution d'artefacts n'est pas en cours d'utilisation pour ce partenariat, ne la sélectionnez pas.
    Options :
    Oui, Non
URL de service d'authentification unique (exportation du fournisseur d'identités SAML 2.0)
La section URL de service d'authentification unique spécifie l'emplacement du service au niveau de l'entité générant des assertions. Les paramètres sont les suivants :
  • Emplacement
    Spécifie l'URL du service d'authentification unique au niveau de l'entité générant des assertions.
    Valeur par défaut :
    http://
    serveur_fournisseur_identités:port
    /affwebservices/public/saml2sso
    serveur_fournisseur_identités:port
    Spécifie le serveur et le numéro de port au niveau de l'entité générant des assertions qui héberge la fédération.
    Valeur :
    Cette URL représente l'entité locale uniquement, contrôlée par
    CA SiteMinder® Federation
    dans ce cas.
    CA Single Sign-on
    détermine cette URL.
  • Liaison de demande d'authentification
    Spécifie que la liaison de redirection HTTP est utilisée pour l'authentification unique. Cette case à cocher est affichée à titre indicatif uniquement. Cette valeur ne peut pas être modifiée.
    Valeur :
    HTTP-Redirect, HTTP-POST
URL de service de SLO (exportation du fournisseur d'identités SAML 2.0)
La section URL de service de SLO contient l'emplacement du service au niveau du fournisseur d'identités. Les paramètres sont les suivants :
  • Emplacement de redirection HTTP
    Spécifie l'URL du service de déconnexion groupée sur le fournisseur d'identités.
    Valeur par défaut :
    http://
    serveur_fournisseur_identités:port
    /affwebservices/public/saml2slo
    serveur_fournisseur_identités:port
    Spécifie le serveur et le numéro de port au niveau du fournisseur d'identités qui héberge la fédération.
    Valeur :
    CA Single Sign-on
    contrôle l'entité locale et détermine cette URL.
  • Emplacement SOAP
    Spécifie l'URL du service de déconnexion groupée au niveau du fournisseur d'identités.
    Valeur par défaut :
    http://
    serveur_fournisseur_identités:port
    /affwebservices/public/saml2slosoap
    serveur_fournisseur_identités:port
    Spécifie le serveur et le numéro de port au niveau du fournisseur d'identités qui héberge la fédération.
  • Redirection de SLO activée
    Indique si la redirection correspond à la déconnexion groupée pour cette entité.
    Options :
    Oui, Non
  • SOAP de SLO activé
    Indique si cette entité a une liaison SOAP de déconnexion groupée.
    Options :
    Oui, Non
URL du service d'attribut (exportation du fournisseur d'identités SAML 2.0)
La section URL du service d'attributs affiche les informations concernant le service d'attribut pour le fournisseur d'identités. Ce service répond à des requêtes d'attribut.
  • Emplacement
    Spécifie l'URL du service d'attributs au niveau du fournisseur d'identités.
    Par défaut :
    http://
    serveur_fournisseur_identités:port
    /affwebservices/public/saml2attrsvc
    serveur_fournisseur_identités:port
    Spécifie le serveur et le numéro de port au niveau du fournisseur d'identités qui héberge la fédération.
    Valeur :
    Le serveur de stratégies contrôle l'entité locale et détermine cette URL.
  • Service d'attribut activé
    Indique si le service d'attributs est activé.
    La
    valeur par défaut
    est Non.
Options de signature et de chiffrement (exportation du fournisseur d'identités SAML 2.0)
La section Signature et chiffrement permet de définir les modes de signature et de chiffrement. Les paramètres sont les suivants :
  • Alias de vérification et de signature
    (Facultatif) Spécifie l'alias associé à une paire de clé privée/certificat spécifique dans le référentiel de données de certificat de l'entité locale utilisé pour la signature et la vérification. Lors de la génération du fichier de métadonnées, seul le certificat de cette paire est inclus dans le fichier de métadonnées. Lors de l'importation de ce fichier de métadonnées vers le site distant en vue de créer un fournisseur d'identités, le certificat sera importé dans le référentiel de données de certificat. Le fournisseur de services distant utilise ce certificat pour vérifier la signature utilisée pour signer des réponses de déconnexion groupée dans ce partenariat.
    Valeur :
    une chaîne alphanumérique
  • Demandes d'authentification signées requises
    Indique dans le fichier de métadonnées que le fournisseur de services distant doit signer les messages AuthnRequest.
    Options :
    Oui, Non
Attributs et ID de nom pris en charge (exportation de fournisseur d'identités SAML 2.0)
casso126figsbrfr
La section Attributs et ID de nom pris en charge établit l'attribut utilisé pour l'ID de nom.
  • Formats d'ID de nom pris en charge
    Indique le format de l'identificateur de nom utilisé par le partenariat.
  • Attributs d'assertion pris en charge
    Indique les attributs d'annuaire d'utilisateurs inclus dans le fichier de métadonnées.
    La table inclut les informations suivantes :
    • Attribut
      Spécifie les attributs ajoutés à l'assertion.
    • Méthode de récupération
      Indique le motif de l'utilisation de l'attribut. Les valeurs possibles sont les suivantes.
      • Authentification unique : indique que l'attribut est utilisé pour l'authentification unique.
      • Service d'attribut : indique que l'autorité d'attributs utilise l'attribut pour répondre aux requêtes d'attribut.
      • Les deux : indique que l'attribut doit être utilisé pour l'authentification unique et pour l'utilisation par l'autorité d'attributs.
    • Format
      Désigne le format de l'attribut d'assertion.
    • Type
      Détermine le type de valeur utilisé pour l'ID de nom. Les valeurs possibles sont les suivantes.
      Statique
      : l'attribut est une valeur constante spécifiée dans la colonne Valeur.
      Attribut d'utilisateur
      : une requête à un annuaire d'utilisateurs spécifié dans la colonne Valeur détermine cet attribut.
      Attribut de nom unique
      : l'attribut de nom unique est spécifié dans les champs Valeur et Spécification de nom unique.
    • Valeur
      Indique la valeur du texte statique ou de l'attribut d'utilisateur/de nom unique.
    • Spécification de nom unique
      Spécifie le nom unique du groupe ou de l'unité organisationnelle utilisé par le système pour obtenir l'attribut associé, utilisé comme identificateur de nom.
Options d'exportation de métadonnées (SAML 2.0)
Les options d'exportation de métadonnées spécifient des caractéristiques pour le fichier de métadonnées. Les paramètres sont les suivants :
  • Alias de signature de document
    Identifie l'alias de la clé qui signe le document de métadonnées pour la communication sécurisée avec le partenaire distant. Sélectionnez un alias dans la liste.
    Valeur :
    Sélectionnez un alias dans la liste déroulante.
  • Algorithme de signature de document
    Indique l'algorithme que le système utilise pour signer le document de métadonnées.
    Par défaut :
    RSAwithSHA1
    Options
    : RSAwithSHA1, RSAwithSHA256
  • Jours valides
    Indique le nombre de jours de validité du document de métadonnées. 
    Valeur par défaut :
    0
    Valeur :
    nombre entier compris entre 0 et 9999
  • Durée de mise en cache
    Durée maximum de mise en cache des métadonnées sur le serveur local de l’entité qui consomme les métadonnées. Les entités doivent recharger les métadonnées une fois le délai expiré.