Boîte de dialogue Authentification unique (consommateur SAML 1.1)

casso126figsbrfr
HID_partnership-sso-saml1-consumer
Sommaire
L'étape d'authentification unique permet de configurer l'opération d'authentification unique.
Authentification unique (consommateur SAML 1.1)
Permet de configurer l'authentification unique. Cette section contient les paramètres suivants :
  • Profil d'authentification unique
    Détermine si vous utilisez la liaison SAML Artefact ou POST pour l'authentification unique. Sélectionnez une liaison pour le partenariat.
    Options :
    Artefact HTTP, HTTP POST
  • Audience
    Spécifie l'audience pour l'assertion SAML.
    L'audience est l'URL d'un document qui décrit les termes et conditions de l'accord commercial entre deux partenaires fédérés. L'administrateur au niveau du site du producteur détermine l'audience. Cette valeur doit être la même que la valeur d'audience spécifiée au niveau du producteur.
    Valeur :
    une URL
    La valeur de l'audience doit contenir au maximum 1024 caractères et respecter la casse.
    Exemple :
    http://www.ca.com/SampleAudience
  • ID source distant
    (Artefact HTTP SAML 1.1 uniquement) Spécifie un ID unique dans l'artefact SAML qui identifie le producteur. Le consommateur utilise cet ID pour identifier un émetteur d'assertion.
    La spécification SAML définit un ID source comme un nombre binaire, hexadécimal de 20 octets qui identifie le producteur. La valeur ID source saisie est la représentation hexadécimale de 40 octets.
    Il est recommandé de spécifier le hachage SHA1 de l'ID d'entité comme valeur d'ID source. Si vous ne saisissez pas de valeur pour ce paramètre,
    CA Single Sign-on
    utilisera le hachage SHA1 par défaut.
    Valeur par défaut pour la fédération de partenariat :
    Hachage SHA1 de l'ID d'entité
  • URL du service d'authentification unique distant
    Spécifie l'URL du service d'authentification unique au niveau du producteur.
    Valeur par défaut si
    CA Single Sign-on
    est le producteur
    : http://
    serveur_producteur:port
    /affwebservices/public/intersitetransfer
  • URL du service de récupération d'assertions distant (Artefact HTTP uniquement)
    Spécifie l'URL du service de récupération d'assertions au niveau du producteur. Le service de récupération d'assertions récupère l'assertion basée sur l'artefact envoyé par le consommateur. Une entrée est requise pour l'authentification unique Artefact.
    Entrée :
    URL du service de récupération d'assertions
    Si le producteur distant utilise
    CA Single Sign-on
    , utilisez les URL suivantes :
    • En cas de désactivation de SSL :
      http://
      serveur_producteur:port
      /affwebservices/publicsaml1ars
    • En cas d'activation de SSL :
      https://
      serveur_producteur:ssl_port
      /affwebservices/publicsaml1ars
  • Niveau de protection
    Permet une authentification unique pour des schémas d'authentification de niveaux de protection équivalents ou inférieurs au sein du même domaine de stratégie. Le niveau de protection requiert également une authentification supplémentaire pour accéder aux ressources disposant de schémas de niveau de protection supérieurs.
    Limites :
    de 1 à 1 000
    Les schémas d'authentification disposent d'un niveau de protection par défaut que vous pouvez modifier. Utilisez des niveaux de protection élevés pour des ressources critiques et des schémas de niveau inférieur pour des ressources communément accessibles.
  • Activer l'audit synchrone
    Indique que
    CA Single Sign-on
    doit journaliser les actions effectuées sur le serveur de stratégies et sur l'agent Web avant de permettre l'accès aux ressources.
    CA Single Sign-on
    ne permettra pas l'accès aux ressources du domaine tant que les activités ne sont pas enregistrées dans les journaux d'audit.
Canal arrière (consommateur SAML 1.1)
La section Canal arrière permet de configurer la méthode d'authentification qui protège la communication de canal arrière pour l'authentification unique Artefact HTTP.
Cette section contient les paramètres suivants :
  • Méthode d'authentification
    Spécifie la méthode d'authentification des transactions de canal arrière.
    Valeur par défaut :
    Aucune authentification
    Options :
    Simple, Certificat de client, Aucune authentification
    • De base
      Indique qu'un schéma d'authentification de base protège l'accès du canal arrière pour le service de récupération d'assertions. Par conséquent, le consommateur doit fournir un nom d'utilisateur et un mot de passe convenu.
      Si vous sélectionnez Simple, configurez les paramètres supplémentaires suivants :
      • Nom d'utilisateur du canal arrière
        (Authentification de base uniquement) Spécifie le nom d'utilisateur en mode d'authentification de base.
        Saisissez la même valeur spécifiée pour ce champ au niveau du producteur.
      • Mot de passe
        (Authentification de base uniquement) Spécifie le mot de passe d'utilisateur. Ce mot de passe est pertinent uniquement lorsque vous utilisez la méthode d'authentification simple ou simple via SSL par le biais du canal arrière.
        Les deux partenaires fédérés doivent convenir du mot de passe.
      • Confirmer le mot de passe
        (Authentification de base uniquement) Confirme le mot de passe d'utilisateur pour l'authentification de base dans le canal arrière. Ressaisissez le mot de passe.
        Remarque :
        Si SSL est activé pour la connexion de canal arrière, vous pouvez encore sélectionner l'authentification de base.
      • Délai d'expiration du canal arrière (en secondes)
        Spécifie la durée maximum d'attente de réponse par le système de fédération suite à l'envoi d'une demande de canal arrière au service de récupération d'assertions. Spécifiez un intervalle en secondes.
    • Certificat de client
      Indique qu'un schéma d'authentification de certificat de client X.509 protège le canal arrière aux fins de communication avec le service de récupération d'assertions.
      L'authentification de certificat de client requiert l'utilisation de SSL pour toutes les URL de terminal. Les URL de terminal recherchent les différents services SAML dans un serveur, tels que le service de récupération d'assertions. La condition SSL indique que l'URL du service doit commencer par
      https://
      .
      Pour implémenter l'authentification de certificat de client, le consommateur envoie un certificat au producteur avant toute opération de transaction. Le producteur stocke le certificat dans son référentiel de données de certificat. Les deux partenaires doivent disposer d'un certificat ayant activé la connexion SSL dans leur base de données respective, sans quoi l'authentification de certificat de client ne fonctionnera pas.
      Lors du processus d'authentification, le consommateur envoie son certificat au producteur. Ce dernier compare le certificat reçu avec celui présent dans son référentiel de données, afin de vérifier qu'ils correspondent. En cas de correspondance, le producteur permet au consommateur d'accéder au service de récupération d'assertions.
      Si vous sélectionnez l'authentification de certificat de client, configurez le paramètre supplémentaire suivant :
      • Alias de certificat de client
        Spécifie l'alias associé à une paire clé privée/certificat dans le référentiel de données de certificat. Dans la liste déroulante, sélectionnez un alias. Si vous ne disposez pas de certificat, vous pouvez en importer un en sélectionnant Importer, ou en générer un en sélectionnant Générer.
      • Délai d'expiration du canal arrière (en secondes)
        Spécifie la durée maximum d'attente de réponse par le système de fédération suite à l'envoi d'une demande de canal arrière au service de récupération d'assertions. Spécifiez un intervalle en secondes.
    • Aucune authentification
      Indique qu'aucune information d'identification du consommateur n'est requise. Le canal arrière et le service de récupération d'assertions ne sont pas protégés.
      Si un producteur unique est le partenaire de plusieurs consommateurs, l'ID source de chaque partenariat doit être unique.