Boîte de dialogue Authentification unique et SLO (fournisseur de services SAML 2.0)
casso126figsbrfr
HID_partnerships-SSO-relying
L'étape Authentification unique et SLO permet de configurer l'authentification unique et la déconnexion unique.
Remarque
: Pour afficher les paramètres de déconnexion unique, activez le serveur de session dans la console de gestion de serveur de stratégies.Authentification unique (fournisseur de services SAML 2.0)
La section Authentification unique permet de configurer les informations d'authentification unique. Les paramètres sont les suivants :
Liaison de demande d'authentification
Spécifie les types de liaisons que le fournisseur de services utilise lors de l'envoi d'une demande d'authentification au fournisseur d'identités.
Options :
HTTP-Redirect, HTTP-POSTProfil d'authentification unique
Détermine le profil d'authentification unique utilisé par le système de fédération pour les demandes de traitement. Vous pouvez sélectionner toutes les liaisons ; l'entité locale détermine la séquence dans laquelle les liaisons sont testées.
Options
: Artefact HTTP, HTTP POST, proxy ou client amélioréSi les entités dans le partenariat communiquent indirectement via un client amélioré, sélectionnez le profil ECP. Un client amélioré peut être un navigateur ou un autre agent utilisateur, ou un proxy amélioré, par exemple un proxy sans fil pour une unité sans fil.
Audience
Spécifie l'audience pour l'assertion SAML.
L'audience est l'URL d'un document qui décrit les termes et conditions de l'accord commercial entre deux partenaires fédérés. L'administrateur au niveau de l'entité générant des assertions détermine l'audience. La valeur saisie doit correspondre à la valeur d'audience spécifiée pour l'entité générant des assertions.
Valeur :
une URLExemple :
http://www.ca.com/fedserverTransactions permises
Indique le partenaire autorisé à initialiser l'authentification unique. Le contrôle du partenaire initialisant l'authentification unique permet de gérer les appels de fédération. Par exemple, vous pouvez sélectionner Initialisation du fournisseur de services uniquement. Dans ce cas, un fournisseur de services peut initialiser une transaction fédérée uniquement lorsqu'elle requiert un contexte d'authentification spécifique.
Consentement de l'utilisateur requis
Indique que le fournisseur de services requiert que le fournisseur d'identités sollicite auprès de l'utilisateur l'autorisation de partager ses informations d'identité. Pour confirmer le consentement, le fournisseur de services compare la valeur du consentement de l'utilisateur dans l'assertion reçue à l'une des valeurs de consentement suivantes :
- urn:oasis:names:tc:SAML:2,0:consent:obtainedLe fournisseur d'identités a reçu le consentement de l'utilisateur.
- urn:oasis:names:tc:SAML:2,0:consent:priorLe fournisseur d'identités a reçu le consentement de l'utilisateur avant l'exécution de la transaction d'authentification unique.
- urn:oasis:names:tc:SAML:2,0:consent:current-implicitLe fournisseur d'identités a reçu le consentement implicite lors de la transaction d'authentification unique. Ce consentement intervient souvent dans le cadre d'une activité impliquant le consentement. Le consentement implicite est généralement plus proche dans le temps de la transaction que le consentement préalable.
- urn:oasis:names:tc:SAML:2,0:consent:current-explicitLe fournisseur d'identités a reçu le consentement pendant l'action qui a initialisé la transaction d'authentification unique.
Niveau de protection
Permet une authentification unique pour des schémas d'authentification de niveaux de protection équivalents ou inférieurs au sein du même domaine de stratégie. Le niveau de protection requiert également une authentification supplémentaire pour accéder aux ressources disposant de schémas de niveau de protection supérieurs.
Valeur :
entre 1 et 1000Les schémas d'authentification disposent d'un niveau de protection par défaut que vous pouvez modifier. Utilisez des niveaux de protection élevés pour des ressources critiques et des schémas de niveau inférieur pour des ressources communément accessibles.
Appliquer l'assertion d'utilisation unique
Empêche les assertions SAML 2.0 d'être réutilisées au niveau d'un fournisseur de services pour établir une deuxième session.
Activer l'audit synchrone
Indique que les actions du serveur de stratégies et de l'agent Web doivent être journalisées avant d'autoriser les utilisateurs à accéder aux ressources. Le serveur de stratégies ne permettra pas l'accès aux ressources du domaine tant que les activités ne sont pas enregistrées dans les journaux d'audit
.
Utiliser une session persistante
(Facultatif) Spécifie que les sessions d'utilisateur sont suivies et enregistrées dans le référentiel de sessions et dans des cookies. Le serveur de stratégies peut accéder à ces informations et les utiliser dans les décisions d'authentification. Pour afficher cette case à cocher, activez le serveur de session dans la console de gestion de serveur de stratégies.
Pour activer les sessions persistantes, sélectionnez cette case à cocher. Cela est requis pour les fonctionnalités de déconnexion groupée et de stratégies d'utilisation unique.
Période de validation
Détermine la période maximum entre chaque appel d'agent au serveur de stratégies pour valider une session. Les appels de validation de session informent le serveur de stratégies qu'un utilisateur est encore actif et confirment la validité de la session d'utilisateur.
Pour spécifier la période de validation, saisissez des valeurs dans les champs Heures, Minutes et Secondes. Pour fournir un contexte de sécurité d'utilisateur Windows, définissez une valeur élevée, par exemple, 15 ou 30 minutes. De même, si des sessions actives sont inférieures à la valeur maximum du cache de la session d'utilisateur de l'agent, celui-ci ne devra pas revalider la session auprès du serveur de session.
Important :
La période de validation de la session doit être inférieure à la valeur du délai d'inactivité spécifiée.Envoyer l'URL d'ACS dans la demande d’authentification
Sélectionnez cette case à cocher pour inclure l’URL de service de consommateur d’assertions dans la demande d’authentification envoyée au fournisseur d’identités. Cette URL indique au fournisseur d’identités l'emplacement d'envoi de la réponse d’assertion.
URL du service d'authentification unique distant
Répertorie les URL des services d'authentification unique au niveau de l'entité générant des assertions. Chaque entrée de la table spécifie l'emplacement vers lequel le service AuthnRequest peut rediriger un message AuthnRequest. Pour ajouter d'autres entrées à la table, cliquez sur Ajouter une ligne. Toute valeur définie pendant la création ou l'importation de l'entité de confiance distante figurera dans cette table.
La table inclut les colonnes suivantes :
- SélectionnerIndique l'entrée à utiliser.
- LiaisonSpécifie la liaison prise en charge au niveau de l'entité générant des assertions.Options :Redirection HTTP, HTTP-POST, SOAP
- URLSpécifie le service d'authentification unique au niveau de l'entité générant des assertions.Valeur :URL du service d'authentification unique au niveau de l'entité générant des assertions distante
- SupprimerPour supprimer l'entrée, sélectionnez cette icône.
URL de résolution d'artefact SOAP distante
Répertorie les URL du service de résolution d'artefacts au niveau de l'entité générant des assertions. Ce service récupère l'assertion basée sur l'artefact envoyé par l'entité de confiance. Une entrée dans cette table est requise pour l'authentification unique d'artefact. Toute valeur définie pendant la création ou l'importation de l'entité de confiance distante figurera dans cette table.
La table inclut les colonnes suivantes :
- SélectionnerIndique àCA Single Sign-onl'entrée à utiliser.
- IndexAssocie une valeur d'index à l'URL spécifique du service de résolution d'artefacts. La valeur zéro indique l'entrée par défaut.Valeur par défaut :0Limites :entre 0 et 65535
- URLURL du service de résolution d'artefactsSi le fournisseur d'identités distant utiliseCA Single Sign-on, utilisez l'URL suivante :http://hôte_fournisseur_identités:port/affwebservices/public/saml2ars
- SupprimerPour supprimer l'entrée, sélectionnez cette icône.
Gestion des services d'ID de nom
Cette section décrit les champs permettant de configurer le service Gérer les ID de nom.
- Liaison MNI : SOAPPermet d'activer le service Gérer les ID de nom. SOAP est la seule liaison prise en charge.
- Chiffrer l'ID de nomPermet de chiffrer l'ID de nom.
- ID de nom chiffré requisRequiert un ID de nom chiffré dans les messages reçus.
- Signer la requêtePermet de signer le message de demande ManageNameID.
- Demande signée requiseRequiert un message de demande ManageNameID signé.
- Signer la réponsePermet de signer le message de réponse ManageNameId.
- Réponse signée requiseRequiert un message de réponse ManageNameID signé.
- Supprimer l'ID de nomEfface l'attribut d'annuaire d'utilisateurs qui contient l'ID de nom de l'utilisateur pour ce partenariat. Vous pouvez sélectionner Supprimer l'ID de nom ou Autoriser les notifications pour activer cette fonctionnalité.
- Délai d'expiration SOAP (en secondes)Spécifie le délai d'attente en minutes jusqu'à l'expiration de la demande.Valeur par défaut :60
- Nombre de tentativesSpécifie le nombre de tentatives de la demande.Valeur par défaut :3
- Délai des nouvelles tentatives (en minutes)Spécifie le délai d'attente en minutes avant d'effectuer une nouvelle tentative après l'échec du message.Valeur par défaut :15
- (Facultatif) Activation de la notificationIndique à l'entité de fédérationSingle Sign-Ond'avertir l'application cliente lorsqu'un utilisateur est arrêté. Une notification indique le service ID de nom en arrière-plan lorsqu'un arrêt ID de nom réussit. Activez les notifications si le client qui possède l'application demandée souhaite contrôler la suppression d'un utilisateur à partir de l'annuaire d'utilisateurs.
- URL de notificationSpécifie l'URL du fournisseur d'identités ou fournisseur de services distant que l'entité fédérée locale utilise pour envoyer la notification indiquant que l'ID de nom d'un utilisateur fédéré est arrêtée.
- Délai de notification (en secondes)Indique la durée (en secondes) d'expiration de la demande de notification.
- Type d'authentification de notificationIndique si le client requiert ou non la saisie d'informations d'identification lors de l'envoi d'un arrêt. Si vous sélectionnez l'option De base, le service de notification effectue un appel en arrière-plan via l'URL de notification. L'application cliente peut authentifier que la fédérationSingle Sign-Onest autorisée à réaliser cet appel. Si vous sélectionnez l'option De base, entrez une valeur pour les paramètres Nom d'utilisateur de notification et Mot de passe de notification. Ces valeurs servent d'informations d'identification lorsqu'un appel est envoyé via le canal de notification.Options: Aucune authentification, De base
- Nom d'utilisateur de notificationSpécifie le nom d'utilisateur pour le service de notification. Ce nom fait partie des informations d'identification que l'application cliente utilise pour vérifier l'entité communiquant via l'URL de notification.
- Mot de passe de notificationSpécifie un mot de passe pour le service de notification. Le mot de passe fait partie des informations d'identification que l'application cliente utilise pour vérifier l'entité communiquant via l'URL de notification. L'application cliente fournit ce type d'authentification afin de garantir l'envoi de la notification par un client valide.
- Mot de passe de confirmation de notificationConfirme la valeur Mot de passe de notification.
Service de demandeur d'attributs au niveau du fournisseur de services
Dans la section du service de demandeur d'attributs, configurez les attributs que le demandeur d'attributs souhaite récupérer d'une autorité d'attributs. Ces attributs sont inclus dans la requête d'attribut envoyée à l'autorité d'attributs.
Cette section contient les paramètres suivants :
- ActiverPermet au demandeur de générer des requêtes d'attribut.
- Assertion signée requiseIndique que le demandeur d'attribut accepte uniquement les assertions d'attribut signées par l'autorité d'attributs. L'assertion est rejetée si elle n'est pas signée.
- casso126figsbrfrActiver la requête utilisée comme proxyIndique qu'un fournisseur d'identités tiers répond à la requête d'attribut. La fonctionnalité de requête utilisée comme proxy est utile pour un déploiement dans lequel un tiers joue le rôle de fournisseur d'identités et d'autorité d'attributs. Le système de serveur de stratégies local que vous configurez présente deux rôles lors de l'implémentation d'une requête utilisée comme proxy. Le système agit comme un fournisseur de services et un demandeur d'attributs par rapport au fournisseur tiers d'identités. Le système local agit également comme un fournisseur d'identités et une autorité d'attributs pour le fournisseur de services possédant l'application demandée.Une requête utilisée comme proxy est envoyée dans les cas suivants :
- L'attribut est introuvable dans l'annuaire d'utilisateurs ou le référentiel de sessions du système local.
- L'utilisateur est initialement authentifié par le fournisseur tiers d'identités.
Le serveur de stratégies interroge le fournisseur tiers d'identités. Si le fournisseur d'identités trouve l'attribut, il renvoie une réponse à la requête. Le serveur de stratégies ajoute les attributs de la réponse au référentiel de sessions. Le système renvoie alors la réponse avec les attributs au fournisseur de services qui possède l'application. Ce fournisseur de services est le demandeur d'attribut d'origine. - Signer la requête d'attributIndique au demandeur d'attribut de signer la requête d'attribut avant de l'envoyer à l'autorité d'attributs.
- Réponse signée requiseIndique au demandeur d'attribut d'accepter uniquement les réponses signées.
- Services d'attributRépertorie les URL du service d'attribut pour chaque autorité d'attribut.Pour indiquer l'autorité d'attributs qui répond à des requêtes provenant du demandeur, sélectionnez le bouton radio associé.
Service de demandeur d'attributs au niveau du fournisseur de services
Pour inclure la valeur correcte dans la requête d'attribut que le demandeur d'attribut envoie à l'autorité d'attributs, configurez la section ID de nom.
Remarque :
Cette section est uniquement configurable si la fonctionnalité Requête d'attribut est activée.Les champs sont les suivants :
- Format d'ID de nomDéfinit le format de l'ID de nom. Cette valeur doit correspondre au format de l'ID de nom attendu dans l'autorité d'attributs ou un échec de la demande se produit.
- Type d'ID de nomDéfinit le type d'attribut utilisé pour l'ID de nom.
- StatiqueIndique que l'ID de nom est une valeur statique du champ Valeur.
- Attribut d'utilisateurIndique que l'ID de nom est un attribut d'utilisateur provenant d'un référentiel d'utilisateurs. L'attribut d'utilisateur est spécifié dans le champ Valeur.
- Attribut de sessionIndique que l'ID de nom est l'attribut de référentiel de sessions spécifié dans le champ Valeur.
- Attribut de nom uniqueIndique que l'ID de nom est un attribut associé à un nom unique. Remplissez les champs Valeur et Critère de nom unique.
- ValeurDéfinit la valeur de l'ID de nom. Les entrées valides dans ce champ dépendent de la sélection Type d'ID de nom.
- Statique : entrez la valeur de texte statique.
- Attribut d'utilisateur : entrez le nom d'un attribut utilisateur provenant d'un référentiel d'utilisateurs.
- Attribut de session : entrez le nom d'un attribut de session provenant du référentiel de sessions du serveur de stratégies.
- Attribut de nom unique : entrez le nom de l'attribut d'utilisateur associé à un nom unique de groupe ou d'unité organisationnelle. Spécifiez également le critère de nom unique.
- Critère de nom uniqueSpécifie le nom unique de groupe ou d'unité organisationnelle que le système utilise pour obtenir l'attribut de nom unique approprié.
Déconnexion groupée (fournisseur de services SAML 2.0)
La section Déconnexion unique permet de configurer la déconnexion unique (SLO).
Si vous voulez utiliser la déconnexion unique, activez la case à cocher Utiliser une session persistante dans la section Authentification unique de cette boîte de dialogue.
Cette section contient les paramètres suivants :
- Liaison de SLOIndique si le profil de déconnexion unique est activé au niveau de l'entité générant des assertions et le type de liaison en cours d'utilisation. La liaison de redirection HTTP envoie des messages de déconnexion groupée à l'aide de requêtes HTTP GET. La liaison SOAP ne repose pas sur l'HTTP après la demande initiale et envoie des messages via un canal arrière.Options :Redirection HTTP, HTTP-POST, SOAP
- URL de confirmation de SLOSpécifie l'URL vers laquelle l'utilisateur est redirigé à l'issue du processus de déconnexion unique. Généralement, ce site initialise la déconnexion groupée. L'URL de confirmation de SLO doit être accessible sur votre site. Le système de fédération utilise cette URL lorsque la déconnexion groupée est initialisée sur votre site.Cette valeur doit être une ressource locale et non une ressource d'un domaine du partenaire fédéré. Par exemple, si le domaine local est acme.com et que votre partenaire est example.com, l'URL de confirmation de SLO doit figurer dans acme.com.Saisissez un nombre valide.
- Durée de validité de SLO (en secondes)Indique la durée en secondes pendant laquelle une demande de déconnexion unique est valide.Valeur par défaut :60secondesOptions :un nombre entier positif
- Remplacement de l'URL de confirmation de SLO par l'état du relais (redirection HTTP uniquement)Remplace la valeur de l'URL de confirmation de SLO par la valeur du paramètre de requête d'état du relais inclus dans la demande de déconnexion groupée.Cette option permet de contrôler davantage la cible de confirmation de déconnexion unique. Le paramètre de requête d'état du relais permet de définir de façon dynamique l'URL de confirmation pour les demandes de déconnexion unique.
- Réutiliser l'index de sessionIndique siCA Single Sign-onenvoie le même index de session dans l'assertion pour le même partenaire dans une session de navigateur unique. Un utilisateur peut être fédéré plusieurs fois avec le même partenaire à l'aide de la même fenêtre de navigateur. Lorsque vous sélectionnez cette option, vous indiquez au fournisseur d'identités d'envoyer le même index de session dans chaque assertion. Si vous la désactivez,CA Single Sign-ongénère un nouvel index de session à chaque nouvelle authentification unique.Vous pouvez activer cette option pour vous assurer que la déconnexion unique avec des partenaires tiers qui ne respectent pas l'index de session est transférée dans des assertions plus récentes.Remarque :Ce paramètre s'applique uniquement si la déconnexion unique est activée.
- URL de service de SLORépertorie les URL de service de SLO disponibles. La table inclut les entrées suivantes :
- SélectionnerIndique que cette valeur est l'entrée de l'URL de service de SLO.
- LiaisonIndique la liaison de la connexion SLO.Options :Redirection HTTP, HTTP-POST, SOAP
- URL d'emplacementSpécifie l'URL du service de déconnexion groupée au niveau du partenaire distant. Correspond à l'URL vers laquelle la demande de déconnexion groupée est envoyée.Options : une URL valideSi votre système de fédération est utilisé au niveau du fournisseur d'identités distant, utilisez les URL suivantes :Liaison de redirection HTTPhttp://hôte_fournisseur_identités:port/affwebservices/public/saml2sloLiaison HTTP-POST:http://hôte_fournisseur_identités:port/affwebservices/public/saml2sloLiaison SOAPhttp://hôte_fournisseur_identités:port/affwebservices/public/saml2slosoapSi un produit de fédération tiers est placé au niveau du fournisseur d'identités, utilisez l'URL appropriée pour ce produit.
- URL d'emplacement de réponse(Facultatif) Spécifie l'URL du service de déconnexion groupée pour une entité. L'URL d'emplacement de réponse est utilisée dans une configuration comprenant un service pour les demandes de déconnexion unique et un autre pour les réponses de déconnexion unique. Par défaut, si seule l'option URL d'emplacement est renseignée, elle sera utilisée pour la demande et la réponse.Saisissez un nombre valide.
Canal arrière (fournisseur de services SAML 2.0)
casso126figsbrfr
La section Canal arrière permet de configurer la méthode d'authentification dans le canal arrière. Celui-ci permet différentes actions en fonction des critères suivants :
- L'authentification unique de l'artefact HTTP est configurée.
- La déconnexion unique à l'aide de la liaison SOAP est configurée.
- Le système de fédération correspond au fournisseur d'identités ou au fournisseur de services.
- La communication est effectuée via un canal entrant ou sortant.
La section Canal arrière contient les paramètres suivants :
- Configuration entrante/Configuration sortanteConfigurez le canal arrière entrant ou sortant nécessaire aux liaisons sélectionnées. Le canal arrière contient une seule configuration. Si deux services utilisent le même canal, ils utiliseront également la même configuration de canal arrière. Par exemple, le canal entrant d'un fournisseur d'identités local prend en charge l'authentification unique de l'artefact HTTP et l'objectif de niveau de service via SOAP. Ces deux services doivent utiliser la même configuration de canal arrière.
- Méthode d'authentificationPermet de spécifier la méthode d'authentification qui protège le canal arrière.Valeur par défaut :Aucune authentificationOptions :Simple, Certificat de client, Aucune authentificationDe baseIndique qu'un schéma d'authentification simple protège la communication via le canal arrière.Remarque :Si SSL est activé pour la connexion au canal arrière, vous pouvez sélectionner l'authentification simple.Si vous sélectionnez l'authentification simple, configurez les paramètres supplémentaires suivants :
- Nom d'utilisateur du canal arrière(Authentification simple sur canal sortant uniquement) Ce paramètre spécifie le nom d'utilisateur du fournisseur de services lors de l'utilisation de l'authentification simple via le canal arrière. Saisissez le nom du partenariat configuré dans le fournisseur d'identités distant. Par exemple, dans le fournisseur d'identités distant, un partenariat appelé Partners1 est défini entre la CompanyA (fournisseur d'identités) et la CompanyB (fournisseur de services). Dans la CompanyB (fournisseur de services local), la valeur saisie est Partners1, afin d'associer ce nom d'utilisateur au partenariat associé au fournisseur d'identités.
- Mot de passePermet de spécifier le mot de passe du nom d'utilisateur du canal arrière. Ce mot de passe est pertinent uniquement lorsque vous utilisez la méthode d'authentification simple ou simple via SSL par le biais du canal arrière.Les deux partenaires conviennent de ce mot de passe.
- Confirmer le mot de passePermet de confirmer l'entrée de mot de passe.
- Délai d'expiration du canal arrière (en secondes)(Canal sortant uniquement) Spécifie la durée maximum d'attente de réponse par le système suite à l'envoi d'une demande de canal arrière au service de résolution d'artefacts. Spécifiez un intervalle en secondes.Valeur par défaut :300 secondesValeur :nombre entier positif
- Certificat de clientIndique qu'un schéma d'authentification de certificat de client X.509 protège la communication vers le service de résolution d'artefacts via le canal arrière.L'authentification de certificat de client requiert l'utilisation de SSL pour toutes les URL de terminal. Les URL de terminal recherchent les différents services SAML dans un serveur, tels que le service de résolution d'artefacts. La condition SSL indique que l'URL du service doit commencer parhttps://.Pour implémenter l'authentification de certificat de client, le fournisseur de services envoie un certificat à l'entité générant des assertions avant toute opération de transaction. L'entité générant des assertions stocke le certificat dans sa base de données. Les deux partenaires doivent disposer d'un certificat ayant activé la connexion SSL dans leurs bases de données respectives, sans quoi l'authentification de certificat de client ne fonctionnera pas.Lors du processus d'authentification, l'entité de confiance envoie son certificat à l'entité générant des assertions. Cette dernière compare le certificat reçu avec celui présent dans sa base de données, afin de vérifier qu'ils correspondent. En cas de correspondance, l'entité générant des assertions permet à l'entité de confiance d'accéder au service de résolution d'artefacts.Si vous sélectionnez l'authentification de certificat de client, configurez le paramètre supplémentaire suivant :
- Alias de certificat de clientSpécifie l'alias associé à un certificat de client dans la base de données de clés. Dans la liste déroulante, sélectionnez un alias.
- Délai d'expiration du canal arrière (en secondes)Concerne le canal sortant uniquement. Spécifie la durée maximum d'attente de réponse parCA Single Sign-onsuite à l'envoi d'une demande de canal arrière au service de résolution d'artefacts. Spécifiez un intervalle en secondes.Valeur par défaut :300 secondesValeur :nombre entier positif
- Aucune authentificationIndique que l'entité de confiance n'est pas requise pour la fourniture d'informations d'identification. Le canal arrière et le service de résolution d'artefacts ne sont pas sécurisés. Il est toujours possible d'activer le SSL avec cette option. Le trafic de canal arrière est chiffré, mais aucune information d'identification n'est échangée entre des entités.Sélectionnez Aucune authentification à des fins d'analyse, mais non de production, sauf si votre système de fédération est configuré pour le basculement SSL et qu'il opère après un serveur proxy. Le serveur proxy gère l'authentification lorsqu'il dispose du certificat du serveur. Dans ce cas, tous les partenariats fournisseur d'identités -> fournisseur de services utilisent le type Aucune authentification.