Propriétés de schéma d'authentification SAML 1.x

Sommaire
casso127figsbrfr
Sommaire
 
Schéma d'authentification - Modèle d'artefact SAML
Vous pouvez configurer le schéma d'authentification d'artefact SAML selon le protocole SAML 1.x. Une fois que le schéma est configuré, vous pouvez l'affecter à un domaine.
casso127figsbrfr
La section générale et de configuration commune du schéma de la boîte de dialogue Schéma d'authentification contient les champs suivants :
  • nom
    Permet de spécifier un nom pour le schéma d'authentification.
    Remarque :
    Lorsque le mode d'application Active Directory (ADAM) est utilisé comme référentiel de stratégies, le nom de schéma d'authentification doit contenir 22 caractères maximum.
  • Description
    Permet de spécifier une description du schéma d'authentification.
La configuration commune du schéma identifie le schéma d'authentification. Cette partie de la section générale contient les champs suivants :
  • Type de schéma d'authentification
    Spécifie le modèle que vous utilisez pour le schéma d'authentification.
  • Niveau de protection
    Permet une authentification unique pour des schémas d'authentification de niveaux de protection équivalents ou inférieurs au sein du même domaine de stratégie. Le niveau de protection requiert également une authentification supplémentaire pour accéder aux ressources disposant de schémas de niveau de protection supérieurs.
    Limites :
    1 et 1000.
    Les schémas d'authentification disposent d'un niveau de protection par défaut que vous pouvez modifier. Utilisez des niveaux de protection élevés pour des ressources critiques et des schémas de niveau inférieur pour des ressources communément accessibles.
  • Stratégies de mots de passe activées pour ce schéma d'authentification
    Indique que les stratégies de mot de passe configurées sont associées au schéma d'authentification.
Configurez les détails du schéma dans la section Configuration de schéma de la boîte de dialogue.
Schéma d'authentification - Modèle POST SAML
Vous pouvez configurer le schéma d'authentification POST SAML pour le profil POST SAML 1.x. Une fois que le schéma d'authentification est configuré, vous pouvez l'affecter à un domaine.
casso127figsbrfr
La section générale et de configuration commune du schéma de la boîte de dialogue Schéma d'authentification contient les champs suivants :
  • nom
    Permet de spécifier un nom pour le schéma d'authentification.
    Remarque :
    Lorsque le mode d'application Active Directory (ADAM) est utilisé comme référentiel de stratégies, le nom de schéma d'authentification doit contenir 22 caractères maximum.
  • Description
    Permet de spécifier une description du schéma d'authentification.
La configuration commune du schéma identifie le schéma d'authentification. Cette partie de la section générale contient les champs suivants :
  • Type de schéma d'authentification
    Spécifie le modèle que vous utilisez pour le schéma d'authentification.
  • Niveau de protection
    Permet une authentification unique pour des schémas d'authentification de niveaux de protection équivalents ou inférieurs au sein du même domaine de stratégie. Le niveau de protection requiert également une authentification supplémentaire pour accéder aux ressources disposant de schémas de niveau de protection supérieurs.
    Limites :
    1 et 1000.
    Les schémas d'authentification disposent d'un niveau de protection par défaut que vous pouvez modifier. Utilisez des niveaux de protection élevés pour des ressources critiques et des schémas de niveau inférieur pour des ressources communément accessibles.
  • Stratégies de mots de passe activées pour ce schéma d'authentification
    Indique que les stratégies de mot de passe configurées sont associées au schéma d'authentification.
Configurez les détails du schéma dans la section Configuration de schéma de la boîte de dialogue.
Schéma d'authentification - Modèle d'artefact SAML - Configuration de schéma
La section Configuration de schéma du schéma d'authentification d'artefact SAML 1.x vous permet de spécifier :
  • La méthode de communication employée entre le consommateur et le producteur afin de récupérer une assertion.
  • La méthode d'authentification d'un utilisateur avec une assertion.
  • La méthode permettant de diriger l'utilisateur vers la ressource cible.
Les champs de cette section sont les suivants :
  • Nom de l'affilié
    Nom du consommateur. Entrez une chaîne alphabétique, par exemple, EntrepriseA.
    Le nom que vous entrez doit correspondre à la valeur du champ Nom pour l'objet affilié associé au producteur.
    Pour le profil d'artefact SAML, le producteur envoie l'assertion au consommateur via un canal arrière protégé. Pour protéger le canal arrière, utilisez une authentification de base ou une authentification basée sur un certificat de client.
    Les directives de configuration suivantes s'appliquent à ce champ pour l'authentification unique basée sur un artefact HTTP :
  • Mot de passe
    Définit le mot de passe que le consommateur utilise pour s'identifier auprès du producteur.
    Ce mot de passe doit correspondre au mot de passe entré pour le consommateur sur le site du producteur.
  • ID de source de société
    Spécifie l'ID unique du producteur. La spécification SAML définit un ID source comme un nombre binaire hexadécimal de 20 octets qui identifie le producteur. Le consommateur utilise cet ID pour identifier un émetteur d'assertion.
    Entrez l'ID que le producteur fournit dans une communication hors bande.
    Si
    CA Single Sign-on
    est le producteur, l'ID source se trouve dans le fichier de propriétés du générateur d'assertions SAML 1.x, AMAssertionGenerator.properties, dans le
    répertoire_base_serveur_stratégies
    /config/properties.
    La valeur par défaut de l'ID source de société est : b818452610a0ea431bff69dd346aeeff83128b6a.
    Remarque :
    Le fichier AMAssertionGenerator.properties est uniquement utilisé pour le profil SAML 1.x.
  • URL de récupération d'assertion
    Définit l'URL du service dans le producteur à partir duquel le consommateur récupère l'assertion SAML. Cette URL identifie l'emplacement du service de récupération d'assertions, qui doit être une URL avec une connexion SSL.
    Si le service de récupération d'assertions sur le site du producteur fait partie d'un domaine utilisant le schéma d'authentification de base avec connexion SSL, l'URL par défaut est :
    https://
    serveur_fournisseur_identités:port
    /affwebservices/assertionretriever
    Si le service de récupération d'assertions sur le site du producteur fait partie d'un domaine utilisant le schéma d'authentification basé sur un certificat de client X.509, l'URL par défaut est :
    https://
    serveur_fournisseur_identités:port
    /affwebservices/certassertionretriever
    serveur_fournisseur_identités:port
    Identifie le serveur Web et le port hébergeant le pack d'options d'agent Web ou la passerelle de fédération de serveur proxy sécurisé.
  • Audience
    (Facultatif) Définit l'audience pour l'assertion SAML.
    L'audience identifie l'emplacement du document qui décrit les termes et conditions de l'accord entre le producteur et le consommateur. L'administrateur détermine l'audience sur le site du producteur. La valeur dans ce champ doit correspondre à l'audience spécifiée sur le producteur. La valeur de l'audience ne doit pas dépasser 1 Ko.
    Pour spécifier l'audience, entrez une URL. Cet élément doit respecter la casse. Exemple :
    http://www.companya.com/SampleAudience
  • Alias de signature numérique
    Spécifie l'alias du certificat dans le référentiel de données de certificat que le consommateur utilise pour vérifier la signature numérique de l'assertion. Cet alias correspond au certificat. Le type de certificat utilisé pour la vérification est un certificat CertificateEntry ou KeyEntry.
  • Authentification
    Spécifie la méthode d'authentification pour le domaine sur le producteur qui contient le service de récupération d'assertions. La valeur de ce champ détermine le type d'informations d'identification que le collecteur d'informations d'identification SAML sur le consommateur doit fournir. Ces informations d'identification permettent au consommateur d'accéder au service de récupération d'assertions et de récupérer l'assertion SAML.
    Le service de récupération d'assertions obtient l'assertion à partir du serveur de stratégies sur le producteur, puis l'envoie au consommateur via un canal arrière SSL. Il est recommandé de protéger le service de récupération d'assertions.
    Sélectionnez l'une des options suivantes.
    • Authentification de base
      Utilisez cette option pour le service de récupération d'assertions qui fait partie d'un domaine protégé par un schéma d'authentification de base ou par un schéma d'authentification de base avec connexion SSL.
      Si vous sélectionnez Authentification de base, aucune configuration supplémentaire n'est requise sur le producteur ou le consommateur. Excepté si le certificat d'autorité de certification ayant établi la connexion SSL ne se trouve pas dans le référentiel de données de certificat du consommateur. importez-le.
    • Certificat de client
      Utilisez cette option pour le service de récupération d'assertions qui fait partie d'un domaine protégé par un schéma d'authentification basé sur un certificat de client X.509. Si vous sélectionnez cette option, configurez l'accès au service de récupération d'assertions avec un certificat de client.
      Si vous sélectionnez Certificat de client, effectuez les étapes de configuration sur le consommateur et le producteur pour accéder au service de récupération d'assertions avec le certificat de client.
      Vous pouvez utiliser des certificats non FIPS 140 chiffrés pour sécuriser le canal arrière, même si le serveur de stratégies fonctionne en mode FIPS uniquement. Toutefois, pour les installations FIPS uniquement, utilisez des certificats uniquement chiffrés avec des algorithmes FIPS 140 compatibles.
  • Vérifier le mot de passe
    Confirme le mot de passe spécifié dans le champ Mot de passe.
  • Version SAML
    Spécifie la version de la spécification SAML utilisée pour la génération de l'assertion. Vous pouvez choisir entre 1.0 et 1.1, SAML 1.1 étant la valeur par défaut.
    Une correspondance doit exister entre les versions de l'assertion et du protocole SAML que le producteur ou le consommateur utilisent. Par exemple, si un producteur utilisant le protocole SAML 1.1 reçoit une demande SAML 1.0, une erreur est renvoyée. Si un consommateur utilisant le protocole SAML 1.1 reçoit une assertion SAML 1.0 intégrée dans un élément de protocole SAML 1.1, une erreur est renvoyée.
  • Mode de redirection
    Indique la méthode permettant au collecteur d'informations d'identification SAML de rediriger l'utilisateur vers la ressource cible. Si vous sélectionnez 302 Aucune donnée ou 302 Données de cookie, aucune autre configuration n'est requise. Si vous sélectionnez Redirection à partir du serveur ou Conserver les attributs, une configuration supplémentaire est requise.
    • 302 Aucune donnée (valeur par défaut)
      Permet de rediriger l'utilisateur à l'aide d'une redirection HTTP 302 contenant un cookie de session, mais aucune autre donnée.
    • 302 Données de cookie
      Permet de rediriger les utilisateurs à l'aide d'une redirection HTTP 302 contenant un cookie de session et des données de cookie supplémentaires, qui sont configurées sur le site à l'origine de l'assertion.
    • casso127figsbrfr
      Redirection à partir du serveur
      Permet d'activer les informations sur les attributs d'en-tête et de cookie reçues dans le cadre d'une assertion SAML et qui doivent être transférées à l'application cible personnalisée. Le collecteur d'informations d'identification SAML dirige l'utilisateur vers l'URL de l'application cible à l'aide de la technologie de redirection côté serveur. Les redirections côté serveur appartiennent à la spécification de servlets Java. Tous les conteneurs de servlets conformes aux normes prennent en charge les redirections côté serveur.
      Pour utiliser le mode de redirection à partir du serveur, suivez les indications suivantes :
      • Pour ce mode, spécifiez une URL relative au contexte du servlet qui consomme l'assertion, en règle générale : /affwebservices/public/. La racine du contexte correspond à la racine de l'application des services Web de fédérations, en règle générale : /affwebservices/.
        Tous les fichiers de l'application cible doivent être placés dans le répertoire racine de celle-ci. Il peut s'agir de l'un des répertoires suivants :
        • Agent Web :
          accueil_agent_Web
          \webagent\affwebservices
        • Passerelle de fédération de serveur proxy sécurisé :
          accueil_serveur_proxy_sécurisé
          \secure-proxy\Tomcat\webapps\affwebservices
      • Pour protéger des ressources cibles, définissez des domaines, des règles et des stratégies. Dans le filtre de ressources, la définition des domaines doit au moins contenir la valeur /affwebservices/.
      • Sur le serveur exécutant l'application de services Web de fédérations, installez une application Java ou JSP personnalisée. L'application contient le pack d'options d'agent Web ou la passerelle de fédération de serveur proxy sécurisé.
        La technologie de servlet Java autorise les applications à transférer des informations entre deux demandes de ressource à l'aide de la méthode setAttribute de l'interface ServletRequest.
        Le service qui consomme des assertions envoie l'attribut d'utilisateur vers l'application cible. Différents objets d'attribut dans l'objet de demande sont définis avant que l'utilisateur soit redirigé par le service vers l'application cible.
        Le service crée deux objets java.util.HashMap : l'un pour stocker tous les attributs d'en-tête et l'autre pour stocker tous les attributs de cookie. Le service utilise différents noms d'attribut pour représenter chaque objet de table de hachage :
        • L'attribut Netegrity.HeaderAttributeInfo représente la table de hachage contenant les attributs d'en-tête.
        • L'attribut Netegrity.CookieAttributeInfo représente la table de hachage contenant les attributs de cookie.
        Deux autres attributs Java.lang.String sont définis par l'assertion consommant le service afin de transférer l'identité de l'utilisateur vers l'application personnalisée :
        • L'attribut Netegrity.smSessionID représente l'ID de session.
        • L'attribut Netegrity.userDN représente le nom unique de l'utilisateur.
      L'application cible personnalisée au niveau du consommateur peut lire ces objets à partir de l'objet de demande HTTP et utilise les données présentes dans les objets de la table d'hachage.
    • Conserver les attributs
      Permet de rediriger l'utilisateur à l'aide d'une redirection HTTP 302 contenant un cookie de session, mais aucune autre donnée. En outre, ce mode indique au serveur de stratégies de stocker les attributs extraits d'une assertion dans le référentiel de sessions. Les attributs peuvent ensuite être attribués en tant que variables d'en-tête HTTP. Pour obtenir des informations de configuration supplémentaires, consultez les instructions sur l'utilisation des attributs SAML en tant qu'en-têtes HTTP.
      casso127figsbrfr
      Remarque :
      Si vous sélectionnez Conserver les attributs et que l'assertion contient des attributs vides, la valeur NULL sera inscrite dans le référentiel de sessions. Cette valeur sert d'espace réservé à l'attribut vide. Elle est transférée à une application utilisant l'attribut.
  • Emetteur
    Identifie le producteur qui publie les assertions pour le consommateur. Cet élément doit respecter la casse.
    Le consommateur accepte les assertions de cet émetteur uniquement. L'administrateur du producteur détermine l'émetteur.
    Remarque :
    La valeur que vous entrez pour l'émetteur doit correspondre à la valeur de l'objet AssertionIssuerID sur le producteur. Cette valeur est spécifiée dans le fichier AMAssertionGenerator.properties situé sous
    répertoire_base_siteminder
    /Config/properties/AMAssertionGenerator.properties
  • XPath des données de recherche
    La requête XPath indique au schéma d'authentification l'emplacement d'une entrée dans l'assertion, qui est ensuite utilisée en tant qu'ID de connexion de l'utilisateur. La valeur que la requête obtient est incluse dans la spécification d'espace de noms pour rechercher une entrée de référentiel d'utilisateurs.
    casso127figsbrfr
    Les requêtes XPath ne doivent contenir aucun préfixe d'espace de noms. Exemple de requête XPath
    non valide
    :
    /saml:Response/saml:Assertion/saml:AuthenticationStatement/saml:Subject/saml:NameIdentifier/text()
    Requête XPath valide :
    //Response/Assertion/AuthenticationStatement/Subject/NameIdentifier/text()
    Exemple :
    La requête suivante extrait le texte de l'attribut Username de l'assertion :
    "/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()" 
    "/Username/text()" extracts the text of first Username element in the SAML assertion using abbreviated syntax.
    Autres exemples :
    "substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMprofile/NVpair[1]/text(),"header:uid=")"
    Cette chaîne de requête extrait le texte de l'attribut d'en-tête nommé uid configuré en tant que premier attribut répertorié sur le site du producteur.
    La syntaxe abrégée suivante permet d'extraire le texte de l'attribut d'en-tête nommé uid :
    "substring-after(//SMprofile/NVpair[1]/text(),"header:uid=")"
  • Conserver les variables de session d'authentification
    (Facultatif) Indique que les données de contexte d'authentification sont enregistrées dans le référentiel de sessions en tant que variables de session. Le serveur de stratégies peut accéder à ces variables et les utiliser dans les décisions d'authentification. Par exemple, vous pouvez inclure les variables de contexte d'authentification dans des réponses actives ou dans des expressions de stratégie.
  • casso127figsbrfr
    Actif
    Indique si la configuration de fédération héritée est en cours d'utilisation pour un partenariat spécifique. Si le serveur de stratégies utilise la configuration de fédération héritée, confirmez que vous avez sélectionné cette case à cocher. Si vous avez recréé un partenariat fédéré avec des valeurs similaires pour les paramètres d'identité (ID de source, etc.) désactivez cette case à cocher avant d'activer le partenariat fédéré.
    Single Sign-On
     ne fonctionne pas avec les configurations héritées et les configurations de partenariat qui utilisent les mêmes valeurs d'identité, car cela entraîne un conflit de noms.
Les autres sections pour la configuration de schéma sont :
  • Remplissez une spécification d'espace de noms pour permettre au consommateur de localiser l'enregistrement d'utilisateur correct pour l'authentification.
  • Spécifiez la ressource fédérée cible dans la section de configuration supplémentaire de la page. Vous pouvez également configurer le module d'extension de consommateur de messages et les URL de redirection vers lesquelles les utilisateurs sont renvoyés si un échec de l'authentification se produit.
Schéma d'authentification - Modèle POST SAML - Configuration de schéma
La section Configuration de schéma vous permet de spécifier les informations suivantes :
  • La méthode de communication employée entre le consommateur et le producteur afin de récupérer une assertion.
  • La méthode d'authentification d'un utilisateur basée sur une assertion.
  • La méthode permettant de diriger l'utilisateur vers la ressource cible.
Les champs du modèle d'authentification POST SAML sont les suivants :
  • Nom de l'affilié
    Nom du consommateur. Entrez une chaîne alphabétique, par exemple, EntrepriseA.
    Le nom que vous entrez doit correspondre au nom d'un consommateur du domaine Affilié sur le site du producteur.
  • Audience
    Définit l'audience pour l'assertion SAML.
    et identifie l'emplacement du document qui décrit les termes et conditions de l'accord entre le producteur et le consommateur. L'administrateur détermine l'audience sur le site du producteur. La valeur doit également correspondre à l'audience pour le consommateur sur le site du producteur. 
    Pour spécifier l'audience, entrez une URL. Cet élément doit respecter la casse. La valeur de l'audience ne doit pas dépasser 1 Ko. 
    Exemple : http://www.ca.com/SampleAudience
  • URL du consommateur d'assertions
    Spécifie l'URL du consommateur d'assertions (également appelé collecteur d'informations d'identification SAML). Le navigateur doit y publier l'assertion générée. URL par défaut :
    http://
    serveur_consommateur:port
    /affwebservices/public/samlcc
    serveur_consommateur:port
    Identifie le serveur Web et le port hébergeant le pack d'options d'agent Web ou la passerelle de fédération de serveur proxy sécurisé.
    Exemple : http://www.discounts.com:85/affwebservices/public/samlcc
    http://www.discounts.com:85/affwebservices/public/samlcc
  • Nom unique de l'émetteur de la signature numérique
    Spécifie le nom unique de l'émetteur du certificat qui signe la réponse POST SAML. Le producteur doit signer la réponse POST. Lorsque le consommateur reçoit la réponse, la signature est vérifiée à l'aide des données de ce paramètre et du paramètre Numéro de série. Ces deux paramètres indiquent l'émetteur du certificat qui a signé la réponse.
    Le certificat qui vérifie la signature doit se trouver dans le référentiel de données de certificat.
  • XPath des données de recherche
    La requête XPath indique au schéma d'authentification l'emplacement d'une entrée dans l'assertion, qui est ensuite utilisée en tant qu'ID de connexion de l'utilisateur. La valeur que la requête obtient est incluse dans la spécification d'espace de noms pour rechercher une entrée de référentiel d'utilisateurs. Les requêtes XPath ne doivent contenir aucun préfixe d'espace de noms.
    Exemple de requête XPath non valide :
    /saml:Response/saml:Assertion/saml:AuthenticationStatement/
    saml:Subject/saml:NameIdentifier/text()
    Requête XPath valide :
    //Response/Assertion/AuthenticationStatement/Subject/
    NameIdentifier/text()
    Exemple
    La requête suivante extrait le texte de l'attribut Username de l'assertion :
    "/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMlogin/Username/text()" 
    "//Username/text()" extracts the text of first Username element in the SAML assertion using abbreviated syntax.
    Autres exemples :
    "substring-after(/Assertion/AttributeStatement/Attribute/AttributeValue/SMContent/SMprofile/NVpair[1]/text(),"header:uid=")" 
    Cette chaîne de requête extrait le texte de l'attribut d'en-tête nommé uid configuré en tant que premier attribut pour l'objet affilié sur le site du producteur.
    La chaîne substring-after(//SMprofile/NVpair[1]/text(),"header:uid=") extrait le texte de l'attribut d'en-tête uid. Cet attribut est le premier attribut configuré pour l'objet affilié sur le site du producteur à l'aide de la syntaxe abrégée.
  • Version SAML
    Spécifie la version SAML (inactive ; la valeur est remplacée par défaut par 1.1, indiquant que les assertions de profil POST sont conformes à la version SAML 1.1).
    Le producteur et le consommateur SAML doivent générer et consommer des assertions et des réponses de la même version.
  • Mode de redirection
    Indique la méthode permettant au servlet collecteur d'informations d'identification SAML de rediriger l'utilisateur vers la ressource cible. Si vous sélectionnez 302 Aucune donnée ou 302 Données de cookie, aucune autre configuration n'est requise. Si vous sélectionnez Redirection à partir du serveur ou Conserver les attributs, une configuration supplémentaire est requise.
    • 302 Aucune donnée
      (Option par défaut) Permet de rediriger l'utilisateur à l'aide d'une redirection HTTP 302 contenant un cookie de session, mais aucune autre donnée.
    • 302 Données de cookie
      Permet de rediriger les utilisateurs à l'aide d'une redirection HTTP 302 contenant un cookie de session et des données de cookie supplémentaires, qui sont configurées sur le site à l'origine de l'assertion.
    • casso127figsbrfr
      Redirection à partir du serveur
      Permet d'activer les informations sur les attributs d'en-tête et de cookie reçues dans le cadre d'une assertion SAML et qui doivent être transférées à l'application cible personnalisée. Le collecteur d'informations d'identification SAML dirige l'utilisateur vers l'URL de l'application cible à l'aide de la technologie de redirection côté serveur. Les redirections côté serveur appartiennent à la spécification de servlets Java. Tous les conteneurs de servlets conformes aux normes prennent en charge les redirections côté serveur.
      Pour utiliser le mode de redirection à partir du serveur, suivez les indications suivantes :
      • Pour ce mode, spécifiez une URL relative au contexte du servlet qui consomme l'assertion, en règle générale : /affwebservices/public/. La racine du contexte correspond à la racine de l'application des services Web de fédérations, en règle générale : /affwebservices/.
        Tous les fichiers de l'application cible doivent être placés dans le répertoire racine de celle-ci. Il peut s'agir de l'un des répertoires suivants :
        • Agent Web :
          accueil_agent_Web
          \webagent\affwebservices
        • Passerelle de fédération de serveur proxy sécurisé :
          accueil_serveur_proxy_sécurisé
          \secure-proxy\Tomcat\webapps\affwebservices
      • Pour protéger des ressources cibles, définissez des domaines, des règles et des stratégies. Dans le filtre de ressources, la définition des domaines doit au moins contenir la valeur /affwebservices/.
      • Sur le serveur exécutant l'application de services Web de fédérations, installez une application Java ou JSP personnalisée. L'application contient le pack d'options d'agent Web ou la passerelle de fédération de serveur proxy sécurisé.
        La technologie de servlet Java autorise les applications à transférer des informations entre deux demandes de ressource à l'aide de la méthode setAttribute de l'interface ServletRequest.
        Le service qui consomme des assertions envoie l'attribut d'utilisateur vers l'application cible. Différents objets d'attribut dans l'objet de demande sont définis avant que l'utilisateur soit redirigé par le service vers l'application cible.
        Le service crée deux objets java.util.HashMap : l'un pour stocker tous les attributs d'en-tête et l'autre pour stocker tous les attributs de cookie. Le service utilise différents noms d'attribut pour représenter chaque objet de table de hachage :
        • L'attribut Netegrity.HeaderAttributeInfo représente la table de hachage contenant les attributs d'en-tête.
        • L'attribut Netegrity.CookieAttributeInfo représente la table de hachage contenant les attributs de cookie.
        Deux autres attributs Java.lang.String sont définis par l'assertion consommant le service afin de transférer l'identité de l'utilisateur vers l'application personnalisée :
        • L'attribut Netegrity.smSessionID représente l'ID de session.
        • L'attribut Netegrity.userDN représente le nom unique de l'utilisateur.
      L'application cible personnalisée au niveau du consommateur peut lire ces objets à partir de l'objet de demande HTTP et utilise les données présentes dans les objets de la table d'hachage.
    • Conserver les attributs
      Permet de rediriger l'utilisateur à l'aide d'une redirection HTTP 302 contenant un cookie de session, mais aucune autre donnée. Ce mode indique également au serveur de stratégies de stocker les attributs d'une assertion dans le référentiel de sessions, pour qu'ils puissent être fournis aux variables d'en-tête HTTP. Pour obtenir des informations de configuration supplémentaires, consultez les instructions sur l'utilisation des attributs SAML en tant qu'en-têtes HTTP.
      casso127figsbrfr
      Remarque :
      Si vous sélectionnez Conserver les attributs et que l'assertion contient des attributs vides, la valeur NULL sera inscrite dans le référentiel de sessions. Cette valeur sert d'espace réservé à l'attribut vide. Elle est transférée à une application utilisant l'attribut.
  • Emetteur
    Identifie le producteur qui publie les assertions pour le consommateur. Cet élément doit respecter la casse.
    Le consommateur accepte les assertions de cet émetteur uniquement. L'administrateur détermine l'émetteur sur le producteur.
    Remarque :
    La valeur que vous entrez pour l'émetteur doit correspondre à la valeur de l'objet AssertionIssuerID sur le site du producteur. Cette valeur est spécifiée dans le fichier AMAssertionGenerator.properties situé sous
    répertoire_base_serveur_stratégies
    /Config/properties/AMAssertionGenerator.properties.
  • Numéro de série
    Spécifie le numéro de série, une chaîne hexadécimale, du certificat du consommateur dans le référentiel de données de certificat. Cette valeur est utilisée avec le nom unique de l'émetteur de signature numérique pour localiser le certificat et signer électroniquement la réponse POST SAML.
  • casso127figsbrfr
    Actif
    Indique si la configuration de fédération héritée est en cours d'utilisation pour un partenariat spécifique. Si le serveur de stratégies utilise la configuration de fédération héritée, confirmez que vous avez sélectionné cette case à cocher. Si vous avez recréé un partenariat fédéré avec des valeurs similaires pour les paramètres d'identité (ID de source, etc.) désactivez cette case à cocher avant d'activer le partenariat fédéré.
    Single Sign-On
     ne fonctionne pas avec les configurations héritées et les configurations de partenariat qui utilisent les mêmes valeurs d'identité, car cela entraîne un conflit de noms.
  • Conserver les variables de session d'authentification
    (Facultatif) Indique que les données de contexte d'authentification sont enregistrées dans le référentiel de sessions en tant que variables de session. Le serveur de stratégies peut accéder à ces variables et les utiliser dans les décisions d'authentification. Par exemple, vous pouvez inclure les variables de contexte d'authentification dans des réponses actives ou dans des expressions de stratégie.
Les autres sections pour la configuration de schéma sont :
  • Remplissez une spécification d'espace de noms pour permettre au consommateur de localiser l'enregistrement d'utilisateur correct pour l'authentification.
  • Spécifiez la ressource fédérée cible dans la section de configuration supplémentaire de la page. Vous pouvez également configurer le module d'extension de consommateur de messages et les URL de redirection vers lesquelles les utilisateurs sont renvoyés si un échec de l'authentification se produit.
Schéma d'authentification - Spécification de l'espace de noms
La section Spécification de l'espace de noms répertorie les types d'espace de noms et les critères de recherche associés.
CA Single Sign-on
utilise ces informations pour rechercher un utilisateur dans un référentiel d'utilisateurs.
Les critères de recherche inclus des données que la requête XPath récupère à partir de l'assertion et les mappe vers un attribut dans une entrée de référentiel d'utilisateurs. La requête XPath récupère une entrée dans l'assertion, qui est utilisée comme ID de connexion de l'utilisateur. Vous définissez la requête dans le champ XPath des données de recherche.
Vous pouvez substituer la variable %s dans les critères de recherche pour représenter la valeur que la requête XPath obtient à partir de l'assertion. Par exemple, la requête XPath récupère la valeur
user1
de l'assertion SAML. Si vous entrez le critère de recherche
uid=%s
dans le champ LDAP, le résultat est la chaîne uid=user1. Cette chaîne est recherchée dans l'annuaire d'utilisateurs afin de récupérer l'enregistrement approprié pour l'authentification.
Vous pouvez également spécifier des filtres avec plusieurs variables %s. Exemple :
|(uid=%s)(email=%[email protected])
|(abcAliasName=%s)(cn=%s)
Résultats :
|(uid=user1)([email protected])
|(abcAliasName=user1)(cn=user1)
Entrez des critères de recherche pour chaque type d'espace de noms de votre environnement.
Schéma d'authentification - Configuration supplémentaire (artefact SAML 1.x, POST)
La section Configuration supplémentaire du schéma d'authentification permet de configurer le module d'extension du consommateur de messages et les URL de redirection pour les erreurs de traitement d'assertions pendant l'authentification. En outre, elle vous permet de spécifier la ressource cible sur le site du consommateur.
La section Configuration supplémentaire contient les champs suivants :
Module d'extension de consommateur de messagesNom de classe Java complet
(Facultatif) Permet de spécifier le nom de classe Java complet d'une classe qui implémente une interface de module d'extension de consommateur de messages pour le schéma d'authentification.
Paramètre
Spécifie une chaîne de paramètres que les API transfèrent au module d'extension spécifié dans le champ Nom de classe Java complet.
URL et modes de redirection selon le statut
L'authentification basée sur une assertion peut échouer à l'emplacement consommant des assertions pour diverses raisons. Si l'authentification échoue, l'utilisateur est redirigé vers différentes applications (URL) pour un traitement plus approfondi. Par exemple, si la suppression d'ambigüité échoue pour l'utilisateur, le serveur de stratégies redirige l'utilisateur vers un système de provisionnement. Ce système de provisionnement peut créer un compte d'utilisateur basé sur les informations présentes dans l'assertion SAML.
Remarque :
La redirection des erreurs a lieu uniquement lorsque le système peut analyser la demande et dispose des informations nécessaires pour identifier les partenaires générant des assertions et les partenaires de confiance.
Les options suivantes permettent de rediriger l'utilisateur vers une URL configurée en fonction de la condition ayant entraîné l'échec.
URL de redirection selon le statut Utilisateur introuvable
(Facultatif) Identifie l'adresse URL vers laquelle le serveur de stratégies redirige l'utilisateur lorsqu'il est introuvable. Le statut Utilisateur introuvable s'applique lorsque le message d'authentification unique ou l'annuaire d'utilisateurs ne contiennent aucun ID de connexion.
  • URL de redirection selon le statut Message d'authentification unique non valide
    (Facultatif) Identifie l'adresse URL vers laquelle le serveur de stratégies redirige l'utilisateur dans les cas suivants :
    • Selon les règles spécifiées par les schémas SAML, le message d'authentification unique n'est pas valide.
    • Le consommateur requiert une assertion chiffrée, or le message d'authentification unique n'en contient pas.
  • URL de redirection selon le statut Informations d'identification d'utilisateur refusées (message d'authentification unique)
    (Facultatif) Identifie l'adresse URL vers laquelle le serveur de stratégies redirige l'utilisateur en cas de conditions d'erreur autres qu'un message d'utilisateur introuvable ou d'authentification unique non valide. L'assertion est valide, mais le serveur de stratégies n'accepte pas le message, par exemple, dans les cas suivants :
    • Echec de la validation de signature numérique XML
    • Echec du déchiffrement XML
    • Echec de la validation XML de conditions, par exemple expiration d'un message ou non correspondance d'audience
    • Aucune instruction d'authentification contenue dans les assertions du message d'authentification unique
  • Mode
    Spécifie la méthode de redirection de l'utilisateur vers l'adresse URL de redirection. Les options sont :
  • 302 Aucune donnée (valeur par défaut)
    Permet de rediriger l'utilisateur à l'aide d'une redirection HTTP 302 contenant un cookie de session, mais aucune autre donnée.
  • HTTP POST
    Permet de rediriger l'utilisateur à l'aide d'un protocole HTTP POST.
Configuration de page cible
Cette section de la boîte de dialogue vous permet de spécifier l'URL de la ressource cible sur le site du consommateur. En cas de présence du paramètre de requête, déterminez si le serveur de stratégies remplace l'URL par la valeur du paramètre de requête TARGET dans l'URL de réponse d'authentification.
  • URL cible par défaut
    (Facultatif) Spécifie l'URL de la ressource cible qui réside sur le consommateur. Cette cible est une ressource fédérée protégée que les utilisateurs peuvent demander.
    Le consommateur ne doit pas utiliser la cible par défaut. Le lien qui initialise l'authentification unique peut contenir un paramètre de requête qui spécifie la cible.
  • Remplacement de l'URL cible par défaut par le paramètre de requête TARGET
    (Facultatif) Remplace la valeur spécifiée dans le champ URL cible par défaut par la valeur du paramètre de requête TARGET dans la réponse. A l'aide du paramètre de requête TARGET, vous pouvez définir la cible de façon dynamique. Vous pouvez changer la cible avec chaque réponse d'authentification. La flexibilité du paramètre de requête TARGET offre un meilleur contrôle sur la cible. En comparaison, la valeur du champ URL cible par défaut est une valeur statique.
    Cette case à cocher est activée par défaut.