Authentification unique et déconnexion (fournisseur d'identitésߙWSFED)
casso127figsbrfr
HID_sso-signout-wsfed
L'étape d'authentification unique et de déconnexion vous permet de configurer l'opération de chaque fonctionnalité.
Authentification (WSFED)
La section Authentification permet de spécifier le mode d'authentification par le système de fédération des utilisateurs lors de transactions d'authentification unique. Définissez la méthode d'authentification d'un utilisateur sans session.
Vous pouvez configurer les paramètres suivants :
Mode d'authentification
Indique si une session est établie par l'authentification locale d'un utilisateur ou en déléguant l'authentification à un système distant de gestion des accès tiers.
Valeur par défaut :
LocalOptions :
Sélectionnez l'une des options suivantes et configurer les champs supplémentaires pour cette option :- Local : le système de fédération gère l'authentification d'utilisateur.Si vous sélectionnez l'option Local dans le champ Mode d'authentification, entrez une adresse URL dans le champ URL d'authentification. L'adresse URL pointe vers un fichier redirect.jsp. Toutefois, si vous sélectionnez la case à cocherUtiliser une URL sécurisée, elle doit pointer vers le service Web secureredirect.URL d'authentificationURL protégée utilisée par la fédération pour l'authentification des utilisateurs et pour la création d'une session lorsqu'une ressource protégée est demandée. Si le mode d'authentification est défini sur Local et qu'un utilisateur ne s'est pas connecté au niveau de l'entité générant des assertions, il sera dirigé vers cette URL. Cette adresse URL doit pointer vers le fichier redirect.jsp, sauf si vous sélectionnez la case à cocherUtiliser une URL sécurisée. Exemples : http://mon_serveur.idpA.com/siteminderagent/redirectjsp/redirect.jsphttp://mon_serveur.idpA.com/siteminderagent/redirectjsp/redirect.jspmyserveridentifie le serveur web avec le Pack d’options de l’Agent Web ouCA Access Gatewayinstallés au niveau de l’entité générant des assertions. L’application redirectjsp est fournie avec ces produits.Protégez l'URL d'authentification à l'aide d'une stratégie de contrôle d'accès. Configurez un schéma d'authentification, un domaine d'authentification et une règle pour la stratégie. Pour ajouter des attributs de référentiel de session à l'assertion, activez la case à cocher Conserver les variables de session d'authentification, qui constitue un paramètre dans le schéma d'authentification.Utiliser une URL sécuriséeIndique au service d'authentification unique qu'il doit chiffrer uniquement le paramètre de requête SMPORTALURL. Un paramètre SMPORTALURL chiffré empêche un utilisateur malveillant de modifier la valeur et de rediriger des utilisateurs authentifiés vers un site Web malveillant. Le paramètre SMPORTALURL est ajouté à l'URL d'authentification avant la redirection de l'utilisateur par le navigateur dans le cadre de l'ouverture d'une session. Une fois l'utilisateur authentifié, le navigateur dirige à nouveau l'utilisateur vers la destination spécifiée dans le paramètre de requête SMPORTALURL.Si vous sélectionnez la case Utiliser une URL sécurisée, procédez comme suit :1. Définissez le champ URL d'authentification sur l'URL suivante : http(s)://serveur_fournisseur_identités:port/affwebservices/secure/secureredirect2. Protégez le service Web secureredirect à l'aide d'une stratégie.Si l'entité générant des assertions gère plusieurs partenaires de confiance, elle authentifie probablement des utilisateurs différents pour ces divers partenaires. Par conséquent, pour chaque URL d'authentification utilisant le service secureredirect, vous devez inclure ce service Web dans un domaine d'authentification différent pour chaque partenaire.Pour associer le service secureredirect à différents domaines, modifiez le fichier web.xml et créez des mappages de ressources différents. Ne copiez pas le service Web secureredirect dans différents emplacements de votre serveur. Recherchez le fichier web.xml sousrépertoire_installation_agent_Web/affwebservices/WEB-INF, oùrépertoire_installation_agent_Webest l'emplacement d'installation de l'agent Web.
- Délégué : système de gestion de l'accès Web tiers qui gère l'authentification d'utilisateur. Remplissez les champs supplémentaires.
- Sélecteur d'informations d'identification : une page de sélecteur d'informations d'identification s'affiche et répertorie plusieurs fournisseurs d'identités. Les fournisseurs d'identités peuvent être des partenaires de médias sociaux, OAuth, SAML ou WS-Federation. Les utilisateurs sélectionnent le fournisseur d'identités approprié et ce fournisseur authentifie l'utilisateur. La liste des fournisseurs d'identités disponibles est définie dans un groupe de méthodes d'authentification. L'utilisateur doit déjà être enregistré auprès de ces partenaires externes.
- Type d'authentification déléguée (mode Délégué uniquement)Spécifie si l'authentification tierce a lieu via le transfert d'un cookie au format source libre ou une chaîne de requête contenant l'ID de connexion de l'utilisateur ainsi que d'autres informations. Ce champ est affiché uniquement si le mode Délégué est choisi comme le mode d'authentification.Options :Chaîne de requête, Cookie au format source libre
- Chaîne de requête : pour utiliser une chaîne de requête, le système tiers crée une chaîne de redirection à laquelle il ajoute un paramètre de requête nommé LoginIDHash. Le paramètre LoginIDHash est une combinaison ID de connexion de l'utilisateur/secret partagé. Ces deux valeurs sont combinées et traitées via un algorithme d'hachage.N'utilisez pas la méthode de chaîne de requête dans un environnement de production. La méthode de redirection de chaîne de requête est uniquement applicable dans un environnement d'analyse comme élément de validation technique. L'option de chaîne de requête ne crée pas de partenariat conforme à la norme FIPS.
- Cookie au format source libre : pour utiliser un cookie au format source libre, le système tiers peut utiliser un kit de développement logiciel de fédération Java ou .NET et créer le cookie. De même, pour créer un cookie manuellement, utilisez un langage de programmation. Le système tiers redirige le navigateur vers votre système de fédération, qui récupère l'ID d'utilisateur.
- URL d'authentification déléguéeSpécifie l'URL du système de gestion de l'accès Web tiers qui gère l'authentification d'utilisateur. Si un utilisateur initialise une demande au niveau du système de fédération, il sera redirigé vers le système de gestion de l'accès Web pour être authentifié. A l'issue de l'authentification, l'utilisateur est redirigé de nouveau vers le système de fédération.Cette URL n'est pas utilisée si un utilisateur initialise d'abord une demande au niveau du système de gestion de l'accès Web.Valeur :URL valide commençant par http:// ou https://
- Suivre le statut d'authentification déléguée :effectue un suivi de l'authentification déléguée pour vérifier qu'elle s'effectue sans problème. En cas d'échec de l'authentification, ce paramètre détermine le comportement du système de fédération. Par défaut, cette case à cocher est sélectionnée.Si un utilisateur ne fournit pas d'informations d'identification lors de l'accès à une ressource protégée configurée pour l'authentification déléguée, l'authentification déléguée échoue. Si cet utilisateur tente d'accéder de nouveau à la ressource dans une même session de navigateur, le navigateur affiche une erreur 404. Le système de fédération écrit un message d'erreur dans les fichiers affwebservices.log et FWSTrace.log. Le message d'erreur indique que les informations d'identification pour l'authentification déléguée sont manquantes. Le système de fédération ne redirige pas l'utilisateur vers l'URL d'authentification déléguée pour fournir les informations d'identification.Pour que le système de fédération redirige l'utilisateur vers l'URL d'authentification déléguée dans la même session de navigateur, désactivez cette case à cocher. Si vous désactivez le suivi, un utilisateur peut tenter d'accéder de nouveau à la ressource dans la même session de navigateur sans recevoir l'erreur 404. Le système de fédération redirige le navigateur vers l'URL d'authentification déléguée. L'utilisateur doit alors fournir de nouveau les informations d'identification.
- Secret d'hachage (chaîne de requête uniquement)Définit le secret partagé ajouté à l'ID de connexion d'utilisateur pour créer le paramètre de requête LoginIDHash. Ce paramètre est uniquement pertinent si vous sélectionnez la chaîne de requête comme type d'authentification déléguée.
- Confirmer le secret d'hachage (chaîne de requête uniquement)Vérifie le secret d'hachage. Saisissez la valeur du secret d'hachage à nouveau.
- Cookie au format source libre (cookie au format source libre uniquement)L'utilisateur est redirigé vers l'application cible à l'aide d'une redirection HTTP 302 avec un cookie au format source libre, sans autre donnée. L'application consommateur déchiffre le cookie chiffré pour obtenir les informations de l'utilisateur.Si l'entité de confiance reçoit une assertion avec plusieurs valeurs d'attribut, elle transfère toutes ces valeurs à l'application cible.Si vous sélectionnez l'option de cookie au format libre pour l'authentification déléguée, l'interface d'administration affiche les champs supplémentaires suivants :
- Nom de cookie au format source libreIndique le nom du cookie.Transformation du chiffrementIndique l'algorithme de chiffrement à utiliser pour chiffrer le cookie au format source libre.Si vous sélectionnez l'un des algorithmes compatibles avec FIPS (algorithmes AES), le système cible doit utiliser un kit de développement logiciel de fédération pour consommer le cookie. Les kits de développement logiciel doivent être placés sur le même serveur que l'application cible.Si vous utilisez le kit de développement logiciel de fédération .NET pour consommer le cookie, utilisez l'algorithme de chiffrement AES128/CBC/PKCS5Padding.Mot de passe de chiffrementIndique le mot de passe utilisé pour chiffrer le cookie. Les champs Mot de passe de chiffrement et Confirmer le mot de passe sont obligatoires.Confirmer le mot de passeConfirme le mot de passe de chiffrement saisi.Activer le code HMACIndique qu'un code d'authentification de message avec hachage (HMAC) est généré à l'aide du mot de passe de chiffrement fourni dans cette boîte de dialogue.Les codes d'authentification de message (MAC) peuvent vérifier l'intégrité des informations envoyées entre deux parties. Les deux parties partagent une clé secrète pour le calcul et la vérification des valeurs d'authentification de message. Un code d'authentification de message avec hachage (HMAC) est un mécanisme MAC basé sur des fonctions d'hachage cryptographiques.Si vous sélectionnez la case à cocher Activer le code HMAC, le système générera une valeur HMAC pour son cookie au format source libre. La valeur HMAC est ajoutée au début de la valeur du cookie au format source libre, puis chiffre la chaîne entière. Le système de fédération place la chaîne chiffrée dans le cookie au format source libre, alors transmis à l'application cible.Marge temporelle de cookie (en secondes)Spécifie le nombre de secondes déduites du temps système actuel et qui représentera la différence dans les horloges système. La différence se situe entre votre système de fédération et l'authentification déléguée de traitement d'applications tierces.Le logiciel applique la marge temporelle à la génération et à la consommation du cookie au format source libre.Valeur :entrez une valeur en secondes.
- Délai d'inactivitéPermet de déterminer la durée d'inactivité d'une session d'utilisateur autorisée avant que l'agent ne termine la session. Si vous voulez limiter les problèmes que peut supposer l'abandon de la station de travail d'un utilisateur après son accès à une ressource protégée, définissez le délai d'inactivité sur une période courte. Si la session expire, les utilisateurs devront se réauthentifier avant d'accéder à nouveau aux ressources.Ce paramètre est activé par défaut. Pour ne spécifier aucune durée d'inactivité, décochez la case. Le délai d'inactivité de session par défaut est une heure.Remarque :Une fois que le délai d'inactivité spécifié s'est écoulé, la session expire après un certain délai de maintenance. Le nombre de secondes spécifiées dans la clé de registre suivante détermine la période :HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\siteminder\CurrentVersion\SessionServer\MaintenancePeriodPar exemple, vous avez défini le délai d'inactivité sur 10 minutes. Vous avez défini également le registre pour la période de maintenance sur la valeur par défaut. La période la plus longue avant l'expiration d'une session due à l'inactivité est de 11 minutes (période de maintenance + délai d'expiration).Pour utiliser cette fonctionnalité avec le schéma d'authentification de base, l'agent Web est configuré de sorte à requérir des cookies.Tenez compte des problématiques suivantes :
- Lors des sessions persistantes, activez le délai d'inactivité et définissez-le sur une valeur plus supérieure à la période de validation.
- Vous pouvez remplacer ce paramètre global à l'aide de l'attribut de réponse WebAgent-OnAuthAccept-Session-Idle-Timeout. Une valeur zéro indique que l'inactivité de l'utilisateur n'entraînera pas l'expiration de la session.
Valeur par défaut :60 secondesHeuresSpécifie le nombre d'heures pour le délai d'inactivité. - MinutesSpécifie le nombre de minutes pour le délai d'inactivité.
- Délai d'expiration maximumDétermine la durée d'activité maximum d'une session d'utilisateur avant que l'agent ne requiert sa réauthentification.Ce paramètre est activé par défaut. Pour ne spécifier aucune durée maximum de session, décochez la case. La durée maximum de session par défaut est de deux heures.
- HeuresSpécifie le nombre d'heures pour la durée maximum de session.
- MinutesSpécifie le nombre de minutes pour la durée maximum de session.
Pour utiliser cette fonctionnalité avec le schéma d'authentification de base, l'agent Web doit requérir des cookies.Remarque :Vous pouvez remplacer ce paramètre à l'aide de l'attribut de réponse WebAgent-OnAuthAccept-Session-Max-Timeout. - Niveau minimumd'authentificationPermet de spécifier le niveau minimum auquel l'utilisateur doit être authentifié pour accéder à un domaine d'authentification. Si l'utilisateur s'est authentifié à ce niveau ou à un niveau supérieur, le fournisseur d'identités génère une assertion pour l'utilisateur. Sinon, il sera redirigé vers l'URL d'authentification afin de s'authentifier à ce niveau.
Si vous spécifiez Sélecteur d'informations d'identification en tant que mode d'authentification, remplissez les champs suivants :
- URL de base d'authentificationDéfinit le nom d'hôte du serveurCA Access Gatewaysur lequel le service de traitement d'informations d'identification est installé. Entrez la valeur au format suivant :https:nom_hôte_sps/chs/login or http:nom_hôte_sps/chs/login
- Groupes de méthodes d'authentificationSpécifie le groupe de méthodes d'authentification des fournisseurs d'identités à afficher pour l'authentification lorsque le partenariat est appelé.
Authentification unique (fournisseur d'identités WSFED)
- AudienceSpécifie l'URL de l'audience. L'URL de l'audience identifie l'emplacement d'un document qui décrit les termes et conditions de l'accord commercial entre l'entité générant des assertions et l'entité de confiance. L'administrateur au niveau de l'entité générant des assertions détermine l'audience. Cette valeur d'audience doit correspondre à la valeur d'audience de l'entité de confiance et à l'ID d'entité du partenaire de ressource. Ces trois paramètres doivent utiliser la même valeur.Valeur :une URL valideLa valeur de l'audience doit contenir au maximum 1024 caractères et respecter la casse.Exemple: http://fed.example.com/portal1
- URL du service de consommateur de jetons de sécuritéSpécifie l'URL du service du partenaire de ressource qui reçoit les messages de réponse de jeton de sécurité et extrait l'assertion. Emplacement par défaut du service :https://serveur_partenaire_ressource:port/affwebservices/public/wsfeddispatcherserveur_partenaire_ressource:portIdentifie le serveur Web et le port au niveau du partenaire de ressource hébergeant le pack d'options d'agent Web ou la passerelle de fédération de serveur proxy sécurisé. Ces composants fournissent l'application de services Web de fédération.Remarque :Le service WSFedDispatcher reçoit tous les messages WS-Federation entrants et envoie les demandes pour traitement au service approprié selon les données du paramètre de requête. Bien qu'un service wsfedsecuritytokenconsumer existe, le service wsfeddispatcher est recommandé pour l'entrée dans ce champ.
- Durée de validité de l'authentification (en secondes)Spécifie un nombre de secondes pendant lesquelles une assertion générée est valide.Dans un environnement de test, si le message suivant figure dans le journal de suivi, vous pouvez indiquer une durée de validité supérieure à 60 (valeur par défaut) :Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237) -current time (Fri Sep 09 17:28:33 EDT 2005) is after SessionNotOnOrAftertime (Fri Sep 09 17:28:20 EDT 2005)Remarque :La durée de validité de l'authentification unique et la marge temporelle permettent au serveur de stratégies de calculer la durée totale de validité de la demande d'authentification unique.Valeur par défaut :60Valeur :saisissez un nombre entier positif.
- Formulaire POST personnaliséNomme le formulaire HTML POST automatique personnalisé pour l'authentification unique HTTP POST. Saisissez uniquement le nom du formulaire, pas son chemin d'accès. Un formulaire nommé defaultpostform.html est installé avec le produit.Une publication automatique personnalisée permet au serveur de stratégies d'envoyer des informations SAML au partenaire de ressource. La page physique doit résider dans le répertoire %NETE_WA_ROOT%\customization, %NETE_WA_ROOT% étant l'emplacement du pack d'options d'agent Web. Si l'agent Web et le pack d'options d'agent Web sont installés sur le même système, ils seront installés dans le même répertoire, par exemple: webagent\customization.
- Période de validationPour afficher cette case à cocher, activez le serveur de session à l'aide de la console de gestion de serveur de stratégies.Détermine la période maximum entre chaque appel d'agent au serveur de stratégies pour valider une session. Les appels de validation de session informent le serveur de stratégies qu'un utilisateur est encore actif et confirment la validité de la session d'utilisateur.Pour spécifier la période de validation, saisissez des valeurs dans les champs Heures, Minutes et Secondes. Si vous configurez le système de façon à fournir un contexte de sécurité d'utilisateur Windows, définissez une valeur élevée, par exemple, 15 ou 30 minutes. Si le nombre de sessions actives est inférieur à la valeur maximum du cache de la session d'utilisateur de l'agent, celui-ci ne devra pas revalider la session.La période de validation de la session doit être inférieure à la valeur du délai d'inactivité spécifiée.
Déconnexion (fournisseur d'identités WSFED)
La section Déconnexion de la boîte de dialogue apparaît uniquement si le référentiel de sessions est activé. Activez le référentiel de sessions à l'aide de la console de gestion de serveur de stratégies.
- Activer la déconnexionActive la fonctionnalité de déconnexion pour le partenariat.
- URL de confirmation de déconnexionSpécifie l'URL du fournisseur d'identités effectuant la déconnexion.URL par défaut :http://serveur_fournisseur_identités:port/affwebservices/signoutconfirmurl.jspserveur_fournisseur_identités:portSpécifie le serveur et le numéro de port du système du fournisseur d'identités. Le système héberge le pack d'options d'agent Web ou la passerelle de serveur proxy sécurisé, en fonction du composant installé dans votre réseau de fédérations.signoutconfirmurl.jsp est inclus dans le pack d'options d'agent Web ou la passerelle de fédération de serveur proxy sécurisé. Vous pouvez déplacer cette page du répertoire par défaut à l'emplacement du moteur de servlet pour permettre aux services Web de fédérations d'y accéder.Si le partenaire de ressource procède à la déconnexion, la page de confirmation de la déconnexion doit être une ressource non protégée au niveau du partenaire de ressource. Si le fournisseur d'identités procède à la déconnexion, la page de confirmation de la déconnexion doit être une ressource non protégée au niveau du fournisseur d'identités.
- URL de déconnexion à distanceSpécifie l'URL du service de déconnexion pour le partenaire de ressource. Le fournisseur d'identités envoie la demande signoutcleanup à cette URL.Exemple : si vous utilisezSingle Sign-Oncomme partenaire de ressource, l'adresse URL est https://service_partenaire_ressource:port/affwebservices/public/wsfeddispatcher.Remarque :Le service wsfeddispatcher reçoit tous les messages WS-Federation entrants. Ce service transfère la demande au service approprié en fonction des données du paramètre de requête. Même si un service wsfedsignout est disponible, utilisez l'URL de wsfeddispatcher pour l'URL de déconnexion.