Boîte de dialogue Authentification unique et SLO (fournisseur d'identités SAML 2.0)

L'étape Authentification unique et SLO permet de configurer l'opération d'authentification unique et de déconnexion unique.
casso127figsbrfr
HID_partnership-sso-asserting
L'étape Authentification unique et SLO permet de configurer l'opération d'authentification unique et de déconnexion unique.
2
Authentification (fournisseur d'identités SAML 2.0)
La section Authentification permet de spécifier la méthode d'authentification des utilisateurs lors de transactions sous authentification unique. Définissez la méthode d'authentification d'un utilisateur sans session.
Cette section contient les paramètres suivants :
  • Mode d'authentification
    Indique si une session d'utilisateur est établie par l'authentification locale ou en déléguant l'authentification à un système distant de gestion des accès tiers.
    Valeur par défaut :
    Local
    Options :
    Sélectionnez l'une des options suivantes et configurer les champs supplémentaires pour cette option :
    • Local : le système de fédération gère l'authentification d'utilisateur. 
      Si vous sélectionnez l'option Local dans le champ Mode d'authentification, entrez une adresse URL dans le champ URL d'authentification. L'adresse URL pointe vers un fichier redirect.jsp. Toutefois, si vous sélectionnez la case à cocher
      Utiliser une URL sécurisée
      , elle doit pointer vers le service Web secureredirect.
      URL d'authentification
      URL protégée utilisée par la fédération pour l'authentification des utilisateurs et pour la création d'une session lorsqu'une ressource protégée est demandée. Si le mode d'authentification est défini sur Local et qu'un utilisateur ne s'est pas connecté au niveau de l'entité générant des assertions, il sera dirigé vers cette URL. Cette adresse URL doit pointer vers le fichier redirect.jsp, sauf si vous sélectionnez la case à cocher
      Utiliser une URL sécurisée
      . Exemples : http://
      mon_serveur.idpA.com
      /siteminderagent/redirectjsp/redirect.jsphttp://
      mon_serveur.idpA.com
      /siteminderagent/redirectjsp/redirect.jsp 
      myserver
      identifie le serveur web avec le Pack d’options de l’Agent Web ou
      CA Access Gateway
      installés au niveau de l’entité générant des assertions. L’application redirectjsp est fournie avec ces produits.
      Protégez l'URL d'authentification à l'aide d'une stratégie de contrôle d'accès. Configurez un schéma d'authentification, un domaine d'authentification et une règle pour la stratégie. Pour ajouter des attributs de référentiel de session à l'assertion, activez la case à cocher Conserver les variables de session d'authentification, qui constitue un paramètre dans le schéma d'authentification.
      Utiliser une URL sécurisée
      Indique au service d'authentification unique qu'il doit chiffrer uniquement le paramètre de requête SMPORTALURL. Un paramètre SMPORTALURL chiffré empêche un utilisateur malveillant de modifier la valeur et de rediriger des utilisateurs authentifiés vers un site Web malveillant. Le paramètre SMPORTALURL est ajouté à l'URL d'authentification avant la redirection de l'utilisateur par le navigateur dans le cadre de l'ouverture d'une session. Une fois l'utilisateur authentifié, le navigateur dirige à nouveau l'utilisateur vers la destination spécifiée dans le paramètre de requête SMPORTALURL.
      Si vous sélectionnez la case Utiliser une URL sécurisée, procédez comme suit :
      1. Définissez le champ URL d'authentification sur l'URL suivante : http(s)://
      serveur_fournisseur_identités:port
      /affwebservices/secure/secureredirect
      2. Protégez le service Web secureredirect à l'aide d'une stratégie.
      Si l'entité générant des assertions gère plusieurs partenaires de confiance, elle authentifie probablement des utilisateurs différents pour ces divers partenaires. Par conséquent, pour chaque URL d'authentification utilisant le service secureredirect, vous devez inclure ce service Web dans un domaine d'authentification différent pour chaque partenaire.
      Pour associer le service secureredirect à différents domaines, modifiez le fichier web.xml et créez des mappages de ressources différents. Ne copiez pas le service Web secureredirect dans différents emplacements de votre serveur. Recherchez le fichier web.xml sous
      répertoire_installation_agent_Web
      /affwebservices/WEB-INF, où
      répertoire_installation_agent_Web
      est l'emplacement d'installation de l'agent Web.
       
    • Délégué : système de gestion de l'accès Web tiers qui gère l'authentification d'utilisateur. Remplissez les champs supplémentaires.
    • Sélecteur d'informations d'identification : une page de sélecteur d'informations d'identification s'affiche et répertorie plusieurs fournisseurs d'identités. Les fournisseurs d'identités peuvent être des partenaires de médias sociaux, OAuth, SAML ou WS-Federation. Les utilisateurs sélectionnent le fournisseur d'identités approprié et ce fournisseur authentifie l'utilisateur. La liste des fournisseurs d'identités disponibles est définie dans un groupe de méthodes d'authentification. L'utilisateur doit déjà être enregistré auprès de ces partenaires externes.
      Si vous sélectionnez Sélecteur d'informations d'identification, remplissez les champs suivants :
      URL de base d'authentification
      : définit le nom d'hôte du serveur
      CA Access Gateway
      sur lequel le service de traitement d'informations d'identification est installé. Entrez la valeur au format suivant : https:
      nom_hôte_serveur_proxy_sécurisé
      ou http:
      nom_hôte_serveur_proxy_sécurisé
      .
      Groupes de méthode d'authentification :
      Spécifie le groupe de méthodes d'authentification des fournisseurs d'identités à afficher pour l'authentification lorsque le partenariat est appelé.
    • Dynamique : un fournisseur d’identités réauthentifie un utilisateur au niveau d’authentification requis. Différentes URL d’authentification sont utilisées pour authentifier les utilisateurs à différents niveaux afin d'établir le niveau d’authentification requis pour une assertion. Une fois que l’utilisateur est réauthentifié, le fournisseur d’identités génère une assertion.
      Si vous sélectionnez Dynamique, vous devez configurer le paramètre de modèle de contexte d'authentification. La liste déroulante Modèle de contexte d’authentification répertorie tous les modèles de contexte d’authentification configurés pour prendre en charge l’authentification dynamique. Pour des informations sur la configuration de l'authentification dynamique, reportez-vous à la section Traitement du contexte de l'authentification dynamique (SAML 2.0).
  • casso127figsbrfr
    Type d'authentification déléguée (mode Délégué uniquement)
    Spécifie si l'authentification tierce a lieu via le transfert d'un cookie au format source libre ou une chaîne de requête contenant l'ID de connexion de l'utilisateur ainsi que d'autres informations. Ce champ est affiché uniquement si le mode Délégué est choisi comme le mode d'authentification.
    Options : Chaîne de requête, Cookie au format source libre
    • Chaîne de requête
      : pour utiliser une chaîne de requête, le système tiers crée une chaîne de redirection et y ajoute le paramètre de requête LoginIDHash. Le paramètre LoginIDHash est une combinaison ID de connexion de l'utilisateur/secret partagé. Ces deux valeurs sont combinées et traitées via un algorithme d'hachage.
      N'utilisez pas la méthode de chaîne de requête dans un environnement de production. La méthode de redirection de chaîne de requête est uniquement applicable dans un environnement d'analyse comme élément de validation technique.
      Remarque :
      L'option de chaîne de requête ne crée pas de partenariat conforme à la norme FIPS.
    • Cookie au format source libre : pour utiliser un cookie au format source libre, le système tiers peut utiliser un kit de développement logiciel
      CA SiteMinder® Federation
      Java ou .NET et créer le cookie. De même, pour créer un cookie manuellement, utilisez un langage de programmation. Le système tiers redirige le navigateur vers votre système de fédération, qui récupère l'ID d'utilisateur.
  • URL d'authentification déléguée (mode Délégué uniquement)
    Spécifie l'URL du système de gestion de l'accès Web tiers qui gère l'authentification d'utilisateur. Si un utilisateur initialise une demande au niveau du système local, il sera redirigé vers le système de gestion de l'accès Web pour être authentifié. A l'issue de l'authentification, l'utilisateur sera de nouveau redirigé vers le système local.
    Cette URL n'est pas utilisée si un utilisateur initialise d'abord une demande au niveau du système de gestion de l'accès Web.
    Valeur :
    URL valide commençant par http:// ou https://
  • casso127figsbrfr
    Suivre le statut d'authentification déléguée
    Effectue un suivi de l'authentification déléguée pour vérifier qu'elle s'effectue sans problème. En cas d'échec de l'authentification, ce paramètre détermine le comportement du système de fédération. Par défaut, cette case à cocher est sélectionnée. Si un utilisateur ne fournit pas d'informations d'identification lors de l'accès à une ressource protégée configurée pour l'authentification déléguée, l'authentification déléguée échoue. Si cet utilisateur tente d'accéder de nouveau à la ressource dans une même session de navigateur, le navigateur affiche une erreur 404. Le système de fédération écrit un message d'erreur dans les fichiers affwebservices.log et FWSTrace.log. Le message d'erreur indique que les informations d'identification pour l'authentification déléguée sont manquantes. Le système de fédération ne redirige pas l'utilisateur vers l'URL d'authentification déléguée pour fournir les informations d'identification.
    Pour que le système de fédération redirige l'utilisateur vers l'URL d'authentification déléguée dans la même session de navigateur, désactivez cette case à cocher. Si vous désactivez le suivi, un utilisateur peut tenter d'accéder de nouveau à la ressource dans la même session de navigateur sans recevoir l'erreur 404. Le système de fédération redirige le navigateur vers l'URL d'authentification déléguée. L'utilisateur doit alors fournir de nouveau les informations d'identification.
  • Paramètres de chaîne de requête pour l'authentification déléguée
    Si vous sélectionnez Chaîne de requête pour le champ Type d'authentification déléguée, renseignez les paramètres supplémentaires suivants :
    • Secret d'hachage
      Définit le secret partagé ajouté à l'ID de connexion d'utilisateur pour créer le paramètre de requête LoginIDHash. Ce paramètre est uniquement pertinent si vous sélectionnez la chaîne de requête comme type d'authentification déléguée.
    • Confirmer le secret d'hachage
      Vérifie le secret d'hachage. Saisissez la valeur du secret d'hachage à nouveau.
  • Paramètres de cookie au format source libre pour l'authentification déléguée
    Si vous sélectionnez le cookie au format source libre, l'utilisateur sera redirigé vers l'application tierce par une redirection HTTP 302. Le système WAM tiers authentifie l'utilisateur et partage les informations d'identification avec
    Single Sign-On
    auprès de l'entité générant des assertions dans un cookie au format source libre.
    Si vous sélectionnez l'option de cookie au format source libre pour l'authentification déléguée, les champs supplémentaires suivants apparaissent :
    Nom de cookie au format source libre
    Indique le nom du cookie.
    Transformation du chiffrement
    Indique la transformation du chiffrement à utiliser pour déchiffrer le cookie au format libre. Utilisez la même valeur que celle utilisée par le système WAM tiers pour chiffrer le cookie au format libre.
    Mot de passe de chiffrement
    Indique le mot de passe utilisé pour déchiffrer le cookie. Utilisez la même valeur que celle utilisée par le système WAM tiers pour chiffrer le cookie au format libre.
    Confirmer le mot de passe
    Confirme le mot de passe de chiffrement saisi.
    Activer le code HMAC
    Indique que le logiciel génère un code d'authentification de message avec hachage (HMAC) à l'aide du mot de passe de chiffrement fourni dans cette boîte de dialogue.
    Les codes d'authentification de message (MAC) peuvent vérifier l'intégrité des informations envoyées entre deux parties. Les deux parties partagent une clé secrète pour le calcul et la vérification des valeurs d'authentification de message. Un code d'authentification de message avec hachage (HMAC) est un mécanisme MAC basé sur des fonctions d'hachage cryptographiques.
    Si vous sélectionnez la case à cocher Activer le code HMAC, le système générera une valeur HMAC pour son cookie au format source libre. Le logiciel ajoute la valeur HMAC au début de la valeur du cookie au format source libre, puis chiffre la chaîne entière. Le système place la chaîne chiffrée dans le cookie au format source libre, alors transmis à l'application cible.
    Marge temporelle de cookie (en secondes)
    Spécifie le nombre de secondes déduites du temps système actuel et qui représentera la différence dans les horloges système. La différence se situe entre votre système de fédération et l'authentification déléguée de traitement d'applications tierces. Le logiciel applique la marge temporelle à la génération et à la consommation du cookie au format source libre.
    Valeur
    : entrez une valeur en secondes.
    Remplacer la classe d'authentification par la valeur du cookie au format source libre
    Activez cette case à cocher pour remplacer l'URI de classe d'authentification configuré par l'URI envoyé par un système de gestion des accès tiers distant qui est inclus dans l'assertion envoyée au fournisseur de services.
  • Classe d'authentification
    Spécifie l'URI fourni dans l'élément AuthnContextClassRef de l'assertion, qui décrit l'authentification d'un utilisateur fédéré. Si l'utilisateur sera authentifié localement, acceptez l'URI par défaut pour le mot de passe. Si l'utilisateur est authentifié par un système distant de gestion de l'accès tiers, modifiez ce champ pour refléter la méthode d'authentification.
    Valeur par défaut :
    urn:oasis:names:tc:SAML:2.0:ac:classes:Password
    Valeur du mode d'authentification locale :
    urn:oasis:names:tc:SAML:2.0:ac:classes:Password
    Valeur du mode d'authentification déléguée :
    URI valide pour l'élément AuthnContextClassRef comme défini dans la spécification SAML
  • Configurer le contexte d'authentification
    Définit la méthode que le fournisseur d'identités utilise pour déterminer le contexte d'authentification qu'il place dans l'assertion. Les options sont les suivantes :
    • Utiliser une classe d'authentification prédéfinie
      Charge le fournisseur d'identités d'utiliser un URI de classe d'authentification codée de manière irréversible dans l'assertion. Cet URI est la valeur spécifiée dans le champ Classe d'authentification. Si vous sélectionnez cette option, configurez le champ suivant :
      Classe d'authentification
      Spécifie l'URI fourni dans l'élément AuthnContextClassRef de l'assertion, qui décrit l'authentification d'un utilisateur fédéré. Acceptez l'URI par défaut pour le mot de passe.
      Valeur par défaut :
      urn:oasis:names:tc:SAML:2.0:ac:classes:Password
    • Détection automatique de la classe d'authentification
      Charge le fournisseur d'identités de mapper la classe AuthnContext vers le niveau de protection basé sur un modèle de contexte d'authentification configurée, lors de la session. Si vous sélectionnez cette option, configurez le champ de modèle de contexte d'authentification. Ce paramètre identifie le modèle que le fournisseur d'identités utilise pour mapper le contexte d'authentification vers le niveau de protection associé lors d'une session d'utilisateur spécifique.  Pour créer un modèle au lieu d'en choisir un existant, sélectionnez Créer un modèle. 
  • IgnoreRequestedAuthnContext
    Charge le fournisseur d'identités d'ignorer l'élément de <RequestedAuthnContext> dans la demande d'authentification envoyée par le fournisseur de services. Le fournisseur d'identités définit le contexte d'authentification à l'aide d'une classe d'authentification prédéfinie ou d'un modèle de contexte d'authentification.
  • Délai d'inactivité (Heures:Minutes)
    Permet de déterminer la durée d'inactivité d'une session d'utilisateur autorisée avant que le système de fédération ne termine la session. Si vous voulez limiter les problèmes que peut supposer l'abandon de la station de travail d'un utilisateur après son accès à une ressource protégée, définissez le délai d'inactivité sur une période courte. Si la session expire, les utilisateurs devront se réauthentifier avant d'accéder à nouveau aux ressources.
    Ce paramètre est activé par défaut. Pour ne spécifier aucune durée d'inactivité, décochez la case. Le délai d'inactivité de session par défaut est une heure.
    Valeur par défaut :
    1 heure
    • Heures
      Spécifie le nombre d'heures pour le délai d'inactivité.
    • Minutes
      Spécifie le nombre de minutes pour le délai d'inactivité.
  • Délai d'expiration maximum (Heures:Minutes)
    Détermine la durée d'activité maximum d'une session d'utilisateur avant que le système de fédération ne requiert sa réauthentification.
    Ce paramètre est activé par défaut. Pour ne spécifier aucune durée maximum de session, décochez la case.
    Valeur par défaut :
    2 heures
    • Heures
      Spécifie le nombre d'heures pour la durée maximum de session.
    • Minutes
      Spécifie le nombre de minutes pour la durée maximum de session.
  • Mettre à jour la session pour ForceAuthn
    Sélectionnez cette case à cocher pour mettre à jour l'assertion avec l'heure de début de la session en cours, le délai d'expiration maximum et le délai d'inactivité. Cette case à cocher est valide lorsque les informations d'identification sont demandées par le fournisseur de services et la demande d'authentification inclut un paramètre de requête d'authentification forcée.
    Ce paramètre est désactivé par défaut. L'heure de début d'origine de la session et les délais d'expiration sont utilisés lors de la génération de l'assertion.
  • Activer le contrôle amélioré des sessions
    Sélectionnez cette case à cocher pour protéger les ressources spécifiées dans le domaine d'authentification (du modèle de domaine de stratégies) ou le composant (du modèle d'application). Vous pouvez également protéger les demandes d'authentification de certains partenariats de fédération. Le terminal de contrôle des sessions collecte les informations DeviceDNA™ à partir de l'utilisateur et valide la session. Cette fonctionnalité requiert des terminaux de contrôle des sessions.
Authentification unique (fournisseur d'identités SAML 2.0)
La section Authentification unique permet de configurer l'authentification unique. Cette section contient les paramètres suivants :
  • Liaison de demande d'authentification
    Spécifie les types de liaisons autorisés par le fournisseur d'identités lorsqu'il reçoit une demande d'authentification du fournisseur de services.
    Options :
    HTTP-Redirect, HTTP-POST
  • Liaison d'authentification unique
    Définit le profil d'authentification unique utilisé pour les demandes de traitement. Vous pouvez sélectionner toutes les liaisons ; l'entité locale détermine la séquence dans laquelle les liaisons sont testées.
    Options :
    Artefact HTTP, HTTP POST, proxy ou client amélioré
    Instructions pour ce paramètre :
    • Si vous sélectionnez la liaison Artefact, sélectionnez un codage d'artefact (URL ou Formulaire). Le codage définit la méthode de retour de l'artefact vers l'entité de confiance. Si vous sélectionnez l'option URL, l'artefact sera renvoyé comme paramètre de requête dans une URL. Si vous sélectionnez Formulaire, l'artefact sera publié comme données de formulaire. Dans le cas de la liaison d'artefact, l'assertion est envoyée via un canal arrière sécurisé. Par conséquent, configurez les paramètres dans la section Canal arrière.
    • Lorsque vous sélectionnez une liaison d'authentification unique, configurez au moins un service de consommateur d'assertions dont la liaison correspond.
    • Si les entités dans le partenariat communiquent indirectement via un client amélioré, sélectionnez le profil ECP. Un client amélioré peut être un navigateur ou un autre agent utilisateur, ou un proxy amélioré, par exemple un proxy sans fil pour une unité sans fil.
    Si vous sélectionnez l'option Profil de proxy et de client amélioré, un service de service de consommateur d'assertions avec la liaison PAOS est requis.
  • casso127figsbrfr
    Type de protection d'artefact
    Définit la méthode de protection du canal arrière aux fins d'authentification unique Artefact HTTP. L'option Hérité indique que
    CA Single Sign-on
    protège le canal arrière. L'option Partenariat indique que le composant de fédération inclus dans
    CA Single Sign-on
    protège le canal arrière.
    Si vous recréez votre configuration
    eTrust SiteMinder FSS
    dans le modèle de fédération de partenariat, vous pouvez utiliser la méthode d'origine de protection du canal arrière. L'option Patrimoine permet à la configuration d'utiliser l'URL existante pour le service de récupération d'assertions (SAML 1.x) ou le service de résolution d'artefacts (SAML 2.0). Si vous sélectionnez l'option Hérité,
    CA Single Sign-on
    acceptera la demande. Il n'est pas nécessaire de modifier l'URL. Si l'URL du service d'artefact provient de la configuration héritée, mais que seule l'option de partenariat est sélectionnée pour ce paramètre,
    CA Single Sign-on
    rejettera la demande.
    Avec l'option Hérité, veillez à appliquer la stratégie de protection du service d'artefact. Cette stratégie est un composant des services Web de fédérations.
    CA Single Sign-on
    crée des stratégies pour les services Web de fédérations de manière automatique, mais vous devez appliquer la protection de ces stratégies. Vous devez indiquer le partenariat autorisé à accéder au service qui récupère les artefacts.
    Options
    : Patrimoine, Partenariat
  • Codage d'artefact
    Spécifie le codage de l'artefact lors de son envoi vers l'entité de confiance pour l'authentification unique Artefact HTTP.
    Options :
    URL, Formulaire
    Si vous sélectionnez URL, l'artefact est ajouté à une chaîne de requête codée dans une URL. Si vous sélectionnez Formulaire, l'artefact est ajouté à un contrôle de formulaire masqué dans un formulaire.
  • Audience
    Spécifie l'URL de l'audience. L'URL de l'audience identifie l'emplacement d'un document qui décrit les termes et conditions de l'accord commercial entre l'entité générant des assertions et l'entité de confiance. L'administrateur au niveau de l'entité générant des assertions détermine l'audience. Cette valeur doit correspondre à la valeur d'audience spécifiée au niveau de l'entité de confiance.
    Valeur :
    une URL
    La valeur de l'audience doit contenir au maximum 1024 caractères et respecter la casse. 
    Exemple
    : http://www.ca.com/fedserver
  • Accepter l'URL d'ACS dans la demande d'authentification
    Permet au système d'accepter et de traiter l'URL de service de consommateur d'assertions dans la demande d'authentification entrante à partir de l'entité de confiance. Sélectionnez cette case à cocher pour permettre au système de confirmer que l'URL est présente et valide et qu'elle fait partie des métadonnées.
  • Transactions permises
    Indique le partenaire autorisé à initialiser l'authentification unique. Le contrôle du partenaire initialisant l'authentification unique permet de gérer les appels de fédération. Dans le cas de la valeur Initialisation du fournisseur de services uniquement, un fournisseur de services peut demander le renvoi d'un contexte d'authentification spécifique dans l'assertion avant d'autoriser l'accès à une ressource.
  • Durée de validité de l'authentification (en secondes)
    Spécifie un nombre de secondes pendant lesquelles une assertion générée est valide. Utilisées dans le cadre de l'authentification unique, la durée de validité de l'authentification unique et la marge temporelle permettent au serveur de stratégies de calculer la durée totale de validité de la demande d'authentification unique. Dans un environnement de test, si le message suivant figure dans le journal de suivi, vous pouvez indiquer une durée de validité supérieure à 60 (valeur par défaut) :
    Assertion rejected (_b6717b8c00a5c32838208078738c05ce6237)  - 
    current time (Fri Sep 09 17:28:33 EDT 2005) is after SessionNotOnOrAfter
    time (Fri Sep 09 17:28:20 EDT 2005)
    Valeur
    : saisissez un nombre entier positif.
    Valeur par défaut
    : 60
  • Durée de validité du cookie de GUID (en secondes)
    Définit la période durant laquelle le cookie de GUID est valide. Configurez cette valeur pour gérer l'état AuthnRequest lorsque la liaison AuthnRequest est définie sur HTTP-POST.
  • Durée de session de fournisseur de services recommandée
    Spécifie la durée d'activation de la session au niveau du fournisseur de services.
    Dans l'objet <AuthnStatement> de l'assertion, l'attribut SessionNotOnOrAfter est calculé par le serveur de stratégies à l'aide de la formule heure_actuelle + durée_validité + marge_temporelle. Si un fournisseur de services tente de définir le délai d'expiration de la session sur cette valeur, la session sera trop courte. Vous pouvez résoudre ce problème en utilisant la valeur de la durée de validité d'authentification unique ou en modifiant la valeur de SessionNotOnOrAfter.
    Options :
    • Utiliser la validité de l'assertion
      Calcule la valeur de SessionNotOnOrAfter en fonction du paramètre Durée de validité de l'authentification unique.
    • Durée de session d'assertion personnalisée
      Sélectionnez l'une des options suivantes.
      Ignorer
      : indique au fournisseur d'identités de ne pas inclure le paramètre SessionNotOnOrAfter dans l'assertion.
      Session de fournisseur d'identités
      : calcule la valeur SessionNotOnOrAfter d'après le délai d'expiration de la session du fournisseur d'identités. Le délai d'expiration est configuré dans le domaine d'authentification du fournisseur d'identités pour l'URL d'authentification. Cette option permet de synchroniser les valeurs d'expiration de sessions du fournisseur d'identités et du fournisseur de services.
      Personnalisée
      : définit le délai d'expiration sur une valeur personnalisée en heures et en minutes.
  • Activer une réponse d'authentification négative
    Indique que le fournisseur de services reçoit une notification lorsqu'une demande d'authentification d'utilisateur échoue.
  • Activer le consentement de l'utilisateur
    Pour améliorer la protection de la confidentialité des utilisateurs, vous pouvez requérir qu'un utilisateur accepte que l'entité générant des assertions partage les informations d'identité avec le fournisseur de services. Si vous sélectionnez la case à cocher Activer le consentement de l'utilisateur, l'entité générant des assertions invitera l'utilisateur à donner son consentement. L'entité générant des assertions transmet sa valeur dans l'assertion.
    Si cette case à cocher est activée, les deux champs suivants s'affichent :
    • URL du service de consentement de l'utilisateur
      Indique l'URL du service de consentement de l'utilisateur à l'entité générant des assertions. Valeur par défaut : http://
      site_fournisseur d'identités
      :8999/affwebservices/public/saml2userconsent
    • Formulaire POST de consentement de l'utilisateur
      Nomme le formulaire HTML POST automatique personnalisé pour le consentement de l'utilisateur. Saisissez uniquement le nom du formulaire, pas son chemin d'accès. L'utilisateur peut configurer le formulaire HTML que lui fournit l'entité générant des assertions pour obtenir le consentement. Vous pouvez personnaliser ce formulaire pour l'adapter aux besoins de votre entreprise.
      La page physique doit résider dans le répertoire %NETE_WA_ROOT%\customization, %NETE_WA_ROOT% étant l'emplacement du pack d'options d'agent Web. Si l'agent Web et le pack d'options d'agent Web sont installés sur le même système, ils seront installés dans le même répertoire, par exemple: webagent\customization.
  • Niveau minimum d'authentification
    Permet de spécifier le niveau minimum auquel l'utilisateur doit être authentifié pour accéder à un domaine d'authentification. Si l'utilisateur s'est authentifié à ce niveau ou à un niveau supérieur, le fournisseur d'identités génère une assertion pour l'utilisateur. Sinon, il sera redirigé vers l'URL d'authentification afin de s'authentifier à ce niveau.
  • Formulaire POST personnalisé
    Nomme le formulaire HTML POST automatique personnalisé pour l'authentification unique HTTP POST. Saisissez uniquement le nom du formulaire, pas son chemin d'accès. Le serveur de stratégies fournit un formulaire nommé defaultpostform.html. Une publication automatique personnalisée permet au serveur de stratégies d'envoyer des informations SAML au consommateur. La page physique doit résider dans le répertoire %NETE_WA_ROOT%\customization, %NETE_WA_ROOT% étant l'emplacement du pack d'options d'agent Web. Si l'agent Web et le pack d'options d'agent Web sont installés sur le même système, ils seront installés dans le même répertoire, par exemple: webagent\customization.
  • Période de validation
    Pour afficher cette case à cocher, activez le serveur de session à l'aide de la console de gestion de serveur de stratégies.
    Détermine la période maximum entre chaque appel d'agent au serveur de stratégies pour valider une session. Les appels de validation de session informent le serveur de stratégies qu'un utilisateur est encore actif et confirment la validité de la session d'utilisateur. Pour spécifier la période de validation, saisissez des valeurs dans les champs Heures, Minutes et Secondes. Si vous configurez le système de façon à fournir un contexte de sécurité d'utilisateur Windows, définissez une valeur élevée, par exemple, 15 ou 30 minutes. 
    La période de validation de la session doit être inférieure à la valeur du délai d'inactivité spécifiée.
  • Définir une condition OneTimeUse
    Le fournisseur de services doit utiliser l'assertion immédiatement et ne pas la conserver pour une utilisation ultérieure. L'assertion est uniquement destinée à une utilisation unique. Les informations d'une assertion peuvent changer ou expirer. La condition OneTimeUse permet donc de garantir que le fournisseur de services utilise une assertion contenant les dernières informations. Au lieu de réutiliser l'assertion, le fournisseur de services doit demander une nouvelle assertion auprès du fournisseur d'identités.
  • URL du consommateur d'assertions
    Cette section permet d'affecter des valeurs d'index à des URL de service de consommateur d'assertions. L'affectation de numéros d'index permet d'utiliser différentes entrées de service de consommateur d'assertions pour différentes liaisons de protocole. L'entité de confiance inclut simplement le numéro d'index de l'URL appropriée dans l'objet AuthnRequest qu'elle envoie à l'entité générant des assertions.
    La table de cette section contient les champs suivants :
    • Index
      Indique le numéro d'index de l'URL d'un service de consommateur d'assertions à l'entité de confiance.
      Valeur par défaut :
      0
      Valeur
      : nombre entier unique compris entre 0 et 65535
    • Liaison
      Spécifie la liaison d'authentification unique que vous utilisez pour le service de consommateur d'assertions.
      Une demande non sollicitée peut initialiser l'authentification unique au niveau de l'entité générant des assertions. Si le lien qui déclenche la demande contient le paramètre de requête ProtocolBinding, la liaison spécifiée dans ce paramètre de requête remplace la valeur de ce champ.
      Valeur par défaut :
      HTTP-POST
      Options :
      Artefact HTTP, HTTP POST, PAOS
    • URL
      Spécifie l'URL du service de consommateur d'assertions au niveau de l'entité de confiance.
      Valeur par défaut si
      CA Single Sign-on
      est le fournisseur de services :
      http://
      serveur_fournisseur_services:port
      /affwebservices/public/saml2assertionconsumer
    • Par défaut
      (Facultatif) Indique que l'URL sélectionnée est utilisée comme entrée par défaut. Sélectionnez la case à cocher située près de l'entrée à utiliser comme valeur par défaut.
Déconnexion unique (fournisseur d'identités SAML 2.0)
La section Déconnexion unique permet de configurer la déconnexion unique (SLO). Cette section contient les paramètres suivants :
  • Liaison de SLO
    Indique si le profil de déconnexion unique est activé au niveau de l'entité générant des assertions et le type de liaison en cours d'utilisation. La liaison de redirection HTTP envoie des messages de déconnexion unique à l'aide de requêtes HTTP GET. La liaison SOAP ne repose pas sur l'HTTP après la demande initiale et envoie des messages via un canal arrière.
    Options
     : HTTP-Redirect, HTTP-POST, SOAP. Si vous sélectionnez cette option, la section Recherche d'utilisateur pour les services d'attribut et d'ID de nom s'affiche. Spécifiez une recherche d'annuaire dans le champ Personnalisé. La valeur saisie indique au serveur de stratégies la méthode pour rechercher l'enregistrement d'utilisateur dans l'annuaire d'utilisateurs.  Saisissez une chaîne de recherche appropriée pour le type d'annuaire, par exemple :
    LDAP
    : uid=%s
    ODBC
    : nom=%s
  • URL de confirmation de SLO
    Spécifie l'URL vers laquelle l'utilisateur est redirigé à l'issue du processus de déconnexion unique. En général, l'URL de confirmation pointe vers un emplacement au niveau du site qui a initialisé la déconnexion unique. Si la déconnexion unique est initialisée sur votre site, le système utilisera cette URL. La ressource de l'URL doit être locale et accessible sur votre site, non une ressource dans un domaine de partenaire fédéré. Par exemple, si le domaine local est acme.com et que votre partenaire est example.com, l'URL de confirmation de SLO doit figurer dans acme.com.
    Valeur :
    URL valide 
  • Durée de validité de SLO (en secondes)
    Indique la durée en secondes pendant laquelle une demande de déconnexion unique est valide.
    Valeur par défaut :
    60
    secondes
    Valeur :
    nombre entier positif
  • Remplacement de l'URL de confirmation de SLO par l'état du relais (redirection HTTP uniquement)
    Remplace l'URL dans le champ URL de confirmation de SLO par la valeur du paramètre de requête d'état du relais dans la demande de déconnexion unique. Cette option permet de contrôler davantage la cible de confirmation de déconnexion unique. Le paramètre de requête d'état du relais permet de définir de façon dynamique l'URL de confirmation pour les demandes de déconnexion unique.
  • Réutiliser l'index de session
    Indique si 
    CA Single Sign-on
    envoie le même index de session dans l'assertion pour le même partenaire dans une session de navigateur unique. Un utilisateur peut être fédéré plusieurs fois avec le même partenaire à l'aide de la même fenêtre de navigateur. Lorsque vous sélectionnez cette option, vous indiquez au fournisseur d'identités d'envoyer le même index de session dans chaque assertion. Si vous la désactivez,
    CA Single Sign-on
    génère un nouvel index de session à chaque nouvelle authentification unique. 
    Vous pouvez activer cette option pour vous assurer que la déconnexion unique avec des partenaires tiers qui ne respectent pas l'index de session est transférée dans des assertions plus récentes.
    Remarque :
    Ce paramètre s'applique uniquement si la déconnexion unique est activée.
  • URL de service de SLO
    Répertorie les URL de service de SLO disponibles. La table inclut les entrées suivantes :
    • Sélectionner
      Indique que cette valeur est l'entrée de l'URL de service de SLO.
    • Liaison
      Indique la liaison de la connexion SLO.
      Options :
      Redirection HTTP, SOAP
    • URL d'emplacement
      Spécifie l'URL du service de déconnexion unique au niveau du partenaire distant vers lequel la demande de déconnexion unique est envoyée.
      Valeur :
      URL valide
      Si votre système de fédération est situé au niveau du fournisseur de services distant, utilisez les URL suivantes :
      Liaison de redirection HTTP
       : http://
      hôte_fournisseur de services:port
      /affwebservices/public/saml2slo
      Liaison HTTP-POST :
      http://hôte_fournisseur de services:port/affwebservices/public/saml2slo
      Liaison SOAP
      : http://
      hôte_fournisseur de services
      :port/affwebservices/public/saml2slosoap
      Si un produit de fédération tiers est placé au niveau du fournisseur de services, utilisez l'URL appropriée pour ce produit.
  • URL d'emplacement de réponse
    (Facultatif) Spécifie l'URL du service de déconnexion unique pour l'entité. L'URL d'emplacement de réponse est utilisée dans une configuration comprenant un service pour les demandes de déconnexion unique et un autre pour les réponses de déconnexion unique. Par défaut, si seule l'option URL d'emplacement est renseignée, elle sera utilisée pour la demande et la réponse.
    Valeur :
    URL valide
Gestion des services d'ID de nom
Cette section décrit les champs permettant de configurer le service Gérer les ID de nom.
  • Liaison MNI : SOAP
    Permet d'activer le service Gérer les ID de nom. SOAP est la seule liaison prise en charge.
  • Chiffrer l'ID de nom
    Permet de chiffrer l'ID de nom.
  • ID de nom chiffré requis
    Requiert un ID de nom chiffré dans les messages reçus.
  • Signer la requête
    Permet de signer le message de demande ManageNameID.
  • Demande signée requise
    Requiert un message de demande ManageNameID signé.
  • Signer la réponse
    Permet de signer le message de réponse ManageNameId.
  • Réponse signée requise
    Requiert un message de réponse ManageNameID signé.
  • Supprimer l'ID de nom
    Efface l'attribut d'annuaire d'utilisateurs qui contient l'ID de nom de l'utilisateur pour ce partenariat. Vous pouvez sélectionner Supprimer l'ID de nom ou Autoriser les notifications pour activer cette fonctionnalité.
  • Délai d'expiration SOAP (en secondes)
    Spécifie le délai d'attente en minutes jusqu'à l'expiration de la demande.
    Valeur par défaut :
    60
  • Nombre de tentatives
    Spécifie le nombre de tentatives de la demande.
    Valeur par défaut :
    3
  • Délai des nouvelles tentatives (en minutes)
    Spécifie le délai d'attente en minutes avant d'effectuer une nouvelle tentative après l'échec du message.
    Valeur par défaut :
    15
  • (Facultatif) Activation de la notification
    Indique à l'entité de fédération
    Single Sign-On
    d'avertir l'application cliente lorsqu'un utilisateur est arrêté. Une notification indique le service ID de nom en arrière-plan lorsqu'un arrêt ID de nom réussit. Activez les notifications si le client qui possède l'application demandée souhaite contrôler la suppression d'un utilisateur à partir de l'annuaire d'utilisateurs. 
  • URL de notification
    Spécifie l'URL du fournisseur d'identités ou fournisseur de services distant que l'entité fédérée locale utilise pour envoyer la notification indiquant que l'ID de nom d'un utilisateur fédéré est arrêtée.
  • Délai de notification (en secondes)
    Indique la durée (en secondes) d'expiration de la demande de notification.
  • Type d'authentification de notification
    Indique si le client requiert ou non la saisie d'informations d'identification lors de l'envoi d'un arrêt. Si vous sélectionnez l'option De base, le service de notification effectue un appel en arrière-plan via l'URL de notification. L'application cliente peut authentifier que la fédération
    Single Sign-On
    est autorisée à réaliser cet appel. Si vous sélectionnez l'option De base, entrez une valeur pour les paramètres Nom d'utilisateur de notification et Mot de passe de notification. Ces valeurs servent d'informations d'identification lorsqu'un appel est envoyé via le canal de notification.
    Options
     : Aucune authentification, De base
  • Nom d'utilisateur de notification
    Spécifie le nom d'utilisateur pour le service de notification. Ce nom fait partie des informations d'identification que l'application cliente utilise pour vérifier l'entité communiquant via l'URL de notification. 
  • Mot de passe de notification
    Spécifie un mot de passe pour le service de notification. Le mot de passe fait partie des informations d'identification que l'application cliente utilise pour vérifier l'entité communiquant via l'URL de notification.  L'application cliente fournit ce type d'authentification afin de garantir l'envoi de la notification par un client valide.
  • Mot de passe de confirmation de notification
    Confirme la valeur Mot de passe de notification.
Canal arrière (fournisseur d'identités SAML 2.0)
casso127figsbrfr
La section Canal arrière permet de configurer la méthode d'authentification dans le canal arrière. Celui-ci permet différentes actions en fonction des critères suivants :
  • L'authentification unique de l'artefact HTTP est configurée.
  • La déconnexion unique à l'aide de la liaison SOAP est configurée.
  • Le système de fédération correspond au fournisseur d'identités ou au fournisseur de services.
  • La communication est effectuée via un canal entrant ou sortant.
La section Canal arrière contient les paramètres suivants :
  • Configuration entrante/Configuration sortante
    Configurez le canal arrière entrant ou sortant nécessaire aux liaisons sélectionnées. Le canal arrière contient une seule configuration. Si deux services utilisent le même canal, ils utiliseront également la même configuration de canal arrière. Par exemple, le canal entrant d'un fournisseur d'identités local prend en charge l'authentification unique de l'artefact HTTP et l'objectif de niveau de service via SOAP. Ces deux services doivent utiliser la même configuration de canal arrière.
  • Méthode d'authentification
    Permet de spécifier la méthode d'authentification qui protège le canal arrière.
    Valeur par défaut :
    Aucune authentification
    Options :
    Simple, Certificat de client, Aucune authentification
    De base
    Indique qu'un schéma d'authentification simple protège la communication via le canal arrière.
    Remarque :
    Si SSL est activé pour la connexion au canal arrière, vous pouvez sélectionner l'authentification simple.
    Si vous sélectionnez l'authentification simple, configurez les paramètres supplémentaires suivants :
    • Nom d'utilisateur du canal arrière
      (Authentification simple sur canal sortant uniquement) Ce paramètre spécifie le nom d'utilisateur du fournisseur de services lors de l'utilisation de l'authentification simple via le canal arrière. Saisissez le nom du partenariat configuré dans le fournisseur d'identités distant. Par exemple, dans le fournisseur d'identités distant, un partenariat appelé Partners1 est défini entre la CompanyA (fournisseur d'identités) et la CompanyB (fournisseur de services). Dans la CompanyB (fournisseur de services local), la valeur saisie est Partners1, afin d'associer ce nom d'utilisateur au partenariat associé au fournisseur d'identités.
    • Mot de passe
      Permet de spécifier le mot de passe du nom d'utilisateur du canal arrière. Ce mot de passe est pertinent uniquement lorsque vous utilisez la méthode d'authentification simple ou simple via SSL par le biais du canal arrière.
      Les deux partenaires conviennent de ce mot de passe.
    • Confirmer le mot de passe
      Permet de confirmer l'entrée de mot de passe.
    • Délai d'expiration du canal arrière (en secondes)
      (Canal sortant uniquement) Spécifie la durée maximum d'attente de réponse par le système suite à l'envoi d'une demande de canal arrière au service de résolution d'artefacts. Spécifiez un intervalle en secondes.
      Valeur par défaut :
      300 secondes
      Valeur :
      nombre entier positif
  • Certificat de client
    Indique qu'un schéma d'authentification de certificat de client X.509 protège la communication vers le service de résolution d'artefacts via le canal arrière.
    L'authentification de certificat de client requiert l'utilisation de SSL pour toutes les URL de terminal. Les URL de terminal recherchent les différents services SAML dans un serveur, tels que le service de résolution d'artefacts. La condition SSL indique que l'URL du service doit commencer par
    https://
    .
    Pour implémenter l'authentification de certificat de client, le fournisseur de services envoie un certificat à l'entité générant des assertions avant toute opération de transaction. L'entité générant des assertions stocke le certificat dans sa base de données. Les deux partenaires doivent disposer d'un certificat ayant activé la connexion SSL dans leurs bases de données respectives, sans quoi l'authentification de certificat de client ne fonctionnera pas.
    Lors du processus d'authentification, l'entité de confiance envoie son certificat à l'entité générant des assertions. Cette dernière compare le certificat reçu avec celui présent dans sa base de données, afin de vérifier qu'ils correspondent. En cas de correspondance, l'entité générant des assertions permet à l'entité de confiance d'accéder au service de résolution d'artefacts.
    Si vous sélectionnez l'authentification de certificat de client, configurez le paramètre supplémentaire suivant :
    • Alias de certificat de client
      Spécifie l'alias associé à un certificat de client dans la base de données de clés. Dans la liste déroulante, sélectionnez un alias.
    • Délai d'expiration du canal arrière (en secondes)
      Concerne le canal sortant uniquement. Spécifie la durée maximum d'attente de réponse par
      CA Single Sign-on
      suite à l'envoi d'une demande de canal arrière au service de résolution d'artefacts. Spécifiez un intervalle en secondes.
      Valeur par défaut :
      300 secondes
      Valeur :
      nombre entier positif
  • Aucune authentification
    Indique que l'entité de confiance n'est pas requise pour la fourniture d'informations d'identification. Le canal arrière et le service de résolution d'artefacts ne sont pas sécurisés. Il est toujours possible d'activer le SSL avec cette option. Le trafic de canal arrière est chiffré, mais aucune information d'identification n'est échangée entre des entités.
    Sélectionnez Aucune authentification à des fins d'analyse, mais non de production, sauf si votre système de fédération est configuré pour le basculement SSL et qu'il opère après un serveur proxy. Le serveur proxy gère l'authentification lorsqu'il dispose du certificat du serveur. Dans ce cas, tous les partenariats fournisseur d'identités -> fournisseur de services utilisent le type Aucune authentification.
Service d'attribut au niveau du fournisseur d'identités
Vous pouvez configurer un fournisseur d'identités pour qu'il puisse effectuer des opérations en tant qu'autorité d'attributs. L'autorité peut répondre à une requête d'attribut à partir d'un demandeur SAML. Le demandeur peut autoriser un utilisateur basé sur les attributs récupérés.
La section de service d'attribut contient les champs suivants pour la prise en charge des requêtes d'attributs :
  • Activer
    Permet au fournisseur d'identités d'effectuer des opérations en tant qu'autorité d'attributs. En tant qu'autorité d'attributs, le système peut répondre à un message de requête à partir d'un demandeur SAML.
  • Requête d'attribut signée requise
    Indique que l'autorité d'attributs requiert une requête d'attribut du demandeur SAML signée numériquement.
  • casso127figsbrfr
    Activer la requête utilisée comme proxy
    Indique qu'un fournisseur d'identités tiers répond à la requête d'attribut. La fonctionnalité de requête utilisée comme proxy est utile pour un déploiement dans lequel un tiers joue le rôle de fournisseur d'identités et d'autorité d'attributs. Le système de serveur de stratégies local que vous configurez présente deux rôles lors de l'implémentation d'une requête utilisée comme proxy. Le système agit comme un fournisseur de services et un demandeur d'attributs par rapport au fournisseur tiers d'identités. Le système local agit également comme un fournisseur d'identités et une autorité d'attributs pour le fournisseur de services possédant l'application demandée.
    Une requête utilisée comme proxy est envoyée dans les cas suivants :
    • L'attribut est introuvable dans l'annuaire d'utilisateurs ou le référentiel de sessions du système local.
    • L'utilisateur est initialement authentifié par le fournisseur tiers d'identités.
    Le serveur de stratégies interroge le fournisseur tiers d'identités. Si le fournisseur d'identités trouve l'attribut, il renvoie une réponse à la requête. Le serveur de stratégies ajoute les attributs de la réponse au référentiel de sessions. Le système renvoie alors la réponse avec les attributs au fournisseur de services qui possède l'application. Ce fournisseur de services est le demandeur d'attribut d'origine.
    Remarque :
    Les URL pour le service d'attribut du fournisseur d'identités sont configurées au niveau du partenariat de fournisseur de services.
  • Durée de validité en secondes
    Définit la durée de validité de l'assertion en secondes.
  • Options de signature
    Désigne les éléments requis pour la signature des assertions et des réponses d'attribut.
    • Signer l'assertion
      Indique à l'autorité d'attributs de signer uniquement l'assertion d'attribut. La réponse SAML n'est pas signée.
    • Signer la réponse
      Indique à l'autorité d'attributs de signer uniquement la réponse SAML.
    • Signer les deux
      Indique à l'autorité d'attributs de signer l'assertion d'attribut et la réponse SAML.
    • Ne rien signer
      Indique à l'autorité d'attributs de ne signer ni l'assertion d'attribut, ni la réponse SAML.
  • Recherche d'utilisateur
    Définit des critères de recherche pour les espaces de nom d'annuaire d'utilisateurs. L'autorité d'attributs utilise les critères de recherche pour localiser l'utilisateur localement. Pour pouvoir localiser l'utilisateur, les critères de recherche doivent inclure l'attribut NameID de l'objet de la requête d'attribut.
    Entrez des critères de recherche dans le champ pour le type d'espace de noms que vous utilisez.
    Remarque :
    Au moins un critère de recherche est requis.
Détection du fournisseur d'identités (fournisseur d'identités SAML 2.0)
La section Détection du fournisseur d'identités permet de configurer le profil de détection du fournisseur d'identités. Ce profil permet à l'entité de confiance de déterminer l'entité générant des assertions utilisée par un utilisateur principal.
Cette section contient les paramètres suivants :
  • Activer la détection de fournisseur d'identités
    Active ou désactive le profil de détection de fournisseur d'identités.
  • URL du service
    Indique l'URL du servlet du profil de détection de fournisseur d'identités au niveau de l'entité locale.
  • Domaine commun
    Spécifie le domaine du cookie de domaine commun dans lequel le service de détection de fournisseurs d'identités stocke les informations sur l'entité générant des assertions. Il doit s'agir d'un domaine parent de l'hôte dans l'URL de service.
    Valeur :
    un domaine de cookie valide
  • Activer le cookie persistant
    Indique que le cookie doit être persistant.
URL de redirection selon le statut (fournisseur d'identités SAML 2.0)
La section URL de redirection selon le statut permet de déterminer la méthode de redirection d'un utilisateur utilisée par le navigateur dans le cas où une erreur HTTP 500, 400 ou 405 se produit.
Sélectionnez les options de redirection que vous voulez activer, puis saisissez une URL associée.
Les options sont :
  • Activer la redirection d'erreur de serveur
    URL de redirection d'erreur de serveur
    : spécifie l'URL vers laquelle le navigateur doit rediriger l'utilisateur en cas d'erreur de serveur HTTP 500. L'erreur 500 peut se produire lorsqu'une condition inattendue empêche le serveur Web de répondre à la demande cliente. Si c'est le cas, l'utilisateur sera envoyé vers l'URL spécifiée pour un traitement approfondi.
    Exemple
    : http://www.redirectmachine.com/error_pages/server_error.html
  • Activer la redirection de demande non valide
    URL de redirection de demande non valide
    : spécifie l'URL vers laquelle le navigateur doit rediriger l'utilisateur en cas d'erreur HTTP 400 Demande incorrecte ou 405 Méthode non autorisée. Un utilisateur peut obtenir une erreur 400 si une demande est mal formulée ou une erreur 405 si le serveur Web ne prend pas en charge une méthode ou une action. Si ce type d'erreur se produit, l'utilisateur est renvoyé vers l'URL spécifiée pour un traitement approfondi.
    Exemple : http://www.redirectmachine.com/error_pages/invalidreq_error.html
  • Activer la redirection d'accès non autorisé
    URL de redirection d'accès non autorisé :
    spécifie l'URL vers laquelle l'utilisateur est redirigé en cas d'erreur HTTP 403 Demande interdite. Cette erreur se produit lorsque l'utilisateur n'est pas autorisé à lancer une transaction fédérée. L'erreur 403 peut également se produire lorsque l'URL d'une demande pointe vers une cible incorrecte, par exemple un répertoire au lieu d'un fichier.
    Exemple
    : http://www.redirectmachine.com/error_pages/unauthorized_error.htm
  • 302 Aucune donnée (valeur par défaut)
    Permet de rediriger l'utilisateur à l'aide d'une redirection HTTP 302 contenant un cookie de session, mais aucune autre donnée.
  • HTTP POST
    Permet de rediriger l'utilisateur à l'aide d'un protocole HTTP POST.