Boîte de dialogue Authentification unique et SLO (fournisseur de services SAML 2.0)

casso127figsbrfr
HID_partnerships-SSO-relying
Sommaire
L'étape Authentification unique et SLO permet de configurer l'authentification unique et la déconnexion unique.
Remarque
: Pour afficher les paramètres de déconnexion unique, activez le serveur de session dans la console de gestion de serveur de stratégies.
Authentification unique (fournisseur de services SAML 2.0)
La section Authentification unique permet de configurer les informations d'authentification unique. Les paramètres sont les suivants :
Liaison de demande d'authentification
Spécifie les types de liaisons que le fournisseur de services utilise lors de l'envoi d'une demande d'authentification au fournisseur d'identités.
Options :
HTTP-Redirect, HTTP-POST
Profil d'authentification unique
Détermine le profil d'authentification unique utilisé par le système de fédération pour les demandes de traitement. Vous pouvez sélectionner toutes les liaisons ; l'entité locale détermine la séquence dans laquelle les liaisons sont testées.
Options
: Artefact HTTP, HTTP POST, proxy ou client amélioré
Si les entités dans le partenariat communiquent indirectement via un client amélioré, sélectionnez le profil ECP. Un client amélioré peut être un navigateur ou un autre agent utilisateur, ou un proxy amélioré, par exemple un proxy sans fil pour une unité sans fil.
Audience
Spécifie l'audience pour l'assertion SAML.
L'audience est l'URL d'un document qui décrit les termes et conditions de l'accord commercial entre deux partenaires fédérés. L'administrateur au niveau de l'entité générant des assertions détermine l'audience. La valeur saisie doit correspondre à la valeur d'audience spécifiée pour l'entité générant des assertions.
Valeur :
une URL
La valeur de l'audience doit compter 1 024 caractères maximum. De même, la casse doit être respectée.
Exemple :
http://www.ca.com/fedserver
Transactions permises
Indique le partenaire autorisé à initialiser l'authentification unique. Le contrôle du partenaire initialisant l'authentification unique permet de gérer les appels de fédération. Par exemple, vous pouvez sélectionner Initialisation du fournisseur de services uniquement. Dans ce cas, un fournisseur de services peut initialiser une transaction fédérée uniquement lorsqu'elle requiert un contexte d'authentification spécifique.
Consentement de l'utilisateur requis
Indique que le fournisseur de services requiert que le fournisseur d'identités sollicite auprès de l'utilisateur l'autorisation de partager ses informations d'identité. Pour confirmer le consentement, le fournisseur de services compare la valeur du consentement de l'utilisateur dans l'assertion reçue à l'une des valeurs de consentement suivantes :
  • urn:oasis:names:tc:SAML:2,0:consent:obtained
    Le fournisseur d'identités a reçu le consentement de l'utilisateur.
  • urn:oasis:names:tc:SAML:2,0:consent:prior
    Le fournisseur d'identités a reçu le consentement de l'utilisateur avant l'exécution de la transaction d'authentification unique.
  • urn:oasis:names:tc:SAML:2,0:consent:current-implicit
    Le fournisseur d'identités a reçu le consentement implicite lors de la transaction d'authentification unique. Ce consentement intervient souvent dans le cadre d'une activité impliquant le consentement. Le consentement implicite est généralement plus proche dans le temps de la transaction que le consentement préalable.
  • urn:oasis:names:tc:SAML:2,0:consent:current-explicit
    Le fournisseur d'identités a reçu le consentement pendant l'action qui a initialisé la transaction d'authentification unique.
Niveau de protection
Permet une authentification unique pour des schémas d'authentification de niveaux de protection équivalents ou inférieurs au sein du même domaine de stratégie. Le niveau de protection requiert également une authentification supplémentaire pour accéder aux ressources disposant de schémas de niveau de protection supérieurs.
Valeur :
entre 1 et 1000
Les schémas d'authentification disposent d'un niveau de protection par défaut que vous pouvez modifier. Utilisez des niveaux de protection élevés pour des ressources critiques et des schémas de niveau inférieur pour des ressources communément accessibles.
Appliquer l'assertion d'utilisation unique
Empêche les assertions SAML 2.0 d'être réutilisées au niveau d'un fournisseur de services pour établir une deuxième session.
Activer l'audit synchrone
Indique que les actions du serveur de stratégies et de l'agent Web doivent être journalisées avant d'autoriser les utilisateurs à accéder aux ressources. Le serveur de stratégies ne permettra pas l'accès aux ressources du domaine tant que les activités ne sont pas enregistrées dans les journaux d'audit
.
Utiliser une session persistante
(Facultatif) Spécifie que les sessions d'utilisateur sont suivies et enregistrées dans le référentiel de sessions et dans des cookies. Le serveur de stratégies peut accéder à ces informations et les utiliser dans les décisions d'authentification. Pour afficher cette case à cocher, activez le serveur de session dans la console de gestion de serveur de stratégies.
Pour activer les sessions persistantes, sélectionnez cette case à cocher. Cela est requis pour les fonctionnalités de déconnexion groupée et de stratégies d'utilisation unique.
Période de validation
Détermine la période maximum entre chaque appel d'agent au serveur de stratégies pour valider une session. Les appels de validation de session informent le serveur de stratégies qu'un utilisateur est encore actif et confirment la validité de la session d'utilisateur.
Pour spécifier la période de validation, saisissez des valeurs dans les champs Heures, Minutes et Secondes. Pour fournir un contexte de sécurité d'utilisateur Windows, définissez une valeur élevée, par exemple, 15 ou 30 minutes. De même, si des sessions actives sont inférieures à la valeur maximum du cache de la session d'utilisateur de l'agent, celui-ci ne devra pas revalider la session auprès du serveur de session.
Important :
La période de validation de la session doit être inférieure à la valeur du délai d'inactivité spécifiée.
Envoyer l'URL d'ACS dans la demande d’authentification
Sélectionnez cette case à cocher pour inclure l’URL de service de consommateur d’assertions dans la demande d’authentification envoyée au fournisseur d’identités. Cette URL indique au fournisseur d’identités l'emplacement d'envoi de la réponse d’assertion.
URL du service d'authentification unique distant
Répertorie les URL des services d'authentification unique au niveau de l'entité générant des assertions. Chaque entrée de la table spécifie l'emplacement vers lequel le service AuthnRequest peut rediriger un message AuthnRequest. Pour ajouter d'autres entrées à la table, cliquez sur Ajouter une ligne. Toute valeur définie pendant la création ou l'importation de l'entité de confiance distante figurera dans cette table.
La table inclut les colonnes suivantes :
    • Sélectionner
      Indique l'entrée à utiliser.
    • Liaison
      Spécifie la liaison prise en charge au niveau de l'entité générant des assertions.
      Options :
      Redirection HTTP, HTTP-POST, SOAP
    • URL
      Spécifie le service d'authentification unique au niveau de l'entité générant des assertions.
      Valeur :
      URL du service d'authentification unique au niveau de l'entité générant des assertions distante
    • Supprimer
      Pour supprimer l'entrée, sélectionnez cette icône.
URL de résolution d'artefact SOAP distante
Répertorie les URL du service de résolution d'artefacts au niveau de l'entité générant des assertions. Ce service récupère l'assertion basée sur l'artefact envoyé par l'entité de confiance. Une entrée dans cette table est requise pour l'authentification unique d'artefact. Toute valeur définie pendant la création ou l'importation de l'entité de confiance distante figurera dans cette table.
La table inclut les colonnes suivantes :
    • Sélectionner
      Indique à
      CA Single Sign-on
      l'entrée à utiliser.
    • Index
      Associe une valeur d'index à l'URL spécifique du service de résolution d'artefacts. La valeur zéro indique l'entrée par défaut.
      Valeur par défaut :
      0
      Limites :
      entre 0 et 65535
    • URL
      URL du service de résolution d'artefacts
      Si le fournisseur d'identités distant utilise
      CA Single Sign-on
      , utilisez l'URL suivante :
      http://
      hôte_fournisseur_identités:port
      /affwebservices/public/saml2ars
    • Supprimer
      Pour supprimer l'entrée, sélectionnez cette icône.
Gestion des services d'ID de nom
Cette section décrit les champs permettant de configurer le service Gérer les ID de nom.
  • Liaison MNI : SOAP
    Permet d'activer le service Gérer les ID de nom. SOAP est la seule liaison prise en charge.
  • Chiffrer l'ID de nom
    Permet de chiffrer l'ID de nom.
  • ID de nom chiffré requis
    Requiert un ID de nom chiffré dans les messages reçus.
  • Signer la requête
    Permet de signer le message de demande ManageNameID.
  • Demande signée requise
    Requiert un message de demande ManageNameID signé.
  • Signer la réponse
    Permet de signer le message de réponse ManageNameId.
  • Réponse signée requise
    Requiert un message de réponse ManageNameID signé.
  • Supprimer l'ID de nom
    Efface l'attribut d'annuaire d'utilisateurs qui contient l'ID de nom de l'utilisateur pour ce partenariat. Vous pouvez sélectionner Supprimer l'ID de nom ou Autoriser les notifications pour activer cette fonctionnalité.
  • Délai d'expiration SOAP (en secondes)
    Spécifie le délai d'attente en minutes jusqu'à l'expiration de la demande.
    Valeur par défaut :
    60
  • Nombre de tentatives
    Spécifie le nombre de tentatives de la demande.
    Valeur par défaut :
    3
  • Délai des nouvelles tentatives (en minutes)
    Spécifie le délai d'attente en minutes avant d'effectuer une nouvelle tentative après l'échec du message.
    Valeur par défaut :
    15
  • (Facultatif) Activation de la notification
    Indique à l'entité de fédération
    Single Sign-On
    d'avertir l'application cliente lorsqu'un utilisateur est arrêté. Une notification indique le service ID de nom en arrière-plan lorsqu'un arrêt ID de nom réussit. Activez les notifications si le client qui possède l'application demandée souhaite contrôler la suppression d'un utilisateur à partir de l'annuaire d'utilisateurs. 
  • URL de notification 
    Spécifie l'URL du fournisseur d'identités ou fournisseur de services distant que l'entité fédérée locale utilise pour envoyer la notification indiquant que l'ID de nom d'un utilisateur fédéré est arrêtée.
  • Délai de notification (en secondes)
    Indique la durée (en secondes) d'expiration de la demande de notification.
  • Type d'authentification de notification
    Indique si le client requiert ou non la saisie d'informations d'identification lors de l'envoi d'un arrêt. Si vous sélectionnez l'option De base, le service de notification effectue un appel en arrière-plan via l'URL de notification. L'application cliente peut authentifier que la fédération
    Single Sign-On
    est autorisée à réaliser cet appel. Si vous sélectionnez l'option De base, entrez une valeur pour les paramètres Nom d'utilisateur de notification et Mot de passe de notification. Ces valeurs servent d'informations d'identification lorsqu'un appel est envoyé via le canal de notification.
    Options
     : Aucune authentification, De base
  • Nom d'utilisateur de notification
    Spécifie le nom d'utilisateur pour le service de notification. Ce nom fait partie des informations d'identification que l'application cliente utilise pour vérifier l'entité communiquant via l'URL de notification. 
  • Mot de passe de notification
    Spécifie un mot de passe pour le service de notification. Le mot de passe fait partie des informations d'identification que l'application cliente utilise pour vérifier l'entité communiquant via l'URL de notification.  L'application cliente fournit ce type d'authentification afin de garantir l'envoi de la notification par un client valide.
  • Mot de passe de confirmation de notification
    Confirme la valeur Mot de passe de notification.
Service de demandeur d'attributs au niveau du fournisseur de services
Dans la section du service de demandeur d'attributs, configurez les attributs que le demandeur d'attributs souhaite récupérer d'une autorité d'attributs. Ces attributs sont inclus dans la requête d'attribut envoyée à l'autorité d'attributs.
Cette section contient les paramètres suivants :
  • Activer
    Permet au demandeur de générer des requêtes d'attribut.
  • Assertion signée requise
    Indique que le demandeur d'attribut accepte uniquement les assertions d'attribut signées par l'autorité d'attributs. L'assertion est rejetée si elle n'est pas signée.
  • casso127figsbrfr
    Activer la requête utilisée comme proxy
    Indique qu'un fournisseur d'identités tiers répond à la requête d'attribut. La fonctionnalité de requête utilisée comme proxy est utile pour un déploiement dans lequel un tiers joue le rôle de fournisseur d'identités et d'autorité d'attributs. Le système de serveur de stratégies local que vous configurez présente deux rôles lors de l'implémentation d'une requête utilisée comme proxy. Le système agit comme un fournisseur de services et un demandeur d'attributs par rapport au fournisseur tiers d'identités. Le système local agit également comme un fournisseur d'identités et une autorité d'attributs pour le fournisseur de services possédant l'application demandée.
    Une requête utilisée comme proxy est envoyée dans les cas suivants :
    • L'attribut est introuvable dans l'annuaire d'utilisateurs ou le référentiel de sessions du système local.
    • L'utilisateur est initialement authentifié par le fournisseur tiers d'identités.
    Le serveur de stratégies interroge le fournisseur tiers d'identités. Si le fournisseur d'identités trouve l'attribut, il renvoie une réponse à la requête. Le serveur de stratégies ajoute les attributs de la réponse au référentiel de sessions. Le système renvoie alors la réponse avec les attributs au fournisseur de services qui possède l'application. Ce fournisseur de services est le demandeur d'attribut d'origine.
  • Signer la requête d'attribut
    Indique au demandeur d'attribut de signer la requête d'attribut avant de l'envoyer à l'autorité d'attributs.
  • Réponse signée requise
    Indique au demandeur d'attribut d'accepter uniquement les réponses signées.
  • Services d'attribut
    Répertorie les URL du service d'attribut pour chaque autorité d'attribut.
    Pour indiquer l'autorité d'attributs qui répond à des requêtes provenant du demandeur, sélectionnez le bouton radio associé.
Service de demandeur d'attributs au niveau du fournisseur de services
Pour inclure la valeur correcte dans la requête d'attribut que le demandeur d'attribut envoie à l'autorité d'attributs, configurez la section ID de nom.
Remarque :
Cette section est uniquement configurable si la fonctionnalité Requête d'attribut est activée.
Les champs sont les suivants :
  • Format d'ID de nom
    Définit le format de l'ID de nom. Cette valeur doit correspondre au format de l'ID de nom attendu dans l'autorité d'attributs ou un échec de la demande se produit.
  • Type d'ID de nom
    Définit le type d'attribut utilisé pour l'ID de nom.
    • Statique
      Indique que l'ID de nom est une valeur statique du champ Valeur.
    • Attribut d'utilisateur
      Indique que l'ID de nom est un attribut d'utilisateur provenant d'un référentiel d'utilisateurs. L'attribut d'utilisateur est spécifié dans le champ Valeur.
    • Attribut de session
      Indique que l'ID de nom est l'attribut de référentiel de sessions spécifié dans le champ Valeur.
    • Attribut de nom unique
      Indique que l'ID de nom est un attribut associé à un nom unique. Remplissez les champs Valeur et Critère de nom unique.
    • Valeur
      Définit la valeur de l'ID de nom. Les entrées valides dans ce champ dépendent de la sélection Type d'ID de nom.
      • Statique : entrez la valeur de texte statique.
      • Attribut d'utilisateur : entrez le nom d'un attribut utilisateur provenant d'un référentiel d'utilisateurs.
      • Attribut de session : entrez le nom d'un attribut de session provenant du référentiel de sessions du serveur de stratégies.
      • Attribut de nom unique : entrez le nom de l'attribut d'utilisateur associé à un nom unique de groupe ou d'unité organisationnelle. Spécifiez également le critère de nom unique.
    • Critère de nom unique
      Spécifie le nom unique de groupe ou d'unité organisationnelle que le système utilise pour obtenir l'attribut de nom unique approprié.
Déconnexion groupée (fournisseur de services SAML 2.0)
La section Déconnexion unique permet de configurer la déconnexion unique (SLO).
Si vous voulez utiliser la déconnexion unique, activez la case à cocher Utiliser une session persistante dans la section Authentification unique de cette boîte de dialogue.
Cette section contient les paramètres suivants :
  • Liaison de SLO
    Indique si le profil de déconnexion unique est activé au niveau de l'entité générant des assertions et le type de liaison en cours d'utilisation. La liaison de redirection HTTP envoie des messages de déconnexion groupée à l'aide de requêtes HTTP GET. La liaison SOAP ne repose pas sur l'HTTP après la demande initiale et envoie des messages via un canal arrière.
    Options :
    Redirection HTTP, HTTP-POST, SOAP
  • URL de confirmation de SLO
    Spécifie l'URL vers laquelle l'utilisateur est redirigé à l'issue du processus de déconnexion unique. Généralement, ce site initialise la déconnexion groupée. L'URL de confirmation de SLO doit être accessible sur votre site. Le système de fédération utilise cette URL lorsque la déconnexion groupée est initialisée sur votre site.
    Cette valeur doit être une ressource locale et non une ressource d'un domaine du partenaire fédéré. Par exemple, si le domaine local est acme.com et que votre partenaire est example.com, l'URL de confirmation de SLO doit figurer dans acme.com.
    Saisissez un nombre valide.
  • Durée de validité de SLO (en secondes)
    Indique la durée en secondes pendant laquelle une demande de déconnexion unique est valide.
    Valeur par défaut :
    60
    secondes
    Options :
    un nombre entier positif
  • Remplacement de l'URL de confirmation de SLO par l'état du relais (redirection HTTP uniquement)
    Remplace la valeur de l'URL de confirmation de SLO par la valeur du paramètre de requête d'état du relais inclus dans la demande de déconnexion groupée.
    Cette option permet de contrôler davantage la cible de confirmation de déconnexion unique. Le paramètre de requête d'état du relais permet de définir de façon dynamique l'URL de confirmation pour les demandes de déconnexion unique.
  • Réutiliser l'index de session
    Indique si 
    CA Single Sign-on
    envoie le même index de session dans l'assertion pour le même partenaire dans une session de navigateur unique. Un utilisateur peut être fédéré plusieurs fois avec le même partenaire à l'aide de la même fenêtre de navigateur. Lorsque vous sélectionnez cette option, vous indiquez au fournisseur d'identités d'envoyer le même index de session dans chaque assertion. Si vous la désactivez,
    CA Single Sign-on
    génère un nouvel index de session à chaque nouvelle authentification unique. 
    Vous pouvez activer cette option pour vous assurer que la déconnexion unique avec des partenaires tiers qui ne respectent pas l'index de session est transférée dans des assertions plus récentes.
    Remarque :
    Ce paramètre s'applique uniquement si la déconnexion unique est activée.
  • URL de service de SLO
    Répertorie les URL de service de SLO disponibles. La table inclut les entrées suivantes :
    • Sélectionner
      Indique que cette valeur est l'entrée de l'URL de service de SLO.
    • Liaison
      Indique la liaison de la connexion SLO.
      Options :
      Redirection HTTP, HTTP-POST, SOAP
    • URL d'emplacement
      Spécifie l'URL du service de déconnexion groupée au niveau du partenaire distant. Correspond à l'URL vers laquelle la demande de déconnexion groupée est envoyée.
      Options : u
      ne URL valide
      Si votre système de fédération est utilisé au niveau du fournisseur d'identités distant, utilisez les URL suivantes :
      Liaison de redirection HTTP
      http://
      hôte_fournisseur_identités:port/
      affwebservices/public/saml2slo
      Liaison HTTP-POST
      :
      http://
      hôte_fournisseur_identités:port/
      affwebservices/public/saml2slo
      Liaison SOAP
      http://
      hôte_fournisseur_identités:port
      /affwebservices/public/saml2slosoap
      Si un produit de fédération tiers est placé au niveau du fournisseur d'identités, utilisez l'URL appropriée pour ce produit.
    • URL d'emplacement de réponse
      (Facultatif) Spécifie l'URL du service de déconnexion groupée pour une entité. L'URL d'emplacement de réponse est utilisée dans une configuration comprenant un service pour les demandes de déconnexion unique et un autre pour les réponses de déconnexion unique. Par défaut, si seule l'option URL d'emplacement est renseignée, elle sera utilisée pour la demande et la réponse.
      Saisissez un nombre valide.
Canal arrière (fournisseur de services SAML 2.0)
casso127figsbrfr
La section Canal arrière permet de configurer la méthode d'authentification dans le canal arrière. Celui-ci permet différentes actions en fonction des critères suivants :
  • L'authentification unique de l'artefact HTTP est configurée.
  • La déconnexion unique à l'aide de la liaison SOAP est configurée.
  • Le système de fédération correspond au fournisseur d'identités ou au fournisseur de services.
  • La communication est effectuée via un canal entrant ou sortant.
La section Canal arrière contient les paramètres suivants :
  • Configuration entrante/Configuration sortante
    Configurez le canal arrière entrant ou sortant nécessaire aux liaisons sélectionnées. Le canal arrière contient une seule configuration. Si deux services utilisent le même canal, ils utiliseront également la même configuration de canal arrière. Par exemple, le canal entrant d'un fournisseur d'identités local prend en charge l'authentification unique de l'artefact HTTP et l'objectif de niveau de service via SOAP. Ces deux services doivent utiliser la même configuration de canal arrière.
  • Méthode d'authentification
    Permet de spécifier la méthode d'authentification qui protège le canal arrière.
    Valeur par défaut :
    Aucune authentification
    Options :
    Simple, Certificat de client, Aucune authentification
    De base
    Indique qu'un schéma d'authentification simple protège la communication via le canal arrière.
    Remarque :
    Si SSL est activé pour la connexion au canal arrière, vous pouvez sélectionner l'authentification simple.
    Si vous sélectionnez l'authentification simple, configurez les paramètres supplémentaires suivants :
    • Nom d'utilisateur du canal arrière
      (Authentification simple sur canal sortant uniquement) Ce paramètre spécifie le nom d'utilisateur du fournisseur de services lors de l'utilisation de l'authentification simple via le canal arrière. Saisissez le nom du partenariat configuré dans le fournisseur d'identités distant. Par exemple, dans le fournisseur d'identités distant, un partenariat appelé Partners1 est défini entre la CompanyA (fournisseur d'identités) et la CompanyB (fournisseur de services). Dans la CompanyB (fournisseur de services local), la valeur saisie est Partners1, afin d'associer ce nom d'utilisateur au partenariat associé au fournisseur d'identités.
    • Mot de passe
      Permet de spécifier le mot de passe du nom d'utilisateur du canal arrière. Ce mot de passe est pertinent uniquement lorsque vous utilisez la méthode d'authentification simple ou simple via SSL par le biais du canal arrière.
      Les deux partenaires conviennent de ce mot de passe.
    • Confirmer le mot de passe
      Permet de confirmer l'entrée de mot de passe.
    • Délai d'expiration du canal arrière (en secondes)
      (Canal sortant uniquement) Spécifie la durée maximum d'attente de réponse par le système suite à l'envoi d'une demande de canal arrière au service de résolution d'artefacts. Spécifiez un intervalle en secondes.
      Valeur par défaut :
      300 secondes
      Valeur :
      nombre entier positif
  • Certificat de client
    Indique qu'un schéma d'authentification de certificat de client X.509 protège la communication vers le service de résolution d'artefacts via le canal arrière.
    L'authentification de certificat de client requiert l'utilisation de SSL pour toutes les URL de terminal. Les URL de terminal recherchent les différents services SAML dans un serveur, tels que le service de résolution d'artefacts. La condition SSL indique que l'URL du service doit commencer par
    https://
    .
    Pour implémenter l'authentification de certificat de client, le fournisseur de services envoie un certificat à l'entité générant des assertions avant toute opération de transaction. L'entité générant des assertions stocke le certificat dans sa base de données. Les deux partenaires doivent disposer d'un certificat ayant activé la connexion SSL dans leurs bases de données respectives, sans quoi l'authentification de certificat de client ne fonctionnera pas.
    Lors du processus d'authentification, l'entité de confiance envoie son certificat à l'entité générant des assertions. Cette dernière compare le certificat reçu avec celui présent dans sa base de données, afin de vérifier qu'ils correspondent. En cas de correspondance, l'entité générant des assertions permet à l'entité de confiance d'accéder au service de résolution d'artefacts.
    Si vous sélectionnez l'authentification de certificat de client, configurez le paramètre supplémentaire suivant :
    • Alias de certificat de client
      Spécifie l'alias associé à un certificat de client dans la base de données de clés. Dans la liste déroulante, sélectionnez un alias.
    • Délai d'expiration du canal arrière (en secondes)
      Concerne le canal sortant uniquement. Spécifie la durée maximum d'attente de réponse par
      CA Single Sign-on
      suite à l'envoi d'une demande de canal arrière au service de résolution d'artefacts. Spécifiez un intervalle en secondes.
      Valeur par défaut :
      300 secondes
      Valeur :
      nombre entier positif
  • Aucune authentification
    Indique que l'entité de confiance n'est pas requise pour la fourniture d'informations d'identification. Le canal arrière et le service de résolution d'artefacts ne sont pas sécurisés. Il est toujours possible d'activer le SSL avec cette option. Le trafic de canal arrière est chiffré, mais aucune information d'identification n'est échangée entre des entités.
    Sélectionnez Aucune authentification à des fins d'analyse, mais non de production, sauf si votre système de fédération est configuré pour le basculement SSL et qu'il opère après un serveur proxy. Le serveur proxy gère l'authentification lorsqu'il dispose du certificat du serveur. Dans ce cas, tous les partenariats fournisseur d'identités -> fournisseur de services utilisent le type Aucune authentification.