Boîte de dialogue Fournisseur d'autorisation
L'étape Fournisseur d'autorisation (fournisseur) vous permet de créer un modèle de configuration de fournisseur qui peut être associé à des clients lors de l'enregistrement. Vous pouvez réutiliser un modèle dans plusieurs enregistrements de client.
casso127figsbrfr
HID_authz-provider
L'étape Fournisseur d'autorisation (fournisseur) vous permet de créer un modèle de configuration de fournisseur qui peut être associé à des clients lors de l'enregistrement. Vous pouvez réutiliser un modèle dans plusieurs enregistrements de client.
Cette boîte de dialogue contient les paramètres suivants :
Nom du fournisseur
Définit un nom unique pour le fournisseur.
Description
Définit une brève description pour le fournisseur.
Authentification et autorisation
Cette section définit la manière dont une demande est authentifiée et autorisée.
Annuaires d'utilisateurs
Spécifie la liste des annuaires d'utilisateurs que
Single Sign-On
utilise pour l'autorisation et l'extraction des informations de revendications.Dans le volet Annuaires disponibles, sélectionnez un ou plusieurs annuaires et cliquez sur la flèche pour déplacer vos choix vers le volet Annuaires sélectionnés. Utilisez les flèches haut et bas pour ajuster l'ordre des annuaires. Le serveur d'autorisation effectue les recherches dans les annuaires d'utilisateurs selon l'ordre spécifié dans le volet Annuaires sélectionnés.
Critères de recherche
Définit la chaîne de recherche utilisée pour rechercher l'utilisateur dans un annuaire d'utilisateurs. Utilisez ce champ uniquement pour les annuaires d'utilisateurs avec l'espace de noms ODBC.
Exemple :
ODBC : name=%sSi vous utilisez LDAP ou Active Directory, il n'est pas nécessaire de spécifier la chaîne de recherche.
URL de base du serveur d'autorisation
Définit l'emplacement de base du serveur d'autorisation sur lequel
CA Access Gateway
est installé. Lors de l'exportation de votre configuration, l'URL de base active le serveur de stratégies pour générer des URL relatives. URL d'authentification
Définit l'URL que le serveur d'autorisation doit utiliser pour l'authentification.
Utiliser une URL d'authentification sécurisée
Indique au service d'authentification unique qu'il doit chiffrer uniquement le paramètre de requête SMPORTALURL. Un paramètre SMPORTALURL chiffré empêche un utilisateur malveillant de modifier la valeur et de rediriger des utilisateurs authentifiés vers un site Web malveillant. Le paramètre SMPORTALURL est ajouté à l'URL d'authentification avant la redirection de l'utilisateur par le navigateur dans le cadre de l'ouverture d'une session. Une fois l'utilisateur authentifié, le navigateur dirige à nouveau l'utilisateur vers la destination spécifiée dans le paramètre de requête SMPORTALURL.
Si vous sélectionnez cette option, effectuez les étapes suivantes :
- Définissez le champURL d'authentificationsur l'URL suivante :https://idp_server:port/affwebservices/secure/secureredirect
- Protégez le service Web secureredirect à l'aide d'une stratégie.
Pour associer le service secureredirect à différents domaines, modifiez le fichier web.xml et créez des mappages de ressources différents. Ne copiez pas le service Web secureredirect dans différents emplacements de votre serveur. Recherchez le fichier web.xml sous
répertoire_installation_passerelle_accès
/affwebservices/WEB-INF, où répertoire_installation_passerelle_accès
est l'emplacement d'installation de l'agent Web.Délai d'expiration du code d'autorisation
Définit la période durant laquelle le code d'autorisation est valide dans
Single Sign-On
.Signature et chiffrement
Cette section définit la manière dont les jetons sont signés et chiffrés.
Alias de certificat de signature
Spécifie l'alias associé à une clé privée figurant dans le référentiel de données de certificat utilisé pour la signature du jeton d'ID.
Algorithme de signature
Spécifie l'algorithme de hachage qui doit être utilisé dans la signature numérique du jeton d'ID et de la réponse userinfo.
Signer le jeton d'ID
Spécifie que le jeton d'ID est signé. Il s'agit d'un champ en lecture seule.
Signer les informations sur l'utilisateur
Spécifie si la réponse info de l'utilisateur doit être signée.
Alias de certificat de chiffrement
Identifie un alias pour le certificat utilisé pour le chiffrement du jeton. La clé privée correspondante au niveau de l'entité de confiance déchiffre les données.
ID de clé de chiffrement
Définit une valeur qui est utilisée en tant qu'en-tête enfant lors du chiffrement du jeton JWT. Ce champ est obligatoire si l'option Chiffrer le jeton d'ID ou Chiffrer les informations sur l'utilisateur est sélectionnée.
Algorithme de chiffrement et Méthode de chiffrement
Spécifie l'algorithme JWE et la méthode à utiliser pour le chiffrement du jeton d'ID et la réponse userInfo.
Chiffrer le jeton d'ID
Spécifie si le jeton d'ID doit être chiffré.
Chiffrer les informations sur l'utilisateur
Spécifie si la réponse info de l'utilisateur doit être chiffrée.
Mappages
Cette section définit la façon dont les revendications et les étendues sont mappées.
Mappage de revendications
Définit le mappage des revendications avec l'attribut d'annuaire d'utilisateurs.
Nom de revendication
Définit le nom de la revendication. Vous pouvez ajouter plusieurs revendications sensibles à la casse portant le même nom, pour autant que les noms de colonne soient différents.
Attribut d'utilisateur
Définit l'attribut utilisateur qui correspond au nom de revendication entré dans un annuaire d'utilisateurs défini.
Ajouter
Ajoute le nom de revendication et l'attribut utilisateur spécifiés à la table Revendications.
Mappage d'étendues
Définit le mappage d'étendue vers les réclamations qui doivent être renvoyées au niveau du terminal de jeton d'ID et d'informations sur l'utilisateur.
Nom de la portée
Définit un nom d'étendue.
Nom de revendication
Définit un nom de revendication à partir des revendications définies. Vous pouvez ajouter plusieurs revendications séparées par des virgules.
Ajouter
Ajoute le nom de portée et de revendication spécifié à la table Etendues.
Créer
Enregistre les informations spécifiées et crée le fournisseur.
Annuler
Annule l'opération et permet d'accéder à la liste des fournisseurs d'autorisation.