Entité de producteur distante SAML 1.1
casso1283
HID_remote-saml1-producer-entity
Configuration de l'entité de producteur distante SAML 1.1
La section Configure Remote SAML 1.1 Producer Entity (configurer l'entité de producteur distante SAML 1.1) permet d'identifier l'entité. Les paramètres sont les suivants :
- casso1283ID de l'entitéPermet d'identifier l'entité de fédération d'un partenaire. L'ID d'entité est un identificateur universel, tel qu'un nom de domaine. Si l'ID d'entité représente unpartenaire distant, cette valeur doit être unique. S'il représente unpartenaire local, vous pouvez le réutiliser dans le même système. Par exemple, si l'ID d'entité représente une entité générant des assertions locale, vous pouvez utiliser ce même ID dans plusieurs partenariats.Un ID d'entité qui représente un partenaire distant peut uniquement appartenir à un partenariat actif unique.Valeur :URI (URL recommandée)Suivez les instructions suivantes :
- L'ID d'entité doit être un URI, mais une URL absolue est recommandée.
- Si l'ID d'entité est une URL :
- La partie hôte de l'URL doit être un nom appartenant au domaine DNS principal de l'organisation.
- L'URL ne doit pas contenir de numéro de port, de chaîne de requête ou d'identificateur de fragment.
- N'utilisez pas d'esperluette (&) dans l'ID d'entité, car ce caractère est reconnu comme un paramètre de requête distinct.
- Ne spécifiez pas un URN.
- L'ID d'entité pour un partenaire distant doit être unique afin d'éviter les conflits de nom au sein de la fédération.
Exemples d'ID d'entité validesExemples d'ID d'entité non valides :- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto(Cette URL peut fonctionner, mais il est déconseillé d'utiliser cette syntaxe.)
Nom d'entitéNomme l'objet d'entité dans le référentiel de stratégies. Le nom d'entité doit être une valeur unique.SiteMinderutilise le nom de l'entité en interne pour distinguer une entité à un emplacement spécifique. Cette valeur n'est pas utilisée en externe et le partenaire distant ne tient pas compte de cette valeur.Remarque :Le nom de l'entité peut avoir la même valeur que l'ID de l'entité, mais cette valeur ne sera pas partagée avec aucune autre entité sur ce site.Valeur :une chaîne alphanumériqueExemple: Partner1DescriptionPermet de spécifier des informations supplémentaires pour décrire l'entité.Valeur :chaîne alphanumérique de 1 024 caractères maximumID de source(Artefact HTTP SAML 1.1 uniquement) Spécifie un ID unique dans l'artefact SAML qui identifie le producteur. Le consommateur utilise cet ID pour identifier un émetteur d'assertion.La spécification SAML définit un ID source comme un nombre binaire, hexadécimal de 20 octets qui identifie le producteur. La valeur ID source spécifiée doit correspondre à la représentation hexadécimale de 40 octets de cette valeur.Il est recommandé de spécifier le hachage SHA1 de l'ID d'entité comme valeur d'ID source. Si vous ne saisissez pas de valeur pour ce paramètre, le produit utilisera cette valeur par défaut.Valeur par défaut :hachage SHA1 de l'ID d'entitéURL de baseSpécifie l'emplacement de base du serveur qui est visible par certains utilisateurs de la fédération. En général, ce serveur contientSiteMinder. Il peut également faire office d'URL du serveur hébergeant les services de fédération. L'URL de base permet àSiteMinderde générer des URL relatives dans d'autres sections de la configuration afin de la rendre plus efficace.Vous pouvez modifier cette adresse de base. Par exemple, vous pouvez configurer des hôtes virtuels pour le systèmeSiteMinder. Un hôte virtuel gère les communications de l'interface d'administration. L'autre gère le trafic utilisateur traité par le serveur Web Apache intégré. Dans ce cas, vous pouvez modifier l'adresse de base de sorte à ce qu'elle pointe uniquement vers le serveur et le port HTTP du serveur Web Apache.Valeur :URL valideExemple :https://fedserver.ca.com:5555Pour modifier ce champ, tenez compte des directives importantes suivantes :- Si vous modifiez l'adresse de base, aucune barre oblique ne doit être placée à la fin de celle-ci. Cela donnerait lieu à un ajout de deux barres obliques à d'autres URL utilisant cette adresse de base.
- Lors de l'utilisation de la prise en charge du basculement, la valeur de ce champ correspond au nom d'hôte et au port du système gérant le basculement vers les autres systèmes. Ce système peut être un équilibreur de charge ou un serveur proxy.
- URL du service de récupération d'assertions(requis uniquement pour Artefact HTTP) Spécifie l'URL du service de récupération d'assertions. Si vous utilisez le profil Artefact HTTP pour l'authentification unique, l'artefact sera envoyé du consommateur vers le producteur. Le producteur résout l'artefact et redirige l'assertion associée à l'artefact vers un service au niveau du consommateur.Dans cette zone de groupe, identifiez le service de récupération d'assertions au niveau du producteur. Si SSL est activé pour ce service, l'URL doit commencer parhttps://.Si le producteur distant utiliseSiteMinder, utilisez les URL suivantes :
- En cas de désactivation de SSL :http://serveur_producteur:port/affwebservices/assertionretriever
- En cas d'activation de SSL :https://serveur_producteur:ssl_port/affwebservices/assertionretriever
- URL de service d'authentification uniqueSpécifie l'URL du service d'authentification unique au niveau du producteur.Valeur :une URL valide
- Valeur par défaut si: http://SiteMinderest le producteurserveur_producteur:port/affwebservices/public/intersitetransfer
Options de signature
Les Options de signature définissent les modes de signature pour la communication fédérée. Cette section contient les paramètres suivants :
- Alias de certificat de vérification(Facultatif) Spécifie l'alias associé à un certificat spécifique (clé publique) dans le référentiel de données de certificat. Cet alias indique àSiteMinderle certificat à utiliser pour vérifier les assertions signées et les réponses.Si la clé de votre choix n'est pas disponible, sélectionnez un alias dans la liste déroulante ou cliquez sur Importer pour importer un certificat.Remarque :Avant de spécifier son alias associé, le certificat est stocké dans le référentiel de clés.Valeur :sélectionnez dans la liste déroulante.
Attributs et formats d'ID de nom pris en charge
casso1283
La section Attributs et formats d'ID de nom pris en charge :
- Répertorie tous les formats d'ID de nom pris en charge par l'entité.L'identificateur de nom donne un nom unique à l'utilisateur dans l'assertion et spécifie les attributs à inclure dans l'assertion. Le format de l'identificateur de nom établit le type de contenu utilisé pour l'ID. Par exemple, le format peut être le nom unique d'utilisateur, auquel cas le contenu peut être un UID.
- Pour l'entité générant des assertions, spécifiez les attributs à inclure dans une assertion.Les attributs ajoutés à une assertion peuvent identifier davantage un utilisateur et activer une application utilisant l'assertion à personnaliser pour chaque utilisateur.
Attributs et formats d'ID de nom pris en charge
Parmi les options suivantes, sélectionnez tous les formats applicables : Pour sélectionner tous les formats, cliquez sur Sélectionner les formats d'ID de nom.
Pour obtenir la description de chaque format, consultez la spécification du profil SAML ou WS-Federation.
- Attributs d'assertion pris en chargeSpécifie les attributs que le producteur inclut dans l'assertion. Pour inclure un attribut dans la table, cliquez sur Ajouter. La table inclut les colonnes suivantes :
- Attribut d'assertionIndique l'attribut spécifique dans l'assertion.Valeur :nom d'un attribut d'assertion valide
- Espace de nomsDésigne une collection qui identifie de manière unique des noms.Valeur :un nom d'espace de noms
- SupprimerPour supprimer l'entrée de la table, cliquez sur l'icône.