Configuration de l'entité de fournisseur de services locale SAML 2.0
casso1283
HID_local-sp-entity
L'étape Configurer l'entité contient les détails de configuration d'une entité de fédération.
Configuration de l'entité de fournisseur de services locale SAML 2.0
La section Configure Local SAML 2.0 SP Entity (configurer l'entité de fournisseur de services locale SAML 2.0) permet d'identifier l'entité. Les paramètres sont les suivants :
- casso1283ID de l'entitéPermet d'identifier l'entité de fédération d'un partenaire. L'ID d'entité est un identificateur universel, tel qu'un nom de domaine. Si l'ID d'entité représente unpartenaire distant, cette valeur doit être unique. S'il représente unpartenaire local, vous pouvez le réutiliser dans le même système. Par exemple, si l'ID d'entité représente une entité générant des assertions locale, vous pouvez utiliser ce même ID dans plusieurs partenariats.Un ID d'entité qui représente un partenaire distant peut uniquement appartenir à un partenariat actif unique.Valeur :URI (URL recommandée)Suivez les instructions suivantes :
- L'ID d'entité doit être un URI, mais une URL absolue est recommandée.
- Si l'ID d'entité est une URL :
- La partie hôte de l'URL doit être un nom appartenant au domaine DNS principal de l'organisation.
- L'URL ne doit pas contenir de numéro de port, de chaîne de requête ou d'identificateur de fragment.
- N'utilisez pas d'esperluette (&) dans l'ID d'entité, car ce caractère est reconnu comme un paramètre de requête distinct.
- Ne spécifiez pas un URN.
- L'ID d'entité pour un partenaire distant doit être unique afin d'éviter les conflits de nom au sein de la fédération.
Exemples d'ID d'entité valides- CompanyA:portal1
- http://idp_name.forwardinc.com/idp
- https://idp_name.example.edu/sp
Exemples d'ID d'entité non valides :- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto&test=1
- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (Cette URL peut fonctionner, mais il est déconseillé d'utiliser cette syntaxe.)
Nom d'entitéNomme l'objet d'entité dans le référentiel de stratégies. Le nom d'entité doit être une valeur unique. La fédération utilise le nom d'entité en interne pour distinguer une entité à un emplacement spécifique. Cette valeur n'est pas utilisée en externe et le partenaire distant ne tient pas compte de cette valeur.Remarque :Le nom de l'entité peut avoir la même valeur que l'ID de l'entité, mais cette valeur ne sera jamais partagée avec aucune autre entité sur ce site.Valeur :une chaîne alphanumériqueExemple: Partner1DescriptionPermet de spécifier des informations supplémentaires pour décrire l'entité.Valeur :chaîne alphanumérique de 1024 caractères maximumURL de baseSpécifie l'emplacement de base du serveur qui est visible par certains utilisateurs de la fédération. En général, ce serveur contientSiteMinder. Toutefois, le serveur peut correspondre à l'URL du serveur hébergeant des services de fédération, tels que le service d'authentification unique. L'URL de base permet àSiteMinderde générer des URL relatives dans d'autres sections de la configuration afin de la rendre plus efficace.Vous pouvez modifier cette adresse de base. Par exemple, vous pouvez configurer des hôtes virtuels pour le systèmeSiteMinder. Un hôte virtuel permettant de gérer la communication avec l'interface utilisateur. L'autre permet de gérer le trafic utilisateur traité par le serveur Web Apache intégré. Vous pouvez modifier l'adresse de base de sorte à ce qu'elle pointe uniquement vers le serveur et le port HTTP du serveur Web Apache.Valeur :URL valideExemple :https://fedserver.ca.com:5555Pour modifier ce champ, tenez compte des directives importantes suivantes :Si vous modifiez l'adresse de base, aucune barre oblique ne doit être placée à la fin de celle-ci. Cela donnerait lieu à un ajout de deux barres obliques à d'autres URL utilisant cette adresse de base.Si vous utilisez plusieursSiteMinderpour la prise en charge du basculement, définissez ce champ sur le nom d'hôte et le port du système gérant le basculement vers les autres systèmes. Ce système peut être un équilibreur de charge ou un serveur proxy.
Options de signature et de chiffrement par défaut
La section Options de signature et de chiffrement par défaut définit les modes de signature et de chiffrement pour la communication fédérée.
Les clés privées doivent figurer dans le référentiel de données de certificat avant de pouvoir sélectionner des alias pour chaque champ.
Cette section contient les paramètres suivants :
- Alias de signature de clé privée(Facultatif) Spécifie l'alias associé à une paire clé privée/certificat dans le référentiel de données de certificat. Ce champ indique la paire clé privée/certificat utilisée par le fournisseur de services pour signer des réponses d'assertion, des demandes de déconnexion groupée et des réponses de déconnexion groupée.Si la paire clé/certificat ne figure pas déjà dans le référentiel de données de certificat, cliquez surImporterpour importer la clé.Valeur: sélectionnez une valeur dans la liste déroulante.
- Alias de la clé privée de déchiffrement(Facultatif) Spécifie l'alias associé à une clé privée dans le référentiel de données de certificat. Ce champ indique la clé privée utilisée par le fournisseur de services pour déchiffrer des assertions, des réponses d'assertion, des demandes de déconnexion groupée et des réponses de déconnexion groupée.Si la clé ne figure pas déjà dans le référentiel de données de certificat, cliquez surImporterpour importer la clé.Valeur :sélectionnez dans la liste déroulante.
- Signer les demandes d'authentificationIndique que l'entité signe toutes les demandes d'authentification qu'elle envoie. Si vous sélectionnez cette case à cocher, le fournisseur d'identités n'envoie pas de réponses non sollicitées, garantissant la confiance entre les deux partenaires.
Formats d'ID de nom pris en charge
casso1283
La section Formats d'ID de nom pris en charge permet de spécifier les formats d'ID de nom pris en charge par l'entité.
L'identificateur de nom donne un nom unique à l'utilisateur dans l'assertion et spécifie les attributs à inclure dans l'assertion. Le format de l'identificateur de nom établit le type de contenu utilisé pour l'ID. Par exemple, le format peut être le nom unique d'utilisateur, auquel cas le contenu peut être un UID.
- Formats d'ID de nom pris en chargeRépertorie tous les formats d'ID de nom pris en charge par l'entité. Sélectionnez tous les formats qui s'appliquent.Pour obtenir une description de chaque format, consultez la sectionAssertions et protocoles pour la spécification OASIS Security Assertion Markup Language (SAML) V2.0.
(A partir de la version 12.8.06) Section Configuration des balises
La section Configuration des balises vous permet d'ajouter des informations ou un contexte supplémentaires sous forme de balises à une entité. Les balises permettent de grouper des objets semblables à l'aide de métadonnées communes et de conserver un contexte supplémentaire spécifique à l'organisation, ce qui facilite l'identification et la récupération des objets. Vous pouvez affecter plusieurs valeurs à une balise dans un format de paire clé-valeur.
Cette section contient les champs suivants :
- AjouterLors du premier clic, cette option affiche les balises affectées à la catégorie d'objetEntité de fédérationà l'aide de la boîte de dialogue Balises. Lors des clics ultérieurs, cette option ajoute une autre ligne pour ajouter plusieurs balises et valeurs de balise.
- nomAffiche le nom des balises affectées à la catégorie d'objetEntité de fédération. Le nom de la balise est affiché au format <nom_balise>[<type_données>].
- ValeurSpécifie une valeur pour la balise sélectionnée. N'entrez pas *, <, =, >, ! dans la valeur. Si le type de données de la balise sélectionnée estDate, la valeur de la balise doit être au formataaaa-mm-jjet dans la plage comprise entre le 1er janvier 1970 et le 31 décembre 3000.
Une fois les modifications soumises, la colonne
Balises
du tableau affiche la balise au format <nom_balise
>=<valeur_balise
>.