Configuration de l'entité de fournisseur d'identités distante SAML 2.0

Sommaire
casso1283
HID_remote-idp-entity-configuration
Sommaire
L'étape Configurer l'entité contient les détails de configuration d'une entité de fédération.
Configuration de l'entité de fournisseur d'identités distante SAML 2.0
La section Configure SAML 2.0 Remote IdP Entity (configurer l'entité du fournisseur d'identités distante SAML 2.0) permet d'identifier l'entité. Les champs ci-après doivent faire l'objet d'une explication.
  • casso1283
    ID de l'entité
    Permet d'identifier l'entité de fédération d'un partenaire. L'ID d'entité est un identificateur universel, tel qu'un nom de domaine. Si l'ID d'entité représente un
    partenaire distant
    , cette valeur doit être unique. S'il représente un
    partenaire local
    , vous pouvez le réutiliser dans le même système. Par exemple, si l'ID d'entité représente une entité générant des assertions locale, vous pouvez utiliser ce même ID dans plusieurs partenariats.
    Un ID d'entité qui représente un partenaire distant peut uniquement appartenir à un partenariat actif unique.
    Valeur :
    URI (URL recommandée)
    Suivez les instructions suivantes :
    • L'ID d'entité doit être un URI, mais une URL absolue est recommandée.
    • Si l'ID d'entité est une URL :
      • La partie hôte de l'URL doit être un nom appartenant au domaine DNS principal de l'organisation.
      • L'URL ne doit pas contenir de numéro de port, de chaîne de requête ou d'identificateur de fragment.
    • N'utilisez pas d'esperluette (&) dans l'ID d'entité, car ce caractère est reconnu comme un paramètre de requête distinct.
    • Ne spécifiez pas un URN.
    • L'ID d'entité pour un partenaire distant doit être unique afin d'éviter les conflits de nom au sein de la fédération.
    Exemples d'ID d'entité valides
    • CompanyA:portal1
    • http://idp_name.forwardinc.com/idp
    • https://idp_name.example.edu/sp
    Exemples d'ID d'entité non valides :
    Nom d'entité
    Nomme l'objet d'entité dans le référentiel de stratégies. Le nom d'entité doit être une valeur unique. La fédération utilise le nom d'entité en interne pour distinguer une entité à un emplacement spécifique. Cette valeur n'est pas utilisée en externe et le partenaire distant ne tient pas compte de cette valeur.
    Remarque :
    Le nom de l'entité peut avoir la même valeur que l'ID de l'entité, mais cette valeur ne sera jamais partagée avec aucune autre entité sur ce site.
    Valeur :
    une chaîne alphanumérique
    Exemple
    : Partner1
    Description
    Permet de spécifier des informations supplémentaires pour décrire l'entité.
    Valeur :
    chaîne alphanumérique de 1024 caractères maximum
    URL de base
    Spécifie l'emplacement de base du serveur qui est visible par certains utilisateurs de la fédération. En général, ce serveur contient
    SiteMinder
    . Toutefois, le serveur peut correspondre à l'URL du serveur hébergeant des services de fédération, tels que le service d'authentification unique. L'URL de base permet à
    SiteMinder
    de générer des URL relatives dans d'autres sections de la configuration afin de la rendre plus efficace.
    Vous pouvez modifier cette adresse de base. Par exemple, vous pouvez configurer des hôtes virtuels pour le système
    SiteMinder
    . Un hôte virtuel permettant de gérer la communication avec l'interface utilisateur. L'autre permet de gérer le trafic utilisateur traité par le serveur Web Apache intégré. Vous pouvez modifier l'adresse de base de sorte à ce qu'elle pointe uniquement vers le serveur et le port HTTP du serveur Web Apache.
    Valeur :
    URL valide
    Exemple :
    https://fedserver.ca.com:5555
    Pour modifier ce champ, tenez compte des directives importantes suivantes :
    Si vous modifiez l'adresse de base, aucune barre oblique ne doit être placée à la fin de celle-ci. Cela donnerait lieu à un ajout de deux barres obliques à d'autres URL utilisant cette adresse de base.
    Si vous utilisez plusieurs
    SiteMinder
    pour la prise en charge du basculement, définissez ce champ sur le nom d'hôte et le port du système gérant le basculement vers les autres systèmes. Ce système peut être un équilibreur de charge ou un serveur proxy.
  • Nom d'entité
    Nomme l'entité dans le référentiel de stratégies. Le nom d'entité doit être une valeur unique. La fédération utilise le nom d'entité en interne pour distinguer une entité à un emplacement spécifique. Cette valeur n'est pas utilisée en externe et le partenaire distant ne tient pas compte de cette valeur.
    Le nom de l'entité peut avoir la même valeur que l'ID de l'entité, mais cette valeur ne sera jamais partagée avec aucune autre entité sur ce site.
    Valeur :
    chaîne alphanumérique
    Exemple
    : Partner1
  • URL du service d'authentification unique distant
    Identifie le service d'authentification unique sur le fournisseur d'identités distant. Pour ajouter une entrée à la table, cliquez sur Ajouter une ligne.
    Définissez au moins un service d'authentification unique.
    La table inclut les colonnes suivantes :
    • Liaison
      Spécifie la liaison utilisée pour l'authentification unique par cette entité.
      Valeur par défaut :
      Redirection HTTP
      Limites
      : Redirection HTTP, SOAP
    • URL
      Spécifie l'URL du service d'authentification unique au niveau du fournisseur d'identités.
      Valeur :
      une URL valide
      Exemple, lorsque
      SiteMinder
      est le producteur :
      http://
      serveur_fédération
      :8054/affwebservices/public/saml2sso
    • Supprimer
      Supprime l'entrée de la table.
  • URL de résolution d'artefact SOAP distante
    (Requis uniquement pour Artefact HTTP) Identifie le service de résolution d'artefacts sur le fournisseur d'identités distant.
    Les propriétés de l'URL incluent les paramètres suivants :
    • Index
      Spécifie un numéro d'index qui identifie l'URL du service de résolution d'artefacts au niveau du fournisseur d'identités. L'index détermine l'ordre d'essai des URL de service de résolution d'artefacts, lorsque plusieurs sont définies.
      Valeur par défaut :
      0
      Valeur :
      un nombre entier unique compris entre 0 et 99999
    • URL
      Spécifie l'URL du service de résolution d'artefacts. Si SSL est activé pour ce service, l'URL doit commencer par
      https://
      .
  • URL de service de SLO distant
    (Facultatif) Identifie le service de déconnexion unique sur le fournisseur d'identités distant. La table inclut les colonnes suivantes :
    • Liaison
      Spécifie la liaison de SLO par cette entité.
      Valeur par défaut :
      Redirection HTTP
      Options :
      Redirection HTTP, SOAP
    • URL d'emplacement
      Spécifie l'URL du service de déconnexion unique au niveau de ce fournisseur d'identités distant.
      • L'URL est la suivante : http://
        serveur:port
        /affwebservices/public/saml2slo
        serveur:port
        représente le serveur sur lequel
        SiteMinder
        est installé.
      • Pour les fournisseurs tiers, l'URL représente le service de gestion des réponses de déconnexion unique.
    • URL d'emplacement de réponse
      (Facultatif) Spécifie l'URL du service de déconnexion unique au niveau de ce fournisseur d'identités distant. L'URL d'emplacement de réponse est utilisée dans une configuration comprenant un service pour les demandes de déconnexion unique et un autre pour les réponses de déconnexion unique.
      • Pour
        SiteMinder
        ,
        cette valeur est toujours identique à l'URL d'emplacement de la déconnexion unique :
        http://
        serveur:port
        /affwebservices/public/saml2slo
        serveur:port
        représente le serveur sur lequel
        SiteMinder
        est installé.
      • Pour les fournisseurs tiers, l'URL représente le service de gestion des réponses de déconnexion unique.
URL des services de gestion des ID de nom
(Facultatif) Identifie le service Gérer les ID de nom sur le fournisseur d'identités distant. Pour ajouter une entrée à la table, cliquez sur Ajouter une ligne.
La table inclut les colonnes suivantes :
  • Liaison
    Spécifie la liaison qui est utilisée pour le service Gérer les ID de nom par cette entité.
    Valeur par défaut :
    SOAP
    Options :
    Redirection HTTP, HTTP POST (lecture, mais inutilisé)
  • URL d'emplacement
    Spécifie l'URL du service Gérer les ID de nom au niveau du fournisseur d'identités distant.
    Valeur pour
    SiteMinder
    :
    http://
    serveur_fournisseur_services:port
    /affwebservices/public/saml2nidsoap
    serveur_fournisseur_services:port
    spécifie le serveur et le numéro de port au niveau du fournisseur de services qui héberge
    SiteMinder
    .
  • URL d'emplacement de réponse
    (Facultatif) Spécifie une URL d'emplacement de réponse, ce qui est utile lorsqu'il existe un service pour les demandes et un autre pour les réponses. Ce paramètre ne s’applique pas à la liaison SOAP.
    Pour
    SiteMinder
    , cette valeur est toujours identique à l'URL d'emplacement :
    http://
    serveur_stmndr:port
    /affwebservices/public/saml2nidsoap
    serveur_stmndr:port
    est le serveur au niveau du fournisseur de services sur lequel
    SiteMinder
    est installé.
  • URL de service d'attributs distant
    (Facultatif). Répertorie les URL de plusieurs services d'attributs pour ce fournisseur d'identités. Entrez l'URL du service d'attribut pouvant prendre en charge les requêtes d'attribut à partir d'un fournisseur de services. Vous pouvez ajouter plusieurs entrées en ajoutant des lignes à la table.
    Exemple :
    http://host.forwardinc.com/affwebservices/public/saml2attrsvc
Options de signature et de chiffrement
La section Options de signature et de chiffrement permet de définir les modes de signature et de chiffrement pour les transactions fédérées. Cette section contient les champs suivants :
  • Alias de certificat de vérification
    (Facultatif) Spécifie l'alias associé à un certificat spécifique dans le référentiel de données de certificat. Cet alias indique au serveur de stratégies le certificat à utiliser pour vérifier les assertions signées et les demandes de SLO.
    Sélectionnez un alias dans la liste déroulante. Si le certificat ne figure pas dans le référentiel de données de certificat, cliquez sur Importer pour importer un certificat.
    Le certificat doit figurer dans le référentiel de données de certificat avant de spécifier son alias associé dans ce champ.
    Valeur :
    sélectionnez dans la liste déroulante.
  • Alias de certificat de vérification secondaire
    (Facultatif) Spécifie un alias de certificat de vérification secondaire pour un certificat dans le référentiel de données de certificat. Si la vérification de la signature d'une demande ou d'une réponse ne parvient pas à utiliser l’alias de certificat de vérification configuré, le fournisseur de services local utilisera cet alias de certificat secondaire. Le fournisseur d’identités distant envoie le certificat de vérification au fournisseur de services avant toute opération de transaction, à l’aide de métadonnées ou de tout autre moyen.La spécification d'un alias secondaire est utile si un fournisseur d'identités substitue son certificat de signature. Un remplacement peut se produire pour une raison quelconque, par exemple lors de l'expiration d'un certificat, la compromission d'une clé privée ou la modification de sa taille. Si le certificat ne figure pas déjà dans le référentiel de données de certificat, cliquez sur
    Importer
    pour l'importer.
    Valeur
    : sélectionnez une valeur dans la liste déroulante.
  • Demandes d'authentification signées requises
    Indique que les messages AuthnRequest sont signés, ou que le fournisseur d'identités ne les accepte pas.
Attributs et formats d'ID de nom pris en charge (SAML 2.0)
casso1283
casso1283
La section Attributs et formats d'ID de nom pris en charge permet de spécifier les formats d'ID de nom pris en charge par l'entité. De plus, elle indique les attributs d'un fournisseur d'identités à ajouter à une assertion.
L'identificateur de nom donne un nom unique à l'utilisateur dans l'assertion et spécifie les attributs à inclure dans l'assertion. Le format de l'identificateur de nom établit le type de contenu utilisé pour l'ID. Par exemple, le format peut être le nom unique d'utilisateur, auquel cas le contenu peut être un UID.
Les attributs ajoutés à une assertion peuvent identifier davantage un utilisateur et activer une application utilisant l'assertion à personnaliser pour chaque utilisateur.
  • Formats d'ID de nom pris en charge
    Répertorie tous les formats d'ID de nom pris en charge par l'entité. Sélectionnez tous les formats qui s'appliquent.
    Pour obtenir une description de chaque format, consultez la section
    Assertions et protocoles pour la spécification OASIS Security Assertion Markup Language (SAML) V2.0
    .
  • Attributs d'assertion pris en charge (fournisseur d'identités local et distant)
    Spécifie les attributs que l'entité générant des assertions inclut dans l'assertion. La table inclut les colonnes suivantes :
    • Attribut d'assertion
      Indique l'attribut d'annuaire d'utilisateurs spécifique qui est inclus dans l'assertion.
      Valeur :
      nom d'un attribut d'annuaire d'utilisateurs valide
    • Format pris en charge
      Désigne le format de l'attribut.
      Options :
      Non spécifié, Simple, URI
(A partir de la version 12.8.06) Section Configuration des balises
La section Configuration des balises vous permet d'ajouter des informations ou un contexte supplémentaires sous forme de balises à une entité. Les balises permettent de grouper des objets semblables à l'aide de métadonnées communes et de conserver un contexte supplémentaire spécifique à l'organisation, ce qui facilite l'identification et la récupération des objets. Vous pouvez affecter plusieurs valeurs à une balise dans un format de paire clé-valeur.
Cette section contient les champs suivants :
  • Ajouter
    Lors du premier clic, cette option affiche les balises affectées à la catégorie d'objet
    Entité de fédération
    à l'aide de la boîte de dialogue Balises. Lors des clics ultérieurs, cette option ajoute une autre ligne pour ajouter plusieurs balises et valeurs de balise.
  • nom
    Affiche le nom des balises affectées à la catégorie d'objet
    Entité de fédération
    . Le nom de la balise est affiché au format <
    nom_balise
    >[<
    type_données
    >].
  • Valeur
    Spécifie une valeur pour la balise sélectionnée. N'entrez pas *, <, =, >, ! dans la valeur. Si le type de données de la balise sélectionnée est
    Date
    , la valeur de la balise doit être au format
    aaaa-mm-jj
    et dans la plage comprise entre le 1er janvier 1970 et le 31 décembre 3000.
Une fois les modifications soumises, la colonne
Balises
du tableau affiche la balise au format <
nom_balise
>=<
valeur_balise
>.