Configuration de l'entité de fournisseur d'identités distante SAML 2.0
Sommaire
casso1283
HID_remote-idp-entity-configuration
Sommaire
L'étape Configurer l'entité contient les détails de configuration d'une entité de fédération.
Configuration de l'entité de fournisseur d'identités distante SAML 2.0
La section Configure SAML 2.0 Remote IdP Entity (configurer l'entité du fournisseur d'identités distante SAML 2.0) permet d'identifier l'entité. Les champs ci-après doivent faire l'objet d'une explication.
- casso1283ID de l'entitéPermet d'identifier l'entité de fédération d'un partenaire. L'ID d'entité est un identificateur universel, tel qu'un nom de domaine. Si l'ID d'entité représente unpartenaire distant, cette valeur doit être unique. S'il représente unpartenaire local, vous pouvez le réutiliser dans le même système. Par exemple, si l'ID d'entité représente une entité générant des assertions locale, vous pouvez utiliser ce même ID dans plusieurs partenariats.Un ID d'entité qui représente un partenaire distant peut uniquement appartenir à un partenariat actif unique.Valeur :URI (URL recommandée)Suivez les instructions suivantes :
- L'ID d'entité doit être un URI, mais une URL absolue est recommandée.
- Si l'ID d'entité est une URL :
- La partie hôte de l'URL doit être un nom appartenant au domaine DNS principal de l'organisation.
- L'URL ne doit pas contenir de numéro de port, de chaîne de requête ou d'identificateur de fragment.
- N'utilisez pas d'esperluette (&) dans l'ID d'entité, car ce caractère est reconnu comme un paramètre de requête distinct.
- Ne spécifiez pas un URN.
- L'ID d'entité pour un partenaire distant doit être unique afin d'éviter les conflits de nom au sein de la fédération.
Exemples d'ID d'entité valides- CompanyA:portal1
- http://idp_name.forwardinc.com/idp
- https://idp_name.example.edu/sp
Exemples d'ID d'entité non valides :- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto&test=1
- http://idp.ca.com/affwebservices/public/saml2sso?SPID=http://toto.tiit.fr?key=toto (Cette URL peut fonctionner, mais il est déconseillé d'utiliser cette syntaxe.)
Nom d'entitéNomme l'objet d'entité dans le référentiel de stratégies. Le nom d'entité doit être une valeur unique. La fédération utilise le nom d'entité en interne pour distinguer une entité à un emplacement spécifique. Cette valeur n'est pas utilisée en externe et le partenaire distant ne tient pas compte de cette valeur.Remarque :Le nom de l'entité peut avoir la même valeur que l'ID de l'entité, mais cette valeur ne sera jamais partagée avec aucune autre entité sur ce site.Valeur :une chaîne alphanumériqueExemple: Partner1DescriptionPermet de spécifier des informations supplémentaires pour décrire l'entité.Valeur :chaîne alphanumérique de 1024 caractères maximumURL de baseSpécifie l'emplacement de base du serveur qui est visible par certains utilisateurs de la fédération. En général, ce serveur contientSiteMinder. Toutefois, le serveur peut correspondre à l'URL du serveur hébergeant des services de fédération, tels que le service d'authentification unique. L'URL de base permet àSiteMinderde générer des URL relatives dans d'autres sections de la configuration afin de la rendre plus efficace.Vous pouvez modifier cette adresse de base. Par exemple, vous pouvez configurer des hôtes virtuels pour le systèmeSiteMinder. Un hôte virtuel permettant de gérer la communication avec l'interface utilisateur. L'autre permet de gérer le trafic utilisateur traité par le serveur Web Apache intégré. Vous pouvez modifier l'adresse de base de sorte à ce qu'elle pointe uniquement vers le serveur et le port HTTP du serveur Web Apache.Valeur :URL valideExemple :https://fedserver.ca.com:5555Pour modifier ce champ, tenez compte des directives importantes suivantes :Si vous modifiez l'adresse de base, aucune barre oblique ne doit être placée à la fin de celle-ci. Cela donnerait lieu à un ajout de deux barres obliques à d'autres URL utilisant cette adresse de base.Si vous utilisez plusieursSiteMinderpour la prise en charge du basculement, définissez ce champ sur le nom d'hôte et le port du système gérant le basculement vers les autres systèmes. Ce système peut être un équilibreur de charge ou un serveur proxy. - Nom d'entitéNomme l'entité dans le référentiel de stratégies. Le nom d'entité doit être une valeur unique. La fédération utilise le nom d'entité en interne pour distinguer une entité à un emplacement spécifique. Cette valeur n'est pas utilisée en externe et le partenaire distant ne tient pas compte de cette valeur.Le nom de l'entité peut avoir la même valeur que l'ID de l'entité, mais cette valeur ne sera jamais partagée avec aucune autre entité sur ce site.Valeur :chaîne alphanumériqueExemple: Partner1
- URL du service d'authentification unique distantIdentifie le service d'authentification unique sur le fournisseur d'identités distant. Pour ajouter une entrée à la table, cliquez sur Ajouter une ligne.Définissez au moins un service d'authentification unique.La table inclut les colonnes suivantes :
- LiaisonSpécifie la liaison utilisée pour l'authentification unique par cette entité.Valeur par défaut :Redirection HTTPLimites: Redirection HTTP, SOAP
- URLSpécifie l'URL du service d'authentification unique au niveau du fournisseur d'identités.Valeur :une URL valideExemple, lorsquehttp://SiteMinderest le producteur :serveur_fédération:8054/affwebservices/public/saml2sso
- SupprimerSupprime l'entrée de la table.
- URL de résolution d'artefact SOAP distante(Requis uniquement pour Artefact HTTP) Identifie le service de résolution d'artefacts sur le fournisseur d'identités distant.Les propriétés de l'URL incluent les paramètres suivants :
- IndexSpécifie un numéro d'index qui identifie l'URL du service de résolution d'artefacts au niveau du fournisseur d'identités. L'index détermine l'ordre d'essai des URL de service de résolution d'artefacts, lorsque plusieurs sont définies.Valeur par défaut :0Valeur :un nombre entier unique compris entre 0 et 99999
- URLSpécifie l'URL du service de résolution d'artefacts. Si SSL est activé pour ce service, l'URL doit commencer parhttps://.
- URL de service de SLO distant(Facultatif) Identifie le service de déconnexion unique sur le fournisseur d'identités distant. La table inclut les colonnes suivantes :
- LiaisonSpécifie la liaison de SLO par cette entité.Valeur par défaut :Redirection HTTPOptions :Redirection HTTP, SOAP
- URL d'emplacementSpécifie l'URL du service de déconnexion unique au niveau de ce fournisseur d'identités distant.
- L'URL est la suivante : http://serveur:port/affwebservices/public/saml2sloserveur:portreprésente le serveur sur lequelSiteMinderest installé.
- Pour les fournisseurs tiers, l'URL représente le service de gestion des réponses de déconnexion unique.
- URL d'emplacement de réponse(Facultatif) Spécifie l'URL du service de déconnexion unique au niveau de ce fournisseur d'identités distant. L'URL d'emplacement de réponse est utilisée dans une configuration comprenant un service pour les demandes de déconnexion unique et un autre pour les réponses de déconnexion unique.
- PourSiteMinder,cette valeur est toujours identique à l'URL d'emplacement de la déconnexion unique :http://serveur:port/affwebservices/public/saml2sloserveur:portreprésente le serveur sur lequelSiteMinderest installé.
- Pour les fournisseurs tiers, l'URL représente le service de gestion des réponses de déconnexion unique.
URL des services de gestion des ID de nom
(Facultatif) Identifie le service Gérer les ID de nom sur le fournisseur d'identités distant. Pour ajouter une entrée à la table, cliquez sur Ajouter une ligne.
La table inclut les colonnes suivantes :
- LiaisonSpécifie la liaison qui est utilisée pour le service Gérer les ID de nom par cette entité.Valeur par défaut :SOAPOptions :Redirection HTTP, HTTP POST (lecture, mais inutilisé)
- URL d'emplacementSpécifie l'URL du service Gérer les ID de nom au niveau du fournisseur d'identités distant.Valeur pourSiteMinder:http://serveur_fournisseur_services:port/affwebservices/public/saml2nidsoapserveur_fournisseur_services:portspécifie le serveur et le numéro de port au niveau du fournisseur de services qui hébergeSiteMinder.
- URL d'emplacement de réponse(Facultatif) Spécifie une URL d'emplacement de réponse, ce qui est utile lorsqu'il existe un service pour les demandes et un autre pour les réponses. Ce paramètre ne s’applique pas à la liaison SOAP.PourSiteMinder, cette valeur est toujours identique à l'URL d'emplacement :http://serveur_stmndr:port/affwebservices/public/saml2nidsoapserveur_stmndr:portest le serveur au niveau du fournisseur de services sur lequelest installé.SiteMinder
- URL de service d'attributs distant(Facultatif). Répertorie les URL de plusieurs services d'attributs pour ce fournisseur d'identités. Entrez l'URL du service d'attribut pouvant prendre en charge les requêtes d'attribut à partir d'un fournisseur de services. Vous pouvez ajouter plusieurs entrées en ajoutant des lignes à la table.Exemple :http://host.forwardinc.com/affwebservices/public/saml2attrsvc
Options de signature et de chiffrement
La section Options de signature et de chiffrement permet de définir les modes de signature et de chiffrement pour les transactions fédérées. Cette section contient les champs suivants :
- Alias de certificat de vérification(Facultatif) Spécifie l'alias associé à un certificat spécifique dans le référentiel de données de certificat. Cet alias indique au serveur de stratégies le certificat à utiliser pour vérifier les assertions signées et les demandes de SLO.Sélectionnez un alias dans la liste déroulante. Si le certificat ne figure pas dans le référentiel de données de certificat, cliquez sur Importer pour importer un certificat.Le certificat doit figurer dans le référentiel de données de certificat avant de spécifier son alias associé dans ce champ.Valeur :sélectionnez dans la liste déroulante.
- Alias de certificat de vérification secondaire(Facultatif) Spécifie un alias de certificat de vérification secondaire pour un certificat dans le référentiel de données de certificat. Si la vérification de la signature d'une demande ou d'une réponse ne parvient pas à utiliser l’alias de certificat de vérification configuré, le fournisseur de services local utilisera cet alias de certificat secondaire. Le fournisseur d’identités distant envoie le certificat de vérification au fournisseur de services avant toute opération de transaction, à l’aide de métadonnées ou de tout autre moyen.La spécification d'un alias secondaire est utile si un fournisseur d'identités substitue son certificat de signature. Un remplacement peut se produire pour une raison quelconque, par exemple lors de l'expiration d'un certificat, la compromission d'une clé privée ou la modification de sa taille. Si le certificat ne figure pas déjà dans le référentiel de données de certificat, cliquez surImporterpour l'importer.Valeur: sélectionnez une valeur dans la liste déroulante.
- Demandes d'authentification signées requisesIndique que les messages AuthnRequest sont signés, ou que le fournisseur d'identités ne les accepte pas.
Attributs et formats d'ID de nom pris en charge (SAML 2.0)
casso1283
casso1283
La section Attributs et formats d'ID de nom pris en charge permet de spécifier les formats d'ID de nom pris en charge par l'entité. De plus, elle indique les attributs d'un fournisseur d'identités à ajouter à une assertion.
L'identificateur de nom donne un nom unique à l'utilisateur dans l'assertion et spécifie les attributs à inclure dans l'assertion. Le format de l'identificateur de nom établit le type de contenu utilisé pour l'ID. Par exemple, le format peut être le nom unique d'utilisateur, auquel cas le contenu peut être un UID.
Les attributs ajoutés à une assertion peuvent identifier davantage un utilisateur et activer une application utilisant l'assertion à personnaliser pour chaque utilisateur.
- Formats d'ID de nom pris en chargeRépertorie tous les formats d'ID de nom pris en charge par l'entité. Sélectionnez tous les formats qui s'appliquent.Pour obtenir une description de chaque format, consultez la sectionAssertions et protocoles pour la spécification OASIS Security Assertion Markup Language (SAML) V2.0.
- Attributs d'assertion pris en charge (fournisseur d'identités local et distant)Spécifie les attributs que l'entité générant des assertions inclut dans l'assertion. La table inclut les colonnes suivantes :
- Attribut d'assertionIndique l'attribut d'annuaire d'utilisateurs spécifique qui est inclus dans l'assertion.Valeur :nom d'un attribut d'annuaire d'utilisateurs valide
- Format pris en chargeDésigne le format de l'attribut.Options :Non spécifié, Simple, URI
(A partir de la version 12.8.06) Section Configuration des balises
La section Configuration des balises vous permet d'ajouter des informations ou un contexte supplémentaires sous forme de balises à une entité. Les balises permettent de grouper des objets semblables à l'aide de métadonnées communes et de conserver un contexte supplémentaire spécifique à l'organisation, ce qui facilite l'identification et la récupération des objets. Vous pouvez affecter plusieurs valeurs à une balise dans un format de paire clé-valeur.
Cette section contient les champs suivants :
- AjouterLors du premier clic, cette option affiche les balises affectées à la catégorie d'objetEntité de fédérationà l'aide de la boîte de dialogue Balises. Lors des clics ultérieurs, cette option ajoute une autre ligne pour ajouter plusieurs balises et valeurs de balise.
- nomAffiche le nom des balises affectées à la catégorie d'objetEntité de fédération. Le nom de la balise est affiché au format <nom_balise>[<type_données>].
- ValeurSpécifie une valeur pour la balise sélectionnée. N'entrez pas *, <, =, >, ! dans la valeur. Si le type de données de la balise sélectionnée estDate, la valeur de la balise doit être au formataaaa-mm-jjet dans la plage comprise entre le 1er janvier 1970 et le 31 décembre 3000.
Une fois les modifications soumises, la colonne
Balises
du tableau affiche la balise au format <nom_balise
>=<valeur_balise
>.